信息系统安全第5章.ppt

第5章,信息系统防卫,5.1防火墙技术,5.1.1防火墙的功能,1.作为网络安全的屏障2.防止攻击性故障蔓延和内部信息的泄露3.强化网络安全策略4.对网络存取和访问进行监控审计和报警5.远程管理6.MAC与IP地址的绑定7.流量控制（带宽管理）和统计分析、流量计费8.其他功能,网络防火墙的基本结构,1.屏蔽路由器（ScreeningRouter）和屏蔽主机（ScreeningHost）,具有数据包过滤功能的路由器称为屏蔽路由器。,网络防火墙的基本结构,2.双宿主网关（DualHomedGateway）,网络防火墙的基本结构,3.堡垒主机（BastionHost）,网络防火墙的基本结构,4.屏蔽子网（ScreeningSubnet）防火墙,5.1.3网络防火墙的局限,1.防火墙可能留有漏洞,2.防火墙不能防止内部出卖性攻击或内部误操作3.防火墙不能防止数据驱动式的攻击,5.2信息系统安全审计,安全审计对系统安全方案中的功能提供持续的评估。这就是安全审计。,安全审计功能（1）记录关键事件。关于关键事件的界定由安全官员决定。（2）对潜在的攻击者进行威慑或警告。（3）为系安全管理员提供有价值的系统使用日志，帮助系统管理员及时发现入侵行为和系统漏洞。（4）为安全官员提供一组可供分析的管理数据，用于发现何处有违反安全方案的事件，,5.2.2安全审计日志,典型的日志内容有：事件的性质：数据的输入和输出，文件的更新（改变或修改），系统的用途或期望；全部相关标识：人、设备和程序；有关事件的信息：日期和时间，成功或失败，涉及因素的授权状态，转换次数，系统响应，项目更新地址，建立、更新或删除信息的内容，使用的程序，兼容结果和参数检测，侵权步骤等。对大量生成的日志要适当考虑数据的保存期限。,5.2.3安全审计的类型,1.根据审计的对象分类操作系统的审计；应用系统的审计；设备的审计；网络应用的审计。,2.审计的关键部位（1）对来自外部攻击的审计；（2）对来自内部攻击的审计；（3）对电子数据的安全审计。,5.3入侵检测,入侵检测（IntrusionDetection）就是对入侵行为的发觉。入侵检测系统的主要功能有：监视并分析用户和系统的行为；审计系统配置和漏洞；评估敏感系统和数据的完整性；识别攻击行为、对异常行为进行统计；自动收集与系统相关的补丁；审计、识别、跟踪违反安全法规的行为；使用诱骗服务器记录黑客行为；入侵检测系统（IntrusionDetectionSystem,IDS）是进行入侵检测的软件和硬件的组合。,5.3.2入侵检测原理,事后入侵检测的过程,实时入侵检测过程,入侵检测系统的优点及其局限,提高了信息系统安全体系其他部分的完整性；提高了系统的监察能力；可以跟踪用户从进入到退出的所有活动或影响；能够识别并报告数据文件的改动；可以发现系统配置的错误，并能在必要时予以改正；可以识别特定类型的攻击，并进行报警，作出防御响应；可以使管理人员最新的版本升级添加到程序中；允许非专业人员从事系统安全工作；可以为信息系统安全提供指导。,在无人干预的情形下，无法执行对攻击的检测；无法感知组织（公司）安全策略的内容；不能弥补网络协议的漏洞；不能弥补系统提供信息的质量或完整性问题；不能分析网络繁忙时的所有事物；不能总是对数据包级的攻击进行处理；,5.3.3入侵检测系统的功能结构,入侵检测系统的通用模型,1.信息收集,（1）数据收集的内容主机和网络日志文件目录和文件中的不期望的改变程序执行中的不期望行为物理形式的入侵信息,（2）入侵检测系统的数据收集机制基于主机的数据收集和基于网络的数据收集,分布式与集中式数据收集机制直接监控和间接监控外部探测器和内部探测器,2.数据分析,（1）异常发现技术（2）模式发现技术状态建模串匹配专家系统基于简单规则（3）混合检测人工免疫方法；遗传算法；数据挖掘；。,3.入侵检测系统的特征库,来自保留IP地址的连接企图：可通过检查IP报头（IPheader）的来源地址识别。带有非法TCP标志联合物的数据包：可通过TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别。含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的外延来识别。查询负载中的DNS缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别。另外一个方法是在负载中搜索“壳代码利用”（exploitshellcode）的序列代码组合。对POP3服务器大量发出同一命令而导致DoS攻击：通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击：通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话，发现未经验证却发命令的入侵企图。,4.响应,（1）主动响应针对入侵者采取的措施；修正系统；收集更详细的信息。（2）被动响应在被动响应系统中，系统只报告和记录发生的事件。,5.3.4入侵检测系统的实现,入侵检测系统设置的基本过程,在基于网络的入侵检测系统中部署入侵检测器,检测器位置:（1）DMZ区内（2）内网主干（防火墙内侧）（3）外网入口（防火墙外侧）（4）在防火墙的内外都放置（5）关键子网,在基于主机的入侵检测系统中部署入侵检测器,基于主机的入侵检测系统通常是一个程序。在基于网络的入侵检测器的部署和配置完成后，基于主机的入侵检测将部署在最重要、最需要保护的主机上。