安全审核与风险分析PPT课件

1、安全审核与风险分析,主讲教师: CIW CI # Email,第一单元安全审核入门,学习目标,明确安全审核人员的主要职责 了解风险评估 掌握风险评估的各个阶段 了解差距分析 掌握资源等级的划分 掌握如何计划实施安全审核 了解获得管理者支持的重要性 掌握获得客户反馈的方法,审核人员的工作,制定安全策略-任何一个管理规范的网络都需要制定一系列的安全策略 。 风险评估 明确审核企业性质 阅读书面安全策略 评价已经存在的管理和控制体系 实施风险分析 提交审核报告,审核人员的职责和前瞻性,从安全管理者的角度考虑 需要从防火墙内部进行监测，关注内部网络服务器和主机是否有异常情况,安全管理者还要从防火墙外部

2、进行渗透以查看防火墙的规则配置是否有漏洞，判断黑客是否能穿透防火墙进而控制网络主机,审核人员的职责和前瞻性,从安全顾问的角度考虑 从黑客的角度和不知情的审核者的角度对网络进行测试 从一个内部知情人的角度来评估网络安全 合并两方面测试中得到的信息，作综合评价后进行更深层次的审核 内部威胁分析 攻击者并不一定都是黑客和外部人员。 若将存放重要资料的服务器暴露在内部网络的公共区，内部使用者就可能直接对其进行攻击。 使用多层防火墙机制可以很好地解决这个问题。 在内部网络中，另外建立一个防火墙，分割一般使用者和重要资料服务器的网段。严格限制其出入的传输，强化资料存取的安全性,审核人员的职责和前瞻性,风险

3、评估,风险评估是指定位网络资源和明确攻击发生的可能性。 风险评估是一种“差距分析”，可以显示出安全策略和实际发生攻击之间的差距。 信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程,风险评估的准备 风险评估的准备过程是组织机构进行风险评估的基础，是整个风险评估过程有效性的保证。 确定风险评估的目标。,风险评估,风险评估的依据 1、政策法规：中办发200327号文件和国信办文件 2、国际标准：如BS7799-1 信息安全管理实施细则 BS7799-2 信息安全管理体系规范等 3、国家标准或正在审批的讨论稿，如

4、GB 17859-1999 计算机信息系统安全保护等级划分准则和信息安全风险评估指南等 4、行业通用标准等其它标准,风险评估,风险评估的原则 可控性原则 完整性原则 最小影响原则 保密原则,风险评估,风险结果的判定 风险等级的划分 控制措施的选择 残余风险的评价,风险评估,1.仔细检查书面安全策略 “road map”或“framework” 2.对资源进行分析、分类和排序 -找出网络中最重要的资源,风险评估的步骤,风险评估的步骤,3.通常遭受攻击的资源,风险评估的步骤,下表列出了一些通常遭受攻击的网络资源,风险评估的步骤,每个部门都有自己的数据库，但人力资源、财务和研发部门的 数据通常比其它

5、部门的更重要一些,风险评估的步骤,4.考虑商业需求 为企业需求制定安全策略，应当考虑一些特殊的部门和个体。目标是提高各部门的工作效率并使他们的数据更安全,风险评估的步骤,5.评估已有的边界和内部安全 边界安全指网络间区分彼此的能力，防火墙是定义安全边界的第一道屏障。 内部安全是指网络管理员监测和打击未授权的网络活动的能力。 通过对现有安全机制的评估确认网络可以从外部攻击中尽快恢复,风险评估的步骤,6.使用已有的管理和控制结构 在审核过程中，可以使用网络中已有的管理和控制结构。 基于网络的管理结构 基于主机的管理结构 两种管理结构各有优劣，可以根据不同的管理任务进行选择,简单查询体系结构,用户代

6、理体系结构,风险评估阶段,黑客在入侵攻击网络系统的过程中不外乎三个步骤：扫描侦查、渗透和控制网络系统。 安全审核人员进行审核时也有三个阶段：侦查阶段、渗透阶段、控制阶段。 安全审核人员不同于黑客,风险评估阶段,侦查阶段-扫描和测试系统的有效安全性。 对网络进行侦查意味着要定位出网络资源的使用的具体情况，包括IP地址、开放端口、网络拓扑等。 实施分析要求对系统逐个检测。 侦查阶段的分析工作通常需要大量的时间,风险评估阶段,渗透阶段-渗透测试 渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。 在渗透测试中，将检查各种系统的漏洞，并试图使下

7、列元素无效： 加密 密码 访问列表,风险评估阶段,控制阶段-控制演示 控制-表明一个黑客可以控制网络资源、创建帐号、修改日志、行使管理员的权限。 审核人员从不试图控制网络主机，只是通过演示其可以控制网络主机来证明现有网络存在的问题。 在提交报告时，必须提出如何防止黑客获得网络和主机的控制权的建议,差距分析,风险评估中常用的方法有三种： 计算系统综合风险 差距分析法 量化风险,差距分析法模型,差距分析,差距分析,差距分析法在运用中通常包括五个步骤 1.调研目标系统状况 2.确定信息系统安全要求 3.评估信息系统安全现状 4.对信息安全风险进行差距分析和风险计算 5.用户根据安全风险评估的结果进行

