1、网络安全体系结构概述网络安全体系结构概述EmailWebISP门户网站E-Commerce电子交易复杂程度复杂程度时间Internet 变得越来越重要变得越来越重要Internet 变得越来越糟糕变得越来越糟糕网络无处不在的特性使进攻随时随地可以发起;网络本身就蓄积了大量的攻击技巧(大概有26万个站点提供此类知识);攻击软件层出不穷。网络安全问题日益突出网络安全问题日益突出混合型威胁 (Code Red, Nimda)拒绝服务攻击(Yahoo!, eBay)发送大量邮件的病毒(Love Letter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050
2、,00040,00030,00020,00010,000已知威胁的数量 开放的网络外部环境越来越多的基于网络的应用 企业的业务要求网络连接的不间断性 来自内部的安全隐患 有限的防御措施错误的实现、错误的安全配置 糟糕的管理和培训 黑客的攻击网络风险难以消除?网络风险难以消除?网络攻击的后果网络攻击的后果 设备、系统损坏 服务不可得 财务损失 数据丢失 信息泄漏 遭受篡改的信息造成误动作 集体凝聚力下降、相互信任感受损常见网络攻击的分类常见网络攻击的分类 针对通讯层以下 针对OS的攻击 针对通用的服务协议 针对特定的应用程序网络安全体系结构概述网络安全体系结构概述 1.安全体系的需求 2.常见的
3、网络安全问题 3.网络攻击的手段 4.网络安全技术 5.安全方案与实施 6.安全标准及安全管理常见的网络安全问题 垃圾邮件 网络扫描和拒绝服务攻击 端口扫描和缺陷扫描 DDOS、DOS 入侵和蠕虫 蠕虫:nimda、CR II 系统缺陷垃圾邮件危害垃圾邮件危害 网络资源的浪费 欧洲委员会公布的一份报告,垃圾邮件消耗的网络费用每年高达100亿美元 资源盗用 利用他人的服务器进行垃圾邮件转发 威胁网络安全DOSDOS、扫描危害扫描危害 占用资源 占用大量带宽 服务器性能下降 影响系统和网络的可用性 网络瘫痪 服务器瘫痪 往往与入侵或蠕虫伴随 缺陷扫描 DDOS入侵、蠕虫造成的危害入侵、蠕虫造成的危
4、害 信息安全 机密或个人隐私信息的泄漏 信息篡改 可信性的破坏 系统安全 后门的存在 资源的丧失 信息的暴露 网络安全 基础设施的瘫痪垃圾邮件的预防垃圾邮件的预防 垃圾邮件特点 邮件转发原理 配置Sendmail关闭转发 配置Exchange关闭转发垃圾邮件定义垃圾邮件定义 定义1:垃圾邮件就是相同的信息,在互联网中被复制了无数遍,并且一直试图着强加给那些不乐意接受它们的人群。 定义2:垃圾邮件是一种最令人头疼而又让人束手无策的推销传单。 定义3:垃圾邮件是指与内容无关,而且收件人并没有明确要求接受该邮件的发送给多个收件人的信件或张贴物。也可以是发送给与信件主题不相关的新闻组或者列表服务器的同
5、一信件的重复张贴物。 UCE (Unsolicited Commercial Email,不请自来的商业电子邮件)UBE (Unsolicited Bulk Email,不请自来的批量电子邮件) 定义4:垃圾邮件泛指未经请求而发送的电子邮件,如未经发件人请求而发送的商业广告或非法的电子邮件垃圾邮件定义垃圾邮件定义垃圾邮件特点垃圾邮件特点 内容: 商业广告 宗教或个别团体的宣传资料 发财之道,连锁信等 接收者 无因接受 被迫接受 发送手段 信头或其它表明身份的信息进行了伪装或篡改 通常使用第三方邮件转发来发送配置配置SendmailSendmail关闭转发关闭转发 Sendmail 8.9以上版
6、本 etc/mail/relay-domains(控制容许邮件转发) /etc/mail/access Sendmail 8.8以下版本 升级Sendmail 其它版本 配置Sendmail缺省不允许转发 编辑相应的允许转发IP列表如何防止收到垃圾邮件?如何防止收到垃圾邮件? 1)不要把您的邮件地址在INTERNET页面上到处登记; 2)不要把您的邮件地址告诉您不太信任的一些人; 3)不要订阅一些非正式的不键康的电子杂志,以防止被垃圾 邮件收集者收集; 4)不要在某些收集垃圾邮件的网页上登记您的邮件地址; 5)发现收集或出售电子邮件地址的网站或消息,请告诉相应的主页提供商或主页管理员,将您删除
