1、网络安全基础培训内容纲要 网络安全概述网络安全概述 网络安全现状 网络不安全的原因 网络攻击介绍网络攻击介绍 网络入侵者 入侵动机 网络攻击手段 入侵步骤 防御措施防御措施 防火墙技术 漏洞扫描技术 入侵检测技术 VPN技术 防病毒软件网络安全概述随着Internet的迅速普及与发展,人们利用网络把孤立的单机系统连接起来,相互通信和共享资源,给生活与工作带来了极大的方便。但是,随之而来并日益严峻的问题是计算机信息的安全问题。由于计算机信息有共享和易扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒
2、的感染。网络安全现状 根据权威机构统计,现在平均每20秒就发生一起Internet入侵事件。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.70亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的 目前已知的黑客攻击方法就有四千多种网络系统目前存在的威胁网络系统目前存在的威胁电子谍报蠕虫程序特洛伊木马黑客攻击信息丢失、篡改、销毁后门、隐蔽通道计算机病毒拒绝服务攻击内部、外部泄密网络不安全的原因 自身缺陷自身缺陷+开放性开放性+黑客攻击黑客攻击 业务不安全 协议不安全业务基于公开的协议远程访问使得各种攻击无需到现场就能得手连接是基于主机上的社团彼此信任的原则历史原因
3、从网络互联协议的本质上讲:Internet从建立开始就缺乏安全的总体构想和设计 TCP/IP协议由于最初应用于军事,是为专有网络设计的;认为网络是安全的、可信的,缺乏安全措施的考虑。在新的IPV6协议中通过增加身份验证头(AH)和封装安全性净荷(ESP)头来实现身份验证和安全性。系统缺陷 Windows 操作系统的安全 Unicode漏洞、.RPC漏洞、FrontPage服务器扩展和.Printer漏洞等 下面的URL可能列出当前目录的内容 http:/www.目标机.com/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dirUnix操作系统的安全 S
4、endmail,rlogin,rsh漏洞应用程序安全 SQL Server 2000 存在严重的拒绝服务和缓冲溢出缺陷去年横扫全球的SQLSlammer 蠕虫病毒就是利用SQL服务的UDP1434端口进行传播,感染病毒的机器将不断向外发送这种udp数据报造成网络堵塞。人为原因 人为的无意失误 如操作人员安全安全意识不强,管理员口令设置简单,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击 这是计算机网络所面临的最大威胁,对手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,
5、它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。网络攻击介绍 网络的入侵者网络的入侵者 黑客入侵动机黑客入侵动机 入侵步骤入侵步骤 常见网络攻击手段及工具常见网络攻击手段及工具 网络攻击原理网络攻击原理网络的入侵者 Phreaking(飞客)Hacker(黑客)Cracker(垮客)Phreaking(飞客)飞客是最古老的网络入侵者,他们通过电话用户线,使用特殊的设备和信号欺骗电话交换机,使电话交换机按照飞客的意图操作。Hacker(黑客)有这样一群计算机的爱好者,他们分析系统的原理和实现,为系统挑出缺陷和漏洞,从而进一步完善系统。InternetCracker(垮客
6、)Cracker的攻击和入侵是恶意的,他们试图使系统停止工作或停止服务,通过入侵,他们窃取信息,并以此赚钱。黑客入侵动机 攻击的动机 出于政治目的、商业目的 出于好奇或者满足虚荣心 从技术上讲,黑客入侵的动机是成为目标主机的主人。只有获得了一台网络主机的超级用户权限后才能在该主机上修改资源配置、安置“特洛伊”程序、隐藏行踪、执行任意进程等等。什么导致黑客入侵 漏洞 系统漏洞(操作系统本身的漏洞)人为因素(过于简单的口令)后门 由系统开发人员留下的用于调试或其他目的的系统后门 攻击者留下的特洛伊木马 对外提供的服务 没有开启任何服务的主机绝对是安全的主机黑客入侵的步骤第一步:寻找目标主机并分析目
7、标主机。此时,黑客们常会使用一些扫描器工具,轻松获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料,为入侵作好充分的准备。第二步:获取帐号和密码,登录主机。第三步:得到超级用户权限,控制主机。在进入目标主机后,黑客一般是不会就此罢手的,因为普通用户的权限实在有限,所以他们就要想方设法获得超级用户权力,然后做该主机的主人。第四步:打扫战场,隐藏自己。入侵目的任务完成后,便会清除日志、删除拷贝的文件等手段来隐藏自己的踪迹。黑客常用攻击手段 X VPN通道通道 系统弱密码入侵利用CGI/IIS漏洞入侵Buffer Overf
8、low入侵DOS/DDOS攻击IP Spoof入侵网络监听(sniffer)数据库弱密码入侵Sql Injection入侵利用PHP程序漏洞入侵其它其它黑客攻击常用工具Bonk通过发送大量伪造的UDP数据包导致系统重启动 TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃 SynFlood通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动 Bloop 通过发送大量的ICMP数据包导致系统变慢甚至凝固 Jolt 通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动 扫描器(SCANNER)什么是扫描器 扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用
