基本安全性.ppt

基本安全性 家庭和小型企業網路 第八章 目標 認識和描述各種網路威脅認識各種攻擊方式描述安全規範和應用程式描述防火牆的特點 以及如何應用防火牆防範攻擊 内容索引 8 1網路威脅8 2攻擊方式8 3安全政策8 4使用防火牆 8 1 1網路入侵風險 電腦網路 不論是有線還是無線網路 都已成為人們日常活動中不可或缺的一部份 個人與組織都依賴於電腦和網路來處理電子郵件 財務 組織和檔案管理之類的工作 不速之客的入侵可能導致代價高昂的網路中斷和工作成果的遺失 針對網路的攻擊有時具有相當的破壞性 可能造成重要資訊或資產的損壞或失竊 導致時間上和金錢上的損失 入侵者可透過軟體漏洞 硬體攻擊甚至一些不需要高科技的方法 例如猜測某人的使用者名稱和密碼 來獲得對網路的存取權 透過修改或利用軟體漏洞來獲取存取權的入侵者通常被稱為駭客 8 1 1網路入侵風險 一旦駭客取得網路的存取權 可能為網路帶來以下四種威脅 資訊盜竊 身份盜竊 資料遺失 操縱 服務中斷 8 1 1網路入侵風險 操作練習8 1 1 2 8 1 2網路入侵的來源 網路入侵者造成的安全威脅可能來自網路內部和外部兩個源頭 外部威脅是由組織外部活動的個人引起的 他們沒有存取組織電腦系統或網路的權限 外部攻擊者主要透過網際網路 無線連結或撥號存取伺服器進入網路 8 1 2網路入侵的來源 內部威脅是由具備授權使用者帳戶的個人 或能夠實際接觸網路設備的人員導致的 內部攻擊者瞭解內部的政策和人員 他們往往清楚的知道 什麼資訊有價值而且易受攻擊 以及如何獲得該資訊 然而 並非所有內部攻擊都是故意的 在某些情況下 一個受信任的員工在公司外部工作時可能會感染上病毒或安全威脅 然後在不知情的情況下將它帶到內部網路中 從而造成內部威脅 許多公司都在防禦外部攻擊上花費了大量資源 但大多數威脅其實來自內部 據FBI調查顯示 在報告的安全入侵事件中 約有70 都是因內部存取和電腦系統帳戶使用不當造成的 8 1 3社交工程和網路釣魚 對於內外兩個源頭的入侵者而言 要想獲得存取權 最簡單的一種方法就是利用人類行為的弱點 利用人類弱點的常見方法之一便是 社交工程 SocialEngineering 社交工程中最常用的三種技術有 冒名申請 網路釣魚和語音網路釣魚 8 1 3社交工程和網路釣魚 冒名申請 Pretexting 是一種社交工程方式 攻擊者會對受害人編造虛假情景 冒名申請 以使受害人洩漏資訊或執行某種操作 通常是透過電話聯絡攻擊目標 要使冒名申請起作用 攻擊者必須能夠與目標人員或受害人建立合理聯絡 為此 攻擊者一般需要預先進行一些瞭解或研究 例如 如果攻擊者知道攻擊目標的社會保險號碼 他們就會使用該資訊來獲取攻擊目標的信任 那麼攻擊目標便很有可能進一步洩漏資訊 8 1 3社交工程和網路釣魚 網路釣魚是一種社交工程方式 網路釣魚者將自己偽裝成外部機構的合法人員 他們通常透過電子郵件聯絡攻擊目標個人 網路釣魚受害者 網路釣魚者可能會聲稱 為了避免某些糟糕的後果 要求攻擊目標提供確認資訊 例如密碼或使用者名稱 8 1 3社交工程和網路釣魚 語音網路釣魚 電話網路釣魚一種使用IP語音 VoIP 的新式社交工程被稱為 語音網路釣魚 vishing 在語音網路釣魚攻擊中 使用者會收到一封語音郵件 郵件中指示他們撥打一個看上去像是正規電話銀行服務的電話號碼 隨後 沒有設防的使用者撥打該號碼時 通話會被竊賊截聽 為了進行確認而透過電話輸入的銀行帳戶號碼或密碼便會被攻擊者竊取 8 2 1病毒 蠕蟲和特洛伊木馬 其他類型的攻擊 這些攻擊借助電腦軟體的漏洞來執行 此類攻擊技術包括 病毒 蠕蟲和特洛伊木馬 所有這些都是侵入主機的惡意軟體 它們會損壞系統 破壞資料以及拒絕對網路 系統或服務的存取 