网络安全体系结构概述.ppt

网络安全体系结构概述 1 安全体系的需求2 常见的网络安全问题3 网络攻击的手段4 网络安全技术5 安全方案与实施6 安全标准及安全管理 Email Web ISP门户网站 复杂程度 时间 Internet变得越来越重要 Internet变得越来越糟糕 网络无处不在的特性使进攻随时随地可以发起 网络本身就蓄积了大量的攻击技巧 大概有26万个站点提供此类知识 攻击软件层出不穷 网络安全问题日益突出 开放的网络外部环境越来越多的基于网络的应用企业的业务要求网络连接的不间断性来自内部的安全隐患有限的防御措施错误的实现 错误的安全配置糟糕的管理和培训黑客的攻击 网络风险难以消除 网络攻击的后果 设备 系统损坏服务不可得财务损失数据丢失信息泄漏遭受篡改的信息造成误动作集体凝聚力下降 相互信任感受损 常见网络攻击的分类 针对通讯层以下针对OS的攻击针对通用的服务协议针对特定的应用程序 网络安全体系结构概述 1 安全体系的需求2 常见的网络安全问题3 网络攻击的手段4 网络安全技术5 安全方案与实施6 安全标准及安全管理 常见的网络安全问题 垃圾邮件网络扫描和拒绝服务攻击端口扫描和缺陷扫描DDOS DOS入侵和蠕虫蠕虫 nimda CRII系统缺陷 垃圾邮件危害 网络资源的浪费欧洲委员会公布的一份报告 垃圾邮件消耗的网络费用每年高达100亿美元资源盗用利用他人的服务器进行垃圾邮件转发威胁网络安全 DOS 扫描危害 占用资源占用大量带宽服务器性能下降影响系统和网络的可用性网络瘫痪服务器瘫痪往往与入侵或蠕虫伴随缺陷扫描DDOS 入侵 蠕虫造成的危害 信息安全机密或个人隐私信息的泄漏信息篡改可信性的破坏系统安全后门的存在资源的丧失信息的暴露网络安全基础设施的瘫痪 垃圾邮件的预防 垃圾邮件特点邮件转发原理配置Sendmail关闭转发配置Exchange关闭转发 垃圾邮件定义 定义1 垃圾邮件就是相同的信息 在互联网中被复制了无数遍 并且一直试图着强加给那些不乐意接受它们的人群 定义2 垃圾邮件是一种最令人头疼而又让人束手无策的推销传单 定义3 垃圾邮件是指与内容无关 而且收件人并没有明确要求接受该邮件的发送给多个收件人的信件或张贴物 也可以是发送给与信件主题不相关的新闻组或者列表服务器的同一信件的重复张贴物 UCE UnsolicitedCommercialEmail 不请自来的商业电子邮件 UBE UnsolicitedBulkEmail 不请自来的批量电子邮件 定义4 垃圾邮件泛指未经请求而发送的电子邮件 如未经发件人请求而发送的商业广告或非法的电子邮件 垃圾邮件定义 垃圾邮件特点 内容 商业广告宗教或个别团体的宣传资料发财之道 连锁信等接收者无因接受被迫接受发送手段信头或其它表明身份的信息进行了伪装或篡改通常使用第三方邮件转发来发送 配置Sendmail关闭转发 Sendmail8 9以上版本etc mail relay domains 控制容许邮件转发 etc mail accessSendmail8 8以下版本升级Sendmail其它版本配置Sendmail缺省不允许转发编辑相应的允许转发IP列表 如何防止收到垃圾邮件 1 不要把您的邮件地址在INTERNET页面上到处登记 2 不要把您的邮件地址告诉您不太信任的一些人 3 不要订阅一些非正式的不键康的电子杂志 以防止被垃圾邮件收集者收集 4 不要在某些收集垃圾邮件的网页上登记您的邮件地址 5 发现收集或出售电子邮件地址的网站或消息 请告诉相应的主页提供商或主页管理员 将您删除 以避免邮件地址被他们利用 卖给许多商业及非法反动用户 6 建议您用专门的邮箱进行私人通信 而用其他邮箱订阅电子杂志 防止收到垃圾邮件 扫描技术 Portscanning 找出网络中开放的服务基于TCP IP协议 对各种网络服务 无论是主机或者防火墙 路由器都适用端口扫描可以确认各种配置的正确性 避免遭受不必要的攻击用途 双刃剑管理员可以用来确保自己系统的安全性黑客用来探查系统的入侵点端口扫描的技术已经非常成熟 目前有大量的商业 非商业的扫描器 扫描简介 缺陷扫描目的是发现可用的缺陷Satan SSCAN服务扫描目的是为了发现可用的服务WWWscanftpscanProxyscan 扫描器的重要性 扫描器能够暴露网络上潜在的脆弱性无论扫描器被管理员利用 或者被黑客利用 都有助于加强系统的安全性它能使得漏洞被及早发现 而漏洞迟早会被发现的扫描器可以满足很多人的好奇心扫描器除了能扫描端口 往往还能够发现系统存活情况 以及哪些服务在运行用已知的漏洞测试这些系统对一批机器进行测试 简单的迭代过程有进一步的功能 包括操作系统辨识 应用系统识别 拒绝服务攻击简介 DoS的英文全称是DenialofService 也就是 拒绝服务 的意思 从网络攻击的各种方法和所产生的破坏情况来看 DoS算是一种很简单但又很有效的进攻方式 它的目的就是拒绝你的服务访问 破坏组织的正常运行 最终它会使你的部分Internet连接和网络系统失效 DoS的攻击方式有很多种 最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源 从而使合法用户无法得到服务 拒绝服务 DenialofService 回顾信息安全的三个主要需求 保密性 完整性 可用性 availability