《应用服务的安全》PPT课件.ppt

介绍,信息安全技术专家岗位资格技能认证培训 中华人民共和国劳动与社会保障部职业资格认证 国家信息安全培训认证管理中心 主任 劳动与社会保障部国家督导、高级考评员 信息产业部 信息化与电子政务专家 盛鸿宇 副研究员 e_,第六章 应用服务的安全,应用服务的划分,网络安全的威胁来自多个方面，主要包括： 操作系统安全、应用服务安全、网络设备安 全、网络传输安全等 网络应用服务安全，指的是主机上运行的网 络应用服务是否能够稳定、持续运行，不会 受到非法的数据破坏及运行影响,网络环境中多样化的应用,多样化的应用需要什么？,安全的通信、交易环境 信息安全,应用需要什么保护？,物理（硬件安全） 数据安全 系统安全 网络安全 应用安全,应用安全,身份认证 数据保密 数据完整 不可否认,身份认证,通信双方能互相验证对方的身份，确认对方确实是他所声明的身份。,我是田景成，你是网上银行服务器吗？,嗨，我是网上银行服务器。,你真的是田景成吗？,你真的是网上银行服务器吗？,业务服务器,数据保密,通信双方传送的信息需要保密，只有他们自己知道。他们需要说“悄悄话”。,我需要转帐，这是我的帐号和密码。,业务服务器,帐号：1234567890 密码：8888888,数据完整性,通信双方应能检测出信息在传输途中是否被篡改。,转帐200万到关晓阳的帐号。,业务服务器,转帐100万到关晓阳的帐号，转帐100万到成景田的帐号。,篡改,不可否认性和审计,服务方应该将交易的整个步骤记录下来，以备查询，同时也应保证用户不能对自己的行为进行否认和抵赖。,我的钱呢？,100万能干什么？,转走了！,转哪去了？,岂有此理，我要告你们！你们没有我的签名。,您自己忘了！,应用服务具体划分,Web服务 FTP服务 Mail服务 域名服务 Data服务 SMB服务 远程登录服务 终端服务 其他服务,Web服务,静态脚本服务/动态脚本服务 脚本很可能就成为获得信息的非正当的服务脚本 Web Service 微软提出三层应用的关键技术，是三层结构中客户端和系统服务搭建桥梁的中间层应用服务控件（中间件）,基本HTTP请求,“/files/index.html ”等价于HTTP命令“GET /files/index.html HTTP/1.0” CGI调用 “/scripts/cgi.exe?var1+var2 ”表示将var1和var2提交给cgi.exe(“+”是分隔符) ASP调用 /scripts/cgi.exe?var1=X&var2=Y 表示将X、Y分别作为两个变量提交,HTTP文件遍历和URL编码,Web结构,client/server结构，属于瘦客户类型 Browser/Server, 客户为浏览器，服务器为Web Server 通常是多层(或三层)结构中的第一层 在Web应用中，Web Server后面常常与数据库打交道,Web结构,B/S之间的通讯协议：HTTP HTTP位于TCP之上，默认的端口为80 客户发出对页面的请求，服务器送回这些页面 Web页面的表述和交互能力 各种标记、超链接， 交互功能：表单、脚本 交互能力的扩展：Java Applet, ActiveX, ,Web服务安全问题归纳,服务器向公众提供了不应该提供的服务 服务器把本应私有的数据放到了公开访问的区域 服务器信赖了来自不可信赖数据源的数据,Web安全性,协议本身的安全性支持 实现上的安全性 服务器端安全性 Web pages的访问控制机制 可用性：防止拒绝服务 抵御各种网络攻击 客户端安全性 个人信息的保护 防止执行恶意代码 Web Proxy Server Man-In-The-Middle,主要漏洞,提供了不应 该提供的服务,把私有数据放到 了公开访问区域,信赖了来自不可 信数据源的数据,Web服务器漏洞的解释,目录遍历,执行任意命令,缓冲区溢出,拒绝服务,条件竞争,物理路径泄露,Web服务器处理用户请求出错导致的，或某些显示环境变量的程序错误输出,IIS二次解码漏洞和Unicode解码漏洞,通过解码漏洞或SSI指令解析来执行系统命令,超长URL，超长HTTP Header域，或者是其它超长的数据,Web服务器在处理特殊请求时不知所措或处理方式不当，因此出错终止或挂起,没有临时文件的属性进行检查,IIS安全漏洞,Null.htw漏洞 MDAC执行本地命令漏洞 “.htr”问题 IIS缓冲溢出 ISM.DLL 缓冲截断漏洞 IIS存在的Unicode解析错误漏洞 ,IIS的MDAC组件,IIS的MDAC组件存在一个漏洞可以导致攻击者远程执行你系统的命令。主要核心问题是存在于RDS Datafactory，默认情况下，它允许远程命令发送到IIS服务器中，这命令会以设备用户的身份运行，其一般默认情况下是SYSTEM用户。