【培训课件】网络安全培训P177.ppt
《【培训课件】网络安全培训P177.ppt》由会员分享,可在线阅读,更多相关《【培训课件】网络安全培训P177.ppt(177页珍藏版)》请在三一办公上搜索。
1、网络安全培训,http:/,主要内容,网络安全的概念安全的网络常见网络攻击的介绍常见主机攻击介绍安全的主机网络监测事故处理案例分析FAQ,http:/,计算机安全简介,http:/,安全?,什么是计算机安全?谁定义计算机安全?计算机安全(公安部定义1994):计算机系统的硬件、软件和数据受到保护,不因偶然或恶意的原因而遭到破坏、更改、显露,系统不能连续正常运行。计算机安全的含义(1991):避免窃取和破坏硬件避免窃取和破坏信息避免破坏服务,http:/,保密性、完整性和服务失效,保密性:防止信息在非授权情况下的泄漏。完整性:保护信息使其不致被篡改或破坏。服务失效:临时降低系统性能、系统崩溃而需
2、要人工重新启动、因数据永久性丢失而导致较大范围的系统崩溃。,http:/,可信系统的评价准则,http:/,计算机安全的内容,计算机实体安全软件安全数据安全运行安全环境安全,http:/,网络安全概述,http:/,网络安全概述,什么是网络安全?谁定义网络安全?体系是网络安全的重要特性安全需求和安全政策,http:/,主要的网络安全体系,安全管理制度安全域边界管理数据安全体制安全监测分析系统病毒防护?自动安全管理系统?,http:/,网络安全体系示意,http:/,不同体系所面对的威胁,不同体系面对不同来源的威胁管理制度面对人的威胁边界管理面对来自网络外部的威胁数据安全体制主要针对内部或外部信
3、道的威胁(此外,防止泄密、进行鉴别等)安全监测系统用于发现和补救存在的危险,http:/,威胁从何而来?,安全的模糊性网络的开放性产品的垄断性技术的公开性人类的天性,http:/,安全的模糊性,安全是相对的,不易明确安全的目标安全是复杂的,不易认清存在的问题安全是广泛的,不易普及安全的知识,http:/,网络的开放性,互联机制提供了广泛的可访问性Client-Server模式提供了明确的攻击目标开放的网络协议和操作系统为入侵提供了线索用户的匿名性为攻击提供了机会,http:/,产品的垄断性,工业界试图将专用技术引入Internet以获得垄断地位,从而将开放式的环境演变为商品化的环境,如Acti
4、ve X。专用技术的细节通常受到有关厂家的保护,因而缺乏广泛的安全讨论,容易出现安全缺陷,例如Active X允许进行控件下载,又缺乏对控件的运行约束。,http:/,技术的公开性,如果不能集思广益,自由地发表对系统的建议,则会增加系统潜在的弱点被忽视的危险,因此Internet要求对网络安全问题进行坦率公开地讨论。基于上述原则,高水平的网络安全资料与工具在Internet中可自由获得。,http:/,人类的天性,好奇心、显示心惰性和依赖心理家丑不可外扬,http:/,安全管理制度,木桶原则:木桶盛水的高度等于其最短的木板的长度安全链条:链条的强度等于其最弱一环的强度“人”是最短的木板和最弱的
5、一环!,http:/,网络边界安全,http:/,网络边界安全,使用防火墙!?什么是防火墙!?机房里用防火砖砌的墙?不同的人对防火墙有不同的定义!一种定义:防火墙是允许或不允许特定信息通过网络的某一关键路径的访问控制政策,http:/,防火墙和关键路径,关键路径可以是物理的也可以是逻辑的,http:/,防火墙体系,IP Packet Filter(如路由器中的access list),堡垒主机、多协议过滤器(如checkpoint防火墙),应用级防火墙(如Proxy、分裂的DNS,Sendmail、WEB过滤的Gaunlet防火墙),参考OSI模型的近似防火墙分层体系,http:/,信息安全与
6、网络安全,http:/,数据安全,数据保密:密码体制。内容完整:数字签名,信息摘录。无否认:公证机制,审计功能,数字签名。,http:/,网络安全,传输安全:数据保密,内容完整;访问安全:身份认证,访问控制;运行安全:基础设施的可靠性,安全监测。,http:/,访问控制,用于限定对网络的使用,包括对某个用户进行访问控制;和对某个资源进行访问控制。端系统访问控制自主访问控制强制访问控制基于角色的访问控制政策网络的访问控制:防火墙技术,http:/,构建安全的网络,http:/,构建安全的网络,明确安全需求制定安全政策在边界建立符合安全政策的防火墙体系划分内部的安全政策域对特定的主机节点进行加固使