DoS是针对可用性发起的攻击关于DoS技术和原理都非常简单 并且已经工具化难以防范 有些DoS可以通过管理的手段防止DoS的动机受挫折 无法攻入目标系统 最后一招 DOS强行对方重启机器恶意的破坏 或者报复网络恐怖主义 DoS攻击的基本过程 我们可以看出DoS攻击的基本过程 首先攻击者向服务器发送众多的带有虚假地址的请求 服务器发送回复信息后等待回传信息 由于地址是伪造的 所以服务器一直等不到回传的消息 分配给这次请求的资源就始终没有被释放 当服务器等待一定的时间后 连接会因超时而被切断 攻击者会再度传送新的一批请求 在这种反复发送伪地址请求的情况下 服务器资源最终会被耗尽 DoS的危害 使得正常的服务不能提供案例 1996年9月 一家ISP PublicAccessNetworks 公司遭受拒绝服务达一周一上 拒绝对约6000多人和1000家公司提供Internet服务政府网站美国白宫的网站曾经遭受拒绝服务攻击分布式拒绝服务2000年2月 一批商业性质的Web站点收到了DDoS的攻击 DoS的形式 粗略来看 分为三种形式消耗有限的物理资源网络连接带宽资源其他资源 如磁盘空间 进程数合法用户可登录尝试的次数有限 攻击者可以用掉这些尝试次数修改配置信息造成DoS比如 修改路由器信息 造成不能访问网络 修改NT注册表 也可以关掉某些功能物理部件的移除 或破坏 DoS的技术分类 从表现形式来看带宽消耗用足够的资源消耗掉有限的资源利用网络上的其他资源 恶意利用Internet共享资源 达到消耗目标系统或网络的目的系统资源消耗 针对操作系统中有限的资源 如进程数 磁盘 CPU 内存 文件句柄 等等程序实现上的缺陷 异常行为处理不正确 比如PingofDeath修改 篡改 系统策略 使得它不能提供正常的服务从攻击原理来看通用类型的DoS攻击 这类攻击往往是与具体系统无关的 比如针对协议设计上的缺陷的攻击系统相关的攻击 这类攻击往往与具体的实现有关说明 最终 所有的攻击都是系统相关的 因为有些系统可以针对协议的缺陷提供一些补救措施 从而免受此类攻击 DoS的技术历史 早期的Internet蠕虫病毒消耗网络资源非法的TCP标志 SYNFlood 等利用系统实现上的缺陷 点对点形式PingofDeath IP分片重叠分布式DoS DDoS 攻击 一些典型的DoS攻击 PingofDeath发送异常的 长度超过IP包的最大值 SYNFlood快速发送多个SYN包UDPFloodTeardropIP包的分片装配Smurf给广播地址发送ICMPEcho包 造成网络阻塞 PingofDeath 原理 直接利用ping包 即ICMPEcho包 有些系统在收到大量比最大包还要长的数据包 会挂起或者死机受影响的系统 许多操作系统受影响攻击做法直接利用ping工具 发送超大的ping数据包防止措施打补丁防火墙阻止这样的ping包 防止DoS 对于网络路由器和防火墙配置得当 可以减少受DoS攻击的危险比如 禁止IP欺骗可以避免许多DoS攻击入侵检测系统 检测异常行为对于系统升级系统内核 打上必要的补丁 特别是一些简单的DoS攻击 例如SYNFlooding关掉不必要的服务和网络组件如果有配额功能的话 正确地设置这些配额监视系统的运行 避免降低到基线以下检测系统配置信息的变化情况保证物理安全建立备份和恢复机制 网络安全体系结构概述 1 安全体系的需求2 常见的网络安全问题3 网络攻击的手段4 网络安全技术5 安全方案与实施6 安全标准及安全管理 网络攻击的手段 病毒特洛伊木马口令入侵网络欺骗邮件炸弹Sniffer 网络监听 入侵攻击伪装 计算机病毒 为什么叫做病毒 首先 与医学上的 病毒 不同 它不是天然存在的 是某些人利用计算机软 硬件 编制具有特殊功能的程序 由于它与生物医学上的 病毒 同样有传染和破坏的特性 因此这一名词是由生物医学上的 病毒 概念引申而来计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 计算机病毒定义 那么究竟它是如何产生的呢 其过程可分为 程序设计 传播 潜伏 触发 运行 实行攻击 究其产生的原因不外乎以下几种 开个玩笑 一个恶作剧 产生于个别人的报复心理 用于版权保护 用于特殊目的 病毒的产生 计算机病毒的特点 1 传染性这是计算机病毒的重要特征 计算机病毒进入计算机系统后 就会自动地开始寻找传染对象 并迅速传染给它 这里的对象可以是程序 磁盘或网络中的一个计算机系统 2 隐蔽性病毒程序一般技巧性较高 它可用附加或插入的方法隐蔽在操作系统或可执行文件中 很难被发现 计算机病毒的特点 3 潜伏性病毒进入计算机后一般不会立即发作 但在此期间 只要计算机系统工作就可以传染病毒 一旦发作的条件成熟 这种潜伏性就会立即转化为破坏性 4 破坏性这也是机算机病毒的重要特征 即降低计算机系统的工作效率 占用系统资源 其具体情况取决于入侵系统的病毒程序 这也是它的最终目的 典型病毒 CRII蠕虫感染主机全球超过30万台导致大量网络设备瘫痪Nimda蠕虫病毒即尼姆达病毒 又叫概念 Concept 病毒 是一种通过网络传播的计算机病毒 它能利用多种传播途径对几乎所有Windows系统操作系统 包括Windows95 98 ME NT和2000等 发动攻击 而且染毒的机器会自动向其他机器发动攻击和发送带毒的email 并造成网络堵塞 特征码扫描法 