网络攻防之3构建安全系统

百安网络功防学习小组构建安全系统,By:Fufm2005-9-21,申明:本资料属于百安信息系统安全俱乐部所有，仅限于个人学习之用，请勿用于其它商业目的!,没有理解的介入,任何想象和感觉都不会给予我们对任何事情的确定性认识.勒内.德卡尔特1637年,Agenda:安全加固技术,网络设备的安全技术操作系统的安全技术,网络层的加固技术,网络设备安全性的对比(1)较高的安全性路由器a.路由器天生具备良好的网络安全性；b.效率高，抗DOS能力强；c.不能进行交换环境下的欺骗攻击；(2)中间级设备交换机a.安全性差，适合一些中小型企业；b.工作效率一般，具备一定的DOS能力；c.可进行交换环境下的欺骗攻击；,网络层的加固技术,网络设备的安全性(3)集线器a.完全不具备安全性；b.完全不具备抗DOS能力；c.可以随时发生嗅探攻击；,交换环境下的ARP欺骗,交换环境下的ARP欺骗,交换环境下的ARP欺骗,交换环境下的ARP欺骗,交换环境下的ARP欺骗,交换环境下的ARP欺骗,网络层的加固技术,配置网络设备的根据与建议工作的需要网络的拓扑情况合理配置,网络层的加固技术,举例:Cisco路由器的加固：(1)设置强密码并启动密码加密；(2)禁用不需要的服务：httpserver,finger,bootp,snmp等(3)限制某些敏感性端口：TCP:135139,445,1034,3127,4444,5554,6667,9996UDP:69,445,500,1434,4000(4)MAC与IP地址绑定；(5)物理上的安全,主机加固技术,安全的安装Windows2KServer在全新安装windows2000server之前，确认如下操作：确定服务器完全与网络隔离；完全格式化并全部重新分区，禁止快速分区；准备工作Windows2000Server的安装光盘；主机系统的驱动程序光盘；3.5存软盘一张；其他系统安全配置程序工具盘；,主机加固技术,开始安装Windows2KServer使用Windows2000Server安装光盘安装Windows2000Server安装过程中分区选择NTFS文件格式根据需要Windows2000Server服务仅安装TCP/IP协议(注意:此时暂不配置IP地址)设置复杂的管理员（administrator)密码安装系统驱动程序(注意:仅安装主板,显示器驱动.如有特殊设备,根据实际情况安装驱动)设置CMOS为仅硬盘启动，在CMOS中忽略软驱、光驱、USB驱动,并设置CMOS及开机密码.注意:在这里列出的所有操作都必须再与网络断开连接的情况下完成,主机加固技术,系统升级安装最新的补丁包.使用“开始”菜单中“windowsupdate”选项升级系统注意:如目前主机所在网络的安全性不高,建议在隔离的情况下安装第三方杀毒软件或防火墙等.,主机加固技术,系统优化（）更新及升级完成后，断开网络保证主机安全.打开“控制面板系统属性高级启动和故障恢复”把“写入调试信息”改成“无”.修改虚拟内存，建议配置为物理内存的两倍，目录为系统盘,主机加固技术,主机加固技术,系统优化（）停止系统不需要的服务：ClipBookServer(禁止)Alerter(禁止)ComputerBrowser(禁止)DHCPClient(禁止)DirectoryReplicator(禁止)FTPpublishingservice(禁止)LicenseLoggingService(禁止)Messenger(禁止)Netlogon(禁止)NetworkDDE(禁止)NetworkDDEDSDM(禁止e),主机加固技术,系统优化（3）停止不需要的系统服务：NetworkMonitor(禁止)PlugandPlay(禁止(注:如果确定无硬件改动)RemoteAccessServer(禁止)locater(禁止)Schedule(禁止)Server(禁止)SimpleTCP/IPServices(禁止)WindowsMedia(禁止)TCP/IPNetbiosHelper(禁止)TelephoneService(禁止),主机加固技术,系统优化（）根据需要停止的系统服务：SNMPservice(手动)SNMPtrap(手动)UPS(手动),主机加固技术,系统优化（）启动以下系统服务：Eventlog(自动)NTLMSecurityProvider(自动)RPCservice(自动)WWW(自动)Workstation(不推荐)MSDTC(自动)ProtectedStorage(自动),主机加固技术,系统安全配置（）配置帐户策略：密码必须符合复杂性要求密码长度最小值：建议7个字符密码最长存留期：42天密码最短存留期：3天强制密码历史：5次为域中所有用户使用可还原的加密来储存密码：已启用分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。