,Codebrws.asp /iisamples/exa.ks/codebrws.asp,Showcode.asp /msadc/samples/winnt/win.ini Null.htw /null.htw?CiWe.HiliteType=full,以上四个漏洞均可以察看文件源代码,IIS服务泄露源代码,webhits.dll & .htw,ASP Dot Bug 在请求的URL结尾追加一个或者多个点导致泄露ASP源代码。 /sample.asp.,ISM.DLL,允许攻击者查看任意文件内容和源代码,.idc & .ida Bugs 这个漏洞实际上类似ASP dot 漏洞，其能在IIS4.0上显示其WEB目录信息，很奇怪的说有些还在IIS5.0上发现过此类漏洞，通过增加?idc?或者?ida?后缀到URL会导致IIS尝试允许通过数据库连接程序.DLL来运行.IDC，如果.idc不存在，它就返回一些信息给客户端。,IIS服务泄露源代码,+.htr Bug 对有些ASA和ASP追加+.htr的URL请求就会导致文件源代码的泄露。,IIS服务泄露源代码,通过请求site.csc，一般保存在/adsamples/config/site.csc中，攻击者可能获得一些如数据库中的DSN，UID和PASS的一些信息。,NT Site Server Adsamples,IIS4.0中包含一个有趣的特征就是允许远程用户攻击WEB服务器上的用户帐号，就是你的WEB服务器是通过NAT来转换地址的，还可以被攻击。,./iisadmpwd,存在OFFICE 2000和FRONTPAGE 2000Server Extensions中的WebDAV中，当有人请求一个ASP/ASA后者其他任意脚本的时候在HTTP GET加上Translate:f 后缀，并在请求文件后面加/就会显示文件代码，当然在没有打WIN2K SP1补丁为前提。这个是W2K的漏洞，但由于FP2000也安装在IIS4.0上，所以在IIS4.0上也有这个漏洞。 利用程序: trasn1.pl,trans2.pl,Translate:f Bug 泄露asp文件源代码,IIS的Unicode问题,问题产生的要义 “%c0%af”和“%c1%9c”分别是“/”“”的unicode表示 其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等 对策 安装MS00-086中的补丁 由于没有实现分区跳转功能，可以在系统分区之外安装IIS 设置严格的NTFS权限 在服务器的Write和Excute ACL中删除Everyone和User组,更近一步-双解码/二次解码,同样由NSFocus发布 对策：应用MS01-26给出的补丁(不包括在sp2中) 注意和Unicode的区别，包括相关日志,GET /scripts/%255c255c%winnt/system32/cmd.exe,IIs4 hack缓冲溢出,主要存在于.htr,.idc和.stm文件中，其对关于这些文件的URL请求没有对名字进行充分的边界检查，导致运行攻击者插入一些后门程序在系统中下载和执行程序。,IIS溢出问题,IPP(Internet Printing Protocol)缓冲区溢出(IPP是处理.printer文件的- C:winntsystem32msw3prt.dll) 当以下调用超过420字节时，问题就会发生 对策：删除DLL和文件扩展之间的映射,GET /NULL.printer HTTP/1.0 Host : buffer,删除DLL和文件扩展之间的映射,IIS溢出问题,索引服务ISAPI扩展溢出(通常被称为ida/idq溢出) 由idq.dll引起，当buffer长度超过240字节时，问题就会发生 Null.ida为文件名，无需真的存在 直至现在上没有漏洞利用代码 Code Red的感染途径 对策：删除idq.dll和文件扩展之间的映射,GET /NULL.ida? HTTP/1.1 Host : buffer,IIS溢出问题,Frontpage 2000服务扩展溢出 最早由NSFocus(中国安全研究小组)提出 FPSE在Windows 2000中的位置：C:Program filesCommom FilesMicrosoft SharedWeb Server Extensions 问题焦点是fp30reg.dll和fp4areg.dll(后者默认总是提供的) 收到超过258字节的URL请求时，问题就会出现 漏洞利用工具：fpse2000ex 对策：删除fp30reg.dll和fp4areg.dll文件,IIS的其它问题,源代码泄漏的危险 .htr风险 .htw/webhits风险 权限提升的问题 远程调用RevertToself的ISAPI DLL 向LSA本地注射代码,CGI安全问题归纳,暴露敏感或不敏感信息 缺省提供的某些正常服务未关闭 利用某些服务漏洞执行命令 应用程序存在远程溢出 非通用CGI程序的编程漏洞,具体的CGI安全问题,配置错误 边界条件错误 访问验证错误 来源验证错误 输入验证错误 意外情况处理失败 策略错误 习惯问题 