应用服务的安全.ppt

《应用服务的安全.ppt》由会员分享，可在线阅读，更多相关《应用服务的安全.ppt（223页珍藏版）》请在三一办公上搜索。

1、介绍,信息安全技术专家岗位资格技能认证培训中华人民共和国劳动与社会保障部职业资格认证国家信息安全培训认证管理中心 主任劳动与社会保障部国家督导、高级考评员信息产业部 信息化与电子政务专家盛鸿宇 副研究员e_,第六章 应用服务的安全,应用服务的划分,网络安全的威胁来自多个方面，主要包括：操作系统安全、应用服务安全、网络设备安全、网络传输安全等网络应用服务安全，指的是主机上运行的网络应用服务是否能够稳定、持续运行，不会受到非法的数据破坏及运行影响,网络环境中多样化的应用,多样化的应用需要什么？,安全的通信、交易环境信息安全,应用需要什么保护？,物理（硬件安全）数据安全系统安全网络安全应用安全,应用

2、安全,身份认证数据保密数据完整不可否认,身份认证,通信双方能互相验证对方的身份，确认对方确实是他所声明的身份。,我是田景成，你是网上银行服务器吗？,嗨，我是网上银行服务器。,你真的是田景成吗？,你真的是网上银行服务器吗？,业务服务器,数据保密,通信双方传送的信息需要保密，只有他们自己知道。他们需要说“悄悄话”。,我需要转帐，这是我的帐号和密码。,业务服务器,帐号：1234567890密码：8888888,数据完整性,通信双方应能检测出信息在传输途中是否被篡改。,转帐200万到关晓阳的帐号。,业务服务器,转帐100万到关晓阳的帐号，转帐100万到成景田的帐号。,篡改,不可否认性和审计,服务方应该

3、将交易的整个步骤记录下来，以备查询，同时也应保证用户不能对自己的行为进行否认和抵赖。,我的钱呢？,100万能干什么？,转走了！,转哪去了？,岂有此理，我要告你们！你们没有我的签名。,您自己忘了！,应用服务具体划分,Web服务FTP服务Mail服务域名服务Data服务SMB服务远程登录服务终端服务其他服务,Web服务,静态脚本服务/动态脚本服务脚本很可能就成为获得信息的非正当的服务脚本Web Service微软提出三层应用的关键技术，是三层结构中客户端和系统服务搭建桥梁的中间层应用服务控件（中间件）,基本HTTP请求,“http:/”等价于HTTP命令“GET/files/index.html

4、HTTP/1.0”CGI调用“http:/”表示将var1和var2提交给cgi.exe(“+”是分隔符)ASP调用http:/表示将X、Y分别作为两个变量提交,HTTP文件遍历和URL编码,Web结构,client/server结构，属于瘦客户类型Browser/Server,客户为浏览器，服务器为Web Server通常是多层(或三层)结构中的第一层在Web应用中，Web Server后面常常与数据库打交道,Web结构,B/S之间的通讯协议：HTTPHTTP位于TCP之上，默认的端口为80客户发出对页面的请求，服务器送回这些页面Web页面的表述和交互能力各种标记、超链接，交互功能：表单、脚

5、本交互能力的扩展：Java Applet,ActiveX,Web服务安全问题归纳,服务器向公众提供了不应该提供的服务服务器把本应私有的数据放到了公开访问的区域服务器信赖了来自不可信赖数据源的数据,Web安全性,协议本身的安全性支持实现上的安全性服务器端安全性Web pages的访问控制机制可用性：防止拒绝服务抵御各种网络攻击客户端安全性个人信息的保护防止执行恶意代码Web Proxy ServerMan-In-The-Middle,主要漏洞,提供了不应该提供的服务,把私有数据放到了公开访问区域,信赖了来自不可信数据源的数据,Web服务器漏洞的解释,目录遍历,执行任意命令,缓冲区溢出,拒绝服务,

