【正文】 服務(wù)器安全防范體系 2022年 11月 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:2 培訓(xùn)目錄 ? 第一講： 安全基礎(chǔ)知識(shí) ? 第二講： 服務(wù)器安全規(guī)范 ? 第三講： 操作系統(tǒng)安全 ? 第四講： 常見(jiàn)應(yīng)用安全 ? 第五講 ：操作實(shí)踐 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:3 《 安全基礎(chǔ)知識(shí) 》 主要內(nèi)容 (1) ? 信息安全的概念 ? 安全問(wèn)題產(chǎn)生的根源 ? 安全漏洞的威脅 ? 常見(jiàn)的攻擊方式 – 掃描： 掃描目的、使用工具獲取信息 – 網(wǎng)絡(luò)監(jiān)聽(tīng)： 監(jiān)聽(tīng)原理與作用 – 拒絕服務(wù)： Syn Flood、 udp Flood、 Icmp Flood – 木馬： 木馬的概念、入侵途徑、隱藏方式、特洛依木馬簡(jiǎn)介 – SQL注入： 講解 SQL注入的思路與過(guò)程，防范 SQL注入的方法 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:4 《 安全基礎(chǔ)知識(shí) 》 主要內(nèi)容 (2) ? 主要安全技術(shù) – 防火墻技術(shù)簡(jiǎn)介： ? 包過(guò)濾、應(yīng)用層網(wǎng)關(guān)、狀態(tài)檢測(cè)、優(yōu)缺點(diǎn) – 入侵檢測(cè)技術(shù)簡(jiǎn)介 ? 主機(jī)入侵檢測(cè)、網(wǎng)絡(luò)入侵檢測(cè) – 掃描技術(shù)簡(jiǎn)介 ? 掃描器分類、工作原理、端口掃描 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:5 《 服務(wù)器安全規(guī)范 》 主要內(nèi)容 (1) ? 服務(wù)器維護(hù)安全規(guī)范 – 口令安全 – 訪問(wèn)控制 – 安全責(zé)任的劃分 – 安全檢查 – 服務(wù)器上禁止操作行為 – 系統(tǒng)日志管理 – 安全隱患通告 – 系統(tǒng)安全設(shè)置的問(wèn)題 ? 補(bǔ)丁管理流程 – Autoup/Octopod簡(jiǎn)介、對(duì)比 – 補(bǔ)丁的下載、測(cè)試、上傳、分發(fā)過(guò)程 – 補(bǔ)丁光盤的制作 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:6 《 服務(wù)器安全規(guī)范 》 主要內(nèi)容 (2) ? 目前采取的安全措施簡(jiǎn)介 – 日常監(jiān)控、補(bǔ)丁管理、訪問(wèn)控制 – 主機(jī)安全配置、安全檢查 – 漏洞掃描、漏洞跟蹤與分析、安全通告 – 安全控管 (octopod)、 HIDS、防病毒 – 備份、日志集中 ? 典型安全事件 – 介紹兩個(gè)公司發(fā)生過(guò)的安全事件 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:7 《 操作系統(tǒng)安全 》 主要內(nèi)容 (1) ? Windows系統(tǒng)安全 – Windows安全特性 – 內(nèi)建帳號(hào)，內(nèi)建組、 SAM 、 SID – NTFS、用戶權(quán)利、權(quán)限、共享權(quán)限 – Windows系統(tǒng)服務(wù)與進(jìn)程、日志系統(tǒng) – Windows安裝配置過(guò)程（介紹安全原則性的內(nèi)容） 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:8 《 操作系統(tǒng)安全 》 主要內(nèi)容 (2) ? Linux系統(tǒng)安全 – Linux帳號(hào)安全、口令安全 – 用戶與 UID、用戶組與 GID – 文件類型、文件的權(quán)限 – 加強(qiáng) Linux安全的幾點(diǎn)建議 ? 關(guān)閉不必要的服務(wù)、遠(yuǎn)程維護(hù) openssh ? 