網(wǎng)絡(luò)安全培訓(xùn)/sundae_meng主要內(nèi)容網(wǎng)絡(luò)安全的概念安全的網(wǎng)絡(luò)常見網(wǎng)絡(luò)攻擊的介紹常見主機(jī)攻擊介紹安全的主機(jī)網(wǎng)絡(luò)監(jiān)測事故處理案例分析FAQ/sundae_meng計(jì)算機(jī)安全簡介/sundae_meng安全？什么是計(jì)算機(jī)安全？誰定義計(jì)算機(jī)安全？計(jì)算機(jī)安全(公安部定義1994)：計(jì)算機(jī)系統(tǒng)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)不能連續(xù)正常運(yùn)行。

計(jì)算機(jī)安全的含義(1991)：避免竊取和破壞硬件避免竊取和破壞信息避免破壞服務(wù)/sundae_meng保密性、完整性和服務(wù)失效保密性：防止信息在非授權(quán)情況下的泄漏。完整性：保護(hù)信息使其不致被篡改或破壞。服務(wù)失效：臨時(shí)降低系統(tǒng)性能、系統(tǒng)崩潰而需要人工重新啟動(dòng)、因數(shù)據(jù)永久性丟失而導(dǎo)致較大范圍的系統(tǒng)崩潰。/sundae_meng可信系統(tǒng)的評價(jià)準(zhǔn)則類別名稱主要特征A1驗(yàn)證設(shè)計(jì)形式化的最高級描述和驗(yàn)證，形式化的隱密通道分析，非形式化的代碼一致性證明B3安全區(qū)域存取監(jiān)督器(安全內(nèi)核)，高抗?jié)B透能力B2結(jié)構(gòu)化保護(hù)形式化模型，隱密通道約束，面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B1有標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)，刪去安全相關(guān)的缺陷C2受控存取保護(hù)單獨(dú)的可說明性，廣泛的審核，附加軟件包C1任意安全保護(hù)任意存取控制，在共同工作的用戶中防止事故D低級保護(hù)不分等級/sundae_meng計(jì)算機(jī)安全的內(nèi)容計(jì)算機(jī)實(shí)體安全軟件安全數(shù)據(jù)安全運(yùn)行安全環(huán)境安全/sundae_meng網(wǎng)絡(luò)安全概述/sundae_meng網(wǎng)絡(luò)安全概述什么是網(wǎng)絡(luò)安全？誰定義網(wǎng)絡(luò)安全？體系是網(wǎng)絡(luò)安全的重要特性安全需求和安全政策/sundae_meng主要的網(wǎng)絡(luò)安全體系安全管理制度安全域邊界管理數(shù)據(jù)安全體制安全監(jiān)測分析系統(tǒng)病毒防護(hù)？自動(dòng)安全管理系統(tǒng)？……/sundae_meng網(wǎng)絡(luò)安全體系示意/sundae_meng不同體系所面對的威脅不同體系面對不同來源的威脅管理制度面對人的威脅邊界管理面對來自網(wǎng)絡(luò)外部的威脅數(shù)據(jù)安全體制主要針對內(nèi)部或外部信道的威脅(此外，防止泄密、進(jìn)行鑒別等)安全監(jiān)測系統(tǒng)用于發(fā)現(xiàn)和補(bǔ)救存在的危險(xiǎn)/sundae_meng威脅從何而來？安全的模糊性網(wǎng)絡(luò)的開放性產(chǎn)品的壟斷性技術(shù)的公開性人類的天性/sundae_meng安全的模糊性安全是相對的，不易明確安全的目標(biāo)安全是復(fù)雜的，不易認(rèn)清存在的問題安全是廣泛的，不易普及安全的知識(shí)/sundae_meng網(wǎng)絡(luò)的開放性互聯(lián)機(jī)制提供了廣泛的可訪問性Client-Server模式提供了明確的攻擊目標(biāo)開放的網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)為入侵提供了線索用戶的匿名性為攻擊提供了機(jī)會(huì)/sundae_meng產(chǎn)品的壟斷性工業(yè)界試圖將專用技術(shù)引入Internet以獲得壟斷地位，從而將開放式的環(huán)境演變?yōu)樯唐坊沫h(huán)境，如ActiveX。專用技術(shù)的細(xì)節(jié)通常受到有關(guān)廠家的保護(hù)，因而缺乏廣泛的安全討論，容易出現(xiàn)安全缺陷，例如ActiveX允許進(jìn)行控件下載，又缺乏對控件的運(yùn)行約束。/sundae_meng技術(shù)的公開性如果不能集思廣益，自由地發(fā)表對系統(tǒng)的建議，則會(huì)增加系統(tǒng)潛在的弱點(diǎn)被忽視的危險(xiǎn)，因此Internet要求對網(wǎng)絡(luò)安全問題進(jìn)行坦率公開地討論。基于上述原則，高水平的網(wǎng)絡(luò)安全資料與工具在Internet中可自由獲得。/sundae_meng人類的天性好奇心、顯示心惰性和依賴心理家丑不可外揚(yáng)/sundae_meng安全管理制度木桶原則：木桶盛水的高度等于其最短的木板的長度安全鏈條：鏈條的強(qiáng)度等于其最弱一環(huán)的強(qiáng)度“人”是最短的木板和最弱的一環(huán)!!!/sundae_meng網(wǎng)絡(luò)邊界安全/sundae_meng網(wǎng)絡(luò)邊界安全使用防火墻!?什么是防火墻!？機(jī)房里用防火磚砌的墻???不同的人對防火墻有不同的定義!!!一種定義：防火墻是允許或不允許特定信息通過網(wǎng)絡(luò)的某一關(guān)鍵路徑的訪問控制政策/sundae_meng防火墻和關(guān)鍵路徑關(guān)鍵路徑可以是物理的也可以是邏輯的/sundae_meng防火墻體系IPPacketFilter(如路由器中的accesslist)堡壘主機(jī)、多協(xié)議過濾器(如checkpoint防火墻)應(yīng)用級防火墻(如Proxy、分裂的DNS,Sendmail、WEB過濾的Gaunlet防火墻)參考OSI模型的近似防火墻分層體系/sundae_meng信息安全與網(wǎng)絡(luò)安全/sundae_meng數(shù)據(jù)安全數(shù)據(jù)保密：密碼體制。內(nèi)容完整：數(shù)字簽名，信息摘錄。無否認(rèn)：公證機(jī)制，審計(jì)功能，數(shù)字簽名。/sundae_meng網(wǎng)絡(luò)安全傳輸安全：數(shù)據(jù)保密，內(nèi)容完整；訪問安全：身份認(rèn)證，訪問控制；運(yùn)行安全：基礎(chǔ)設(shè)施的可靠性，安全監(jiān)測。/sundae_meng訪問控制用于限定對網(wǎng)絡(luò)的使用，包括對某個(gè)用戶進(jìn)行訪問控制；和對某個(gè)資源進(jìn)行訪問控制。端系統(tǒng)訪問控制自主訪問控制強(qiáng)制訪問控制基于角色的訪問控制政策網(wǎng)絡(luò)的訪問控制：防火墻技術(shù)/sundae_meng構(gòu)建安全的網(wǎng)絡(luò)/sundae_meng構(gòu)建安全的網(wǎng)絡(luò)明確安全需求制定安全政策在邊界建立符合安全政策的防火墻體系劃分內(nèi)部的安全政策域?qū)μ囟ǖ闹鳈C(jī)節(jié)點(diǎn)進(jìn)行加固使用合理的訪問控制政策、鑒別機(jī)制和數(shù)據(jù)安全體制建立有效的可承受的監(jiān)測體制/sundae_meng明確安全需求不同的網(wǎng)絡(luò)安全需求是不同的安全需求是建立安全政策的基礎(chǔ)例如校園網(wǎng)可以有：保證網(wǎng)絡(luò)的可用：路由器不癱瘓、郵件發(fā)送正常等等保證網(wǎng)絡(luò)用戶使用的可管理防止出現(xiàn)異常的流量導(dǎo)致異常的費(fèi)用防止對核心服務(wù)器的攻擊，以保護(hù)學(xué)校的聲望對學(xué)校某學(xué)生的機(jī)器不特別關(guān)心，除非他報(bào)案/sundae_meng制定安全政策根據(jù)安全需求制定安全政策安全政策可以是形式化的，也可以是口語化的安全政策表示的是什么是允許的什么是不允許的例如(可以不用書面定義，可以包括所采用的技術(shù)手段的種類)：在邊界使用防火墻，允許內(nèi)部注冊用戶的對外訪問，禁止隨意的對內(nèi)部訪問等內(nèi)部開發(fā)網(wǎng)段使用SSH作為數(shù)據(jù)安全手段鑒別采用口令認(rèn)證的方式/sundae_meng在邊界建立符合安全政策的防火墻體系Internet路由器防火墻WWW、SMTPProxy內(nèi)部用戶DMZ/sundae_meng劃分內(nèi)部的安全政策域例如某公司可以劃為：用戶上網(wǎng)域、服務(wù)器域、開發(fā)域等Internet路由器WWW、SMTP內(nèi)部開發(fā)區(qū)服務(wù)器域(DMZ)用戶上網(wǎng)區(qū)