6、条件竞争,物理路径泄露,Web服务器处理用户请求出错导致的，或某些显示环境变量的程序错误输出,IIS二次解码漏洞和Unicode解码漏洞,通过解码漏洞或SSI指令解析来执行系统命令,超长URL，超长HTTP Header域，或者是其它超长的数据,Web服务器在处理特殊请求时不知所措或处理方式不当，因此出错终止或挂起,没有临时文件的属性进行检查,IIS安全漏洞,Null.htw漏洞 MDAC执行本地命令漏洞“.htr”问题IIS缓冲溢出 ISM.DLL 缓冲截断漏洞 IIS存在的Unicode解析错误漏洞,IIS的MDAC组件,IIS的MDAC组件存在一个漏洞可以导致攻击者远程执行你系统的命令。

7、主要核心问题是存在于RDS Datafactory，默认情况下，它允许远程命令发送到IIS服务器中，这命令会以设备用户的身份运行，其一般默认情况下是SYSTEM用户。,Codebrws.aspiisamples/exa.ks/codebrws.asp,Showcode.asp msadc/samples./winnt/win.ini Null.htw htw?CiWe.HiliteType=full,以上四个漏洞均可以察看文件源代码,IIS服务泄露源代码,webhits.dll&.htw,ASP Dot Bug 在请求的URL结尾追加一个或者多个点导致泄露ASP源代码。,ISM.DLL,允许攻

8、击者查看任意文件内容和源代码,.idc&.ida Bugs 这个漏洞实际上类似ASP dot 漏洞，其能在IIS4.0上显示其WEB目录信息，很奇怪的说有些还在IIS5.0上发现过此类漏洞，通过增加?idc?或者?ida?后缀到URL会导致IIS尝试允许通过数据库连接程序.DLL来运行.IDC，如果.idc不存在，它就返回一些信息给客户端。,IIS服务泄露源代码,+.htr Bug 对有些ASA和ASP追加+.htr的URL请求就会导致文件源代码的泄露。,IIS服务泄露源代码,通过请求site.csc，一般保存在/adsamples/config/site.csc中，攻击者可能获得一些如数据库

9、中的DSN，UID和PASS的一些信息。,NT Site Server Adsamples,IIS4.0中包含一个有趣的特征就是允许远程用户攻击WEB服务器上的用户帐号，就是你的WEB服务器是通过NAT来转换地址的，还可以被攻击。,./iisadmpwd,存在OFFICE 2000和FRONTPAGE 2000Server Extensions中的WebDAV中，当有人请求一个ASP/ASA后者其他任意脚本的时候在HTTP GET加上Translate:f 后缀，并在请求文件后面加/就会显示文件代码，当然在没有打WIN2K SP1补丁为前提。这个是W2K的漏洞，但由于FP2000也安装在IIS

10、4.0上，所以在IIS4.0上也有这个漏洞。利用程序:trasn1.pl,trans2.pl,Translate:f Bug 泄露asp文件源代码,IIS的Unicode问题,问题产生的要义“%c0%af”和“%c1%9c”分别是“/”“”的unicode表示其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等对策安装MS00-086中的补丁由于没有实现分区跳转功能，可以在系统分区之外安装IIS设置严格的NTFS权限在服务器的Write和Excute ACL中删除Everyone和User组,更近一步-双解码/二次解码,同样由NSFocu

11、s发布对策：应用MS01-26给出的补丁(不包括在sp2中)注意和Unicode的区别，包括相关日志,GET/scripts/.%255c.255c%winnt/system32/cmd.exe,IIs4 hack缓冲溢出,主要存在于.htr,.idc和.stm文件中，其对关于这些文件的URL请求没有对名字进行充分的边界检查，导致运行攻击者插入一些后门程序在系统中下载和执行程序。,IIS溢出问题,IPP(Internet Printing Protocol)缓冲区溢出(IPP是处理.printer文件的-C:winntsystem32msw3prt.dll)当以下调用超过420字节时，问题就会