,4.报警策略,检测到入侵行为需要报警。具体报警的内容和方式，需要根据整个网络的环境和安全需要确定。例如：对一般性服务企业，报警集中在已知的有威胁的攻击行为上；对关键性服务企业，需要尽将可能多的报警记录并对部分认定的报警进行实时反馈。,5.3.4入侵检测产品的选择,1.购买入侵检测系统考虑的基本因素实时性。自动反应能力。能检测到所有事件，不会发生遗漏警报。跨平台性好，能在多种平台上运行。,2.理想的入侵检测系统的几个特点快速控制。良好的误报警管理。显示过滤器。标志已经分析过的事件。层层探究的能力。关联分析能力。报告能力。,5.4网络诱骗,5.4.1蜜罐,1.蜜罐的特点蜜罐是一个包含有漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。蜜罐不向外界提供真正有价值的服务。所有与蜜罐的连接尝试都被视为可疑的连接。,2.蜜罐的目的引诱攻击，拖延对真正有价值目标的攻击；消耗攻击者的时间，以便收集信息，获取证据。,3.蜜罐的主要形式（1）空系统（2）镜像系统（3）虚拟系统,5.4.2蜜网技术,1.第一代蜜网,2.第二代蜜网,3.第三代蜜网,5.4.3常见网络诱骗工具及产品,1.蜜罐实现工具（1）winetd（2）DTK（3）Honeyd2.蜜网实现工具（1）数据控制：Jptable、snort_inline.。（2）数据捕获：Termlog、Sebek2、snort、Comlog。（3）数据收集：Obfugator。（4）数据分析：Privmsg、TASK、WinInterrogate。,5.5计算机取证,5.5.1数字证据的特点1.依附性和多样性2.可伪性和弱证明性3.数据的挥发性,5.5.2数字取证的基本原则,1.符合程序2.共同监督3.保护隐私4.影响最小如果取证要求必须运行某些业务程序，应当使运行时间尽量短；必须保证取证不给系统带来副作用，如引进病毒等。5.连续完全6.原汁原味必须保证提取出来的证据不受电磁或机械的损害；必须保证收集的证据不被取证程序破坏。,5.5.3数字取证的一般步骤,1.保护现场在取证过程中，保护目标系统，避免发生任何改变、损害；保护证据的完整性，防止证据信息的丢失和破坏；防止病毒感染。,2.证据发现证据信息分为两大类：实时信息（或易失信息），例如网络连接；非易失信息，即不会随时间或设备断电消失。,3.证据固定4.证据提取过滤和挖掘；解码：对软件或数据碎片进行残缺分析、上下文分析，恢复原来的面貌。5.证据分析犯罪行为重构；嫌疑人画像；确定犯罪动机；受害程度行为分析等。6.提交证据。,5.5.4数字取证的基本技术和工具,利用IDS取证利用蜜罐取证,1.利用IDS取证,（1）确认攻击检查的主要内容有：寻找嗅探器（如sniffer）；寻找远程控制程序（如netbus、backorifice）；寻找黑客可能利用的文件共享或通信程序（如eggdrop、irc）寻找特权程序（如find/-perm-4000-print）；寻找未授权的服务（如netstata、checkinetd.conf）；寻找异常文件（考虑系统磁盘大小）；检查文件系统的变动；检查口令文件的变动并寻找新用户；检测cron和atjobs；核对系统和网络配置（特别注意过滤规则）；检查所有主机（特别是服务器）。,（2）取证过程1决定取证的目的观察研究攻击者。跟踪并驱赶攻击者。捕俘攻击者。准备起诉攻击者。2启动必要的法律程序。3对系统进行完全备份，包括用tcpdump作完全的分组日志；有关协议分组的来龙去脉；一些会话（如telnet、rlogin、IRC、FTP等）的可能内容。4根据情况有选择地关闭计算机系统不彻底关闭系统（否则造成信息改变，证据破坏）。不断开网络。将系统备份转移到单用户模式下制作和验证备份。考虑制作磁盘镜像。同步磁盘，暂停系统。5调查攻击者来源利用tcpdump/who/syslog。运行finger对抗远程系统。寻找攻击者可能利用的账号。,2.利用蜜罐取证,（1）获取入侵者信息。（2）获取关于攻击的信息：攻击的手段、日期和时间；入侵者添加了一些什么文件？是否安装了嗅探器或密码？若有，在何处？是否安装有“rootkit”或木马程序？若有，传播途径是什么？。（3）建立事件的时间序列。（4）事故费用分析。（5）向管理层、媒体以及法庭提交相应的报告。,5.5.5数字证据的法律问题,1.数字证据的真实性2.数字证据的证明力,3.数字取证工具的法律效力（1）可测试性漏判测试误判测试（2）错误率可能存在两类错误：工具执行错误提取错误（3）公开性（4）可接受性,5.6数据容错、数据容灾和数据备份,保证系统可靠性的三条途径：避错纠错容错,完善设计和制造，试图构造一个不会发生故障的系统。但是，这是不太现实的,任何一个系统总会有纰漏。因此，人们不得不用纠错作为避错的补充。,灾害对系统危害要比错误要大、要严重；即使出现错误，系统也还能执行一组规定的程序。,5.6.1数据容错,1.数据容错系统分类（1）高可用度系统（2）长寿命系统（3）延迟维修系统（4）高性能系统（5）关键任务系统,2.常用数据容错技术（1）“空闲”设备“空闲”设备也称双件热备，就是配置两套相同的部件。（2）镜像镜像是两个相同的部件。（3）复现复现也称延迟镜像。（4）负载均衡,5.6.2数据容灾,1.数据容灾等级（1）第0级：本地备份、本地保存的冷备份（2）第1级：本地备份、异地保存的冷备份（3）第2级：热备份站点备份（4）第3级：活动互援备份