啟用 syslog、升級(jí)主要應(yīng)用 ? 查看登錄情況、網(wǎng)絡(luò)連接、進(jìn)程、系統(tǒng)資源 ? iptables策略 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:9 《 常見(jiàn)應(yīng)用安全 》 主要內(nèi)容 (1) ? Web安全（ IIS) – 概述、漏洞、 IIS組件的安裝 – IIS安全加固 ? 刪除：默認(rèn)站點(diǎn)、示例文件、默認(rèn)腳本、無(wú)用腳本映射 ? IIS工作目錄修改、啟用 web日志、更改日志路徑 ? Web站點(diǎn)權(quán)限設(shè)置、 500錯(cuò)誤重定向 ? 禁用 WebDav、啟用 ipsec保護(hù) 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:10 《 常見(jiàn)應(yīng)用安全 》 主要內(nèi)容 (2) ? 數(shù)據(jù)庫(kù)安全 (SQL Server 2022) – 補(bǔ)丁管理 ? 新裝數(shù)據(jù)庫(kù)服務(wù)器的補(bǔ)丁要求 ? 老數(shù)據(jù)庫(kù)服務(wù)器的補(bǔ)丁要求 – 口令策略 – 數(shù)據(jù)庫(kù)日志 – 去除部分危險(xiǎn)擴(kuò)展存儲(chǔ)過(guò)程 – 數(shù)據(jù)庫(kù)的端口保護(hù) 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:11 《 操作實(shí)踐 》 主要內(nèi)容 ? 講解、演示以下內(nèi)容： – 服務(wù)器安全配置過(guò)程（依據(jù)服務(wù)器安全規(guī)范要求） ? 更改、刪除帳號(hào) ? 啟用安全日志 ? 網(wǎng)絡(luò)安全設(shè)置 ? Winchk/autoup配置安裝 ? Octopod功能介紹、基本操作 ? NetView功能介紹、基本操作 ? Syslog與 Hids初始化操作 ? 在命令行下配置 IPSEC 安全基礎(chǔ)知識(shí) 網(wǎng)絡(luò)安全部 2022年 11月 2022年 2月 5日 安全基礎(chǔ)知識(shí) 主要內(nèi)容 ? 信息安全的概念 ? 安全問(wèn)題產(chǎn)生的根源 ? 安全漏洞的威脅 ? 常見(jiàn)的攻擊方式 ? 主要的安全技術(shù) 2022年 2月 5日 安全基礎(chǔ)知識(shí) 信息安全概念 ? 信息安全的含義 – 保證信息內(nèi)容在傳儲(chǔ)、傳輸和處理各環(huán)節(jié)的機(jī)密性、完整性和可用性 – 對(duì)信息的傳播及內(nèi)容具有控制能力 – 不受偶然的或者惡意的原因而遭到破壞、更改、泄露 – 保證信息系統(tǒng)連續(xù)可靠的運(yùn)行 – 網(wǎng)絡(luò)服務(wù)不中斷 2022年 2月 5日 安全基礎(chǔ)知識(shí) 安全問(wèn)題產(chǎn)生的根源 ? 網(wǎng)絡(luò)建設(shè)之初忽略了安全問(wèn)題 ? TCP/IP協(xié)議本身缺乏安全性 ? 操作系統(tǒng)及應(yīng)用自身存在的漏洞 ? 操作系統(tǒng)及應(yīng)用不安全的配置 ? 來(lái)自內(nèi)網(wǎng)用戶的安全威脅 ? 缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)的安全性 ? 郵件病毒、 Web頁(yè)面中中惡意 Java/ActiveX控件 ? 代碼中存在安全漏洞 ? 管理中存在的安全問(wèn)題 2022年 2月 5日 安全基礎(chǔ)知識(shí) 安全漏洞 ? 漏洞的概念 – 在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng) ? 可能存在于 ? 網(wǎng)絡(luò)設(shè)備：交換機(jī)、路由器的 IOS存在的漏洞、配置錯(cuò)誤 ? 操作系統(tǒng)： Windows、 Unix/Linux存在的漏洞 ? 應(yīng)用服務(wù)： IIS、 Apache、 Serv_u存在的漏洞 ? 網(wǎng)絡(luò)協(xié)議： TCP/IP存在的缺陷 ? 