它們還可將資料和個人詳細資訊從沒有設防的PC使用者轉送到犯罪者手中 在許多情況下 它們會自身複製 然後傳播至連接到該網路的其他主機 8 2 1病毒 蠕蟲和特洛伊木馬 病毒是透過修改其他程式或檔案來執行和傳播的一種程式 病毒無法自行啟動 而需要被啟動 有的病毒一旦啟動 便會迅速自我複製並四處傳播 但不會執行其他操作 這類病毒雖然很簡單 但仍然非常危險 因為它們會迅速佔用所有可用記憶體 導致系統停機 編寫的更為惡毒的病毒可能會在傳播前刪除或破壞特定的檔案 病毒可透過電子郵件附件 下載的檔案 即時訊息或磁片 CD或USB裝置傳送 觀看動畫8 2 1 2 8 2 1病毒 蠕蟲和特洛伊木馬 蠕蟲類似於病毒 與病毒不同的是它無需將自身附加到現有的程式中 蠕蟲使用網路將自己的副本傳送到所連接的所有主機中 蠕蟲可獨立執行並迅速傳播 它並不一定需要啟動或人為干預才會發作 自我傳播的網路蠕蟲所造成的影響可能比單個病毒更為嚴重 而且可迅速造成網際網路大面積感染 特洛伊木馬是一種非自我複製型程式 它以合法程式的面貌出現 但實質上卻是一種攻擊工具 特洛伊木馬依賴於其合法的外表來欺騙受害人啟動該程式 它的危害性可能相對較低 但也可能包含可損壞電腦硬碟內容的程式碼 特洛伊木馬還可為系統建立後門 從而使駭客獲得存取權 8 2 1阻斷服務和暴力攻擊 阻斷服務 DoS DoS攻擊是針對單個電腦或一組電腦執行的一種侵略性攻擊 目的是拒絕為特定使用者提供服務 DoS攻擊可針對使用者系統 伺服器 路由器和網路連結發起 兩種常見的DoS攻擊為 SYN 併發 氾濫攻擊 向伺服器傳送大量請求用戶端連接的封包 這些封包中包含無效的來源IP位址 伺服器會因為試圖回應這些虛假請求而變得極為忙錄 導致無法回應合法請求 死亡之ping 向裝置傳送超過IP所允許的最大值 65 535位元組 的封包 這可導致接收系統異常 8 2 1阻斷服務和暴力攻擊 8 2 1阻斷服務和暴力攻擊 分散式阻斷服務 DDoS DDoS是一種更為狡猾且更具破壞性的DoS攻擊形式 其目的是使用無用的資料淹沒網路連結 DDoS的執行規模遠比DoS攻擊更大 通常會有成百上千個攻擊點試圖同時淹沒攻擊目標 攻擊點可能是之前沒有設防而感染了DDoS程式碼的電腦 感染DDoS程式碼的系統會在被呼叫時攻擊目標站台 暴力攻擊在暴力攻擊中 攻擊者使用執行速度很快的電腦來嘗試猜測密碼或破解加密金鑰 攻擊者會在短時間內嘗試大量可能的密碼來獲取存取權或破解金鑰 暴力攻擊可引起針對特定資源的流量過大或使用者帳戶鎖定 從而導致阻斷服務 8 2 3間諜軟體 追蹤Cookie 廣告軟體和快顯 許多威脅的目的是收集使用者的相關資訊以用於廣告 行銷和研究目的 儘管它們可能不會損壞電腦 但仍會侵犯隱私 而且非常招人反感 間諜軟體是一種程式 用於在未得到使用者認可或使用者不知情的情況下從電腦中收集個人資訊 然後 這些個人資訊會傳送至網際網路上的廣告商或第三方 其中可能包含密碼和帳戶號碼 間諜軟體通常是在下載檔案 安裝其他程式或按一下快顯時暗中安裝 它會降低電腦速度 變更內部設定 導致更多的漏洞暴露給其他威脅 此外 間諜軟體也難以刪除 追蹤Cookie Cookie是間諜軟體的一種形式 但也有一些Cookie起到積極的作用 Cookie用於在網際網路使用者存取網站時記錄使用者的資訊 由於它允許個性化定制以及其他一些節省時間的方法 所以可能相當有用並受人歡迎 許多網站都要求使用者啟用cookie後才能進行連接 8 2 3間諜軟體 追蹤Cookie 廣告軟體和快顯 廣告軟體是另一種形式的間諜軟體 它透過使用者存取的網站收集使用者資訊 這些資訊之後會被利用進行針對性的廣告宣傳 快顯和背顯式廣告是使用者在瀏覽網站時顯示的附加廣告宣傳視窗 與廣告軟體不同 