《网络安全建设》PPT课件.ppt

《《网络安全建设》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《网络安全建设》PPT课件.ppt（55页珍藏版）》请在三一办公上搜索。

1、网络安全建设,中国教育和科研计算机网应急响应组CCERT 清华大学信息网络工程研究中心张千里,目录,网络安全简介垃圾邮件的预防如何防止扫描和DOS攻击系统安全管理和入侵的防范网络安全常用工具CCERT简介,网络安全简介,网络安全概念常见的网络安全问题垃圾邮件危害DOS、扫描危害蠕虫危害,网络安全概念,信息安全保密性、完整性、可用性、可信性把网络看成一个透明的、不安全的信道系统安全：网络环境下的端系统安全网络安全网络的保密性：存在性、拓扑结构等网络的完整性：路由信息、域名信息网络的可用性：网络基础设施计算、通信资源的授权使用：地址、带宽,常见的网络安全问题,垃圾邮件UCE:Unsolicited

2、 Commercial EmailUBE:Unsolicited Bulk EmailSpam网络扫描和拒绝服务攻击端口扫描和缺陷扫描DDOS、DOS入侵和蠕虫蠕虫：Lion、nimda、CR II系统缺陷,垃圾邮件危害,网络资源的浪费欧洲委员会公布的一份报告，垃圾邮件消耗的网络费用每年高达100亿美元 资源盗用利用他人的服务器进行垃圾邮件转发威胁网络安全DOS攻击,DOS、扫描危害,占用资源占用大量带宽服务器性能下降影响系统和网络的可用性网络瘫痪服务器瘫痪往往与入侵或蠕虫伴随缺陷扫描DDOS,入侵、蠕虫造成的危害,信息安全机密或个人隐私信息的泄漏信息篡改可信性的破坏系统安全后门的存在资源的丧

3、失信息的暴露网络安全基础设施的瘫痪,垃圾邮件的预防,垃圾邮件特点邮件转发原理配置Sendmail关闭转发配置Exchange关闭转发,垃圾邮件特点,内容：商业广告宗教或个别团体的宣传资料发财之道,连锁信等 接收者无因接受被迫接受发送手段信头或其它表明身份的信息进行了伪装或篡改通常使用第三方邮件转发来发送,邮件转发原理,配置Sendmail关闭转发（一）简介,Sendmail 8.9以上版本/etc/mail/relay-domains/etc/mail/accessSendmail 8.8以下版本升级Sendmail其它版本配置Sendmail缺省不允许转发编辑相应的允许转发IP列表,配置Se

4、ndmail关闭转发（二）Mc文件样例,divert(0)dnlVERSIONID(#)generic-solaris2.mc 8.8(Berkeley)5/19/1998)OSTYPE(solaris2)dnlDOMAIN(generic)dnlFEATURE(access_db,dbm-o/usr/local/etc/mail/access)define(confPRIVACY_FLAGS,authwarnings,goaway,noexpn,novrfy)dnlMAILER(local)dnlMAILER(smtp)dnl,配置Sendmail关闭转发（三）Sendmail配置,Send

5、mail.cw配置邮件服务器所接受的域名Relay-domains配置邮件服务器可以转发的地址202.112.50.Access允许对某一个来源地址进行配置REJECT、RELAY、OK、”msg”,配置Sendmail关闭转发（四）access文件样本,550:bad user name202.112.55.RELAY202.112.55.66REJECT,配置Sendmail关闭转发（五）Sendmail使用,建立别名编辑aliases文件Sendmail v bi初始化启动Sendmail bd q1h使用access数据库Makemap dbm/etc/mail/access/etc/

6、mail/access,配置Exchange关闭转发（一）,Exchange Server 5.0 或以前版本 升级邮件系统Exchange Server 5.5 以上选择 Reroute incoming SMTP mail,配置Exchange关闭转发（二）,填入所服务的域点击Routing Restrictions,如何防止DOS和扫描,扫描简介拒绝服务攻击简介分布式拒绝服务攻击DOS和扫描的防范攻击取证和报告,扫描简介,缺陷扫描目的是发现可用的缺陷Satan、SSCANNmap-O服务扫描目的是为了发现可用的服务WWW scanftp scanProxy scan,拒绝服务攻击简介,洪