8、风险控制，形成满足其信息 系统安全要求的信息系统安全保障能力,划分资产风险等级,对各个资产进行风险等级的划分，划分的标准如下表 ： 可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，包括将可接受风险与不可接受风险的划分,安全审核需注意的事项,安全审核的要素 安全审核涉及四个基本要素: 1控制目标 2安全漏洞 3控制措施 4. 控制测试,安全标准,安全标准 1ISO 7498-2 2英国标准7799（BS 7799） 3Common Criteria（CC,获得最高管理者支持,任何一个组织，推行任何一套安全管理体系，首先都必须获得最高管理者的支持。 在安全审核初

9、期，最高管理者的支持可以表现在以下方面： 第一，在财务方面提供必要的投资。 第二，配备必要充足的人力资源、分配一定的工作时间于工作的推动上,获取客户信息的反馈,来自客户的反馈信息是衡量业绩的重要指标之一，可以被用来评价网络安全管理体系的总体有效性。 对一个机构进行一次安全审核后要及时地与被审核机构进行及时的沟通，以了解安全审核的效果。 获得客户反馈的信息，了解到工作中存在哪些不足，针对不同企业或机构采取不同的审核方式,第二单元审 核 过 程,学习目标,掌握有效检查书面安全策略的方法 了解资源的划分 明确业务焦点 明确如何使用现有的管理控制结构 掌握基于网络和基于主机的脆弱性发现和分析工具的配置

10、 掌握如何实施网络级和主机级的安全扫描 了解路由器和防火墙的安全配置 确定电话服务系统/集成系统的安全等级 熟悉安全审核的步骤,检查书面安全策略,通过对各种策略文档进行阅读和分析，获得整个策略文档体系的概貌，并评价策略文档体系能否满足安全工作的要求。 查看是否有“风险分析”项目。 查看IT任务陈述。 查看是否有如何实施安全策略以及如何处理破坏行为或不正当行为的说明。 查看是否有全面的“备份和恢复”或“业务连续性”计划,检查书面安全策略,为什么要有安全策略 安全策略的主要目标就是为获取、管理和审查计算机资源提供一个准绳。 一个强大的安全策略是合理且成功地应用安全工具的先决条件。没有明确的规则和目

11、标，则安装、应用和运行安全工具是不可能有效的,检查书面安全策略,好的安全策略具有的特征 安全策略应该简洁明了，一个好的安全策略应具有以下特征： 安全策略不能与法律法规相冲突； 为了正确地使用信息系统，安全策略应当对责任进行合理的分配。 一个好的安全策略应该具有良好的可执行性。 一个好的安全策略应有与之匹配的安全工具，安全工具应能预防策略被破坏。一个强大的安全策略应能提供突发性处理,检查书面安全策略,公布策略 安全策略要让机构中的每个用户都知道。 安全策略公布方式： 电子邮件 MSN消息 安全简报,检查书面安全策略,让策略发生作用 安全策略不能停留在书面上，要严格贯彻执行。 安全策略只有在实施后

12、才能发挥作用 。 安全策略的贯彻执行，可以在企业形成良好的安全保护意识，营造一种良好的安全环境，这才更符合信息发展网络化的特点,检查书面安全策略,制定一个详细计划来实施安全策略 信息安全策略的实施过程是一项较为长期且反复的过程，在这一过程中要根据实践的结果对信息安全策略体系和内容进行不断调整与完善。 详细的实施计划有助于有效地管理开支计划和控制执行时间。 获得高层管理层的支持与认可是安全策略得以顺利贯彻落实的关键。 信息安全策略实施计划至少应该包含以下步骤： 了解每个员工的信息系统的现状； 深入了解组织的业务需求及安全需求； 进行文档审查，掌握组织当前的策略制定及部署情况； 按层次分级制定安全

13、策略； 通过召开讨论会议的形式来完善每项安全策略；,划分资产等级,正确对资产进行分类，划分不同的等级，正确识别出审核的对象是进行安全审核非常关键的前提条件,划分资产等级,资产确认 硬件资产 软件资产 对私有或保密数据进行分类（从顾客数据库到专用应用程序） 对常规数据，包括数据库、文档、备份、系统日志和掉线数据等进行分类 对机构里的人员要进行确认和分类，对于机构外但与机构有往来的也要进行确认和分类,划分资产等级,资产评估 对于大多数的资产可以用货币数量多少的方法对其进行资产确定 进行资产评估要考虑四种价值 资产确认和评估是一个复杂的过程,判断危险性 除了恶意侵入者和内部人员外，对于任何计算机系统

14、还有许多威胁安全的方面： 从软件缺陷到硬件失效 把一杯茶水泼到键盘上 挖掘机切断了上千万根电缆线 下面是对计算机危险的部分分类： 软硬件故障 物理环境威胁 人员 外部因素,划分资产等级,划分资产等级,划分资产等级 资产的等级表明了资产对系统的重要性程度，安全审核人员应根据各个资产的等级确定相应的安全审核策略。 确定保护方法 确定了危险性，就要确定保护方法。 基于软件的保护 基于硬件的保护 与人员相关的保护,划分资产等级,成本效益分析 成本、收益分析是评价安全措施的成本和收益 量化风险 量化损失成本 量化预防措施的成本 计算底限 权衡安全失败的潜在成本和加强安全的成本是需要技巧的。 成本效益图,

