网络与信息安全技术培训班(网络与信息安全).ppt

税务系统网络与信息安全技术培训班网络安全2004年6月 主要内容 网络安全简介TCP IP网络安全分析网络安全概念和手段介绍安全建议网络安全展望 冒名顶替 废物搜寻 身份识别错误 不安全服务 配置 初始化 乘虚而入 代码炸弹 病毒 更新或下载 特洛伊木马 间谍行为 拨号进入 算法考虑不周 随意口令 口令破解 口令圈套 窃听 偷窃 网络安全威胁 线缆连接 身份鉴别 编程 系统漏洞 物理威胁 网络安全威胁 网络安全威胁 中国黑客攻击美国网站 1 中国黑客攻击美国网站 2 中国黑客攻击美国网站 3 中国被黑网站一览表 http www guizhou 中国青少年发展基金会 放有不良图片 现已被中国黑客删除 福建外贸信息网http www gll 桂林图书馆中国 http www beijing 中国科学院心理研究所 国内外黑客组织 北京绿色联盟技术公司 中国红客联盟 redhacker org 中国鹰派 中国黑客联盟HackweiserProphetAcidklownPoizonboxPrimeSuspectzSubexSVUNHi Tech 网络病毒 红色代码尼姆达冲击波震荡波 木马 工行密码盗取 木马其它后门工具 安全威胁实例 用户使用一台计算机D访问位于网络中心服务器S上的webmail邮件服务 存在的安全威胁 U在输入用户名和口令时被录像机器D上有keylogger程序 记录了用户名和口令机器D上存放用户名和密码的内存对其他进程可读 其他进程读取了信息 或这段内存没有被清0就分配给了别的进程 其他进程读取了信息用户名和密码被自动保存了用户名和密码在网络上传输时被监听 共享介质 或arp伪造 机器D上被设置了代理 经过代理被监听 安全威胁实例 续 查看邮件时被录像机器D附近的无线电接收装置接收到显示器发射的信号并且重现出来屏幕记录程序保存了屏幕信息浏览邮件时的临时文件被其他用户打开浏览器cache了网页信息临时文件仅仅被简单删除 但是硬盘上还有信息由于DNS攻击 连接到错误的站点 泄漏了用户名和密码由于网络感染了病毒 主干网瘫痪 无法访问服务器服务器被DOS攻击 无法提供服务 什么是网络安全 本质就是网络上的信息安全 网络安全防护的目的 网络安全的特征 1 保密性confidentiality 信息不泄露给非授权的用户 实体或过程 或供其利用的特性 2 完整性integrity 数据未经授权不能进行改变的特性 即信息在存储或传输过程中保持不被修改 不被破坏和丢失的特性 3 可用性availability 可被授权实体访问并按需求使用的特性 即当需要时应能存取所需的信息 网络环境下拒绝服务 破坏网络和有关系统的正常运行等都属于对可用性的攻击 4 可控性controllability 对信息的传播及内容具有控制能力 5 可审查性 出现的安全问题时提供依据与手段 主要内容 网络安全简介TCP IP网络安全分析网络安全概念和手段介绍安全建议网络安全展望 网络系统结构 开放系统互连参考模型 1 TCP IP网络的体系结构 TCP IP技术的发展设计目标 实现异种网的网际互连是最早出现的系统化的网络体系结构之一顺应了技术发展网络互连的应用需求采用了开放策略与最流行的UNIX操作系统相结合TCP IP的成功主要应该归功于其开放性 使得最广泛的厂商和研究者能够不断地寻找和开发满足市场需求的网络应用和业务 鱼与熊掌总是不能兼得 也正是其体系结构得开放性 导致了TCP IP网络的安全性隐患 TCP IP的网络互连 网际互连是通过IP网关 gateway 实现的网关提供网络与网络之间物理和逻辑上的连通功能网关是一种特殊的计算机 同时属于多个网络 TCP IP与OSI参考模型 TCP IP协议和OSI模型的对应关系 应用层表示层会话层传输层网络层数据链路层物理层 FTP