7、用合理的访问控制政策、鉴别机制和数据安全体制建立有效的可承受的监测体制,http:/,明确安全需求,不同的网络安全需求是不同的安全需求是建立安全政策的基础例如校园网可以有:保证网络的可用:路由器不瘫痪、邮件发送正常等等保证网络用户使用的可管理防止出现异常的流量导致异常的费用防止对核心服务器的攻击,以保护学校的声望对学校某学生的机器不特别关心,除非他报案,http:/,制定安全政策,根据安全需求制定安全政策安全政策可以是形式化的,也可以是口语化的安全政策表示的是什么是允许的什么是不允许的例如(可以不用书面定义,可以包括所采用的技术手段的种类):在边界使用防火墙,允许内部注册用户的对外访问,禁止随
8、意的对内部访问等内部开发网段使用SSH作为数据安全手段鉴别采用口令认证的方式,http:/,在边界建立符合安全政策的防火墙体系,http:/,划分内部的安全政策域,例如某公司可以划为:用户上网域、服务器域、开发域等,Internet,路由器,WWW、SMTP,内部开发区,服务器域(DMZ),用户上网区,服务器开发服务器禁止开发 禁止(允许FTP),http:/,对特定的主机节点进行加固,对特殊位置的主机必须进行加固如上例WWW服务器和Mail服务器对于内部开发服务器也需要加固可以制定一定的制度,要求内部员工也对各自的主机进行加固,http:/,使用合理的访问控制、鉴别机制和数据安全体制,建立授
9、权访问控制的政策,例如:哪些人可以访问哪些信息、权限如何等选择内部或外部使用的鉴别机制,例如口令机制、证书、LDAP、NIS选择使用或不使用数据安全体制,使用哪种数据安全体制,例如CA、KDC。如采用Kerberos(KDC),http:/,建立有效的可承受的监测体制,使用不使用安全监测系统基于网络还是基于主机的安全监测系统例如:在边界上使用基于网络的入侵检测系统在服务器上使用基于主机的安全状态检查系统等等,http:/,总结,计算机安全是指对计算机硬件、软件和数据的保护网络安全是成体系的网络边界的管理常常使用防火墙体系信息安全依靠数据安全体系保障安全监测体系可以用于发现系统漏洞和入侵行为根据
10、安全需求和安全政策建立相对安全的网络,http:/,常见攻击介绍,针对网络的攻击拒绝服务攻击(Deny of Service)针对主机的攻击缓冲区溢出攻击(buffer overflow)后门和木马(backdoor&Trojan)蠕虫、病毒,http:/,网络入侵的步骤,(简单服务失效攻击)获取目标系统信息从远程获取系统的部分权利从远程获取系统的特权清除痕迹留后门破坏系统,http:/,常见网络攻击 DoS,消耗有限资源网络链接带宽消耗其他资源处理时间磁盘空间账号封锁配置信息的改变,http:/,DoS分类,Syn flood其他flood(smurf等)分布式DoS(DDoS),http:
11、/,Syn flood 攻击原理,攻击TCP协议的实现攻击者不完成TCP的三次握手服务器显示TCP半开状态的数目与带宽无关通常使用假冒的源地址给追查带来很大的困难,http:/,TCP Three-Way Handshake,Client initiates request,Connection is now half-open,Client connection Established,Server connection Established,Client connecting to a TCP port,http:/,SYN Flood Illustrated,Client spoofs
12、 request,half-open,half-open,half-open,Queue filled,Queue filled,Queue filled,Client SYN Flood,http:/,Syn flood攻击实例,服务器很容易遭到该种攻击南邮“紫金飞鸿”曾遭受该攻击的困扰,http:/,SYN Flood Protection,Cisco routersTCP 截取截取SYN报文,转发到server建链成功后在恢复client与server的联系Checkpoint Firewall-1SYN Defender与Cisco 路由器的工作原理累死攻击者依然可以成功耗尽路由器或者
13、防火墙的资源,http:/,TCP Intercept Illustrated,Request connection,Answers for server,Finishes handshake,Request connection,Server answers,Finishes handshake,http:/,SYN Flood Prevention,增加监听队列长度依赖与操作系统的实现将超时设短半开链接能快速被淘汰有可能影响正常使用采用对该攻击不敏感的操作系统BSDWindows,http:/,Smurf 攻击原理,一些操作系统的实现会对目的地址是本地网络地址的ICMP应答请求报文作出答复