15、识别业务焦点,只有识别出了企业或单位的业务焦点才能清楚地了解到，对于企业或单位来说最重要的是什么 。 安全审核人员应将企业的业务焦点的安全等级置于最高，并进行最严格的安全审核,使用已有管理控制结构,单独的安全设备不能解决网络的安全问题，独立的基于网元的管理更不能解决日益复杂的安全问题 。 安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务，安全感知和管理，具有自我防御能力的网络系统。 从技术的层面来说，目前业界比较认可的安全网络的主要环节包括： 入侵防护 入侵检测 事件响应 系统灾难恢复,使用已有管理控制结构,应急响应将安全网络的各个环节贯穿起来，使得不同的环节互相配合，

16、共同实现安全网络的最终目标。 应急响应的准备工作包括： 风险评估 策略制定 入侵防护 入侵检测,使用已有管理控制结构,安全管理在安全网络建设的循环中，起到一个承前启后的作用，是实现安全网络的关键。 安全信息管理涵盖的范围非常全面，包括： 风险管理 策略中心 配置管理 事件管理 响应管理 控制系统 知识和情报中心 专家系统,使用已有管理控制结构,根据信息安全管理的功能和特性，可将其工作流程分成以下4个阶段。 配置管理Provisioning 监控管理Monitoring 分析管理Analysis 响应管理Response 每个阶段侧重解决不同的信息安全问题、实现不同的安全目标,四个工作流程,1.

17、配置管理: 安全策略的制定 安全配置的部署 检查配置是否遵循安全策略 2.监控管理: 安全状况报告的查看、校对、产生 安全威胁信息的可视化 保存记录以便以后进行审核 3.分析管理: 将离散的数据智能地翻译成可检测的信息 显示推荐的排除安全威胁的配置信息 安全审核 4.响应管理： 通过各种事件的关联准确定位安全事件 确定攻击源头、描绘攻击路径 自动产生排除安全威胁的操作 和其他部署系统一起协同作业,配置基于网络和主机的漏洞扫描分析软件,漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的系统。 漏洞扫描可以分为： 基于网络的扫描 基于主机的扫描,配置基于网络和主机的漏洞扫描分析软件,基于网络的漏洞

18、扫描和分析软件 通过网络来扫描远程计算机中的漏洞 一种漏洞信息收集工具,配置基于网络和主机的漏洞扫描分析软件,基于主机的漏洞扫描和分析软件 基于主机的漏洞扫描器与基于网络的漏洞扫描器的扫描原理类似，两者的体系结构不一样。 基于主机的漏洞扫描器通常在目标系统上安装了一个代理（Agent）或者是服务（Services），以便能够访问所有的文件与进程。 基于主机的漏洞扫描器能够扫描更多的漏洞,配置基于网络和主机的漏洞扫描分析软件,对比基于网络和基于主机的漏洞扫描和分析软件 基于网络的漏洞扫描的优点 基于网络的漏洞扫描的缺点,实验2-1：主机安全扫描实验,在本实验中，我们将学习使用Xscan主机漏洞扫

19、描软件对主机的漏洞进行扫描,配置基于网络和主机的漏洞扫描分析软件,基于主机的漏洞扫描的优点 基于主机的漏洞扫描的缺点,考虑路由器和防火墙的安全配置,路由器安全配置 路由器访问控制的安全配置 路由器网络服务安全配置 路由器路由协议安全配置 路由器其他安全配置,考虑路由器和防火墙的安全配置,防火墙安全配置 最低的权限原则 （Least privilege） 彻底防御原则（Defense in depth） 最少信息原则（Minimal information） 保持最短及最简单原则（Keep It Short and Simple） 身分确认及认证原则（Identification and Aut

20、hentication,实验2-2：路由器网络服务安全配置实验,在本实验中，我们将学习如何针对路由器网络服务安全进行配置,确定信息系统的安全等级,通过对系统现有安全现状的审核，并参考国内外信息系统安全等级划分标准，确定现有信息系统的等级。 国际信息系统等级划分标准： 可信计算机系统评估准则TCSEC 通用准则CC BS7799、ISO17799,中国信息系统等级划分标准： 信息系统安全等级保护实施指南（送审稿） 信息系统安全等级保护测评准则（送审稿） 信息系统安全等级保护基本要求（试用稿） 信息系统安全等级保护定级指南（试用稿） 计算机信息系统安全保护划分准则（GB17859-1999) GA

21、/T 387-2002 GA 388-2002 GA/T 389-2002 GA/T 390-2002 GA 391-2002,评估现有备份机制的执行效率,在实施安全审核的过程中，可以从以下几个方面对系统现有的备份机制的运行状态进行评估： 备份的对象 系统的备份方式 系统备份策略,安全审核阶段,依据BS7799标准，安全审核过程包含以下四个阶段： 制定审核计划，确定审核目标、范围、背景资 检查和评价信息，现场审核阶段 传递审核结果 后续跟踪,第三单元系统资源侦查,学习目标,掌握具体的侦查方法 掌握安全扫描的方法与工具 了解物理侦查的方法 了解面谈的方法 能够配置并部署一个企业级的安全审核工具

22、明确通过侦查能获得的信息,侦查方法,黑客攻击系统之前，必须要知道攻击目标的一些相关信息，这就需要事先侦查。 通过侦查可以获得大量的目标系统的基本信息。 两种侦查方式： 被动侦查 被动侦查收集的信息可以是公司的域名、公司的服务器和系统等。 被动侦查有两类： 嗅探（sniffing） 信息收集 （information gathering） 主动侦查 主动侦查是指攻击者已经有了足够的信息再去探查或扫描站点。 主动侦查的相关信息,安全扫描,安全扫描以各种各样的方式进行。 DNS工具，如：whois、nslookup、host和dig 标准的运用程序，包括ping, traceroute, telne