快顯和背顯式廣告並不收集關於使用者的資訊 而且通常只與所存取的網站關聯 快顯 在目前瀏覽器視窗的前端開啟 背顯式廣告 在目前瀏覽器視窗的後端開啟 8 2 3間諜軟體 追蹤Cookie 廣告軟體和快顯 8 2 4垃圾郵件 垃圾郵件是非常嚴重的網路威脅 可導致ISP 電子郵件伺服器和使用者系統不堪重負 傳送垃圾郵件的個人或組織稱為垃圾郵件傳送者 垃圾郵件傳送者通常利用未受安全保護的電子郵件伺服器來轉送電子郵件 垃圾郵件傳送者可能使用駭客技術 例如病毒 蠕蟲和特洛伊木馬 來控制家用電腦 受控的這些電腦就會被用來在主人毫不知情的情況下傳送垃圾郵件 垃圾郵件可透過電子郵件傳送 如今它們還可透過即時訊息軟體傳送 據估計 網際網路上的每個使用者每年收到的垃圾電子郵件超過3 000封 垃圾郵件消耗了大量的網際網路頻寬 此問題的嚴重性已引起了許多國家的重視 各國紛紛出台法律管制垃圾郵件的使用 觀看動畫8 2 4 1 8 3 1常用安全措施 安全風險無法徹底消除或預防 但是 有效的風險管理和評估可顯著減少現有的安全風險 要將風險降至最低 人們必須認識到一點 沒有任何一件產品可為組織提供絕對的安全保護 要獲得真正的網路安全 需要結合採用多種產品和服務 制定全面的安全政策並嚴格實作該政策 8 3 1常用安全措施 安全政策透過安全程序來實施 這些程序定義了主機和網路裝置的設定 登入 稽核和維護過程 其中包括使用預防性措施來降低風險 以及採用主動措施來處理已知安全威脅 可保護網路安全的一些安全工具和應用程式有 軟體修補程式和更新病毒防護間諜軟體防護垃圾郵件攔截器快顯封鎖程式防火牆 觀看動畫8 3 1 2 8 3 2更新和修補程式 駭客用來獲取主機和 或 網路存取權的最常見方法之一便是利用軟體漏洞 因而及時對軟體應用程式應用最新安全性修正程式和更新以阻止威脅極為重要 修補程式是修復特定問題的一小段程式碼 更新則可能包含要新增到套裝軟體中的附加功能以及針對特定問題的修補程式 作業系統 例如Linux Windows等 和應用程式廠商會不斷提供更新和安全性修補程式 以更正軟體中已知的漏洞 此外 廠商通常還會發佈修補程式和更新的集合 稱為服務套件 值得慶倖的是 許多作業系統都具有自動更新功能 可在主機上自動下載和安裝作業系統與應用程式更新 8 3 3防病毒軟體 檢測病毒 即使作業系統和應用程式安裝了所有最新的修補程式和更新 仍然容易遭到攻擊 任何連接到網路的裝置都可能會感染上病毒 蠕蟲和特洛伊木馬 這些攻擊可損壞作業系統程式碼 影響電腦效能 變更應用程式和毀壞資料 感染病毒 蠕蟲或特洛伊木馬後 可能出現的症狀有 電腦行為開始變得不正常 程式不回應滑鼠和按鍵程式自行啟動或關閉電子郵件程式開始外發大量電子郵件 CPU使用率非常高 有不認識的或大量的程序執行電腦速度顯著下降或崩潰 8 3 3防病毒軟體 防病毒軟體可用作預防工具和反應工具 它可預防感染 並能偵測和刪除病毒 蠕蟲和特洛伊木馬 連接到網路的所有電腦都應安裝防病毒軟體 市面上存在許多防病毒程式 防病毒程式可具有以下功能 電子郵件檢查 掃描傳入和傳出電子郵件 辨識可疑的附件 常駐動態掃描 在存取可執行檔和文件時對它們進行檢查 計畫掃描 可根據計畫按固定的間隔執行病毒掃描以及檢查特定的磁碟機或整個電腦 自動更新 檢查和下載已知的病毒特徵碼和樣式 並可設為定期檢查更新 8 3 4反垃圾郵件 垃圾郵件不僅惹人討厭 還可能造成電子郵件伺服器超載 有時還攜帶有病毒和其他安全威脅 垃圾郵件傳送者還可以透過在主機上植入病毒或特洛伊木馬程式碼來控制主機 讓受控主機在使用者毫不知情的情況下傳送垃圾郵件 受到這種形式感染的電腦稱為 垃圾郵件製造廠 反垃圾郵件軟體可鑑別垃圾郵件並執行相應操作 例如將其放置到垃圾郵件資料夾或刪除 從而為主機提供保護 