【正文】 統(tǒng)： Windows 9x/2022/2022/NT/XP、Sun Solaris、 HP UNIX、 IBM AIX、 IRIX、 Linux、 BSD等。 天鏡可以掃描的對象包括各種服務(wù)器、工作站、網(wǎng)絡(luò)打印機以及相應(yīng)的網(wǎng)絡(luò)設(shè)備如： 3Com交換機、 CISCO 路由器、 Checkpoint Firewall、 HP 打印機、 Cisco PIX Firewall 等。 天鏡可以提供掃描對象的賬戶信息，便于檢查是否異常賬戶出現(xiàn)。 掃描漏洞分類 ： Windows 系統(tǒng)漏洞、 WEB 應(yīng)用漏洞、 CGI 應(yīng)用漏洞、FTP 類漏洞、 DNS、后門類、網(wǎng)絡(luò)設(shè)備漏洞類、緩沖區(qū)溢出、信息泄漏、MAIL 類、 RPC、 NFS、 NIS、 SNMP、守護進程、 PROXY強力攻擊等 1000 種以上。支持對 MS SQLServer、 Oracle、 Sybase、 DB2 數(shù)據(jù)庫的掃描功能。 自由定制掃描策略 漏洞信息規(guī)范全面符合 CNCVE 標(biāo)準(zhǔn)，兼容國際 CVE 標(biāo)準(zhǔn)與 BUGTRAQ 等其他漏洞標(biāo)準(zhǔn)。 本章小結(jié) 漏洞是指硬件 、 軟件或策略上存在的的安全缺陷 ， 從而使得攻擊者能夠在未授權(quán)的情況下訪問 、 控制系統(tǒng) 。 簡要說明了漏洞的威脅 、 后果及發(fā)現(xiàn)的方法 。 針對流行的 Windows系統(tǒng) ， 分析了 CGI、 緩沖區(qū)溢出 、 拒絕服務(wù) 、 DNS協(xié)議分析 、FTP協(xié)議分析 ， 介紹存在的缺陷及檢測方法 。 在此基礎(chǔ)上介紹漏洞掃描技術(shù)：端口掃描 、 Ping掃描 、TCP掃描 、 UDP掃描等 。 掃描器的類型分主機型和網(wǎng)絡(luò)型兩種 。 主要由掃描引擎 、 掃描方法集 、 漏洞數(shù)據(jù)庫等幾方面組成 。 最后介紹一種主流的掃描系統(tǒng) ―― 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)。 防火墻的技術(shù)知識 漏洞掃描技術(shù)知識 入侵檢測技術(shù)知識 議題整體介紹 安全審計與入侵檢測 安全審計 ? 安全審計用于對安全方案中的功能提供持續(xù)的評估，為管理員提供一組可進行分析的管理數(shù)據(jù)，利用安全審計結(jié)果，可調(diào)整安全策略，堵住出現(xiàn)的漏洞。 ? 安全審計應(yīng)具備： 1. 記錄關(guān)鍵事件 2. 提供可集中處理審計日志的數(shù)據(jù)形式 3. 提供易于使用的軟件工具 4. 實時的安全報警 哪些站點最容易遭受攻擊 什么是入侵檢測 入侵檢測的主要檢測方式 入侵檢測系統(tǒng)主要能夠?qū)崿F(xiàn)的安全功能有什么 入侵檢測所面臨的技術(shù)挑戰(zhàn) 從入侵檢測系統(tǒng)說起 政府站點 很多站點甚至都沒有發(fā)現(xiàn)自己已經(jīng)被攻擊 一例利用 FORNTPAGE的攻擊事件 利用同樣的手段遠(yuǎn)程進入調(diào)試頁面狀態(tài) 修改后的結(jié)果 入侵過程描述 入侵主機情況描述： ? 該主機位于國家 xx局的 x層計算機辦公室，在 11月中曾經(jīng)連續(xù)發(fā)生數(shù)據(jù)庫被刪除記錄的事件，最后該網(wǎng)站管理員認(rèn)定事件可疑，隨即向國家 xx局網(wǎng)絡(luò)安全管理部門報告，我公司在接到國家 xx局的報告后，立即趕到現(xiàn)場取證分析。 