网络安全应急响应服务与CERNET的行动-课件.ppt

1、 清华大学 博士研究生 段海新Email：清华大学信息网络工程研究中心 北京 100084网络安全应急响应服务网络安全应急响应服务与与CERNET的行动的行动 网络安全应急响应服务的背景 CERNET 计算机应急响应组(CCERT)运行一年回顾 网络和系统安全配置建议 CERNET 安全应急响应服务计划 参考文献内容提要Internet 的安全问题的产生 Internet起于研究项目,安全不是主要的考虑 少量的用户，多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能、配置、安全“Security issues are not discussed in this memo”网络协议的开放

2、性与系统的通用性 目标可访问性，行为可知性 攻击工具易用性 Internet 没有集中的管理权威和统一的政策 安全政策、计费政策、路由政策操作系统漏洞统计securityfocus操作系统漏洞增长趋势两个实验 San Diego 超级计算中心 Redhat Linux 5.2,no patch 8小时：sun rpc probe 21天：20 次pop,imap,rpc,mountd使用Redhat6.X的尝试失败 40天：利用pop 服务缺陷或的控制权 系统日志被删除 安装了rootkit、sniffer 清华大学校园网 Redhat Linux 6.2,只开设telnet,www服务；he

3、lpwork 所有用户申请均可获得账号 7天后358个用户 两个用户利用dump获得root 控制权安全应急响应服务背景 应急响应服务的诞生应急响应服务的诞生CERT/CC 1988年Morris 蠕虫事件直接导致了CERT/CC的诞生 CERT/CC服务的内容 安全事件响应 安全事件分析和软件安全缺陷研究 缺陷知识库开发 信息发布：缺陷、公告、总结、统计、补丁、工具 教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训 指导其它CSIRT（也称IRT、CERT）组织建设CERT/CC简介简介 现有工作人员30多人，12年里处理了288,600 封Email,18,300个

4、热线电话，其运行模式帮助了80多个CSIRT组织的建设CERT/CC简介简介CMUSEINetworked Systems Survivability programSurvivable Network ManagementCERT/CCSurvivable Network TechnologyIncidentHandlingVulnerabilityHandlingCSIRTDevelopmentDoD安全应急响应服务背景 国外安全事件响应组（CSIRT）建设情况DOE CIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT,NavyCIRT亚太地区：AusCERT、Sin

5、gCERT等 FIRST（1990）FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。80多个正式成员组织，覆盖18个国家和地区 从FIRST中获益的比例与IRT愿意提供的贡献成比例 两个正式成员的推荐国内安全事件响应组织建设情况 计算机网络基础设施已经严重依赖国外；由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织 国内的应急响应服务还处在起步阶段 CCERT（2019年5月），中国第一个安全事件响应组织 NJCERT（2019年10月）中国电信ChinaNet安全小组 解放军，公安部 安全救援服务公司

6、 中国计算机应急响应组/协调中心CNCERT/CC 信息产业部安全管理中心，2000年3月，北京安全应急响应组的分类国际间的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业IRT网络服务提供商 IRT厂商 IRT企业/政府 IRT如：安全服务公司如：CCERT如：cisco,IBM如：中国银行、公安部如CERT/CC,FIRST如CNCERT/CC安全应急响应服务组织的服务内容 CSIRT的服务内容 应急响应 安全公告 咨询 风险评估 入侵检测 教育与培训 追踪与恢复安全应急响应服务的特点 技术复杂性与专业性 各种硬件平台、操作系统、应用软件；知识经

7、验的依赖性 由IRT中的人提供服务，而不是一个硬件或软件产品；突发性强 需要广泛的协调与合作 网络安全应急响应服务的背景 CCERT运行一年回顾 网络和系统安全配置建议 CERNET 安全应急响应服务计划 参考文献内容提要CERNET在应急响应中的优势 高速的、大规模的网络环境 10M/100M/1000M的用户接入 活跃的攻击者和安全服务提供者 BBS、各种俱乐部75410M+45M+45M155M(即将2.5G)2000.1-2000.10580近10M2M+2M2019.7-2019.12507近10M2M+2M2019.1-2019.064092M+4M2M2019.1-2019.12