TELNETNFSSMTP SNMPXDRRPCTCP UDPIPEthernet IEEE802 3 802 11等 ICMP ARPRARP OSI参考模型 Internet协议簇 物理层 影响网络安全的主要因素 1 网络的缺陷因特网在设计之初对共享性和开放性的强调 使得其在安全性方面存在先天的不足 其赖以生存的TCP IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输 基本没有考虑安全问题 故缺乏应有的安全机制 因此它在控制不可信连接 分辨非法访问 辨别身份伪装等方面存在着很大的缺陷 从而构成了对网络安全的重要隐患 例如 多数底层协议为广播方式 多数应用层协议为明文传输 缺乏保密与认证机制 因此容易遭到欺骗和窃听软件及系统的 漏洞 及后门随着软件及网络系统规模的不断增大 系统中的安全漏洞或 后门 也不可避免的存在 比如我们常用的操作系统 无论是Windows还是UNIX几乎都存在或多或少的安全漏洞 众多的服务器 浏览器 桌面软件等等都被发现存在很多安全隐患 任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞 这也成为网络的不安全因素之一 影响网络安全的主要因素 2 黑客的攻击黑客技术不再是一种高深莫测的技术 并逐渐被越来越多的人掌握 目前 世界上有20多万个免费的黑客网站 这些站点从系统漏洞入手 介绍网络攻击的方法和各种攻击软件的使用 这样 系统和站点遭受攻击的可能性就变大了 加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段 这些都使得黑客攻击具有隐蔽性好 杀伤力 强的特点 构成了网络安全的主要威胁 网络普及 安全建设滞后网络硬件建设如火如荼 网络管理尤其是安全管理滞后 用户安全意识不强 即使应用了最好的安全设备也经常达不到预期效果 主要内容 网络安全简介TCP IP网络安全分析网络安全概念和手段介绍安全建议网络安全展望 网络安全策略 网络安全是一个系统的概念 可靠的网络安全解决方案必须建立在集成网络安全技术的基础上 网络系统安全策略就是基于这种技术集成而提出的 主要有三种 1直接风险控制策略 静态防御 安全 风险分析 安全规则 直接的技术防御体系 安全监控攻击手段是不断进步的 安全漏洞也是动态出现的 因此静态防御下的该模型存在着本质的缺陷 2自适应网络安全策略 动态性 安全 风险分析 执行策略 系统实施 漏洞分析 实时响应该策略强调系统安全管理的动态性 主张通过安全性检测 漏洞监测 自适应地填充 安全间隙 从而提高网络系统的安全性 完善的网络安全体系 必须合理协调法律 技术和管理三种因素 集成防护 监控和恢复三种技术 力求增强网络系统的健壮性与免疫力 局限性在于 只考虑增强系统的健壮性 仅综合了技术和管理因素 仅采用了技术防护 网络安全策略 续 3智能网络系统安全策略 动态免疫力 安全 风险分析 安全策略 技术防御体系 攻击实时检测 安全跟踪 系统数据恢复 系统学习进化技术防御体系包括漏洞检测和安全缝隙填充 安全跟踪是为攻击证据记录服务的 系统学习进化是旨在改善系统性能而引入的智能反馈机制 模型中 风险分析 安全策略 体现了管理因素 技术防御体系 攻击实时检测 系统数据恢复 系统学习进化 体现了技术因素 技术因素综合了防护 监控和恢复技术 安全跟踪 系统数据恢复 系统学习进化 使系统表现出动态免疫力 网络安全防护模型 PDRR 目前业界共识 安全不是技术或产品 而是一个过程 为了保障网络安全 应重视提高系统的入侵检测能力 事件反应能力和遭破坏后的快速恢复能力 信息保障有别于传统的加密 身份认证 访问控制 防火墙等技术 它强调信息系统整个生命周期的主动防御 网络安全防护模型 PDRR 续 保护 PROTECT 传统安全概念的继承 