it系统深度安全

1、IT系统深度安全,汇报目录,安全案例 H3C安全产品发展历程 H3C安全解决方案 H3C成功案例分析,选中攻 击目标,获取普通 用户权限,擦除入 侵痕迹,安装 后门,获取超级 用户权限,攻击其它 主机,获取或 修改信息,从事其它 非法活动,破坏型、入侵型,信息 收集,确定操作系统、应用服务、端口、社会工程学等,可以做简单入侵或提升权限的准备,网络攻击示意图,根据本地漏洞 提高权限,系统日值 Rootkit等,网络攻击实例,PCWeek的一次悬赏评测 目标：WinNT、RedHat 6.0 应用：为报刊类站点设计的分类广告系统 NT：ASP、IIS、MTS、SQL Server7 Linux：A

2、pache、mod_perl S S 目标：修改主页或获取绝密文件top secret。,前期踩点,搜寻对方系统 发现被防火墙保护,Lemming:# telnet 80 Trying 70 Connected to . Escape character is . POST X HTTP/1.0 HTTP/1.1 400 Bad Request Date: Fri, 24 Sep 1999 23:42:15 GMT Server: Apache/1.3.6 (Unix) (Red Hat/Linux) () Connection closed by foreign ho

3、st Lemming:#,探测结果：运行Apache的Red Hat主机，应该有mod_perl, 没有发现，尝试常见的CGI漏洞(tect-cgi、count.cgi )等，未发现问题，登录网站，发现目录结构(/、/cgi-bin、/photoads、/photods/cgi-bin等),设定目标,重点对象 Photoads软件 出品的软件包 找到一份默认安装 发现： 查询photoads/cgi-bin/photo_cfg.pl,没有实现 Env.cgi获得文件目录/home/httpd/html,以nobody用户权限来运行,第一次攻击, for SSI for mod_perl 系统虑

4、过了大部分的输入，几乎没有找到什么问题 Post.cgi出现了一个变量 Print “you are trying to post an AD from another URL:$ENVHTTP_PEFERERn”; $ENVHTTP_PEFERER是一个用户提供的变量，没有做输入过滤，可以嵌入代码 使用工具： getit.ssigetit.mod_perl 使用方法: lemming:# cat getit.ssi | nc 80 机器没有配置SSI和mod_perl,所以尝试没有成功 第一次失败,改变思路,从查找cgi 漏洞入手 perl 的漏洞一般出在open()、system()、系统

5、调用 系统查找结果 没有system()和系统调用，出现了open() Lemming:/photoads/cgi-bin# grep open.*(.*) *cgi | more avisory.cgi: open (DATA, “$BaseDir/$dataFile”); edit.cgi: open (DATA, “$BaseDir/$dataFile”); edit.cgi: open (MAIL, “|$mailprog t”) | die “Cant open $mailprog!n”; Photo.cgi: open (ULFD. “$write_file”) | dir sho

6、w_upload_failed(“$write_file $!”); Photo.cgi open (File, $ ); () Photo.cgi132行 $write_file=$Upload_Dir$; Open(ULFD, “$write_file”) | die show_upload_failed(“$write_file”); Ptint ULFD $UPLOAD Close (ULFD),查找变量定义,$write_file=$Upload_Dir.$ Photo.cgi第226行定义 If(!$UPLOAD) show_(); $ = lc($UPLOAD); $ = s/.

7、+(+)$|.+V(V+)$1/; If ($) $type=gif; elsif ($) $type=jpg; else My $head; My $gHeadFmt = “6vvb8cc”; My $pictDescFmt = “vvvb8”; Read FILE, $head 13; (my $Gif8a,$width,$height,my $resFlags, my $bgColor, my $w2h) = uppack $gHeadFmt,$head; close FILE; $PhotoWidth = $width; $PhotoHeight = $height; $PhotoSi

8、ze = $Size; Return,攻击的详细过程,Photo.cgi140行 If ($photoWidth eq “”) | ($PhotoWidth700) ,文件名必须是数字,密码限制了字节 又不能使用./././的手法了,暴露出的问题,Rename()函数没有校验，出错会跳过去 出错的方法，超常文件名Linux默认最长文件名为1024个字节 系统提示只能上传已经存在编号的广告图片 又是一个死胡同 ?_? 寻找Edit.cgi,发现能够自己建立一个新的广告文件编号 输入一个名字回车1024个数字创建一个文件编号大收获！ 因为系统设置NOBODY可以运行，故上传文件，设计一个文件有专门

