安全审核与风险分析.ppt

安全审核与风险分析 主讲教师 李军 第一单元安全审核入门 学习目标 明确安全审核人员的主要职责了解风险评估掌握风险评估的各个阶段了解差距分析掌握资源等级的划分掌握如何计划实施安全审核了解获得管理者支持的重要性掌握获得客户反馈的方法 审核人员的工作 制定安全策略 任何一个管理规范的网络都需要制定一系列的安全策略 风险评估明确审核企业性质阅读书面安全策略评价已经存在的管理和控制体系实施风险分析提交审核报告 审核人员的职责和前瞻性 从安全管理者的角度考虑需要从防火墙内部进行监测 关注内部网络服务器和主机是否有异常情况 安全管理者还要从防火墙外部进行渗透以查看防火墙的规则配置是否有漏洞 判断黑客是否能穿透防火墙进而控制网络主机 审核人员的职责和前瞻性 从安全顾问的角度考虑从黑客的角度和不知情的审核者的角度对网络进行测试从一个内部知情人的角度来评估网络安全合并两方面测试中得到的信息 作综合评价后进行更深层次的审核内部威胁分析攻击者并不一定都是黑客和外部人员 若将存放重要资料的服务器暴露在内部网络的公共区 内部使用者就可能直接对其进行攻击 使用多层防火墙机制可以很好地解决这个问题 在内部网络中 另外建立一个防火墙 分割一般使用者和重要资料服务器的网段 严格限制其出入的传输 强化资料存取的安全性 审核人员的职责和前瞻性 风险评估 风险评估是指定位网络资源和明确攻击发生的可能性 风险评估是一种 差距分析 可以显示出安全策略和实际发生攻击之间的差距 信息安全风险评估是指依据有关信息安全技术与管理标准 对信息系统及由其处理 传输和存储的信息的机密性 完整性和可用性等安全属性进行评价的过程 风险评估的准备风险评估的准备过程是组织机构进行风险评估的基础 是整个风险评估过程有效性的保证 确定风险评估的目标 风险评估 风险评估的依据1 政策法规 中办发 2003 27号文件和国信办文件2 国际标准 如BS7799 1 信息安全管理实施细则 BS7799 2 信息安全管理体系规范 等3 国家标准或正在审批的讨论稿 如GB17859 1999 计算机信息系统安全保护等级划分准则 和 信息安全风险评估指南 等4 行业通用标准等其它标准 风险评估 风险评估的原则可控性原则完整性原则最小影响原则保密原则 风险评估 风险结果的判定风险等级的划分控制措施的选择残余风险的评价 风险评估 1 仔细检查书面安全策略 roadmap 或 framework 2 对资源进行分析 分类和排序 找出网络中最重要的资源 风险评估的步骤 风险评估的步骤 3 通常遭受攻击的资源 风险评估的步骤 下表列出了一些通常遭受攻击的网络资源 风险评估的步骤 每个部门都有自己的数据库 但人力资源 财务和研发部门的数据通常比其它部门的更重要一些 风险评估的步骤 4 考虑商业需求为企业需求制定安全策略 应当考虑一些特殊的部门和个体 目标是提高各部门的工作效率并使他们的数据更安全 风险评估的步骤 5 评估已有的边界和内部安全边界安全指网络间区分彼此的能力 防火墙是定义安全边界的第一道屏障 内部安全是指网络管理员监测和打击未授权的网络活动的能力 通过对现有安全机制的评估确认网络可以从外部攻击中尽快恢复 风险评估的步骤 6 使用已有的管理和控制结构在审核过程中 可以使用网络中已有的管理和控制结构 基于网络的管理结构基于主机的管理结构两种管理结构各有优劣 可以根据不同的管理任务进行选择 简单查询体系结构 用户 代理体系结构 风险评估阶段 黑客在入侵攻击网络系统的过程中不外乎三个步骤 扫描侦查 渗透和控制网络系统 安全审核人员进行审核时也有三个阶段 侦查阶段 渗透阶段 控制阶段 安全审核人员不同于黑客 风险评估阶段 侦查阶段 扫描和测试系统的有效安全性 对网络进行侦查意味着要定位出网络资源的使用的具体情况 包括IP地址 开放端口 网络拓扑等 实施分析要求对系统逐个检测 侦查阶段的分析工作通常需要大量的时间 风险评估阶段 渗透阶段 渗透测试渗透测试是指在获取用户授权后 通过真实模拟黑客使用的工具 分析方法来进行实际的漏洞发现和利用的安全测试方法 在渗透测试中 将检查各种系统的漏洞 并试图使下列元素无效 加密密码访问列表 风险评估阶段 控制阶段 控制演示控制 表明一个黑客可以控制网络资源 创建帐号 修改日志 行使管理员的权限 审核人员从不试图控制网络主机 只是通过演示其可以控制网络主机来证明现有网络存在的问题 在提交报告时 必须提出如何防止黑客获得网络和主机的控制权的建议 差距分析 风险评估中常用的方法有三种 计算系统综合风险差距分析法量化风险 差距分析法模型 差距分析 差距分析 差距分析法在运用中通常包括五个步骤1 调研目标系统状况2 确定信息系统安全要求3 评估信息系统安全现状4 对信息安全风险进行差距分析和风险计算5 用户根据安全风险评估的结果进行风险控制 形成满足其信息系统安全要求的信息系统安全保障能力 划分资产风险等级 对各个资产进行风险等级的划分 划分的标准如下表 可以采用按照风险数值排序的方法 也可以采用区间划分的方法将风险划分为不同的优先等级 包括将可接受风险与不可接受风险的划分 安全审核需注意的事项 安全审核的要素安全审核涉及四个基本要素 1 控制目标2 安全漏洞3 控制措施4 控制测试 安全标准 安全标准1 ISO7498 22 英国标准7799 BS7799 3 CommonCriteria