包括信息加密技术 访问控制技术等等 检测 DETECT 从监视 分析 审计信息网络活动的角度 发现对于信息网络的攻击 破坏活动 提供预警 实时响应 事后分析和系统恢复等方面的支持 使安全防护从单纯的被动防护演进到积极的主动防御 网络安全防护模型 PDRR 续 响应 RESPONSE 在遭遇攻击和紧急事件时及时采取措施 包括调整系统的安全措施 跟踪攻击源和保护性关闭服务和主机等 恢复 RECOVER 评估系统受到的危害与损失 恢复系统功能和数据 启动备份系统等 网络安全保障体系 安全管理与审计 物理层安全 网络层安全 传输层安全 应用层安全 链路层物理层 网络层 传输层 应用层表示层会话层 审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制链路加密物理信道安全物理隔离 访问控制数据机密性数据完整性 用户认证防抵赖安全审计 网络安全层次 层次模型 网络安全技术 实现安全目标 用户安全 服务可用 安全技术选择 根据协议层次 物理层 物理隔离链路层 链路加密技术 PPTP L2TP网络层 IPSec协议 VPN 防火墙TCP层 SSL协议 基于公钥的认证和对称钥加密技术应用层 SHTTP PGP S MIME SSH Secureshell 开发专用协议 SET 网络安全工具 物理隔离设备交换机 路由器安全模块防火墙 Firewall 网络扫描器入侵检测系统 IntrusionDetectionSystem 网络防毒虚拟专用网 VPN 病毒防护网络3A 物理隔离 主要分两种 双网隔离计算机物理隔离网闸 双网隔离计算机 解决每人2台计算机的问题1台计算机 可以分时使用内网或外网关键部件硬盘网线软盘 USB MODEM等共享部件显示器键盘 鼠标主板 电源硬盘 原理切换关键部件 简单双网隔离计算机 外网硬盘 内网硬盘 外网网线 内网网线 公共部件 控制卡 控制开关 复杂双网隔离计算机 内网硬盘 外网网线 内网网线 公共部件 控制卡 远端设备 使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯 减少一根网线 物理隔离网闸的基本原理 采用数据 摆渡 的方式实现两个网络之间的信息交换在任意时刻 物理隔离设备只能与一个网络的主机系统建立非TCP IP协议的数据连接 即当它与外部网络相连接时 它与内部网络的主机是断开的 反之亦然 任何形式的数据包 信息传输命令和TCP IP协议都不可能穿透物理隔离设备 物理隔离设备在网络的第7层讲数据还原为原始数据文件 然后以 摆渡文件 形式传递原始数据 物理隔离实现基本原理 1 物理隔离实现基本原理 2 内外网模块连接相应网络实现数据的接收及预处理等操作 交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换 保证任意时刻内外网间没有链路层连接 数据只能以专用数据块方式静态地在内外网间通过网闸进行 摆渡 传送到网闸另一侧 集成多种安全技术手段 采用强制安全策略 对数据内容进行安全检测 保障数据安全 可靠的交换 物理隔离技术的应用 涉密网和非涉密网之间 物理隔离技术的优缺点 优点 中断直接连接强大的检查机制最高的安全性缺点 对协议不透明 对每一种协议都要一种具体的实现效率低 交换机安全模块 MAC绑定QOS设置多VLAN划分日志其他 路由器安全功能 访问控制链表基于源地址 目标地址 协议端口号路径的完整性防止IP假冒和拒绝服务 Anti spoofing DDOS 检查源地址 ipverifyunicastreverse path过滤RFC1918地址空间的所有IP包 关闭源路由 noipsource route路由协议的过滤与认证Flood管理日志其他抗攻击功能 VPN通过一个私有的通道来创建一个安全的私有连接 将远程用户 公司分支机构 