安全评估工具及方法介绍.ppt

,安全评估工具及方法介绍,议程,评估概述 评估工具介绍 Windows 2000安全评估 Unix安全评估 网络设备安全性评估 网络架构安全评估,安全风险评估三要素,资产,“资产”定义 电信网和互联网及相关系统资产是具有价值的资源， 是安全防护体系保护的对象。它能够以多种形式存在， 有无形的、有形的，有硬件、软件，有文档、代码， 也有服务、形象等。,资产识别 资产是具有价值的资源，是安全策略保护的对象。风险评估中，首先需要将电信网和互联网及相关系统资产进行恰当的分类，以此为基础进行下一步的风险评估。,资产分类及示例,威胁,威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。 威胁可以通过威胁主体、动机、途径等多种属性来描述。威胁 可能导致对电信网和互联网及相关系统产生危害的不希望事件 潜在起因，它可能是人为的，也可能是非人为的；可能是无意 失误，也可能是恶意攻击。 常见的网络威胁有盗取帐号密码、冒名顶替、病毒、特洛伊木 马、错误路由、火灾、水灾等。,威胁赋值,评估者根据经验和（或）有关的统计数据来判断威胁出现的频率,威胁发生频率,威胁分类及示例,脆弱性,“脆弱性”定义 脆弱性是电信网和互联网及相关系统资产中存在 的弱点、缺陷与不足，不直接对资产造成危害， 但可能被威胁所利用从而危及资产的安全。,脆弱性赋值,被威胁利用后对资产的损害程度,威胁利用脆弱性示例,风险值计算相乘法,风险值计算方法-相乘法,风险值 资产价值 威胁值 脆弱性值 风险值的取值范围为1-125 ， 风险值等级化处理， 确定风险值对应的风险等级。,安全评估,网络安全,主机安全,应用安全,数据安全,物理安全,各层的安全需求： 1、保证本层自身的安全； 2、实现本层对上层的安全支撑； 3、增强对上层安全侵害的抵抗能力； 4、尽可能减少本层对下层的安全依赖； 5、尽可能减少本层对下层的安全侵害；,单系统评估风险评估实施流程图,风险评估规范的依据,风险评估方法,工具评估 人工检查 资料分析 访谈 问卷调查 渗透测试,工具评估,目的：以网络扫描的方式，发现易于被攻击者利用的安全风险； 要求：尽可能和被扫描设备之间无访问控制 扫描影响：对网络资源的影响在5%以下，对系统资源的影响在3%以下；,人工评估,目的： 对工具评估结果进行分析； 查找工具评估无法发现的安全漏洞； 了解系统配置信息，为安全加固做准备； 查看系统受攻击情况； 要求：以系统管理员方式登陆系统 评估影响：不对系统进行任何更改，没有影响；,风险规避措施,评估前要求对重要系统进行有效备份； 扫描中不使用DoS扫描策略； 对重要业务系统选择业务量比较小的时间段进行评估； 双机热备系统分别扫描，确认工作正常后再继续扫描； 发现问题，及时中止，确认问题解决后再继续扫描,议程,评估概述 评估工具介绍 Windows 2000安全评估 Unix安全评估 网络设备安全性评估 网络架构安全评估,什么是扫描器,什么是扫描器 黑客实施盗窃之前，最先进行的工作窥探，利用扫描器可以收集到：操作系统类型、开放端口、开放服务及版本号、共享目录， 无疑扫描器成了黑客的帮凶！但扫描器无罪，关键看掌握在谁的手里；,什么是扫描器,安全管理者眼中的扫描器 知己知彼，百战不殆。通过扫描器可以对己方的安全隐患了如指掌； 利用扫描器提供的漏洞修补建议，完成系统的加固； 防范未授权的扫描：部署防火墙、IDS等； 与其它产品联动：防火墙阻断主机、IDS入侵事件过滤;,主流扫描器,ISS SSS WebRavor Linktrust Network Scanner XSCAN SPUER-SCAN NMAP NESSUS 流光 ,X-Scan,X-Scan,NESSUS,NESSUS,议程,评估概述 评估工具介绍 Windows 2000安全评估 Unix安全评估 网络设备安全性评估 网络架构安全评估,主要检查项,补丁与版本 用户与口令 服务状况 安全配置 系统日志 主要应用软件 被攻击情况检查,版本与补丁,版本查看办法 “我的电脑”属性” 开始菜单 “管理工具”计算机管理系统信息系统摘要 补丁查看办法 通过在线Windows Update，检查有哪些安全更新需要安装 通过“控制面板”添加/删除软件”查看已经安装了哪些补丁 通过注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdates 通过其它工具,用户与口令,确保禁用Guest等账户； 检查用户所属的组，关注administrators组；,用户与口令,C:winntrepairsam文件,服务状况,“管理工具”服务 需要关注的服务 Alerter、messenger、snmp、remote registry service、routing and remote