應(yīng)用程序：用 C、 C++、 ASP、 PHP代碼中 ? …… 2022年 2月 5日 安全基礎(chǔ)知識(shí) 漏洞帶來(lái)的威脅 ? 如果攻擊者獲得了一般用戶的訪問(wèn)權(quán)限，那他就很有可能再通過(guò)利用本地漏洞把自己提升為管理員權(quán)限： ?遠(yuǎn)程管理員權(quán)限 ?本地管理員權(quán)限 ?普通用戶訪問(wèn)權(quán)限 ?權(quán)限提升 ?讀取受限文件 ?遠(yuǎn)程拒絕服務(wù) ?本地拒絕服務(wù) ?遠(yuǎn)程非授權(quán)文件存取 ?口令恢復(fù) ?欺騙 ?服務(wù)器信息泄露 ?其它 2022年 2月 5日 安全基礎(chǔ)知識(shí) 黑客攻擊典型步驟 漏洞分析 實(shí)施攻擊 exploit 消除證據(jù) 留下后門 收集信息 掃描 2022年 2月 5日 安全基礎(chǔ)知識(shí) 常見(jiàn)的攻擊方式 ? 掃描 ? 網(wǎng)絡(luò)監(jiān)聽(tīng) ? DoS與 DDoS攻擊 ? 特洛依木馬 ? SQL 注入 2022年 2月 5日 安全基礎(chǔ)知識(shí) 通過(guò)掃描獲取信息 ? 收集目標(biāo)服務(wù)器的信息 – 開(kāi)放的端口和應(yīng)用 – 操作系統(tǒng)類型 – 用戶帳號(hào)信息 – 系統(tǒng)的漏洞 – 應(yīng)用的漏洞 – …… 2022年 2月 5日 安全基礎(chǔ)知識(shí) 網(wǎng)絡(luò)監(jiān)聽(tīng) ? 監(jiān)聽(tīng)的目的是截獲通信的內(nèi)容 ? 監(jiān)聽(tīng)的手段是對(duì)協(xié)議進(jìn)行分析 ? 常用的工具 – Sniffer pro、 Wireshark都是網(wǎng)絡(luò)監(jiān)聽(tīng)、協(xié)議分析的工具。 – Tcpdump ? 在共享網(wǎng)絡(luò)中，可以監(jiān)聽(tīng)所有流量 ? 在交換環(huán)境中，必須設(shè)置端口鏡像 ? 通過(guò)協(xié)議分析，可獲取敏感的明文信息 – Tel、 smtp、 pop ftp、 等應(yīng)用層協(xié)議都是明文傳輸 2022年 2月 5日 安全基礎(chǔ)知識(shí) 共享和交換環(huán)境下的監(jiān)聽(tīng) ? 共享式網(wǎng)絡(luò) – 通過(guò)網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個(gè)主機(jī) – 通過(guò) HUB連接起來(lái)的子網(wǎng) – 可以直接監(jiān)聽(tīng) ? 交換式網(wǎng)絡(luò) – 通過(guò)交換機(jī)連接網(wǎng)絡(luò) – 由交換機(jī)構(gòu)造一個(gè)“ MAC地址 端口”映射表 – 發(fā)送包的時(shí)候，只發(fā)到特定的端口上 – 可以通過(guò)配置“端口鏡像”來(lái)實(shí)現(xiàn)監(jiān)聽(tīng) 2022年 2月 5日 安全基礎(chǔ)知識(shí) 利用監(jiān)聽(tīng)獲取郵件密碼 ? 截獲用戶郵件口令 2022年 2月 5日 安全基礎(chǔ)知識(shí) 冒險(xiǎn)島抓包分析案例 ? 設(shè)置抓包服務(wù)器 ? 配置端口鏡像 ? 7x24小時(shí)抓包 ? 進(jìn)行協(xié)議分析 ? 判斷攻擊類型 2022年 2月 5日 安全基礎(chǔ)知識(shí) 拒絕服務(wù) DoS ? 定義 – 通過(guò)某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù) – 是針對(duì)可用性發(fā)起的攻擊 ? 原理 – 主要是利用了 TCP/IP協(xié)議中存在的設(shè)計(jì)缺陷、操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧存在的缺陷 ? 特點(diǎn) – 難于防范 2022年 2月 5日 安全基礎(chǔ)知識(shí) 拒絕服務(wù)的形式 ? 資源耗盡和資源過(guò)載 – 網(wǎng)絡(luò)連接 – 帶寬資源 – 其他資源，例如：磁盤空間被日志撐滿 ? 