服務(wù)器 開發(fā)服務(wù)器 禁止開發(fā)禁止(允許FTP)/sundae_meng對特定的主機(jī)節(jié)點(diǎn)進(jìn)行加固對特殊位置的主機(jī)必須進(jìn)行加固如上例WWW服務(wù)器和Mail服務(wù)器對于內(nèi)部開發(fā)服務(wù)器也需要加固可以制定一定的制度，要求內(nèi)部員工也對各自的主機(jī)進(jìn)行加固/sundae_meng使用合理的訪問控制、鑒別機(jī)制和數(shù)據(jù)安全體制建立授權(quán)訪問控制的政策，例如：哪些人可以訪問哪些信息、權(quán)限如何等選擇內(nèi)部或外部使用的鑒別機(jī)制，例如口令機(jī)制、證書、LDAP、NIS選擇使用或不使用數(shù)據(jù)安全體制，使用哪種數(shù)據(jù)安全體制，例如CA、KDC。如采用Kerberos(KDC)/sundae_meng建立有效的可承受的監(jiān)測體制使用不使用安全監(jiān)測系統(tǒng)基于網(wǎng)絡(luò)還是基于主機(jī)的安全監(jiān)測系統(tǒng)例如：在邊界上使用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)在服務(wù)器上使用基于主機(jī)的安全狀態(tài)檢查系統(tǒng)等等/sundae_meng總結(jié)計(jì)算機(jī)安全是指對計(jì)算機(jī)硬件、軟件和數(shù)據(jù)的保護(hù)網(wǎng)絡(luò)安全是成體系的網(wǎng)絡(luò)邊界的管理常常使用防火墻體系信息安全依靠數(shù)據(jù)安全體系保障安全監(jiān)測體系可以用于發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為根據(jù)安全需求和安全政策建立相對安全的網(wǎng)絡(luò)/sundae_meng常見攻擊介紹針對網(wǎng)絡(luò)的攻擊拒絕服務(wù)攻擊（DenyofService)針對主機(jī)的攻擊緩沖區(qū)溢出攻擊（bufferoverflow)后門和木馬(backdoor&Trojan)蠕蟲、病毒/sundae_meng網(wǎng)絡(luò)入侵的步驟(簡單服務(wù)失效攻擊)獲取目標(biāo)系統(tǒng)信息從遠(yuǎn)程獲取系統(tǒng)的部分權(quán)利從遠(yuǎn)程獲取系統(tǒng)的特權(quán)清除痕跡留后門破壞系統(tǒng)/sundae_meng常見網(wǎng)絡(luò)攻擊

