【正文】 (續(xù) ) ? 網絡與服務 (續(xù) ) 全國信息化計算機應用技術資格認證管理中心 實例：手工評估報告和風險計算方法 (續(xù) ) ? Windows系統(tǒng) (續(xù) ) ? 網絡與服務 (續(xù) ) 全國信息化計算機應用技術資格認證管理中心 實例：手工評估報告和風險計算方法 (續(xù) ) ? 風險控制 ? 鑒定已有措施 ? 組織安全策略的規(guī)范化 ? 安全需求補充 ? 技術和費用衡量 ? 生成安全風險評估報告及系統(tǒng)安全策略 全國信息化計算機應用技術資格認證管理中心 風險評估注意事項 ? 可持續(xù)性要求 ? 建立安全信息庫 全國信息化計算機應用技術資格認證管理中心 習題 1. 簡要描述 BS77992的主要內容？ 2. 描述 BS7799的 9個實施步驟？ 3. ISO 13335中定義了哪幾種風險評估方法？ 4. 描述風險的主要構成元素。在非阻塞的 UDP套接字上調用 recvfrom( )時，如果 ICMP出錯還沒有到達時回返回EAGAIN（ 重試） 全國信息化計算機應用技術資格認證管理中心 主機掃描技術 ? ICMP Echo掃描 ? Broadcast ICMP掃描 ? NonEcho ICMP掃描 ? 反向映射探測 全國信息化計算機應用技術資格認證管理中心 漏洞掃描器的指標 ? 部署方式 ? 系統(tǒng)結構 ? 評估方法 ? 端口掃描 ? 支持掃描優(yōu)化 ? 支持網絡拓撲結構發(fā)現 ? 數據庫特性 ? 更新方式 全國信息化計算機應用技術資格認證管理中心 漏洞掃描器的指標 （續(xù)） ? 報告形式 ? 分析的準確性 ? 安全問題 ? 性能 ? 升級問題 ? 可擴充性 ? 全面的解決方案 ? 人員培訓 全國信息化計算機應用技術資格認證管理中心 常見產品介紹 ? ISS Inter Scanner ? Nessus ? SAINT 全國信息化計算機應用技術資格認證管理中心 Nmap的安裝使用 ? Nmap的安裝 ? Nmap的語法和使用 全國信息化計算機應用技術資格認證管理中心 綠盟科技的極光遠程安全評估系統(tǒng) ? 基于瀏覽器的用戶前端 ? 系統(tǒng)漏洞的描述 全國信息化計算機應用技術資格認證管理中心 綠盟科技的極光遠程安全評估系統(tǒng) (續(xù) ) ? 掃描結果的統(tǒng)計 全國信息化計算機應用技術資格認證管理中心 綠盟科技的極光遠程安全評估系統(tǒng) (續(xù) ) ? 漏洞的分類統(tǒng)計 全國信息化計算機應用技術資格認證管理中心 綠盟科技的極光遠程安全評估系統(tǒng) (續(xù) ) ? 開放服務的安全問題對應表 全國信息化計算機應用技術資格認證管理中心 綠盟科技的極光遠程安全評估系統(tǒng) (續(xù) ) ? 漏洞的詳細描述及解決辦法 全國信息化計算機應用技術資格認證管理中心 漏洞掃描技術發(fā)展動態(tài)和趨勢 ? 使用插件技術 ? 使用專用腳本語言 ? 由安全掃描程序到安全評估專家系統(tǒng) 全國信息化計算機應用技術資格認證管理中心 習題 1. 按照部署位置的不同，掃描器一般分為哪幾種？ 2. 描述 TCP協(xié)議的標志位的組成和含義。這樣就能發(fā)現哪個端口是關閉的 ? UDP recvfrom( )和 write( )掃描 當非 root用戶不能直接讀到端口不能到達錯誤時， Linux能間接地在他們到達時通知用戶。 全國信息化計算機應用技術資格認證管理中心 端口掃描技術 (續(xù) ) ? 隱蔽掃描技術 (續(xù) ) ? 分段掃描 并不直接發(fā)送 TCP探測數據包，是將數據包分成兩個較小的 IP段。否則，若是打開的端口，數據包也被丟掉，但不返回 RST ? TCP FTP 代理掃描 FTP協(xié)議支持代理 FTP連接，目的是允許一客戶從自己的計算機 的 FTP serverPI（ 協(xié)議解釋器）進行連接，建立一個控制通信連接。若是打開的端口，數據包也被丟掉，但不返回 RST 全國信息化計算機應用技術資格認證管理中心 端口掃描技術 (續(xù) ) ? 隱蔽掃描技術 (續(xù) ) ? TCP Xmas 和 TCP Null 掃描 Xmas掃描打開 FIN、 URG和 PUSH標記，而 Null掃描關閉所有標記?，F有的半開放掃描有TCP SYN掃描和 IP ID頭 dumb掃描等 全國信息化計算機應用技術資格認證管理中心 端口掃描技術 (續(xù) ) ? TCP間接掃描 ? 掃描主機通過偽造第三方主機 IP地址向目標主機發(fā)起 SYN掃描，并通過觀察其 IP序列號的增長規(guī)律獲取端口的狀態(tài) ? 