使用错误,CGI安全保证,保持服务器安全 正确安装CGI程序，删除不必要的安装文件和临时文件 使用安全的函数 使用安全有效的验证用户身份的方法 验证用户来源，防止用户短时间内过多动作 推荐过滤特殊字符 处理好意外情况 实现功能时制定安全合理的策略 培养良好的编程习惯 避免“想当然”的错误 定期使用CGI漏洞检测工具,ASP的安全性,Code.asp文件会泄漏ASP代码 filesystemobject组件篡改下载FAT分区上的任何文件的漏洞 输入标准的HTML语句或者JavaScript语句会改变输出结果 Access MDB数据库有可能被下载的漏洞 asp程序密码验证漏洞,(1)为你的数据库文件名称起个复杂的非常规的名字，并把他放在非常规目录下。,(2)不要把数据库名写在程序中。,(3)使用ACCESS来为数据库文件编码及加密。,防止Access数据库被下载,防止Access数据库被下载常见措施：,配置安全的IIS运行环境,作为运行在 Windows NT操作系统环境下的IIS，其安全性也应建立在Windows NT安全性的基础之上。,1.应用NTFS文件系统,2.文件夹共享权限的修改,3.为系统管理员账号更名,4.取消TCP/IP上的NetBIOS绑定,设置IIS的安全机制 一,1.安装时应注意的安全问题,（1）避免安装在主域控制器上,（2）避免安装在系统分区上,2.用户控制的安全性,（1）限制匿名用户的访问,（2）一般用户,通过使用数字与字母（包括大小写）结合的口令，提高修改密码的频率，封锁失败的登录尝试以及账户的生存期等对一般用户账户进行管理。,3.登录认证的安全性,IIS服务器提供对用户三种形式的身份认证：,匿名访问：不需要与用户之间进行交互，允许任何人匿名访问站点，在这三种身份认证中的安全性是最低的。 基本（Basic）验证：在此方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加密，非法用户可以通过网上监听来拦截数据包，并从中获取用户名及密码，安全性能一般。 Windows NT请求/响应方式：浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式。,设置IIS的安全机制二,4.访问权限控制,（1）文件夹和文件的访问权限： 安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，还可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。,（2）WWW目录的访问权限： 已经设置成Web目录的文件夹，可以通过操作Web站点属性页实现对WWW目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全性。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件；执行权限，允许用户运行WWW目录下的程序和脚本。,设置IIS的安全机制三,5.IP地址的控制,IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问服务，你可以通过设置来阻止除指定IP地址外的整个网络用户来访问你的Web服务器。,6.端口安全性的实现,可以通过修改端口号来提高IIS服务器的安全性，如果你修改了端口设置，只有知道端口号的用户才可以访问。,7.禁止IP转发功能提高服务的安全性,8.启用SSL安全机制加强Web服务的安全性,设置IIS的安全机制四,提高IIS的安全性和稳定性 一,限制在web服务器开帐户，定期删除一些断进程的用户。 对在web服务器上开的帐户，在口令长度及定期更改方面作出要求，防止被盗用。 尽量使ftp， mail等服务器与之分开，去掉ftp，mail，tftp，NIS， NFS，finger，netstat等一些无关的应用。 在web服务器上去掉一些绝对不用的shell等之类解释器，即当在你的 cgi的程序中没用到perl时，就尽量把perl在系统解释器中删除掉。,有些WEB服务器把WEB的文档目录与FTP目录指在同一目录时，应 该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。,设置好web服务器上系统文件的权限和属性，对可让人访问的文档分配一个公用的组如：www，并只分配它只读的权利。对于WEB的配置文件仅对WEB管理员有写的权利。,定期查看服务器中的日志logs文件，分析一切可疑事件。,通过限制许可访问用户IP或DNS,提高ISS的安全性和稳定性二,IIS服务安全配置,禁用或删除所有的示例应用程序 示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从 http:/localhost 或 访问；但是，它们仍应被删除。下面 列出一些示例的默认位置。 