【正文】 – 越來越多的基于網(wǎng)絡(luò)的應(yīng)用 – 企業(yè)的業(yè)務(wù)要求網(wǎng)絡(luò)連接的不間斷性 ?來自內(nèi)部的安全隱患?有限的防御措施?錯(cuò)誤的實(shí)現(xiàn)、錯(cuò)誤的安全配置?糟糕的管理和培訓(xùn)?黑客的攻擊網(wǎng)絡(luò)風(fēng)險(xiǎn)難以消除？網(wǎng)絡(luò)攻擊的后果?設(shè)備、系統(tǒng)損壞?服務(wù)不可得?財(cái)務(wù)損失?數(shù)據(jù)丟失?信息泄漏?遭受篡改的信息造成誤動(dòng)作?集體凝聚力下降、相互信任感受損常見網(wǎng)絡(luò)攻擊的分類? 針對(duì)通訊層以下? 針對(duì) OS的攻擊? 針對(duì)通用的服務(wù)協(xié)議? 針對(duì)特定的應(yīng)用程序網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述? ? ? ? 術(shù) ? 資源盜用– 利用他人的服務(wù)器進(jìn)行垃圾郵件轉(zhuǎn)發(fā)? 威脅網(wǎng)絡(luò)安全DOS、 掃描危害? 占用資源– 占用大量帶寬– 服務(wù)器性能下降? 影響系統(tǒng)和網(wǎng)絡(luò)的可用性– 網(wǎng)絡(luò)癱瘓– 服務(wù)器癱瘓? 往往與入侵或蠕蟲伴隨– 缺陷掃描– DDOS入侵、蠕蟲造成的危害? 信息安全– 機(jī)密或個(gè)人隱私信息的泄漏– 信息篡改– 可信性的破壞? 系統(tǒng)安全– 后門的存在– 資源的喪失– 信息的暴露? 網(wǎng)絡(luò)安全– 基礎(chǔ)設(shè)施的癱瘓垃圾郵件的預(yù)防? 垃圾郵件特點(diǎn)? 郵件轉(zhuǎn)發(fā)原理? 配置 Sendmail關(guān)閉轉(zhuǎn)發(fā)? 配置 Exchange關(guān)閉轉(zhuǎn)發(fā)垃圾郵件定義? 定義 1：垃圾郵件就是相同的信息，在互聯(lián)網(wǎng)中被復(fù)制了無數(shù)遍，并且一直試圖著強(qiáng)加給那些不樂意接受它們的人群。? 接收者– 無因接受– 被迫接受? 發(fā)送手段– 信頭或其它表明身份的信息進(jìn)行了偽裝或篡改– 通常使用第三方郵件轉(zhuǎn)發(fā)來發(fā)送配置 Sendmail關(guān)閉轉(zhuǎn)發(fā)? Sendmailscanning:DoS的危害? 使得正常的服務(wù)不能提供– 案例： 1996年 9月，一家 ISP(PublicIP分片重疊? 分布式 DoS(DDoS)攻擊一些典型的 DoS攻擊? Ping? 方案與實(shí)施? 網(wǎng)絡(luò)攻擊的手段v 病毒v 特洛伊木馬v 口令入侵v 網(wǎng)絡(luò)欺騙v 郵件炸彈v Sniffer(網(wǎng)絡(luò)監(jiān)聽）v 入侵攻擊v 偽裝167。? 用于版權(quán)保護(hù)。 這也是它的最終目的。虛擬執(zhí)行技術(shù)文件實(shí)時(shí)監(jiān)控技術(shù) 通過利用操作系統(tǒng)底層接口技術(shù)，對(duì)系統(tǒng)中的所有類型文件或指定類型的文件進(jìn)行實(shí)時(shí)的行為監(jiān)控，一旦有病毒傳染或發(fā)作時(shí)就及時(shí)報(bào)警。特洛伊木馬特洛伊木馬? 特洛伊程序代表哪一級(jí)別的危險(xiǎn)？– 特洛伊程序代表了一種很高級(jí)別的危險(xiǎn)，主要是因?yàn)槲覀円呀?jīng)提到的幾種原因：? 特洛伊程序很難以被發(fā)現(xiàn)? 在許多情況下，特洛伊程序是在二進(jìn)制代碼中發(fā)現(xiàn)的，它們大多數(shù)以無法閱讀的形式存在? 特洛伊程序可作用于許多機(jī)器中特洛伊木馬程序? BackIP欺騙：改變自己的地址? 用網(wǎng)絡(luò)配置工具改變機(jī)器的 IP地址? 注意：– 只能發(fā)送數(shù)據(jù)包– 收不到回包– 防火墻可能阻擋? 在 Linux平臺(tái)上– 用 ifconfigIP欺騙IP欺騙的保護(hù) ：? 