CC 获得最高管理者支持 任何一个组织 推行任何一套安全管理体系 首先都必须获得最高管理者的支持 在安全审核初期 最高管理者的支持可以表现在以下方面 第一 在财务方面提供必要的投资 第二 配备必要充足的人力资源 分配一定的工作时间于工作的推动上 获取客户信息的反馈 来自客户的反馈信息是衡量业绩的重要指标之一 可以被用来评价网络安全管理体系的总体有效性 对一个机构进行一次安全审核后要及时地与被审核机构进行及时的沟通 以了解安全审核的效果 获得客户反馈的信息 了解到工作中存在哪些不足 针对不同企业或机构采取不同的审核方式 第二单元审核过程 学习目标 掌握有效检查书面安全策略的方法了解资源的划分明确业务焦点明确如何使用现有的管理控制结构掌握基于网络和基于主机的脆弱性发现和分析工具的配置掌握如何实施网络级和主机级的安全扫描了解路由器和防火墙的安全配置确定电话服务系统 集成系统的安全等级熟悉安全审核的步骤 检查书面安全策略 通过对各种策略文档进行阅读和分析 获得整个策略文档体系的概貌 并评价策略文档体系能否满足安全工作的要求 查看是否有 风险分析 项目 查看IT任务陈述 查看是否有如何实施安全策略以及如何处理破坏行为或不正当行为的说明 查看是否有全面的 备份和恢复 或 业务连续性 计划 检查书面安全策略 为什么要有安全策略安全策略的主要目标就是为获取 管理和审查计算机资源提供一个准绳 一个强大的安全策略是合理且成功地应用安全工具的先决条件 没有明确的规则和目标 则安装 应用和运行安全工具是不可能有效的 检查书面安全策略 好的安全策略具有的特征安全策略应该简洁明了 一个好的安全策略应具有以下特征 安全策略不能与法律法规相冲突 为了正确地使用信息系统 安全策略应当对责任进行合理的分配 一个好的安全策略应该具有良好的可执行性 一个好的安全策略应有与之匹配的安全工具 安全工具应能预防策略被破坏 一个强大的安全策略应能提供突发性处理 检查书面安全策略 公布策略安全策略要让机构中的每个用户都知道 安全策略公布方式 电子邮件MSN消息安全简报 检查书面安全策略 让策略发生作用安全策略不能停留在书面上 要严格贯彻执行 安全策略只有在实施后才能发挥作用 安全策略的贯彻执行 可以在企业形成良好的安全保护意识 营造一种良好的安全环境 这才更符合信息发展网络化的特点 检查书面安全策略 制定一个详细计划来实施安全策略信息安全策略的实施过程是一项较为长期且反复的过程 在这一过程中要根据实践的结果对信息安全策略体系和内容进行不断调整与完善 详细的实施计划有助于有效地管理开支计划和控制执行时间 获得高层管理层的支持与认可是安全策略得以顺利贯彻落实的关键 信息安全策略实施计划至少应该包含以下步骤 了解每个员工的信息系统的现状 深入了解组织的业务需求及安全需求 进行文档审查 掌握组织当前的策略制定及部署情况 按层次分级制定安全策略 通过召开讨论会议的形式来完善每项安全策略 划分资产等级 正确对资产进行分类 划分不同的等级 正确识别出审核的对象是进行安全审核非常关键的前提条件 划分资产等级 资产确认硬件资产软件资产对私有或保密数据进行分类 从顾客数据库到专用应用程序 对常规数据 包括数据库 文档 备份 系统日志和掉线数据等进行分类对机构里的人员要进行确认和分类 对于机构外但与机构有往来的也要进行确认和分类 划分资产等级 资产评估对于大多数的资产可以用货币数量多少的方法对其进行资产确定进行资产评估要考虑四种价值资产确认和评估是一个复杂的过程 判断危险性除了恶意侵入者和内部人员外 对于任何计算机系统还有许多威胁安全的方面 从软件缺陷到硬件失效把一杯茶水泼到键盘上挖掘机切断了上千万根电缆线下面是对计算机危险的部分分类 软硬件故障物理环境威胁人员外部因素 划分资产等级 划分资产等级 划分资产等级资产的等级表明了资产对系统的重要性程度 安全审核人员应根据各个资产的等级确定相应的安全审核策略 确定保护方法确定了危险性 就要确定保护方法 基于软件的保护基于硬件的保护与人员相关的保护 划分资产等级 成本 效益分析成本 收益分析是评价安全措施的成本和收益量化风险量化损失成本量化预防措施的成本计算底限权衡安全失败的潜在成本和加强安全的成本是需要技巧的 成本 效益图 识别业务焦点 只有识别出了企业或单位的业务焦点才能清楚地了解到 对于企业或单位来说最重要的是什么 安全审核人员应将企业的业务焦点的安全等级置于最高 并进行最严格的安全审核 使用已有管理控制结构 单独的安全设备不能解决网络的安全问题 独立的基于网元的管理更不能解决日益复杂的安全问题 安全的网络是指能够提供安全连接 安全保证 安全认证 安全抵御以及安全服务 安全感知和管理 具有自我防御能力的网络系统 从技术的层面来说 目前业界比较认可的安全网络的主要环节包括 入侵防护入侵检测事件响应系统灾难恢复 使用已有管理控制结构 应急响应将安全网络的各个环节贯穿起来 使得不同的环节互相配合 共同实现安全网络的最终目标 应急响应的准备工作包括 风险评估策略制定入侵防护入侵检测 使用已有管理控制结构 安全管理在安全网络建设的循环中 起到一个承前启后的作用 是实现安全网络的关键 安全信息管理涵盖的范围非常全面 包括 风险管理策略中心配置管理事件管理响应管理控制系统知识和情报中心专家系统 使用已有管理控制结构 根据信息安全管理的功能和特性 可将其工作流程分成以下4个阶段 