特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中 在扫描时将扫描对象与特征代码库比较 如有吻合则判断为染上病毒 该技术实现简单有效 安全彻底 但查杀病毒滞后 并且庞大的特征码库会造成查毒速度下降 目前广泛应用的3种病毒防治技术 虚拟执行技术 该技术通过虚拟执行方法查杀病毒 可以对付加密 变形 异型及病毒生产机生产的病毒 具有如下特点 在查杀病毒时在机器虚拟内存中模拟出一个 指令执行虚拟机器 在虚拟机环境中虚拟执行 不会被实际执行 可疑带毒文件在执行过程中 从虚拟机环境内截获文件数据 如果含有可疑病毒代码 则杀毒后将其还原到原文件中 从而实现对各类可执行文件内病毒的查杀 文件实时监控技术 通过利用操作系统底层接口技术 对系统中的所有类型文件或指定类型的文件进行实时的行为监控 一旦有病毒传染或发作时就及时报警 从而实现了对病毒的实时 永久 自动监控 这种技术能够有效控制病毒的传播途径 但是这种技术的实现难度较大 系统资源的占用率也会有所降低 特洛伊程序的由来特洛伊程序是由编程人员创造的 它的作者都有着自己的意图 这种意图可以是任意的 但是基于在Internet的安全的前题 一个特洛伊程序将要做的是下列两件事中的一件 或两者兼有 提供一些功能 这些功能可以泄露一些系统的私有信息给程序的作者或者控制该系统 隐藏了一些功能 这些功能能够将系统的私有信息泄露给程序的作者 或者能够控制该系统 特洛伊木马 特洛伊木马 特洛伊程序代表哪一级别的危险 特洛伊程序代表了一种很高级别的危险 主要是因为我们已经提到的几种原因 特洛伊程序很难以被发现在许多情况下 特洛伊程序是在二进制代码中发现的 它们大多数以无法阅读的形式存在特洛伊程序可作用于许多机器中 特洛伊木马程序 BackOrifice工作于windows95 98 client server结构 使被安装计算机能够从远程控制冰河 口令入侵 口令不会被解开 多数口令加密过程都是单向 不可逆的 但是可以使用仿真工具 利用与原口令程序相同的方法 通过对比分析 用不同的加密口令去取匹配原口令 口令入侵 破解的基础 字典该文件是一个单词明码正文表典型的对字典的替换规则大小些交替使用把单词正向 反向拼写后 接在一起 如cannac 在每个单词的开头和结尾加上数字1 网络欺骗 IP欺骗假冒他人的IP地址发送信息邮件欺骗假冒他人的email地址发送信息Web欺骗你能相信你所看到的信息吗 其他欺骗术DNS欺骗非技术性欺骗 IP欺骗 IP欺骗的动机隐藏自己的IP地址 防止被跟踪以IP地址作为授权依据穿越防火墙IP欺骗的形式单向IP欺骗 不考虑回传的数据包双向IP欺骗 要求看到回传的数据包更高级的欺骗 TCP会话劫持IP欺骗成功的要诀IP数据包路由原则 根据目标地址进行路由 IP欺骗 IP欺骗就是伪造他人的源IP地址 其实质就是让一台机器扮演另一台机器 常见的攻击过程让被替代的机器A休眠发现目标机器B的序列号规律冒充机器A向机器B发出请求 算出机器应该发来什么序列号 给出机器B想要的回应 这样就可以利用机器B对机器A的信任关系进行攻击 IP欺骗 改变自己的地址 用网络配置工具改变机器的IP地址注意 只能发送数据包收不到回包防火墙可能阻挡在Linux平台上用ifconfig IP欺骗 IP欺骗的保护 主机保护 两种考虑保护自己的机器不被用来实施IP欺骗物理防护 登录口令权限控制 不允许修改配置信息保护自己的机器不被成为假冒的对象网络防护路由器上设置欺骗过滤器入口过滤 外来的包带有内部IP地址出口过滤 内部的包带有外部IP地址保护免受源路由攻击路由器上禁止这样的数据包 电子邮件欺骗的动机隐藏发信人的身份 匿名信挑拨离间 唯恐世界不乱骗取敏感信息 欺骗的形式使用类似的电子邮件地址修改邮件客户软件的账号配置直接连到smtp服务器上发信电子邮件欺骗成功的要诀与邮局的运作模式比较基本的电子邮件协议不包括签名机制 电子邮件欺骗 电子邮件欺骗 使用类似的地址 发信人使用被假冒者的名字注册一个账号 然后给目标发送一封正常的信 我是你的上司XX 请把XXX发送给我 我在外面度假 请送到我的个人信箱 他 她 能识别吗 邮件欺骗的保护 邮件服务器的验证Smtp服务器验证发送者的身份 以及发送的邮件地址是否与邮件服务器属于相同的域验证接收方的域名与邮件服务器的域名是否相同有的也验证发送者的域名是否有效 通过反向DNS解析不能防止一个内部用户假冒另一个内部用户发送邮件审核制度 所有的邮件都有记录隐私 Web是应用层上提供的服务 直接面向Internet用户 欺骗的根源在于由于Internet的开放性 任何人都可以建立自己的Web站点Web站点名字 DNS域名 可以自由注册 按先后顺序并不是每个用户都清楚Web的运行规则Web欺骗的动机商业利益 商业竞争政治目的Web欺骗的形式使用相似的域名改写URL劫持Web会话 Web欺骗 使用类似的域名 注册一个与目标公司或组织相似的域名 然后建立一个欺骗网站 骗取该公司的用户的信任 以便得到这些用户的信息例如 针对ABC公司 用来混淆如果客户提供了敏感信息 那么这种欺骗可能会造成进一步的危害 例如 用户在假冒的网站上订购了一些商品 然后出示支付信息 假冒的网站把这些信息记录下来 并分配一个cookie 然后提示 现在网站出现故障 请重试一次 当用户重试的时候 假冒网站发现这个用户带有cookie 