access、run as、telnet、ftp、smtp、nntp、terminal service、www 其他远程服务、可疑的服务 远程管理服务 Terminal service、pcanywhere、netmeeting等 共享服务 C:net share “管理工具”计算机管理”共享” 注意共享访问权限,安全配置,安全选项 “管理工具”“本地安全策略”“安全设置/本地策略/安全选项” 对匿名连接的额外限制； 允许在未登录前关机； 是否显示上次登录帐号； LAN Manager身份验证级别； 发送未加密的密码以连接到第三方SMB服务器； 允许弹出可移动NTFS媒体； 在断开会话之前所需的空闲时间； 如果无法记录安全审计则立即关闭系统； 登录屏幕上不要显示上次登录的用户名； 禁用按CTRL+ALT+DEL进行登录的设置； 在关机时清理虚拟内存页面交换文件；,系统日志,系统日志设置,系统日志,日志审核设置,主要应用软件,MS SQL Server等数据库软件 Seru-U等ftp软件 Apache、IIS等WWW服务软件,被攻击情况检查,查看系统进程 任务管理器 查看系统开放服务 查看系统端口和连接 Netstat an结合fport工具 查看系统日志 系统日志、安全日志、应用日志、IIS等访问日志 C:winntsystem32logfiles,被攻击情况检查,系统注册表 HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun和HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce项下是否有异常程序 菜单程序启动 Txt、exe等关联程序 C:ftype txtfile等,议程,评估概述 评估工具介绍 Windows 2000安全评估 Unix安全评估 网络设备安全性评估 网络架构安全评估,主要检查项,系统基本信息 root用户安全配置 系统服务启动状况 关键服务配置 用户与口令 系统审计 文件系统与文件权限 其他,系统基本信息（补丁）,系统补丁信息 使用oslevel确定系统版本 补丁分为三类 Recommended Maintenance Package (RM) Critical Fix (cfix) Emergence Fix (efix) 推荐使用RPM安装系统补丁 对于最新的漏洞，需要efix,系统基本信息（其他）,系统基本信息 uname -a 系统网卡信息 ifconfig -a 系统路由信息 netstat -nr 网络连接信息 netstat -na 系统进程信息 ps -ef,root用户安全配置,是否允许root用户远程登录 在/etc/security/user文件中设定 使用lsuser可以查看 使用chuser更改 root用户的环境变量 /etc/environment是全局的环境变量 /etc/security/environ中可以设定单个用户的环境变量 也可以通过启动文件设定环境变量,系统服务启动状况,初始的启动文件/etc/inittab piobe qdaemon writesrv httpdlite 通常服务在/etc/rc.*文件中启动 rc.nfs rc.tcpip rc.d/ inetd的启动文件/etc/inetd.conf,关键服务配置,R命令（rlogin, rsh）的配置情况 CDE（dtlogin）是否设置访问控制 Ftp服务是否限制系统用户访问（/etc/ftpusers） Cron服务 NFS服务 SNMP服务 Sendmail服务 DNS服务,用户与口令,删除无用用户 查看是否存在空/弱口令 口令策略设定 在/etc/security/user文件中设定 使用lsuser/chuser查看与修改 登录策略设定 在/etc/security/login.cfg文件中设定 通用用户的环境变量设定 在/etc/environment文件中设定,系统审计,syslog日志的配置状况 记录失败登录：/etc/security/failedlogin 使用who查看：who /etc/security/failedlogin 记录最新登录：/etc/security/lastlog 文本文件，使用more查看 记录su的使用：/var/adm/sulog 文本文件，使用more查看,文件系统与文件权限,以安全模式加载文件系统 文件基本权限 查找setuid, setgid与全局可写的文件 find / -perm -4000 -ls 查找所有setuid的文件 find / -perm -2000 -ls 查找所有setgid的文件 find / -perm -0004 -ls 查找所有全局可写的文件和目录,其他,修改banner信息 在/etc/security/login.cfg中修改herald参数 对网络连接设置访问控制,服务安全管理,尽可能少泄露系统信息 更改telnetdftpdbindsendmail等的banner信息 编写安全的用户程序 注意避免自己编写的用户程序中常见的安全漏洞，它们往往成为黑客攻击的突破口。