主機(jī)保護(hù)，兩種考慮– 保護(hù)自己的機(jī)器不被用來實(shí)施 IP欺騙? 物理防護(hù)、登錄口令? 權(quán)限控制，不允許修改配置信息– 保護(hù)自己的機(jī)器不被成為假冒的對(duì)象? 網(wǎng)絡(luò)防護(hù)– 路由器上設(shè)置欺騙過濾器? 入口過濾，外來的包帶有內(nèi)部 IP地址? 出口過濾，內(nèi)部的包帶有外部 IP地址? 保護(hù)免受源路由攻擊– 路由器上禁止這樣的數(shù)據(jù)包? 電子郵件欺騙的動(dòng)機(jī)– 隱藏發(fā)信人的身份，匿名信– 挑撥離間，唯恐世界不亂– 騙取敏感信息– ……? 欺騙的形式– 使用類似的電子郵件地址– 修改郵件客戶軟件的賬號(hào)配置– 直接連到 smtp服務(wù)器上發(fā)信? 電子郵件欺騙成功的要訣– 與郵局的運(yùn)作模式比較? 基本的電子郵件協(xié)議不包括簽名機(jī)制電子郵件欺騙電子郵件欺騙：使用類似的地址? 發(fā)信人使用被假冒者的名字注冊(cè)一個(gè)賬號(hào)，然后給目標(biāo)發(fā)送一封正常的信我是你的上司XX，請(qǐng)把 XXX發(fā)送給我我在外面度假，請(qǐng)送到我的個(gè)人信箱他 (她 )能識(shí)別嗎？郵件欺騙的保護(hù)? 郵件服務(wù)器的驗(yàn)證– Smtp服務(wù)器驗(yàn)證發(fā)送者的身份，以及發(fā)送的郵件地址是否與郵件服務(wù)器屬于相同的域– 驗(yàn)證接收方的域名與郵件服務(wù)器的域名是否相同– 有的也驗(yàn)證發(fā)送者的域名是否有效，通過反向 DNS解析? 不能防止一個(gè)內(nèi)部用戶假冒另一個(gè)內(nèi)部用戶發(fā)送郵件? 審核制度，所有的郵件都有記錄– 隱私？? Web是應(yīng)用層上提供的服務(wù)，直接面向 Inter用戶，欺騙的根源在于– 由于 Inter的開放性，任何人都可以建立自己的 Web站點(diǎn)– Web站點(diǎn)名字 (DNS域名 )可以自由注冊(cè)，按先后順序– 并不是每個(gè)用戶都清楚 Web的運(yùn)行規(guī)則? Web欺騙的動(dòng)機(jī)– 商業(yè)利益，商業(yè)競爭– 政治目的? Web欺騙的形式– 使用相似的域名– 改寫 URL– 劫持 Web會(huì)話Web 欺騙使用類似的域名? 注冊(cè)一個(gè)與目標(biāo)公司或組織相似的域名，然后建立一個(gè)欺騙網(wǎng)站，騙取該公司的用戶的信任，以便得到這些用戶的信息– 例如，針對(duì) ABC公司，用 – 如果客戶提供了敏感信息，那么這種欺騙可能會(huì)造成進(jìn)一步的危害，例如：? 用戶在假冒的網(wǎng)站上訂購了一些商品，然后出示支付信息，假冒的網(wǎng)站把這些信息記錄下來 (并分配一個(gè) cookie)，然后提示：現(xiàn)在網(wǎng)站出現(xiàn)故障，請(qǐng)重試一次。劫持會(huì)話4Sinffer? Sniffer既可以是硬件，也可以是軟件，它用來接收在網(wǎng)絡(luò)上傳輸?shù)男畔?。你最關(guān)心的可能是 傳輸 一些比 較 敏感的數(shù)據(jù)，如用 戶ID或口令等等。? 方案與實(shí)施? 網(wǎng)絡(luò)安全技術(shù)? 防火墻技術(shù)? 入侵檢測技術(shù)? 網(wǎng)絡(luò)安全評(píng)估系統(tǒng)? 虛擬專用網(wǎng) VPN技術(shù)? IPSec? 安全備份和系統(tǒng)災(zāi)難恢復(fù)防火墻技術(shù)? 防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間，實(shí)施網(wǎng)間訪問控制的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備的集合，它滿足以下條件：– 內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻– 只有符合安全政策的數(shù)據(jù)流才能通過防火墻? 防火墻的作用– 強(qiáng)化安全策略 library)防火墻本身的一些局限性? 