12、发生对策：删除DLL和文件扩展之间的映射,GET/NULL.printer HTTP/1.0Host:buffer,删除DLL和文件扩展之间的映射,IIS溢出问题,索引服务ISAPI扩展溢出(通常被称为ida/idq溢出)由idq.dll引起，当buffer长度超过240字节时，问题就会发生Null.ida为文件名，无需真的存在直至现在上没有漏洞利用代码Code Red的感染途径对策：删除idq.dll和文件扩展之间的映射,GET/NULL.ida?HTTP/1.1 Host:buffer,IIS溢出问题,Frontpage 2000服务扩展溢出最早由NSFocus(中国安全研究小组)提出FP

13、SE在Windows 2000中的位置：C:Program filesCommom FilesMicrosoft SharedWeb Server Extensions问题焦点是fp30reg.dll和fp4areg.dll(后者默认总是提供的)收到超过258字节的URL请求时，问题就会出现漏洞利用工具：fpse2000ex对策：删除fp30reg.dll和fp4areg.dll文件,IIS的其它问题,源代码泄漏的危险.htr风险.htw/webhits风险权限提升的问题远程调用RevertToself的ISAPI DLL向LSA本地注射代码,CGI安全问题归纳,暴露敏感或不敏感信息缺省提供的

14、某些正常服务未关闭利用某些服务漏洞执行命令应用程序存在远程溢出非通用CGI程序的编程漏洞,具体的CGI安全问题,配置错误边界条件错误访问验证错误来源验证错误输入验证错误意外情况处理失败策略错误习惯问题使用错误,CGI安全保证,保持服务器安全正确安装CGI程序，删除不必要的安装文件和临时文件使用安全的函数使用安全有效的验证用户身份的方法验证用户来源，防止用户短时间内过多动作推荐过滤特殊字符处理好意外情况实现功能时制定安全合理的策略培养良好的编程习惯避免“想当然”的错误定期使用CGI漏洞检测工具,ASP的安全性,Code.asp文件会泄漏ASP代码filesystemobject组件篡改下载FAT

15、分区上的任何文件的漏洞输入标准的HTML语句或者JavaScript语句会改变输出结果Access MDB数据库有可能被下载的漏洞asp程序密码验证漏洞,(1)为你的数据库文件名称起个复杂的非常规的名字，并把他放在非常规目录下。,(2)不要把数据库名写在程序中。,(3)使用ACCESS来为数据库文件编码及加密。,防止Access数据库被下载,防止Access数据库被下载常见措施：,配置安全的IIS运行环境,作为运行在 Windows NT操作系统环境下的IIS，其安全性也应建立在Windows NT安全性的基础之上。,1.应用NTFS文件系统,2.文件夹共享权限的修改,3.为系统管理员账号更名

16、,4.取消TCP/IP上的NetBIOS绑定,设置IIS的安全机制 一,1.安装时应注意的安全问题,（1）避免安装在主域控制器上,（2）避免安装在系统分区上,2.用户控制的安全性,（1）限制匿名用户的访问,（2）一般用户,通过使用数字与字母（包括大小写）结合的口令，提高修改密码的频率，封锁失败的登录尝试以及账户的生存期等对一般用户账户进行管理。,3.登录认证的安全性,IIS服务器提供对用户三种形式的身份认证：,匿名访问：不需要与用户之间进行交互，允许任何人匿名访问站点，在这三种身份认证中的安全性是最低的。基本（Basic）验证：在此方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加

17、密，非法用户可以通过网上监听来拦截数据包，并从中获取用户名及密码，安全性能一般。Windows NT请求/响应方式：浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式。,设置IIS的安全机制二,4.访问权限控制,（1）文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，还可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。,（2）WWW目录的访问权限：已经设置成We

18、b目录的文件夹，可以通过操作Web站点属性页实现对WWW目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全性。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件；执行权限，允许用户运行WWW目录下的程序和脚本。,设置IIS的安全机制三,5.IP地址的控制,IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问服务，你可以通过设置来阻止除指定IP地址外的整个网络用户来访问你的Web服务器。,6.端口安全性的实现,可以通过修改端口号来提高IIS服务器的安全性，如果你修改了端口设置，只有知道端口号的用户才可以