配置管理Provisioning监控管理Monitoring分析管理Analysis响应管理Response每个阶段侧重解决不同的信息安全问题 实现不同的安全目标 四个工作流程 1 配置管理 安全策略的制定安全配置的部署检查配置是否遵循安全策略2 监控管理 安全状况报告的查看 校对 产生安全威胁信息的可视化保存记录以便以后进行审核3 分析管理 将离散的数据智能地翻译成可检测的信息显示推荐的排除安全威胁的配置信息安全审核4 响应管理 通过各种事件的关联准确定位安全事件确定攻击源头 描绘攻击路径自动产生排除安全威胁的操作和其他部署系统一起协同作业 配置基于网络和主机的漏洞扫描分析软件 漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的系统 漏洞扫描可以分为 基于网络的扫描基于主机的扫描 配置基于网络和主机的漏洞扫描分析软件 基于网络的漏洞扫描和分析软件通过网络来扫描远程计算机中的漏洞一种漏洞信息收集工具 配置基于网络和主机的漏洞扫描分析软件 基于主机的漏洞扫描和分析软件基于主机的漏洞扫描器与基于网络的漏洞扫描器的扫描原理类似 两者的体系结构不一样 基于主机的漏洞扫描器通常在目标系统上安装了一个代理 Agent 或者是服务 Services 以便能够访问所有的文件与进程 基于主机的漏洞扫描器能够扫描更多的漏洞 配置基于网络和主机的漏洞扫描分析软件 对比基于网络和基于主机的漏洞扫描和分析软件基于网络的漏洞扫描的优点基于网络的漏洞扫描的缺点 实验2 1 主机安全扫描实验 在本实验中 我们将学习使用Xscan主机漏洞扫描软件对主机的漏洞进行扫描 配置基于网络和主机的漏洞扫描分析软件 基于主机的漏洞扫描的优点基于主机的漏洞扫描的缺点 考虑路由器和防火墙的安全配置 路由器安全配置路由器访问控制的安全配置路由器网络服务安全配置路由器路由协议安全配置路由器其他安全配置 考虑路由器和防火墙的安全配置 防火墙安全配置最低的权限原则 Leastprivilege 彻底防御原则 Defenseindepth 最少信息原则 Minimalinformation 保持最短及最简单原则 KeepItShortandSimple 身分确认及认证原则 IdentificationandAuthentication 实验2 2 路由器网络服务安全配置实验 在本实验中 我们将学习如何针对路由器网络服务安全进行配置 确定信息系统的安全等级 通过对系统现有安全现状的审核 并参考国内外信息系统安全等级划分标准 确定现有信息系统的等级 国际信息系统等级划分标准 可信计算机系统评估准则 TCSEC通用准则CCBS7799 ISO17799 中国信息系统等级划分标准 信息系统安全等级保护实施指南 送审稿 信息系统安全等级保护测评准则 送审稿 信息系统安全等级保护基本要求 试用稿 信息系统安全等级保护定级指南 试用稿 计算机信息系统安全保护划分准则 GB17859 1999 GA T387 2002GA388 2002GA T389 2002GA T390 2002GA391 2002 评估现有备份机制的执行效率 在实施安全审核的过程中 可以从以下几个方面对系统现有的备份机制的运行状态进行评估 备份的对象系统的备份方式系统备份策略 安全审核阶段 依据BS7799标准 安全审核过程包含以下四个阶段 制定审核计划 确定审核目标 范围 背景资检查和评价信息 现场审核阶段传递审核结果后续跟踪 第三单元系统资源侦查 学习目标 掌握具体的侦查方法掌握安全扫描的方法与工具了解物理侦查的方法了解面谈的方法能够配置并部署一个企业级的安全审核工具明确通过侦查能获得的信息 侦查方法 黑客攻击系统之前 必须要知道攻击目标的一些相关信息 这就需要事先侦查 通过侦查可以获得大量的目标系统的基本信息 两种侦查方式 被动侦查被动侦查收集的信息可以是公司的域名 公司的服务器和系统等 被动侦查有两类 嗅探 sniffing 信息收集 informationgathering 主动侦查主动侦查是指攻击者已经有了足够的信息再去探查或扫描站点 主动侦查的相关信息 安全扫描 安全扫描以各种各样的方式进行 DNS工具 如 whois nslookup host和dig标准的运用程序 包括ping traceroute telnet和SNMPping 端口扫描仪和共享扫描仪网络运用程序及共享侦查程序 包括NMAP和RedButton包含了上述各方法的企业级的漏洞扫描仪 安全扫描 ping扫描及tracerouteping扫描作用使用命令ping一个公司的Web服务器可获得该公司所使用的IP地址范围 一旦得知HTTP服务器的IP地址 可以使用ping扫描工具ping该子网的所有IP地址 可以得到该网络的地址图 ping扫描分析 安全扫描 ping扫描软件在Windows系统的命令行中可以执行ping命令Traceroute tracert 使用traceroute 你可以推测出网络的物理布局 包括该网络连接Internet所使用的路由器端口扫描及相应软件工具端口扫描与ping扫描相似 不同的是端口扫描不仅可以返回IP地址 还可以发现目标系统上活动的UDP和TCP端口 端口扫描分析 安全扫描 网络侦查和服务器侦查程序服务扫描RedButton可以从开启了server服务的Windows2000 