公司的业务伙伴等跟企业网连接起来 形成一个扩展的公司企业网提供高性能 低价位的因特网接入VPN是企业网在公共网络上的延伸 VPN简介 网上数据泄漏的风险 恶意修改通道终点到 假冒网关 外部段 公共因特网 ISP接入设备 原始终点为 安全网关 数据在到达终点之前要经过许多路由器 明文传输的报文很容易在路由器上被查看和修改监听者可以在其中任一段链路上监听数据逐段加密不能防范在路由器上查看报文 因为路由器需要解密报文选择路由信息 然后再重新加密发送恶意的ISP可以修改通道的终点到一台假冒的网关 远程访问 搭线监听 攻击者 ISP ISP窃听 正确通道 VPN功能 数据机密性保护数据完整性保护数据源身份认证重放攻击保护 远程访问 Internet VPN是企业网在因特网上的延伸 VPN的典型应用 现有的VPN解决方案 基于IPSec的VPN解决方案基于第二层的VPN解决方案非IPSec的网络层VPN解决方案非IPSec的应用层解决方案 基于IPSec的VPN解决方案 在通信协议分层中 网络层是可能实现端到端安全通信的最低层 它为所有应用层数据提供透明的安全保护 用户无需修改应用层协议 该方案能解决的问题 数据源身份认证 证实数据报文是所声称的发送者发出的 数据完整性 证实数据报文的内容在传输过程中没被修改过 无论是被故意改动或是由于发生了随机的传输错误 数据保密 隐藏明文的消息 通常靠加密来实现 重放攻击保护 保证攻击者不能截获数据报文 且稍后某个时间再发放数据报文 而不会被检测到 自动的密钥管理和安全关联管理 保证只需少量或根本不需要手工配置 就可以在扩展的网络上方便精确地实现公司的虚拟使用网络方针 AH协议ESP协议ISAKMP Oakley协议 基于IPSec的VPN解决方案需要用到如下的协议 IPSec框架的构成 基于第二层的VPN解决方案 公司内部网 拨号连接 因特网 用于该层的协议主要有 L2TP Lay2TunnelingProtocolPPTP Point to PointTunnelingProtocolL2F Lay2Forwarding L2TP的缺陷 仅对通道的终端实体进行身份认证 而不认证通道中流过的每一个数据报文 无法抵抗插入攻击 地址欺骗攻击 没有针对每个数据报文的完整性校验 就有可能进行拒绝服务攻击 发送假冒的控制信息 导致L2TP通道或者底层PPP连接的关闭 虽然PPP报文的数据可以加密 但PPP协议不支持密密钥的自动产生和自动刷新 因而监听的攻击者就可能最终破解密钥 从而得到所传输的数据 非IPSec的网络层VPN解决方案 网络地址转换由于AH协议需要对整个数据包做认证 因此使用AH协议后不能使用NAT包过滤由于使用ESP协议将对数据包的全部或部分信息加密 因此基于报头或者数据区内容进行控制过滤的设备将不能使用服务质量由于AH协议将IP协议中的TOS位当作可变字段来处理 因此 可以使用TOS位来控制服务质量 非IPSec的应用层VPN解决方案 SOCKS位于OSI模型的会话层 在SOCKS协议中 客户程序通常先连接到防火墙1080端口 然后由Firewall建立到目的主机的单独会话 效率低 但会话控制灵活性大SSL属于高层安全机制 广泛用于WebBrowseandWebServer 提供对等的身份认证和应用数据的加密 在SSL中 身份认证是基于证书的 属于端到端协议 不需要中间设备如 路由器 防火墙的支持S HTTP提供身份认证 数据加密 比SSL灵活 但应用很少 因SSL易于管理S MIME一个特殊的类似于SSL的协议 属于应用层安全体系 但应用仅限于保护电子邮件系统 通过加密和数字签名来保障邮件的安全 这些安全都是基于公钥技术的 双方身份靠X 509证书来标识 不需要FirewallandRouter的支持 S MIMEKerberosProxiesSETIPSec