8、278128K64K/128K2019.1-2019.12联网用户数目国际出口带宽国内主干带宽时 间CERNET、Internet2、IPv6 实验床CERNET在应急响应中的优势CERNET在应急响应中的优势 运行网络和实验网络,可进行各种实验 IPv6实验床、Internet2 的国际接入 可控的网络基础设施 路由系统、域名系统、网络管理系统、电子邮件系统 主干网扩大到省级节点，便于集中控制 以CERNET为依托的科研项目 九五攻关项目：网络管理、网络安全、安全路由器 高速IP网络安全运行监控系统 100M 流量分析与协同分布式入侵检测 多种角色：高校、NSP/ISP 便于国际交流、更加了

9、解用户需求CERNET 计算机安全应急响应组（CCERT）CERNET华东（北）地区网网络安全事件响应组(NJCERT) 事件处理CCERTNICNOC 地区网络中心 校园网络中心Internet用户IPv6网管高速网：系统管理员CERNET 计算机安全应急响应组（CCERT）主要客户群是CERNET 会员，但也有受理其他网络的报告和投诉 目前主要从事以下服务和研究：事件响应：入侵、垃圾邮件以及邮件炸弹、恶意扫描和DoS事件处理给站点管理员提供安全建议 提供安全信息公告和安全资源 反垃圾邮件、禁止扫描的公告 操作系统补丁、工具软件网络安全领域的研究,包括 安全管理、入侵检测、安全体系结构、PK

10、ICCERT一年来回顾 所处理的事件可分为四类：垃圾邮件和邮件炸弹 扫描 入侵 DOS 攻击 至2000年9月，处理了 2000 多份报告，其中包括 1800多起垃圾邮件和邮件炸弹报告;110 起扫描与 DOS 攻击报告;50 起入侵报告常见安全事件报告与处理 垃圾邮件转发 90左右的报告与垃圾邮件有关 国外的投诉 国内的报告 邮件服务器配置不当，为第三方中转邮件 危害：流量盗用 -费用增加 可能导致邮件服务器的所有通信被受害者封锁；spamcop 对国家和社会安全的影响 解决方法：relay-test scan 重新配置、升级邮件系统 封锁国外转发转发垃圾邮件的站点垃圾邮件的报告已逐渐减少垃

11、圾邮件报告数量图1022002435271792211535532636901002003004005006001999年8 月1999年9 月1999年1 0月1999年1 1月1999年1 2月2000年1 月2000年2 月2000年3 月2000年4 月2000年5 月2000年6 月月份数量系列1常见安全事件报告与处理 扫描，入侵的前兆 服务发现扫描，如 proxy hunter（80,8080,1080）缺陷扫描，如SATAN 等工具 ftp,telnet,ssh,pop2,pop3,sunrpc,netbios,imap,klogind,socks,入侵 多数入侵由于众所周知的缺

12、陷，解决方法已有：Solaris rpc.statd,rpc.ttdbserver,Linux imapd,wu_ftp freeBSD pop3d Win2k Terminal Server,很多案例由外部的报告发现，管理员并不知道典型的入侵案例 缺陷扫描 Root compromise:pop3d 停止 syslogd,修改/etc/inetd.conf,激活 telnet,ftp,甚至替换以下程序/bin/login、/bin/ps、/usr/bin/du、/bin/ls、/bin/netstat 安装窃听程序 sniffer :/usr/.sniffit 重新启动 syslogd,关闭

13、pop3d 删除日志记录 wtmp、wtp、message、syslog一般入侵步骤拒绝服务攻击 DoS 攻击 land,teardrop,SYN flood ICMP:smurf Router:remote reset,UDP port 7,Windows:Port 135,137,139(OOB),terminal server Solaris:Linux:其他.SYN FloodSend SYN(seq=100 ctl=SYN)SYN receivedSend SYN(seq=300 ack=101 ctl=syn,ack)Established(seq=101 ack=301 ctl=