7、,以避免邮件地址被他们利用,卖给许多商业及非法反动用户; 6)建议您用专门的邮箱进行私人通信,而用其他邮箱订阅电子杂志。防止收到垃圾邮件防止收到垃圾邮件扫描技术扫描技术Port scanning: 找出网络中开放的服务基于TCP/IP协议,对各种网络服务,无论是主机或者防火墙、路由器都适用端口扫描可以确认各种配置的正确性,避免遭受不必要的攻击用途,双刃剑 管理员可以用来确保自己系统的安全性 黑客用来探查系统的入侵点端口扫描的技术已经非常成熟,目前有大量的商业、非商业的扫描器扫描简介扫描简介 缺陷扫描 目的是发现可用的缺陷 Satan、SSCAN 服务扫描 目的是为了发现可用的服务 WWW sc
8、an ftp scan Proxy scan扫描器的重要性扫描器的重要性扫描器能够暴露网络上潜在的脆弱性无论扫描器被管理员利用,或者被黑客利用,都有助于加强系统的安全性 它能使得漏洞被及早发现,而漏洞迟早会被发现的扫描器可以满足很多人的好奇心扫描器除了能扫描端口,往往还能够 发现系统存活情况,以及哪些服务在运行 用已知的漏洞测试这些系统 对一批机器进行测试,简单的迭代过程 有进一步的功能,包括操作系统辨识、应用系统识别拒绝服务攻击简介拒绝服务攻击简介 DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单
9、但又很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。拒绝服务拒绝服务(Denial of Service) 回顾信息安全的三个主要需求: 保密性、完整性、可用性(availability) DoS是针对可用性发起的攻击 关于DoS 技术和原理都非常简单,并且已经工具化 难以防范,有些DoS可以通过管理的手段防止 DoS的动机 受挫折,无法攻入目标系统,最后一招: DOS 强行对方重启机器 恶意的破坏、或者报
10、复 网络恐怖主义 DoSDoS攻击的基本过程攻击的基本过程 我们可以看出DoS攻击的基本过程:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。DoS的危害的危害 使得正常的服务不能提供 案例:1996年9月,一家ISP(Public Access Networks)公司遭受拒绝服务达一周一上,拒绝对约6000多人和1000家公司提供Inte
11、rnet服务 政府网站 美国白宫的网站曾经遭受拒绝服务攻击 分布式拒绝服务 2000年2月,一批商业性质的Web站点收到了DDoS的攻击DoS的形式的形式 粗略来看,分为三种形式 消耗有限的物理资源 网络连接 带宽资源 其他资源,如磁盘空间、进程数 合法用户可登录尝试的次数有限,攻击者可以用掉这些尝试次数 修改配置信息造成DoS 比如,修改路由器信息,造成不能访问网络;修改NT注册表,也可以关掉某些功能 物理部件的移除,或破坏DoS的技术分类的技术分类从表现形式来看 带宽消耗 用足够的资源消耗掉有限的资源 利用网络上的其他资源(恶意利用Internet共享资源),达到消耗目标系统或网络的目的
12、系统资源消耗,针对操作系统中有限的资源,如进程数、磁盘、CPU、内存、文件句柄,等等 程序实现上的缺陷,异常行为处理不正确,比如Ping of Death 修改(篡改)系统策略,使得它不能提供正常的服务从攻击原理来看 通用类型的DoS攻击,这类攻击往往是与具体系统无关的,比如针对协议设计上的缺陷的攻击 系统相关的攻击,这类攻击往往与具体的实现有关 说明:最终,所有的攻击都是系统相关的,因为有些系统可以针对协议的缺陷提供一些补救措施,从而免受此类攻击DoS的技术历史的技术历史 早期的Internet蠕虫病毒 消耗网络资源 非法的TCP标志,SYN Flood,等 利用系统实现上的缺陷,点对点形式
13、 Ping of Death, IP分片重叠 分布式DoS(DDoS)攻击一些典型的一些典型的DoS攻击攻击 Ping of Death 发送异常的(长度超过IP包的最大值) SYN Flood 快速发送多个SYN包 UDP Flood Teardrop IP包的分片装配 Smurf 给广播地址发送ICMP Echo包,造成网络阻塞 Ping of Death 原理:直接利用ping包,即ICMP Echo包,有些系统在收到大量比最大包还要长的数据包,会挂起或者死机 受影响的系统:许多操作系统受影响 攻击做法 直接利用ping工具,发送超大的ping数据包 防止措施 打补丁 防火墙阻止这样的p