NT服务器获取信息堆栈指纹堆栈指纹技术可以用TCP IP来识别不同的操作系统和服务堆栈指纹程序和部分特征强大的网络侦查工具 NMAP 共享扫描的工作示意图 共享扫描 安全扫描 共享扫描软件PingPro 扫描Windows网络共享RedButton 扫描共享名称及相应密码缺省配置和补丁级扫描使用Telnet 利用Telnet客户端程序连接到其它端口使用SNMP 从网络主机上查询相关的数据SetRequst命令SNMP软件 安全扫描 TCP IP服务附加的TCP IP服务简单TCP IP服务Finger 获取远程服务器上的用户信息用户名服务器名E mail帐号用户当前是否在线用户登录时间 实验3 1 安装pingProPack 在本实验中 我们将学习如何安装pingProPack 实验3 2 使用pingProPack进行ping扫描和端口扫描 在本实验中 我们将学习如何使用pingProPack进行ping扫描和端口扫描 实验3 3 pingProPack侦查网络组件 在本实验中 我们将使用pingProPack进行ping和端口扫描 侦查已安装的视窗操作系统网络组件的信息 实验3 4 在Windows2000里安装协议分析仪 在本实验中 我们将在Windows2000安装一个叫EtherealNetworkAnalyzer协议分析仪 实验3 5 配置协议分析仪 在本实验中 我们将学习配置Ethereal来捕捉你和同学之间传递的数据包 实验3 6 用包嗅探器捕捉SNMPv1的communitynames 在本次实验中 我们将学习使用包嗅探器捕捉SNMPv1的communitynames 物理侦查 物理闯入 有效入侵手段物理闯入常常需要攻击者假冒某种身份才能达到目的 假冒职员 假冒客户 维修工人 行政人员 物理闯入的危害如何防范物理闯入 物理侦查 垃圾搜寻对垃圾进行分析有可能获得哪些信息 垃圾搜寻的危害如何防范垃圾搜寻 采访面谈 通过访谈 初步确定出受审核网络的哪些目标是最有价值的 哪些目标是最容易受到攻击的 企业级审核工具 支持的协议支持的协议和操作系统漏洞数据库 企业级审核工具 扫描等级企业级的扫描器允许你选择安全扫描的等级 大多数的网络扫描器将风险分成低 中 高三个等级 企业级的扫描程序具有细致的报告功能 可以用很多种格式输出信息 企业级审核工具 企业级审核工具SymantecNetReconNetworkAssociatesCyberCopScannerWebTrendsSecurityAnalyzerISSInternetScannerISSSecurityScannereEyeRetinaSecurityDynamicsKaneSecurityAnalystNetectHackerShield 实验3 7 部署eEyeRetina 在本实验中 我们将学习在Windows2000里安装eEyeRetina 然后对教室里的主机进行扫描 社会工程 社会工程 socialengineering 陷阱 通常是利用大众的疏于防范的小诡计让受害者掉入陷阱 交谈欺骗假冒口语用字 社会工程 流行社会工程学侦查方法使用电话进行的社会工程学攻击 最流行的社会工程学手段 进入垃圾堆 翻垃圾是一种常用的社会工程学手段 在线的社会工程学说服反向社会工程学 你能获得什么信息 网络级别的信息主机级别的信息合法和非法的网络工具黑客工具和审核工具并没有本质上的区别 网络级别信息列表 主机级别信息列表 第四单元审核服务器渗透和攻击技术 学习目标 了解网络渗透技术理解攻击特征与审核技术之间的关系了解易受攻击的服务器和目标掌握对路由器 数据库 Web FTP E mail服务器 DNS服务的审核掌握对系统漏洞的审核掌握对缓冲区溢出的审核掌握对拒绝服务攻击的审核 网络渗透技术 一旦黑客准确定位你的网络 会选定一个目标进行渗透 通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机 攻击特征和审核 攻击特征是攻击的特定指纹 入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的 常见的攻击方法 字典攻击Man in the middle攻击劫持攻病毒攻击非法服务拒绝服务攻击 危及安全的服务 在审核任何一个互联网系统时 有下面三种方法 用字典攻击或暴力破解攻击对机器的密码数据库进行破解 不考虑密码数据库 寻找一个漏洞进行攻击 如缓冲区溢出或后门 用社会工程学的方法进行攻击 易受攻击的目标 最常遭受攻击的目标包括路由器 数据库 Web和FTP服务器及与协议相关的服务 如DNS WINS和SMB 路由器 路由器是内部网络与外界的一个通信出口 它在一个网络中充当着平衡带宽和转换IP地址的作用 连接公网的路由器由于被暴露在外 通常成为被攻击的对象 路由器被拒绝服务攻击 路由器的物理安全 常见的通过路由器的攻击方式所有的网络攻击都要经过路由器对路由器直接进行攻击的方式路由器和消耗带宽攻击路由器最大的威胁是拒绝服务攻击所造成的带宽消耗分布式拒绝服务攻击工具TribalFloodNetwork TFN TribalFloodNetwork TFN2K Stacheldraht TFN的一个变种 Trinoo 数据库 黑客最想得到的是公司或部门的数据库 数据库中会包括的敏感信息对于有特别敏感数据的服务器 