9、为GIF留有的文件头 发现不能改名index.html为管理员所有，或没有写权限。 但是可以修改CGI教本，于是在不影响系统运行的情况下，加入Advisory.cgi 首战告捷！,柳暗花明,但是当教本第一次运行Shell的时候必须加以说明，如： #!/bin/sh Echo “Content-type:text/html” Find /”*secret*” print 但是我们的文件必须满足文件尺寸大小的规定，按照标准则应为 #!/bi00000000n/sh 没有这么短就能执行的SHELL死胡同第二次 !_! Linux下默认的ELF(可执行文件)，给了我们一个提示 将文本文件转成16进制文

10、件，将里面的00转为0X00，则一举两得！Sing 构造一个ELF文件使之符合URL标准，Apache的最常URL为8190个字符 还有1024个字符的数字，ELF文件只有7000个字节空间 是一个很小的程序,真正的编程工作,1.设计一个小型的C程序 2.将之编译 3.使之符合URL规范发现是7600个字节，太大了 对这个二进制文件进行优化，剩余4535个字节 上传这个文件 可以调用系统命令进行ls、Find、Locate等命令 没有发现Top secret文件 为什么？ 绝密文件没有放在nobody可以访问的文件夹中！ 解决方法 需要ROOT权限！,为了最高权限,通过脚本查找系统版本、应用服

11、务版本 查到crontab漏洞(可以在bugtraq/securityfocus中找到) 目的就是有一个nobody有权限使用的shell就可以了 繁忙编写程序中 完成后重新上传文件，检查运行状态，发现suidroot 最后的工作： 1.上传文件 2.改名 3.Copy到相应目录 攻击完成了！历时20个小时,简单回顾,让我们来回顾攻击的全过程,修改主页,目标开始探测程 第一个隐患 得出结论 价值,获取绝密文件,系 统 检 测,Linux RedHat Apache,Windows NT IIS,开放80端口,应用广告程序,确 定 攻 击 方 向,获 取 软 件 并 分 析,口令文件的 存放位置

12、,程序以 Nobody 身份运行,文件存放目录,无用,有用,下一节,回顾第二部分,第二次攻击 结果 系统分析,常 用 编 写 教 本,上一节,SSI,Mod_perl,没 有 配 置,查脚本漏洞 分析软件,系统调用,System(),Open(),$write_file,$,文件名称检测 只能是数字的名称 必须是.gif或.jpg,获取信息,发现漏洞：index.html%00.gif,只能以GET 方式上传,Jpg禁止上传,Gif可以上传,下一节,回顾第三部分,Gif可以上传,系统分析 结果 二次系统分析,文件尺寸检查必须设定尺寸标记 默认为350*250,上一节,文件名只能是数字,密码框屏

13、蔽 特殊字符,尝试上传,只能上传 已存在的文件,Edit.cgi,编辑现有文件,创建新文件,文件改名,Rename()有1024字节的bug,再次上传,成功！,改名index.html,不成功 没有权限,下一节,离成功只有一步之遥,上一节,可以改为cgi文件,扩大战果 编程实战,图片尺寸,脚本语言,无法两者都满足,ELF,改为.elf,上传,编译,优化,编程,调用系统命令,没有绝密文件,必须拥有root权限！,最终成功,调用系统命令,发现系统漏洞,提升自身权限,编写程序,改名,上传,复制,攻击成功,其它安全事件,下载DOS 政府网站木马入侵,汇报目录,安全案例 H3C安全产品发展历程 H3C安

14、全解决方案 H3C成功案例分析,ITOIP,以IP技术为核心的四大产品集群构成ITOIP的支撑,华为3Com安全理念安全渗透,网络的发展演变,安全发展演变,包过滤,软件 防火墙,路由器 ACLs,以太网,Hubs,bridge,Switches HW Routers,Multi-layer Switches Load balancers,软件IPS,IDS ASIC硬件防火墙,安全渗透 网络,网络本身内置安全机制，实现端到端的安全,Software Routers,华为3Com安全理念技术模型,深度,全局,智能,L2,L2.5,L3,L4,L57,统一威胁与策略管理,流量分析与行为识别,统一用