14、ack)attackertargetEstablished(seq=301 ack=301 ctl=ack Data)1234SYN received正常的TCP 连接建立过程 -三次握手ICMP SmurfattackerICMP echo req Src:targetdst:xxx.xxx.xxx.255Echo replyEcho replyEcho replytarget分布式拒绝服务（DDOS）以破坏系统或网络的可用性为目标 常用的工具：Trin00,TFN/TFN2K,Stacheldraht 很难防范 伪造源地址，流量加密，因此很难跟踪clienttargethandler.ag

15、ent.DoSICMP Flood/SYN Flood/UDP FloodDDOS攻击方法及防范 攻击的两阶段：第一阶段控制大量主机 利用系统的漏洞获得大量主机系统的控制权，并安装DDoS 工具；Linux imapd,Solaris rpc、rstatd,Windows；第二个阶段，发起攻击：向目标发送大量的TCP/UDP/ICMP包，导致系统资源耗尽或网络拥塞，从而使目标系统或网络不能响应正常的请求。DDOS防范：网络中所有的系统都要安全的配置，不使之成为DDOS的源；路由器/防火墙配置：过滤伪造源地址的IP 包 检测工具：find_ddosv31、ddos_scan、rid扫描事件报告统

16、计增长趋势扫描报告数量图17133141010101616100246810121416181999年8 月1999年9 月1999年1 0月1999年1 1月1999年1 2月2000年1 月2000年2 月2000年3 月2000年4 月2000年5 月2000年6 月月份数量系列1常见问题 管理问题：资产、策略、负责人,没有明确的安全管理策略 操作系统安装后使用缺省配置，不打补丁，运行许多不必要的服务；99%以上的入侵是可以通过系统配置来防范的；常用的攻击方法常见问题 多种服务安装在同一服务器上，DNS/Mail/Web/FTP 公用服务器用户口令过于简单，uid:stud?/Pwd:1

17、23456 审计功能没有激活，或管理员根本不检查审计日志 没有备份，系统在被入侵后很难恢复事件处理的困难 服务本身缺乏项目和资金的支持；人力资源与知识经验的不足；缺乏迅速的联系渠道 过时的 whois 数据库，联系信息数据库不准确；来自国外的投诉较多，国内的用户还没有足够的自我保护意识和能力 网络安全应急响应服务的背景 CCERT 运行一年来的回顾 网络和系统安全配置建议 CERNET安全应急响应服务建设计划 参考文献内容提要NT 安全配置检查表 安装 不要同时安装其他操作系统，以防止越权访问和数据破坏 所有分区都选择NTFS格式，以支持访问控制 选择9个字符以上、不易猜测的口令 创建修复盘

18、补丁 安装最新版本的补丁Service Pack;安装相应版本所有的 hotfixes 跟踪最新的SP 和 hotfixNT 安全配置检查表 病毒防范 安装防病毒软件，及时更新特征库 政策与用户的教育：如何处理邮件附件、如何使用下载软件等 网络配置 关闭不必要的网络服务 配置防火墙/路由器，封锁不必要的端口：TCP port 135,137,139 and UDP port 138.NT 安全配置检查表 账号与口令策略设置 口令安全策略:有效期、最小长度、字符选择 账号登录失败n次锁定 关闭缺省账号，guest,Administrator目录用户最大访问权限C:Administrators,s

19、ystemothersFull ControlRead onlyC:tempEveryoneaddC:winntprofilesUserFull 文件系统与共享系统分区的权限设置如果不想提供共享服务，关闭Server、computer browser 服务确保共享的目录分配了合适的访问权限重要文件的备份NT 安全配置检查表 注册表安全 不显示上次登录的用户名 对普通用户隐藏shutdown 按钮 限制远程注册表浏览 限制软驱和光驱的远程访问 审计功能 三个方面的操作审计，缺省是关闭的 用户：logon/log off,restart,shutdown 文件和目录：读、写、执行、删除、改变权限