审核时应特别注意检查有无危险漏洞存在 Web服务器和FTP服务器 WEB和FTP服务器置于DMZ 极易遭到攻击Web和FTP服务通常存在的问题 Web服务器和FTP服务器 FTPbounce攻击 FTPbounce 攻击FTPbounce攻击的危害防范FTPbounce攻击 Web页面篡改 许多企业 政府和公司都遭受过类似的攻击 有时这种攻击甚至是出于政治目的 Web页面的涂改意味着存在着入侵的漏洞 Web页面篡改 防网页篡改系统外挂轮询技术核心内嵌技术事件触发技术 电子邮件服务器 网络入侵 NetworkIntrusion 服务破坏 DenialofService 对于服务破坏的防范 则可以分成以下几个方面 防止来自外部网络的攻击防止来自内部网络的攻击防止中继攻击邮件服务器应有专门的编程接口与邮件服务相关的问题包括 用字典和暴力攻击POP3的loginshell在一些版本中sendmail存在缓冲区溢出和其它漏洞用E mail的转发功能转发大量的垃圾信件 名称服务 大部分攻击都会针对DNS服务DNS攻击包括 未授权的区域传输DNS 毒药 拒绝服务攻击其它攻击 审核系统BUG 清楚操作系统产生的漏洞清楚漏洞修补程序熟悉软件的漏洞和bug及时升级 审核TrapDoor和RootKit Rootkit是用木马替代合法程序 TrapDoor是系统上的bug 当执行合法程序时却产生了非预期的结果 在对系统进行审核时 可以通过校验分析和扫描开放端口的方式来检测是否存在rootkit等问题 审核TrapDoor和RootKit 审核bugs和后门程序在服务器上运行的操作系统和程序都存在代码上的漏洞 攻击者通常知道这些漏洞并加以利用 后门 backdoor 也指在操作系统或程序中未记录的入口 程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口 后门不同于bug 这是由设计者有意留下的 在进行审核时 仔细记录任何你不了解它的由来和历史的程序 缓冲区溢出缓冲区溢出是指在程序重写内存块时出现的问题 防范缓冲区溢出攻击关闭端口或服务安装厂商的补丁在防火墙上过滤特殊通信检查关键程序以需要的最少权限运行软件 审核拒绝服务攻击 防范拒绝服务攻击 DoS 有效完善的设计带宽限制及时给系统安装补丁运行尽可能少的服务只允许必要的通信封锁敌意IP地址防范分布式拒绝服务攻击 DDoS 保持网络安全安装入侵检测系统使用扫描工具 审核非法服务 特洛伊木马和蠕虫 非法服务开启一个秘密的端口 提供未经许可的服务 常见的非法服务包括 NetBusBackOrifice和BackOrifice2000Girlfriend冰河2 X秘密的建立共享的程序非法服务是如何安装的 通过社会工程可以安装非法服务 一个终端用户或系统管理员打开了一个附件或者他们认为是安全的文件 也有可能安装了非法服务 蠕虫通过与一个特定的网络服务相结合也可以安装非法服务 特洛伊木马 审核木马 扫描开放的端口是审核木马攻击的途径之一蠕虫 蠕虫靠特定的软件传播 结合所有攻击制定审核策略 渗透策略物理接触操作系统策略弱口令策略较弱的系统策略审核文件系统漏洞IP欺骗和劫持Non BlindSpoofing BlindSpoofing和ConnectionHijackingNon BlindSpoofing 非显性数据欺骗 BlindSpoofing 显性数据欺骗 ConnectionHijacking 会话劫持 攻击者进行non blindIPspoofing通常要与会话劫持相结合 用到的工具 一个包嗅探器一个能够同时终止TCP连接 产生另一个TCP连接 进行IP伪装的程序 拒绝服务和TCP IP堆栈 TCP IP堆栈负责处理传入和传出的IP数据包 并将数据包中的数据路由到要处理它们的应用程序 在TCP IP堆栈中存在许多漏洞 如 允许碎片包大数据包IP路由选择半开TCP连接数据包flood等等成功地审核系统 需要理解每种攻击的特征 SYNflood攻击Smurf和Fraggle攻击Teardrop Teardrop2PingofdeathLandattackSSPingCPUHogWinNuke 实验4 1 嗅探FTP密码和网页密码 在本实验中 我们将学习使用Ethereal捕捉你的系统和教师受密码保护的系统之间传输的数据包 实验4 2 从邮件传输捕获用户名和密码 在本实验中 我们将学习如何从邮件传输过程中嗅探密码 实验4 3 登录到Windows2000服务器 在本实验中 我们将使用嗅探到的用户名和密码尝试登录到Windows2000服务器上 实验4 4 升级Windows2000TCP IP堆栈 在本实验中 我们将升级Windows2000操作系统到最新的TCP IP堆栈以抵御如NMAP这类的堆栈指纹程序 第五单元控制阶段的安全审核 学习目标 熟悉控制流程识别控制手段掌握记录控制流程和手段的方法 网络控制 攻击者可以在服务器和网络上建立控制熟悉成功获得网络控制权的规则 工具和手段审查典型的控制手段将有助于发现弱点和漏洞 控制阶段的目标 获得root的权限创建额外帐号收集特定信息开启新的安全漏洞进行端口重定向擦除渗透痕迹 控制阶段的目标 获得root的权限Root权限是控制的前提 因为它有权建立更多的帐号 操纵服务和对系统持续进行控制非法服务和后门 