示例 虚拟目录 位置 IIS 示例 IISSamples c :inetpubiissamples IIS 文档 IISHelp c:winnthelpiishelp 数据访问 MSADC c:program filescommon filessystemmsadc,禁用或删除不需要的 COM 组件 某些 COM 组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但要注意这将也会删除 Dictionary 对象。切记某些程序可能需要您禁用的组件。如Site Server 3.0 使用 File System Object。以下命令将禁用 File System Object： regsvr32 scrrun.dll /u 删除 IISADMPWD 虚拟目录 该目录可用于重置 Windows NT 和 Windows 2000 密码。它主要用于 Intranet 情况下，并不作为 IIS 5 的一部分安装，但是 IIS 4 服务器升级到 IIS 5 时，它并不删除。如果您不使用 Intranet 或如果将服务器连接到 Web 上，则应将其删除。,IIS服务安全配置,删除无用的脚本映射 IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下： 打开 Internet 服务管理器。 右键单击 Web 服务器，然后从上下文菜单中选择“属性”。 主目录 | 配置 | 删除无用的.htr .ida .idq .printer .idc .stm .shtml等,IIS服务安全配置,禁用父路径 “父路径”选项允许在对诸如 MapPath 函数调用中使用“”。禁用该选项的步骤如下： 右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。 单击“主目录”选项卡。 单击“配置”。 单击“应用程序选项”选项卡。 取消选择“启用父路径”复选框。 禁用-内容位置中的 IP 地址 IIS4里的“内容-位置”标头可暴露通常在网络地址转换 (NAT) 防火墙或代理服务器后面隐藏或屏蔽的内部 IP 地址。,IIS服务安全配置,IIS服务安全配置,设置适当的 IIS 日志文件 ACL 确保 IIS 日志文件 (%systemroot%system32LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 这有助于防止恶意用户为隐藏他们的踪迹而删除文件。 设置适当的 虚拟目录的权限 确保 IIS 虚拟目录如scripts等权限设置是否最小化，删除不需要目录。 将IIS目录重新定向 更改系统默认路径，自定义WEB主目录路径并作相应的权限设置。 使用专门的安全工具 微软的IIS安全设置工具：IIS Lock Tool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性。,Web服务的用户身份认证,Web服务器支持的验证方式 基本验证的具体实现方法 用IIS建立高安全性Web服务器 WEB安全性的综合策略,协议本身的安全性支持,身份认证 Basic Authentication Digest Access Authentication 保密性 TLS(Transport Layer Security),Web认证,Basic Authentication RFC 2617 Digest Access Authentication RFC 2617 TLS，基于PKI的认证 一种双向认证模式：单向TLS认证+客户提供名字/口令 Microsoft passport,Basic Authentication,Web服务器,口令直接明文传输 隐患：sniffer、中间代理、假冒的服务器,Digest AccesAuthentication,Challenge-Response, 不传输口令 重放攻击、中间人攻击 服务器端的口令管理策略,WEB安全性的综合策略,有些应用使用SSL/TLS，为Web Service申 请一个证书 Web Server往往是网络攻击的入口点 为了提供Web Service，必须要开放端口和一些目录，还要接受各种正常的连接请求 防火墙对Web Server的保护是有限的,WEB安全性的综合策略,及时打上Web Server软件厂商提供的补丁程序 特别是一些主流的服务软件，比如MS的IIS 控制目录和文件的权限 Web应用开发人员注意 在服务端的运行代码中，对于来自客户端的输入一定要进行验证 防止缓冲区溢出,Web客户端的安全性,客户端安全性涉及到 Cookie的设置，保护用户的隐私 PKI设置，确定哪些是可信任的CA 对可执行代码的限制，包括JavaApplet，ActiveX control 客户浏览器的安全设置真的安全吗 我们有必要了解这些安全性,FTP服务,文件传输协议(File