7、水式DOS攻击SYN floodSmurf利用系统或路由器缺陷DoS 攻击Windows:IGMP fragmentation,OOBLinux:teardrop Solaris:ping of death分布式拒绝服务攻击往往既利用系统或者路由器的缺陷产生大规模的洪水式攻击两方面的危害：被攻击者和被利用者,分布式拒绝服务（DDOS）,以破坏系统或网络的可用性为目标常用的工具：Trin00TFN/TFN2K Stacheldraht很难防范伪造源地址，流量加密，因此很难跟踪,client,target,DOS和扫描的防范（一）路由器,访问控制链表基于源地址/目标地址/协议端口号路径的完整性防止

8、IP假冒和拒绝服务（Anti-spoofing/DDOS）检查源地址：ip verify unicast reverse-path 过滤RFC1918 地址空间的所有IP包；路由协议的过滤与认证Flood 管理利用QoS的特征防止Floodinterface xyz rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply,DOS和扫描的防范（二）入侵检测和

9、防火墙,入侵检测工具了解情况提供报告依据指导应对政策防火墙建立访问控制个人防火墙,攻击取证和报告,系统取证Syslog系统日志Netstat连接情况CPU、Mem使用情况网络取证Tcpdump路由器、防火墙纪录入侵检测系统报告责任方对方CERT或本辖区CERT对方责任人whois,系统安全管理和入侵防范,Windows系统安全管理UNIX系统安全管理路由器安全管理如何检验入侵蠕虫的危害及防范,Windows安全管理（一）,操作系统更新政策安装最新版本的补丁Service Pack;安装相应版本所有的 hotfixes跟踪最新的SP 和 hotfix病毒防范安装防病毒软件，及时更新特征库政策与用

10、户的教育：如何处理邮件附件、如何使用下载软件等账号和口令管理口令安全策略:有效期、最小长度、字符选择账号登录失败n次锁定关闭缺省账号，guest,Administrator,Windows安全管理（二）,Windows服务管理Terminal Server中文输入法缺陷网络共享Nimda等一些蠕虫和和病毒IISUNICODE(nimda、Code Blue)Index Service(CR I、CR II),Windows安全管理（三）,操作系统更新http:/局域网防火墙配置防火墙/路由器，封锁不必要的端口：TCP port 135,137,139 and UDP port 138.基于主机

11、的访问控制Windows 2000自带个人防火墙,Unix安全管理（一）,相应版本的所有补丁账号与口令关闭缺省账号和口令：lp,shutdown等shadow passwd用crack/john等密码破解工具猜测口令（配置一次性口令）网络服务的配置：/etc/inetd.conf,/etc/rc.d/*TFTP 服务 get/etc/passwd匿名ftp的配置关闭rsh/rlogin/rexec 服务关闭不必要的 rpc 服务安装sshd，关闭telnet。NFS export,Unix安全管理（二）,操作系统更新Solaris：ftp:/Redhat：up2date常见安全问题Solari

12、s各种RPC服务LinuxprinterNamedWu-ftpd,路由器安全管理（一）,认证口令管理使用enable secret,而不用enable passwordTACACS/TACACS+,RADIUS,Kerberos 认证控制交互式访问控制台的访问：可以越过口令限制；远程访问telnet,rlogin,ssh,LAT,MOP,X.29,Modem虚拟终端口令保护：vty,tty：login，no password 只接收特定协议的访问，如transport input ssh设置允许访问的地址：ip access-class 超时退出：exec-timeout 登录提示：banne

13、r login,路由器安全管理（二）,关闭没有必要的服务small TCPno service tcp-small-servers:echo/chargen/discardfinger,ntp 邻机发现服务（cdp）审计SNMP 认证失败信息，与路由器连接信息：Trap系统操作日志：system logging:console,Unix syslogd,违反访问控制链表的流量操作系统更新路由器IOS 与其他操作系统一样也有BUG,怎样检测系统入侵,察看登录用户和活动进程w,who,finger,last 命令ps,crash寻找入侵的痕迹last,lastcomm,netstat,lsof,/

14、var/log/syslog，/var/adm/messages,/.history查找最近被修改的文件：find检测sniffer 程序ifconfig,cpm,蠕虫的危害及防范（一）蠕虫简介,Morris蠕虫事件发生于1988年，当时导致大约6000台机器瘫痪主要的攻击方法Rsh，rexec：用户的缺省认证Sendmail 的debug模式Fingerd的缓冲区溢出口令猜测CR II蠕虫感染主机全球超过30万台导致大量网络设备瘫痪,蠕虫的危害及防范（二）Lion蠕虫,出现于今年四五月间造成网络的针对53端口大面积扫描主要行为利用Bind 安全缺陷入侵扫描一段B类网络之后出现了很多类似的蠕虫