ISAKMP SOCKSSSL TLS IPSec AH ESP PacketFilteringTunnelingProtocols CHAP PAP MS CHAP TCP IP协议栈与对应的VPN协议 Application 现有的VPN解决方案 小结 网络层对所有的上层数据提供透明方式的保护 但无法为应用提供足够细的控制粒度数据到了目的主机 基于网络层的安全技术就无法继续提供保护 因此在目的主机的高层协议栈中很容易受到攻击应用层的安全技术可以保护堆栈高层的数据 但在传递过程中 无法抵抗常用的网络层攻击手段 如源地址 目的地址欺骗应用层安全几乎更加智能 但更复杂且效率低因此可以在具体应用中采用多种安全技术 取长补短 防火墙的主要功能 监控并限制访问针对黑客攻击的不安全因素 防火墙采取控制进出内外网的数据包的方法 实时监控网络上数据包的状态 并对这些状态加以分析和处理 及时发现存在的异常行为 同时 根据不同情况采取相应的防范措施 从而提高系统的抗攻击能力 控制协议和服务针对网络先天缺陷的不安全因素 防火墙采取控制协议和服务的方法 使得只有授权的协议和服务才可以通过防火墙 从而大大降低了因某种服务 协议的漏洞而引起灾难性安全事故的可能性 防火墙的主要功能 续 保护网络内部针对软件及系统的漏洞或 后门 防火墙采用了与受保护网络的操作系统 应用软件无关的体系结构 其自身建立在安全操作系统之上 同时 针对受保护的内部网络 防火墙能够及时发现系统中存在的漏洞 进行访问上的限制 防火墙还可以屏蔽受保护网络的相关信息 使黑客无从下手 日志记录与审计当防火墙系统被配置为所有内部网络与外部Internet连接均需经过的安全节点时 防火墙系统就能够对所有的网络请求做出日志记录 日志是对一些可能的攻击行为进行分析和防范的十分重要的情报 另外 防火墙系统也能够对正常的网络使用情况做出统计 这样网络管理员通过对统计结果进行分析 掌握网络的运行状态 继而更加有效的管理整个网络 防火墙的优点与不足 可屏蔽内部服务 避免相关安全缺陷被利用2 7层访问控制 集中在3 4层 解决地址不足问题抗网络层 传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限 入侵检测 基本原理 利用sniffer方式获取网络数据 根据已知特征判断是否存在网络攻击优点 能及时获知网络安全状况 借助分析发现安全隐患或攻击信息 便于及时采取措施 不足 准确性 误报率和漏报率有效性 难以及时阻断危险行为 网络防病毒 基本功能 串接于网络中 根据网络病毒的特征在网络数据中比对 从而发现并阻断病毒传播优点 能有效阻断已知网络病毒的传播不足 只能检查已经局部发作的病毒对网络有一定影响 网络扫描器 通过模拟网络攻击检查目标主机是否存在已知安全漏洞优点 有利于及早发现问题 并从根本上解决安全隐患不足 只能针对已知安全问题进行扫描准确性vs指导性 访问控制 1 广义的访问控制功能包括鉴别 授权和记账等鉴别 Authentication 辨别用户是谁的过程 授权 Authorization 对完成认证过程的用户授予相应权限 解决用户能做什么的问题 在一些访问控制的实现中 认证和授权是统一在一起的记账 Accounting 统计用户做过什么的过程 通常使用消耗的系统时间 接收和发送的数据量来量度 Tacacs Tacacs Radius等技术能实现这三种功能 访问控制 2 RADIUS协议针对远程用户Radius RemoteAuthenticationDialinUserservice 协议 采用分布式的Client Server结构完成密码的集中管理和其他访问控制功能 网络用户 Client 通过网络访问服务器 NAS 访问网络 NAS同时作为Radius结构的客户端 认证 授权和计帐的3A功能通过NAS和安全服务器 Secutity