,主要应用软件安全性,服务的安全补丁 除了操作系统的安全补丁外，各厂商的应用服务，也需要安装相应的安全补丁。 比如sendmail、Bind、Apache、WUFTP、数据库、网管系统等等，都会不定期出现严重的安全漏洞，需要单独安装其安全补丁。,主要应用软件安全性,对服务的安全配置 对主要的服务，比如snmpd、 sendmail、bind、apache、NFS等，如果必须开放的话，也应该进行相应的安全配置。,入侵检查,基本理念 了解后门的形式 会有助于对攻击者入侵行为和后门的检查 系统是否可信 系统已经或者有可能受到攻击，那么许多信息已经不再完全可信 通过lsnetstatpsfind等获得的信息不再可信，因为这些应用程序本身可能已经被入侵者篡改； syslog日志可能已经被删除或者篡改； 文件或者目录的大小属性、时间戳等都可能被伪造。 入侵痕迹 入侵者往往会由于技术或者非技术的原因留下蛛丝马迹 当攻击者多次登录、或者多台机器被入侵时，由于疏忽的原因，留下痕迹的可能性会更大,入侵检查,使用基本的系统命令 ls命令： 注意查看文件的ACLTime时间戳、权限位、大小、属主等； find命令： 可以根据文件的ACLtime时间戳、权限、大小、属主、类型等特性进行查找； ps eaf或者/bin/ucb/ps aux查看进程信息； ldd查看命令所调用的动态库 netstat an命令查看端口链接信息； lsof查看进程打开的端口、打开的文件等属性； strings和file命令查看文件信息；,入侵检查,使用基本的系统日志 查看系统本身的相关日志， 但它们被篡改的可能性较大； 查看网络日志服务器的日志或者查看IDS系统日志等 它们一般比较可靠，被篡改的可能性相对较小。 使用其它工具（ chkrootkit ）,常见的后门形式,suid后门 把重要的文件cp到隐藏的目录下，设置suid位，比如： cp /bin/ksh /tmp/.aa chown root:root .aa chmod 4755 .aa,常见的后门形式,inetd后门 选择一个不常被使用的服务，用可以产生某种后门的守护进程代替原先的守护进程 ,比如： 将用于提供日期时间的服务 daytime 替换为能够产生一个 suid root 的 shell vi /etc/inetd.conf daytime stream tcp nowait /bin/sh sh -i.,常见的后门形式,rc等启动脚本后门 在rc启动脚本中运行后门服务，比如在/sbin/rc3或者/etc/rc2.d/S69inet中增加： nc l p 9999 e /bin/sh & 将会在tcp 9999端口监听。,常见的后门形式,更改/etc/passwd和/etc/shadow文件 echo footq:x:0:0:/export/home/footq:/bin/sh /etc/passwd echo footq: /etc/shadow,常见的后门形式,攻击者可能在crontab或者at中增加定期运行的后门 Crontab的语法为： 几分 几点 几号 几月 周几 命令 10 3 * * 0 /usr/lib/newsyslog crontab l aaa 将当前用户的crontab内容导入到aaa文件 crontab bbb 将编辑好的crontab文件bbb加载到当前用户的crontab中，使之生效 crontab e 编辑当前的crontab文件,常见的后门形式,rootkit 黑客的后门工具箱，比如lrk5、ark等，包括以下功能： 自动清除日志中的登录记录的工具，比如wipe、zap2等； 隐藏攻击者目录和文件、进程等的工具，如替换的netstat、ps、ls、ifconfig等； 木马，比如替换的login、su等； 后门程序，比如nc，或者其他的BindShell等； 以太网的sniffer； 它能伪装被替换文件的sum校验和，更改时间戳等，由于许多命令被替换更改，所以许多东西不再可信，比较难于检查，但是： 往往也会存在纰漏和蛛丝马迹，能够被人工发现； tripwire等文件系统完整性检查工具、chkrootkit可以发现它。