就把它的请求转到真正的网站上 用这种方法 假冒网站可以收集到用户的敏感信息 对于从事商业活动的用户 应对这种欺骗提高警惕 改写URL 一个HTTP页面从Web服务器到浏览器的传输过程中 如果其中的内容被修改了的话 则欺骗就会发生 其中最重要的是URL改写URL改写可以把用户带到不该去的地方 例如 WelcomtoHollywood Moviesite 有一些更为隐蔽的做法直接指向一些恶意的代码把url定向放到script代码中 难以发现改写页面的做法入侵Web服务器 修改页面设置中间http代理在传输路径上截获页面并改写在客户端装载后门程序 Web会话劫持 HTTP协议不支持会话 无状态 Web会话如何实现 Cookie用url记录会话用表单中的隐藏元素记录会话Web会话劫持的要点在于 如何获得或者猜测出会话ID 防止Web欺骗 使用类似的域名注意观察URL地址栏的变化不要信任不可靠的URL信息改写URL查看页面的源文本可以发现使用SSLWeb会话劫持养成显式注销的习惯使用长的会话IDWeb的安全问题很多 我们需要更多的手段来保证Web安全 防止Web欺骗 使用类似的域名注意观察URL地址栏的变化不要信任不可靠的URL信息改写URL查看页面的源文本可以发现使用SSLWeb会话劫持养成显式注销的习惯使用长的会话IDWeb的安全问题很多 我们需要更多的手段来保证Web安全 关于欺骗技术 从这些欺骗技术 我们可以看到IP协议的脆弱性应用层上也缺乏有效的安全措施在网络攻击技术中 欺骗术是比较初级的 技术含量并不高 它是针对Internet中各种不完善的机制而发展起来的非技术性的欺骗比如 实施社会工程毕竟网络世界与现实世界是紧密相关的避免被欺骗最好的办法是教育 教育 再教育增强每一个Internet用户的安全意识 网络管理人员以及软件开发人员的安全意识更加重要 会话 交易 劫持 在现实环境中 比如对于银行一笔交易如果营业员检查了顾客的身份证和账户卡抬起头来 发现不再是刚才的顾客他会把钱交给外面的顾客吗 在网络上没有人知道你是一条狗 TCP会话劫持 欺骗和劫持欺骗是伪装成合法用户 以获得一定的利益劫持是积极主动地使一个在线的用户下线 或者冒充这个用户发送消息 以便达到自己的目的动机Sniffer对于一次性密钥并没有用认证协议使得口令不在网络上传输会话劫持分两种被动劫持 实际上就是藏在后面监听所有的会话流量 常常用来发现密码或者其他敏感信息主动劫持 找到当前活动的会话 并且把会话接管过来 迫使一方下线 由劫持者取而代之 危害更大 因为攻击者接管了一个合法的会话之后 可以做许多危害性更大的事情 会话劫持示意图 被劫持者A 服务器B 如何防止会话劫持 部署共享式网络 用交换机代替集线器TCP会话加密防火墙配置限制尽可能少量的外部许可连接的IP地址检测ACK包的数量明显增加 邮件炸弹 邮件炸弹是指发送大量的垃圾邮件造成对方收发电子邮件的困难 如果是ISP Internet服务器提供商 例如当地数据通讯局 的收费信箱 会让用户凭空增加不少使用费 如果是Hotmail的信箱就造成用户账号被查封 其他的免费信箱可能造成正常邮件的丢失 因为信箱被垃圾邮件填满并超出原定容量 服务器会把该信箱的邮件全部删除 邮件炸弹攻击方法 直接轰炸 使用一些发垃圾邮件的专用工具 通过多个SMTP服务器进行发送 这种方法的特点是速度快 直接见效 使用 电邮卡车 之类的软件 通过一些公共服务的服务器对信箱进行轰炸 这种轰炸方式很少见 但是危害很大 攻击者一般使用国外服务器 只要发送一封电子邮件 服务器就可能给被炸用户发成千上万的电子邮件 用户只好更换新的信箱 给目标电子信箱订阅大量的邮件广告 Sinffer Sniffer既可以是硬件 也可以是软件 它用来接收在网络上传输的信息 Sniffer成为一种很大的危险 因为 它们可以截获口令它们可以截获秘密的或专有的信息它们可以被用来攻击相邻的网络 Sinffer Sniffer代表着什么级别的危险Sniffer可以截获的不仅仅是用户的ID和口令 它可以截获敏感的经济数据 如信用卡号 秘密的信息 E mail 和专有信息 基于入侵者可利用的资源 一个Sniffer可能截获网络上所有的信息 Sinffer 检测和消灭嗅探器会话加密将数据隐藏 使嗅探器无法发现加密你最关心的可能是传输一些比较敏感的数据 如用户ID或口令等等 有些数据是没有经过处理的 一旦被sniffer 就能获得这些信息 解决这些问题的办法是加密 例如SSL 社会工程 有时软件并非是系统中最薄弱的环节 有时周围基础结构是系统的最薄弱环节 例如 请考虑社会工程 因为这是攻击者使用社会工作环节来闯入系统的时机 通常 服务中心将接到一个来自听起来挺诚挚的用户的电话 该用户会说服服务专业人员给出本不该泄露的密码 或一些其它应该保密的信息 通过这些信息来发动攻击 通常很容易发动这种攻击 安全问题的趋势 混合型攻击 整合了病毒和黑客的攻击技术不需要借助社会工程进行传播和攻击能够自动发现并自动感染和攻击两个例子 CodeRed和Nimda传播速度极快 有可能在20分钟之内感染整个Internet不需要人工干预 利用软件漏洞进行自动攻击攻击程序的破坏性更强 依靠单个产品和某一种安全技术都不能进行有效防护 网络安全体系结构概述 1 安全体系的需求2 常见的网络安全问题3 网络攻击的手段4 网络安全技术5 