14、ing包防止防止DoS对于网络 路由器和防火墙配置得当,可以减少受DoS攻击的危险 比如,禁止IP欺骗可以避免许多DoS攻击 入侵检测系统,检测异常行为对于系统 升级系统内核,打上必要的补丁,特别是一些简单的DoS攻击,例如SYN Flooding 关掉不必要的服务和网络组件 如果有配额功能的话,正确地设置这些配额 监视系统的运行,避免降低到基线以下 检测系统配置信息的变化情况保证物理安全建立备份和恢复机制网络安全体系结构概述网络安全体系结构概述 1.安全体系的需求 2.常见的网络安全问题 3.网络攻击的手段 4.网络安全技术 5.安全方案与实施 6.安全标准及安全管理网络攻击的手段网络攻击的
15、手段v 病毒病毒v 特洛伊木马特洛伊木马v 口令入侵口令入侵v 网络欺骗网络欺骗v 邮件炸弹邮件炸弹v Sniffer(Sniffer(网络监听)网络监听)v 入侵攻击入侵攻击v 伪装伪装计算机病毒“为什么叫做病毒。首先,与医学上的”病毒“不同,它不是天然存在的,是某些人利用计算机软、硬件,编制具有特殊功能的程序。由于它与生物医学上的病毒同样有传染和破坏的特性,因此这一名词是由生物医学上的病毒概念引申而来计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒定义计算机病毒定义 那么究竟它是如何产生的呢?其过程
16、可分为:程序设计-传播-潜伏-触发、运行-实行攻击。究其产生的原因不外乎以下几种: 开个玩笑,一个恶作剧。 产生于个别人的报复心理。 用于版权保护。 用于特殊目的。病毒的产生病毒的产生计算机病毒的特点计算机病毒的特点1、传染性 这是计算机病毒的重要特征.计算机病毒进入计算机系统后,就会自动地开始寻找传染对象,并迅速传染给它,这里的对象可以是程序、磁盘或网络中的一个计算机系统。2、隐蔽性 病毒程序一般技巧性较高,它可用附加或插入的方法隐蔽在操作系统或可执行文件中,很难被发现.计算机病毒的特点计算机病毒的特点3、潜伏性 病毒进入计算机后一般不会立即发作,但在此期间,只要计算机系统工作就可以传染病毒
17、。一旦发作的条件成熟,这种潜伏性就会立即转化为破坏性。4、破坏性 这也是机算机病毒的重要特征,即降低计算机系统的工作效率,占用系统资源,其具体情况取决于入侵系统的病毒程序。这也是它的最终目的。典型病毒典型病毒CR II蠕虫感染主机全球超过30万台导致大量网络设备瘫痪Nimda蠕虫病毒 即尼姆达病毒,又叫概念(Concept)病毒,是一种通过网络传播的计算机病毒,它能利用多种传播途径对几乎所有Windows系统操作系统(包括Windows95/98/ME,NT和2000等)发动攻击。而且染毒的机器会自动向其他机器发动攻击和发送带毒的email,并造成网络堵塞。特征码扫描法 特征码扫描法是分析出病
18、毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底;但查杀病毒滞后,并且庞大的特征码库会造成查毒速度下降;目前广泛应用的目前广泛应用的3 3种种病毒防治技术技术虚拟执行技术 该技术通过虚拟执行方法查杀病毒,可以对付加密、变形、异型及病毒生产机生产的病毒,具有如下特点:在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”在虚拟机环境中虚拟执行(不会被实际执行)可疑带毒文件在执行过程中,从虚拟机环境内截获文件数据,如果含有可疑病毒代码,则杀毒后将其还原到原文件中,从而实现对各类可执行文件内病毒的查杀 文件实时
19、监控技术 通过利用操作系统底层接口技术,对系统中的所有类型文件或指定类型的文件进行实时的行为监控,一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径,但是这种技术的实现难度较大,系统资源的占用率也会有所降低。 特洛伊程序的由来 特洛伊程序是由编程人员创造的。它的作者都有着自己的意图。这种意图可以是任意的。但是基于在Internet的安全的前题,一个特洛伊程序将要做的是下列两件事中的一件(或两者兼有): 提供一些功能,这些功能可以泄露一些系统的私有信息给程序的作者或者控制该系统。 隐藏了一些功能,这些功能能够将系统的私有信息泄露给程序的作
