网络安全防护技术.ppt

第六章网络安全防护技术 6 1网络安全基础网络安全问题自有网络那天起就存在了 只是当时人们并没有充分重视 随着计算机网络的发展壮大 人们对它的依赖程度也越来越大 网络安全问题变得日益明显 开放互联网络具有国际统一的标准和访问方法 容易互连 互通与互操作 而且为使善良的人们能够充分的利用网上的资源 网络被设计成非常容易进入 这就造成了开放性网络系统节点分散 难于管理 对网络的侵害手段多种多样 主要表现在 非授权访问 冒充合法用户 破坏数据完整性 干扰系统正常运行 利用网络传播病毒 线路窃听等 随着经济信息化的迅速发展 计算机网络对安全要求越来越高 尤其自Internet Intranet应用发展以来 网络的安全已经涉及到国家主权等许多重大问题 随着 黑客 工具技术的日益发展 使用这些工具所需具备的各种技巧和知识在不断减少 从而造成的全球范围内 黑客 行为的泛滥 导致了一个全新战争形式的出现 即网络安全技术的大战 6 1网络安全基础 6 1 1网络安全定义网络安全是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 与其他概念不同的是 网络安全的具体定义和侧重点会随着观察者的角度而不断变化从用户 个人用户或者企业用户 的角度来说 他们最为关心的网络安全问题是如何保证他们的涉及个人隐私或商业利益的数据在传输过程中受到保密性 完整性和真实性的保护 从网络运行和管理者角度来说 他们最为关心的网络安全问题是如何保护和控制其他人对本地网络信息的访问 读写等操作 从社会教育和意识形态角度来说 人们最为关心的网络安全问题是如何杜绝和控制网络上不健康的内容 有害的黄色内容会对社会的稳定和人类的发展造成不良影响 6 1网络安全基础 6 1 1网络安全定义网络信息安全与保密还会因为不同的应用环境得到不同的解释运行系统安全 即保证网络信息处理和传输系统的安全 网络系统信息的安全 比如 用户口令鉴别 用户存取权限控制 数据存取权限和方式控制 安全审计 安全跟踪 计算机病毒防治 数据加密等 网络信息传播的安全 即网络信息传播后果的安全 网络信息内容的安全 6 1网络安全基础 6 1 2网络安全特征可靠性可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性 可靠性是系统安全的最基本要求之一 是所有网络信息系统的建设和运行目标 可用性可用性是网络信息可被授权实体访问并按需求使用的特性 即网络信息服务在需要时 允许授权用户或实体使用的特性 或者是网络部分受损或需要降级使用时 仍能为授权用户提供有效服务的特性 保密性保密性是网络信息不被泄露给非授权的用户 实体或过程 或供其利用的特性 即 防止信息泄漏给非授权个人或实体 信息只为授权用户使用的特性 6 1网络安全基础 完整性完整性是网络信息未经授权不能进行改变的特性 即网络信息在存储或传输过程中保持不被偶然或蓄意地删除 修改 伪造 乱序 重放 插入等破坏和丢失的特性 保障网络信息完整性的主要方法有 协议 通过各种安全协议可以有效地检测出被复制的信息 被删除的字段 失效的字段和被修改的字段 纠错编码方法 由此完成纠错和纠错功能 最简单和常用的纠错编码方法是奇偶校验法 密码校验和方法 它是抗篡改和传输失败的重要手段 数字签名 保障信息的真实性 公证 请求网络管理或中介机构证明信息的真实性 不可抵赖性不可抵赖性也称作不可否认性 在网络信息系统的信息交互过程中 确信参与者的真实同一性 即 所有参与者都不可能否认或抵赖曾经完成的操作和承诺 可控性可控性是对网络信息的传播及内容具有控制能力的特性 6 1网络安全基础 6 1 3网络安全模型物理安全自然灾害 地震 火灾 洪水等 物理损坏 硬盘损坏 设备使用寿命到期 外力破损等 设备故障 停电断电 