【正文】 應(yīng)用實例 ? 網(wǎng)絡(luò)系統(tǒng)及安全性分析 ? 網(wǎng)絡(luò)系統(tǒng)的安全性需求 ? 網(wǎng)絡(luò)安全整體解決方案的提出 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu) 典型企業(yè)的網(wǎng)絡(luò)安全實施拓撲圖 。 – 流量整形、擁塞控制、隊列調(diào)度及 CAR等 QOS保障。 – 進行 IP地址、 MAC地址、用戶名及卡號綁定。通過信標幀，用戶能夠知道這里存在一個可用的接入點。 ? IEEE ，在數(shù)據(jù)加密方面，定義了 TKIP（ Temporal Key Integrity Protocol）、 CCMP（ CounterMode/CBCMAC Protocol）和 WRAP（ Wireless Robust Authenticated Protocol）三種加密機制。 實施無線網(wǎng)絡(luò) ? 考慮以下安全措施： – 掌控信號覆蓋的范圍 – 啟用無線設(shè)備的安全功能 – 使用安全性高的部署方式 – 使用一些針對無線網(wǎng)絡(luò)環(huán)境的入侵檢測軟件 無線加密協(xié)議 (WEP) 和 IEEE ? WEP (wired equivalent privacy) 是一種以 40 位共享密鑰算法為基礎(chǔ)的數(shù)據(jù)加密機制。 – 免費下載 入侵者還有可能利用您的網(wǎng)絡(luò)作為他自己訪問 Inter 的自由訪問點。 – 中途截獲或修改傳輸數(shù)據(jù) 如果攻擊者可訪問網(wǎng)絡(luò)，他可接入惡意計算機來中途截獲、修改或延遲兩個合法方的通信。 – 其它特性，如防火、防腐蝕等。 – 系統(tǒng)復元能力、網(wǎng)絡(luò)擴展性。 – 屏蔽與非屏蔽。 線纜的選擇 ? 需要考慮的因素包括： – 確定使用線纜的類別和布線的結(jié)構(gòu)。 POE ? POE即 Power Over Ether，以太網(wǎng)饋電適配器，適配器上提供 3個接口，一個直流電源接口，另外兩個是 RJ45接口。 ? 大多數(shù)發(fā)電機發(fā)出的都是所謂的“臟電”，即電壓可能起伏波動、不穩(wěn)定。 實驗 91 ? 對 Windows 2022 Server進行物理攻擊。 – 或者偷竊，或者造一把新的，從而獲取房間的鑰匙。使用超級更改程序可以修改用戶帳號信息、讀文件或創(chuàng)建文件和目錄。 – 安裝視頻監(jiān)視設(shè)備。 考慮物理安全性 ? 有關(guān)物理安全保護的問題包括： – 公司的防火墻是在一間上了鎖的房間內(nèi)嗎？公司所有的服務(wù)器如何？ – 網(wǎng)絡(luò)設(shè)備（如路由器、 WEB服務(wù)器、 FTP服務(wù)器）被關(guān)嚴和監(jiān)控了嗎？ – 有員工單獨在敏感區(qū)域工作嗎？ 人員維護 ? 考慮下列問題： – 所有允許工作人員進入系統(tǒng)的鑰匙、通行證和其他工具是否安全？ – 公司是否有策略準許員工在工作時監(jiān)控維護人員？ 監(jiān)督方法 ? 提高物理安全性的選擇包括： – 用數(shù)字門卡替換標準的鎖。 – 不方便之處 新的程序的措施可能會使用戶覺得不方便，特別是那些經(jīng)常出差和遠程工作的用戶。一個站點的防火墻許可證的費用在 5000美元到20220美元之間，或更高。 確保將生產(chǎn)中的服務(wù)器保持當前狀態(tài)，這樣能避免意外。有關(guān)這些掃描的更多內(nèi)容，將在后面章節(jié)中學習。 – 對系統(tǒng)使用漏洞掃描作為測試的一部分。 正確安置產(chǎn)品 ? 安放設(shè)備的時候，必須采取下列步驟： – 在獨立的子網(wǎng)內(nèi)測試系統(tǒng)。 – 進行研究工作 ,確定適合組織機構(gòu)的產(chǎn)品。 – 確定一種新技術(shù)將如何影響所有級別的終端用戶的日常工作。 過程校驗 如果數(shù)據(jù)需要從一個地點物理傳輸?shù)搅硪粋€地點，那么要采取 措施保證數(shù)據(jù)確實被送到了新的地點。 介質(zhì)校驗 保證用來備份數(shù)據(jù)的介質(zhì)是可靠的。 校驗數(shù)據(jù)備份 措施 描述 數(shù)據(jù)校驗 讓所有的管理人員和中層管理人員確認正確的數(shù)據(jù)已經(jīng)備份。 不要采取獨立應(yīng)用的系統(tǒng)或技術(shù) ? 沒有一種通用的產(chǎn)品、技術(shù)或解決方案能夠提供全面的保護以對付所有的威脅。他們還必須確認了解這些變化的本質(zhì)，并且同意遵守它們。