20、者,或者能够控制该系统。特洛伊木马特洛伊木马 特洛伊程序代表哪一级别的危险? 特洛伊程序代表了一种很高级别的危险,主要是因为我们已经提到的几种原因: 特洛伊程序很难以被发现 在许多情况下,特洛伊程序是在二进制代码中发现的,它们大多数以无法阅读的形式存在 特洛伊程序可作用于许多机器中特洛伊木马程序 Back Orifice 工作于windows95/98,client/server结构,使被安装计算机能够从远程控制 冰河口令入侵口令入侵 口令不会被解开,多数口令加密过程都是单向、不可逆的。 但是可以使用仿真工具,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去取匹配原口令。口令入侵口
21、令入侵 破解的基础-字典 该文件是一个单词明码正文表 典型的对字典的替换规则 大小些交替使用 把单词正向、反向拼写后,接在一起(如cannac) 在每个单词的开头和结尾加上数字1网络欺骗网络欺骗IP欺骗 假冒他人的IP地址发送信息邮件欺骗 假冒他人的email地址发送信息Web欺骗 你能相信你所看到的信息吗?其他欺骗术 DNS欺骗 非技术性欺骗IP欺骗欺骗IP欺骗的动机 隐藏自己的IP地址,防止被跟踪 以IP地址作为授权依据 穿越防火墙IP欺骗的形式 单向IP欺骗:不考虑回传的数据包 双向IP欺骗:要求看到回传的数据包 更高级的欺骗:TCP会话劫持IP欺骗成功的要诀 IP数据包路由原则:根据目
22、标地址进行路由IP欺骗 IP欺骗就是伪造他人的源IP地址。其实质就是让一台机器扮演另一台机器。 常见的攻击过程 让被替代的机器A休眠 发现目标机器B的序列号规律 冒充机器A向机器B发出请求,算出机器应该发来什么序列号,给出机器B想要的回应。 这样就可以利用机器B对机器A的信任关系进行攻击。IP欺骗:改变自己的地址欺骗:改变自己的地址 用网络配置工具改变机器的IP地址 注意: 只能发送数据包 收不到回包 防火墙可能阻挡 在Linux平台上 用ifconfigIP欺骗IP欺骗的保护:主机保护,两种考虑 保护自己的机器不被用来实施IP欺骗 物理防护、登录口令 权限控制,不允许修改配置信息 保护自己的
23、机器不被成为假冒的对象网络防护 路由器上设置欺骗过滤器 入口过滤,外来的包带有内部IP地址 出口过滤,内部的包带有外部IP地址保护免受源路由攻击 路由器上禁止这样的数据包电子邮件欺骗的动机 隐藏发信人的身份,匿名信 挑拨离间,唯恐世界不乱 骗取敏感信息 欺骗的形式 使用类似的电子邮件地址 修改邮件客户软件的账号配置 直接连到smtp服务器上发信电子邮件欺骗成功的要诀 与邮局的运作模式比较 基本的电子邮件协议不包括签名机制电子邮件欺骗电子邮件欺骗电子邮件欺骗:使用类似的地址电子邮件欺骗:使用类似的地址发信人使用被假冒者的名字注册一个账号,然后给目标发送一封正常的信我是你的上司XX,请把XXX发送
24、给我我在外面度假,请送到我的个人信箱他(她)能识别吗?邮件欺骗的保护邮件欺骗的保护邮件服务器的验证 Smtp服务器验证发送者的身份,以及发送的邮件地址是否与邮件服务器属于相同的域 验证接收方的域名与邮件服务器的域名是否相同 有的也验证发送者的域名是否有效,通过反向DNS解析不能防止一个内部用户假冒另一个内部用户发送邮件审核制度,所有的邮件都有记录 隐私?Web是应用层上提供的服务,直接面向Internet用户,欺骗的根源在于由于Internet的开放性,任何人都可以建立自己的Web站点Web站点名字(DNS域名)可以自由注册,按先后顺序并不是每个用户都清楚Web的运行规则Web欺骗的动机商业利
25、益,商业竞争政治目的Web欺骗的形式使用相似的域名改写URL劫持Web会话Web欺骗欺骗使用类似的域名使用类似的域名 注册一个与目标公司或组织相似的域名,然后建立一个欺骗网站,骗取该公司的用户的信任,以便得到这些用户的信息 例如,针对ABC公司,用来混淆 如果客户提供了敏感信息,那么这种欺骗可能会造成进一步的危害,例如: 用户在假冒的网站上订购了一些商品,然后出示支付信息,假冒的网站把这些信息记录下来(并分配一个cookie),然后提示:现在网站出现故障,请重试一次。当用户重试的时候,假冒网站发现这个用户带有cookie,就把它的请求转到真正的网站上。用这种方法,假冒网站可以收集到用户的敏感信