15、户认证与授权,协作（产品解决方案）,集成（技术/产品）,统一基础安全管理,DVPN,交换机,路由器/VPN,防火墙/SecBlade,TippingPoint IPS,VPE,EAD,入侵抵御,虚拟化分区隔离,抗DoS,带宽滥用,蠕虫控制,华为3Com安全产品线安全设备,华为3Com安全产品线安全管理,安全 认证,CAMS：综合安全认证平台,安全 管理,Quidview网络基础管理 VPN Manager业务管理 BIMS安全业务智能管理,端点 安全,EAD：端点准入防御方案,安全 审计,XLog：综合安全审计系统 SOC ：安全管理中心,IT与业务融合中的安全困扰,P2P泛滥,环境干扰,物理

16、安全,信息窃取,非法业务,非授权访问,身份识别,DoS攻击,木马/间谍软件,蠕虫病毒,90%以上的计算机会感染间谍软件、广告软件、木马和病毒等恶意软件 SQL Slammer在10分钟内感染了全球90有漏洞的机器 911事件中，丢失数据的企业中有55%当时倒闭。剩下的45%中，因为数据丢失，有29%也在两年之内倒闭，生存下来的仅占16% ,损失大,危害高,防护难,差异化全局安全部署,DVPN,SSL VPN,远程接入,网关,内网,数据中心,防病毒,网流优化,入侵抵御,FW/EAD内网可控,虚拟软件补丁,DDoS防御,安全管理中心,网络流量分析,全局,IPSec VPN,VPE,虚拟防火墙,汇报

17、目录,安全案例 H3C安全产品发展历程 H3C安全解决方案 H3C成功案例分析,安全趋势分析,关注安全问题 接入安全 Internet接入的安全隐患 外部单位接入安全隐患 内部用户接入的安全隐患 重要数据存储 安全管理的,解决方案一、Internet接入安全,Internet接入是安全问题最前沿 DOS/DDOS攻击 病毒、蠕虫传播、木马 Active X、JAVA 用户名密码尝试、穷举 BT带宽占用 VPN接入 安全备份网络 ,Internet接入解决方案拓扑,水利广域网,内部办公区,Internet,外网DMZ区,防火墙,1、区域设置、状态包过滤、DDOS攻击、应用层信息过滤、BT限流 2

18、、防病毒板卡(http/) 3、应用层防护(IDS联动防火墙) 4、区域节点之间的VPN连接,防病毒板卡,防火墙+VPN,IPS（IDS）,物理隔离网闸,Internet区域防御优劣势分析,优势 保障了接入的安全性(DOS/DDOS、Java、Active X) 建立了网关防病毒的模式 区域节点间的VPN连接(备份网) BT限流 IPS和防火墙联动 扩展性 防火墙可扩充流量管理模块 在互联网与省局网络之间通过网闸进行分割 劣势 IDS难以全面进行安全防护与安全审计 建议使用UTM设备进行防护,业务解决方案之：互联网可靠连接,SecPath FW/VPN,总部,分支机构,分支机构,SecPath

19、 FW/VPN,SecPath FW/VPN,DVPN域,EAD,IPSec远程接入,移动办公用户,合作伙伴,SSL VPN,丰富的VPN 综合运用DVPN/IPSec/SSL L2TP/GRE VPN 远程客户端安全校验,SSL VPN优势 易于安装使用、兼容性好 能够对应用层进行访问控制 Client to site的最佳组网模式,病毒防护网关 ASM防病毒插卡,ASM：Anti-Virus Security Monitor 与瑞星合作完成 支持SMTP 、 POP3、 FTP 、 HTTP等协议 可应用于SecPath F100-A/F1000-S/F1000-A 最大吞吐量200Mbp

20、s,新,SecPath 防病毒网关,路由器,带防火墙模块的核心交换机,内网办公区,数据中心,ASM插卡,网络安全监控NSM插卡,产品特点： 独立网络处理器，并联处理，不影响网络性能 监控信息的图形化显示 百余种网络协议分析，包括IP和非IP的27层报文 各种历史和实时报告的输出,SecPath防火墙,报文流入,报文流出,流量镜像,NSM插卡 (Network Security Monitor),产品定位： NSM适用于：SecPath F100-A/F1000-S/F1000-A,新,虚拟软件补丁技术,一个漏洞（弱点）就是软件程序中存有的一个安全缺陷 一个攻击就是能充分一个存在的安全缺陷，从而