錯(cuò)誤的配置 – 不當(dāng)?shù)呐渲迷斐赡承┓?wù)無(wú)法訪問(wèn) ? 物理部件故障 2022年 2月 5日 安全基礎(chǔ)知識(shí) 拒絕服務(wù)攻擊分類 ? 拒絕服務(wù)攻擊 – Syn Flood – Udp Flood – Icmp Flood – Ping of death – Teardrop – Smurf – Land ? 主要介紹 Syn flood、 UDP Flood、 ICMP Flood攻擊 2022年 2月 5日 安全基礎(chǔ)知識(shí) Syn Flood攻擊 (1) ? TCP協(xié)議 – 提供可靠的連接服務(wù)，采用三次握手建立一個(gè) TCP連接 – TCP連接三次握手過(guò)程 SYN SYN +ACK ACK Client Server SYN_SEND SYN_RECV ESTABLISHED ESTABLISHED 2022年 2月 5日 安全基礎(chǔ)知識(shí) SYN Flood攻擊 (2) ? 原理： – 利用 TCP協(xié)議缺陷發(fā)送大量 TCP半連接請(qǐng)求，使得目標(biāo)機(jī)器不能進(jìn)一步接受 TCP連接 – 對(duì) TCP而言，半連接是指一個(gè)沒(méi)有完成三次握手過(guò)程的會(huì)話 – 配合 IP欺騙 ,短時(shí)間內(nèi)不斷發(fā)送 SYN包，使服務(wù)器回復(fù) SYN/ACK,并不斷重發(fā)直至超時(shí) – 偽造的 SYN包長(zhǎng)時(shí)間占用未連接隊(duì)列，達(dá)到上限后，服務(wù)器將拒絕響應(yīng) SYN請(qǐng)求，正常的 SYN請(qǐng)求被丟棄 2022年 2月 5日 安全基礎(chǔ)知識(shí) SYN Flood攻擊 (3) 攻擊者 Inter Code 目標(biāo) 欺騙性的 IP 包 源地址是偽造的 目標(biāo)地址是 TCP Open SYN 2022年 2月 5日 安全基礎(chǔ)知識(shí) SYN Flood攻擊 (4) 攻擊者 Inter 目標(biāo) SYN+ACK 同步應(yīng)答響應(yīng) 源地址 目標(biāo)地址不存在 TCP ACK 未連接隊(duì)列 達(dá)到上限 2022年 2月 5日 安全基礎(chǔ)知識(shí) SYN Flood攻擊案例 ?外高橋機(jī)房下載系統(tǒng) DLC服務(wù)器 SynFlood攻擊 2022年 2月 5日 安全基礎(chǔ)知識(shí) UDP Flood攻擊 ? 原理： – UDP協(xié)議是無(wú)連接的協(xié)議，提供不可靠的傳輸服務(wù) – 不需要用任何程序建立連接來(lái)傳輸數(shù)據(jù) – 攻擊者向目標(biāo)機(jī)端口發(fā)送了足夠多的 UDP 數(shù)據(jù)包的時(shí)候，整個(gè)系統(tǒng)就會(huì)癱瘓。 – 使用目標(biāo)機(jī)忙于處理 UDP報(bào)文，無(wú)法處理其它的正常報(bào)文，從而形成拒絕服務(wù) 2022年 2月 5日 安全基礎(chǔ)知識(shí) ICMP Flood ? 原理 – 利用 ping對(duì)網(wǎng)絡(luò)進(jìn)行診斷，發(fā)出 ICMP 響應(yīng)請(qǐng)求報(bào)文 – 計(jì)算機(jī)收到 ICMP echo后會(huì)回應(yīng)一個(gè) ICMP echo reply報(bào)文 – 攻擊者向目標(biāo)機(jī)發(fā)送大量的 ICMP echo報(bào)文 – 目標(biāo)機(jī)忙于處理這些報(bào)文，無(wú)法處理其它網(wǎng)絡(luò)報(bào)文，從而形成拒絕服務(wù) 2022年 2月 5日 安全基礎(chǔ)知識(shí) UDP Flood攻擊案例 ? 冒險(xiǎn)島三區(qū)服務(wù)器受到 DDOS攻擊事件 – 異常：發(fā)現(xiàn)大量發(fā)往 UDP 8585端器的 UDP包 – 影響：端口流出流量 上層交換機(jī)上聯(lián)端口流量 – 處理方法：在 6509上配置 ACL過(guò)濾攻擊報(bào)文 2022年 2月 5日