對(duì)于繞過防火墻的攻擊，它無能為力，例如，在防火墻內(nèi)部通過撥號(hào)出去? 防火墻不能防止內(nèi)部的攻擊，以及內(nèi)部人員與外部人員的聯(lián)合攻擊 (比如，通過 tunnel進(jìn)入 )? 防火墻不能防止被病毒感染的程序或者文件、郵件等網(wǎng)絡(luò)安全技術(shù)? 防火墻技術(shù)? 入侵檢測技術(shù)? 網(wǎng)絡(luò)安全評(píng)估系統(tǒng)? 虛擬專用網(wǎng) VPN技術(shù)? IPSec? 安全備份和系統(tǒng)災(zāi)難恢復(fù)IDS: Intrusion Detection System? 入侵檢測系統(tǒng)介紹? 入侵檢測系統(tǒng)分類? 入侵檢測系統(tǒng)用到的一些技術(shù)? 入侵檢測系統(tǒng)的研究和發(fā)展入侵檢測 (IDS)? 防火墻和 IDS是網(wǎng)絡(luò)安全中互為補(bǔ)充的兩項(xiàng)工具? 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量– 檢查審計(jì)信息 ,尋找入侵活動(dòng)– 當(dāng)發(fā)現(xiàn)入侵特征后 ,告警? IDS通常很昂貴 ,會(huì)產(chǎn)生相當(dāng)多的誤報(bào)IDS的功能IDS通常執(zhí)行以下任務(wù)? 監(jiān)視分析用戶及系統(tǒng)活動(dòng)? 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)? 34基于網(wǎng)絡(luò)的 IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測資源。VPN VPN分類? 按隧道位置分類? 按隧道應(yīng)用分類? 基于網(wǎng)絡(luò)的 VPN(NBVPN:Network based VPN)當(dāng)隧道的兩端為服務(wù)提供商邊緣設(shè)備 (在 Inter環(huán)境下，也稱ISP邊緣路由器 )時(shí)， IP隧道采用節(jié)點(diǎn)之間以全連接或部分連接形式構(gòu)成 IP VPN的主干網(wǎng)。? Extra VPN Extra VPN即外聯(lián)網(wǎng)。隧道終止器（ TT） ? 一個(gè)隧道協(xié)議通常包括以下幾個(gè)方面：252。一般都會(huì)包括防火牆、加密以及通道 (Tunneling)等功能。 第二種是 ISP建設(shè)，對(duì)企業(yè)透明；252。?VPN)– 通過 Inter的遠(yuǎn)程訪問。? IPSec是在傳輸層 (TCP,UDP)之下，因此對(duì)應(yīng)用透明。Header)加密的擴(kuò)展報(bào)頭稱為 ESP?? ?訪問控制連接完整性數(shù)據(jù)源認(rèn)證拒絕重放包保密性有限保密性網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述? ? ? ? 術(shù) (DMZ)隱 蔽 信 道： 主要考慮采用安全監(jiān)控和安全漏洞檢測來加強(qiáng)對(duì) 根據(jù)事物發(fā)展的規(guī)律，采用合理的技術(shù)手段，對(duì)所需管理的對(duì)象進(jìn)行合理的計(jì)劃、組織和控制，使之依照固有的規(guī)律最有效、最大限度地按預(yù)定的目標(biāo)運(yùn)行。安全策略的制定不是技術(shù)問題，而是管理問題 IP地址管理事件關(guān)聯(lián)分析 人員管理人員權(quán)限管理電磁兼容環(huán)境 – 安裝相應(yīng)版本所有的 (nimda、 Code 如果不想提供共享服務(wù)，關(guān)閉 Server137,按鈕– 限制遠(yuǎn)程注冊(cè)表瀏覽– 限制軟驅(qū)和光驅(qū)的遠(yuǎn)程訪問? 審計(jì)功能– 三個(gè)方面的操作審計(jì)，缺省是關(guān)閉的? 用戶： logon/john等密碼破解工具猜測口令? （配置一次性口令）? 網(wǎng)絡(luò)服務(wù)的配置： /etc/passwd? 匿名 ftp的配置? 