网络安全建设.ppt

网络安全建设,中国教育和科研计算机网应急响应组CCERT清华大学信息网络工程研究中心,目录,网络安全简介垃圾邮件的预防如何防止扫描和DOS攻击系统安全管理和入侵的防范网络安全常用工具CCERT简介,网络安全简介,网络安全概念常见的网络安全问题垃圾邮件危害DOS、扫描危害蠕虫危害,网络安全概念,信息安全保密性、完整性、可用性、可信性把网络看成一个透明的、不安全的信道系统安全：网络环境下的端系统安全网络安全网络的保密性：存在性、拓扑结构等网络的完整性：路由信息、域名信息网络的可用性：网络基础设施计算、通信资源的授权使用：地址、带宽,常见的网络安全问题,垃圾邮件UCE:UnsolicitedCommercialEmailUBE:UnsolicitedBulkEmailSpam网络扫描和拒绝服务攻击端口扫描和缺陷扫描DDOS、DOS入侵和蠕虫蠕虫：Lion、nimda、CRII系统缺陷,垃圾邮件危害,网络资源的浪费欧洲委员会公布的一份报告，垃圾邮件消耗的网络费用每年高达100亿美元资源盗用利用他人的服务器进行垃圾邮件转发威胁网络安全DOS攻击,DOS、扫描危害,占用资源占用大量带宽服务器性能下降影响系统和网络的可用性网络瘫痪服务器瘫痪往往与入侵或蠕虫伴随缺陷扫描DDOS,入侵、蠕虫造成的危害,信息安全机密或个人隐私信息的泄漏信息篡改可信性的破坏系统安全后门的存在资源的丧失信息的暴露网络安全基础设施的瘫痪,垃圾邮件的预防,垃圾邮件特点邮件转发原理配置Sendmail关闭转发配置Exchange关闭转发,垃圾邮件特点,内容：商业广告宗教或个别团体的宣传资料发财之道,连锁信等接收者无因接受被迫接受发送手段信头或其它表明身份的信息进行了伪装或篡改通常使用第三方邮件转发来发送,邮件转发原理,配置Sendmail关闭转发（一）简介,Sendmail8.9以上版本/etc/mail/relay-domains/etc/mail/accessSendmail8.8以下版本升级Sendmail其它版本配置Sendmail缺省不允许转发编辑相应的允许转发IP列表,配置Sendmail关闭转发（二）Mc文件样例,divert(0)dnlVERSIONID(#)generic-solaris2.mc8.8(Berkeley)5/19/1998)OSTYPE(solaris2)dnlDOMAIN(generic)dnlFEATURE(access_db,dbm-o/usr/local/etc/mail/access)define(confPRIVACY_FLAGS,authwarnings,goaway,noexpn,novrfy)dnlMAILER(local)dnlMAILER(smtp)dnl,配置Sendmail关闭转发（三）Sendmail配置,Sendmail.cw配置邮件服务器所接受的域名CMRelay-domains配置邮件服务器可以转发的地址08Access允许对某一个来源地址进行配置REJECT、RELAY、OK、”msg”,配置Sendmail关闭转发（四）access文件样本,nobody550:badusername202.112.55.RELAY6REJECT,配置Sendmail关闭转发（五）Sendmail使用,建立别名编辑aliases文件Sendmailvbi初始化启动Sendmailbdq1h使用access数据库Makemapdbm/etc/mail/access/etc/mail/access,配置Exchange关闭转发（一）,ExchangeServer5.0或以前版本升级邮件系统ExchangeServer5.5以上选择RerouteincomingSMTPmail,配置Exchange关闭转发（二）,填入所服务的域点击RoutingRestrictions,如何防止DOS和扫描,扫描简介拒绝服务攻击简介分布式拒绝服务攻击DOS和扫描的防范攻击取证和报告,扫描简介,缺陷扫描目的是发现可用的缺陷Satan、SSCANNmap-O服务扫描目的是为了发现可用的服务WWWscanftpscanProxyscan,拒绝服务攻击简介,洪水式DOS攻击SYNfloodSmurf利用系统或路由器缺陷DoS攻击Windows:IGMPfragmentation,OOBLinux:teardropSolaris:pingofdeath分布式拒绝服务攻击往往既利用系