－－DoS消耗有限資源網(wǎng)絡(luò)鏈接帶寬消耗其他資源處理時(shí)間磁盤空間賬號封鎖配置信息的改變/sundae_mengDoS分類Synflood其他flood（smurf等）分布式DoS(DDoS)/sundae_mengSynflood攻擊原理攻擊TCP協(xié)議的實(shí)現(xiàn)攻擊者不完成TCP的三次握手服務(wù)器顯示TCP半開狀態(tài)的數(shù)目與帶寬無關(guān)通常使用假冒的源地址給追查帶來很大的困難/sundae_mengTCPThree-WayHandshakeSYNClientwishestoestablishconnectionSYN-ACKServeragreestoconnectionrequestACKClientfinisheshandshakeClientinitiatesrequestConnectionisnow

half-openClientconnectionEstablishedServerconnectionEstablishedClientconnectingtoaTCPport/sundae_mengSYNFloodIllustratedClientspoofsrequesthalf-openShalf-openShalf-openSQueuefilledSQueuefilledSQueuefilledSSASASAClientSYNFlood/sundae_mengSynflood攻擊實(shí)例服務(wù)器很容易遭到該種攻擊南郵“紫金飛鴻”曾遭受該攻擊的困擾/sundae_mengSYNFloodProtectionCiscoroutersTCP截取截取SYN報(bào)文，轉(zhuǎn)發(fā)到server建鏈成功后在恢復(fù)client與server的聯(lián)系CheckpointFirewall-1SYNDefender與Cisco路由器的工作原理累死攻擊者依然可以成功耗盡路由器或者防火墻的資源/sundae_mengTCPInterceptIllustratedRequestconnectionAnswersforserverSSAFinisheshandshakeARequestconnectionServeranswersSSAFinisheshandshakeAKnithalfconnections/sundae_mengSYNFloodPrevention增加監(jiān)聽隊(duì)列長度依賴與操作系統(tǒng)的實(shí)現(xiàn)將超時(shí)設(shè)短半開鏈接能快速被淘汰有可能影響正常使用采用對該攻擊不敏感的操作系統(tǒng)BSDWindows/sundae_mengSmurf攻擊原理一些操作系統(tǒng)的實(shí)現(xiàn)會(huì)對目的地址是本地網(wǎng)絡(luò)地址的ICMP應(yīng)答請求報(bào)文作出答復(fù)。以網(wǎng)絡(luò)地址為目標(biāo)地址發(fā)送ICMO應(yīng)答請求報(bào)文，其中很多主機(jī)會(huì)作出應(yīng)答。攻擊者將ICMP報(bào)文源地址填成受害主機(jī)，那么應(yīng)答報(bào)文會(huì)到達(dá)受害主機(jī)處，造成網(wǎng)絡(luò)擁塞。/sundae_mengSmurfAttackIllustratedICMPEchoRequestSrc:targetDest:55AttackerspoofsaddressAmplifier:

Everyhostreplies/sundae_mengSmurf攻擊的預(yù)防關(guān)閉外部路由器或防火墻的廣播地址特性；防止目標(biāo)地址為廣播地址的ICMP報(bào)文穿入。成為smurf攻擊的目標(biāo)，需要在上級網(wǎng)絡(luò)設(shè)備上做報(bào)文過濾。/sundae_meng分布式DoS(DistributedDOS)從多個(gè)源點(diǎn)發(fā)起攻擊堵塞一個(gè)源點(diǎn)不影響攻擊的發(fā)生采用攻擊二級結(jié)構(gòu)攻擊控制用的稱為handlers發(fā)起攻擊用的agents攻擊目標(biāo)為targets/sundae_mengDDOSIllustratedClientAgentHandlerAgentAgentHandlerAgentAgentAgent/sundae_mengDDoS攻擊目前沒有很好的預(yù)防方法DDoS攻擊開銷巨大但是一般主機(jī)不可能成為DDoS的目標(biāo)Yahoo曾經(jīng)遭受過DDoS攻擊Sadmind/unicode蠕蟲為DDoS做準(zhǔn)備/sundae_meng針對主機(jī)的攻擊緩沖區(qū)溢出后門和木馬蠕蟲、病毒/sundae_meng緩沖區(qū)溢出程序收到的參數(shù)比預(yù)計(jì)的長程序的棧結(jié)構(gòu)產(chǎn)生混亂任意輸入會(huì)導(dǎo)致服務(wù)器不能正常工作精心設(shè)計(jì)的輸入會(huì)導(dǎo)致服務(wù)器程序執(zhí)行任意指令/sundae_mengBufferOverflowIllustratedmain(){

show(“THISIS

MORETHAN24CHARACTERS!”);}show(char*p){strbuff[24];

strcpy(strbuf,p);}Stackmain()datamain()returnSavedregisterShow()data

Strbuf

24bytes

strcpy()returnERS!

