IT系统深度安全.ppt

www.huawei-,IT系统深度安全,汇报目录,安全案例H3C安全产品发展历程H3C安全解决方案H3C成功案例分析,选中攻击目标,获取普通用户权限,擦除入侵痕迹,安装后门,获取超级用户权限,攻击其它主机,获取或修改信息,从事其它非法活动,破坏型、入侵型,信息收集,确定操作系统、应用服务、端口、社会工程学等,可以做简单入侵或提升权限的准备,网络攻击示意图,根据本地漏洞提高权限,系统日值Rootkit等,网络攻击实例,PCWeek的一次悬赏评测目标：WinNT、RedHat6.0应用：为报刊类站点设计的分类广告系统NT：ASP、IIS、MTS、SQLServer7Linux：Apache、mod_perlSS目标：修改主页或获取绝密文件topsecret。,前期踩点,搜寻对方系统发现被防火墙保护,Lemming:#80Trying70C.Escapecharacteris.POSTXHTTP/1.0HTTP/1.1400BadRequestDate:Fri,24Sep199923:42:15GMTServer:Apache/1.3.6(Unix)(RedHat/Linux)()ConnectionclosedbyforeignhostLemming:#,探测结果：运行Apache的RedHat主机，应该有mod_perl,没有发现，尝试常见的CGI漏洞(tect-cgi、wwwboard、count.cgi)等，未发现问题，登录网站，发现目录结构(/、/cgi-bin、/photoads、/photods/cgi-bin等),设定目标,重点对象Photoads软件出品的软件包找到一份默认安装发现：,第一次攻击,forSSIformod_perl系统虑过了大部分的输入，几乎没有找到什么问题Post.cgi出现了一个变量Print“youaretryingtopostanADfromanotherURL:$ENVHTTP_PEFERERn”;$ENVHTTP_PEFERER是一个用户提供的变量，没有做输入过滤，可以嵌入代码使用工具：getit.ssigetit.mod_perl使用方法:lemming:#catgetit.ssi|80机器没有配置SSI和mod_perl,所以尝试没有成功第一次失败,改变思路,从查找cgi漏洞入手perl的漏洞一般出在open()、system()、系统调用系统查找结果没有system()和系统调用，出现了open()Lemming:/photoads/cgi-bin#grepopen.*(.*)*cgi|moreavisory.cgi:open(DATA,“$BaseDir/$dataFile”);edit.cgi:open(DATA,“$BaseDir/$dataFile”);edit.cgi:open(MAIL,“|$mailprogt”)|die“Cantopen$mailprog!n”;Photo.cgi:open(ULFD.“$write_file”)|dirshow_upload_failed(“$write_file$!”);Photo.cgiopen(File,$filename);()Photo.cgi132行$write_file=$Upload_Dir$filename;Open(ULFD,“$write_file”)|dieshow_upload_failed(“$write_file”);PtintULFD$UPLOADFILE_CONTENTClose(ULFD),查找变量定义,$write_file=$Upload_Dir.$filenamePhoto.cgi第226行定义If(!$UPLOADFILE_NAME)show_file_not_found();$filename=lc($UPLOADFILE_NAME);$filename=s/.+(+)$|.