,议程,评估概述 评估工具介绍 Windows 2000安全评估 Unix安全评估 网络设备安全性评估 网络架构安全评估,主要检查项,设备负载 访问安全 账号和口令 认证 banner 服务管理 log acl 防范DOS攻击功能,路由器负载,路由器的负载通常取决于下列因素: 路由器在网络中所处的层次 核心层, 汇聚层, 或者接入层 路由器执行的软件功能 NAT , policy-route , 加密等等都会加重设备负担 命令 show process mem show process cpu,IOS版本有无漏洞,系统漏洞, 在非人为条件下, 系统在特定网络环境中出现异常; 安全性漏洞, 破坏者借此控制设备或者造成设备运行异常; 网络设备运行中断或者异常即可造成经济损失 检测方式 网络扫描工具 如LinkTrust Network Scanner 检查版本号, 版本过低即可能有漏洞 命令 show version,访问安全,Console,访问安全,auxiliary,访问安全,vty,vty,访问安全,vty,访问安全,Privilege 从015 默认是： 1（exec） 15（enable） 可以自定义其他级别,访问安全,访问安全,账号和口令,应按照用户分配账号 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username ruser1 password 3d-zirc0nia Router(config)# username ruser1 privilege 1 Router(config)# username ruser2 password 2B-or-3B Router(config)# username ruser2 privilege 1 Router(config)# end,账号和口令,Type 7 Cisco的算法 很容易被破解 enable password username * password * service password-encryption（可以保证不在屏幕上直接显示） Type 5 MD5算法 安全 enable secret,账号和口令,Enable password和enable secret同时存在时，只有enable secret起作用 应该禁止enable password，尤其注意二者不能相同,认证,认证系统联动 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa authentication login default group tacacs+ Router(config)#aaa authentication enable default group tacacs+ Router(config)#tacacs-server host 8 Router(config)#tacacs-server key Ir31yh8n#w9swD Router(config)#end,有些时候， 缺省BANNER信息会为黑客提供入侵线索；,User Access Verification Password:,如上信息意味着该设备是Cisco设备。 Router(config)#banner login This is secured device. Unauthorized use is prohibited by law. ,修改缺省banner,HTTP 管理模式,HTTP管理模式可以使用户以WEB方式管理路由器， 但是也带来安全隐患。 router(config)#no ip http server 关闭HTTP模式 router(config)#ip http access-class access-list 用ACL限制可以访问的地址 router(config)#ip http authentication 验证方式：本机或者radius服务器,Router(config)#no access-list 11 Router(config)#access-list 11 permit host Router(config)#access-list 11 deny any Router(config)#ip http access-class 11 Router(config)#ip http authentication local Router(config)#ip http server,HTTP 管理模式,SNMP是否有安全隐患,尽可能禁用SNMP， 如确实需要使用SNMP， 必须： 确保使用SNMP 版本3，因为SNMP V3使用了较强的MD5认证技术 必须确保MIB库的读写密码（Community String Password）必须设定为非缺省值（Public and Private ） Community String Password必须为健壮口令，并定期更换； 确保授权使用SNMP进行管理的主机限定在指定网段范围内（ACL）,Router(config)# no snmp community public Router(config)# no snmp community private Router(config)#access-list 8 permit Router(config)#access-list 8 permit 0 Router(config)#access-list 8 deny any Router(config)# !make SNMP read-only and subject to access list Router(config)#snmp-server community hello!