THIS

.IS.MORE

.THA

N.24

.CHARACT

>

>

>

>

>Returnaddresscorrupt/sundae_meng緩沖區(qū)溢出的預(yù)防聯(lián)系供應(yīng)商下載和安裝相關(guān)的補(bǔ)丁程序如果有源代碼自己修改源代碼，編譯安裝/sundae_meng后門和木馬應(yīng)用背景：攻入系統(tǒng)之后，為以后方便、隱蔽的進(jìn)入系統(tǒng)，有時(shí)候攻擊者會(huì)在系統(tǒng)預(yù)留后門。Trojanhorse:Aprogramthatappearstoserveonepurpose,butitrealityperformsanunrelated(andoftenmalicious)task./sundae_meng后門、木馬技術(shù)

－－獲得系統(tǒng)控制權(quán)之后，可以做什么？修改系統(tǒng)配置修改文件系統(tǒng)添加系統(tǒng)服務(wù)后門技術(shù)通常采用以上的手段或其組合。/sundae_meng后門、木馬的檢測和預(yù)防MD5基線給干凈系統(tǒng)文件做MD5校驗(yàn)定時(shí)做當(dāng)前系統(tǒng)的MD5校驗(yàn)，并做比對入侵檢測系統(tǒng)后門活動(dòng)有一定的規(guī)律安裝入侵檢測系統(tǒng)，一定程度上能夠發(fā)現(xiàn)后門從CD-ROM啟動(dòng)防止后門隱藏在引導(dǎo)區(qū)中/sundae_meng蠕蟲能夠自行擴(kuò)散的網(wǎng)絡(luò)攻擊程序各種攻擊手段的組合有時(shí)候?yàn)镈DoS做攻擊準(zhǔn)備具體問題具體分析/sundae_meng一個(gè)蠕蟲實(shí)例第一步，隨機(jī)生成IP作為二級受害主機(jī)的超集，對這些IP所在的C類網(wǎng)段的111口進(jìn)行橫向掃描（檢測是否存在rpc服務(wù)），保存結(jié)果，獲得存在rpc服務(wù)的主機(jī)集合；第二步，對上述存在rpc服務(wù)的主機(jī)，檢測是否運(yùn)行sadmind服務(wù)，保存檢測結(jié)果，獲得存在sadmind服務(wù)的主機(jī)集合，即二級受害主機(jī)集合一；第三步，對二級受害主機(jī)集一以輪詢方式嘗試sadmind棧溢出攻擊；/sundae_meng蠕蟲實(shí)例（續(xù)上）第四步，檢查棧溢出攻擊是否成功。如果成功則進(jìn)行第五步（擴(kuò)散攻擊系統(tǒng)）否則跳第九步（進(jìn)行另一種攻擊嘗試）；第五步，sadmind棧溢出攻擊成功后，攻擊程序可以通過登錄二級受害主機(jī)的600口獲得一個(gè)具有超級用戶權(quán)限的shell。攻擊程序利用這個(gè)shell，添加二級受害主機(jī)對一級受害主機(jī)的信任關(guān)系，使一級受害主機(jī)可以執(zhí)行二級受害主機(jī)的遠(yuǎn)程shell指令。/sundae_meng一個(gè)蠕蟲實(shí)例（續(xù)上）第六步，一級受害主機(jī)將攻擊代碼上載至二級受害主機(jī)，設(shè)置二級受害主機(jī)的攻擊環(huán)境，修改系統(tǒng)啟動(dòng)文件并且消除入侵痕跡。第七步，一級受害主機(jī)遠(yuǎn)程啟動(dòng)二級受害主機(jī)的攻擊進(jìn)程。由于在第六步中，一級受害主機(jī)設(shè)置了二級受害主機(jī)的攻擊環(huán)境、修改了系統(tǒng)配置，因此，二級受害主機(jī)不能通過重新啟動(dòng)系統(tǒng)阻止CUC攻擊的擴(kuò)散。這樣，二級受害主機(jī)迅速完成了從受害者到“幫兇”的角色轉(zhuǎn)換。/sundae_meng一個(gè)蠕蟲實(shí)例（續(xù)上）第八步，一級受害主機(jī)發(fā)現(xiàn)它作為攻擊者已經(jīng)成功的感染了一定數(shù)量的主機(jī)（目前已發(fā)現(xiàn)版本的數(shù)量為2000）后，允許自身暴露。第九步，隨機(jī)生成IP作為二級受害主機(jī)的超集，對這些IP所在的C類網(wǎng)段的80口進(jìn)行橫向掃描（檢測是否為WWW服務(wù)器），保存結(jié)果，獲得存在WWW服務(wù)的主機(jī)集合（即二級受害主機(jī)集合二）；第十步，對二級受害主機(jī)集合嘗試UNICODE攻擊（該攻擊針對WindowsNT系列系統(tǒng)），試圖修改其主頁。