trapdoors 允许攻击者使用合法的帐号来升级访问权限 控制阶段的目标 创建额外帐号攻击者在获得root权限后创建额外的帐号使用批处理文件是创建额外帐号的一种手段审核这种控制手段的方法是查看那些没有填写完整的用户帐号 控制阶段的目标 获得信息与入侵前期的扫描活动比较类似 但它实际上是入侵渗透的一部分信息获取比侦查阶段的更具有针对性 该信息只会导致重要的文件和信息的泄漏攻击者获得信息的一种方法是操纵远程用户的Web浏览器 控制阶段的目标 审核UNIX文件系统UNIX文件系统的一个安全威胁是rootkitrootkit可以用各种各样的侦查和记录密码的程序替代了合法的程序如ls su和ps审核UNIX系统时 注意程序有无运行异常的情况存在 控制阶段的目标 L0phtCrack工具L0phtCrack工具 进行目录攻击和暴力攻击十分有效的工具字典攻击 暴力攻击 L0phtCrack工作方式 指定IP地址来攻击WindowsNT系统对SAM数据库文件进行攻击配置运行L0pht的计算机嗅探到的密码 实验5 1 使用LC5破解Windows2000的SAM库 在本试验中 我们将学习使用LC5来对本地系统的SAM库进行审核 控制阶段的目标 UNIX系统密码安全UNIX下的密码文件通常存放于 etc passwd下 etc passwd文件是冒号分隔的文本文件 例如 test x 501 501 testuserJames home test bin bash用户名 test UID号是501 GID号是501 全名是testuserjames 宿主目录是 home test 和登录shell是 bin bash的用户 Password文件必须能够被所有用户读取 但是不能被除root外的任何用户写入 而且 etc目录只能被root写入 控制阶段的目标 映像密码文件为了防止密码文件的泄漏 UNIX系统采用了映像密码 shadowpassword 技术 在 etc passwd文件中存放密码的位置只存放一个 x 而经过加密的密码存放于 etc shadow文件中 为user用户更改密码 使用下列语法命令 host passwduserPassword hidden Re type hidden 控制阶段的目标 JohntheRipper和CrackJohntheRipper和Crack是在基于UNIX的操作系统上常见的暴力破解密码的程序 JohntheRipper和Crack是最常见的从shadow和passwd文件中获得密码的程序 要使用L0pht和JohntheRipper来实施审核工作 实验5 2 使用JohntheRipper破解Linux密码 在本试验中 我们将学习JohntheRipper的安装 配置 它的用法及参数意义 控制阶段的目标 信息重定向攻击者控制系统后进行程序和端口转向 禁止FTP的服务 然后把FTP的端口指向另一台计算机 重定向SMTP端口 可以获得所有使用SMTP来传送E mail帐号的电子商务服务器的信息 控制阶段的目标 创建新的访问点如果系统管理员关闭了系统默认的一些访问点 那么黑客就会通过安装后门的方法来开启另外的一些访问点 通常开启后门的方法在系统上安装木马程序 控制阶段的目标 自动创建帐号和使用木马黑客通常都是利用已有的帐号进入系统的 使用计划任务来自动创建帐号或更改用户访问权限 cron和at来添加帐号或更改系统配置NetBus和BackOrifice2000后门程序 控制阶段的目标 清除入侵痕迹破坏系统日志是清除入侵痕迹的最好办法常见日志文件在Windows2000系统中日志文件防止删除系统日志的最好办法是做好系统日志的备份 将日志存储到远程系统上 控制阶段的目标 并发连接和端口重定向使用并发的Telnet或FTP会话来隐藏活动痕迹 建立的连接链路越多 追踪花费的时间越多要正确的追踪到使用端口重定向进行连接的黑客是非常困难的 控制方法 系统的升级不可避免的会开启新的安全漏洞黑客不断开发出新的工具 控制方法 系统缺省设置缺省设置是指计算机软硬件 Out of the box 的配置 便于厂商技术支持 攻击者可以缺省攻击设置来完全控制系统 改变缺省设置可以极大地增强操作系统的安全性 控制方法 合法服务 守护进程和可装载模块以下守护进程可以被用来破坏操作系统的安全架构 Windows2000运行服务UNIX运行守护进程Novell操作系统运行可装载的模块 控制方法 非法服务 守护进程和可装载模块建立破坏安全的守护进程捕获密码 通过邮件发送给远方攻击者rootkits绕过安全帐号数据库 进而完全控制系统两个经典工具NetBus和BackOrifice绝大多数流行的反病毒程序都可以检测出所有版本的NetBusNetBus的功能 运行程序注销用户 强迫重启系统控制Web浏览器 包括指向特定的URL对应用程序进行远程控制捕捉击键记录 使用Telnet确定系统中是否有Netbus非法服务存在 控制方法 BackOrifice和BackOrifice2000获取系统信息收集用户名和密码和用户缓存的密码获得文件的完全访问权限 写入注册表的权限 列出可访问网络资源的权限 列出 建立和删除网络连接的权限 列出所有共享的资源和密码 建立和删除共享 实施端口和程序的重定向通过HTTP从浏览器上传和下载文件 控制方法 击键记录器keyloggers作为一个应用程序安装在受害者的计算机上 