【正文】 可以有： ? 保證網絡的可用：路由器不癱瘓、郵件發(fā)送正常等等 ? 保證網絡用戶使用的可管理 ? 防止出現異常的流量導致異常的費用 ? 防止對核心服務器的攻擊，以保護學校的聲望 ? 對學校某學生的機器不特別關心，除非他報案 制定安全政策 ? 根據安全需求制定安全政策 ? 安全政策可以是形式化的，也可以是口語化的 ? 安全政策表示的是什么是允許的什么是不允許的 ? 例如 (可以不用書面定義，可以包括所采用的技術手段的種類 )： ? 在邊界使用防火墻，允許內部注冊用戶的對外訪問，禁止隨意的對內部訪問等 ? 內部開發(fā)網段使用 SSH作為數據安全手段 ? 鑒別采用口令認證的方式 在邊界建立符合安全政策的防火墻體系 Inter 路由器 防火墻 WWW、 SMTP Proxy 內部用戶 DMZ 劃分內部的安全政策域 ? 例如某公司可以劃為：用戶上網域、服務器域、開發(fā)域等 Inter 路由器 WWW、 SMTP 內部開發(fā)區(qū) 服務器域 (DMZ) 用戶上網區(qū) 服務器 開發(fā) 服務器 禁止 開發(fā) 禁止 (允許 FTP) 對特定的主機節(jié)點進行加固 ? 對特殊位置的主機必須進行加固 ? 如上例 ? WWW服務器和 Mail服務器 ? 對于內部開發(fā)服務器也需要加固 ? 可以制定一定的制度，要求內部員工也對各自的主機進行加固 使用合理的訪問控制、鑒別機制和數據安全體制 ? 建立授權訪問控制的政策，例如：哪些人可以訪問哪些信息、權限如何等 ? 選擇內部或外部使用的鑒別機制，例如口令機制、證書、 LDAP、 NIS ? 選擇使用或不使用數據安全體制，使用哪種數據安全體制，例如 CA、 KDC。 ? 攻擊者將 ICMP報文源地址填成受害主機，那么應答報文會到達受害主機處，造成網絡擁塞。 } show(char*p) { strbuff[24]。 后門、木馬的檢測和預防 ? MD5 基線 ? 給干凈系統(tǒng)文件做 MD5校驗 ? 定時做當前系統(tǒng)的 MD5校驗，并做比對 ? 入侵檢測系統(tǒng) ? 后門活動有一定的規(guī)律 ? 安裝入侵檢測系統(tǒng)，一定程度上能夠發(fā)現后門 ? 從 CDROM啟動 ? 防止后門隱藏在引導區(qū)中 蠕蟲 ? 能夠自行擴散的網絡攻擊程序 ? 各種攻擊手段的組合 ? 有時候為 DDoS做攻擊準備 ? 具體問題具體分析 一個蠕蟲實例 ? 第一步 ， 隨機生成 IP作為二級受害主機的超集 ，對這些 IP所在的 C類網段的 111口進行橫向掃描 （ 檢測是否存在 rpc服務 ） ， 保存結果 ， 獲得存在 rpc服務的主機集合； ? 第二步 ， 對上述存在 rpc服務的主機 ， 檢測是否運行 sadmind服務 ， 保存檢測結果 ， 獲得存在 sadmind服務的主機集合 ， 即二級受害主機集合一； ? 第三步 ， 對二級受害主機集一以輪詢方式嘗試sadmind棧溢出攻擊； 蠕蟲實例（續(xù)上） ? 第四步 ， 檢查棧溢出攻擊是否成功 。 ? 第七步 ， 一級受害主機遠程啟動二級受害主機的攻擊進程 。 ? 第九步 ， 隨機生成 IP作為二級受害主機的超集 ，對這些 IP所在的 C類網段的 80口進行橫向掃描（ 檢測是否為 WWW服務器 ） ， 保存結果 ， 獲得存在 WWW服務的主機集合 （ 即二級受害主機集合二 ） ； ? 第十步，對二級受害主機集合嘗試 UNICODE攻擊（該攻擊針對 Windows NT系列系統(tǒng)），試圖修改其主頁。 ? reboot系統(tǒng) ? Linux各版本內核注釋方法基本相同。 服務裁剪－－ Solaris ? 為了系統(tǒng)安全，盡量減少系統(tǒng)對外提供的服務，使系統(tǒng)服務最小化。 服務裁剪－－ Solaris(續(xù) ) ? 注釋掉服務后重新啟動 id ? Ps –ef |grep id獲得 id的進程號 ? Kill –9 processid殺死 id進程 ? /usr/sbin/id s 重新啟動 id ? Sun OS ? 上述服務中，只保留必須的服務，并且務必保證運行服務的版本的及時更新。 日常審計 ? 系統(tǒng)進程檢查 ? ps –ef |more (solaris) ? ps –ax|more (linux) ? 系統(tǒng)管理員應該清楚系統(tǒng)應該啟動哪些進程 日常審計－－系統(tǒng)進程 服務器端口檢查 ? stat –a ? 