21、实现不需任何授权就能对易受攻击（有漏洞）的系统进行访问的程序 简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器 由于受到处理器引擎性能限制，过滤器开发人员只能采用这种最基本的过滤器 结果：漏报、误报、继续受到攻击 IPS的弱点过滤器实际应是一个虚拟软件补丁，它能覆盖整个漏洞,漏洞 “特征码”,IPS系列产品的核心属性,IPS过滤器的方法,签名,用法: 固定模式 正则表达式 检测和防止 : 病毒 特洛伊木马 已知攻击 P2P应用 未经授权的即时通讯,协议 异常,用法: 遵守RFC 协议解码器 SYN 代理服务器 标准化 检测和防止 : 规避 未知的攻击 流量异常 未经授权的访问 SYN Fl

22、oods,漏洞,用法: 协议解码器 正则表达式 应用消息分析 检测和防止 : 未知攻击 蠕虫/Walk-in 蠕虫 未经授权的访问,流量异常,用法: 流量阈值 连接限制 连接速率限制 检测和防止: DDoS 攻击 未知的攻击 流量异常,高可用性和基于状态网络冗余,热插拨，双电源支持 内置监控 Watchdog 计时器 安全和管理引擎 自动或手动切换到L2 交换机方式 99.999% 网络可靠性,网络状态冗余 Active-Active Active-Passive 没有 IP 地址或 MAC 地址 对路由协议透明 HSRP, VRRP, OSPF,基于状态网络冗余,内置的高可用性,数字疫苗在线

23、更新机制,SANS CERT Vendor Advisories Bugtraq VulnWatch PacketStorm Securiteam,数字疫苗 自动在线 为用户更新,大规模的分发系统 通过AkamaiCND在56个国家的 9,700 服务器进行分发,RISK Weekly Report,过滤器类型 签名（Signature） 漏洞（Vulnerability） 异常流量和（或）异常流量统计,业界的认可- NSS 金奖,通过750 个单项测试，评估IPS的性能、安全性和可用性 用一年的时间开发测试方法和建立测试环境 每个产品进行二周的测试 参与厂商 TippingPoint、ISS

24、、NetScreen、TopLayer、 McAfee、Cisco,Bob Walder President, NSS Group,“NSS 金奖是一个标准，我们授予给我们认为近乎完美的产品.”,解决方案二、内部用户接入安全,内网关注的安全问题 客户端的安全(系统补丁、防病毒、非法外联) 用户接入认证、权限管理 环保广域网接入的安全 链路备份 不同安全域的划分 日志审计,EAD,EAD,EAD,环保办公网安全,水利广域网,内网认证、日志系统,内部办公区,安全规划： 1、使用双链路冗余、核心交换机使用防火墙板卡、链路通过网闸隔离； 2、内部用户使用EAD进行认证(接入认证、权限管理、防病毒、补丁

25、自动升级) 3、管理局域网使用日志系统、认证服务器进行管理,安全隔离区,系统补丁 服务器,防病毒 服务器,网闸,EAD,EAD,EAD,环保接入网安全,水利广域网,双核心交换 防火墙板卡,Internet,外网DMZ区,UTM,物理隔离网闸,横向单位接入区 (银行、海关、法院等),特殊应用接入,内部办公区,IDS,IPS,内部用户接入方案优、劣势分析,优势 板卡式防火墙模块解决防火墙单点故障问题 双链路接入，网闸进行隔离 内网用户全面认证，可以和CA或域认证结合使用 内网用户病毒库、系统补丁全面自动升级，隔离区升级 内网部署日志服务器，实现事后审计 扩展性 可以结合SOC进行统一安全管理 劣势

26、 EAD部署时间周期较长，需进行较多培训工作 内部管理难度大于技术实现难度,Internet出口管理： 企业IT管理人员非常反感网络中多Internet出口问题，包括私设代理、私自拨号、双网卡等。 EAD可以发现网络中私设的Internet出口，并根据策略将私设出口的终端下线。,补丁和病毒软件管理： 企业终端染毒进而造成网络故障， 90%以上原因是没有打上必要的系统（包括OS、DB、Office）补丁、 安装必要防病毒软件（或者升级到最新的病毒库版本）。 EAD增强的安全检查可以强制用户终端上网前完成此类修复工作。,黑白软件管理： 很多企业有强制推行某些软件安装（或者不安装）的制度需求。 EA