23、t和SNMP ping，端口扫描仪和共享扫描仪 网络运用程序及共享侦查程序，包括NMAP和Red Button 包含了上述各方法的企业级的漏洞扫描仪,安全扫描,ping扫描及traceroute ping扫描作用 使用命令ping一个公司的Web服务器可获得该公司所使用的IP地址范围，一旦得知 HTTP服务器的IP地址，可以使用ping扫描工具ping该子网的所有IP地址，可以得到该网络的地址图,ping扫描分析,安全扫描,ping扫描软件 在Windows系统的命令行中可以执行ping命令 Traceroute(tracert) 使用traceroute，你可以推测出网络的物理布局，包括该网

24、络连接Internet所使用的路由器 端口扫描及相应软件工具 端口扫描与ping扫描相似，不同的是端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口,端口扫描分析,安全扫描,网络侦查和服务器侦查程序 服务扫描 RedButton可以从开启了server服务的Windows 2000/NT服务器获取信息 堆栈指纹 堆栈指纹技术可以用TCPIP来识别不同的操作系统和服务 堆栈指纹程序和部分特征 强大的网络侦查工具NMAP,共享扫描的工作示意图,共享扫描,安全扫描,共享扫描软件 PingPro 扫描Windows网络共享 Red Button 扫描共享名称及相应密码 缺省配置

25、和补丁级扫描 使用Telnet 利用Telnet客户端程序连接到其它端口 使用SNMP 从网络主机上查询相关的数据 SetRequst命令 SNMP软件,安全扫描,TCP/IP服务 附加的TCP/IP服务 简单TCP/IP服务 Finger 获取远程服务器上的用户信息 用户名 服务器名 E-mail帐号 用户当前是否在线 用户登录时间,实验3-1：安装ping ProPack,在本实验中，我们将学习如何安装ping ProPack,实验3-2：使用ping ProPack进行ping扫描和端口扫描,在本实验中，我们将学习如何使用ping ProPack进行ping扫描和端口扫描,实验3-3：p

26、ing ProPack侦查网络组件,在本实验中，我们将使用ping ProPack进行ping和端口扫描，侦查已安装的视窗操作系统网络组件的信息,实验3-4：在Windows 2000里安装协议分析仪,在本实验中，我们将在Windows 2000安装一个叫Ethereal Network Analyzer协议分析仪,实验3-5：配置协议分析仪,在本实验中，我们将学习配置Ethereal来捕捉你和同学之间传递的数据包,实验3-6：用包嗅探器捕捉SNMPv1的community names,在本次实验中，我们将学习使用包嗅探器捕捉SNMPv1的community names,物理侦查,物理闯入 有

27、效入侵手段 物理闯入常常需要攻击者假冒某种身份才能达到目的 “假冒职员” “假冒客户” “维修工人” “行政人员” 物理闯入的危害 如何防范物理闯入,物理侦查,垃圾搜寻 对垃圾进行分析有可能获得哪些信息？ 垃圾搜寻的危害 如何防范垃圾搜寻,采访面谈,通过访谈，初步确定出受审核网络的哪些目标是最有价值的，哪些目标是最容易受到攻击的,企业级审核工具,支持的协议 支持的协议和操作系统 漏洞数据库,企业级审核工具,扫描等级 企业级的扫描器允许你选择安全扫描的等级。 大多数的网络扫描器将风险分成低、中、高三个等级。 企业级的扫描程序具有细致的报告功能，可以用很多种格式输出信息,企业级审核工具,企业级审核

28、工具 Symantec NetRecon Network Associates CyberCop Scanner Web Trends Security Analyzer ISS Internet Scanner ISS Security Scanner eEye Retina Security DynamicsKaneSecurity Analyst NetectHackerShield,实验3-7：部署eEye Retina,在本实验中，我们将学习在Windows 2000里安装eEye Retina，然后对教室里的主机进行扫描,社会工程,社会工程（social engineering）陷

29、阱，通常是利用大众的疏于防范的小诡计让受害者掉入陷阱。 交谈 欺骗 假冒 口语用字,社会工程,流行社会工程学侦查方法 使用电话进行的社会工程学攻击 最流行的社会工程学手段 。 进入垃圾堆翻垃圾是一种常用的社会工程学手段。 在线的社会工程学 说服 反向社会工程学,你能获得什么信息,网络级别的信息 主机级别的信息 合法和非法的网络工具 黑客工具和审核工具并没有本质上的区别,网络级别信息列表,主机级别信息列表,第四单元审核服务器渗透和攻击技术,学习目标,了解网络渗透技术 理解攻击特征与审核技术之间的关系 了解易受攻击的服务器和目标 掌握对路由器、数据库、Web、FTP、E-mail服务器、DNS服务

30、的审核 掌握对系统漏洞的审核 掌握对缓冲区溢出的审核 掌握对拒绝服务攻击的审核,网络渗透技术,一旦黑客准确定位你的网络，会选定一个目标进行渗透，通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机,攻击特征和审核,攻击特征是攻击的特定指纹。 入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。 常见的攻击方法： 字典攻击 Man-in-the-middle攻击 劫持攻 病毒攻击 非法服务 拒绝服务攻击,危及安全的服务,在审核任何一个互联网系统时，有下面三种方法： 用字典攻击或暴力破解攻击对机器的密码数据库进行破解。 不考虑密码数据库，寻找一个漏洞进行攻击，如缓冲区溢出或后门。 用社