19、访问。,7.禁止IP转发功能提高服务的安全性,8.启用SSL安全机制加强Web服务的安全性,设置IIS的安全机制四,提高IIS的安全性和稳定性 一,限制在web服务器开帐户，定期删除一些断进程的用户。对在web服务器上开的帐户，在口令长度及定期更改方面作出要求，防止被盗用。尽量使ftp，mail等服务器与之分开，去掉ftp，mail，tftp，NIS，NFS，finger，netstat等一些无关的应用。在web服务器上去掉一些绝对不用的shell等之类解释器，即当在你的 cgi的程序中没用到perl时，就尽量把perl在系统解释器中删除掉。,有些WEB服务器把WEB的文档目录与FTP目录指在

20、同一目录时，应 该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。,设置好web服务器上系统文件的权限和属性，对可让人访问的文档分配一个公用的组如：www，并只分配它只读的权利。对于WEB的配置文件仅对WEB管理员有写的权利。,定期查看服务器中的日志logs文件，分析一切可疑事件。,通过限制许可访问用户IP或DNS,提高ISS的安全性和稳定性二,IIS服务安全配置,禁用或删除所有的示例应用程序 示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从 http:/localhost 或 127.0.0.1 访问；但是，它们仍应被删除。下面 列

21、出一些示例的默认位置。示例 虚拟目录 位置IIS 示例 IISSamples c:inetpubiissamplesIIS 文档 IISHelp c:winnthelpiishelp数据访问 MSADC c:program filescommon filessystemmsadc,禁用或删除不需要的 COM 组件 某些 COM 组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但要注意这将也会删除 Dictionary 对象。切记某些程序可能需要您禁用的组件。如Site Server 3.0 使用 File System Object。以下命令将禁用 File Sy

22、stem Object：regsvr32 scrrun.dll/u 删除 IISADMPWD 虚拟目录 该目录可用于重置 Windows NT 和 Windows 2000 密码。它主要用于 Intranet 情况下，并不作为 IIS 5 的一部分安装，但是 IIS 4 服务器升级到 IIS 5 时，它并不删除。如果您不使用 Intranet 或如果将服务器连接到 Web 上，则应将其删除。,IIS服务安全配置,删除无用的脚本映射 IIS 被预先配置为支持常用的文件名扩展如.asp 和.shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能

23、，则应删除该映射，步骤如下：打开 Internet 服务管理器。右键单击 Web 服务器，然后从上下文菜单中选择“属性”。主目录|配置|删除无用的.htr.ida.idq.printer.idc.stm.shtml等,IIS服务安全配置,禁用父路径“父路径”选项允许在对诸如 MapPath 函数调用中使用“.”。禁用该选项的步骤如下：右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。禁用-内容位置中的 IP 地址 IIS4里的“内容-位置”标头可暴露通常在网络地址转换(NAT)防火墙或代理

24、服务器后面隐藏或屏蔽的内部 IP 地址。,IIS服务安全配置,IIS服务安全配置,设置适当的 IIS 日志文件 ACL 确保 IIS 日志文件(%systemroot%system32LogFiles)上的 ACL 是 Administrators（完全控制）System（完全控制）Everyone(RWC)这有助于防止恶意用户为隐藏他们的踪迹而删除文件。设置适当的 虚拟目录的权限 确保 IIS 虚拟目录如scripts等权限设置是否最小化，删除不需要目录。将IIS目录重新定向 更改系统默认路径，自定义WEB主目录路径并作相应的权限设置。使用专门的安全工具 微软的IIS安全设置工具：IIS L

25、ock Tool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性。,Web服务的用户身份认证,Web服务器支持的验证方式基本验证的具体实现方法 用IIS建立高安全性Web服务器WEB安全性的综合策略,协议本身的安全性支持,身份认证Basic AuthenticationDigest Access Authentication保密性TLS(Transport Layer Security),Web认证,Basic Authentication RFC 2617Digest Access Authentication RFC 2617TLS，基于PKI的认证一种双向认证模式：单向TLS认证+