Transfer Protocol，FTP) FTP服务通常被攻击者上传后门程序文件到主机，然后通过种种方式转移成为激活的后门 注意：资源共享和权限控制矛盾的存在,FTP安全,FTP的一些特性 FTP的包过滤方式 FTP服务形态 FTP服务的安全性 FTP服务器的安全配置,FTP的特性与目标,促进文件（程序或数据）的共享 支持间接或隐式地使用远程计算机 帮助用户避开主机上不同的 可靠并有效地传输数据,FTP的包过滤方式,FTP使用两个独立的TCP连接 一个在服务器和客户程序之间传递命令和结果（通常称为命令通道） 另一个用来传送真实的文件和目录列表（通常称为数据通道） 多数FTP服务器和客户程序都支持 “反向方式”或“PASV方式”,FTP服务形态,匿名服务（Anonymous Service） FTP代理：允许第三方文件传输,针对FTP的攻击,FTP跳转攻击 无访问控制 密码截获 端口盗用,一、取消匿名访问功能,二、启用日志记录,FTP服务器日志记录着所有用户的访问信息，如访问时间、客户机IP地址、使用的登录账号等，这些信息对于FTP服务器的稳定运行具有很重要的意义，一旦服务器出现问题，就可以查看FTP日志，找到故障所在，及时排除。因此一定要启用FTP日志记录。,普通FTP服务器的安全配置一,三、正确设置用户访问权限,四、启用磁盘配额，限制FTP存储空间,五、TCP/IP访问限制，拒绝或只允许某些IP地址的访问。,六、合理设置组策略,1. 审核账户登录事件,2. 增强账号密码的复杂性,3. 账号登录限制,普通FTP服务器的安全配置二,一、对“本地服务器”进行设置,1. 选中“拦截攻击和”,的安全性设置,当使用协议进行文件传输时，客户端首先向服务器发出一个“”命令，该命令中包含此用户的地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在命令中加入特定的地址信息，使服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果服务器有权访问该机器的话，那么恶意用户就可以通过服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是，也称跨服务器攻击。选中后就可以防止发生此种情况。,在“高级”选项卡中，检查“加密密码”和“启用安全”是否被选中，如果没有，选择它们。“加密密码”使用单向函数（）加密用户口令，加密后的口令保存在或是注册表中。如果不选择此项，用户口令将以明文形式保存在文件中；“启用安全”将启动服务器的安全成功。,2. 检查“加密密码”和“启用安全”是否被选中。,二、对域中的服务器进行设置,对每个账户的密码都提供了以下三种安全类型：规则密码、 和 。不同的类型对传输的加密方式也不同，以规则密码安全性最低。进入拥有一定管理权限的账户的设置中，在“常规”选项卡的下方找到“密码类型”下拉列表框，选中第二或第三种类型，保存即可。 注意，当用户凭此账户登录服务器时，需要客户端软件支持此密码类型，如 等，输入密码时选择相应的密码类型方可通过服务器验证。,1.选择合适的密码类型,的安全性设置二,2.谨慎设置主目录及其权限,凡是没必要赋予写入等能修改服务器文件或目录权限的，尽量不要赋予。,3.开启日志，并经常检查,在“日志”选项卡中将“启用记录到文件”选中，并设置好日志文件名及保存路径、记录参数等，以方便随时查询服务器异常原因。,Solaris 操作系统FTP漏洞,该方法利用了Solaris 操作系统中FTPD的一个BUG，使得用户可以获得该机的口令文件。具体过程如下： 1.通过 ftp 正常登录到目的主机上 2.输入如下命令序列： ftp user root wrongpasswd ftp quote pasv 3.这时，ftpd会报错退出，同时会在当前目录下生成一个core，口令文件就包含在这个core中。 4.再次进入FTP get core,Mail服务,SMTP和POP、IMAP都存在一定的问题 从两方面理解：协议和服务端程序 尤其以SMTP为讨论重点 Mail服务是一种不安全的服务，因为它必须接受来自Internet的几乎所有数据,走进MS客户端-客户端风险评估,恶意电子邮件-MIME扩展 Outlook缓冲区溢出 Media Play缓冲区溢出 VBS地址簿蠕虫,恶意邮件实例,Helo Mail froam: Rcpt to: Data Sublect:Read me Importance:high MIME-Version:1.0 Content-type:text/html;charset=us-ascii Content-Transfer-Encoding:7bit Hi! . quit,通过下列命令执行： Type mail.txt | telnet IP 25,Outlook溢出,起源于vCard(一种电子名片) Outlook直接打开并运行附件中的vCards而不提示用户 vCards存储于.vcf文件中，也是没有提示而直接运行的 当vCards的生日字段(BDAY)超过55字符时，就会出现溢出 对策：应用IE 5.5 sp2,媒体元文件,垃圾邮件泛滥成灾！