《网络安全建设》PPT课件.ppt

网络安全建设,中国教育和科研计算机网应急响应组CCERT 清华大学信息网络工程研究中心 张千里,目录,网络安全简介 垃圾邮件的预防 如何防止扫描和DOS攻击 系统安全管理和入侵的防范 网络安全常用工具 CCERT简介,网络安全简介,网络安全概念 常见的网络安全问题 垃圾邮件危害 DOS、扫描危害 蠕虫危害,网络安全概念,信息安全 保密性、完整性、可用性、可信性 把网络看成一个透明的、不安全的信道 系统安全： 网络环境下的端系统安全 网络安全 网络的保密性：存在性、拓扑结构等 网络的完整性：路由信息、域名信息 网络的可用性：网络基础设施 计算、通信资源的授权使用：地址、带宽,常见的网络安全问题,垃圾邮件 UCE: Unsolicited Commercial Email UBE: Unsolicited Bulk Email Spam 网络扫描和拒绝服务攻击 端口扫描和缺陷扫描 DDOS、DOS 入侵和蠕虫 蠕虫：Lion、nimda、CR II 系统缺陷,垃圾邮件危害,网络资源的浪费 欧洲委员会公布的一份报告，垃圾邮件消耗的网络费用每年高达100亿美元 资源盗用 利用他人的服务器进行垃圾邮件转发 威胁网络安全 DOS攻击,DOS、扫描危害,占用资源 占用大量带宽 服务器性能下降 影响系统和网络的可用性 网络瘫痪 服务器瘫痪 往往与入侵或蠕虫伴随 缺陷扫描 DDOS,入侵、蠕虫造成的危害,信息安全 机密或个人隐私信息的泄漏 信息篡改 可信性的破坏 系统安全 后门的存在 资源的丧失 信息的暴露 网络安全 基础设施的瘫痪,垃圾邮件的预防,垃圾邮件特点 邮件转发原理 配置Sendmail关闭转发 配置Exchange关闭转发,垃圾邮件特点,内容： 商业广告 宗教或个别团体的宣传资料 发财之道,连锁信等 接收者 无因接受 被迫接受 发送手段 信头或其它表明身份的信息进行了伪装或篡改 通常使用第三方邮件转发来发送,邮件转发原理,配置Sendmail关闭转发（一） 简介,Sendmail 8.9以上版本 /etc/mail/relay-domains /etc/mail/access Sendmail 8.8以下版本 升级Sendmail 其它版本 配置Sendmail缺省不允许转发 编辑相应的允许转发IP列表,配置Sendmail关闭转发（二） Mc文件样例,divert(0)dnl VERSIONID(#)generic-solaris2.mc 8.8 (Berkeley) 5/19/1998') OSTYPE(solaris2)dnl DOMAIN(generic)dnl FEATURE(access_db, dbm -o /usr/local/etc/mail/access) define(confPRIVACY_FLAGS',authwarnings,goaway,noexpn,novrfy'')dnl MAILER(local)dnl MAILER(smtp)dnl,配置Sendmail关闭转发（三） Sendmail配置,Sendmail.cw 配置邮件服务器所接受的域名 C M Relay-domains 配置邮件服务器可以转发的地址 202.112.50. 202.112.57.18 Access 允许对某一个来源地址进行配置 REJECT、RELAY、OK、”msg”,配置Sendmail关闭转发（四） access文件样本,nobody 550:bad user name 202.112.55. RELAY 202.112.55.66 REJECT,配置Sendmail关闭转发（五） Sendmail使用,建立别名 编辑aliases文件 Sendmail v bi初始化 启动 Sendmail bd q1h 使用access数据库 Makemap dbm /etc/mail/access /etc/mail/access,配置Exchange关闭转发（一）,Exchange Server 5.0 或以前版本 升级邮件系统 Exchange Server 5.5 以上 选择 Reroute incoming SMTP mail,配置Exchange关闭转发（二）,填入所服务的域 点击Routing Restrictions,如何防止DOS和扫描,扫描简介 拒绝服务攻击简介 分布式拒绝服务攻击 DOS和扫描的防范 攻击取证和报告,扫描简介,缺陷扫描 目的是发现可用的缺陷 Satan、SSCAN Nmap -O 服务扫描 目的是为了发现可用的服务 WWW scan ftp scan Proxy scan,拒绝服务攻击简介,洪水式DOS攻击 SYN flood Smurf 利用系统或路由器缺陷DoS 攻击 Windows: IGMP fragmentation, OOB Linux: teardrop Solaris: ping of death 分布式拒绝服务攻击 往往既利用系统或者路由器的缺陷产生大规模的洪水式攻击 两方面的危害：被攻击者和被利用者,分布式拒绝服务（DDOS）,以破坏系统或网络的可用性为目标 常用的工具： Trin00 