此類軟體可在機器本地載入 也可在電子郵件伺服器上載入 此外 許多ISP也提供垃圾郵件過濾器 反垃圾郵件軟體無法辨識所有的垃圾郵件 因此開啟電子郵件時仍須非常謹慎 有時候 有用的電子郵件也會被錯誤地當作垃圾郵件處理了 觀看動畫8 3 4 1 除了使用垃圾郵件攔截器以外 還可使用其他預防措施來防止垃圾郵件傳播 這些措施包括 及時安裝現有的作業系統和應用程式更新 定期執行防病毒程式 並始終保持最新版本 不要轉送可疑的電子郵件 不要開啟電子郵件附件 尤其是來自陌生人的郵件附件 設定電子郵件規則 刪除繞過反垃圾郵件軟體的垃圾郵件 鑑別垃圾郵件來源 並將其報告給網路管理者以便阻隔該來源 將事件報告給處理垃圾郵件濫用的政府機構 8 3 4反垃圾郵件 8 3 5反間諜軟體 反間諜軟體和廣告軟體間諜軟體和廣告軟體也會導致類似病毒的症狀 除了收集未經授權的資訊外 它們還會佔用重要的電腦資源並影響效能 反間諜軟體可偵測和刪除間諜軟體應用程式 並防止這些程式將來再度安裝 許多反間諜軟體應用程式還包括cookie及廣告軟體的偵測和刪除功能 某些防病毒套裝軟體具有反間諜軟體功能 快顯封鎖程式可安裝快顯封鎖程式軟體來阻止快顯和背顯式廣告 許多Web瀏覽器預設包含快顯封鎖程式的功能 請注意 某些程式和網頁會產生必要和有用的快顯視窗 因此 大多數快顯封鎖程式都具有略過功能 即允許某些快顯視窗 8 4 1什麼是防火牆 防火牆是保護內部網路使用者遠離外部威脅的最為有效的安全工具之一 防火牆位於兩個或多個網路之間 控制其間的流量並幫助阻止未授權的存取 防火牆產品使用多種技術來區分應禁止和應允許的網路存取 封包過濾 根據IP或MAC位址阻止或允許存取 應用程式 網站過濾 根據應用程式來阻止或允許存取 網站攔截則透過指定網站URL位址或關鍵字來實現 狀態封包偵測 SPI 傳入封包必須是對內部主機所發出請求的合法回應 除非得到特別允許 否則未經請求的封包會被攔截 狀態封包偵測還可具有辨識和過濾特定類型攻擊 例如DoS 的能力 8 4 1什麼是防火牆 防火牆可支援一個或多個此類過濾功能 此外 防火牆通常會執行網路位址轉換 NAT 網路位址轉換將一個內部位址或一組位址轉換為一個公開的外部位址 該位址會透過網路傳送 從而實現了對外部使用者隱藏內部IP位址的目的 8 4 1什麼是防火牆 防火牆產品具有各種形式 基於裝置的防火牆 此類防火牆內建在專用的硬體裝置 稱為安全裝置 中 基於伺服器的防火牆 此類防火牆是在網路作業系統 NOS 例如UNIX Windows或Novell 上執行的防火牆應用程式 整合防火牆 此類防火牆透過對現有裝置 例如路由器 新增防火牆功能來實現 個人防火牆 此類防火牆位於主機電腦中 不是被設計用於 保護 LAN實作 它可以由作業系統預設提供 也可以由外部廠商提供安裝 8 4 2使用防火牆 透過在內部網路 內部網路 和網際網路之間設定防火牆作為邊界裝置 所有往來網際網路的流量都會被監視和控制 如此一來 便在內部和外部網路之間劃分了一條清晰的防禦界線 然而 可能會有一些外部客戶需要存取內部資源 為此 可設定一個非軍事區 DMZ 術語 非軍事區 借用自軍事用語 它代表兩股勢力之間的一個指定區域 在該區域內不允許執行任何軍事活動 在電腦網路中 非軍事區代表內部和外部使用者都可存取的網路區域 其安全性高於外部網路 低於內部網路 它是由一個或多個防火牆建立的 這些防火牆起到分隔內部 非軍事區和外部網路的作用 用於公開存取的Web伺服器通常位於非軍事區中 觀看動畫8 4 2 1 8 4 2使用防火牆 單防火牆設定單個防火牆包含三個區域 分別用於外部網路 內部網路和非軍事區 來自外部網路的所有流量都被傳送到防火牆 然後防火牆會監控流量 決定哪些流量應傳送到非軍事區 哪些應傳