操作系統(tǒng)和補丁情況： ? WIN2022個人版操作系統(tǒng) SP2的補丁包 主要服務(wù)用途： ? 做為國家 xx局計算中心內(nèi)部網(wǎng)站使用，負(fù)責(zé)發(fā)布計算中心內(nèi)部信息。網(wǎng)站運行 IIS5，后臺數(shù)據(jù)庫采用 ACCESS。 入侵后的行為表現(xiàn)： ? 主頁頁面新聞欄目內(nèi)容被刪除，后臺數(shù)據(jù)庫內(nèi)容被人非法刪改。 分析審計 WEB服務(wù)器訪問日志 ?08:40:59 1071198 GET /mynewsmdb 200 ?該記錄表明 1071198在早上 8點 40分的時候非法下載了 mynewsmdb數(shù)據(jù)庫，服務(wù)器返回 200正確請求值，表示請求成功該數(shù)據(jù)庫已經(jīng)被非法下載。 ?08:42:14 1071198 GET /loginasp 200 ?隨后該攻擊者直接訪問網(wǎng)站的在線管理系統(tǒng)。 入侵檢測的基本概念 ?入侵檢測是指對于計算機和網(wǎng)絡(luò)資源的惡意行為的識別和響應(yīng)的過程。 ?通過對于網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭受攻擊的跡象的一種安全技術(shù)。 ?真正的入侵檢測系統(tǒng)是在 20世紀(jì) 80年代末才開始被研究 ?我們先來明確計算機安全的特性有那三個方面 CIA 什么是入侵呢？ ? 破壞上面四性的行為都可以定義為入侵，不管成功與否。 ? 從受害者的角度可以說： 1. 發(fā)生了什么？ 2. 誰是受害者？ 3. 受害程度大不大？ 4. 誰是入侵者？ 5. 入侵者的來源在哪里？ 6. 入侵發(fā)生的時間？ 7. 入侵是怎么發(fā)生的？ 8. 為什么發(fā)生入侵？ ? 但很多時候我們身邊沒有一個安全專家可以幫助我們解答這些問題 ? 為什么需要入侵檢測系統(tǒng) ?監(jiān)視分析用戶和系統(tǒng)的行為 ?審計系統(tǒng)配置和漏洞 ?評估敏感系統(tǒng)和數(shù)據(jù)的完整性 ?識別攻擊行為 ?對異常行為進行統(tǒng)計 ?自動收集和系統(tǒng)相關(guān)的補丁 ?進行審計跟蹤，識別違反安全法規(guī)的行為 ?安全誘騙服務(wù)器，記錄非法入侵行為。 入侵檢測的分類和檢測方式 ?基于主機的入侵檢測系統(tǒng) ?基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 全面的檢測方式 ?統(tǒng)計分析：異常檢測的假設(shè)是入侵者活動異常于正常主體的活動，建立正?；顒拥?“ 活動簡檔 ” ，當(dāng)前主體的活動違反其統(tǒng)計規(guī)律時，認(rèn)為可能是 “ 入侵 ” 行為。 ?模式匹配：特征檢測假設(shè)入侵者活動可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。支持用戶自定義攻擊特征代碼分析。 ?事后檢測：完整的將網(wǎng)絡(luò)中所有活動數(shù)據(jù)報的特征記錄下來，當(dāng)發(fā)生不可確定的安全時間時，可以將信息包全部回放，進行事后檢測分析。 ?協(xié)議內(nèi)容檢測：支持常見的明文應(yīng)用層協(xié)議記錄，可以及時恢復(fù)所有訪問原始交互內(nèi)容。支持用戶自定義明文協(xié)議特征。 