安全评估工具及方法介绍.ppt
《安全评估工具及方法介绍.ppt》由会员分享,可在线阅读,更多相关《安全评估工具及方法介绍.ppt(125页珍藏版)》请在三一办公上搜索。
1、,安全评估工具及方法介绍,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,安全风险评估三要素,资产,“资产”定义电信网和互联网及相关系统资产是具有价值的资源,是安全防护体系保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。,资产识别资产是具有价值的资源,是安全策略保护的对象。风险评估中,首先需要将电信网和互联网及相关系统资产进行恰当的分类,以此为基础进行下一步的风险评估。,资产分类及示例,威胁,威胁是一种对资产构成潜在破坏的可能性因素,是客观存在的。威胁可以通过威胁主体、动机、途径等多
2、种属性来描述。威胁可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的网络威胁有盗取帐号密码、冒名顶替、病毒、特洛伊木马、错误路由、火灾、水灾等。,威胁赋值,威胁分类及示例,脆弱性,“脆弱性”定义脆弱性是电信网和互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危及资产的安全。,脆弱性赋值,威胁利用脆弱性示例,风险值计算相乘法,风险值计算方法-相乘法,风险值 资产价值 威胁值 脆弱性值风险值的取值范围为1-125,风险值等级化处理,确定风险值对应的风险等级。,安全评估,
3、网络安全,主机安全,应用安全,数据安全,物理安全,各层的安全需求:1、保证本层自身的安全;2、实现本层对上层的安全支撑;3、增强对上层安全侵害的抵抗能力;4、尽可能减少本层对下层的安全依赖;5、尽可能减少本层对下层的安全侵害;,单系统评估风险评估实施流程图,风险评估规范的依据,风险评估方法,工具评估人工检查资料分析访谈问卷调查渗透测试,工具评估,目的:以网络扫描的方式,发现易于被攻击者利用的安全风险;要求:尽可能和被扫描设备之间无访问控制扫描影响:对网络资源的影响在5%以下,对系统资源的影响在3%以下;,人工评估,目的:对工具评估结果进行分析;查找工具评估无法发现的安全漏洞;了解系统配置信息,
4、为安全加固做准备;查看系统受攻击情况;要求:以系统管理员方式登陆系统评估影响:不对系统进行任何更改,没有影响;,风险规避措施,评估前要求对重要系统进行有效备份;扫描中不使用DoS扫描策略;对重要业务系统选择业务量比较小的时间段进行评估;双机热备系统分别扫描,确认工作正常后再继续扫描;发现问题,及时中止,确认问题解决后再继续扫描,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,什么是扫描器,什么是扫描器黑客实施盗窃之前,最先进行的工作窥探,利用扫描器可以收集到:操作系统类型、开放端口、开放服务及版本号、共享目录,无疑扫描器成了黑客的帮
5、凶!但扫描器无罪,关键看掌握在谁的手里;,什么是扫描器,安全管理者眼中的扫描器知己知彼,百战不殆。通过扫描器可以对己方的安全隐患了如指掌;利用扫描器提供的漏洞修补建议,完成系统的加固;防范未授权的扫描:部署防火墙、IDS等;与其它产品联动:防火墙阻断主机、IDS入侵事件过滤;,主流扫描器,ISSSSSWebRavorLinktrust Network ScannerXSCANSPUER-SCANNMAPNESSUS流光,X-Scan,X-Scan,NESSUS,NESSUS,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,主要检查项
6、,补丁与版本用户与口令服务状况安全配置系统日志主要应用软件被攻击情况检查,版本与补丁,版本查看办法“我的电脑”属性”开始菜单“管理工具”计算机管理系统信息系统摘要补丁查看办法通过在线Windows Update,检查有哪些安全更新需要安装通过“控制面板”添加/删除软件”查看已经安装了哪些补丁通过注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdates通过其它工具,用户与口令,确保禁用Guest等账户;检查用户所属的组,关注administrators组;,用户与口令,C:winntrepairsam文件,服务状况,“管理工具”服务需要关注的服务Alerter、
7、messenger、snmp、remote registry service、routing and remote access、run as、telnet、ftp、smtp、nntp、terminal service、www其他远程服务、可疑的服务远程管理服务Terminal service、pcanywhere、netmeeting等共享服务C:net share“管理工具”计算机管理”共享”注意共享访问权限,安全配置,安全选项“管理工具”“本地安全策略”“安全设置/本地策略/安全选项”对匿名连接的额外限制;允许在未登录前关机;是否显示上次登录帐号;LAN Manager身份验证级别;发送
8、未加密的密码以连接到第三方SMB服务器;允许弹出可移动NTFS媒体;在断开会话之前所需的空闲时间;如果无法记录安全审计则立即关闭系统;登录屏幕上不要显示上次登录的用户名;禁用按CTRL+ALT+DEL进行登录的设置;在关机时清理虚拟内存页面交换文件;,系统日志,系统日志设置,系统日志,日志审核设置,主要应用软件,MS SQL Server等数据库软件Seru-U等ftp软件Apache、IIS等WWW服务软件,被攻击情况检查,查看系统进程任务管理器查看系统开放服务查看系统端口和连接Netstat an结合fport工具查看系统日志系统日志、安全日志、应用日志、IIS等访问日志C:winntsy