TFN/TFN2K Stacheldraht 很难防范 伪造源地址，流量加密，因此很难跟踪,client,target,DOS和扫描的防范（一） 路由器,访问控制链表 基于源地址/目标地址/协议端口号 路径的完整性 防止IP假冒和拒绝服务（Anti-spoofing/DDOS） 检查源地址： ip verify unicast reverse-path 过滤RFC1918 地址空间的所有IP包； 路由协议的过滤与认证 Flood 管理利用QoS的特征防止Flood interface xyz rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply,DOS和扫描的防范（二） 入侵检测和防火墙,入侵检测工具 了解情况 提供报告依据 指导应对政策 防火墙 建立访问控制 个人防火墙,攻击取证和报告,系统取证 Syslog系统日志 Netstat连接情况 CPU、Mem使用情况 网络取证 Tcpdump 路由器、防火墙纪录 入侵检测系统 报告责任方 对方CERT或本辖区CERT 对方责任人whois,系统安全管理和入侵防范,Windows系统安全管理 UNIX系统安全管理 路由器安全管理 如何检验入侵 蠕虫的危害及防范,Windows安全管理（一）,操作系统更新政策 安装最新版本的补丁Service Pack; 安装相应版本所有的 hotfixes 跟踪最新的SP 和 hotfix 病毒防范 安装防病毒软件，及时更新特征库 政策与用户的教育：如何处理邮件附件、如何使用下载软件等 账号和口令管理 口令安全策略:有效期、最小长度、字符选择 账号登录失败n次锁定 关闭缺省账号，guest, Administrator,Windows安全管理（二）,Windows服务管理 Terminal Server 中文输入法缺陷 网络共享 Nimda等一些蠕虫和和病毒 IIS UNICODE (nimda、Code Blue) Index Service ( CR I、CR II),Windows安全管理（三）,操作系统更新 局域网防火墙 配置防火墙/路由器，封锁不必要的端口：TCP port 135, 137, 139 and UDP port 138. 基于主机的访问控制 Windows 2000自带 个人防火墙,Unix安全管理（一）,相应版本的所有补丁 账号与口令 关闭缺省账号和口令：lp, shutdown等 shadow passwd 用crack /john等密码破解工具猜测口令 （配置一次性口令） 网络服务的配置： /etc/inetd.conf, /etc/rc.d/* TFTP 服务 get /etc/passwd 匿名ftp的配置 关闭rsh/rlogin/rexec 服务 关闭不必要的 rpc 服务 安装sshd， 关闭telnet 。 NFS export,Unix安全管理（二）,操作系统更新 Solaris：ftp:/ Redhat：up2date 常见安全问题 Solaris 各种RPC服务 Linux printer Named Wu-ftpd,路由器安全管理（一）,认证口令管理 使用enable secret , 而不用enable password TACACS/TACACS+, RADIUS, Kerberos 认证 控制交互式访问 控制台的访问：可以越过口令限制； 远程访问telnet, rlogin, ssh, LAT, MOP, X.29, Modem 虚拟终端口令保护：vty, tty ：login ， no password 只接收特定协议的访问，如transport input ssh 设置允许访问的地址：ip access-class 超时退出：exec-timeout 登录提示：banner login,路由器安全管理（二）,关闭没有必要的服务 small TCP no service tcp-small-servers: echo / chargen / discard finger, ntp 邻机发现服务（cdp） 审计 SNMP 认证失败信息，与路由器连接信息： Trap 系统操作日志：system logging: console, Unix syslogd, 违反访问控制链表的流量 操作系统更新 路由器IOS 与其他操作系统一样也有BUG,怎样检测系统入侵,察看登录用户和活动进程 w, who, finger ,last 命令 ps , crash 寻找入侵的痕迹 last, lastcomm, netstat, lsof, /var/log/syslog，/var/adm/messages, /.history 查找最近被修改的文件 ：find 检测sniffer 程序 ifconfig, cpm,蠕虫的危害及防范（一） 蠕虫简介,Morris蠕虫事件 发生于1988年，当时导致大约6000台机器瘫痪 主要的攻击方法 Rsh，rexec：用户的缺省认证 Sendmail 的debug模式 Fingerd的缓冲区溢出 口令猜测 CR II蠕虫 感染主机全球超过30万台 导致大量网络设备瘫痪,蠕虫的危害及防范（二） Lion蠕虫,出现于今年四五月间 造成网络的针对53端口大面积扫描 主要行为 利用Bind 安全缺陷入侵 扫描一段B类网络 之后出现了很多类似的蠕虫 Raemon蠕虫 Sadmind 蠕虫 解决方法：更新Linux bind服务器,蠕虫的危害及防范（三） CR I,主要影响Windows NT系统和Windows 2000 主要影响国外网络 据CERT统计，至8月初已经感染超过25万台 主要行为 利用IIS 的Index服务的缓冲区溢出缺陷进入系统 检查c:notworm文件是否存在以判断是否感染 中文保护（是中文windows就不修改主页） 攻击白宫！ 