26、息。 对于从事商业活动的用户,应对这种欺骗提高警惕改写改写URL 一个HTTP页面从Web服务器到浏览器的传输过程中,如果其中的内容被修改了的话,则欺骗就会发生,其中最重要的是URL改写 URL改写可以把用户带到不该去的地方,例如: Welcom to Hollywood-Movie site. 有一些更为隐蔽的做法 直接指向一些恶意的代码 把url定向放到script代码中,难以发现 改写页面的做法 入侵Web服务器,修改页面 设置中间http代理 在传输路径上截获页面并改写 在客户端装载后门程序 Web会话劫持会话劫持 HTTP协议不支持会话(无状态),Web会话如何实现? Cookie
27、用url记录会话 用表单中的隐藏元素记录会话 Web会话劫持的要点在于,如何获得或者猜测出会话ID防止防止Web欺骗欺骗 使用类似的域名 注意观察URL地址栏的变化 不要信任不可靠的URL信息 改写URL 查看页面的源文本可以发现 使用SSL Web会话劫持 养成显式注销的习惯 使用长的会话ID Web的安全问题很多,我们需要更多的手段来保证Web安全防止防止Web欺骗欺骗 使用类似的域名 注意观察URL地址栏的变化 不要信任不可靠的URL信息 改写URL 查看页面的源文本可以发现 使用SSL Web会话劫持 养成显式注销的习惯 使用长的会话ID Web的安全问题很多,我们需要更多的手段来保证
28、Web安全关于欺骗技术关于欺骗技术 从这些欺骗技术,我们可以看到 IP协议的脆弱性 应用层上也缺乏有效的安全措施 在网络攻击技术中,欺骗术是比较初级的,技术含量并不高,它是针对Internet中各种不完善的机制而发展起来的 非技术性的欺骗 比如,实施社会工程 毕竟网络世界与现实世界是紧密相关的 避免被欺骗最好的办法是教育、教育、再教育 增强每一个Internet用户的安全意识,网络管理人员以及软件开发人员的安全意识更加重要会话会话(交易交易)劫持劫持 在现实环境中,比如对于银行一笔交易如果营业员检查了顾客的身份证和账户卡抬起头来,发现不再是刚才的顾客他会把钱交给外面的顾客吗?在网络上没有人知道
29、你是一条狗TCP会话劫持会话劫持 欺骗和劫持 欺骗是伪装成合法用户,以获得一定的利益 劫持是积极主动地使一个在线的用户下线,或者冒充这个用户发送消息,以便达到自己的目的 动机 Sniffer对于一次性密钥并没有用 认证协议使得口令不在网络上传输 会话劫持分两种 被动劫持,实际上就是藏在后面监听所有的会话流量。常常用来发现密码或者其他敏感信息 主动劫持,找到当前活动的会话,并且把会话接管过来。迫使一方下线,由劫持者取而代之,危害更大,因为攻击者接管了一个合法的会话之后,可以做许多危害性更大的事情会话劫持示意图会话劫持示意图被劫持者A服务器B1 A远程登录,建立会话,完成认证过程攻击者H2 监听流
30、量3 劫持会话4 迫使A下线如何防止会话劫持如何防止会话劫持 部署共享式网络,用交换机代替集线器 TCP会话加密 防火墙配置 限制尽可能少量的外部许可连接的IP地址 检测 ACK包的数量明显增加邮件炸弹邮件炸弹是指发送大量的垃圾邮件造成对方收发电子邮件的困难。如果是ISP(Internet服务器提供商,例如当地数据通讯局)的收费信箱,会让用户凭空增加不少使用费;如果是Hotmail的信箱就造成用户账号被查封;其他的免费信箱可能造成正常邮件的丢失(因为信箱被垃圾邮件填满并超出原定容量,服务器会把该信箱的邮件全部删除)邮件炸弹攻击方法邮件炸弹攻击方法 直接轰炸,使用一些发垃圾邮件的专用工具,通过多
31、个SMTP服务器进行发送。这种方法的特点是速度快,直接见效。 使用“电邮卡车”之类的软件,通过一些公共服务的服务器对信箱进行轰炸。这种轰炸方式很少见,但是危害很大。攻击者一般使用国外服务器,只要发送一封电子邮件,服务器就可能给被炸用户发成千上万的电子邮件,用户只好更换新的信箱。 给目标电子信箱订阅大量的邮件广告。Sinffer Sniffer既可以是硬件,也可以是软件,它用来接收在网络上传输的信息。 Sniffer成为一种很大的危险,因为: 它们可以截获口令 它们可以截获秘密的或专有的信息 它们可以被用来攻击相邻的网络Sinffer Sniffer代表着什么级别的危险 Sniffer可以截获的