20、注册表的修改Unix安全 配置检查表 相应版本的所有补丁 账号与口令 关闭缺省账号和口令：lp,shutdown等 shadow passwd 用crack/john等密码破解工具猜测口令（配置一次性口令）网络服务的配置：/etc/inetd.conf,/etc/rc.d/*TFTP 服务 get/etc/passwd 匿名ftp的配置 关闭rsh/rlogin/rexec 服务 关闭不必要的 rpc 服务 安装sshd，关闭telnet。NFS export Unix安全 配置检查表 环境设置 路径，掩码（umask）审计与记账功能 有效的工具 tripware COPS tcpwrappe

21、r satan路由器安全配置检查表 认证口令管理 使用enable secret,而不用enable password TACACS/TACACS+,RADIUS,Kerberos 认证 控制交互式访问 控制台的访问：可以越过口令限制；远程访问telnet,rlogin,ssh,LAT,MOP,X.29,Modem 虚拟终端口令保护：vty,tty ：login ，no password 只接收特定协议的访问，如transport input ssh 设置允许访问的地址：ip access-class 超时退出：exec-timeout 登录提示：banner login路由器安全配置检查表

22、网络管理 SNMPv1:修改缺省的community name community name,snmp-server community SNMPv2 :基于Keyed-MD5的认证方式 snmp-server party Digest Authentication HTTP:限制管理站点地址、配置认证方式 ip http access-class,ip http authentication,TACACS/RADIUS 防止窃听 加密管理协议：ssh 登录,SNMPv2的管理协议 一次性口令（OTP）：SecureID/Token,S/Key IPSec 封装所有管理协议:telnet,SN

23、MP，HTTP路由器安全配置检查表 关闭没有必要的服务 small TCPno service tcp-small-servers:echo/chargen/discard finger,ntp 邻机发现服务（cdp）审计 SNMP 认证失败信息，与路由器连接信息：Trap 系统操作日志：system logging:console,Unix syslogd,违反访问控制链表的流量 操作系统更新 路由器IOS 与其他操作系统一样也有BUG利用路由器保护网络安全 访问控制链表 基于源地址/目标地址/协议端口号 路径的完整性 防止IP假冒和拒绝服务（Anti-spoofing/DDOS）检查源地址

24、：ip verify unicast reverse-path 过滤RFC1918 地址空间的所有IP包；关闭源路由：no ip source-route 路由协议的过滤与认证 Flood 管理利用QoS的特征防止Floodinterface xyz rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply利用路由器防止DoS的攻击Stub ADTransi

25、t AD202.112.0.0/16eth0eth1access-list 101 permit ip 202.112.0.0 0.0.255.255 any access-list 101 deny ip any anyinterface eth0ip access-group 101 inaccess-list 110 deny ip 10.0.0.0 0.0.0.255 any access-list 110 deny ip 192.168.0.0 0.0.255.255 any access-list 110 deny ip 172.16.0.0 0.15.255.255 anyacc

26、ess-list 110 permit ip any anyinterface ether 1ip access-group 110 inip verify unicast reverse-pathTransit ADeth0access-list 101 deny ip 202.112.0.0 0.0.255.255 anyaccess-list 101 permit ip any anyaccess-list 102 permit ip 202.112.0.0 0.0.255.255 anyaccess-list 102 deny ip any anyinterface eth0ip ac

27、cess-group 101 inip access-group 102 out怎样检测系统入侵 察看登录用户和活动进程 w,who,finger,last 命令 ps,crash 寻找入侵的痕迹 last,lastcomm,netstat,lsof,/var/log/syslog，/var/adm/messages,/.history 查找最近被修改的文件 ：find 检测sniffer 程序 ifconfig,cpm 有用的工具 tripware,cops,cpm,tcpdump,怎样从被攻破的系统中恢复 重新获得控制权 从网络中断开 备份被攻破的系统镜像 分析入侵 寻找被修改的程序或配置