/sundae_meng攻擊示意圖/sundae_mengUNIX簡史/sundae_mengUNIX安全管理基本原則好的安全管理起始于安全規(guī)劃危險(xiǎn)評估哪些需要被保護(hù)？他們有多大的價(jià)值？要使他抵御什么樣的危險(xiǎn)？怎樣來保護(hù)？/sundae_mengUNIX安全管理基本原則（續(xù)上）成本收益分析用戶培訓(xùn)了解社會(huì)工程管理員素質(zhì)培養(yǎng)遵守安全守則/sundae_meng安全的主機(jī)（UNIX）主機(jī)的安全配置配置管理服務(wù)裁剪主機(jī)的安全管理日常安全管理系統(tǒng)審計(jì)常用工具介紹/sundae_mengUNIX的安全配置帳號管理文件系統(tǒng)的管理服務(wù)管理/sundae_meng一個(gè)UNIX防御模型/sundae_mengUNIX帳號管理侵入系統(tǒng)最簡潔的方式是獲得系統(tǒng)帳號選擇安全的口令最安全的口令是完全隨機(jī)的由字母、數(shù)字、標(biāo)點(diǎn)、特殊字符組成選擇的口令要經(jīng)得住兩層攻擊依據(jù)個(gè)人信息猜測用口令猜測程序猜測/sundae_mengUNIX帳號管理（續(xù)上）口令禁忌不要選擇字典中的單詞不要選擇簡單字母組合（abcdef等）不要選擇任何指明個(gè)人信息的口令不要選擇包含用戶名的口令盡量不要短于6個(gè)字符不要選擇全大寫或者全小寫的組合/sundae_mengUNIX帳號管理（續(xù)上）好的口令不能短于6個(gè)字符選擇包含非字母字符的口令選擇一個(gè)容易記住而不必寫下來的口令選擇一個(gè)易于輸入的口令口令不能落紙關(guān)閉不必要的帳號/sundae_mengUNIX文件系統(tǒng)安全定義用戶安全級別系統(tǒng)文件的訪問控制重要數(shù)據(jù)的備份和加密存放重要數(shù)據(jù)一定要做分機(jī)備份外部可訪問主機(jī)的重要數(shù)據(jù)需要加密存放/sundae_mengUNIX文件系統(tǒng)安全Webserver學(xué)生資料庫internet/sundae_mengUNIX啟動(dòng)過程UNIX啟動(dòng)（Redhat6.0Linux2.2.19forAlpha/AXP）BootloaderKernel引導(dǎo)入口核心數(shù)據(jù)結(jié)構(gòu)初始化--內(nèi)核引導(dǎo)第一部分外設(shè)初始化--內(nèi)核引導(dǎo)第二部分init進(jìn)程和inittab引導(dǎo)指令rc啟動(dòng)腳本getty和loginbash/sundae_mengUNIX服務(wù)配置基本原則盡量關(guān)閉不必要的服務(wù)服務(wù)越多，被攻入的可能性越大服務(wù)裁剪參考UNIX的啟動(dòng)過程減弱inetd的能力消弱cron中定時(shí)啟動(dòng)的服務(wù)/sundae_meng服務(wù)裁剪－－linux把/etc/inetd.conf中的大部分服務(wù)都注釋掉，僅僅保留所需要的部分服務(wù)。

在該配置文件中沒有不可以注釋的部分。在一般情況下可以保留telnet、FTP，以及其它該服務(wù)器所提供的特殊服務(wù)，如DNS服務(wù)器的named等等

注釋方法為：在不使用的服務(wù)前加‘#’/sundae_meng服務(wù)裁剪－－linux（cont.）需要注意：Linux自身攜帶的FTPd在許多版本中有安全漏洞。

reboot系統(tǒng)

Linux各版本內(nèi)核注釋方法基本相同。

/sundae_meng服務(wù)裁剪－－linux（cont.）超級用戶(root)直接使用命令：

linuxconf選擇Control(ControlPanel)

Controlserviceactivity僅保留以下服務(wù)：inet,keytable,kudzu,linuxconf(即該配置界面)，network,syslog。

此外，部分Linux也可以在控制臺(tái)上使用setup命令進(jìn)行配置。如果可以使用setup則linuxconf服務(wù)建議關(guān)閉。

/sundae_meng服務(wù)裁剪－－Solaris為了系統(tǒng)安全，盡量減少系統(tǒng)對外提供的服務(wù)，使系統(tǒng)服務(wù)最小化。編輯/etc/inetd.conf文件，注釋調(diào)所有不需要的服務(wù)(在注釋行開始加入’#’)。其中可以被注釋的一些比較有代表性的服務(wù)有：shell,login,exec,talk,combat,uucp,tftp,finger,netstat,ruserd,sprayd,walld,rstatd,cmsd,ttdbserverd等等，可以僅保留需要使用的telnet、FTP、DNS(d)等等。需要特別注意Solaris系統(tǒng)自身攜帶的DNS(d)、FTP、POP、IMAP等主要服務(wù)均有問題。/sundae_meng服務(wù)裁剪－－Solaris(續(xù))