列出所有活動端口 ? 管理員應該熟知所管理系統(tǒng)應該活動的端口 ? 發(fā)現異常端口活動，那么這個系統(tǒng)的可靠性值得懷疑 日志檢查 ? 系統(tǒng)日志位置 ? /var/adm/messages.* (solaris) ? /var/log/messages.* (linux) ? 日志的生成 ? syslogd ? minilogd 日志檢查 ? 記錄重要的系統(tǒng)事件是系統(tǒng)安全的一個重要因素 ? 使用 wtmp/utmp文件的連接時間日志 ? 使用 acct和 pacct文件的進程統(tǒng)計 ? 經過 syslogd實施的錯誤日志 ? 日志為兩個重要功能提供數據：審計和監(jiān)測 日志檢查 ? 日志使用戶對自己的行為負責 ? 日志能夠幫助檢測 ? 日志最重要的功能使制止 ? 日志文件本身易被攻擊 日志檢查 ? 日志是否缺失？ ? 日志是否異常 ? 缺失 ? 是否有段錯誤 ? 登錄失敗記錄 ? 其他異常情況 一個例子 第二個例子 日志檢查 ? 應用程序日志 ? mail－ maillog(或 syslog) ? ftp－ xferlog ? 存放在 Linux在相同的目錄下 ? Apache access_log和 error_log ? 帳號相關日志 ? lastlog－ last命令 ? sulog(solaris) 一種日常系統(tǒng)審計的方法 ? 見附件－系統(tǒng)檢查流程 針對性審計 ? 針對流行蠕蟲的審計 ? 參考當前流行蠕蟲的行為和表現，對系統(tǒng)進行檢查。 ? 安全專家還可以對 core文件進行觀察和調試 針對性審計 ? 后門和木馬的檢測 ? 對系統(tǒng)命令做 MD5校驗，與干凈系統(tǒng)的MD5校驗和進行比對 ? login文件 ? ? ls, du, dk, find等常用命令 針對性審計 ? 后門和木馬的檢測（續(xù)上） ? 觀察系統(tǒng)配置和系統(tǒng)服務是否正常 ? ？ ? cron的配置文件是否被修改過？ ? ? UNIX常用工具介紹 ? 日志工具綜述 ? Chklastlog:該工具通過檢查 /var/adm/lastlog和 /var/adm/wtmp之間的不一致性來刪除信息。 ? 系統(tǒng)可以通告不同的機制檢測入侵企圖。 被動響應 ? 忽略 ? 記錄日志 ? 額外日志 ? 通知 主動響應 ? 切斷 (連接、會話、進程 ) ? 網絡重配置 ? 還擊 ? 欺騙 不同響應方式的優(yōu)點 ? 被動響應方式不會影響合法的傳輸 ? 記錄日志方式可以收集合法過程的證據 ? 主動響應可以及時保護目標系統(tǒng) ? 主動響應方式可以減少管理員的工作強度 不同響應方式的缺點 ? 被動響應方式可能會允許入侵者進一步獲取系統(tǒng)的訪問權限 ? 通知方式可能導致管理員工作量過大 ? 切斷方式可能影響合法用戶的使用 ? 還擊可能影響無辜的系統(tǒng)，從而導致該系統(tǒng)采取針對你的合法行為 ? 欺騙是困難的 入侵檢測系統(tǒng)的政策 ? 定義入侵檢測系統(tǒng)的目標 ? 確定監(jiān)視的內容和位置 ? 選擇響應 ? 設置坎值 ? 實現政策 漏報和誤報 ? 誤報 (false positive) ? 漏報 (false negative) 設置坎值 ? 用戶經驗 ? 網絡速率 ? 預期的網絡連接 ? 管理員的安全工作強度 ? 感應器的敏感度 ? 安全程序的效率 ? 存在的漏洞 ? 系統(tǒng)信息的敏感程度 ? 誤報的后果 ? 漏報的后果 入侵檢測系統(tǒng)舉例 ? 監(jiān)視 Inter入口 ? 服務器保護 ? 事件響應 監(jiān)視 Inter入口 ? 系統(tǒng)目標： 系統(tǒng)用戶可以訪問色情站點以外的所有站點；系統(tǒng)外部用戶只能夠訪問內部分 WWW、 SMTP服務器。網絡傳輸的監(jiān)視器還可以切斷連接或重配防火墻；日志分析器也可以通知用戶。 ? 監(jiān)視內容：記錄所有網絡流量，在 HTTP流量中分析攻擊特征；其它流量均記錄。 ? 監(jiān)視器的位置：在網絡的入口設置一個實時網絡傳輸監(jiān)視器，在陷井中設置一個實時日志監(jiān)視器。 ? 入侵檢測系統(tǒng)是網絡安全監(jiān)測中的部分