网络攻防之3 构建安全系统.ppt

百安网络功防学习小组 构建安全系统 By: Fufm 2005-9-21 申 明 :本资料属于百安信息系统安全俱乐部所有，仅限 于个人学习之用，请勿用于其它商业目的! 没有理解的介入,任何想象和感觉都不会给 予我们对任何事情的确定性认识. 勒内.德卡尔特 1637年 Agenda:安全加固技术 u 网络设备的安全技术 u 操作系统的安全技术 网络层的加固技术 u 网络设备安全性的对比 (1) 较高的安全性 路由器 a. 路由器天生具备良好的网络安全性； b. 效率高，抗DOS能力强； c. 不能进行交换环境下的欺骗攻击； (2) 中间级设备 交换机 a. 安全性差，适合一些中小型企业； b. 工作效率一般，具备一定的DOS 能力； c. 可进行交换环境下的欺骗攻击； 网络层的加固技术 u 网络设备的安全性 (3) 集线器 a. 完全不具备安全性； b. 完全不具备抗DOS能力； c. 可以随时发生嗅探攻击； 交换环境下的ARP欺骗 交换环境下的ARP欺骗 交换环境下的ARP欺骗 交换环境下的ARP欺骗 交换环境下的ARP欺骗 交换环境下的ARP欺骗 网络层的加固技术 u配置网络设备的根据与建 议 l工作的需要 l网络的拓扑情况 l合理配置 网络层的加固技术 u举例:Cisco 路由器的加固： (1) 设置强密码并启动密码加密； (2) 禁用不需要的服务： http server , finger , bootp, snmp等 (3) 限制某些敏感性端口： TCP:135139,445,1034,3127,4444,5554,6667, 9996 UDP:69,445,500,1434,4000 (4) MAC与IP地址绑定； (5) 物理上的安全 主机加固技术 u安全的安装Windows 2K Server 在全新安装windows 2000 server 之前，确认如下操作 ： 确定服务器完全与网络隔离； 完全格式化并全部重新分区，禁止快速分区； 准备工作 Windows 2000 Server 的安装光盘； 主机系统的驱动程序光盘； 3.5存软盘一张； 其他系统安全配置程序工具盘； 主机加固技术 u开始安装Windows 2K Server u使用Windows 2000 Server安装光盘安装Windows 2000 Server u安装过程中分区选择NTFS文件格式 u根据需要Windows 2000 Server服务 u仅安装TCP/IP协议(注意:此时暂不配置IP地址) u设置复杂的管理员（administrator)密码 u安装系统驱动程序(注意:仅安装主板,显示器驱动.如有 特殊设备,根据实际情况安装驱动) u设置CMOS为仅硬盘启动，在CMOS中忽略软驱、光驱、USB 驱动,并设置CMOS及开机密码. 注意:在这里列出的所有操作都必须再与网络断开连接的情况下 完成 主机加固技术 u系统升级 安装最新的补丁包. 使用“开始”菜单中“ windows update”选项升级 系统 注意:如目前主机所在 网络的安全性不高,建议在 隔离的情况下安装第三方杀 毒软件或防火墙等. 主机加固技术 u系统优化（） 更新及升级完成后，断开网 络保证主机安全. 打开 “控制面板系统属性 高级启动和故障恢复”把“写 入调试信息”改成“无”. 修改虚拟内存，建议配置为 物理内存的两倍，目录为系统盘 主机加固技术 主机加固技术 u系统优化（） 停止系统不需要的服务： lClipBook Server (禁止) lAlerter (禁止) lComputer Browser (禁止) lDHCP Client (禁止) lDirectory Replicator (禁止) lFTP publishing service (禁止) lLicense Logging Service (禁止) lMessenger (禁止) lNetlogon (禁止) lNetwork DDE (禁止) lNetwork DDE DSDM (禁止e) 主机加固技术 u系统优化（3） 停止不需要的系统服务： lNetwork Monitor (禁止) lPlug and Play (禁止(注:如果确定无硬 件改动) lRemote Access Server (禁止) llocater (禁止) lSchedule (禁止) lServer (禁止) lSimple TCP/IP Services (禁止) lWindows Media (禁止) lTCP/IP Netbios Helper (禁止) lTelephone Service (禁止) 主机加固技术 u系统优化（） 根据需要停止的系统服务： lSNMP service (手动) lSNMP trap (手动) lUPS (手动) 主机加固技术 u系统优化（） 启动以下系统服务： lEventlog ( 自动 ) lNT LM Security Provider (自动) lRPC service (自动) lWWW (自动) lWorkstation (不推荐) lMSDTC (自动) lProtected Storage (自动) 主机加固技术 u系统安全配置（） 配置帐户策略： l密码必须符合复杂性要求 l密码长度最小值：建议7 个字符 l密码最长存留期：42天 l密码最短存留期：3天 l强制密码历史：5次 l为域中所有用户使用可还原的加 密来储存密码：已启用 l分别设置复位用户锁定计数器时 间为20分钟，用户锁定时间为20 分钟，用户锁定阈值为3次。 l删除不必要的系统用户，更改 administrator ,guest帐户 主机加固技术 u系统安全配置（） 配置审核策略： l审核策略更改：成功/失败 l审核登录事件：成功/失败 l审核对象访问 ：失败 l审核过程追踪 ：未设置 l审核目录服务访问：未设置 l审核特权使用：成功 l审核系统事件：失败 l审核帐户登录事件：成功/失败 l审核帐户管理：成功/失败 主机加固技术 u系统安全配置（） 关闭IPC$默认共享； TCP/IP筛选； 关闭NetBios 139 端口； 关闭445 端口； 关闭终端服务或修改终端服务端 口（可选）； 配置安全选项； 主机加固技术 主机加固技术 主机加固技术 主机加固技术 主机加固技术 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanm anserverparameters “AutoShareServer“=dword:00000000 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa “restrictanonymous“=dword:00000001 DDos概述 DDos概述 u常见的DDOS: Syn/ACK Flood ICMP Flood UDP Flood Smurf TearDrop Land Fraggle u 对DDoS的原理与应付方法的研究一直在 进行中，找到一个既有效又切实可行的方案 不是一朝一夕的事情。但目前我们至少可以 做到把自己的网络与主机维护好，首先让自 己的主机不成为别人利用的对象去攻击别人 ；其次，在受到攻击的时候，要尽量地保存 证据，以便事后追查，一个良好的网络和日 志系统是必要的。无论DDoS的防御向何处 发展，这都将是一个社会工程 主机加固技术 u安全配置（1） 注册表修改项 l不出现上次登陆用户名 l关闭DirectDraw l禁止响应ICMP重定向报文 l不允许释放NETBIOS名（注意系统必须安 装SP2以上） l发送验证保持活动数据包 l禁止进行最大包长度路径检测 l启动SYN攻击保护 l设置SYN攻击保护的临界点 l同时允许打开的半连接数量 l判断是否存在攻击的触发点 l设置等待SYN-ACK时间 主机加固技术 u安全配置（2） 注册表修改项 l设置TCP重传单个数据段的次数 l禁止IP源路由 l限制处于TIME_WAIT状态的最长时间 l增大NetBT的连接块增加幅度 l最大NetBT的连接快的数目 l配置激活动态Backlog l配置最小动态Backlog l配置最大动态Backlog l每次增加的自由连接数据 l禁止使用filesystemobject 主机加固技术 u配置IIS服务器 设置IIS日志 l打开 Internet 服务管理器 l单击需要管理的 Web 站点或 FTP 站点，然后单击属性 l在 Web 站点或 FTP 站点选项卡上，选择启用日志记录 l为日志记录启用了下列字段： 1.时间 2.客户端 IP 地址 3.方法URI 资源 4.HTTP 状态 选择要在日志中监视的项目，如果不想对监视进行自定义，请 保留默认设置。 注意：如果您选择的格式是 ODBC 日志记录，请设置数据源名 称和数据库内表的名称,活质数据库需要的用户名和密码. l单击应用，然后单击确定 主机加固技术 u配置IIS服务器 配置访问控制权限 配置虚拟目录 建议在默认安装完成后,删除虚拟记录 c:inetpubiissamples c:inetpubiissamplessdk c:inetpubAdminScripts c:Program FilesCommon FilesSystemmsadcSamples。 主机加固技术 u配置IIS服务器 删除一些不必要的Scipt Mapping. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices W3SVCParametersADCLaunchRDSServer.DataFactory ； HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices W3SVCParametersADCLaunchAdvancedDataFactory ； HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices W3SVCParametersADCLaunchVbBusObj.VbBusObjCls 。 禁止“Parent Paths”. 下载IIS5.0 补丁. 主机加固技术 IIS Lock Tool具有以下功能和特点： 1.最基本功能，帮助管理员设置IIS安全性； 2.此工具可以在IIS4和IIS5上使用； 3.即使系统没有及时安装所有补丁，也能有效防止IIS4 和IIS5的已知漏洞； 5.帮助管理员去掉对本网站不必要的一些服务，使IIS 在满足本网站需求的情况下运行最少的服务； 6.具有两种使用模式：快捷模式和高级模式。快捷模式 直接帮助管理员设置好IIS安全性，这种模式只适合于只有 HTML和HTM静态网页的网站使用，因为设置完成以后， ASP不能运行