31、会工程学的方法进行攻击,易受攻击的目标,最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器及与协议相关的服务，如DNS、WINS和SMB,路由器,路由器是内部网络与外界的一个通信出口，它在一个网络中充当着平衡带宽和转换IP地址的作用。 连接公网的路由器由于被暴露在外，通常成为被攻击的对象。 路由器被拒绝服务攻击。 路由器的物理安全。 常见的通过路由器的攻击方式 所有的网络攻击都要经过路由器 对路由器直接进行攻击的方式 路由器和消耗带宽攻击 路由器最大的威胁是拒绝服务攻击所造成的带宽消耗 分布式拒绝服务攻击工具 Tribal Flood Network (TFN) Tribal Floo

32、d Network (TFN2K) Stacheldraht (TFN的一个变种) Trinoo,数据库,黑客最想得到的是公司或部门的数据库。 数据库中会包括的敏感信息 对于有特别敏感数据的服务器，审核时应特别注意检查有无危险漏洞存在,Web服务器和FTP服务器,WEB和FTP服务器置于DMZ。 极易遭到攻击 Web和FTP服务通常存在的问题,Web服务器和FTP服务器,FTP bounce攻击 “FTP bounce”攻击 FTP bounce攻击的危害 防范FTP bounce攻击,Web页面篡改,许多企业、政府和公司都遭受过类似的攻击，有时这种攻击甚至是出于政治目的。 Web页面的涂改意

33、味着存在着入侵的漏洞,Web页面篡改,防网页篡改系统 外挂轮询技术 核心内嵌技术 事件触发技术,电子邮件服务器,网络入侵（Network Intrusion） 服务破坏（Denial of Service） 对于服务破坏的防范，则可以分成以下几个方面： 防止来自外部网络的攻击 防止来自内部网络的攻击 防止中继攻击 邮件服务器应有专门的编程接口 与邮件服务相关的问题包括： 用字典和暴力攻击POP3的login shell 在一些版本中sendmail存在缓冲区溢出和其它漏洞 用E-mail的转发功能转发大量的垃圾信件,名称服务,大部分攻击都会针对DNS服务 DNS攻击包括： 未授权的区域传输 D

34、NS“毒药” 拒绝服务攻击 其它攻击,审核系统BUG,清楚操作系统产生的漏洞 清楚漏洞修补程序 熟悉软件的漏洞和bug 及时升级,审核TrapDoor和RootKit,Rootkit是用木马替代合法程序。 TrapDoor是系统上的bug，当执行合法程序时却产生了非预期的结果。 在对系统进行审核时，可以通过校验分析和扫描开放端口的方式来检测是否存在rootkit等问题,审核TrapDoor和RootKit,审核bugs和后门程序 在服务器上运行的操作系统和程序都存在代码上的漏洞。攻击者通常知道这些漏洞并加以利用。 后门(backdoor)也指在操作系统或程序中未记录的入口，程序设计人员为了便于

35、快速进行产品支持有意在系统或程序中留下入口。 后门不同于bug，这是由设计者有意留下的。 在进行审核时，仔细记录任何你不了解它的由来和历史的程序。 缓冲区溢出 缓冲区溢出是指在程序重写内存块时出现的问题。 防范缓冲区溢出攻击 关闭端口或服务 安装厂商的补丁 在防火墙上过滤特殊通信 检查关键程序 以需要的最少权限运行软件,审核拒绝服务攻击,防范拒绝服务攻击（DoS） 有效完善的设计 带宽限制 及时给系统安装补丁 运行尽可能少的服务 只允许必要的通信 封锁敌意IP地址 防范分布式拒绝服务攻击（DDoS） 保持网络安全 安装入侵检测系统 使用扫描工具,审核非法服务、特洛伊木马和蠕虫,非法服务开启一个

36、秘密的端口，提供未经许可的服务。 常见的非法服务包括: NetBus BackOrifice和BackOrifice2000 Girlfriend 冰河2X 秘密的建立共享的程序 非法服务是如何安装的？ 通过社会工程可以安装非法服务。 一个终端用户或系统管理员打开了一个附件或者他们认为是安全的文件，也有可能安装了非法服务。 蠕虫通过与一个特定的网络服务相结合也可以安装非法服务。 特洛伊木马。 审核木马: 扫描开放的端口是审核木马攻击的途径之一 蠕虫: 蠕虫靠特定的软件传播,结合所有攻击制定审核策略,渗透策略 物理接触 操作系统策略 弱口令策略 较弱的系统策略 审核文件系统漏洞 IP欺骗和劫持

37、Non-Blind Spoofing，Blind Spoofing和Connection Hijacking Non-Blind Spoofing（非显性数据欺骗） Blind Spoofing（显性数据欺骗） Connection Hijacking（会话劫持） 攻击者进行non-blind IP spoofing通常要与会话劫持相结合。 用到的工具： 一个包嗅探器 一个能够同时终止TCP连接、产生另一个TCP连接、进行IP伪装的程序,拒绝服务和TCP/IP堆栈,TCP/IP 堆栈负责处理传入和传出的 IP 数据包，并将数据包中的数据路由到要处理它们的应用程序。 在TCP/IP堆栈中存在许多