+V(V+)$1/;If($filename=m/gif/)$type=gif;elsif($filename=m/jpg/)$type=jpg;elseMy$head;My$gHeadFmt=“6vvb8cc”;My$pictDescFmt=“vvvb8”;ReadFILE,$head13;(my$Gif8a,$width,$height,my$resFlags,my$bgColor,my$w2h)=uppack$gHeadFmt,$head;closeFILE;$PhotoWidth=$width;$PhotoHeight=$height;$PhotoSize=$Size;Return,攻击的详细过程,Photo.cgi140行If($photoWidtheq“”)|($PhotoWidth700),文件名必须是数字,密码限制了字节又不能使用./././的手法了,暴露出的问题,Rename()函数没有校验，出错会跳过去出错的方法，超常文件名Linux默认最长文件名为1024个字节系统提示只能上传已经存在编号的广告图片又是一个死胡同?_?寻找Edit.cgi,发现能够自己建立一个新的广告文件编号输入一个名字回车1024个数字创建一个文件编号大收获！因为系统设置NOBODY可以运行，故上传文件，设计一个文件有专门为GIF留有的文件头发现不能改名index.html为管理员所有，或没有写权限。但是可以修改CGI教本，于是在不影响系统运行的情况下，加入Advisory.cgi首战告捷！,柳暗花明,但是当教本第一次运行Shell的时候必须加以说明，如：#!/bin/shEcho“Content-type:text/html”Find/”*secret*”print但是我们的文件必须满足文件尺寸大小的规定，按照标准则应为#!/bi00000000n/sh没有这么短就能执行的SHELL死胡同第二次!_!Linux下默认的ELF(可执行文件)，给了我们一个提示将文本文件转成16进制文件，将里面的00转为0X00，则一举两得！Sing构造一个ELF文件使之符合URL标准，Apache的最常URL为8190个字符还有1024个字符的数字，ELF文件只有7000个字节空间是一个很小的程序,真正的编程工作,1.设计一个小型的C程序2.将之编译3.使之符合URL规范发现是7600个字节，太大了对这个二进制文件进行优化，剩余4535个字节上传这个文件可以调用系统命令进行ls、Find、Locate等命令没有发现Topsecret文件为什么？绝密文件没有放在nobody可以访问的文件夹中！解决方法需要ROOT权限！,为了最高权限,通过脚本查找系统版本、应用服务版本查到crontab漏洞(可以在bugtraq/securityfocus中找到)目的就是有一个nobody有权限使用的shell就可以了繁忙编写程序中完成后重新上传文件，检查运行状态，发现suidroot最后的工作：1.上传文件2.改名3.Copy到相应目录攻击完成了！历时20个小时,简单回顾,让我们来回顾攻击的全过程,修改主页,目标开始探测程第一个隐患得出结论价值,获取绝密文件,系统检测,LinuxRedHatApache,WindowsNTIIS,开放80端口,应用广告程序,确定攻击方向,获取软件并分析,口令文件的存放位置,程序以Nobody身份运行,文件存放目录,无用,有用,下一节,回顾第二部分,第二次攻击结果系统分析,常用编写教本,上一节,SSI,Mod_perl,没有配置,查脚本漏洞分析软件,系统调用,System(),Open(),$write_file,$filename,文件名称检测只能是数字的名称必须是.gif或.jpg,获取信息,发现漏洞：index.html%00.gif,只能以GET方式上传,Jpg禁止上传,Gif可以上传,下一节,回顾第三部分,Gif可以上传,系统分析结果二次系统分析,文件尺寸检查必须设定尺寸标记默认为350*250,上一节,文件名只能是数字,密码框屏蔽特殊字符,尝试上传,只能上传已存在的文件,Edit.cgi,编辑现有文件,创建新文件,文件改名,Rename()有1024字节的bug,再次上传,成功！,改名index.html,不成功没有权限,下一节,离成功只有一步之遥,上一节,可以改为cgi文件,扩大战果编程实战,图片尺寸,脚本语言,无法两者都满足,ELF,改为.elf,上传,编译,优化,编程,调用系统命令,没有绝密文件,必须拥有root权限！