注釋掉服務(wù)后重新啟動(dòng)inetdPs–ef|grepinetd獲得inetd的進(jìn)程號Kill–9processid殺死inetd進(jìn)程/usr/sbin/inetd-s重新啟動(dòng)inetdSunOS5.7與上面類似上述服務(wù)中，只保留必須的服務(wù)，并且務(wù)必保證運(yùn)行服務(wù)的版本的及時(shí)更新。/sundae_meng服務(wù)裁剪－－Solaris(續(xù))通過注釋掉不必要的RC程序，可以使某些服務(wù)不啟動(dòng)。對于Solaris系統(tǒng)而言，可以在非MAIL服務(wù)器上注釋掉sendmail服務(wù)；可以在不需要使用NFS的環(huán)境下注釋掉statd服務(wù)和automountd服務(wù)；/sundae_meng服務(wù)裁剪－－Solaris(續(xù))注釋的方法為：進(jìn)入/etc目錄，在rc0.d到rc6.d的各個(gè)目錄中，利用grep命令搜索自己關(guān)心的服務(wù)發(fā)現(xiàn)啟動(dòng)的文件后，把該文件移走即可。為了防止將來需要使用該文件建議使用如下方法：在/etc目錄下建立rcbackuprc目錄，對文件做備份具體資料見附件/sundae_mengUNIX主機(jī)的安全管理日常管理原則系統(tǒng)審計(jì)常用管理工具介紹/sundae_meng日常管理原則管理員必須對主機(jī)全權(quán)管理必須是管理員管理管理員必須管理管理員必須定期審計(jì)主機(jī)系統(tǒng)軟件的安裝必須進(jìn)行授權(quán)超級用戶的控制原則上只有管理員和備份管理員有超級用戶口令超戶的擴(kuò)散必須有足夠的理由/sundae_meng系統(tǒng)審計(jì)日常審計(jì)系統(tǒng)進(jìn)程檢查系統(tǒng)服務(wù)端口檢查系統(tǒng)日志檢查針對性審計(jì)懷疑發(fā)生攻擊后，對系統(tǒng)進(jìn)行針對性審計(jì)針對具體懷疑情況，具體操作。/sundae_meng日常審計(jì)系統(tǒng)進(jìn)程檢查ps–ef|more(solaris)ps–ax|more(linux)系統(tǒng)管理員應(yīng)該清楚系統(tǒng)應(yīng)該啟動(dòng)哪些進(jìn)程/sundae_meng日常審計(jì)－－系統(tǒng)進(jìn)程/sundae_meng服務(wù)器端口檢查netstat–a列出所有活動(dòng)端口管理員應(yīng)該熟知所管理系統(tǒng)應(yīng)該活動(dòng)的端口發(fā)現(xiàn)異常端口活動(dòng)，那么這個(gè)系統(tǒng)的可靠性值得懷疑/sundae_meng日志檢查系統(tǒng)日志位置/var/adm/messages.*(solaris)/var/log/messages.*(linux)日志的生成syslogdminilogd/sundae_meng日志檢查記錄重要的系統(tǒng)事件是系統(tǒng)安全的一個(gè)重要因素使用wtmp/utmp文件的連接時(shí)間日志使用acct和pacct文件的進(jìn)程統(tǒng)計(jì)經(jīng)過syslogd實(shí)施的錯(cuò)誤日志日志為兩個(gè)重要功能提供數(shù)據(jù)：審計(jì)和監(jiān)測/sundae_meng日志檢查日志使用戶對自己的行為負(fù)責(zé)日志能夠幫助檢測日志最重要的功能使制止日志文件本身易被攻擊/sundae_meng日志檢查日志是否缺失？日志是否異常缺失是否有段錯(cuò)誤登錄失敗記錄其他異常情況/sundae_meng一個(gè)例子/sundae_meng第二個(gè)例子/sundae_meng日志檢查應(yīng)用程序日志mail－maillog(或syslog)ftp－xferlog存放在Linux在相同的目錄下Apacheaccess_log和error_log帳號相關(guān)日志lastlog－last命令sulog(solaris)/sundae_meng一種日常系統(tǒng)審計(jì)的方法見附件－系統(tǒng)檢查流程/sundae_meng針對性審計(jì)針對流行蠕蟲的審計(jì)參考當(dāng)前流行蠕蟲的行為和表現(xiàn)，對系統(tǒng)進(jìn)行檢查。例如：Cinikworm。/announce/show.php?handle=42/sundae_meng針對性審計(jì)緩沖區(qū)攻擊漏洞檢查系統(tǒng)中是否有core文件如果有，檢查core文件是由哪個(gè)可執(zhí)行碼生成的。（filecore)上網(wǎng)查詢懷疑被緩沖區(qū)溢出的服務(wù)是否存在漏洞，并且將特征進(jìn)行比對。安全專家還可以對core文件進(jìn)行觀察和調(diào)試/sundae_meng針對性審計(jì)后門和木馬的檢測對系統(tǒng)命令做MD5校驗(yàn)，與干凈系統(tǒng)的MD5校驗(yàn)和進(jìn)行比對login文件in.telnetd文件ls,du,dk,find等常用命令/sundae_meng針對性審計(jì)后門和木馬的檢測（續(xù)上）觀察系統(tǒng)配置和系統(tǒng)服務(wù)是否正常inetd.conf是否被修改過？cron的配置文件是否被修改過？rc.d系列有沒有被修改過inetd.conf中啟動(dòng)的服務(wù)可執(zhí)行碼是否被修改過/sundae_mengUNIX常用工具介紹日志工具綜述Chklastlog:該工具通過檢查/var/adm/lastlog和/var/adm/wtmp之間的不一致性來刪除信息。程序找出記錄在wtmp中，而在lastlog中沒有的用戶登錄ID。下載參見：/pub/tools/unix/chklastlog通過搜索引擎搜索，關(guān)鍵字chklastlog/sundae_mengUNIX常用工具介紹日志檢查工具Logcheck檢查日志文件中違反安全或不正常的活動(dòng)，并用電子郵件發(fā)送警告的信息?？梢酝ㄟ^設(shè)定關(guān)鍵字來報(bào)告需要查找的事件可以通過設(shè)定關(guān)鍵字來報(bào)告它所忽略的事件下載參見：/abacus/logcheck通過搜索引擎檢索/sundae_mengUNIX常用工具介紹日志檢查工具Swatch能夠方便的處理種類繁多的日志事件有效的減輕管理員的負(fù)擔(dān)支持用戶自定義的檢索模式很有效，被使用過的日志檢查工具通過搜索引擎檢測能夠獲得下載地址/sundae_mengUNIX常用工具介紹弱點(diǎn)發(fā)現(xiàn)工具基于主機(jī)的弱點(diǎn)發(fā)現(xiàn)工具系統(tǒng)配置錯(cuò)誤不安全的權(quán)限設(shè)置所有用戶可寫的文件SUID/SGID文件crontab條目Sendmail和ftp的設(shè)置脆弱的口令和空口令系統(tǒng)的文件改動(dòng)/sundae_mengUNIX常用工具介紹常見工具cops,tiger,tara不論使用什么工具，用戶都應(yīng)該定期（對重要的主機(jī)，每天）進(jìn)行弱點(diǎn)測試下列情況下需要測試：安全一個(gè)新系統(tǒng)懷疑收到了入侵確定收到了入侵應(yīng)該不定期測試，以防止攻擊者發(fā)現(xiàn)了時(shí)間安排而進(jìn)行工具/sundae_mengUNIX常用工具Cops/pub/tools/unix/cops/1.04/Tara通過搜索引擎檢索下載/sundae_mengUNIX常用工具介紹基于網(wǎng)絡(luò)的弱點(diǎn)發(fā)現(xiàn)工具掃描器漏洞掃描：檢測系統(tǒng)服務(wù)的漏洞網(wǎng)絡(luò)掃描：檢測網(wǎng)絡(luò)的可用性，主機(jī)的可達(dá)性網(wǎng)絡(luò)監(jiān)測設(shè)備/sundae_mengUNIX常用工具介紹漏洞掃描器SATANSAINTNESSUSInternetSecurityScanner(ISS)端口掃描工具NMAP/sundae_mengUNIX常用工具介紹端系統(tǒng)掃描（以saint為例）一個(gè)綜合的網(wǎng)絡(luò)安全檢查工具