并且在用户完全不知情的前提下驻留在系统内存中 收集用户所有的击键信息并将其保存在一个文件中 目的就是为了捕获诸如用户密码之类的机密数据 keyloggers获得的数据将通过FTP e mail或是隐秘的共享传递给安装keyloggers程序的人 渗透到其他系统 以渗透的系统为跳板继续渗透其他的系统在20世纪70年美国联邦政府制定了第一个安全标准 美国国防部彩虹系列 RainbowSeries 该系列标准帮助政府确定哪些网络系统能够安全的与政府网络系统连接 最常被使用的是DepartmentofDefenseTrustedComputerSystemEvaluationCriteria 被成为 桔皮书 OrangeBook 彩虹系列 丛书 彩虹系列 丛书是信息系统安全事业的里程碑 对信息系统安全领域具有深远的影响 它不但建立了一个标准 更建立了一套体系 该丛书以美国国防部 可信计算机系统评测标准 TCSEC 为核心 对评测标准进行扩充 提供了关键的背景知识 对关键的概念进行深入解释和分析 并且提出了具体的实现方法和措施 该丛书共三十多册 控制阶段的审核 审核人员应熟练地运用扫描程序 日志文件和其它工具 审核人员必须懂得什么是可疑的流量 审核人员和攻击者最主要的不同点是审核人员从不真正进入控制阶段 控制阶段的审核 报告潜在控制问题的方法 列出通过自动执行的扫描程序 如NetRecon ISSInternetScanner或eTrustIntrusionDetection 获得的信息 产生流量记录在日志中 记录时间 用日志来证明你的活动 显示捕获的报文 这些包包括端口 IP地址和其它信息 显示你渗透的屏幕快照 实验5 3 使用NetBUS进行主机控制 在本实验中 我们将利用NetBusl 7的界面所对应的功能 在NetBus中远程控制目标系统的文件系统 实验5 4 分析NetBus会话端口 在本实验中 我们将学习如何分析NetBus会话端口 以进一步学习掌握NetBus的控制原理 实验5 5 使用NetBus进行远程控制 在本实验中 我们将使用NetBus进行远程控制 第六单元审核和日志分析 学习目标 为用户的活动建立基线实施日志分析过滤Windows2000和Linux系统的日志审核用户登录 系统重启和特殊资源的使用 日志分析 在审核过程中 需要投入大量的时间分析日志文件 日志分析为你提供了确定何时产生缺陷及如何产生缺陷的方法 注意把握日志记录的分寸 建立基线 建立基线是进行日志分析的开始 基线是网络活动的参考标准 在建立基线的过程中 应根据用户的活动倾向对日志进行检查 大多数公司网络活动最频繁的时间段出现在清晨上班 午餐期间和下班时期 然而活动图样会有所不同 防火墙路由器日志 在分析防火墙和路由器日志时 集中完成下列任务 识别源和目的端口找到源主机和目的主机跟踪使用迹象协议的使用搜索可疑端口的连接 操作系统日志 UNIX系统日志Syslogd是记录Linux和UNIX系统日志的服务UNIX系统分析工具lastlastblastlog一些常见的日志如下access logacet pacct 操作系统日志 Windows2000系统日志Windows2000将它的日志分为以下四个类别 系统日志安全性日志应用程序日志DNS服务日志 开启Windows2000的审核功能 审核是Windows2000中本地安全策略的一部分 它是一个维护系统安全性的工具 通过审核 我们可以记录下列信息 哪些用户企图登录到系统中或从系统中注销 登录以及注销的日期和时间 是否成功等哪些用户对指定的文件 文件夹或打印机进行哪种类型的访问系统的安全选项进行了哪些更改用户帐户进行了哪些更改 是否增加或删除了用户等等根据监控审核结果 可以将计算机资源的非法使用消除或减到最小通过查看审核信息 能够及时发现系统存在的安全隐患 通过了解指定资源的使用情况来指定资源使用计划审核功能在管理工具中的本地安全策略工具进行设置 开启Windows2000的审核功能 Windows2000系统的重要事件 实验6 1 Windows2000系统登录事件审核 在本实验中 我们将学习如何审核Windows2000系统中 失败登录 事件 开启Windows2000的审核功能 确定Windows2000系统的补丁等级可以使用事件查看器来确定在你系统中安装的补丁使用winver工具 可以在 开始 运行 中 输入winver命令使用该工具 开启Windows2000的审核功能 确定Windows2000系统的启动时间使用uptime exe工具快速确定系统启动了多长时间获得远程Windows系统的启动时间使用uptime 命令可以获得更多的关于uptime工具的使用说明 日志过滤 日志记录文件会变得很大过大的日志记录浪费磁盘空间不易查找日志记录对系统进行适当的配置以获得重要事件的日志 日志过滤 Windows2000系统日志过滤使用 筛选器 进行日志的过滤要非常谨慎地选择过滤规则符合你所设置的过滤规则的事件才会被记录 而其他不符合规则的活动都不会被记录 日志过滤 Linux系统日志过滤使用不带参数的last和lastlog命令会提供太多的信息 要带参数使用last x 只显示与系统关闭和重启有关的事件last a 将所有主机信息列在最后一列last d 显示所有远程登录信息 日志过滤 