# ro 8 Router(config)#snmp-server host 8 maddog Router(config)#snmp-server trap-source loopback 0 Router(config)#snmp-server enable traps snmp,SNMP是否有安全隐患,关闭无用服务,很多服务目前Internet 上已经很少使用，而且这类服务服务往往存在可供黑客利用的缺陷。 Small services (echo, discard, chargen, etc.) : Router(config)#no service tcp-small-servers Router(config)#no service udp-small-servers BOOTP : Router(config)#no ip bootp server Finger Router(config)#no ip finger Router(config)#no service finger,CDP是否构成隐患？,无必要时， 关闭CDP协议， 黑客通常可以借助CDP更快地了解网络拓扑结构,XXXX-NMSW-1#show cdp nei Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID JAB032008YP(XXXX-Gig 4 155 T S WS-C4003 2/2 JAB032008YP(XXXX-Gig 3 155 T S WS-C4003 2/1,LOG,Log类型 Console logging Terminal line logging Buffered logging 空间有限 Syslog logging SNMP trap logging,LOG,LOG,LOG,LOG,日志是否开启,确保路由器开启日志功能。若路由器没有足够的空间，需要将日志传送到日志服务器上保存； 若边界路由器未配合防火墙、IDS、Sniffer等技术使用，必须支持详尽的日志信息； 在日志文件中需要记录登录过该设备的用户名、时间和所作的命令操作等详细信息，为发现潜在攻击者的不良行为提供有力依据；,Router(config)# logging on Router(config)# logging 00 Router(config)# logging buffered 16000 information Router(config)# logging console critical Router(config)# logging trap debugging,日志是否开启,SNMP,SNMP,访问控制列表,标准ACL Interface# access-group list-number in(out),访问控制列表,扩展ACL Interface# access-group list-number in(out),访问控制列表,基于name的扩展ACL Interface# access-group list-number in(out),访问控制列表,ACL匹配顺序 默认是deny 最少一个permit 只是单向访问控制,是否需要和合理利用RPF功能？,RPF可以有效地防止基于地址欺骗的攻击手段，提供全网的抗攻击能力，的使用基于以下原则： 路由器必须可以开启交换模式 如果路由器从某接口接收到的任何包， 其回应包必定从该接口返回， 则可以在该接口上使用RPF功能； 尽可能在靠近接入用户的网络设备上使用；,Router(config)#ip cef Router(config)#inter e0/0 Router(config-if)#ip verify unicast reverse-path,访问控制列表,访问控制列表,访问控制列表,访问控制列表,议程,评估概述 评估工具介绍 Windows 2000安全评估 Unix安全评估 网络设备安全性评估 网络架构安全评估,网络架构安全评估,安全域划分 边界防护 网络安全管理 冗余、备份与恢复 IP地址规划,安全域划分（1）,为什么要划分安全域？