32、不仅仅是用户的ID和口令。它可以截获敏感的经济数据(如信用卡号)、秘密的信息(E-mail)和专有信息。基于入侵者可利用的资源,一个Sniffer可能截获网络上所有的信息。Sinffer 检测和消灭嗅探器 会话加密 将数据隐藏,使嗅探器无法发现 加密 你最关心的可能是传输一些比较敏感的数据,如用户ID或口令等等。有些数据是没有经过处理的,一旦被sniffer,就能获得这些信息。解决这些问题的办法是加密(例如SSL)。社会工程社会工程 有时软件并非是系统中最薄弱的环节;有时周围基础结构是系统的最薄弱环节。例如,请考虑社会工程,因为这是攻击者使用社会工作环节来闯入系统的时机。通常,服务中心将接到一
33、个来自听起来挺诚挚的用户的电话,该用户会说服服务专业人员给出本不该泄露的密码,或一些其它应该保密的信息,通过这些信息来发动攻击。通常很容易发动这种攻击。安全问题的趋势:混合型攻击v 整合了病毒和黑客的攻击技术v 不需要借助社会工程进行传播和攻击v 能够自动发现并自动感染和攻击 v 两个例子:CodeRed 和 Nimdav 传播速度极快,有可能在20分钟之内感染整个Internetv 不需要人工干预,利用软件漏洞进行自动攻击v 攻击程序的破坏性更强依靠单个产品和某一种安全技依靠单个产品和某一种安全技术都不能进行有效防护!术都不能进行有效防护!网络安全体系结构概述网络安全体系结构概述 1.安全体
34、系的需求 2.常见的网络安全问题 3.网络攻击的手段 4.网络安全技术 5.安全方案与实施 6.安全标准及安全管理网络安全技术网络安全技术 防火墙技术 入侵检测技术 网络安全评估系统 虚拟专用网VPN技术 IPSec 安全备份和系统灾难恢复防火墙技术防火墙技术 防火墙是位于两个或多个网络间,实施网间访问控制的计算机和网络设备的集合,它满足以下条件: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙的作用 强化安全策略 有效地记录Internet上的活动 隔离不同网络,限制安全问题扩散 是一个安全策略的检查站防火墙防火墙基本概念内部网内部网防火墙技术防
35、火墙技术 防火墙的基本设计目标 对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为防火墙的功能防火墙的功能 定义一个必经之点 挡住未经授权的访问流量 禁止具有脆弱性的服务带来危害 实施保护,以避免各种IP欺骗和路由攻击 防火墙提供了一个监视各种安全事件的位置,所以,可以在防火墙上实现审计和报
36、警 对于有些Internet功能来说,防火墙也可以是一个理想的平台,比如地址转换,Internet日志、审计,甚至计费功能 防火墙可以作为IPSec的实现平台防火墙操作层次防火墙操作层次防火墙类型防火墙类型 包过滤路由器 应用层网关 电路层网关包过滤路由器包过滤路由器基本的思想很简单 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包 往往配置成双向的如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则,则根据此规则决定转发或者丢弃 如果所有
37、规则都不匹配,则根据缺省策略安全缺省策略安全缺省策略 两种基本策略,或缺省策略 没有被拒绝的流量都可以通过 管理员必须针对每一种新出现的攻击,制定新的规则 没有被允许的流量都要拒绝 比较保守 根据需要,逐渐开放网络层链路层物理层外部网络内部网络包过滤路由器示意图包过滤路由器示意图包过滤防火墙的优点包过滤防火墙的优点速度快灵活可以封锁拒绝服务及相关攻击实现简单,对用户透明是置于与不可信网络相连的最外边界之理想设备包过滤防火墙的缺点包过滤防火墙的缺点 不能阻止利用具体应用的弱点或功能的攻击 正确制定规则并不容易 不支持高级用户鉴别方案 不能有效防止网络地址假冒攻击 容易受配置不当的影响 包过滤路由
38、器 应用层网关 电路层网关防火墙类型防火墙类型 也称为代理服务器 特点 所有的连接都通过防火墙,防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全,但是开销比较大应用层网关应用层网关应用层网关的结构示意图应用层网关的结构示意图应用层网关的优缺点应用层网关的优缺点 优点 允许用户“直接”访问Internet 易于记录日志 缺点 新的服务不能及时地被代理 每个被代理的服务都要求专门的代理软件 客户软件需要修改,重新编译或者配置 有些服务要求建立直接连接,无法使用代理 比如聊天服务、或者即时消息服务 代理服务不能避免协议
