《网络安全技术讲解》课件

网络安全技术讲解2008年4月中国电信东莞分公司商务领航企智通运营中心技术部经理：李思文网络安全简述网络安全整体框架、体系安全规划、服务、管理防火墙入侵检测身份认证、访问控制、审计系统漏洞扫描防病毒系统课程面临的安全威胁以经济利益为动机的控制系统、窃取、篡改信息等犯罪活动以破坏系统为目标的系统犯罪以政治目的为动机的破坏系统等信息犯罪活动其他信息违法犯罪行为内部系统网络internet网络入侵黑客入侵工具控制系统窃取资料修改资料……内部系统网络SYN-ACK?,dropSYN-ACK?,dropSYN-ACK?,dropSYN-ACK?,dropSYN-ACK?,dropTCPSYN:80SIP:10.X.X.XorNullDIP:黑客攻击internet内部系统网络侦听、窃取资料Snifer工具用户名、密码传输的资料服务器信息操作系统信息……internet内部系统网络

木马

蠕虫Jokes黑客工具病毒

感染操作系统

感染数据堵塞网络

……internet被动式攻击那些不改变正常通讯连接的数据流，而且不将数据加入到连接中那些进入工作环境中等待捕获在网络上传输的有价值的信息活动主动式攻击打断正常的数据流，插入数据或修改数据流（欺骗）攻击者寻找系统的漏洞，发动侵略性攻击在发动主动式攻击前，首先要进行被动式攻击攻击类型病毒、蠕虫、炸弹和特洛伊木马陷门【Trapdoors】隐通道【CovertChannels】拒绝服务【Denialofservice】侦听【Sniffing】欺骗【Spoofing】口令攻击【Passwordattack】寻找软件存在的漏洞和弱点寻找系统配置的漏洞路由攻击【RoutingAttacks】中继攻击【ReplayAttacks】会话窃取攻击【SessionStealingAttacks】目前已知的手段陷门和隐通道陷门【Trapdoors】由软件设计者或程序员人为设置的漏洞，用来作为进入系统的后门能够通过较好的软件检测过程来避免隐通道【CovertChannels】是一种交互式处理通讯的方法，能够向没有正确安全权限的外人泄漏信息很难防范，需要利用可信的人员处理或加工敏感信息陷门和隐通道广泛流行不需要太多的技术青少年占很大的比例利用菜单驱动的程序很容易实现，而且能够跨平台很难跟踪经常需要很多ISP的协助，但是很难合作的很好利用无用的或有害的数据包充斥网络、消耗系统缓冲或网络带宽，从而击溃系统land.c攻击：利用目标主机的地址同时作为源地址和目的地址;利用目标主机的同一端口同时作为源端口和目的端口发出tcpSYN（同步状态）数据包ping死亡攻击：通过从远程主机上发出特定大小（>65535字节）的ping包来冲击、重启动或者down掉大量的系统。大于65535字节的ip

包是不合法的拒绝服务攻击TcpSYN泛滥和IP欺骗攻击利用伪造的、根本不存在的源地址发出Tcp_SYN包受害者试图发一个Tcp_SYN_ACK包，但找不到源地址，只好把它排队信息排队时间～75秒填满了SYN队列受害者无法通信或系统崩溃Smurf攻击（BroadcastPingAttack）发出“Broadcast_Ping_request”，看起来是来自“受害者”，将它发给“无辜的第三方”“无辜的第三方”的网络上的主机都向“受害者”回发“broadcast_ping_reply”包“受害者”被大量的ping包攻击对事件的跟踪却集中到“无辜的第三方”身上拒绝服务攻击难于跟踪源地址一般都被隐藏或伪装需要实时跟踪，经过一个又一个的路由器去寻找高的数据包比率有时受害者却不能用Internet去控诉或跟踪攻击用户组的帐号或被丢弃的帐号被利用学校的实验室、拨号用户、私有系统拒绝服务攻击入侵者通过Internet攻破数以千计的系统，包括大型网络间的网关。通过安装侦听器程序来监视网络数据流，从而获取连接网络系统时用户键入的用户名和口令电子邮件同样也象Telnet和Ftp会话一样，可以被监视，用来获取有关站点和其相关商业交易情况的信息侦听【Sniffing】欺骗是用来骗取目标系统，使之认为信息是来自或发向其所相信的人的过程欺骗可在IP层及之上发生（地址解析欺骗、IP源地址欺骗、电子邮件欺骗等）当一台主机的IP地址假定为有效，并为Tcp和Udp服务所相信利用IP地址的源路由，一个攻击者的主机可以被伪装成一个被信任的主机或客户欺骗【Spoofing】通常的做法是通过监视通信信道上的口令数据包，破解口令的加密形式UNIX操作系统通常将口令加密保存成为一个能够被普通用户读取的文件。一个入侵者可以运行现有的口令破解程序获取口令。如果口令强度比较弱，如少于8个字符的英文单词等，就可以被破解，并用来获得对系统的访问权UNIX操作系统中的r*命令，在信任的系统中是不需要口令的口令攻击向路由系统中插入错误的路由信息重定向流量到一个黑洞中（blackhole）重定向流量到慢速连接重定向流量到不同的地方进行侦听或修改需要可靠的认证，仅从已知的路由器接收路由的更新中继攻击保存一份原始信息的拷贝，一段时间后再转发保存一份商业交易，而后转发攻击者可以中继一个网络使之停止更新，并对该网段实施拒绝服务攻击所有的交易需要携带一个序列ID或加盖时间戳路由和中继攻击在找到一个没有用到的网络接口或者攻破网络上的一台主机后，入侵者可以主动地侦听该网段上的数据流，试图找到被主机认证的感兴趣的会话发出大量的、无用的数据包去击溃原始系统入侵者利用已崩溃系统的地址向其它主机发送数据包需要通过加密来防止数据包侦听或会话窃听保证物理端口的安全，防止不被使用的接口被非法使用会话窃取攻击攻击者的策略识别脆弱的系统获得对系统的访问获得特殊访问权限扩展访问至其它的系统或网络简单攻击识别目标端口或薄弱点扫描识别安全漏洞利用已识别的安全漏洞攻击策略复杂攻击识别目标收集信息操作系统的类型和版本系统/网络管理员的意见所用防火墙类型/安全措施研究薄弱点开发攻击策略进行攻击调试站在受害者的角度，看攻击效果（背后不留痕迹）确定是否值得冒险扫描应用社会工程获得范围内的支持帮助攻击策略IncidentsReportedtoCERT/CC网络安全整体框架、体系三维安全体系结构框架安全特性网络层次系统单元身份鉴别访问控制数据完整数据保密防止否认跟踪审计可靠可用信息处理网络安全管理物理环境物理层链路层网络层传输层会话层表示层应用层安全特性网络层次系统单元安全防御子系统网络防火墙：网络层、传输层网络平台、系统平台访问控制身份认证子系统Kerberos或X.509：传输层~应用层系统平台~安全管理身份鉴别桌面VPN子系统端到端加密通道：网络层~会话层系统平台、应用平台数据完整、数据加密授权管理子系统用户和对象的授权策略：应用层应用平台、安全管理访问控制密钥管理子系统密钥生成、存储和发放：传输层~应用层系统平台~安全管理身份鉴别安全检测子系统安全扫描、攻击报警网络层、传输层网络平台~应用平台跟踪设计、可靠可用病毒防御子系统过滤、删除病毒：传输层~应用层系统平台、应用平台数据完整、可靠可用机要保密子系统机要信息加密处理：表示层、应用层系统平台、应用平台数据保密安全数据库子系统集成数据库安全机制：应用层系统平台、应用平台身份鉴别~可靠可用安全审计子系统安全日志存储、分析：网络层~应用层安全管理防止否认、跟踪审计网络安全子系统网络安全设计注意点网络环境