删除不必要的系统用户，更改administrator,guest帐户,主机加固技术,系统安全配置（）配置审核策略：审核策略更改：成功/失败审核登录事件：成功/失败审核对象访问：失败审核过程追踪：未设置审核目录服务访问：未设置审核特权使用：成功审核系统事件：失败审核帐户登录事件：成功/失败审核帐户管理：成功/失败,主机加固技术,系统安全配置（）关闭IPC$默认共享；TCP/IP筛选；关闭NetBios139端口；关闭445端口；关闭终端服务或修改终端服务端口（可选）；配置安全选项；,主机加固技术,主机加固技术,主机加固技术,主机加固技术,主机加固技术,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer=dword:00000000,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous=dword:00000001,DDos概述,DDos概述,常见的DDOS:Syn/ACKFloodICMPFloodUDPFloodSmurfTearDropLandFraggle对DDoS的原理与应付方法的研究一直在进行中，找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前我们至少可以做到把自己的网络与主机维护好，首先让自己的主机不成为别人利用的对象去攻击别人；其次，在受到攻击的时候，要尽量地保存证据，以便事后追查，一个良好的网络和日志系统是必要的。无论DDoS的防御向何处发展，这都将是一个社会工程,主机加固技术,安全配置（1）注册表修改项不出现上次登陆用户名关闭DirectDraw禁止响应ICMP重定向报文不允许释放NETBIOS名（注意系统必须安装SP2以上）发送验证保持活动数据包禁止进行最大包长度路径检测启动SYN攻击保护设置SYN攻击保护的临界点同时允许打开的半连接数量判断是否存在攻击的触发点设置等待SYN-ACK时间,主机加固技术,安全配置（2）注册表修改项设置TCP重传单个数据段的次数禁止IP源路由限制处于TIME_WAIT状态的最长时间增大NetBT的连接块增加幅度最大NetBT的连接快的数目配置激活动态Backlog配置最小动态Backlog配置最大动态Backlog每次增加的自由连接数据禁止使用filesystemobject,主机加固技术,配置IIS服务器设置IIS日志打开Internet服务管理器单击需要管理的Web站点或FTP站点，然后单击属性在Web站点或FTP站点选项卡上，选择启用日志记录为日志记录启用了下列字段：1.时间2.客户端IP地址3.方法URI资源4.HTTP状态选择要在日志中监视的项目，如果不想对监视进行自定义，请保留默认设置。注意：如果您选择的格式是ODBC日志记录，请设置数据源名称和数据库内表的名称,活质数据库需要的用户名和密码.单击应用，然后单击确定,主机加固技术,配置IIS服务器配置访问控制权限,配置虚拟目录建议在默认安装完成后,删除虚拟记录c:inetpubiissamplesc:inetpubiissamplessdkc:inetpubAdminScriptsc:ProgramFilesCommonFilesSystemmsadcSamples。,主机加固技术,配置IIS服务器删除一些不必要的SciptMapping.HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersADCLaunchRDSServer.DataFactory；HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersADCLaunchAdvancedDataFactory；HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersADCLaunchVbBusObj.VbBusObjCls。禁止“ParentPaths”.下载IIS5.0补丁.,主机加固技术,IISLockTool具有以下功能和特点：1.最基本功能，帮助管理员设置IIS安全性；2.此工具可以在IIS4和IIS5上使用；3.即使系统没有及时安装所有补丁，也能有效防止IIS4和IIS5的已知漏洞；5.帮助管理员去掉对本网站不必要的一些服务，使IIS在满足本网站需求的情况下运行最少的服务；6.具有两种使用模式：快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性，这种模式只适合于只有HTML和HTM静态网页的网站使用，因为设置完成以后，ASP不能运行；高级模式允许管理员自己设置各种属