可以合并命令last ad将显示远程登录的IP和主机名将last命令与 grep结合起来缩小查找范围例如 last x grepWed grepftp将只显示发生在星期三的有关FTP的事件 lastlog tnumber of days 显示指定天数内的记录 例如 lastlog t2将列出最近两天内的登录情况 lastlog ulogin name 显示指定用户的最后一次登录记录 日志过滤 操作系统附件和第三方日志记录工具操作系统附件 EnterpriseReportingServerWebTrendsforFirewallsandVPNs第三方日志记录工具 SymantecIBM第三方日志记录工具的优缺点 黑客很难篡改日志记录文件 而且对事件的反应速度很快缺点是需要额外费用和人员培训 实验6 2 使用eEyeRetina软件获得一份系统安全报告 在本实验中 我们将学习如何使用eEyeRetina软件来获得一份系统审核报告 审核可疑活动 可疑的活动 一个用户两周以来每天半夜二点尝试登录系统 并且没有登录成功主服务器每天早晨自动地重新启动在一天中的特定时间段内系统的性能突然下降仔细对下列现象进行检查 异常时段内的合法活动或任何不在基线范围内的用户举动任何失败 其他类型的日志 事件日志不仅仅包括路由器 防火墙和操作系统的日志 通常还包括以下一些日志记录 入侵检测系统日志电话连接 包括语音邮件日志 日志ISDN或帧中继连接 framerelay 日志职员访问日志 日志的存储 有效地保护日志记录不受破坏利用不同的机器存放日志将日志记录刻成光碟保存使用磁盘备份设备 审核对系统性能的影响 审核会对系统的性能造成一些影响 影响系统性能的因素包括以下几个方面 网络请求的数量 日志对这些请求的记录会造成服务器对请求的响应变慢审核系统中需要审核的事件的数量硬盘的容量大小硬件总线接口的类型 SCSI IDE CPU的工作频率 第七单元审核结果 学习目标 提供针对特殊网络问题的解决方案建立审核步骤安全策略的建议方法创建一份评估报告实施积极主动的检测服务修复和 清除 被损坏的系统实施本机审核安装必要的操作系统安全附件 如单机版防火墙使用SSH替换Telnet rlogin和rsh 建立审核报告 安全审核报告中应包含以下元素 对现在的安全等级进行总体评价对偶然的 有经验的和专家级的黑客入侵系统分别做出时间上的估计简要总结出最重要的建议 并提供相应的支撑材料详细描述审核过程的步骤对各种网络元素提出整改建议对物理安全提出建议对安全审核领域内使用的术语进行解释详细解释系统可能出现的问题的报告方法 收集客户意见 在审核报告中我们要充分考虑客户的意见审核报告的内容与客户进行沟通 制定详细审核报告 依据审核的结果 以及相应的审核标准并结合客户的意见 制定详细的审核报告 形成审核报告流程 推荐的审核方案 三个角度来提出为了能够有效地确定安全策略和实施情况的差距 建议采用一些特殊方法继续进行有效的审核抵御和清除病毒 蠕虫和木马 修补系统漏洞建议完善和增强的内容 网络审核范围 网络审核范围的改善建议 增强一致性 加强安全和持续审核的步骤 定义安全策略建立对特定任务负责的内部团队对网络资源进行分类为雇员建立安全指导确保终端和网络系统的物理安全保障网络主机的服务和操作系统安全增强访问控制机制建立和维护系统确保网络满足商业目标保持安全策略的一致性许多国际性的公司都要求符合这些需求 安全审核和安全标准 ISO7498 2国际标准组织 ISO 建立了7498系列标准来帮助网络实施标准化7498 2描述了如何确保站点安全和实施有效的审核计划文件的标题 InformationProcessingSystems OpenSystemInterconnection BasicReferenceModel Part2 securityArchitecture 论述如何系统地实现网络安全 安全审核和安全标准 英国标准BS7799文档标题 ACodeofPracticeForInformationSecurityManagement 论述了如何确保网络系统安全BS7799系列与ISO9000系列的文档有关 这些标准保证了公司之间安全的协作实施信息安全管理系统 ISMS 的目的是确保公司使用的信息尽可能的安全完善ISMS时 应遵循以下步骤 定义安全策略为目标信息安全管理系统 ISMS 定义范围风险评估对已知的风险进行排序和管理 安全审核和安全标准 CommonCriteria CC 公共标准 CommonCriteria 提供了有助于你选择和发展网络安全解决方案的全球统一标准 CC的目的是统一ITSEC和TCSEC 但它们还是用来取代 OrangeBook 标准CommonCriteria被称为ISO国际标准15408 IS15408 CommonCriteria2 1等同于IS15408 安全审核和安全标准 CC文件由三个部分组成Evaluationassurancelevels EAL 提供了描述和预测特别的操作系统和网络的安全行为的通用方法等级数越高 则要求得越严格EAL1需要由TOE厂商做出声明的证明 EAL7需要核实和记录下实施过程的每一个步骤EAL1只要求检查产品的文件 而EAL7要求对系统进行完全的记录完整的独立的分析EAL1需要产品至少声明能够提供对攻击的有效防范 而EAL7需要操作系统能够抵御复杂