安全方案与实施6 安全标准及安全管理 网络安全技术 防火墙技术入侵检测技术网络安全评估系统虚拟专用网VPN技术IPSec安全备份和系统灾难恢复 防火墙技术 防火墙是位于两个或多个网络间 实施网间访问控制的计算机和网络设备的集合 它满足以下条件 内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙防火墙的作用强化安全策略有效地记录Internet上的活动隔离不同网络 限制安全问题扩散是一个安全策略的检查站 公共服务器区 因特网 防火墙 基本概念 内部网 防火墙技术 防火墙的基本设计目标对于一个网络来说 所有通过 内部 和 外部 的网络流量都要经过防火墙通过一些安全策略 来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力服务控制 确定哪些服务可以被访问方向控制 对于特定的服务 可以确定允许哪个方向能够通过防火墙用户控制 根据用户来控制对服务的访问行为控制 控制一个特定的服务的行为 防火墙的功能 定义一个必经之点挡住未经授权的访问流量禁止具有脆弱性的服务带来危害实施保护 以避免各种IP欺骗和路由攻击防火墙提供了一个监视各种安全事件的位置 所以 可以在防火墙上实现审计和报警对于有些Internet功能来说 防火墙也可以是一个理想的平台 比如地址转换 Internet日志 审计 甚至计费功能防火墙可以作为IPSec的实现平台 防火墙操作层次 防火墙类型 包过滤路由器应用层网关电路层网关 包过滤路由器 基本的思想很简单对于每个进来的包 适用一组规则 然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域 字段 为基础 包括源和目标IP地址 IP协议域 源和目标端口号过滤器往往建立一组规则 根据IP包是否匹配规则中指定的条件来作出决定 如果匹配到一条规则 则根据此规则决定转发或者丢弃如果所有规则都不匹配 则根据缺省策略 安全缺省策略 两种基本策略 或缺省策略没有被拒绝的流量都可以通过管理员必须针对每一种新出现的攻击 制定新的规则没有被允许的流量都要拒绝比较保守根据需要 逐渐开放 包过滤路由器示意图 包过滤防火墙的优点 速度快灵活可以封锁拒绝服务及相关攻击实现简单 对用户透明 是置于与不可信网络相连的最外边界之理想设备 包过滤防火墙的缺点 不能阻止利用具体应用的弱点或功能的攻击正确制定规则并不容易不支持高级用户鉴别方案不能有效防止网络地址假冒攻击容易受配置不当的影响 包过滤路由器应用层网关电路层网关 防火墙类型 也称为代理服务器特点所有的连接都通过防火墙 防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全 但是开销比较大 应用层网关 应用层网关的结构示意图 应用层网关的优缺点 优点允许用户 直接 访问Internet易于记录日志缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改 重新编译或者配置有些服务要求建立直接连接 无法使用代理比如聊天服务 或者即时消息服务代理服务不能避免协议本身的缺陷或者限制 包过滤路由器应用层网关电路层网关 防火墙类型 本质上 也是一种代理服务器有状态的包过滤器动态包过滤器状态上下文环境流状态认证和授权方案例子 socks 电路层网关 电路层网关的优缺点 优点效率高精细控制 可以在应用层上授权为一般的应用提供了一个框架缺点客户程序需要修改 要求链接到sockslibrary 防火墙本身的一些局限性 对于绕过防火墙的攻击 它无能为力 例如 在防火墙内部通过拨号出去防火墙不能防止内部的攻击 以及内部人员与外部人员的联合攻击 比如 通过tunnel进入 防火墙不能防止被病毒感染的程序或者文件 邮件等 网络安全技术 防火墙技术入侵检测技术网络安全评估系统虚拟专用网VPN技术IPSec安全备份和系统灾难恢复 IDS IntrusionDetectionSystem 入侵检测系统介绍入侵检测系统分类入侵检测系统用到的一些技术入侵检测系统的研究和发展 入侵检测 IDS 防火墙和IDS是网络安全中互为补充的两项工具实时监控网络流量检查审计信息 寻找入侵活动当发现入侵特征后 告警IDS通常很昂贵 会产生相当多的误报 IDS的功能 IDS通常执行以下任务监视分析用户及系统活动系统构造和弱点的审计识别反映已知进攻的活动模式并报警异常行为模式的统计分析评估重要系统和数据文件的完整性操作系统的审计跟踪管理并识别用户违反安全策略的行为 防火墙不能 抵挡来自内部的攻击防止 社会工程 防范绕过防火墙的攻击 内部提供拨号服务病毒威胁扫描器 好与坏提供行动计划和依据需要资源修复漏洞修复漏洞的同时又出现其他漏洞无法确定与某一特定应用相关的 为什么需要入侵检测 IDS的用途 攻击工具攻击命令 攻击机制 目标网络 目标系统 攻击者 漏洞扫描评估加固 攻击过程 实时入侵检测 入侵检测系统的实现过程 信息收集 来源 网络流量系统日志文件系统目录和文件的异常变化程序执行中的异常行为信息分析模式匹配统计分析完整性分析 往往用于事后分析 入侵检测系统的通用模型 数据源 模式匹配器 系统轮廓分析引擎 数据库 入侵模式库 异常检测器 响应和恢复机制 入侵检测系统的分类 IDS一般从实现方式上分为两种基于主机的IDS和基于网络的IDS 