电磁干扰等 电磁辐射 如侦听微机操作过程 乘机而入 如合法用户进入安全进程后半途离开 痕迹泄露 如口令密钥等保管不善 被非法用户获得 等操作失误 偶然删除文件 格式化硬盘 线路拆除等 意外疏漏 系统掉电 死机 等系统崩溃 安全控制操作系统的安全控制网络接口模块的安全控制网络互连设备的安全控制 6 1网络安全基础 安全服务安全机制是利用密码算法对重要而敏感的数据进行处理安全连接是在安全处理前与网络通信方之间的连接过程安全协议安全策略 6 1网络安全基础 6 1 4网络安全机制计算机网络面临的威胁内部泄密和破坏截收 6 1网络安全基础 冒充冒充领导发布命令 调阅密件 冒充主机欺骗合法主机及合法用户 冒充网络控制程序套取或修改使用权限 口令 密钥等信息 越权使用网络设备和资源 接管合法用户 欺骗系统 占用合法用户的资源 破坏系统的可用性使合法用户不能正常访问网络资源 使有严格时间要求的服务不能及时得到响应 摧毁系统等 6 1网络安全基础 非法访问非法用户 通常称为黑客 进入网络或系统 进行违法操作 合法用户以未授权的方式进行操作 破坏信息的完整性篡改 改变信息流的次序 时序 流向 更改信息的内容和形式 如图6 3所示 删除 删除某个消息或消息的某些部分 插入 在消息中插入一些信息 让接收方读不懂或接收错误的信息 6 1网络安全基础 重演重演指的是攻击者截收并录制信息 然后在必要的时候重发或反复发送这些信息 抵赖发送信息者事后否认曾经发送过某条消息 发送信息者事后否认曾经发送过某条消息的内容 接收信息者事后否认曾经收到过某条消息 接收信息者事后否认曾经收到过某条消息的内容 其他威胁计算机病毒电磁泄漏各种灾害操作失误 6 1网络安全基础 OSI安全体系结构和Internet安全策略 6 1网络安全基础 从整体上看 Internet网络安全策略可分为以下几个层次 即操作系统层用户层 应用层网络层 路由器 数据链路层 6 1网络安全基础 安全服务对象认证安全服务防止主动攻击的主要技术 认证就是识别和证实 识别是辩明一个对象的身份的过程 证实是证明该对象的身份就是其声明的身份的过程 访问控制安全服务防止超权使用资源 访问控制大体可分为自主访问控制和强制访问控制 数据机密性安全服务防止信息泄漏 这组安全服务又细分为 信息机密性 选择段机密性 业务流机密性 数据完整性安全服务防止非法地篡改信息 文件和业务流 这组安全服务又分为 联接完整性 有恢复或无恢复 选择段有联接完整性 选择段无联接完整性 防抵赖安全服务证实己发生的操作 它包括对发送防抵赖 对递交防抵赖和公证 6 1网络安全基础 安全机制与安全服务有关的机制加密机制数字签名机制访问控制机制数据完整性机制认证交换机制防业务流分析机制路由控制机制公证机制 6 1网络安全基础 与管理有关的安全机制可信功能机制 扩充其它安全机制的应用范围 既可以可信地直接提供安全机制 也可以可信地提供对其它安全机制的访问 安全标签机制 标明安全对象的敏感程度或保护级 事件探测机制 探测与安全性有关的事件 安全审核机制 独立地对安全系统的记录和活动进行检查 测试系统控制信息是否正常 确保安全政策的正常实施 安全恢复机制 从安全性破坏的状态中恢复到安全状态 安全服务与安全机制有着密切的关系 安全服务体现了安全系统的功能 它是由一个或多个安全机制来实现的 同样 一个安全机制也可用于实现不同的安全服务中 6 1网络安全基础 6 1 5网络安全的关键技术防火墙 Firewall 技术分组过滤这是一种基于路由器的防火墙 它是在网间的路由器中按网络安全策略设置一张访问表或黑名单 防火墙的职责就是根据访问表 或黑名单 对进出路由器的分组进行检查和过滤 凡符合要求的放行 不符合的拒之门外 这种防火墙简单易行 但不能完全有效地防范非法攻击 代理服务是一种基于代理服务的防火墙 它的安全性高 