26、客户提供名字/口令Microsoft passport,Basic Authentication,Web服务器,口令直接明文传输隐患：sniffer、中间代理、假冒的服务器,Digest AccesAuthentication,Challenge-Response,不传输口令重放攻击、中间人攻击服务器端的口令管理策略,WEB安全性的综合策略,有些应用使用SSL/TLS，为Web Service申请一个证书Web Server往往是网络攻击的入口点为了提供Web Service，必须要开放端口和一些目录，还要接受各种正常的连接请求防火墙对Web Server的保护是有限的,WEB安全性的综合策略

27、,及时打上Web Server软件厂商提供的补丁程序特别是一些主流的服务软件，比如MS的IIS控制目录和文件的权限Web应用开发人员注意在服务端的运行代码中，对于来自客户端的输入一定要进行验证防止缓冲区溢出,Web客户端的安全性,客户端安全性涉及到Cookie的设置，保护用户的隐私PKI设置，确定哪些是可信任的CA对可执行代码的限制，包括JavaApplet，ActiveX control客户浏览器的安全设置真的安全吗我们有必要了解这些安全性,FTP服务,文件传输协议(File Transfer Protocol，FTP)FTP服务通常被攻击者上传后门程序文件到主机，然后通过种种方式转移成为激

28、活的后门 注意：资源共享和权限控制矛盾的存在,FTP安全,FTP的一些特性FTP的包过滤方式FTP服务形态FTP服务的安全性FTP服务器的安全配置,FTP的特性与目标,促进文件（程序或数据）的共享支持间接或隐式地使用远程计算机帮助用户避开主机上不同的可靠并有效地传输数据,FTP的包过滤方式,FTP使用两个独立的TCP连接一个在服务器和客户程序之间传递命令和结果（通常称为命令通道）另一个用来传送真实的文件和目录列表（通常称为数据通道）多数FTP服务器和客户程序都支持“反向方式”或“PASV方式”,FTP服务形态,匿名服务（Anonymous Service）FTP代理：允许第三方文件传输,针对F

29、TP的攻击,FTP跳转攻击无访问控制密码截获端口盗用,一、取消匿名访问功能,二、启用日志记录,FTP服务器日志记录着所有用户的访问信息，如访问时间、客户机IP地址、使用的登录账号等，这些信息对于FTP服务器的稳定运行具有很重要的意义，一旦服务器出现问题，就可以查看FTP日志，找到故障所在，及时排除。因此一定要启用FTP日志记录。,普通FTP服务器的安全配置一,三、正确设置用户访问权限,四、启用磁盘配额，限制FTP存储空间,五、TCP/IP访问限制，拒绝或只允许某些IP地址的访问。,六、合理设置组策略,1.审核账户登录事件,2.增强账号密码的复杂性,3.账号登录限制,普通FTP服务器的安全配置二

30、,一、对“本地服务器”进行设置,1.选中“拦截攻击和”,的安全性设置,当使用协议进行文件传输时，客户端首先向服务器发出一个“”命令，该命令中包含此用户的地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在命令中加入特定的地址信息，使服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果服务器有权访问该机器的话，那么恶意用户就可以通过服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是，也称跨服务器攻击。选中后就可以防止发生此种

31、情况。,在“高级”选项卡中，检查“加密密码”和“启用安全”是否被选中，如果没有，选择它们。“加密密码”使用单向函数（）加密用户口令，加密后的口令保存在或是注册表中。如果不选择此项，用户口令将以明文形式保存在文件中；“启用安全”将启动服务器的安全成功。,2.检查“加密密码”和“启用安全”是否被选中。,二、对域中的服务器进行设置,对每个账户的密码都提供了以下三种安全类型：规则密码、和。不同的类型对传输的加密方式也不同，以规则密码安全性最低。进入拥有一定管理权限的账户的设置中，在“常规”选项卡的下方找到“密码类型”下拉列表框，选中第二或第三种类型，保存即可。注意，当用户凭此账户登录服务器时，需要客户