,最终成功,调用系统命令,发现系统漏洞,提升自身权限,编写程序,改名,上传,复制,攻击成功,其它安全事件,下载DOS政府网站木马入侵,汇报目录,安全案例H3C安全产品发展历程H3C安全解决方案H3C成功案例分析,ITOIP,以IP技术为核心的四大产品集群构成ITOIP的支撑,华为3Com安全理念安全渗透,网络的发展演变,安全发展演变,包过滤,软件防火墙,路由器ACLs,以太网,Hubs,bridge,SwitchesHWRouters,Multi-layerSwitchesLoadbalancers,软件IPS,IDSASIC硬件防火墙,安全渗透网络,网络本身内置安全机制，实现端到端的安全,SoftwareRouters,华为3Com安全理念技术模型,深度,全局,智能,L2,L2.5,L3,L4,L57,统一威胁与策略管理,流量分析与行为识别,统一用户认证与授权,协作（产品解决方案）,集成（技术/产品）,统一基础安全管理,DVPN,交换机,路由器/VPN,防火墙/SecBlade,TippingPointIPS,VPE,EAD,入侵抵御,虚拟化分区隔离,抗DoS,带宽滥用,蠕虫控制,华为3Com安全产品线安全设备,华为3Com安全产品线安全管理,安全认证,CAMS：综合安全认证平台,安全管理,Quidview网络基础管理VPNManager业务管理BIMS安全业务智能管理,端点安全,EAD：端点准入防御方案,安全审计,XLog：综合安全审计系统SOC：安全管理中心,IT与业务融合中的安全困扰,P2P泛滥,环境干扰,物理安全,信息窃取,非法业务,非授权访问,身份识别,DoS攻击,木马/间谍软件,蠕虫病毒,90%以上的计算机会感染间谍软件、广告软件、木马和病毒等恶意软件SQLSlammer在10分钟内感染了全球90有漏洞的机器911事件中，丢失数据的企业中有55%当时倒闭。剩下的45%中，因为数据丢失，有29%也在两年之内倒闭，生存下来的仅占16%,损失大,危害高,防护难,差异化全局安全部署,DVPN,SSLVPN,远程接入,网关,内网,数据中心,防病毒,网流优化,入侵抵御,FW/EAD内网可控,虚拟软件补丁,DDoS防御,安全管理中心,网络流量分析,全局,IPSecVPN,VPE,虚拟防火墙,汇报目录,安全案例H3C安全产品发展历程H3C安全解决方案H3C成功案例分析,安全趋势分析,关注安全问题接入安全Internet接入的安全隐患外部单位接入安全隐患内部用户接入的安全隐患重要数据存储安全管理的,解决方案一、Internet接入安全,Internet接入是安全问题最前沿DOS/DDOS攻击病毒、蠕虫传播、木马ActiveX、JAVA用户名密码尝试、穷举BT带宽占用VPN接入安全备份网络,Internet接入解决方案拓扑,水利广域网,内部办公区,Internet,外网DMZ区,防火墙,1、区域设置、状态包过滤、DDOS攻击、应用层信息过滤、BT限流2、防病毒板卡(http/ftp/pop3/smtp)3、应用层防护(IDS联动防火墙)4、区域节点之间的VPN连接,防病毒板卡,防火墙+VPN,IPS（IDS）,物理隔离网闸,Internet区域防御优劣势分析,优势保障了接入的安全性(DOS/DDOS、Java、ActiveX)建立了网关防病毒的模式区域节点间的VPN连接(备份网)BT限流IPS和防火墙联动扩展性防火墙可扩充流量管理模块在互联网与省局网络之间通过网闸进行分割劣势IDS难以全面进行安全防护与安全审计建议使用UTM设备进行防护,业务解决方案之：互联网可靠连接,SecPathFW/VPN,总部,分支机构,分支机构,SecPathFW/VPN,SecPathFW/VPN,DVPN域,EAD,IPSec远程接入,移动办公用户,合作伙伴,SSLVPN,丰富的VPN综合运用DVPN/IPSec/SSLL2TP/GREVPN远程客户端安全校验,SSLVPN优势易于安装使用、兼容性好能够对应用层进行访问控制Clienttosite的最佳组网模式,病毒防护网关ASM防病毒插卡,ASM：Anti-VirusSecurityMonitor与瑞星合作完成支持SMTP、POP3、FTP、HTTP等协议可应用于SecPathF100-A/F1000-S/F1000-A最大吞吐量200Mbps,新,SecPath防病毒网关,路由器,带防火墙模块的核心交换机,内网办公区,数据中心,ASM插卡,网络安全监控NSM插卡,产品特点：独立网络处理器，并联处理，不影响网络性能监控信息的图形化显示百余种网