38、漏洞，如： 允许碎片包 大数据包 IP路由选择 半开TCP连接 数据包flood等等 成功地审核系统，需要理解每种攻击的特征。 SYN flood攻击 Smurf和Fraggle攻击 Teardrop/Teardrop2 Ping of death Land attack SSPing CPU Hog Win Nuke,实验4-1：嗅探FTP密码和网页密码,在本实验中，我们将学习使用Ethereal捕捉你的系统和教师受密码保护的系统之间传输的数据包,实验4-2：从邮件传输捕获用户名和密码,在本实验中，我们将学习如何从邮件传输过程中嗅探密码,实验4-3：登录到Windows 2000 服务器,在

39、本实验中，我们将使用嗅探到的用户名和密码尝试登录到Windows 2000服务器上,实验4-4：升级Windows 2000 TCP/IP堆栈,在本实验中，我们将升级Windows 2000操作系统到最新的TCP/IP堆栈以抵御如NMAP这类的堆栈指纹程序,第五单元控制阶段的安全审核,学习目标,熟悉控制流程 识别控制手段 掌握记录控制流程和手段的方法,网络控制,攻击者可以在服务器和网络上建立控制 熟悉成功获得网络控制权的规则、工具和手段 审查典型的控制手段将有助于发现弱点和漏洞,控制阶段的目标,获得root的权限 创建额外帐号 收集特定信息 开启新的安全漏洞 进行端口重定向 擦除渗透痕迹,控制

40、阶段的目标,获得root的权限 Root权限是控制的前提，因为它有权建立更多的帐号，操纵服务和对系统持续进行控制 非法服务和后门（trap doors）允许攻击者使用合法的帐号来升级访问权限,控制阶段的目标,创建额外帐号 攻击者在获得root权限后创建额外的帐号 使用批处理文件是创建额外帐号的一种手段 审核这种控制手段的方法是查看那些没有填写完整的用户帐号,控制阶段的目标,获得信息 与入侵前期的扫描活动比较类似，但它实际上是入侵渗透的一部分 信息获取比侦查阶段的更具有针对性，该信息只会导致重要的文件和信息的泄漏 攻击者获得信息的一种方法是操纵远程用户的Web浏览器,控制阶段的目标,审核UNIX

41、文件系统 UNIX文件系统的一个安全威胁是rootkit rootkit可以用各种各样的侦查和记录密码的程序替代了合法的程序如ls，su和ps 审核UNIX系统时，注意程序有无运行异常的情况存在,控制阶段的目标,L0phtCrack工具 L0phtCrack工具 进行目录攻击和暴力攻击十分有效的工具 字典攻击、暴力攻击。 L0phtCrack工作方式： 指定IP地址来攻击Windows NT系统 对SAM数据库文件进行攻击 配置运行L0pht的计算机嗅探到的密码,实验5-1：使用LC5破解Windows 2000的SAM库,在本试验中，我们将学习使用LC5来对本地系统的SAM库进行审核,控制阶

42、段的目标,UNIX系统密码安全 UNIX下的密码文件通常存放于etcpasswd下。 etcpasswd文件是冒号分隔的文本文件， 例如： test：x：501：501：testuser James：hometest：binbash 用户名：test ；UID号是501；GID号是501；全名是testuser james；宿主目录是hometest；和登录shell是binbash的用户。 Password文件必须能够被所有用户读取，但是不能被除root外的任何用户写入，而且etc目录只能被root写入,控制阶段的目标,映像密码文件 为了防止密码文件的泄漏，UNIX系统采用了映像密码（sha

43、dow password）技术。 在 /etc/passwd 文件中存放密码的位置只存放一个“x”，而经过加密的密码存放于 /etc/shadow 文件中。 为user用户更改密码，使用下列语法命令： host#passwd user Password：hidden Re-type：hidden,控制阶段的目标,John the Ripper 和Crack John the Ripper和Crack是在基于UNIX的操作系统上常见的暴力破解密码的程序。 John the Ripper和Crack是最常见的从shadow和passwd文件中获得密码的程序。 要使用L0pht和John the R

44、ipper来实施审核工作,实验5-2：使用John the Ripper破解Linux密码,在本试验中，我们将学习John the Ripper的安装、配置、它的用法及参数意义,控制阶段的目标,信息重定向 攻击者控制系统后进行程序和端口转向。 禁止FTP的服务，然后把FTP的端口指向另一台计算机。 重定向SMTP端口，可以获得所有使用SMTP来传送E-mail帐号的电子商务服务器的信息,控制阶段的目标,创建新的访问点 如果系统管理员关闭了系统默认的一些访问点，那么黑客就会通过安装后门的方法来开启另外的一些访问点。 通常开启后门的方法在系统上安装木马程序,控制阶段的目标,自动创建帐号和使用木马

45、黑客通常都是利用已有的帐号进入系统的。 使用计划任务来自动创建帐号或更改用户访问权限。 cron 和at来添加帐号或更改系统配置 NetBus 和 BackOrifice 2000 后门程序,控制阶段的目标,清除入侵痕迹 破坏系统日志是清除入侵痕迹的最好办法 常见日志文件 在Windows2000系统中日志文件 防止删除系统日志的最好办法是做好系统日志的备份，将日志存储到远程系统上,控制阶段的目标,并发连接和端口重定向 使用并发的Telnet或FTP会话来隐藏活动痕迹。 建立的连接链路越多，追踪花费的时间越多 要正确的追踪到使用端口重定向进行连接的黑客是非常困难的,控制方法,系统的升级不可避免