一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统基于主机安全操作系统必须具备一定的审计功能 并记录相应的安全性日志基于网络IDS可以放在防火墙或者网关的后面 以网络嗅探器的形式捕获所有的对内对外的数据包 基于网络的IDS 基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源 一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信 一旦检测到攻击 IDS应答模块通过通知报警以及中断连接等方式来对攻击作出反应基于网络的入侵检测系统的主要优点有1成本低2攻击者转移证据很困难3实时检测和应答 一旦发生恶意访问或攻击基于网络的IDS检测可以随时发现它们因此能够更快地作出反应从而将入侵活动对系统的破坏减到最低4能够检测未成功的攻击企图5操作系统独立 基于网络的IDS并不依赖主机的操作系统作为检测资源 而基于主机的系统需要特定的操作系统才能发挥作用 基于主机的IDS 基于主机的IDS一般监视WindowsNT上的系统 事件 安全日志以及UNIX环境中的syslog文件 一旦发现这些文件发生任何变化IDS将比较新的日志记录与攻击签名以发现它们是否匹配 如果匹配的话检测系统就向管理员发出入侵报警并且发出采取相应的行动基于主机的IDS的主要优势有 1 非常适用于加密和交换环境 2 接近实时的检测和应答 3 不需要额外的硬件 异常检测 anomalydetection 也称为基于行为的检测首先建立起用户的正常使用模式 即知识库标识出不符合正常模式的行为活动难点正常模式的知识库难以建立难以明确划分正常模式和异常模式误用检测 misusedetection 也称为基于特征的检测建立起已知攻击的知识库判别当前行为活动是否符合已知的攻击模式难点 如何做到动态更新 自适应 IDS的技术 IDS的两个指标 漏报率指攻击事件没有被IDS检测到误报率 falsealarmrate 把正常事件识别为攻击并报警误报率与检出率成正比例关系 IDS与响应和恢复技术 IDS属于检测的环节 一旦检测到入侵或者攻击 必须尽快地做出响应 以保证信息系统的安全IDS的响应机制 可以从基本的管理角度来考虑 也可以从技术角度来实施 包括与其他防护系统的互操作 比如防火墙对于一个企业而言 IDS与DRP DisasterRecoveryPlanning 需要一起来制订和实施DRP包括业务影响分析 BIA BusinessImpactAnalysis 数据必须定期备份信息系统的根本目的是提供便利的服务灾难评估明确责任人 防火墙技术入侵检测技术网络安全评估系统虚拟专用网VPN技术IPSec安全备份和系统灾难恢复 网络安全技术 无法量化的东西是无法管理的 什么是风险评估 我们有多安全 查找已知的弱点与漏洞检查制定的安全策略是否被执行检验已实施的安全策略的有效性提供有效的建议方案自动修复 评估企业范围内的安全风险和漏洞 包括网络 检测违反安全策略的行为确保企业安全策略的一致性提供全企业范围内的 集成的安全管理构架 我们的网络有多安全 如何知道 风险评估的作用 风险评估的类型 1 基于主机 Host Based 2 基于网络 Network Based Host Based评估 由內而外的角度在每台系统上详细检查可能的风险可产生整个网络的安全评估报告调度定期执行 对网络冲击极小 Host Based评估些什么 口令強度帐号配置网络参数NTRAShttpftptelnet其他网络port与问题 文件保护配置Patch等级太旧特定O S问题WindowsNTregistryNetWareNDS问题UNIXsuid文件 系统漏洞扫描 数据库漏洞扫描 Network Based评估 由外而內的观点以黑客的角度来检测网络无法提供用户使用不当的风险评估可针对无法部署host软件的网络设备进行评估 如 routers switches 网络打印机 网络存储设备等 网络漏洞扫描 集成基于主机 基于网络安全评估 基于主机风险评估基于网络风险评估 Inside the systempointofviewEmployeesarecauseof80 ofinfoseccrimeViewsystemsfromlocalprivilegedperspectiveScalabilityHigh levelsummariestoconveystatusScheduled safeassessmentsMinimalimpacttonetworkandperformanceUnobtrusivetoendusersHighestlevelsofconfidenceinaccuracy ViewnetworkfromexternalperspectivePeriodiccheckstounderstand hacker s viewQuickturnaroundtimeonscansOftencanincludemore out of the box checksEaseofimplementationanduseTestcriticalnetworkdevicesthatdonotrunhostsoftwarelikerouters switches firewalls 