络协议分析，包括IP和非IP的27层报文各种历史和实时报告的输出,SecPath防火墙,报文流入,报文流出,流量镜像,NSM插卡(NetworkSecurityMonitor),产品定位：NSM适用于：SecPathF100-A/F1000-S/F1000-A,新,虚拟软件补丁技术,一个漏洞（弱点）就是软件程序中存有的一个安全缺陷一个攻击就是能充分一个存在的安全缺陷，从而实现不需任何授权就能对易受攻击（有漏洞）的系统进行访问的程序简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器由于受到处理器引擎性能限制，过滤器开发人员只能采用这种最基本的过滤器结果：漏报、误报、继续受到攻击IPS的弱点过滤器实际应是一个虚拟软件补丁，它能覆盖整个漏洞,漏洞“特征码”,IPS系列产品的核心属性,IPS过滤器的方法,签名,用法:固定模式正则表达式检测和防止:病毒特洛伊木马已知攻击P2P应用未经授权的即时通讯,协议异常,用法:遵守RFC协议解码器SYN代理服务器标准化检测和防止:规避未知的攻击流量异常未经授权的访问SYNFloods,漏洞,用法:协议解码器正则表达式应用消息分析检测和防止:未知攻击蠕虫/Walk-in蠕虫未经授权的访问,流量异常,用法:流量阈值连接限制连接速率限制检测和防止:DDoS攻击未知的攻击流量异常,高可用性和基于状态网络冗余,热插拨，双电源支持内置监控Watchdog计时器安全和管理引擎自动或手动切换到L2交换机方式99.999%网络可靠性,网络状态冗余Active-ActiveActive-Passive没有IP地址或MAC地址对路由协议透明HSRP,VRRP,OSPF,基于状态网络冗余,内置的高可用性,数字疫苗在线更新机制,SANSCERTVendorAdvisoriesBugtraqVulnWatchPacketStormSecuriteam,数字疫苗自动在线为用户更新,大规模的分发系统通过AkamaiCND在56个国家的9,700服务器进行分发,RISKWeeklyReport,过滤器类型签名（Signature）漏洞（Vulnerability）异常流量和（或）异常流量统计,业界的认可-NSS金奖,通过750个单项测试，评估IPS的性能、安全性和可用性用一年的时间开发测试方法和建立测试环境每个产品进行二周的测试参与厂商TippingPoint、ISS、NetScreen、TopLayer、McAfee、Cisco,BobWalderPresident,NSSGroup,“NSS金奖是一个标准，我们授予给我们认为近乎完美的产品.”,解决方案二、内部用户接入安全,内网关注的安全问题客户端的安全(系统补丁、防病毒、非法外联)用户接入认证、权限管理环保广域网接入的安全链路备份不同安全域的划分日志审计,EAD,EAD,EAD,环保办公网安全,水利广域网,内网认证、日志系统,内部办公区,安全规划：1、使用双链路冗余、核心交换机使用防火墙板卡、链路通过网闸隔离；2、内部用户使用EAD进行认证(接入认证、权限管理、防病毒、补丁自动升级)3、管理局域网使用日志系统、认证服务器进行管理,安全隔离区,系统补丁服务器,防病毒服务器,网闸,EAD,EAD,EAD,环保接入网安全,水利广域网,双核心交换防火墙板卡,Internet,外网DMZ区,UTM,物理隔离网闸,横向单位接入区(银行、海关、法院等),特殊应用接入,内部办公区,IDS,IPS,内部用户接入方案优、劣势分析,优势板卡式防火墙模块解决防火墙单点故障问题双链路接入，网闸进行隔离内网用户全面认证，可以和CA或域认证结合使用内网用户病毒库、系统补丁全面自动升级，隔离区升级内网部署日志服务器，实现事后审计扩展性可以结合SOC进行统一安全管理劣势EAD部署时间周期较长，需进行较多培训工作内部管理难度大于技术实现难度,Internet出口管理：企业IT管理人员非常反感网络中多Internet出口问题，包括私设代理、私自拨号、双网卡等。EAD可以发现网络中私设的Internet出口，并根据策略将私设出口的终端下线。,补丁和病毒软件管理：企业终端染毒进而造成网络故障，90%以上原因是没有打上必要的系统（包括OS、DB、Office）补丁、安装必要防病毒软件（或者升级到最新的病毒库版本）。