9、扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。扫描器能告诉我们什么?扫描器能够发现目标主机某些内在弱点,这些弱点可能是破坏目标主机安全性的关键性因素。常见的扫描器X-Scan(Windows系统下的漏洞扫描工具)扫描远程主机的许多已知的漏洞及服务端口检测NT、SQL、FTP、SMTP、POP3服务的弱口令检测CGI、IIS编码/解码漏洞Nessus(网络评估软件)采用了基于多种安全漏洞的扫描,避免了扫描不完整的情况扩展性强、容易使用、功能强大,可以扫描出多种安全漏洞 Unix服务端,unix/windows客户端http:/www.nessus.org流
10、光(NT扫描工具)可以扫描NT的漏洞、服务、端口http:/ Mscan(Linux下漏洞扫描器)可以扫描NT/Unix多种漏洞http:/ 口令入侵口令安全的测试自己的姓名中文拼音37%常用英文单词23%计算机的中经常出现的单词18%自己的出生日期7%良好的密码15%安全口令的现状安全口令的现状口令入侵 口令破解口令破解 Unix口令通常限制在8位以内,56位密钥加密 john:Xd3rTCvtDs5/W:9999:13:John Smith:/home/john:/bin/sh NT口令通常限制在14位以内 口令破解的时间口令破解的时间 Unix口令6位小写字母穷举:36小时8位小写字母穷
11、举:3年 NT口令8位小写字母及数字穷举,时间通常不超过30小时窃听器(SNIFFER)窃听原理它可以截获口令等非常秘密的或专用的信息,甚至还可以用来攻击相邻的网络,它本身完全只是被动地接收数据监听局域网中的广播式通信。常用端口 ftp21 http80 pop3110 telnet23 常用窃听器 Sniffer NetXRay特洛伊木马(Trojan Horse)木马,又名特洛伊木马,其名称取自古希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己、加载运行的目的。比如冰河、NetSpy 木马的激
12、活方式 在Win.ini中启动 修改文件关联属性 在System.ini中启动 拒绝服务(DoS)什么是DOS攻击?Denial of service 攻击通过大量通信量使企业网络或电子商务网站瘫痪。类似于几百个人同时拨一个电话,导致电话繁忙和不可用。这些攻击也会发送一些“特殊”的包,使远程的软件或服务瘫痪。这类攻击往往发送大量无用的包如SYN或PING。利用量导致拒绝服务Email炸弹:它是一种简单有效的侵扰工具.它反复传给目标接收者相同的信息,用这些垃圾拥塞目标的个人邮箱.可以使用的工具非常多,例如bomb02.zip(mail bomber),运行在windows平台上,使用非常简单.利
13、用系统缺陷导致拒绝服务 SYN floodPing of DeathTear DropIP Spoofing-IP Source route-WinNuke等 SYN flood原理攻击者伪造源地址,发出Syn请求利用三次握手,建立半连接,耗尽系统资源。服务器上所有服务都不能正常使用Syn 伪造源地址(1.1.1.1)IP:211.100.23.11.1.1.1(TCP连接无法建立,造成TCP等待超时)Ack 大量的伪造数据包发向服务器端分布式拒绝服务(DDoS)黑客控制了多台服务器,通过多个地点同时向被攻击的网站发出大量信息,使其超出该网站自身的负荷能力而“无法对用户提供正常服务”网络安全防
14、御措施 防火墙技术防火墙技术 漏洞扫描漏洞扫描 入侵检测入侵检测 VPNVPN技术技术 防病毒软件防病毒软件防火墙技术 网关 包过滤 状态检查 地址转换 SNAT/DNAT/PAT DMZ 访问控制漏洞扫描 漏洞检测 报告服务进程 提取对象信息 评测风险 提供安全建议和改进措施 最大可能的消除安全隐患入侵检测/入侵保护(IPS)入侵保护是实时网络违规自动识别自动识别和响应响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方(如网络系统中涉密重要部门、Internet互连出口处),通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。
15、当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。入侵检测系统与防火墙的结合使用,可以形成主动性的安全防御措施。VPN概述VPN的定义:Virtual Private Network是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络,这里所指的公用网络有多种,包括IP网络、帧中继网络和ATM网络等。VPN可分为三大类:(1)企业各部门与远程分支之间的Intranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN;(3)企业与合作
16、伙伴、客户、供应商之间的Extranet VPN。VPN的构成IP网络ISP二层隧道三层隧道VPN网关VPN网关局域网局域网远程用户VPN技术 常见的VPN协议 第二层隧道:PPTP(Microsoft,3COM,Ascend.)Point to Point Tunneling Protocol,点对点隧道协议 L2F(Cisco,北电)Layer 2 Forwarding,二层转发协议 L2TP(Microsoft,Ascend,Cisco,3COM)Layer 2 Tunneling Protocol,二层隧道协议 第三层隧道:IPSec隧道、IPIP隧道、GRE隧道 IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式,VPN的典型应用INTERNETVPN网关VPN网关VPN网关移动用户VPNVPNVPN防病毒软件 防病毒现状 形成全方位病毒防御体系 建立分层病毒管理机制 “层层防护、集中控管”防病毒管理体系 可操作性 统一性和强制性 全局性 动态性 管理与技术融合 职责分明 制度化 卡巴斯基瑞星趋势诺顿熊猫卫士
