防火墙技术堡垒主机.ppt

1 5 堡垒主机 BastionHost 2 堡垒主机的配置特殊类型的堡垒主机设计和构筑堡垒主机的原则建设堡垒主机需要考虑的因素建立堡垒主机的步骤运行堡垒主机堡垒主机的保护与备份 3 5 1堡垒主机的配置 防火墙系统中 配置堡垒主机的数量 一台多台配置数量由具体情况决定 4 使用多台堡垒主机原因性能冗余分离数据或者服务器 5 性能 例1 一台堡垒主机处理提供给内部网用户的服务一台堡垒主机处理提供给因特网用户的服务内部网用户不会受外部网用户的活动影响例2 多堡垒主机用于同样的服务需要考虑负载平衡问题 6 冗余 一台失败 另一台提供相同服务分离数据或服务器 保证安全例 多台堡垒主机为不同用户提供同样服务 可以实现针对不同用户提供不同的数据 7 需要保证堡垒主机安全 原因高度暴露安全核心 坚固 8 5 2特殊类型的堡垒主机 无路由双宿主机牺牲品主机内部堡垒主机 9 无路由双宿主机本身可以作为一个防火墙 也可以作为一个更复杂的防火墙的一部分有两个网络接口 但这些接口间没有信息流 10 牺牲品主机适用于无论使用代理服务还是数据包过滤都难以保证安全的网络服务 或者一些对其安全性没有把握的服务其上没有任何需要保护的信息不与任何入侵者想要利用的主机相连易于被管理 即使被侵袭也无碍内部网的安全 11 注意 用户总是希望在牺牲品主机上存有尽可能多的服务与程序但是出于安全性考虑 不可随意满足用户的要求 否则会使用户越来越信任牺牲品主机而违反设置牺牲品主机的初衷 12 内部堡垒主机与堡垒主机有交互的某些内部主机 例如 内部SMTP服务器内部DNS服务器等是有效的次级堡垒主机 应象保护堡垒主机一样加以保护可以在它上面多放一些服务 但其配置必须遵循与堡垒主机一样的过程 13 5 3设计和构筑堡垒主机原则 最简化原则预防原则 14 最简化原则 尽量简单为什么 堡垒主机越简单 安全越有保证堡垒主机提供的任何服务可能有软件缺陷或者配置错误怎么做 提供服务数量尽可能少特权尽可能小 15 预防原则 做好堡垒主机被损害的准备让内部机器不再信任堡垒主机具体方法 在堡垒主机与内部主机之间设置包过滤器在内部主机上进行访问控制 口令 认证等 16 5 4建设堡垒主机需考虑的因素 选择机器选择位置选择服务 17 选择机器选择操作系统对机器速度的要求硬件配置 18 选择操作系统选择较为熟悉 较为安全的操作系统作为堡垒主机的操作系统要考虑对以后的工作的影响 19 对机器速度的要求并不要求有很高的速度 只要物尽其用即可当需要较快速度的机器时 也可使用多堡垒主机结构不使用高档堡垒主机的原因低档机器对入侵者的吸引力要小一些 入侵者往往以入侵高档计算机为荣低档堡垒主机不利于入侵者进一步侵入内部网 因为它编译较慢 运行一些有助于入侵的破译密码程序也较慢 20 硬件配置高兼容性 高可靠性 慎重选择新产品需要大内存以支持同时处理多个网际连接需要较大的磁盘空间作为存储缓冲来运行代理服务 21 选择位置物理场所网络上的位置 22 物理场所安全适宜通风良好温度恒定不间断电源 23 网络上的位置最好放在一个单独的网络上 周边网络 不放在内部网上放置在没有重要或机密信息流的网络上 24 原因 混合模式下一个网络接口可捕捉到与该接口连接的网络上的所有的数据包 而不仅仅是发给该接口所在机器的地址的数据包大多数以太网和令牌环网的接口都可工作在混合模式一旦堡垒主机被攻破 侵袭者可以利用混合模式获取堡垒主机所在网络的信息周边网络上的堡垒主机无法侦听内部网络的数据包 25 选择服务服务分为四类 安全的服务 可以通过包过滤提供的服务提供的服务不安全 但可以采取安全措施 在堡垒主机上提供提供的服务不安全 也无法保证它的安全 可以废除这些服务 如果确实需要 可以在牺牲品主机上提供必须废弃的服务 26 5 5建立堡垒主机的步骤 1 初步建立安全的运行环境2 关闭所有不必要的服务软件3 