防火墙技术入侵检测技术网络安全评估系统虚拟专用网VPN技术IPSec安全备份和系统灾难恢复 网络安全技术 虚拟专用网VPN技术 VPN介绍VPN目标VPN关键技术VPN实施 VPN介绍 什么是VPN 是指在公共网络上通过遂道和 或加密技术 为企业所建立的逻辑上的专用网络它是虚拟的网 即没有固定的物理连接 网路只有用户需要时才建立 它是利用公众网设施构成的专用网 构建在公共网络上的VPN如同企业私有的网络一样提供安全性 可靠性和可管理性等 VPN介绍 解释 VirtualPrivateNetwork 即为 虚拟专用网 V即Virtual 表示VPN有别于传统的专用网络 它并不一种物理的网络 而是企业利用电信运营商所提供的公有网络资源和设备 而建立的自己的逻辑专用网络 这种网络的好处在于可以降低企业建立使用 专用网络 的费用 P即Private 表示特定企业或用户群体可以像使用传统专用网一样来使用这个网络资源 即这种网络具有很强的私有性 具体可以表现在下面两个方面 网络资源的专用性 即VPN网络资源 如信道和带宽 在企业需要时可以被为企业所专门使用 当企业不需要时又可以被其它VPN用户所使用 企业用户可以获得像传统专用网一样的服务质量 网络的安全性 指VPN用户的信息不会流出VPN的范围之外 用户信息受到VPN网络的保护 可以实现用户信息在公共网络传输中隐蔽性 N即Network 表示这是一种专门组网技术和服务 企业为了建立和使用VPN必须购买和配备相应的网络设备 VPN分类 按隧道位置分类按隧道应用分类 基于网络的VPN NB VPN NetworkbasedVPN 当隧道的两端为服务提供商边缘设备 在Internet环境下 也称ISP边缘路由器 时 IP隧道采用节点之间以全连接或部分连接形式构成IPVPN的主干网 一般指由电信提供商提供VPN和VPDN服务 基于用户边缘设备的VPN CE VPN CustomerEquipmentVPN 当隧道的两端为CE设备 在Internet环境下 称为用户前端设备路由器 时 隧道对CE采用全连接或部分连接就构成基于CE的VPN 其中 CE可通过ATMVCC 帧中继电路 DDN专线等接入服务提供商网络 一般指由企业用户自由地选择相关VPN设备来实现 按隧道位置分类 IntranetVPNIntranetVPN即企业内部网或内联网 Intranet内所有的用户站点通过隧道适当互连 这些站点同属于一个单一的管理部门 目前IntranetVPN是VPN应用最主要的形式 ExtranetVPNExtranetVPN即外联网 在这个网络内 属于某一个管理者的用户站点 由于业务的需求要与多个属于其他管理者的用户站点进行有限制的连接 有限制的连接主要指可以进行互访问的有关协作数据是限制的 并不是所有数据都可以放开互访 拨号VPN VPDN VPN用户通过PSTN或ISDN拨号线路接入VPN网络 它具有接入范围广 建设VPN投资少 建设周期短 运行费用低等优点 按隧道应用分类 VPN目标 可靠的确定通信参与实体 包括用户 网络设备 的身份 保护传输数据的机密性 免遭未授权的暴露或泄露 保护传输数据的完整性 免遭未授权的篡改 提供一定的边界访问控制和用户访问授权 VPN关键技术 密码技术安全隧道技术身份认证技术访问控制技术 密码技术 对称密码算法 DES 3DES 国家专用算法非对称密码算法 RSA DSA 椭圆曲线摘要算法 MD5 SHA摘要签名算法 HMAC MD5 HMAC SHA 国家专用算法 隧道是在公用IP网中建立逻辑点到点连接的一种方法 是一个叠加在IP网上的传送通道 一个隧道的基本要素 隧道开通器 TI 隧道终止器 TT 一个隧道协议通常包括以下几个方面 乘客协议 被封装的协议 如PPP SLIP 封装协议 隧道的建立 维持和断开 如L2TP IPSec等 承载协议 承载经过封装后的数据包的协议 如IP和ATM等 安全隧道技术 防火墙技术包过滤应用层代理地址转换 NAT MAC地址绑定 访问控制技术 VPN实施方式 以現有Router昇級為VPNRouter架構簡單 由於Router昇級在現有网络结构不變下 對IT管理者來說 可說是最簡單的 一般都會包括防火牆 加密以及通道 Tunneling 等功能 有些廠商會將使用者身份辨識與既有的身份辨識服務 RADIUS 連在一起 效率不佳 由於防火牆 加密以及通道均以軟體方式達成 在Router流量大時 非常消耗CPU資源 尤其在需大量運算如Triple DES等的應用時將使CPU的資源更雪上加霜 在服务器与FireWall中加裝VPN软件专用VPN設备優點 专用VPN設备最大的優勢在於高效率 在高階產品中可同時支援多個通道連線 且在使用专用VPN設备時 並不會影响网络上其它設備的效率如Router Server Fire Wall等 易管理 專屬VPN設備架構必須更改現有網路組態 大部份的VPN設備都支援SNMP管理 如真的發生問題時您可透過網管軟體來控制 VPN的建立有三种方式 一种是企业自身建设 对ISP透明 第二种是ISP建设 对企业透明 第三种是ISP和企业共同建设 安全VPN建设 建议由企业自身建设 采用隧道技术和密码技术相结合的VPN网络设备 同时应该建立完善的管理系统 安全VPN实施建设 防火墙技术入侵检测技术网络安全评估系统虚拟专用网VPN技术IPSec安全备份和系统灾难恢复 