32、端软件支持此密码类型，如 等，输入密码时选择相应的密码类型方可通过服务器验证。,1.选择合适的密码类型,的安全性设置二,2.谨慎设置主目录及其权限,凡是没必要赋予写入等能修改服务器文件或目录权限的，尽量不要赋予。,3.开启日志，并经常检查,在“日志”选项卡中将“启用记录到文件”选中，并设置好日志文件名及保存路径、记录参数等，以方便随时查询服务器异常原因。,Solaris 操作系统FTP漏洞,该方法利用了Solaris 操作系统中FTPD的一个BUG，使得用户可以获得该机的口令文件。具体过程如下：1.通过 ftp 正常登录到目的主机上 2.输入如下命令序列：ftp user root wrong

33、passwd ftp quote pasv 3.这时，ftpd会报错退出，同时会在当前目录下生成一个core，口令文件就包含在这个core中。4.再次进入FTP get core,Mail服务,SMTP和POP、IMAP都存在一定的问题从两方面理解：协议和服务端程序尤其以SMTP为讨论重点Mail服务是一种不安全的服务，因为它必须接受来自Internet的几乎所有数据,走进MS客户端-客户端风险评估,恶意电子邮件-MIME扩展Outlook缓冲区溢出Media Play缓冲区溢出VBS地址簿蠕虫,恶意邮件实例,Helo Mail froam:Rcpt to:DataSublect:Read m

34、eImportance:highMIME-Version:1.0Content-type:text/html;charset=us-asciiContent-Transfer-Encoding:7bitHi!.quit,通过下列命令执行：Type mail.txt|telnet IP 25,Outlook溢出,起源于vCard(一种电子名片)Outlook直接打开并运行附件中的vCards而不提示用户vCards存储于.vcf文件中，也是没有提示而直接运行的当vCards的生日字段(BDAY)超过55字符时，就会出现溢出对策：应用IE 5.5 sp2,媒体元文件,垃圾邮件泛滥成灾！,2003年

35、及2004年垃圾邮件异常猖狂垃圾邮件层出不穷形如用特殊字符分隔单词将文字保存在图片里html格式等反垃圾邮件软件依然不足人工智能算法/DNA算法实现依然复杂目前识别技术无法与人脑相比基于内容过滤的算法（如Bayes）对中文的处理能力依然薄弱。,垃圾邮件大量充斥着邮件队列！通信中断！损失大量合作机会！耗费大量网络资源，年损失几百亿美元！我们需要便宜、有效的手段遏止Spam!,NO SPAM！,什么技术可以胜任？,成本低,部署易,效能好,APF can!,APF 定义,APF=Antispam Policy Framework是一种利用综合策略分析SMTP信息，主要用于对付垃圾邮件的一套框架。AP

36、S=APF Service/System主要以Client/Server模式对外提供APF完整支持的服务体系，模式类似于RBL/DNS。,为什么设计APF?,RBL命中率不足，误判，即时性不够SPF依然是Draft，国内推广困难现有技术/框架使用部署成本很高内容过滤技术仍不足，有待改进分析发现SMTP阶段就可识别UCE,RBL的不足,RBL属于被动还击类技术99%的RBL都是国外组织维护中国IP被封杀严重准确率不够，易误杀面临IPV6问题,SPF的不足,SPF依然是草案(Draft)用户对SPF认知极其有限SPF涉及DNS修改，部署起来工程浩大国内绝大部分域名一定时期内都无法实施SPF域名注册

37、/管理商不提供SPF支持,反垃圾邮件部署成本高,企业自力开发/实施技术人员AntiSpam经验丰富综合利用多种技术管控整个团队，耗时耗力,购买软/硬件部署专用商业软/硬件非常昂贵!使用复杂且定制困难,内容过滤技术仍需改进,Bayes算法基于规则匹配加权类DNA遗传算法,分析发现SMTP阶段就可识别UCE,垃圾邮件样本分析结果：基于SMTP特征的准确率较内容过滤（使用Spam Assassin及自定义的规则）要高。特征例子伪造来信人(Sender)来自Open-relay主机正文变化多端，但都来自同一个ip地址某个时段发送大量邮件信头缺失或不符合RFC,统计分析结果(3-10月),UCE的SMT