,2003年及2004年垃圾邮件异常猖狂 垃圾邮件层出不穷 形如用特殊字符分隔单词 将文字保存在图片里 html格式等 反垃圾邮件软件依然不足 人工智能算法/DNA算法实现依然复杂 目前识别技术无法与人脑相比 基于内容过滤的算法（如Bayes）对中文的处理能力依然薄弱。,垃圾邮件大量充斥着邮件队列！ 通信中断！损失大量合作机会！ 耗费大量网络资源，年损失几百亿美元！ 我们需要便宜、有效的手段遏止Spam!,NO SPAM！,什么技术可以胜任？,成本低,部署易,效能好,APF can!,APF 定义,APF=Antispam Policy Framework 是一种利用综合策略分析SMTP信息，主要用于对付垃圾邮件的一套框架。 APS=APF Service/System 主要以Client/Server模式对外提供APF完整支持的服务体系，模式类似于RBL/DNS。,为什么设计APF?,RBL命中率不足，误判，即时性不够 SPF依然是Draft，国内推广困难 现有技术/框架使用部署成本很高 内容过滤技术仍不足，有待改进 分析发现SMTP阶段就可识别UCE,RBL的不足,RBL属于被动还击类技术 99%的RBL都是国外组织维护 中国IP被封杀严重 准确率不够，易误杀 面临IPV6问题,SPF的不足,SPF依然是草案(Draft) 用户对SPF认知极其有限 SPF涉及DNS修改，部署起来工程浩大 国内绝大部分域名一定时期内都无法实施SPF 域名注册/管理商不提供SPF支持,反垃圾邮件部署成本高,企业自力开发/实施 技术人员AntiSpam经验丰富 综合利用多种技术 管控整个团队，耗时耗力,购买软/硬件部署 专用商业软/硬件非常昂贵! 使用复杂且定制困难,内容过滤技术仍需改进,Bayes算法 基于规则匹配 加权类 DNA遗传算法,分析发现SMTP阶段就可识别UCE,垃圾邮件样本分析 结果：基于SMTP特征的准确率较内容过滤（使用Spam Assassin及自定义的规则）要高。 特征例子 伪造来信人(Sender) 来自Open-relay主机 正文变化多端，但都来自同一个ip地址 某个时段发送大量邮件 信头缺失或不符合RFC,统计分析结果(3-10月),UCE的SMTP特征,缺乏必需信头的信件(Header-lacking) 不符合RFC中关于电子邮件规定的信件（RFC-ignorant） 错误的信件标记信息（Header-forgery） 同样内容发送频率（Abnormal-rate）过高的信件。,APF设计宗旨,APF在设计过程中遵循了如下原则: 集中/半集中式C/S数据交换结构 难度适中的实现技术+良好的构思 使用20%的精力去对付80%的Spam 尽量使用现成的优秀自由软件方案/技术 降低使用难度，提供尽可能高的灵活性,APF基本原理(1),三大部分构成 MTA APF客户端 APF服务端 (浅兰色标记） 典型的Client/ Server结构,主要运算/处理负载交给APF服务端 客户端非常简单,APF 基本原理(2),V1.0 APF服务端 软件流水线 串行工作 任一异常即跳出 缺点： 只获得某个模块的判决结果 不能综合判断,APF 基本原理(2),V2.0 APF服务端 改进 模块处理相互独立 处理结果最后汇总 相互结果不影响 优点 可进行加权 用户高度定制结果 便于综合分析,APF 基本原理(3),V1.0协议,APF 基本原理(3),V2.0 协议 增补了一些新的属性名及策略调整,其他变化 未来考虑增加诸如信件MD5，更细化的特征传递等,module1=fail/ok, reason string moduleN=fail/ok, reason string ,( v2.0结果格式 ),APF 基本原理(4),判决结果 V1.0 V2.0,action=4xx/5xx reason text link status,badhelo=DUNNO whitelist=OK dnsbl=fail, blocked by bl.domain.tld, reason: ip4 addr string mspf=fail, domain.tld was not designate ip4 addr fakehelo=fail, reason: fqdn may be forgery for ip4 addr ,应用APF的典型例子,S: log show: client connected C: Helo S: 220 ESMTP (No Spam) C: mail from: S: 250 Ok C: rcpt to: S: 554 Forgery sender address! sender mx does not match your ip address,504 