28、文件#find/(-perm-004000-o-perm-002000)-type f-print 寻找被修改的数据，如web pages,寻找入侵者留下的工具和数据 sniffer,Trojan Horses,backdoor 检查日志文件 messages,xferlog,utmp,wtmp,/.history 怎样从被攻破的系统中恢复 寻找sniffer:cpm,ifstatus cert.org/advisories/CA-94.01.ongoingwork.monitoring.attacks.html 检查其他的系统是否也被入侵 与相关的IRT联系 报告,申请援助、调查 通知相关站

29、点 恢复 安装一份干净的操作系统 关掉所有不必要的服务 安装所有的补丁怎样从被攻破的系统中恢复 查阅IRT相关的公告 谨慎使用数据备份 修改所有用户口令 提高系统的安全性 根据UNIX/NT的安全配置指南文件检查系统安全性 cert.org/tech_tips/unix_configuration_guidelines.html auscert.org.au/Information/Auscert_info/Papers/win_configuration_guidelines.html 检查工具与文档 安装安全工具 激活记账功能 配置防火墙怎样从被攻破的系统中恢复 重新连接到INTERNET

30、 更新你的安全政策 记录从事件中吸取的教训 计算损失 修改安全策略 网络安全应急响应服务的背景 CCERT 运行一年来的回顾 网络和系统安全配置建议 CCERT建设计划及展望 参考文献内容提要CERNET 安全 建设计划安全事件诊断系统分布式入侵检测系统CERNET-CERT 安全服务CERNET 会员安全事件处理系统研究与开发研究与开发脆弱性特征库安全服务安全服务其他用户风险评估应急响应教育与培训入侵检测漏洞扫描安全公告技术咨询协调与合作实验平台攻击特征库CERNET 应急响应服务组织结构CERNET-CERTCCERT/CCNJCERTIRTIRTIRTIRTIRTIRTFIRST国际其他

31、SIRT中 国CNCERT/CC国内其他SIRTCERNET内部用户其他网络参考文献NT系统安全配置指南ciac.llnl.gov/cgi-bin/index/documents.htm,CIAC-2317auscert.org.au/Information/Auscert_info/Papers/win_configuration_guidelines.htmlwindows/windows2000/en/datacenter/help/sag_SEchecklist.htmUnix 系统安全配置指南ciac.llnl.gov/cgi-bin/index/documents.htm,CIAC

32、-2305cert.org/tech_tips/unix_configuration_guidelines.htmlcert.org/tech_tips/root_compromise.html RFC 2196:Site Security HandbookCISCO 路由器安全配置ciac.llnl.gov/cgi-bin/index/documents.htm,CIAC-2319cisco/warp/public/707/newsflash.html计算机安全应急响应组（CSIRT）手册sei.cmu.edu/pub/documents/98.reports/pdf/98hb001.pdf

33、RFC 2350:Expectations for Computer Security Incident Response.singcert.org.sg/papers/Forming_an_Incident_Response_Team.html安全工具auscert.org.au/Information/Tools/other_tools.htmlsingcert.org.sg/resource.shtml结束语 整体的安全性依赖于所有用户安全意识的增强、安全技术的普及、组织之间的协作；保护用户不受攻击 规范用户行为，不发起攻击行为 不做攻击的中继结束语 了解风险、明确政策、积极防御、及时发现、快速响应、确保恢复 隐患险于明火、防患胜于救灾、责任重于泰山风险分析A安全政策P入侵检测D主动防御P应急响应R恢复与追踪R AP2DR2 清华大学 博士研究生 段海新Email：清华大学信息网络工程研究中心 北京 100084谢谢 谢！谢！CERNET 网络安全应急响应服务网络安全应急响应服务