14、。以网络地址为目标地址发送ICMO应答请求报文,其中很多主机会作出应答。攻击者将ICMP报文源地址填成受害主机,那么应答报文会到达受害主机处,造成网络拥塞。,http:/,Smurf Attack Illustrated,ICMP Echo Request,Attacker spoofs address,Amplifier:Every host replies,http:/,Smurf攻击的预防,关闭外部路由器或防火墙的广播地址特性;防止目标地址为广播地址的ICMP报文穿入。成为smurf攻击的目标,需要在上级网络设备上做报文过滤。,http:/,分布式DoS(Distributed DOS)
15、,从多个源点发起攻击堵塞一个源点不影响攻击的发生采用攻击二级结构攻击控制用的称为 handlers发起攻击用的 agents攻击目标为targets,http:/,DDOS Illustrated,Client,Agent,Handler,Agent,Agent,Handler,Agent,Agent,Agent,http:/,DDoS攻击,目前没有 很好的预防方法DDoS攻击开销巨大但是一般主机不可能成为DDoS的目标Yahoo曾经遭受过DDoS攻击Sadmind/unicode蠕虫为DDoS做准备,http:/,针对主机的攻击,缓冲区溢出后门和木马蠕虫、病毒,http:/,缓冲区溢出,程序
16、收到的参数比预计的长程序的栈结构产生混乱任意输入会导致服务器不能正常工作精心设计的输入会导致服务器程序执行任意指令,http:/,Buffer Overflow Illustrated,main()show(“THIS IS MORE THAN 24 CHARACTERS!”);show(char*p)strbuff24;strcpy(strbuf,p);,main()data,main()return,Saved register,Show()dataStrbuf24 bytes,strcpy()return,E R S!,T H I S.I S.M O R E.T H AN.2 4.C H
17、 A,R A C T,Return address corrupt,http:/,缓冲区溢出的预防,联系供应商下载和安装相关的补丁程序如果有源代码自己修改源代码,编译安装,http:/,后门和木马,应用背景:攻入系统之后,为以后方便、隐蔽的进入系统,有时候攻击者会在系统预留后门。Trojan horse:A program that appears to serve one purpose,but it reality performs an unrelated(and often malicious)task.,http:/,后门、木马技术获得系统控制权之后,可以做什么?,修改系统配置修改文
18、件系统添加系统服务,后门技术通常采用以上的手段或其组合。,http:/,后门、木马的检测和预防,MD5 基线给干净系统文件做MD5校验定时做当前系统的MD5校验,并做比对入侵检测系统后门活动有一定的规律安装入侵检测系统,一定程度上能够发现后门从CD-ROM启动防止后门隐藏在引导区中,http:/,蠕虫,能够自行扩散的网络攻击程序各种攻击手段的组合有时候为DDoS做攻击准备具体问题具体分析,http:/,一个蠕虫实例,第一步,随机生成IP作为二级受害主机的超集,对这些IP所在的C类网段的111口进行横向扫描(检测是否存在rpc服务),保存结果,获得存在rpc服务的主机集合;第二步,对上述存在rp
19、c服务的主机,检测是否运行sadmind服务,保存检测结果,获得存在sadmind服务的主机集合,即二级受害主机集合一;第三步,对二级受害主机集一以轮询方式尝试sadmind栈溢出攻击;,http:/,蠕虫实例(续上),第四步,检查栈溢出攻击是否成功。如果成功则进行第五步(扩散攻击系统)否则跳第九步(进行另一种攻击尝试);第五步,sadmind栈溢出攻击成功后,攻击程序可以通过登录二级受害主机的600口获得一个具有超级用户权限的shell。攻击程序利用这个shell,添加二级受害主机对一级受害主机的信任关系,使一级受害主机可以执行二级受害主机的远程shell指令。,http:/,一个蠕虫实例(