39、本身的缺陷或者限制 包过滤路由器 应用层网关 电路层网关防火墙类型防火墙类型 本质上,也是一种代理服务器 有状态的包过滤器 动态包过滤器 状态 上下文环境 流状态 认证和授权方案 例子:socks电路层网关电路层网关电路层网关的优缺点电路层网关的优缺点 优点 效率高 精细控制,可以在应用层上授权 为一般的应用提供了一个框架 缺点 客户程序需要修改(要求链接到socks library)防火墙本身的一些局限性防火墙本身的一些局限性 对于绕过防火墙的攻击,它无能为力,例如,在防火墙内部通过拨号出去 防火墙不能防止内部的攻击,以及内部人员与外部人员的联合攻击(比如,通过tunnel进入) 防火墙不能
40、防止被病毒感染的程序或者文件、邮件等网络安全技术网络安全技术 防火墙技术 入侵检测技术 网络安全评估系统 虚拟专用网VPN技术 IPSec 安全备份和系统灾难恢复IDS: Intrusion Detection SystemIDS: Intrusion Detection System 入侵检测系统介绍 入侵检测系统分类 入侵检测系统用到的一些技术 入侵检测系统的研究和发展入侵检测入侵检测 ( (IDS)IDS) 防火墙和IDS是网络安全中互为补充的两项工具 实时监控网络流量检查审计信息,寻找入侵活动当发现入侵特征后,告警 IDS通常很昂贵,会产生相当多的误报IDSIDS的功能的功能IDS通常
41、执行以下任务 监视分析用户及系统活动 系统构造和弱点的审计 识别反映已知进攻的活动模式并报警 异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理并识别用户违反安全策略的行为 防火墙不能防火墙不能:抵挡来自内部的攻击防止“社会工程”防范绕过防火墙的攻击。内部提供拨号服务病毒威胁扫描器:好与坏扫描器:好与坏提供行动计划和依据需要资源修复漏洞修复漏洞的同时又出现其他漏洞无法确定与某一特定应用相关的 为什么需要入侵检测IDS的用途攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞扫描评估加固攻击过程攻击过程实时入侵检测 入侵检测系统的实现过程入侵检测系统的实
42、现过程 信息收集,来源: 网络流量 系统日志文件 系统目录和文件的异常变化 程序执行中的异常行为 信息分析 模式匹配 统计分析 完整性分析,往往用于事后分析入侵检测系统的通用模型入侵检测系统的通用模型数据源模式匹配器系统轮廓分析引擎数据库入侵模式库异常检测器响应和恢复机制入侵检测系统的分类入侵检测系统的分类 IDS一般从实现方式上分为两种基于主机的IDS和基于网络的IDS ,一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统 基于主机 安全操作系统必须具备一定的审计功能,并记录相应的安全性日志 基于网络 IDS可以放在防火墙或者网关的后面,以网络嗅探器的形式捕获所有的
43、对内对外的数据包基于网络的基于网络的IDS基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,IDS应答模块通过通知报警以及中断连接等方式来对攻击作出反应基于网络的入侵检测系统的主要优点有 1 成本低 2 攻击者转移证据很困难 3 实时检测和应答。一旦发生恶意访问或攻击基于网络的IDS检测可 以随时发现它们因此能够更快地作出反应从而将入侵活动对系统的破坏减到最低 4 能够检测未成功的攻击企图 5 操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能
44、发挥作用基于主机的基于主机的IDSIDS 基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任何变化IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话检测系统就向管理员发出入侵报警并且发出采取相应的行动 基于主机的IDS的主要优势有 (1)非常适用于加密和交换环境 (2)接近实时的检测和应答 (3)不需要额外的硬件异常检测(anomaly detection) 也称为基于行为的检测 首先建立起用户的正常使用模式,即知识库 标识出不符合正常模式的行为活动 难点正常模式的知识库难以建立难以明确划分正常模式和