入侵檢測基本原理 入侵檢測當(dāng)前系統(tǒng)/用戶行為歷史行為特定行為模式監(jiān)測入侵? 否記錄證據(jù)響應(yīng)處理是安全策略入侵檢測系統(tǒng)的部署 入侵檢測設(shè)備直接連接在交換機的偵聽口 入侵檢測設(shè)備直接連接在交換設(shè)備之間，充當(dāng)透明網(wǎng)橋功能同時進行數(shù)據(jù)包抓取分析 入侵檢測設(shè)備支持多端口偵聽，對中小企業(yè)網(wǎng)絡(luò)更好適應(yīng)。 內(nèi)部網(wǎng)絡(luò) DMZ區(qū)域 多偵聽口設(shè)計多臺交換機數(shù)據(jù)同時采集處理 商業(yè) IDS產(chǎn)品功能介紹 ?傳統(tǒng)基于特征品配告警的入侵檢測產(chǎn)品。 ?根據(jù)異常流量分析進行的入侵檢測告警產(chǎn)品。 強大的網(wǎng)絡(luò)訪問內(nèi)容審計功能 ? 可以進行多種協(xié)議 HTTP、 FTP、 POPSMTP、 IMAP、 NNTP、 Tel、 rsh、rlogin、 MSN、 Yahoo Messager、 DNS等協(xié)議的回放和會話記錄，便于回放資源訪問的詳細(xì)過程并追查攻擊的來源。 ? 支持用戶自定義擴充 明文應(yīng)用協(xié)議還原配置 對于 HTTP協(xié)議做到訪問頁面級別的還原 SMTP協(xié)議還原支持 POP3協(xié)議還原支持 FTP協(xié)議還原支持（支持自動回放） TELNET協(xié)議還原支持（支持自動回放） IMAP協(xié)議還原支持 NNTP協(xié)議還原支持 DNS協(xié)議還原支持 MSN（網(wǎng)絡(luò)聊天）會話回放 強大的事件定義庫 靈活的策略編輯器 入侵檢測響應(yīng)選項 ? 主動響應(yīng) 1. 收集相關(guān)信息 2. 改變環(huán)境 3. 反擊攻擊者 ? 被動響應(yīng) 1. 報警和告示 實時報警 攻擊檢測 基于異常行為的入侵檢測 ?主要根據(jù)網(wǎng)絡(luò)流量進行分析判斷，利用NETFLOW的數(shù)據(jù)采集技術(shù)實現(xiàn)電信級別的 DDOS入侵檢測與防護。 ?檢測的重點在于對于網(wǎng)絡(luò)的可用性進行保護，這與傳統(tǒng)的事件檢測是有不同的側(cè)重。 主機入侵檢測系統(tǒng)的設(shè)計原理 ? 根據(jù)主機的可審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑時間，檢測系統(tǒng)運行在被檢測的主機上。 ? 主要存在弱點如下： 1. 攻擊者可調(diào)用更低級別特權(quán)來繞過檢測。 2. 影響服務(wù)器性能。 3. 所檢測到的攻擊類型與范圍存在一定程度限制。 網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計原理 ?可靠性 ?容錯性 ?可用性 ?可檢驗 ?容易開發(fā) ?可適應(yīng)性 ?準(zhǔn)確性 ?安全性 內(nèi)容小結(jié) ?本次課程介紹了主流的傳統(tǒng)安全產(chǎn)品的主要技術(shù)功能與技術(shù)實現(xiàn)方法，同時介紹了相關(guān)不同產(chǎn)品的配置技巧。 ?當(dāng)前安全產(chǎn)品更多更實用的功能在實際應(yīng)用中并沒有被發(fā)揮出來，本課程對于這部分也著重進行了介紹。 ?控制、審計、隔離加密、驗證等傳統(tǒng)安全元素融合搭配發(fā)揮更好的安全防護功效。 ?更多更新歡迎訪問我的網(wǎng)站 isfocus 本次課程結(jié)束