隱蔽掃描技術 ? TCP FIN 掃描 掃描器向目標主機端口發(fā)送 FIN包。 如果應答中包含 SYN和 ACK包 ， 說明目標端口處于監(jiān)聽狀態(tài) ， 再傳送一個 RST包給目標機從而停止建立連接 。連接由系統(tǒng)調用 connect()開始 ?如果端口開放，則連接將建立成功 ?如果目標端口處于關閉狀態(tài)，則目標主機會 向掃描主機發(fā)送 RST的響應 ? TCP反向 ident掃描 全國信息化計算機應用技術資格認證管理中心 端口掃描技術 (續(xù) ) ? 半開放（ SYN） 掃描 ? 掃描程序發(fā)送的是一個 SYN數據包 ， 一個SYN|ACK的返回信息表示端口處于偵聽狀態(tài) 。 并 隨 后 發(fā) 送 k e e p a l i v e 消 息會 話 初 始 化 ： 由 發(fā) 起 方 （ 成 為 M a s t e r ） 發(fā) 出初 始 化 消 息 ， 并 攜 帶 協(xié) 商 參 數期 間 收 到 任 何 差 錯 消 息 ， 均 關 閉 會 話 ， 斷 開T C P 連 接全國信息化計算機應用技術資格認證管理中心 MPLS VPN及其相關技術 (續(xù) ) ? 標簽（ Label） (續(xù) ) ? MPLS信令： RSVP ?Path消息 ?Resv消息 ?PathTear消息 ?ResvTear消息 ?PathErr消息 ?ResvErr消息 ?ResvConf消息 PATH PATH PATH PATH消息示意圖 RESV消息示意圖 RESV:295 RESV:137 RESV:0 全國信息化計算機應用技術資格認證管理中心 MPLS VPN及其相關技術 (續(xù) ) ? MPBGP和 BGP/MPLS VPN ? VPN地址重疊 運營商網絡 分支結構 A： VPN網絡地址 分支結構 B： VPN網絡地址 總部： VPN網絡地址 全國信息化計算機應用技術資格認證管理中心 MPLS VPN及其相關技術 (續(xù) ) ? MPBGP和 BGP/MPLS VPN (續(xù) ) ? BGP解決方法 ?在同一臺路由器上創(chuàng)建不同的路由表來解決 本地路由沖突 ?為每條不同的路由添加一個惟一的標識 ?同時在 IP包頭之外附加信息 全國信息化計算機應用技術資格認證管理中心 MPLS VPN及其相關技術 (續(xù) ) ? MPBGP和 BGP/MPLS VPN (續(xù) ) ? VRF是在 PE上虛擬出來的一個路由器，包括一些特定的接口、一張路由表、一個路由協(xié)議、一個 RD和一組 RT規(guī)則 公司 A 公司 B 公司 B 公司 A PE PE 運營商網絡 公司 A 公司 B 公司 B 公司 A PE 運營商網絡 專用 PE的示意圖 VRF方式的示意圖 全國信息化計算機應用技術資格認證管理中心 MPLS VPN及其相關技術 (續(xù) ) ? MPBGP和 BGP/MPLS VPN (續(xù) ) ? VRF表的 RD和 RT屬性 ?RD定義 ?RT定義 Type (0x0002) Type (0x0102) AS (16bit) IP address (32bit) Value (32bit) Value (16bit) 類型 管理子域 分配地址子域 IP地址前綴 6字節(jié)的值域 2字節(jié)的類型域 8字節(jié)的路由標識 RD 4字節(jié)的 IP地址 全國信息化計算機應用技術資格認證管理中心 MPLS VPN及其相關技術 (續(xù) ) ? BGP/MPLS VPN的體系結構 ? 路由信息分發(fā)過程 ? CEPE間路由協(xié)議 PE CE CE 標準路由協(xié)議 標準路由協(xié)議 全國信息化計算機應用技術資格認證管理中心 MPLS VPN及其相關技術 (續(xù) ) ? 路由信息分發(fā)過程 (續(xù) ) ? PEPE間路由協(xié)議 VPNv4 update:? RD:1:32:, Nexthop=PE B?SOO=Tsinghua, RT=VPNA, Label=(79) BGP, OSPF, RIPv2 update for ,NextHop=CE B 標準路由協(xié)議 標準路由協(xié)議 CE B CE A PE B PE A MPiBGP 全國信息化計算機應用技術資格認證管理中心 MPLS VPN及其相關技術 (續(xù) ) ? 路由信息分發(fā)過程 (續(xù) ) ? CE接收路由 VPNv4 update:? RD:1:32:, Nexthop=PE B?SOO=Tsinghu