网络拓扑结构（LAN、MAN、WAN）系统和网络设备位置软件和硬件的版本负责部门供货商定义可能的威胁应用程序供货商负责部门版本由谁来使用怎样来用用户数量用户类型内部用户合作伙伴竞争对手到底做什么如何连接的什么样的数据流信息是如何流动的定义信息流的安全级别定义可能存在的威胁网络安全设计注意点了解安全的关注点方案整体性

提出安全可能存在的问题

网络安全模型

防病毒

漏洞扫描身份认证授权应用层加密访问控制

……防火墙

入侵检测VPN物理隔离

……Layer1Layer2Layer3Layer4Layer5Layer6Layer7ProtocolExampleEthernetIPSSLTCPHTTP&URLL1-3L4-7Physical安全规划、服务、管理安全服务的内容安全系统规划

全面、细致地分析网络的安全需求利用科学的方法论和安全漏洞扫描、分析工具，分析企业信息网络的网络、应用、管理的现状和安全风险提出针对网络的全面的、科学的安全体系规划和完整、可行的整体安全解决方案安全服务安全服务与安全技术的区别谁可以提供安全服务安全服务的内容安全咨询最新发现的各种安全风险，如系统漏洞、攻击手段、新的病毒安全技术的最新发展，新的安全技术，新的攻击防御和检测手段安全技术的发展趋势企业信息网络安全系统建设的方法和步骤安全服务的内容其它的内容安全策略制定：根据企业的安全需求，制定统一的安全策略。对企业信息网络而言，需要采取什么样的安全措施，在什么时候、什么地方使用什么样的安全技术，都需要由一个统一的安全策略作为指导。在企业信息网络的不同平台、不同部分，都需要在一个统一的安全策略指导下，采取相应的安全措施。安全系统集成：根据安全系统规划和统一的安全策略，根据企业信息网络的特点，把不同安全厂商的不同安全技术和产品进行集成。

安全培训：包括对用户的安全意识、安全技术的培训，对系统管理员的安全技术培训、安全专业知识的培训等。

应急安全服务：在紧急情况下的各种安全服务，包括特殊情况下的安全防护、发生安全事故时的现场保护、追踪、以及采取各种必要的安全补救措施等。

内部系统的安全服务网络安全实施前了解内部系统的网络结构、安全需求对网络进行安全扫描、安全分析，确定网络中存在的问题提出符合内部系统的网络安全解决方案论证方案的可行性，进一步完善方案内部系统的安全服务定义安全要求ISO/IEC15408GB/T18336保护轮廓访问控制身份认证授权审计密码系统ü操作系统ü数据库系统ü防火墙ü应用安全检测应急措施üVPNs用户在某一特定的IT领域提出的技术安全要求以灵活实用的方法对标准的信息技术安全要求进行分类(特征和保证)内部系统的安全服务网络安全实施后

对系统进行全面检查全面的安全培训制定应急安全服务措施定期进行安全交流定期进行网络检查及时提供安全补丁应用案例核心交换机机关楼层机关服务器Catalyst6506Catalyst6506Cisco2948Cisco2948Cisco2924*3Cisco2948Cisco2924*4调度所10楼6楼2楼至InternetCisco1200Cisco2924Cisco2924*2报装办Cisco2924至省局Catalyst6509OA服务器GIS服务器主域控制器备份域控制器邮件服务器SCADA服务器WWW服务器外部网站数据库服务器文件服务器财务专用服务器宣传专用服务器营销应用服务器1000M100M主页防篡改系统防病毒网关防病毒网关主通道到：