Helo command rejected: helo name does not match your ip address,client_address,helo_name,sender,recipient,( APF v1.0 ),APF的优势,综合成本低 结构简单 部署简便 能灵活定制 功能强大,域名服务,DNS服务是Internet上其它服务的基础 DNS服务存在的主要安全问题 名字欺骗 信息隐藏,名字欺骗,D,B,A（提供rlogin服务）,DNS服务器,Internet,主机B IPB,主机C IPC,解决域名服务安全性的办法,直接利用DNS软件本身具备的安全特性来实现 以防火墙/NAT为基础，并运用私有地址和注册地址的概念,DATA服务,DATA服务器主要是存放数据库 两个方面（以SQL Server为例） IDC的安全性 使用NTFS分区 给予用户执行日常任务所必需的最低等级的访问许可权 强制执行口令和登录策略 TCP/IP过滤 防火墙及代理服务器 SQL本身的安全性问题,SQL Server安全规划,验证方法选择 SQL Server的验证是把一组帐户、密码与Master数据库Sysxlogins表中的一个清单进行匹配 访问标记是在验证过程中构造出来的一个特殊列表，其中包含了用户的SID（安全标识号）以及一系列用户所在组的SID,1 Web环境中的验证,第一种方法是为每一个网站和每一个虚拟目录创建一个匿名用户的NT帐户 第二种方法是让所有网站使用Basic验证 第三种验证方法是在客户端只使用IE 5.0、IE 4.0、IE 3.0浏览器的情况下，在Web网站上和虚拟目录上都启用NT验证 第四种验证方法是如果用户都有个人数字证书，你可以把那些证书映射到本地域的NT帐户上,2 设置全局组,控制数据访问权限最简单的方法是，对于每一组用户，分别地为它创建一个满足该组用户权限要求的、域内全局有效的组。 除了面向特定应用程序的组之外，我们还需要几个基本组。基本组的成员负责管理服务器。 创建了全局组之后，接下来我们可以授予它们访问SQL Server的权限,3 数据库访问控制,在数据库内部，与迄今为止我们对登录验证的处理方式不同，我们可以把权限分配给角色而不是直接把它们分配给全局组。这种能力使得我们能够轻松地在安全策略中使用SQL Server验证的登录。,4 分配权限,实施安全策略的最后一个步骤是创建用户定义的数据库角色，然后分配权限。完成这个步骤最简单的方法是创建一些名字与全局组名字配套的角色 创建好角色之后就可以分配权限。在这个过程中，我们只需用到标准的GRANT、REVOKE和DENY命令,5 简化安全管理,首选的方法应该是使用NT验证的登录，然后通过 一些精心选择的全局组和数据库角色管理数据库访问 简化安全策略的经验规则： 用户通过SQL Server Users组获得服务器访问，通过DB_Name Users组获得数据库访问 用户通过加入全局组获得权限，而全局组通过加入角色获得权限，角色直接拥有数据库里的权限 需要多种权限的用户通过加入多个全局组的方式获得权限。,首先你必须对操作系统进行安全配置，保证你的操作系统处于安全状态 然后对你要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本 最后安装SQL Server2000后请打上补丁SP以及最新的SP2,6 SQL安全配置,7 SQL安全配置续（1）,使用安全的密码策略 使用安全的帐号策略 加强数据库日志的记录 管理扩展存储过程 使用协议加密,7 SQL安全配置续（2）,不要让人随便探测到你的TCP/IP端口 修改TCP/IP使用的端口 拒绝来自1434端口的探测 对网络连接进行IP限制,Oracle数据库安全策略,数据库备份所使用的结构 Oracle数据库使用几种结构来保护数据：书库后备、日志、回滚段和控制文件 在线日志 一个Oracle数据库的每一实例有一个相关联的在线日志。一个在线日志有多个在线日志文件组成 归档日志 Oracle要将填满的在线日志文件组归档时，则要建立归档日志。,Oracle数据库安全策略续（1）,Oracle的数据安全 逻辑备份 数据库的逻辑备份包含读一个数据库记录集和将记录集写入文件 物理备份 物理备份包含拷贝构成数据库的文件而不管其逻辑内容.