9、stem32logfiles,被攻击情况检查,系统注册表HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun和HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce项下是否有异常程序 菜单程序启动Txt、exe等关联程序C:ftype txtfile等,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,主要检查项,系统基本信息root用户安全配置系统服务启动状况关键服务配置用户与口令系统审计文件系统与文件权限其他,系统基本信息(补丁),系统补丁信息使用o
10、slevel确定系统版本补丁分为三类Recommended Maintenance Package(RM)Critical Fix(cfix)Emergence Fix(efix)推荐使用RPM安装系统补丁对于最新的漏洞,需要efix,系统基本信息(其他),系统基本信息uname-a系统网卡信息ifconfig-a系统路由信息netstat-nr网络连接信息netstat-na系统进程信息ps-ef,root用户安全配置,是否允许root用户远程登录在/etc/security/user文件中设定使用lsuser可以查看使用chuser更改root用户的环境变量/etc/environment
11、是全局的环境变量/etc/security/environ中可以设定单个用户的环境变量也可以通过启动文件设定环境变量,系统服务启动状况,初始的启动文件/etc/inittabpiobeqdaemonwritesrvhttpdlite通常服务在/etc/rc.*文件中启动rc.nfsrc.tcpiprc.d/inetd的启动文件/etc/inetd.conf,关键服务配置,R命令(rlogin,rsh)的配置情况CDE(dtlogin)是否设置访问控制Ftp服务是否限制系统用户访问(/etc/ftpusers)Cron服务NFS服务SNMP服务Sendmail服务DNS服务,用户与口令,删除无用
12、用户查看是否存在空/弱口令口令策略设定在/etc/security/user文件中设定使用lsuser/chuser查看与修改登录策略设定在/etc/security/login.cfg文件中设定通用用户的环境变量设定在/etc/environment文件中设定,系统审计,syslog日志的配置状况记录失败登录:/etc/security/failedlogin使用who查看:who/etc/security/failedlogin记录最新登录:/etc/security/lastlog文本文件,使用more查看记录su的使用:/var/adm/sulog文本文件,使用more查看,文件系统与
13、文件权限,以安全模式加载文件系统文件基本权限查找setuid,setgid与全局可写的文件find/-perm-4000-ls 查找所有setuid的文件find/-perm-2000-ls 查找所有setgid的文件find/-perm-0004-ls 查找所有全局可写的文件和目录,其他,修改banner信息在/etc/security/login.cfg中修改herald参数对网络连接设置访问控制,服务安全管理,尽可能少泄露系统信息更改telnetdftpdbindsendmail等的banner信息 编写安全的用户程序注意避免自己编写的用户程序中常见的安全漏洞,它们往往成为黑客攻击的突破
14、口。,主要应用软件安全性,服务的安全补丁除了操作系统的安全补丁外,各厂商的应用服务,也需要安装相应的安全补丁。比如sendmail、Bind、Apache、WUFTP、数据库、网管系统等等,都会不定期出现严重的安全漏洞,需要单独安装其安全补丁。,主要应用软件安全性,对服务的安全配置对主要的服务,比如snmpd、sendmail、bind、apache、NFS等,如果必须开放的话,也应该进行相应的安全配置。,入侵检查,基本理念了解后门的形式会有助于对攻击者入侵行为和后门的检查系统是否可信系统已经或者有可能受到攻击,那么许多信息已经不再完全可信通过lsnetstatpsfind等获得的信息不再可信
15、,因为这些应用程序本身可能已经被入侵者篡改;syslog日志可能已经被删除或者篡改;文件或者目录的大小属性、时间戳等都可能被伪造。入侵痕迹入侵者往往会由于技术或者非技术的原因留下蛛丝马迹当攻击者多次登录、或者多台机器被入侵时,由于疏忽的原因,留下痕迹的可能性会更大,入侵检查,使用基本的系统命令ls命令:注意查看文件的ACLTime时间戳、权限位、大小、属主等;find命令:可以根据文件的ACLtime时间戳、权限、大小、属主、类型等特性进行查找;ps eaf或者/bin/ucb/ps aux查看进程信息;ldd查看命令所调用的动态库netstat an命令查看端口链接信息;lsof查看进程打开
16、的端口、打开的文件等属性;strings和file命令查看文件信息;,入侵检查,使用基本的系统日志查看系统本身的相关日志,但它们被篡改的可能性较大;查看网络日志服务器的日志或者查看IDS系统日志等它们一般比较可靠,被篡改的可能性相对较小。使用其它工具(chkrootkit),常见的后门形式,suid后门把重要的文件cp到隐藏的目录下,设置suid位,比如:cp/bin/ksh/tmp/.aachown root:root.aachmod 4755.aa,常见的后门形式,inetd后门选择一个不常被使用的服务,用可以产生某种后门的守护进程代替原先的守护进程,比如:将用于提供日期时间的服务 day