20、续上),第六步,一级受害主机将攻击代码上载至二级受害主机,设置二级受害主机的攻击环境,修改系统启动文件并且消除入侵痕迹。第七步,一级受害主机远程启动二级受害主机的攻击进程。由于在第六步中,一级受害主机设置了二级受害主机的攻击环境、修改了系统配置,因此,二级受害主机不能通过重新启动系统阻止CUC攻击的扩散。这样,二级受害主机迅速完成了从受害者到“帮凶”的角色转换。,http:/,一个蠕虫实例(续上),第八步,一级受害主机发现它作为攻击者已经成功的感染了一定数量的主机(目前已发现版本的数量为2000)后,允许自身暴露。第九步,随机生成IP作为二级受害主机的超集,对这些IP所在的C类网段的80口进行
21、横向扫描(检测是否为WWW服务器),保存结果,获得存在WWW服务的主机集合(即二级受害主机集合二);第十步,对二级受害主机集合尝试UNICODE攻击(该攻击针对Windows NT系列系统),试图修改其主页。,http:/,攻击示意图,http:/,UNIX简史,http:/,UNIX安全管理基本原则,好的安全管理起始于安全规划危险评估哪些需要被保护?他们有多大的价值?要使他抵御什么样的危险?怎样来保护?,http:/,UNIX安全管理基本原则(续上),成本收益分析用户培训了解社会工程管理员素质培养遵守安全守则,http:/,安全的主机(UNIX),主机的安全配置配置管理服务裁剪主机的安全管理
22、日常安全管理系统审计常用工具介绍,http:/,UNIX的安全配置,帐号管理文件系统的管理服务管理,http:/,一个UNIX防御模型,http:/,UNIX帐号管理,侵入系统最简洁的方式是获得系统帐号选择安全的口令最安全的口令是完全随机的由字母、数字、标点、特殊字符组成选择的口令要经得住两层攻击依据个人信息猜测用口令猜测程序猜测,http:/,UNIX帐号管理(续上),口令禁忌不要选择字典中的单词不要选择简单字母组合(abcdef等)不要选择任何指明个人信息的口令不要选择包含用户名的口令尽量不要短于6个字符不要选择全大写或者全小写的组合,http:/,UNIX帐号管理(续上),好的口令不能短
23、于6个字符选择包含非字母字符的口令选择一个容易记住而不必写下来的口令选择一个易于输入的口令口令不能落纸关闭不必要的帐号,http:/,UNIX文件系统安全,定义用户安全级别系统文件的访问控制重要数据的备份和加密存放重要数据一定要做分机备份外部可访问主机的重要数据需要加密存放,http:/,UNIX文件系统安全,Web server,学生资料库,internet,http:/,UNIX启动过程,UNIX启动(Redhat 6.0 Linux 2.2.19 for Alpha/AXP)Bootloader Kernel引导入口 核心数据结构初始化-内核引导第一部分外设初始化-内核引导第二部分ini
24、t进程和inittab引导指令rc启动脚本getty和loginbash,http:/,UNIX服务配置,基本原则尽量关闭不必要的服务服务越多,被攻入的可能性越大服务裁剪参考UNIX的启动过程减弱inetd的能力消弱cron中定时启动的服务,http:/,服务裁剪linux,把/etc/inetd.conf中的大部分服务都注释掉,仅仅保留所需要的部分服务。在该配置文件中没有不可以注释的部分。在一般情况下可以保留telnet、FTP,以及其它该服务器所提供的特殊服务,如DNS服务器的named等等 注释方法为:在不使用的服务前加#,http:/,服务裁剪linux(cont.),需要注意:Lin
25、ux自身携带的FTPd在许多版本中有安全漏洞。reboot系统 Linux各版本内核注释方法基本相同。,http:/,服务裁剪linux(cont.),超级用户(root)直接使用命令:linuxconf 选择Control(Control Panel)Control service activity仅保留以下服务:inet,keytable,kudzu,linuxconf(即该配置界面),network,syslog。此外,部分Linux也可以在控制台上使用setup命令进行配置。如果可以使用setup则linuxconf服务建议关闭。,http:/,服务裁剪Solaris,为了系统安全,尽
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 培训课件 培训 课件 网络安全 P177
链接地址:https://www.31ppt.com/p-5734738.html