45、异常模式误用检测(misuse detection) 也称为基于特征的检测 建立起已知攻击的知识库 判别当前行为活动是否符合已知的攻击模式 难点:如何做到动态更新,自适应IDS的技术的技术IDSIDS的两个指标的两个指标漏报率 指攻击事件没有被IDS检测到误报率(false alarm rate) 把正常事件识别为攻击并报警 误报率与检出率成正比例关系0 检出率(detection rate) 100%100%误报率IDSIDS与响应和恢复技术与响应和恢复技术 IDS属于检测的环节,一旦检测到入侵或者攻击,必须尽快地做出响应,以保证信息系统的安全 IDS的响应机制,可以从基本的管理角度来考虑,
46、也可以从技术角度来实施,包括与其他防护系统的互操作,比如防火墙 对于一个企业而言,IDS与DRP(Disaster Recovery Planning)需要一起来制订和实施 DRP包括 业务影响分析(BIA, Business Impact Analysis) 数据必须定期备份 信息系统的根本目的是提供便利的服务 灾难评估 明确责任人 防火墙技术 入侵检测技术 网络安全评估系统 虚拟专用网VPN技术 IPSec 安全备份和系统灾难恢复网络安全技术网络安全技术无法量化的东西是无法管理的!什么是风险评估什么是风险评估? ? “我我们们有多安全?有多安全?”v 查找已知的弱点与漏洞v 检查制定的安全
47、策略是否被执行v 检验已实施的安全策略的有效性v 提供有效的建议方案v 自动修复s 评估企业范围内的安全风险和漏洞 (包括网络)s 检测违反安全策略的行为s 确保企业安全策略的一致性s 提供全企业范围内的、集成的安全管理构架风险评估的作用风险评估的类型风险评估的类型1 1、基于主机(、基于主机(Host-BasedHost-Based)2 2、基于网络(基于网络(Network-BasedNetwork-Based)Host-Based 评估由內而外的角度在每台系统上详细检查可能的风险可产生整个网络的安全评估报告调度定期执行,对网络冲击极小Host-Based 评估些什么? 口令強度 帐号配置
48、 网络参数 NT RAS http ftp telnet 其他网络 port 与问题 文件保护配置 Patch 等级太旧 特定 O/S 问题 Windows NT registry NetWare NDS 问题 UNIX suid 文件系统漏洞扫描数据库漏洞扫描Network-Based 评估 由外而內的观点 以黑客的角度来检测网络 无法提供用户使用不当的风险评估 可针对无法部署 host 软件的网络设备进行评估,如:routers,switches, 网络打印机,网络存储设备等。网络漏洞扫描集成基于主机&基于网络安全评估* Inside-the-system point of view* E
49、mployees are cause of 80% of info sec crime* View systems from local privileged perspective* Scalability* High-level summaries to convey status * Scheduled, safe assessments* Minimal impact to network and performance* Unobtrusive to end users* Highest levels of confidence in accuracy * View network
50、from external perspective* Periodic checks to understand “hackers” view* Quick turn around time on scans* Often can include more “out-of-the-box” checks* Ease of implementation and use* Test critical network devices that do not run hostsoftware like routers, switches, firewalls 防火墙技术 入侵检测技术 网络安全评估系统