EAD增强的安全检查可以强制用户终端上网前完成此类修复工作。,黑白软件管理：很多企业有强制推行某些软件安装（或者不安装）的制度需求。EAD可以从技术上支持这种制度的落实，即如果不安装某些必须软件（或者安装了某些禁止软件）禁止上网。,终端流量检查：用户终端染毒对网络的影响往往是发送大量的广播包占用网络带宽，自动检测和遏制这种终端是保护网络的一种有效办法。EAD支持对用户终端流量异常的检测，根据策略将该终端进行下线操作。,安全检查,EAD主要特点,解决方案三、安全管理解决方案,安全管理需要关注的问题由技术管理向管理技术转变把握全网安全动态而不是局部隐患全网皆安全所有设备、服务器的统一审计关联分析，查询安全事件源头，迅速反应,支出占营业收入的比例,100%,0%,典型的企业IT安全ROI,50%,成本功效,10%,IT安全投资,认证服务器,日志系统,IDS,安全路由交换机,防火墙,信息孤立,安全审计系统,安全客户端,流量整形网关,企业网络安全建设现状,安全投资回报,网络安全建设取得的成绩,IT投资管理最佳实践,端点准入防护,专业防护软件,内容过滤网关,FW/VPN,IDS/IPS,基于安全事件的需求部署,单点管理,以遏制安全事件为核心，无法监控和量化整网安全风险，整网安全状况无法量化，无法帮助企业作出恰当的决定,IT安全投资,病毒传播防护垃圾邮件过滤间谍软件过滤,攻击防御访问控制路由策略加密、认证与授权移动用户安全接入,用户准入认证服务策略实施,应用层威胁攻击防御流量监控,主机病毒防护主机防火墙主机应用审计,对攻击只能孤岛防御，无法实现全局监控,问题一：重局部、轻整体造成信息孤岛,设备间信息沟通不畅，形成信息孤岛,分别管理各种网络设备，获取安全信息,网络失衡,问题二：海量信息缺乏智能分析,海量信息：安全事件不断涌现，很难抓住重点，巨大的工作量也不能带来决策依据。,防火墙日志,IPS日志,安全客户端日志,病毒传播报警,网络设备日志,公安部安全等级保护,FISMA,公安部安全等级保护,GLPA,SOX法案,风险评估,HIPAA,ISO17799,公司的安全制度有没有人违反？最近有没有泄密公司资料？有没有上班时间下载电影？有没有发生过攻击事件？病毒防护措施做了没有？.,环境,问题三：法规遵从要求不断提高,人员,设备,信息,CIO的实际需求,从数字上对安全风险进行评估,实现风险规避,事件发生概率、损失,问题四：以反应性方法为核心,10.8%,10.4%,-0.5%,-4.1%,5.4%,反应性方法：当一个安全事件发生时，反应性方法就是遏制情形，指出发生了什么事情，并尽可能快地修复受影响的系统。前瞻性方法：与等待坏事情发生然后再做出响应不同，前瞻性方法防治结合，最大程度地降低坏事情发生的可能性。,安全风险,我们需要什么样的安全网络？,EAD,EAD,安全管理解决方案拓扑,水利部广域网,内部办公区,双核心交换防火墙板卡,Internet,外网DMZ区,UTM,物理隔离网闸,横向单位接入区(银行、海关、法院等),SAN网络-CATIS数据,网闸+入侵防御,特殊应用接入,内网认证、日志,入侵防御,SecCenter,防火墙+VPN,安全统一管理方案优、劣势分析,优势全面内网安全管理，管理所有安全设备防火墙、网闸、IPS、VPN、EAD等管理H3C安全管理产品外设备路由器、交换机、服务器、应用全面防护差异化部署全面关注三层传输安全、47层应用安全结合网闸，将不同安全区域进行隔离安全趋势管理成为可能可追查问题来源至交换机端口扩展性全网设备的统一管理，可以实现全网皆安全的目标劣势部署较为复杂，需要进行长时间联调,事件统计图,应用统计图,简洁的图形化管理界面,安全威胁的实时监控,上百种监控方式实时显示事件详情实时监控安全资产信息攻击、病毒、DDoS实时报警相关信息实时整合信息统计实时图表输出,Hackerpc,防火墙,ReverseBackdoor,实时攻击可视化,CorporateLAN,黑客利用反向联接技术穿透防火墙,近千种报告输出,SecCenter分布式部署,SecCenter,控制台,控制台,SecCenter,分布式部署优点：适合大型企业，不受地域限制、分级分权管理、事件天然备份安全事件二次关联，提高决策准确性非在线部署，不会影响网络运行,管理区,办公区,控制台,SecCenter,胶片目录,