统或者路由器的缺陷产生大规模的洪水式攻击两方面的危害：被攻击者和被利用者,分布式拒绝服务（DDOS）,以破坏系统或网络的可用性为目标常用的工具：Trin00TFN/TFN2KStacheldraht很难防范伪造源地址，流量加密，因此很难跟踪,client,target,DOS和扫描的防范（一）路由器,访问控制链表基于源地址/目标地址/协议端口号路径的完整性防止IP假冒和拒绝服务（Anti-spoofing/DDOS）检查源地址：ipverifyunicastreverse-path过滤RFC1918地址空间的所有IP包；路由协议的过滤与认证Flood管理利用QoS的特征防止Floodinterfacexyzrate-limitoutputaccess-group20203000000512000786000conform-actiontransmitexceed-actiondropaccess-list2020permiticmpanyanyecho-reply,DOS和扫描的防范（二）入侵检测和防火墙,入侵检测工具了解情况提供报告依据指导应对政策防火墙建立访问控制个人防火墙,攻击取证和报告,系统取证Syslog系统日志Netstat连接情况CPU、Mem使用情况网络取证Tcpdump路由器、防火墙纪录入侵检测系统报告责任方对方CERT或本辖区CERT对方责任人whois,系统安全管理和入侵防范,Windows系统安全管理UNIX系统安全管理路由器安全管理如何检验入侵蠕虫的危害及防范,Windows安全管理（一）,操作系统更新政策安装最新版本的补丁ServicePack;安装相应版本所有的hotfixes跟踪最新的SP和hotfix病毒防范安装防病毒软件，及时更新特征库政策与用户的教育：如何处理邮件附件、如何使用下载软件等账号和口令管理口令安全策略:有效期、最小长度、字符选择账号登录失败n次锁定关闭缺省账号，guest,Administrator,Windows安全管理（二）,Windows服务管理TerminalServer中文输入法缺陷网络共享Nimda等一些蠕虫和和病毒IISUNICODE(nimda、CodeBlue)IndexService(CRI、CRII),Windows安全管理（三）,操作系统更新局域网防火墙配置防火墙/路由器，封锁不必要的端口：TCPport135,137,139andUDPport138.基于主机的访问控制Windows2000自带个人防火墙,Unix安全管理（一）,相应版本的所有补丁账号与口令关闭缺省账号和口令：lp,shutdown等shadowpasswd用crack/john等密码破解工具猜测口令（配置一次性口令）网络服务的配置：/etc/inetd.conf,/etc/rc.d/*TFTP服务get/etc/passwd匿名ftp的配置关闭rsh/rlogin/rexec服务关闭不必要的rpc服务安装sshd，关闭telnet。NFSexport,Unix安全管理（二）,操作系统更新Solaris：ftp:/,路由器安全管理（一）,认证口令管理使用enablesecret,而不用enablepasswordTACACS/TACACS+,RADIUS,Kerberos认证控制交互式访问控制台的访问：可以越过口令限制；远程访问telnet,rlogin,ssh,LAT,MOP,X.29,Modem虚拟终端口令保护：vty,tty：login，nopassword只接收特定协议的访问，如transportinputssh设置允许访问的地址：ipaccess-class超时退出：exec-timeout登录提示：bannerlogin,路由器安全管理（二）,关闭没有必要的服务smallTCPnoservicetcp-small-servers:echo/chargen/discardfinger,ntp邻机发现服务（cdp）审计SNMP认证失败信息，与路由器连接信息：Trap系统操作日志：systemlogging:console,Unixsyslogd,违反访问控制链表的流量操作系统更新路由器IOS与其他操作系统一样也有BUG,怎样检测系统入侵,察看登录用户和活动进程w,who,finger,last命令ps,crash寻找入侵的痕迹last,lastcomm,netstat,lsof,/var/log/syslog，/var/adm/messages,/.history查找最近被修改的文件：find检测sniffer程序ifconfig,cpm,蠕虫的危害及防范（一）蠕虫简介,Morris蠕虫事件发生于1988年，当时导致大约6000台机器瘫痪主要的攻击方法Rsh，rexec：用户的缺省认证Sendmail的debug模式Fingerd的缓冲区溢出口令猜测CRII蠕虫感染主机全球超过30万台导致大量网络设备瘫痪,蠕虫的危害及防范（二）Lion蠕虫,出现于今年四五月间造成网络的针对53端口大面积扫描主要行为利用Bind安全缺陷入侵扫描一段B类网络之后出现了很多类似的蠕虫Raemon蠕虫Sadmind蠕虫解决方法：更新Linuxbind服务器,蠕虫的危害及防范（三）CRI,主要影响WindowsNT系统和Windows2000主要影响国外网络据CERT统计，至8月初已经感染超过25万台主要行为利用IIS的Index服务的缓冲区溢出缺陷进入系统检查c:notworm文件是否存在以判断是否感染中文保护（是中文windows就不修改主页）攻击白宫！解决方法：更新Windows2000、NT操作系统和杀毒工具,蠕虫的危害及防范（三续）CRII,InspiredbyCRI影响波及全球国内影响尤其广泛主要行为所利用缺陷相同只感染windows2000系统，由于一些参数的问题，只会导致NT死机休眠与扫描：中文windows，600个线程,CodeRed扩散速度（7.19-7.20）,CodeRedv1扩展速度（7.19-7.20),蠕虫的危害及防范（四）nimda,主要特点综合了各种攻击和传染方法第一款既有蠕虫特征又有病毒特征的恶意代码影响面遍及全球主要行为群发电子邮件，付病毒扫描共享文件夹，扫描有漏洞的IIS,扫描有CodeRed后门的IISServer,蠕虫的危害及防范（五）蠕虫的防范,完善的安全政策定期更新杀毒工具邮件、网络共享的安全使用规范系统责任人和权限设置有效的应对措施与辖区CERT保持及时联系首先设法避免蔓延利用访问控制建立停火区,常用网络安全工具介绍,入侵检测系统网络入侵检测系统其它入侵检测系统风险评估和端口扫描防火墙安全传输,网络入侵检测系统,Tcpdump可以得到数据包的原始记录需要较多的经验Snort可配置性强，检测多种入侵，免费误警率高Realsecure用户界面好，误警率低，稳定的技术支持贵,其它入侵检测系统,基于主机的入侵检测系统Syslog+grepSnortwin32版文件完整性检查系统tripware,风险评估和端口扫描,端口扫描工具Nmap：功能强大、速度快Strobe：使用简单端口和进程对应工具LsofSocklistfport缺陷扫描系统Satancops,防火墙,网络防火墙Linux：ipchains、netfilter其它UNIX操作系统：ipfilter商用防火墙NetscreenCheckpoint单机防火墙Zonealarm天网防火墙绿色警戒Win2000自带,安全传输,SSH/OPENSSH远程连接的安全版本也可以用来建立安全隧道进行安全数据传输SSL目前主要用于WWW服务的安全数据传输stunnelVPN,安全应急响应服务,应急响应服务的诞生CERT/CC1988年Morris蠕虫事件直接导致了CERT/CC的诞生CERT/CC服务的内容安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT（也称IRT、CERT）组织建设,CERT/CC简介,现有工作人员30多人，12年里处理了288,600封Email,18,300个热线电话，其运行模式帮助了80多个CSIRT组织的建设,国际安全应急响应,国外安全事件响应组（CSIRT）建设情况DOECIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT,NavyCIRT亚太地区：AusCERT、SingCERT等FIRST（1990）FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。80多个正式成员组织，覆盖18个国家和地区从FIRST中获益的比例与IRT愿意提供的贡献成比例两个正式成员的推荐,国内安全事件响应组织,计算机网络基础设施已经严重依赖国外；由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织国内的应急响