它分为脱机备份（offline backup）和联机备份（online backup）,Oracle数据库安全策略续（2）,Oracle数据库的角色管理 通过验证用户名称和口令，防止非Oracle用户注册到Oracle数据库，对数据库进行非法存取操作 授予用户一定的权限，限制用户操纵数据库的权力 授予用户对数据库实体的存取执行权限，阻止用户访问非授权数据 提供数据库实体存取审计机制，使数据库管理员可以监视数据库中数据的存取情况和系统资源的使用情况 采用视图机制，限制存取基表的行和列集合,Oracle数据库安全策略续（3）,用户角色管理 对所有客户端按工作性质分类，分别授予不同的用户角色 对不同的用户角色，根据其使用的数据源，分别授予不同的数据库对象存取权限,远程登录服务,远程登录服务是指通过某种端口协议为远程客户端提供执行系统命令的服务 常见的远程登陆服务包括 Telnet 终端服务 PcAnywhere rlogin SSH 协议漏洞、服务程序漏洞等问题,Windows 2000终端服务,TS(Terminal Service)工作于3389端口 TS基于RDP(Remote Desktop Protocol)实现 终端服务不是使用HTTP或HTTPS的，而是通过RDP通道实现 TS监听端口可以自己指定 HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 值-PortNumber REG_WORD 3389(默认),终端服务安全,输入法漏洞造成的威胁,net user abc 123 /add net localgroup administrators abc /add 注册表 DontDisplayLastUserName 1,针对TS的攻击,密码猜测攻击风险(TSGrinder) 权限提升风险(PipeUpAdmin、GetAdmin) IME攻击风险 RDP DoS攻击风险,SMB服务-连接与验证过程,随机生成一把加密密钥key(8或16字节),采用DES的变形算法，使用key对密码散列进行加密,SMB提供的服务,SMB会话服务 TCP 139和TCP 443端口 SMB数据报支持服务 UDP 138和UDP 445端口 SMB名称支持服务 UDP 137端口 SMB通用命令支持服务,开放SMB服务的危险,SMB名称类型列表(1),SMB名称类型列表(2),强化SMB会话安全,强制的显式权限许可：限制匿名访问 控制LAN Manager验证 使用SMB的签名 服务端和客户端都需要配置注册表,Netbios的安全设置,取消绑定文件和共享绑定 打开 控制面板网络高级高级设置 选择网卡并将Microsoft 网络的文件和打印共享的复选框取消，禁止了139端口。 注册表修改HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0 禁止445端口。,禁止匿名连接列举帐户名需要对注册表做以下修改。 注：不正确地修改注册表会导致严重的系统错误，请慎重行事！ 1运行注册表编辑器（Regedt32.exe）。 2定位在注册表中的下列键上： HKEY_LOCAL_MACHINESystemtCurrentControlLSA 3在编辑菜单栏中选取加一个键值： Value Name:RestrictAnonymous Data Type:REG_DWORD Value:1（Windows2000下为2） 4退出注册表编辑器并重启计算机，使改动生效。,Netbios的安全设置,Win2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名连接的额外限制）选项，提供三个值可选 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）,Netbios的安全设置,其他服务-Windows 2000打印驱动,以full control权限运行在OS级别 面临的主要威胁-默认情况下任何人都可以安装打印驱动 通过配置组策略或直接修改注册表 攻击者可能会使用木马替换打印驱动,禁止和删除服务,通过services.msc禁止服务 使用Resource Kit彻底删除服务 Sc命令行工具 Instsrv工具 举例 OS/2和Posix系统仅仅为了向后兼容 Server服务仅仅为了接受netbios请求,服务和端口限制,限制对外开放的端口: 在TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置。 禁用snmp服务 或者更改默认的社区名称和权限 禁用terminal server服务 将不必要的服务设置为手动 Alerter ClipBook Computer Browser ,Linux服务,Internet网络服务的安全性 FTP、WWW、MAIL等 系统本身的安全性 TCPWrapper、inetd、Xinetd等 Intranet服务的安全性 NFS、NIS等,Linux网络配置(1),Linux用daemon程序来提供网络服务 有些服务直接由daemon程序一直运行 有些服务通过inetd提供 Inetd 它的职责是监听大范围内的网络端口，根据进来的请求动态启动相应的服务daemon节约资源 在Linux上，其实大多数inetd服务并不是必需的，虽然，这些服务本身有一定的安全认证能力，但是为了安全起见，应该关闭这些服务,Linux网络配置(2),配置xinetd 编辑xinetd.conf 每行格式： 通过/etc/service