46、的会开启新的安全漏洞 黑客不断开发出新的工具,控制方法,系统缺省设置 缺省设置是指计算机软硬件“Out-of-the-box”的配置，便于厂商技术支持。 攻击者可以缺省攻击设置来完全控制系统。 改变缺省设置可以极大地增强操作系统的安全性,控制方法,合法服务，守护进程和可装载模块 以下守护进程可以被用来破坏操作系统的安全架构： Windows 2000运行服务 UNIX运行守护进程 Novell操作系统运行可装载的模块,控制方法,非法服务，守护进程和可装载模块 建立破坏安全的守护进程 捕获密码，通过邮件发送给远方攻击者 root kits绕过安全帐号数据库，进而完全控制系统 两个经典工具NetB

47、us和BackOrifice 绝大多数流行的反病毒程序都可以检测出所有版本的NetBus NetBus的功能： 运行程序 注销用户，强迫重启系统 控制Web浏览器，包括指向特定的URL 对应用程序进行远程控制 捕捉击键记录,使用Telnet确定系统中是否有Netbus非法服务存在,控制方法,BackOrifice和BackOrifice2000 获取系统信息 收集用户名和密码和用户缓存的密码 获得文件的完全访问权限；写入注册表的权限；列出可访问网络资源的权限；列出、建立和删除网络连接的权限；列出所有共享的资源和密码；建立和删除共享。 实施端口和程序的重定向 通过HTTP从浏览器上传和下载文件,

48、控制方法,击键记录器 keyloggers作为一个应用程序安装在受害者的计算机上，并且在用户完全不知情的前提下驻留在系统内存中。 收集用户所有的击键信息并将其保存在一个文件中，目的就是为了捕获诸如用户密码之类的机密数据。 keyloggers获得的数据将通过FTP、e-mail 或是隐秘的共享传递给安装keyloggers程序的人,渗透到其他系统,以渗透的系统为跳板继续渗透其他的系统 在20世纪70年美国联邦政府制定了第一个安全标准美国国防部彩虹系列(Rainbow Series) 该系列标准帮助政府确定哪些网络系统能够安全的与政府网络系统连接。 最常被使用的是Department of De

49、fense Trusted Computer System Evaluation Criteria，被成为“桔皮书(Orange Book)”。 “彩虹系列”丛书：“彩虹系列”丛书是信息系统安全事业的里程碑，对信息系统安全领域具有深远的影响。它不但建立了一个标准，更建立了一套体系。 该丛书以美国国防部可信计算机系统评测标准（TCSEC）为核心，对评测标准进行扩充、提供了关键的背景知识、对关键的概念进行深入解释和分析，并且提出了具体的实现方法和措施。该丛书共三十多册,控制阶段的审核,审核人员应熟练地运用扫描程序，日志文件和其它工具。 审核人员必须懂得什么是可疑的流量。 审核人员和攻击者最主要的不

50、同点是审核人员从不真正进入控制阶段,控制阶段的审核,报告潜在控制问题的方法： 列出通过自动执行的扫描程序(如NetRecon，ISS Internet Scanner或eTrust Intrusion Detection)获得的信息。 产生流量记录在日志中，记录时间，用日志来证明你的活动。 显示捕获的报文，这些包包括端口，IP地址和其它信息。 显示你渗透的屏幕快照,实验5-3：使用NetBUS进行主机控制,在本实验中，我们将利用NetBusl.7的界面所对应的功能，在NetBus中远程控制目标系统的文件系统,实验5-4：分析NetBus会话端口,在本实验中，我们将学习如何分析NetBus会话端

51、口，以进一步学习掌握NetBus的控制原理,实验5-5：使用NetBus进行远程控制,在本实验中，我们将使用NetBus进行远程控制,第六单元审核和日志分析,学习目标,为用户的活动建立基线 实施日志分析 过滤Windows 2000和Linux系统的日志 审核用户登录、系统重启和特殊资源的使用,日志分析,在审核过程中，需要投入大量的时间分析日志文件。 日志分析为你提供了确定何时产生缺陷及如何产生缺陷的方法。 注意把握日志记录的分寸,建立基线,建立基线是进行日志分析的开始。 基线是网络活动的参考标准。 在建立基线的过程中，应根据用户的活动倾向对日志进行检查。 大多数公司网络活动最频繁的时间段出现

52、在清晨上班、午餐期间和下班时期，然而活动图样会有所不同,防火墙路由器日志,在分析防火墙和路由器日志时，集中完成下列任务： 识别源和目的端口 找到源主机和目的主机 跟踪使用迹象 协议的使用 搜索可疑端口的连接,操作系统日志,UNIX系统日志 Syslogd是记录Linux和UNIX系统日志的服务 UNIX系统分析工具 last lastb lastlog 一些常见的日志如下 access-log acet/pacct,操作系统日志,Windows 2000系统日志 Windows 2000将它的日志分为以下四个类别： 系统日志 安全性日志 应用程序日志 DNS服务日志,开启Windows 200