网络安全技术 IP是TCP IP协议族中至关重要的组成部分 但它提供的是一种不可靠 无连接的的数据报传输服务 不可靠 unreliable 不能保证一个IP数据报成功地到达其目的地 错误处理办法 扔掉该数据报 向其发送着传送一个ICMP消息 无连接 connectionless IP并不维护关于连续发送的数据报的任何状态信息 每个数据报单独处理 在传送过程中可能出现错序 IP协议 缺乏对通信双方身份真实性的鉴别能力 缺乏对传输数据的完整性和机密性保护的机制 由于IP地址可软件配置以及基于源IP地址的鉴别机制 IP层存在 业务流被监听和捕获 IP地址欺骗 信息泄露和数据项篡改等攻击 IPv4的缺陷 IPSec的起源 1994年IETF专门成立IP安全协议工作组 来制定和推动一套称为Ipsec的IP安全协议标准 1995年8月公布了一系列关于IPSec的建议标准 1996年 IETF公布下一代IP的标准IPv6 把鉴别和加密作为必要的特征 IPSec成为其必要的组成部分 幸运的是 IPv4也可以实现这些安全特性 IPSec的应用 IPSec提供对跨越LAN WAN Internet的通讯提供安全性分支办公机构通过Internet互连 SecureVPN 通过Internet的远程访问 与合作伙伴建立extranet与intranet的互连 增强电子商务安全性 IPSec的主要特征是可以支持IP级所有流量的加密和 或认证 因此可以增强所有分布式应用的安全性 端到端 end end 主机到主机的安全通信 端到路由 end router 主机到路由设备之间的安全通信 路由到路由 router router 路由设备之间的安全通信 常用于在两个网络之间建立虚拟专用网 VPN IPSec的应用方式 IPSec的好处 在防火墙或路由器中实现时 可以对所有跨越周界的流量实施强安全性 而公司内部或工作组不必招致与安全相关处理的负担 在防火墙中实现IPSec可以防止IP旁路 IPSec是在传输层 TCP UDP 之下 因此对应用透明 不必改变用户或服务器系统上的软件 IPSec可以对最终用户透明 无须训练用户 需要时IPSec可以提供个人安全性 弥补IPv4在协议设计时缺乏安全性考虑的不足 体系结构 ESP协议 AH协议 加密算法 加密算法 DOI 密钥管理 IPSec体系结构 对上述特征的支持在IPv6中是强制的 在IPv4中是可选的 这两种情况下都是采用在主IP报头后面接续扩展报头的方法实现的 认证的扩展报头称为AH AuthenticationHeader 加密的扩展报头称为ESPheader EncapsulatingSecurityPayload 体系结构 包括总体概念 安全需求 定义 以及定义IPSec技术的机制 ESP 使用ESP进行包加密的报文包格式和一般性问题 以及 可选的认证 AH 使用ESP进行包加密的报文包格式和一般性问题 加密算法 描述将各种不同加密算法用于ESP的文档 认证算法 描述将各种不同加密算法用于AH以及ESP认证选项的文档 密钥管理 描述密钥管理模式 DOI 解释域 其它相关文档 批准的加密和认证算法标识 以及运行参数等 IPSec提供的服务 IPSec在IP层提供安全服务 使得系统可以选择所需要的安全协议 确定该服务所用的算法 并提供安全服务所需任何加密密钥 访问控制连接完整性数据源认证拒绝重放数据包保密性 加密 有限信息流保密性 AHESP 仅加密 ESP 加密 认证 访问控制连接完整性数据源认证拒绝重放包保密性有限保密性 网络安全体系结构概述 1 安全体系的需求2 常见的网络安全问题3 网络攻击的手段4 网络安全技术5 安全方案与实施6 安全标准及安全管理 安全层次结构 安全设计方法逻辑层设计最小实体保护产品与技术分离 Internet网络安全技术 1 安全内核技术安全等级制身份鉴别技术KerberosWeb安全技术SSLSHTTPSOCKS协议网络反病毒技术 防火墙技术动态IP过滤技术IP分片过滤技术IP欺骗保护地址转换访问控制保密网关技术面向信息与面向客户综合安全与保密策略实现 Internet网络安全技术 2 ISO7498 2 信息安全体系结构1989 2 15颁布 确立了基于OSI参考模型的七层协议之上的信息安全体系结构五大类安全服务 鉴别 访问控制 保密性 完整性 抗否认 八类安全机制 加密 数字签名 访问控制 数据完整性 鉴别交换 业务流填充 路由控制 公证 OSI安全管理 安全方案设计要素 明确的需求分析合理的设计原则可信的安全等级良好的指导方法全面的理论模型正确的技术选择可靠的支撑产品实用的功能性能可行的评价措施完善的管理手段长远的维护升级 防火墙入侵检测漏洞扫描管理中心测评工具反病毒 安全信息产品 目前的安全状况 产品分布总产值 26亿 2001年 DMZ应用结构 根据安全需求 把网络划分成三部分 外网 Internet DMZ区 对外服务器子网 内网 不对外的服务器子网 开发子网 DMZ 非軍事區 De MilitaryZone 作為企業內部網路與外部網路的緩衝區制訂不同的保全政策對外避免主機被入侵後危及內部網路對內可管制稽核內部人員存取主機 Firewall OpenSubnet Internet 內部網路 DMZforservers DMZ DDN X 25 FR 无线网 加密机 过