27、D可以从技术上支持这种制度的落实，即如果不安装某些必须软件（或者安装了某些禁止软件）禁止上网。,终端流量检查： 用户终端染毒对网络的影响往往是发送大量的广播包占用网络带宽，自动检测和遏制这种终端是保护网络的一种有效办法。 EAD支持对用户终端流量异常的检测，根据策略将该终端进行下线操作。,安全检查,EAD主要特点,解决方案三、安全管理解决方案,安全管理需要关注的问题 由技术管理向管理技术转变 把握全网安全动态而不是局部隐患 全网皆安全所有设备、服务器的统一审计 关联分析，查询安全事件源头，迅速反应,支出占营业收入的比例,100%,0%,典型的企业IT安全ROI,50%,成本功效,10%,IT安

28、全投资,认证服务器,日志系统,IDS,安全路由 交换机,防火墙,信息孤立,安全审计系统,安全客户端,流量整形网关,企业网络安全建设现状,安全投资回报,网络安全建设取得的成绩,IT投资管理最佳实践,端点准入防护,专业防护软件,内容过滤网关,FW/VPN,IDS/IPS,基于安全事件的需求部署,单点管理,以遏制安全事件为核心，无法监控和量化整网安全风险，整网安全状况无法量化，无法帮助企业作出恰当的决定,IT安全投资,病毒传播防护 垃圾邮件过滤 间谍软件过滤,攻击防御 访问控制 路由策略 加密、认证与授权 移动用户安全接入,用户准入认证 服务策略实施,应用层威胁 攻击防御 流量监控,主机病毒防护 主

29、机防火墙 主机应用审计,对攻击只能孤岛防御，无法实现全局监控,问题一：重局部、轻整体造成信息孤岛,设备间信息沟通不畅，形成信息孤岛,分别管理各种网络设备，获取安全信息,网络失衡,问题二：海量信息缺乏智能分析,海量信息：安全事件不断涌现，很难抓住重点，巨大的工作量也不能带来决策依据。,防火墙日志,IPS日志,安全客户端日志,病毒传播报警,网络设备日志,公安部安全 等级保护,FISMA,公安部安全 等级保护,GLPA,SOX法案,风险评估,HIPAA,ISO 17799,公司的安全制度有没有人违反？ 最近有没有泄密公司资料？ 有没有上班时间下载电影？ 有没有发生过攻击事件？ 病毒防护措施做了没有？

30、 .,环境,问题三：法规遵从要求不断提高,人员,设备,信息,CIO的实际需求,从数字上对安全风险进行评估,实现风险规避,事件发生概率、损失,问题四：以反应性方法为核心,10.8%,10.4%,-0.5%,-4.1%,5.4%,反应性方法：当一个安全事件发生时，反应性方法就是遏制情形，指出发生了什么事情，并尽可能快地修复受影响的系统。 前瞻性方法：与等待坏事情发生然后再做出响应不同，前瞻性方法防治结合，最大程度地降低坏事情发生的可能性。,安全风险,我们需要什么样的安全网络？,EAD,EAD,安全管理解决方案拓扑,水利部 广域网,内部办公区,双核心交换 防火墙板卡,Internet,外网DMZ区,

31、UTM,物理隔离网闸,横向单位接入区 (银行、海关、法院等),SAN网络-CATIS数据,网闸+入侵防御,特殊应用接入,内网认证、日志,入侵防御,Sec Center,防火墙+VPN,安全统一管理方案优、劣势分析,优势 全面内网安全管理，管理所有安全设备 防火墙、网闸、IPS、VPN、EAD等 管理H3C安全管理产品外设备 路由器、交换机、服务器、应用 全面防护差异化部署 全面关注三层传输安全、47层应用安全 结合网闸，将不同安全区域进行隔离 安全趋势管理成为可能 可追查问题来源至交换机端口 扩展性 全网设备的统一管理，可以实现全网皆安全的目标 劣势 部署较为复杂，需要进行长时间联调,事件统计图,应用统计图,简洁的图形化管理界面,安全威胁的实时监控,上百种监控方式 实时显示事件详情 实时监控安全资产信息 攻击、病毒、DDoS实时报警 相关信息实时整合 信息统计实时图表输出,Hacker pc,防火墙,Reverse Back door,实时攻击可视化,Corporate LAN,黑客利用反向联接技术穿透防火墙,近千种报告输出,SecCenter 分布式部署,SecCenter,控制台,控制台,SecCenter,分布式部署优点： 适合大型企业，不受地域限制、分级分权管理、事件天然备份 安全事件二次关联，提高决策准确性 非在线部署，不会影响网络运行,管理区,办公区,控制台,Se