,组网方式随意性强，缺乏统一规划 网络区域之间边界不清晰，互连互通没有统一控制规范 安全防护手段部署原则不明确 扩展性差,无法有效隔离不同业务领域，跨业务领域的非授权互访难于发现和控制 无法有效控制网络病毒的发作区域和影响 不能及时的发现安全事件和响应 第三方维护人员缺乏访问控制和授权 管理员密码和权限的难以管理 关键服务器、信息资产的缺乏重点防护,安全域划分（2）,安全域划分的根本目的是把一个大规模复杂系统的安全问题，化解为更小区域的简单系统的安全保护问题。这也是实现大规模复杂信息的系统安全分等级保护的有效方法。,安全域是指具有相同或近似安全保护需求的一系列IT要素的逻辑集合。这些要素主要包括： 业务应用 网络区域 主机/系统 组织人员 物理环境,主体、性质、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。,安全域划分,安全域划分（3）,安全域划分的基本步骤,作为实现信息系统安全等级保护的前提，首先应提出各信息系统组网、设备部署的基本原则，即进行安全域划分的原则。 在明确安全域划分基本原则基础上，根据不同信息系统的价值和安全风险等级，确定各安全域不同的保护等级。 结合冗余备份、提高数据传输效率等原则，明确组网的基本要求，并据此进行边界保护和基本安全防护手段的建设工作。,安全域划分（4）,安全域划分的原则,业务保障原则： 安全域划分的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。 结构简化原则： 安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。 等级保护原则： 安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。 生命周期原则： 对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化； 在安全域的建设和调整过程中要考虑工程化的管理。,安全域划分（5）,安全域划分方法,安全域的划分除了遵循上述根本原则外，安全域的划分还应考虑如下两个重要特征： 安全域内的系统应具有相同或者相近的保护等级； 属于同一安全域内的系统应互相信任，也就是说即使保护需求相同，如果属于不同的系统而且互不信任，也不应该纳入同一安全域进行保护，“信任”是一个相对的概念。 应当根据业务逻辑、地域与管理模式、业务特点划分安全域、安全子域、安全区域。 在安全域内部进一步划分安全区域时，如核心生产区、日常工作区、漫游区、DMZ区、第三方互联区等等，重点参考了IATF计算区域划分的理论，并考虑了不同区域和不同的威胁。,边界防护（1）,根据IATF等安全理论，安全域划分的原则明确以后，安全域的边界访问控制是关注的重点。 安全域边界的保护原则是：应以通为主，以隔为辅，即在保证业务系统连通需求的前提下，根据各安全域的威胁等级、保护等级，部署支撑系统的保护方式。,边界防护（2）,安全域边界的保护方式,在边界整合基础上，结合安全域的威胁等级和保护等级，采用“重点防护、重兵把守”的原则，建立安全域互联边界的防护措施，以实施安全域互访的原则。 目前的互联与保护方式主要有： 单层防火墙控制下的直接互联 双重异构防火墙控制下的直接互联 接口服务器（如PORTAL）方式实现的服务器服务器的互联 接口服务器结合物理隔离的互联等。 确定防护方式主要考虑以下因素： 技术 安全性 实施难度 投资角度 安全域的保护等级、威胁等级，,边界防护（3）,安全域边界的安全部署,在进行安全域边界部分、尤其是漫游区接入的安全部署时，除了采用上述的保护方式外，还要综合考虑病毒自动查杀的病毒墙、补丁管理、漏洞扫描、入侵检测、访问控制、双因素认证、信息加密等安全技术的统一部署，并实施集中的实时监控。 除了实施必要的安全保障措施控制外，加强安全管理也是不可或缺的一个重要环节。,网络安全管理（1）,使用了何种网管系统？ OpenView、Tivoli等 使用了何种管理协议？ telnet、snmp、http等 是采用带内管理还是带外管理？ 带外管理，是否注意隔离？ 是否采用了Windows Domain或Unix NIS管理？,网络安全管理（2）,使用流量分析工具进行正常情况下的网络流量进行分析和建模，出现异常流量时立即触发告警并启动相关工单和响应流程； 使用各类安全手段的集中管控系统（OMC），如防火墙的控制端、防病毒系统的集中控制端、IDS的集中日志分析系统等，进行较为集中的安全监控； 利用部分网管系统，如IP数据网管，对各业务系统工作状态进行实时监控，出现安全相关异常时立即触发安全告警并启动相关工单和响应流程； 建设安全运营中心（SOC），实现安全事件进行全局监控预警和响应。,网络安全管理（3）,对于安全告警监控的技术手段上，主要存在两种情况。 第一、部署了多种专业安全技术手段，但并没有部署统一安全管理监控平台的情况，按照专业安全系统的分类，开展相对集中的安全监控工作。 第