增加了身份认证与审计跟踪功能 但速度较慢 6 1网络安全基础 访问控制技术除了计算机网络硬设备之外 网络操作系统是确保计算机网络安全的最基本部件 它是计算机网络资源的管理者 如果它具有安全的控制策略和保护机制 便可以将非法人侵者拒之门外 否则 非法人侵者便可攻破设防而非法获取资源 网络操作系统安全保密的核心是访问控制 即确保主体对客体的访问只能是授权的 未经授权的访问是不允许的 而且操作是无效的 因此 授权策略和授权机制的安全性显得特别重要 物理隔离 使必须隔离的进程使用不同的物理客体 时间隔离 使具有不同安全要求的进程在不同的时间运行 逻辑隔离 实施存取控制 使进程不能存取允许范围以外的客体 密码隔离 使进程以一种其它进程不能解密的方式险蔽数据以及计算 6 1网络安全基础 网络安全协议控制sslshttp其他技术智能卡技术网络分段 6 2网络操作系统安全 目前服务器常用的操作系统有三类 Unix Linux WindowsNT 2000 2003Server UNIX系统 1 可靠性高 2 极强的伸缩性 3 网络功能强 4 强大的数据库支持功能 5 开放性好Linux系统 6 2网络操作系统安全 Linux系统完全免费完全兼容POSIX1 0标准多用户 多任务良好的界面丰富的网络功能可靠的安全 稳定性能支持多种平台Windows系统支持多种网络协议内置Internet功能支持NTFS文件系统 6 3常见网络攻击与防范 6 3 1攻击五部曲隐藏IP首先入侵互联网上的一台电脑 俗称 肉鸡 利用这台电脑进行攻击 这样即使被发现了 也是 肉鸡 的IP地址 做多级跳板 Sock代理 这样在入侵的电脑上留下的是代理计算机的IP地址 踩点扫描 踩点扫描踩点是通过各种途径对所要攻击的目标进行多方面的了解 包括任何可得到的蛛丝马迹 但要确保信息的准确 确定攻击的时间和地点 扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞 扫描分成两种策略 被动式策略和主动式策略 6 3常见网络攻击与防范 获得系统或管理员权限通过系统漏洞获得系统权限 通过管理漏洞获得管理员权限 通过软件漏洞得到系统权限 通过监听获得敏感信息进一步获得相应权限 通过弱口令获得远程管理员的用户密码 通过穷举法获得远程管理员的用户密码 通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权 通过欺骗获得权限以及其他有效的方法 6 3常见网络攻击与防范 种植后门为了保持长期对自己胜利果实的访问权 在已经攻破的计算机上种植一些供自己访问的后门 在网络中隐身一次成功入侵之后 一般在对方的计算机上已经存储了相关的登录日志 这样就容易被管理员发现 在入侵完毕后需要清除登录日志已经其他相关的日志 6 3常见网络攻击与防范 6 3 2网络扫描与网络监听网络踩点在域名及其注册机构的查询公司性质的了解对主页进行分析邮件地址的搜集目标IP地址范围查询 网络扫描策略被动式策略是基于主机之上 对系统中不合适的设置 脆弱的口令以及其他同安全规则抵触的对象进行检查 被动式扫描不会对系统造成破坏 6 3常见网络攻击与防范 主动式策略活动主机探测 ICMP查询 网络PING扫描 端口扫描 标识UDP和TCP服务 指定漏洞扫描 综合扫描 扫描方式慢速扫描对非连续端口进行扫描 并且源地址不一致 时间间隔长没有规律的扫描 乱序扫描对连续的端口进行扫描 源地址一致 时间间隔短的扫描 6 3常见网络攻击与防范 网络监听局域网数据交换过程在局域网中与其他计算机进行数据交换的时候 发送的数据包发往所有的连在一起的主机 也就是广播 在报头中包含目标机的正确地址 因此只有与数据包中目标地址一致的那台主机才会接收数据包 其他的机器都会将包丢弃 监听工具的原理当主机工作在监听模式下时 