最簡單工作模式

高級模式

命令行工作模式基于Web工作模式（client/server模式）掃描器使用的訪問控制/sundae_mengSAINT的使用－－啟動(dòng)/sundae_mengSAINT的使用－－運(yùn)行/sundae_mengSAINT的使用－－/sundae_mengUNIX常用工具掃描器使用警告不要在一個(gè)遠(yuǎn)程系統(tǒng)或那些在管理范圍外且沒有權(quán)限的系統(tǒng)上運(yùn)行網(wǎng)絡(luò)掃描工具未授權(quán)的網(wǎng)絡(luò)和主機(jī)掃描會(huì)花費(fèi)精力、資源和職業(yè)聲譽(yù)在進(jìn)行系統(tǒng)搜索前，務(wù)必獲得許可/sundae_mengUNIX常用工具介紹漏洞掃描器的獲得一般通過搜索引擎可以獲得Saint:/saint/Satan:/satan/Nessus:/ISS://sundae_mengUNIX常用工具介紹報(bào)文監(jiān)聽工具Tcpdump(linux)Snoop(solaris)報(bào)文監(jiān)聽工具的使用見實(shí)例通?？梢酝ㄟ^man頁來查看使用方法/sundae_mengUNIX常用工具報(bào)文監(jiān)聽工具一般可以支持指定網(wǎng)絡(luò)設(shè)備監(jiān)聽指定源、宿地址監(jiān)聽（包括IP和網(wǎng)絡(luò)號）指定源宿端口監(jiān)聽指定網(wǎng)絡(luò)協(xié)議監(jiān)聽……/sundae_meng網(wǎng)絡(luò)監(jiān)測/sundae_meng網(wǎng)絡(luò)安全監(jiān)測基于網(wǎng)絡(luò)的安全漏洞掃描基于網(wǎng)絡(luò)的安全事件監(jiān)察基于主機(jī)的安全漏洞檢查基于主機(jī)的安全狀態(tài)檢查基于主機(jī)的安全監(jiān)察基于主機(jī)的安全事件記錄陷井/sundae_meng入侵檢測系統(tǒng)(IDS)入侵檢測的定義:對于任何試圖穿越被保護(hù)的安全邊界的識(shí)別。系統(tǒng)可以通告不同的機(jī)制檢測入侵企圖。