安装或修改必须的服务软件4 根据最终需要重新配置机器5 核查机器上的安全保障机制6 将堡垒主机连入网络在进行最后一步工作之前 必须保证机器与因特网是互相隔离的 27 初步建立安全的运行环境安装最小的 无病毒的 标准的操作系统修复已知的操作系统的缺陷使用安全检查列表Checklist保护系统日志 28 保护系统日志系统日志的重要性通过检查系统日志 可以知道系统正在做什么 将来要做什么通过检查系统日志 可以判断堡垒主机的运行是否正常 哪些方面发生了问题要确保系统日志的安全 29 存放系统日志主要考虑 方便性 要将它存放在易于操作的地方安全性 要使非相关用户无法操作到日志文件为此 同时存放日志文件的两个拷贝方便性拷贝 是监视系统日常运行的基础安全性拷贝 在发生事故重建堡垒主机时使用 30 关闭不必要的服务任何服务都可能有缺陷或配置问题关闭不必提供的任何服务 提供用户需要的服务 31 关闭路由服务多接口IP主机能自动实现IP转发堡垒主机通过将数据包向上传输至应用层的代理服务程序 对数据包进行监控 不管数据包的目的地址是否是该主机 实现双宿主机到无路由双宿主机的转换的方法 修改操作系统内核 废弃IP转发 32 重新配置机器重新配置和构筑系统内核删掉不必要的程序把文件系统置为只读 33 去掉不需要的系统内核功能 目的减少系统占用内存使入侵者没有利用这些功能的机会删掉不必要的程序程序中有漏洞 侵袭者可能利用包含的漏洞 34 核查机器上的安全保障机制监测软件包功能检查众所周知的安全漏洞建立系统文件的检验数据库 了解未来文件可能发生的变化使用监测软件包对监测软件包重复运行几次 根据一些警告信息 重新配置机器或监测软件包监测软件的校验原因 侵袭者可能破坏传统校验程序方法 根据文件内容计算出一个数字 如果文件被修改了 数字也随之改变优点 相对省时 所需的存储空间少缺点 不一定准确 35 漏洞扫描器 一种自动检测远程或本地主机安全性弱点的程序漏洞扫描器分为两种类型 主机漏洞扫描器 HostScanner 在系统本地运行检测系统漏洞的程序网络漏洞扫描器 NetworkScanner 基于Internet 远程检测目标网络和主机系统漏洞的程序对黑客和系统管理员同样有用 36 GNUTiger可以检查系统配置错误 不安全的权限设置 所有用户可写的文件 SUID和SGID文件 Sendmail和FTP设置 脆弱的口令或者空口令 系统文件的改动能暴露各种弱点并产生详细报告 37 COPS可以报告系统的配置错误以及其他信息 对Linux系统进行安全检查检测内容 文件 目录和设备文件的权限 重要系统文件的内容 格式和权限 是否存在所有者为root的SUID文件 重要系统二进制文件的CRC校验和检查 对匿名FTP Sendmail等网络应用进行检查只是监测工具 并不做实际的修复适合配合其他工具使用 其优点在于比较擅长找到潜在的漏洞 38 sXid一个系统监控程序可以扫描系统中SUID和SGID文件和目录 因为这些目录很可能是后门程序可以设置通过电子邮件来报告结果还提供灵活的检查方式 既不记入日志 也不发出电子邮件 39 Strobe一个TCP端口扫描器 可以记录指定的机器的所有开放端口 运行速度非常快最初用于扫描局域网中公开的电子邮件 从而得到邮件用户信息Strobe的另一个重要特点是它能快速识别指定机器上正在运行什么服务不足之处是这类信息量比较有限 40 5 6运行堡垒主机 完成了对堡垒主机的所有配置就可把它连到网上为了能监视堡垒主机的运行情况 及时发现出现的异常现象 及早发现入侵者或系统本身的安全漏洞 首先必须详细了解系统正常运行时的情况 包括以下内容 每次大概运行几个作业 每个作业一般花费多少CPU时间 每天不同时间系统负载如何 41 5 7堡垒主机的保护与备份 仔细观察重新启动情况一旦堡垒主机完全配置好并投入使用 它应当是一个稳定的系统通常不会运行失败或重新启动因此