38、P特征,缺乏必需信头的信件(Header-lacking)不符合RFC中关于电子邮件规定的信件（RFC-ignorant）错误的信件标记信息（Header-forgery）同样内容发送频率（Abnormal-rate）过高的信件。,APF设计宗旨,APF在设计过程中遵循了如下原则:集中/半集中式C/S数据交换结构难度适中的实现技术+良好的构思使用20%的精力去对付80%的Spam尽量使用现成的优秀自由软件方案/技术降低使用难度，提供尽可能高的灵活性,APF基本原理(1),三大部分构成MTAAPF客户端APF服务端(浅兰色标记）典型的Client/Server结构,主要运算/处理负载交给APF服

39、务端客户端非常简单,APF 基本原理(2),V1.0 APF服务端软件流水线串行工作任一异常即跳出缺点：只获得某个模块的判决结果不能综合判断,APF 基本原理(2),V2.0 APF服务端改进模块处理相互独立处理结果最后汇总相互结果不影响优点可进行加权用户高度定制结果便于综合分析,APF 基本原理(3),V1.0协议,APF 基本原理(3),V2.0 协议增补了一些新的属性名及策略调整,其他变化未来考虑增加诸如信件MD5，更细化的特征传递等,module1=fail/ok,reason stringmoduleN=fail/ok,reason string,(v2.0结果格式),APF 基本原

40、理(4),判决结果V1.0V2.0,action=4xx/5xx reason text link status,badhelo=DUNNOwhitelist=OKdnsbl=fail,blocked by bl.domain.tld,reason:ip4 addr string.mspf=fail,domain.tld was not designate ip4 addr.fakehelo=fail,reason:fqdn may be forgery for ip4 addr,应用APF的典型例子,S:log show:client connected C:HeloS:220 ESMTP(

41、No Spam)C:mail from:S:250 OkC:rcpt to:S:554 Forgery sender address!sender mx does not match your ip address,504 Helo command rejected:helo name does not match your ip address,client_address,helo_name,sender,recipient,(APF v1.0),APF的优势,综合成本低结构简单部署简便能灵活定制功能强大,域名服务,DNS服务是Internet上其它服务的基础DNS服务存在的主要安全问题名

42、字欺骗信息隐藏,名字欺骗,D,B,A（提供rlogin服务）,DNS服务器,Internet,主机B IPB,主机C IPC,解决域名服务安全性的办法,直接利用DNS软件本身具备的安全特性来实现以防火墙/NAT为基础，并运用私有地址和注册地址的概念,DATA服务,DATA服务器主要是存放数据库两个方面（以SQL Server为例）IDC的安全性使用NTFS分区给予用户执行日常任务所必需的最低等级的访问许可权强制执行口令和登录策略TCP/IP过滤防火墙及代理服务器 SQL本身的安全性问题,SQL Server安全规划,验证方法选择SQL Server的验证是把一组帐户、密码与Master数据库S

43、ysxlogins表中的一个清单进行匹配 访问标记是在验证过程中构造出来的一个特殊列表，其中包含了用户的SID（安全标识号）以及一系列用户所在组的SID,1 Web环境中的验证,第一种方法是为每一个网站和每一个虚拟目录创建一个匿名用户的NT帐户 第二种方法是让所有网站使用Basic验证第三种验证方法是在客户端只使用IE 5.0、IE 4.0、IE 3.0浏览器的情况下，在Web网站上和虚拟目录上都启用NT验证 第四种验证方法是如果用户都有个人数字证书，你可以把那些证书映射到本地域的NT帐户上,2 设置全局组,控制数据访问权限最简单的方法是，对于每一组用户，分别地为它创建一个满足该组用户权限要求

44、的、域内全局有效的组。除了面向特定应用程序的组之外，我们还需要几个基本组。基本组的成员负责管理服务器。创建了全局组之后，接下来我们可以授予它们访问SQL Server的权限,3 数据库访问控制,在数据库内部，与迄今为止我们对登录验证的处理方式不同，我们可以把权限分配给角色而不是直接把它们分配给全局组。这种能力使得我们能够轻松地在安全策略中使用SQL Server验证的登录。,4 分配权限,实施安全策略的最后一个步骤是创建用户定义的数据库角色，然后分配权限。完成这个步骤最简单的方法是创建一些名字与全局组名字配套的角色 创建好角色之后就可以分配权限。在这个过程中，我们只需用到标准的GRANT、RE