為了反映技術(shù)的變化和改進，策略也會被更新。 – 安全策略應(yīng)該可以進行變動。 擴展實驗 81 ? Checkit Firewall ? Black ICE ? MS ISA Server ? Webtrends Firewall 2022 VCampus Corporation All Rights Reserved. 第九單元 通用安全原則與安全設(shè)計 學習目標 ? 描述有效的網(wǎng)絡(luò)安全的通用指導方針和原則 ? 使用通用的指導方針來建立有效的、詳細的方案 ? 了解網(wǎng)絡(luò)安全設(shè)計中的網(wǎng)絡(luò)拓樸結(jié)構(gòu) ? 描述配線房的安全注意事項 ? 描述無線網(wǎng)絡(luò)安全 ? 設(shè)計一個安全的網(wǎng)絡(luò) 通用的安全原則介紹 ? 警惕所有的網(wǎng)絡(luò)活動 ? 必須要有一個安全策略 ? 不要采用獨立使用的系統(tǒng)或技術(shù) ? 盡可能使損壞最小化 ? 部署全公司范圍內(nèi)的執(zhí)行策略 ? 提供培訓 ? 使用完整的安全策略 ? 根據(jù)需求安置設(shè)備 ? 確定業(yè)務(wù)問題 ? 考慮物理安全性 損害最小化 ? 兩種最小化損害的方法是： – 采取嚴格的用戶訪問控制 – 隔離操作系統(tǒng)組件 安全策略是必須的 ? 制定安全策略要記住以下關(guān)鍵點： – 強制執(zhí)行的安全策略能提供貫穿組織機構(gòu)的連續(xù)性。 ? 用 win route控制 HTTP流量。 理解 DMZ DMZ的作用 防火墻的設(shè)計原則 ? 保持設(shè)計的簡單性 ? 安排事故計劃 創(chuàng)建篩選路由器 創(chuàng)建單宿主堡壘主機 創(chuàng)建雙宿主堡壘主機和多宿主堡壘主機 創(chuàng)建屏蔽子網(wǎng)防火墻 實驗 81~84 ? 用 win route創(chuàng)建一個內(nèi)部網(wǎng)絡(luò)。 L2TP與 IPSec的結(jié)合產(chǎn)物稱為 L2TP/IPSec。 PPTP與 Microsoft端對端加密（ MPPE）技術(shù)提供了用以對保密數(shù)據(jù)進行封裝與加密的首要 VPN服務(wù)。 VPN客戶端與服務(wù)器的關(guān)系 撥號遠程訪問的組成 VPN遠程訪問連接組成元素 VPN協(xié)議 ? 端對端隧道協(xié)議 ： PPTP采用了 PPP所提供的身份驗證、壓縮與加密機制。還有 WINS Registration也 用它 443 Https 網(wǎng)頁瀏覽端口，能提供加密和通過安全端口傳輸?shù)牧? 一種 HTTP 3389 超級終端 WINDOWS 2022/2022終端開放此端口 遠程訪問與 VPN ? 遠程訪問是指能夠通過透明方式將位于工作場所以外或遠程位置上的特定計算機連接到網(wǎng)絡(luò)中的一系列相關(guān)技術(shù)。而 139端口：通過這個端口進入的連接試 圖獲得 NetBIOS/SMB服務(wù)。 Ipchains運用舉例 ? 拒絕 ICMP信息到達 。 ? IP output鏈： 當一個包出去時 , 核心使用 output鏈在出口對數(shù)據(jù)包進行檢查和控制。在 Linux內(nèi)核使用Ipchains命令來配置內(nèi)置防火墻，在 內(nèi)核中，使用 Iptables來配置內(nèi)置防火墻。 – 允許所有的流量，這種情況需要指定被拒絕的流量的類型，否則就是允許通過防火墻。 ? DMZ位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，許多管理員在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè) Web服務(wù)器、 FTP服務(wù)器和論壇服務(wù)器等。安全管理員能夠通過這個阻塞點來限制外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò) ,也可以通過使用防火墻策略來創(chuàng)建這個阻塞點 ,因為所有的數(shù)據(jù)流量都要經(jīng)過這個防火墻。 阻塞路由器 ? 阻塞路由器定義了一個允許從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問點。堡壘主機不受防火墻或過濾路由器的保護，因此它們完全暴露在攻擊中。 IP偽裝的原理 堡壘主機 ? 堡壘主機是一種被強化的可以防御進攻但可公開訪問的計算機。 ? 以下地址作為保留地址： – – – IP偽裝 ? IP偽裝是指包過濾防火墻改變 IP地址的報頭內(nèi)容。 