17、time 替换为能够产生一个 suid root 的 shell vi/etc/inetd.conf daytime stream tcp nowait/bin/sh sh-i.,常见的后门形式,rc等启动脚本后门在rc启动脚本中运行后门服务,比如在/sbin/rc3或者/etc/rc2.d/S69inet中增加:nc l p 9999 e/bin/sh&将会在tcp 9999端口监听。,常见的后门形式,更改/etc/passwd和/etc/shadow文件echo footq:x:0:0:/export/home/footq:/bin/sh/etc/passwdecho footq:/etc
18、/shadow,常见的后门形式,攻击者可能在crontab或者at中增加定期运行的后门Crontab的语法为:几分几点几号几月周几命令10 3*0/usr/lib/newsyslogcrontab l aaa将当前用户的crontab内容导入到aaa文件crontab bbb将编辑好的crontab文件bbb加载到当前用户的crontab中,使之生效crontab e编辑当前的crontab文件,常见的后门形式,rootkit黑客的后门工具箱,比如lrk5、ark等,包括以下功能:自动清除日志中的登录记录的工具,比如wipe、zap2等;隐藏攻击者目录和文件、进程等的工具,如替换的netsta
19、t、ps、ls、ifconfig等;木马,比如替换的login、su等;后门程序,比如nc,或者其他的BindShell等;以太网的sniffer;它能伪装被替换文件的sum校验和,更改时间戳等,由于许多命令被替换更改,所以许多东西不再可信,比较难于检查,但是:往往也会存在纰漏和蛛丝马迹,能够被人工发现;tripwire等文件系统完整性检查工具、chkrootkit可以发现它。,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,主要检查项,设备负载访问安全账号和口令认证banner服务管理logacl防范DOS攻击功能,路由器负载,路
20、由器的负载通常取决于下列因素:路由器在网络中所处的层次核心层,汇聚层,或者接入层 路由器执行的软件功能NAT,policy-route,加密等等都会加重设备负担命令show process memshow process cpu,IOS版本有无漏洞,系统漏洞,在非人为条件下,系统在特定网络环境中出现异常;安全性漏洞,破坏者借此控制设备或者造成设备运行异常;网络设备运行中断或者异常即可造成经济损失检测方式网络扫描工具如LinkTrust Network Scanner 检查版本号,版本过低即可能有漏洞命令show version,访问安全,Console,访问安全,auxiliary,访问安全,
21、vty,vty,访问安全,vty,访问安全,Privilege从015默认是:1(exec)15(enable)可以自定义其他级别,访问安全,访问安全,账号和口令,应按照用户分配账号 Router#config tEnter configuration commands,one per line.End with CNTL/Z.Router(config)#service password-encryptionRouter(config)#username ruser1 password 3d-zirc0niaRouter(config)#username ruser1 privilege 1
22、Router(config)#username ruser2 password 2B-or-3BRouter(config)#username ruser2 privilege 1Router(config)#end,账号和口令,Type 7Cisco的算法很容易被破解enable passwordusername*password*service password-encryption(可以保证不在屏幕上直接显示)Type 5MD5算法安全enable secret,账号和口令,Enable password和enable secret同时存在时,只有enable secret起作用应该禁止
![安全评估工具及方法介绍.ppt_第1页](https://www.31ppt.com/fileroot1/2023-5/31/47cf57a5-4098-4ac6-84b6-ba7e55f7d563/47cf57a5-4098-4ac6-84b6-ba7e55f7d5631.gif)
![安全评估工具及方法介绍.ppt_第2页](https://www.31ppt.com/fileroot1/2023-5/31/47cf57a5-4098-4ac6-84b6-ba7e55f7d563/47cf57a5-4098-4ac6-84b6-ba7e55f7d5632.gif)
![安全评估工具及方法介绍.ppt_第3页](https://www.31ppt.com/fileroot1/2023-5/31/47cf57a5-4098-4ac6-84b6-ba7e55f7d563/47cf57a5-4098-4ac6-84b6-ba7e55f7d5633.gif)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 评估 工具 方法 介绍
![提示](https://www.31ppt.com/images/bang_tan.gif)
链接地址:https://www.31ppt.com/p-6112541.html