53、0的审核功能,审核是Windows2000中本地安全策略的一部分，它是一个维护系统安全性的工具。 通过审核，我们可以记录下列信息： 哪些用户企图登录到系统中或从系统中注销、登录以及注销的日期和时间，是否成功等 哪些用户对指定的文件、文件夹或打印机进行哪种类型的访问 系统的安全选项进行了哪些更改 用户帐户进行了哪些更改，是否增加或删除了用户等等 根据监控审核结果，可以将计算机资源的非法使用消除或减到最小 通过查看审核信息，能够及时发现系统存在的安全隐患，通过了解指定资源的使用情况来指定资源使用计划 审核功能在管理工具中的本地安全策略工具进行设置,开启Windows 2000的审核功能,Windo

54、ws 2000系统的重要事件,实验6-1：Windows 2000系统登录事件审核,在本实验中，我们将学习如何审核Windows 2000系统中“失败登录”事件,开启Windows 2000的审核功能,确定Windows 2000系统的补丁等级 可以使用事件查看器来确定在你系统中安装的补丁 使用winver工具，可以在“开始运行”中，输入winver命令使用该工具,开启Windows 2000的审核功能,确定Windows 2000系统的启动时间 使用uptime.exe工具 快速确定系统启动了多长时间 获得远程Windows系统的启动时间 使用uptime/?命令可以获得更多的关于uptim

55、e工具的使用说明,日志过滤,日志记录文件会变得很大 过大的日志记录浪费磁盘空间 不易查找日志记录 对系统进行适当的配置以获得重要事件的日志,日志过滤,Windows 2000系统日志过滤 使用“筛选器”进行日志的过滤 要非常谨慎地选择过滤规则 符合你所设置的过滤规则的事件才会被记录，而其他不符合规则的活动都不会被记录,日志过滤,Linux系统日志过滤 使用不带参数的last和lastlog命令会提供太多的信息，要带参数使用 last -x：只显示与系统关闭和重启有关的事件 last -a：将所有主机信息列在最后一列 last -d：显示所有远程登录信息,日志过滤,可以合并命令 last -ad

56、将显示远程登录的IP和主机名 将last命令与|grep结合起来缩小查找范围 例如，last x grep Wedgrep ftp将只显示发生在星期三的有关FTP的事件。 lastlog t number_of_days：显示指定天数内的记录。例如，lastlog t 2将列出最近两天内的登录情况。 lastlog u login-name：显示指定用户的最后一次登录记录,日志过滤,操作系统附件和第三方日志记录工具 操作系统附件 ： Enterprise Reporting Server WebTrends for Firewalls and VPNs 第三方日志记录工具 ： Symantec

57、 IBM 第三方日志记录工具的优缺点： 黑客很难篡改日志记录文件，而且对事件的反应速度很快 缺点是需要额外费用和人员培训,实验6-2：使用eEye Retina软件获得一份系统安全报告,在本实验中，我们将学习如何使用eEye Retina软件来获得一份系统审核报告,审核可疑活动,可疑的活动” 一个用户两周以来每天半夜二点尝试登录系统，并且没有登录成功 主服务器每天早晨自动地重新启动 在一天中的特定时间段内系统的性能突然下降 仔细对下列现象进行检查： 异常时段内的合法活动或任何不在基线范围内的用户举动 任何失败,其他类型的日志,事件日志不仅仅包括路由器、防火墙和操作系统的日志，通常还包括以下一些

58、日志记录： 入侵检测系统日志 电话连接（包括语音邮件日志）日志 ISDN或帧中继连接（frame relay）日志 职员访问日志,日志的存储,有效地保护日志记录不受破坏 利用不同的机器存放日志 将日志记录刻成光碟保存 使用磁盘备份设备,审核对系统性能的影响,审核会对系统的性能造成一些影响。影响系统性能的因素包括以下几个方面： 网络请求的数量，日志对这些请求的记录会造成服务器对请求的响应变慢 审核系统中需要审核的事件的数量 硬盘的容量大小 硬件总线接口的类型（SCSI/IDE） CPU的工作频率,第七单元 审 核 结 果,学习目标,提供针对特殊网络问题的解决方案 建立审核步骤安全策略的建议方法

59、创建一份评估报告 实施积极主动的检测服务 修复和“清除”被损坏的系统 实施本机审核 安装必要的操作系统安全附件，如单机版防火墙 使用SSH替换Telnet、rlogin和rsh,建立审核报告,安全审核报告中应包含以下元素： 对现在的安全等级进行总体评价 对偶然的、有经验的和专家级的黑客入侵系统分别做出时间上的估计 简要总结出最重要的建议，并提供相应的支撑材料 详细描述审核过程的步骤 对各种网络元素提出整改建议 对物理安全提出建议 对安全审核领域内使用的术语进行解释 详细解释系统可能出现的问题的报告方法,收集客户意见,在审核报告中我们要充分考虑客户的意见 审核报告的内容与客户进行沟通,制定详细审

60、核报告,依据审核的结果，以及相应的审核标准并结合客户的意见，制定详细的审核报告,形成审核报告流程,推荐的审核方案,三个角度来提出 为了能够有效地确定安全策略和实施情况的差距，建议采用一些特殊方法继续进行有效的审核 抵御和清除病毒、蠕虫和木马，修补系统漏洞 建议完善和增强的内容,网络审核范围,网络审核范围的改善建议,增强一致性,加强安全和持续审核的步骤： 定义安全策略 建立对特定任务负责的内部团队 对网络资源进行分类 为雇员建立安全指导 确保终端和网络系统的物理安全 保障网络主机的服务和操作系统安全 增强访问控制机制 建立和维护系统 确保网络满足商业目标 保持安全策略的一致性 许多国际性的公司都