45、VOKE和DENY命令,5 简化安全管理,首选的方法应该是使用NT验证的登录，然后通过一些精心选择的全局组和数据库角色管理数据库访问简化安全策略的经验规则：用户通过SQL Server Users组获得服务器访问，通过DB_Name Users组获得数据库访问用户通过加入全局组获得权限，而全局组通过加入角色获得权限，角色直接拥有数据库里的权限需要多种权限的用户通过加入多个全局组的方式获得权限。,首先你必须对操作系统进行安全配置，保证你的操作系统处于安全状态然后对你要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本最后安装SQL Server2000后请打上补丁SP以及

46、最新的SP2,6 SQL安全配置,7 SQL安全配置续（1）,使用安全的密码策略 使用安全的帐号策略加强数据库日志的记录管理扩展存储过程 使用协议加密,7 SQL安全配置续（2）,不要让人随便探测到你的TCP/IP端口 修改TCP/IP使用的端口 拒绝来自1434端口的探测 对网络连接进行IP限制,Oracle数据库安全策略,数据库备份所使用的结构Oracle数据库使用几种结构来保护数据：书库后备、日志、回滚段和控制文件在线日志一个Oracle数据库的每一实例有一个相关联的在线日志。一个在线日志有多个在线日志文件组成归档日志Oracle要将填满的在线日志文件组归档时，则要建立归档日志。,Ora

47、cle数据库安全策略续（1）,Oracle的数据安全 逻辑备份 数据库的逻辑备份包含读一个数据库记录集和将记录集写入文件 物理备份 物理备份包含拷贝构成数据库的文件而不管其逻辑内容.它分为脱机备份（offline backup）和联机备份（online backup）,Oracle数据库安全策略续（2）,Oracle数据库的角色管理通过验证用户名称和口令，防止非Oracle用户注册到Oracle数据库，对数据库进行非法存取操作授予用户一定的权限，限制用户操纵数据库的权力授予用户对数据库实体的存取执行权限，阻止用户访问非授权数据提供数据库实体存取审计机制，使数据库管理员可以监视数据库中数据的存取

48、情况和系统资源的使用情况采用视图机制，限制存取基表的行和列集合,Oracle数据库安全策略续（3）,用户角色管理对所有客户端按工作性质分类，分别授予不同的用户角色对不同的用户角色，根据其使用的数据源，分别授予不同的数据库对象存取权限,远程登录服务,远程登录服务是指通过某种端口协议为远程客户端提供执行系统命令的服务常见的远程登陆服务包括Telnet终端服务PcAnywhererloginSSH 协议漏洞、服务程序漏洞等问题,Windows 2000终端服务,TS(Terminal Service)工作于3389端口TS基于RDP(Remote Desktop Protocol)实现终端服务不是使

49、用HTTP或HTTPS的，而是通过RDP通道实现TS监听端口可以自己指定HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp值-PortNumber REG_WORD 3389(默认),终端服务安全,输入法漏洞造成的威胁,net user abc 123/addnet localgroup administrators abc/add注册表DontDisplayLastUserName 1,针对TS的攻击,密码猜测攻击风险(TSGrinder)权限提升风险(PipeUpAdmin、GetAdmin)IME攻击风险

50、RDP DoS攻击风险,SMB服务-连接与验证过程,随机生成一把加密密钥key(8或16字节),采用DES的变形算法，使用key对密码散列进行加密,SMB提供的服务,SMB会话服务TCP 139和TCP 443端口 SMB数据报支持服务UDP 138和UDP 445端口SMB名称支持服务UDP 137端口SMB通用命令支持服务,开放SMB服务的危险,SMB名称类型列表(1),SMB名称类型列表(2),强化SMB会话安全,强制的显式权限许可：限制匿名访问控制LAN Manager验证使用SMB的签名服务端和客户端都需要配置注册表,Netbios的安全设置,取消绑定文件和共享绑定打开 控制面板网络