關(guān)閉 rsh/rlogin/rexececho– 鄰機(jī)發(fā)現(xiàn)服務(wù)（ cdp） – 違反訪問控制鏈表的流量? 操作系統(tǒng)更新– 路由器 IOSApplet,： find? 檢測 sniffer,lastlogging:discard– finger,Unix安全管理Unix安全管理? 操作系統(tǒng)更新– Solaris： – Redhat： up2date? 常見安全問題– Solaris? 各種 RPC服務(wù)路由器安全管理? 關(guān)閉源路由 ,以避免 IP欺騙? 在路由器上 ,禁止 TCP和 UDP端口 137 138,139 以及其他不會(huì)用到的 TCP/UDP端口 ,禁止不需要的協(xié)議? 路由器只是原始的網(wǎng)絡(luò)安全設(shè)備– 它不跟蹤 TCP連接狀態(tài)– 它也沒有日志機(jī)制來檢測入侵企圖– 包過濾規(guī)則難以設(shè)置路由器安全管理? 關(guān)閉沒有必要的服務(wù)– small服務(wù) ,port 確保共享的目錄分配了合適的訪問權(quán)限190。CR漏洞掃描檢測配置管理預(yù)防安全事件技術(shù)管理概念技術(shù)管理的必要性三分技術(shù)七分管理信息網(wǎng)絡(luò)主要安全指標(biāo)身 份 認(rèn) 證： 主要考慮用戶、主機(jī)和節(jié)點(diǎn)的身份認(rèn)證。特點(diǎn)：– 同 IDS聯(lián)動(dòng) ,切斷入侵者連接? 內(nèi)層防火墻、代理服務(wù)器– 隔離 DMZ和內(nèi)部網(wǎng)；– 實(shí)現(xiàn)代理訪問型防火墻功能，支持從內(nèi)部網(wǎng)到 Inter和 DMZ的單向訪問；– 實(shí)現(xiàn)身份認(rèn)證，內(nèi)部網(wǎng)訪問 Inter必須先經(jīng)過認(rèn)證才能進(jìn)行；– 能夠?qū)崿F(xiàn)地址轉(zhuǎn)換，隱藏內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；– IP地址合法性檢查，防止地址欺騙；– 對(duì)網(wǎng)絡(luò)訪問進(jìn)行監(jiān)控審計(jì)；– 自身對(duì)發(fā)生的攻擊行為能進(jìn)行審計(jì)?！?非軍事區(qū)」 (DeMilitary?Payload)體系結(jié)構(gòu)： ? 需要時(shí) IPSec可以提供個(gè)人安全性。因此可以增強(qiáng)所有分布式應(yīng)用的安全性。IPv4的缺陷 IPSec的起源 ? 1994年 IETF專門成立 IP安全協(xié)議工作組，來制定 和推動(dòng)一套稱為 Ipsec的 IP安全協(xié)議標(biāo)準(zhǔn)。安全 VPN實(shí)施建設(shè)? 防火墻技術(shù)? 入侵檢測技術(shù)? 網(wǎng)絡(luò)安全評(píng)估系統(tǒng)? 虛擬專用網(wǎng) VPN技術(shù)? IPSec? 安全備份和系統(tǒng)災(zāi)難恢復(fù)網(wǎng)絡(luò)安全技術(shù)?n在 服務(wù)器與 Fire Wall中加裝 VPN軟件n專用 VPN設(shè) 備? 優(yōu)點(diǎn)： 專用 VPN設(shè) 備 最大的優(yōu)勢在於高效率；在高階產(chǎn)品中可同時(shí)支援多個(gè)通道連線，且在使用 專用 VPN設(shè) 備 時(shí)，並不會(huì)影 響網(wǎng)絡(luò) 上其它設(shè)備的效率如 Router、 Server、 FireWall等。包過濾252。按隧道應(yīng)用分類VPN目標(biāo)?可靠的確定通信參與實(shí)體（包括用戶、網(wǎng)絡(luò)設(shè)備）的身份；?保護(hù)傳輸數(shù)據(jù)的機(jī)密性，免遭未授權(quán)的暴露或泄露；?保護(hù)傳輸數(shù)據(jù)的完整性，免遭未授權(quán)的篡改；?提供一定的邊界訪問控制和用戶訪問授權(quán) 。一般指由企業(yè)用戶自由地選擇相關(guān) VPN設(shè)備來實(shí)現(xiàn)。 V 即 Virtual， 表示