无论接收到的数据包中目标地址是什么 主机都将其接收下来 然后对数据包进行分析 就得到了局域网中通信的数据 监听软件嗅探经典 Iris密码监听工具 WinSniffer密码监听工具 pswmonitor和非交换环境局域网的fssniffer等等防止监听的手段有建设交换网络 使用加密技术和使用一次性口令技术 6 3常见网络攻击与防范 6 3 3网络入侵社会工程学攻击打电话请求密码伪造Email物理攻击与防范权限提升暴力攻击字典文件一次字典攻击能否成功 很大因素上决定于字典文件 一个好的字典文件可以高效快速的得到系统的密码 6 3常见网络攻击与防范 一个简单的字典文件 6 3常见网络攻击与防范 暴力破解操作系统密码程序首先通过扫描得到系统的用户 然后利用字典中每一个密码来登录系统 看是否成功 如果成功则显示密码比如使用字典文件 利用工具软件可以将管理员密码破解出来 暴力破解邮箱密码邮箱的密码一般需要设置到八位以上 否则七位以下的密码容易被破解 尤其七位全部是数字 更容易被破解 暴力破解软件密码许多软件都具有加密的功能 比如Office文档 Winzip文档和Winrar文档等等 这些文档密码可以有效的防止文档被他人使用和阅读 6 3常见网络攻击与防范 SMB致命攻击SMB SessionMessageBlock 会话消息块协议 又叫做NetBIOS或LanManager协议 用于不同计算机之间文件 打印机 串口和通讯的共享和用于Windows平台上提供磁盘缓冲区溢出攻击原理缓冲区溢出原理很简单 比如C语言程序 voidfunction char szPara1 charbuff 16 strcpy buffer szPara1 6 3常见网络攻击与防范 RPC漏洞溢出远程过程调用RPC RemoteProcedureCall 是操作系统的一种消息传递功能 允许应用程序呼叫网络上的计算机 当系统启动的时候 自动加载RPC服务 可以在服务列表中看到系统的RPC服务 6 3常见网络攻击与防范 拒绝服务攻击凡是造成目标计算机拒绝提供服务的攻击都称为DoS DenialofService 攻击 其目的是使目标计算机或网络无法提供正常的服务 带宽攻击是以极大的通信量冲击网络 使网络所有可用的带宽都被消耗掉 最后导致合法用户的请求无法通过 连通性攻击指用大量的连接请求冲击计算机 最终导致计算机无法再处理合法用户的请求 6 3常见网络攻击与防范 6 3 4入侵检测入侵检测系统入侵检测系统IDS IntrusionDetectionSystem 指的是一种硬件或者软件系统 该系统对系统资源的非授权使用能够做出及时的判断 记录和报警 没有一个应用系统不会发生错误 原因主要有四个方面 缺乏共享数据的机制缺乏集中协调的机制缺乏揣摩数据在一段时间内变化的能力缺乏有效的跟踪分析 6 3常见网络攻击与防范 根据入侵检测的信息来源不同 可以分为两类 基于主机的入侵检测系统 主要用于保护运行关键应用的服务器 它通过监视与分析主机的审计记录和日志文件 来检测入侵 通过查看日志文件 能够发现成功的入侵或入侵企图 并很快地启动相应的应急响应程序 基于网络的入侵检测系统 主要用于实时监控网络关键路径的信息 它监听网络上的所有分组来采集数据 分析可疑现象 6 3常见网络攻击与防范 入侵检测的方法入侵检测方法有三种分类依据 根据物理位置进行分类 根据建模方法进行分类 根据时间分析进行分类 常用的方法有三种 静态配置分析异常性检测方法基于行为的检测方法 6 3常见网络攻击与防范 入侵检测的步骤信息收集数据分析根据数据分析的不同方式可将入侵检测系统分为两类 异常入侵检测误用入侵检测响应将分析结果记录在日志文件中 并产生相应的报告 触发警报 如在系统管理员的桌面上产生一个告警标志位 向系统管理员发送传呼或电子邮件等等 修改入