網(wǎng)絡(luò)地址轉(zhuǎn)發(fā) (NAT) ? 網(wǎng)絡(luò)地址轉(zhuǎn)發(fā)可以對 Inter隱藏內(nèi)部的真實地址，防止內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)暴露。它作為服務(wù)器接收外來請求并轉(zhuǎn)發(fā)請求；與被保護的主機連接時則擔當客戶機角色、起代理服務(wù)的作用。 ? 包過濾將會檢查以下一些信息 : – 源 IP地址 – 目標 IP地址 – 源端口 – 目標端口 – 數(shù)據(jù)包類型 (如 ICMP、 IGMP、 EGP等 ) 代理服務(wù)器 ? 計算機網(wǎng)絡(luò)中主要有兩種類型的代理 : – 應(yīng)用級代理服務(wù)器 (也叫應(yīng)用級網(wǎng)關(guān) )：應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的某一種特定協(xié)議 ,包括HTTP、 FTP、 SMTP、 DNS等等，但不處理數(shù)據(jù)包的地址。 ? 防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準了的信息進入，同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)。 ? 主管人員：需要知道用來保證系統(tǒng)安全的最新工具。 提供培訓 ? 終端用戶：用戶必須被告知在互聯(lián)網(wǎng)上出現(xiàn)了哪些新的病毒。 ? 流氓軟件防御工具： – TROJAN HUNTER – EWIDO 基于瀏覽器攻擊的防范 ? 勤打補丁 ? 安裝安全插件 ? 引起個人的重視 不要采取單獨的系統(tǒng)或技術(shù) ? 使用多種手段和技術(shù)來彌補每個單獨技術(shù)的弱點，從而提高整體安全性。 基于瀏覽器的攻擊 ? 釣魚式攻擊：攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行詐騙活動。 ? 當 SQL運行出錯時，不要顯示出錯信息。 ? 對用戶輸入進行檢查。 ? 由于 SQL注入攻擊利用的是 SQL語法，使得這種攻擊具有廣泛性 。這些應(yīng)用程序?qū)⑹占脩羲械膿翩I信息并將其保存在一個文件中，目的就是為了捕獲諸如用戶密碼之類的機密數(shù)據(jù)。 木馬的特點 ? 隱蔽性 ? 自動運行性 ? 包含具有未公開并且可能產(chǎn)生危險后果的功能的程序 ? 具備自動恢復功能 ? 能自動打開特別的端口 木馬的類型 ? 破壞型 ? 密碼發(fā)送型 ? 遠程訪問型 ? 鍵盤記錄木馬 ? DoS攻擊木馬 ? 代理木馬 ? FTP木馬 ? 程序殺手木馬 ? 反彈端口型木馬 非法服務(wù) ? 非法服務(wù)會在系統(tǒng)上開啟一個秘密的端口，提供未經(jīng)許可的服務(wù)，這和很多木馬的工作原理是一樣的。 木馬攻擊 ? 完整的木馬程序一般由兩個部份組成：一個是服務(wù)器程序，一個是控制器程序。 集中式病毒管理 ? “集中式管理、分布式殺毒”技術(shù)，使安裝在網(wǎng)絡(luò)系統(tǒng)中的每臺計算機上的殺毒軟件構(gòu)筑成協(xié)調(diào)一致的立體防護體系，而網(wǎng)絡(luò)管理員只需通過控制臺，就可實時掌握全網(wǎng)各節(jié)點的病毒監(jiān)測狀況，也可遠程指揮每臺計算機殺毒軟件的工作方式。 ? 可移動存儲介質(zhì)在使用之前先殺毒。 ? 安全使用互聯(lián)網(wǎng)，不要隨意點擊、下載和運行各種來歷不明的程序和腳本。 會話劫持實例 ? 試驗 63:在 Linux下使用 劫持攻擊 計算機病毒的定義 ? 計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。 ? 主要有兩種類型： – 中間人攻擊 – 注射式攻擊 ? 經(jīng)典的會話劫持工具 – TTYwatch – HUNT 會話劫持示意圖 合 法 用 戶服 務(wù) 器攻 擊 者合 法 用 戶 遠 程 登 錄 服 務(wù) 器合 法 用 戶 驗 證 服 務(wù) 器你 好 , 我 是 合 法 用 戶D i e !會話劫持的危害及防范 ? 會話劫持攻擊使攻擊者避開了被攻擊主機對訪問者的身份驗證和安全認證，從而使攻擊者直接進入對被攻擊主機的訪問狀態(tài)，因此對系統(tǒng)安全構(gòu)成的威脅比較嚴重。 嗅探攻擊實例 ? 試驗 61:使用 sniffer pro進行監(jiān)聽并解析 IPv4協(xié)議頭部信息。 中間人攻擊示意圖 合 法 用