15、Raemon蠕虫Sadmind 蠕虫解决方法：更新Linux bind服务器,蠕虫的危害及防范（三）CR I,主要影响Windows NT系统和Windows 2000主要影响国外网络据CERT统计，至8月初已经感染超过25万台主要行为利用IIS 的Index服务的缓冲区溢出缺陷进入系统检查c:notworm文件是否存在以判断是否感染中文保护（是中文windows就不修改主页）攻击白宫！解决方法：更新Windows 2000、NT操作系统和杀毒工具,蠕虫的危害及防范（三续）CR II,Inspired by CR I影响波及全球国内影响尤其广泛主要行为所利用缺陷相同只感染windows2000

16、系统，由于一些参数的问题，只会导致NT死机休眠与扫描：中文windows，600个线程,Code Red 扩散速度（）,Code Red v 1扩展速度（7.19-7.20),蠕虫的危害及防范（四）nimda,主要特点综合了各种攻击和传染方法第一款既有蠕虫特征又有病毒特征的恶意代码影响面遍及全球主要行为群发电子邮件，付病毒扫描共享文件夹，扫描有漏洞的IIS,扫描有Code Red后门的IIS Server,蠕虫的危害及防范（五）蠕虫的防范,完善的安全政策定期更新杀毒工具邮件、网络共享的安全使用规范系统责任人和权限设置有效的应对措施与辖区CERT保持及时联系首先设法避免蔓延利用访问控制建立停火区

17、,常用网络安全工具介绍,入侵检测系统网络入侵检测系统其它入侵检测系统风险评估和端口扫描防火墙安全传输,网络入侵检测系统,Tcpdump可以得到数据包的原始记录需要较多的经验Snort可配置性强，检测多种入侵，免费误警率高Realsecure用户界面好，误警率低，稳定的技术支持贵,其它入侵检测系统,基于主机的入侵检测系统Syslog+grepSnort win32版文件完整性检查系统tripware,风险评估和端口扫描,端口扫描工具Nmap：功能强大、速度快Strobe：使用简单端口和进程对应工具LsofSocklistfport缺陷扫描系统Satancops,防火墙,网络防火墙Linux：ip

18、chains、netfilter其它UNIX操作系统：ipfilter商用防火墙NetscreenCheckpoint单机防火墙Zonealarm天网防火墙绿色警戒Win2000自带,安全传输,SSH/OPENSSH远程连接的安全版本也可以用来建立安全隧道进行安全数据传输SSL目前主要用于WWW服务的安全数据传输stunnelVPN,安全应急响应服务,应急响应服务的诞生CERT/CC1988年Morris 蠕虫事件直接导致了CERT/CC的诞生CERT/CC服务的内容安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、

19、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT（也称IRT、CERT）组织建设,CERT/CC简介,现有工作人员30多人，12年里处理了288,600 封Email,18,300个热线电话，其运行模式帮助了80多个CSIRT组织的建设,国际安全应急响应,国外安全事件响应组（CSIRT）建设情况DOE CIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT,NavyCIRT亚太地区：AusCERT、SingCERT等FIRST（1990）FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方

20、案。80多个正式成员组织，覆盖18个国家和地区从FIRST中获益的比例与IRT愿意提供的贡献成比例两个正式成员的推荐,国内安全事件响应组织,计算机网络基础设施已经严重依赖国外；由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织国内的应急响应服务还处在起步阶段CCERT（1999年5月），中国第一个安全事件响应组织NJCERT（1999年10月）中国电信ChinaNet安全小组解放军，公安部安全救援服务公司中国计算机应急响应组/协调中心CNCERT/CC信息产业部安全管理中心，2000年3月，北京,中国教育和科研计算机网紧急响应组CCERT,应急处理、与您同行,中国教育和科研计算机网紧急响应组(CCERT)处理教育和科研计算机网络的安全事件，进行紧急响应联系方法：中国防病毒中心主要处理各种病毒方面的防止和预防，沟通用户和厂商联系方法：,谢谢！,