解决方法：更新Windows 2000、NT操作系统和杀毒工具,蠕虫的危害及防范（三续） CR II,Inspired by CR I 影响波及全球 国内影响尤其广泛 主要行为 所利用缺陷相同 只感染windows2000系统，由于一些参数的问题，只会导致NT死机 休眠与扫描：中文windows，600个线程,Code Red 扩散速度（7.19-7.20）,Code Red v 1扩展速度（7.19-7.20),蠕虫的危害及防范（四） nimda,主要特点 综合了各种攻击和传染方法 第一款既有蠕虫特征又有病毒特征的恶意代码 影响面遍及全球 主要行为 群发电子邮件，付病毒 扫描共享文件夹， 扫描有漏洞的IIS, 扫描有Code Red后门的IIS Server,蠕虫的危害及防范（五） 蠕虫的防范,完善的安全政策 定期更新杀毒工具 邮件、网络共享的安全使用规范 系统责任人和权限设置 有效的应对措施 与辖区CERT保持及时联系 首先设法避免蔓延 利用访问控制建立停火区,常用网络安全工具介绍,入侵检测系统 网络入侵检测系统 其它入侵检测系统 风险评估和端口扫描 防火墙 安全传输,网络入侵检测系统,Tcpdump 可以得到数据包的原始记录 需要较多的经验 Snort 可配置性强，检测多种入侵，免费 误警率高 Realsecure 用户界面好，误警率低，稳定的技术支持 贵,其它入侵检测系统,基于主机的入侵检测系统 Syslog+grep Snort win32版 文件完整性检查系统 tripware,风险评估和端口扫描,端口扫描工具 Nmap：功能强大、速度快 Strobe：使用简单 端口和进程对应工具 Lsof Socklist fport 缺陷扫描系统 Satan cops,防火墙,网络防火墙 Linux：ipchains、netfilter 其它UNIX操作系统：ipfilter 商用防火墙 Netscreen Checkpoint 单机防火墙 Zonealarm 天网防火墙 绿色警戒 Win2000自带,安全传输,SSH/OPENSSH 远程连接的安全版本 也可以用来建立安全隧道进行安全数据传输 SSL 目前主要用于WWW服务的安全数据传输 stunnel VPN,安全应急响应服务,应急响应服务的诞生CERT/CC 1988年Morris 蠕虫事件直接导致了CERT/CC的诞生 CERT/CC服务的内容 安全事件响应 安全事件分析和软件安全缺陷研究 缺陷知识库开发 信息发布：缺陷、公告、总结、统计、补丁、工具 教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训 指导其它CSIRT（也称IRT、CERT）组织建设,CERT/CC简介,现有工作人员30多人，12年里处理了288,600 封Email, 18,300个热线电话，其运行模式帮助了80多个CSIRT组织的建设,国际安全应急响应,国外安全事件响应组（CSIRT）建设情况 DOE CIAC、FedCIRC、DFN-CERT等 FedCIRC、AFCERT, NavyCIRT 亚太地区：AusCERT、SingCERT等 FIRST（1990） FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。 80多个正式成员组织，覆盖18个国家和地区 从FIRST中获益的比例与IRT愿意提供的贡献成比例 两个正式成员的推荐,国内安全事件响应组织,计算机网络基础设施已经严重依赖国外； 由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织 国内的应急响应服务还处在起步阶段 CCERT（1999年5月），中国第一个安全事件响应组织 NJCERT（1999年10月） 中国电信ChinaNet安全小组 解放军，公安部 安全救援服务公司 中国计算机应急响应组/协调中心CNCERT/CC 信息产业部安全管理中心 ，2000年3月，北京,中国教育和科研计算机网紧急响应组 CCERT,应急处理、与您同行,中国教育和科研计算机网紧急响应组(CCERT) 处理教育和科研计算机网络的安全事件，进行紧急响应 联系方法： (010)62784301 Report 中国防病毒中心 主要处理各种病毒方面的防止和预防，沟通用户和厂商 联系方法： (022) 27316567 Security,谢谢！,