嗅包器、照相機(jī)、熱感應(yīng)器。/sundae_meng入侵檢測系統(tǒng)的類型實(shí)時(shí)日志監(jiān)測器記錄日志條目中的特殊事件近似于實(shí)時(shí)響應(yīng)實(shí)時(shí)網(wǎng)絡(luò)傳輸監(jiān)測器記錄網(wǎng)絡(luò)傳輸中的特殊事件實(shí)時(shí)響應(yīng)事后的日志分析器檢查事先建立的日志信息不能夠?qū)崟r(shí)響應(yīng)/sundae_meng入侵檢測系統(tǒng)的使用攻擊識(shí)別事件響應(yīng)政策檢驗(yàn)政策加強(qiáng)/sundae_meng入侵檢測系統(tǒng)的響應(yīng)被動(dòng)響應(yīng):不直接的針對入侵者采取行動(dòng)。主動(dòng)響應(yīng):直接保護(hù)被入侵的目標(biāo)采取行動(dòng)。/sundae_meng被動(dòng)響應(yīng)忽略記錄日志額外日志通知/sundae_meng主動(dòng)響應(yīng)切斷(連接、會(huì)話、進(jìn)程)網(wǎng)絡(luò)重配置還擊欺騙/sundae_meng不同響應(yīng)方式的優(yōu)點(diǎn)被動(dòng)響應(yīng)方式不會(huì)影響合法的傳輸記錄日志方式可以收集合法過程的證據(jù)主動(dòng)響應(yīng)可以及時(shí)保護(hù)目標(biāo)系統(tǒng)主動(dòng)響應(yīng)方式可以減少管理員的工作強(qiáng)度/sundae_meng不同響應(yīng)方式的缺點(diǎn)被動(dòng)響應(yīng)方式可能會(huì)允許入侵者進(jìn)一步獲取系統(tǒng)的訪問權(quán)限通知方式可能導(dǎo)致管理員工作量過大切斷方式可能影響合法用戶的使用還擊可能影響無辜的系統(tǒng)，從而導(dǎo)致該系統(tǒng)采取針對你的合法行為欺騙是困難的/sundae_meng入侵檢測系統(tǒng)的政策定義入侵檢測系統(tǒng)的目標(biāo)確定監(jiān)視的內(nèi)容和位置選擇響應(yīng)設(shè)置坎值實(shí)現(xiàn)政策/sundae_meng漏報(bào)和誤報(bào)誤報(bào)(falsepositive)漏報(bào)(falsenegative)/sundae_meng設(shè)置坎值用戶經(jīng)驗(yàn)網(wǎng)絡(luò)速率預(yù)期的網(wǎng)絡(luò)連接管理員的安全工作強(qiáng)度感應(yīng)器的敏感度安全程序的效率存在的漏洞系統(tǒng)信息的敏感程度誤報(bào)的后果漏報(bào)的后果/sundae_meng入侵檢測系統(tǒng)舉例監(jiān)視Internet入口服務(wù)器保護(hù)事件響應(yīng)/sundae_meng監(jiān)視Internet入口系統(tǒng)目標(biāo)：系統(tǒng)用戶可以訪問色情站點(diǎn)以外的所有站點(diǎn)；系統(tǒng)外部用戶只能夠訪問內(nèi)部分WWW、SMTP服務(wù)器。監(jiān)視器的位置：防火墻內(nèi)外各一個(gè)實(shí)時(shí)網(wǎng)絡(luò)傳輸監(jiān)視器；Proxy一個(gè)日志分析器。監(jiān)視內(nèi)容：網(wǎng)絡(luò)傳輸監(jiān)視器忽略向外的主要服務(wù)和向內(nèi)的WWW、SMTP流量，捕捉企圖流量；日志分析器捕捉非法站點(diǎn)。響應(yīng)：記錄日志。網(wǎng)絡(luò)傳輸?shù)谋O(jiān)視器還可以切斷連接或重配防火墻；日志分析器也可以通知用戶。/sundae_meng監(jiān)視Internet入口Internet路由器網(wǎng)絡(luò)監(jiān)視器防火墻WWW、SMTPProxy日志分析器內(nèi)部用戶/sundae_meng服務(wù)器保護(hù)系統(tǒng)目標(biāo)：保護(hù)內(nèi)部網(wǎng)絡(luò)的服務(wù)器，防止內(nèi)部攻擊。僅允許HTTP訪問。監(jiān)視器的位置：在服務(wù)器網(wǎng)段設(shè)置一個(gè)實(shí)時(shí)網(wǎng)絡(luò)傳輸監(jiān)視器。監(jiān)視內(nèi)容：記錄所有網(wǎng)絡(luò)流量，在HTTP流量中分析攻擊特征；其它流量均記錄。響應(yīng)：記錄所有非HTTP流量的日志。切斷HTTP攻擊的連接，也可以重新進(jìn)行網(wǎng)絡(luò)路由等配置。/sundae_meng服務(wù)器保護(hù)Internet路由器網(wǎng)絡(luò)監(jiān)視器防火墻各種服務(wù)器/sundae_meng事件響應(yīng)系統(tǒng)目標(biāo)：對入侵自動(dòng)響應(yīng)，盡量獲取攻擊的信息，系統(tǒng)中有一個(gè)陷井。監(jiān)視器的位置：在網(wǎng)絡(luò)的入口設(shè)置一個(gè)實(shí)時(shí)網(wǎng)絡(luò)傳輸監(jiān)視器，在陷井中設(shè)置一個(gè)實(shí)時(shí)日志監(jiān)視器。監(jiān)視內(nèi)容：網(wǎng)絡(luò)傳輸監(jiān)視器記錄所有網(wǎng)絡(luò)流量，分析攻擊特征；日志記錄器記錄陷井中的日志。響應(yīng)：記錄攻擊模式的流量，把攻擊引向陷井，并且通知管理員。/sundae_meng事件響應(yīng)Internet路由器網(wǎng)絡(luò)監(jiān)視器防火墻陷井服務(wù)器陷井的日志監(jiān)視器/sundae_meng總結(jié)網(wǎng)絡(luò)安全監(jiān)測是網(wǎng)絡(luò)安全的體系之一。入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全監(jiān)測中的部分功能。包括入侵檢測在內(nèi)的各種技術(shù)手段的采用都是由安全需求和安全政策所決定。其它相關(guān)領(lǐng)域(如：安全信息表示、分布協(xié)同、事件處理等等)/sundae_meng事故處理/sundae_meng事故處理的過程A.在著手處理事故之前B.奪回控制權(quán)C.分析入侵D.與相關(guān)的CSIRT和其他站點(diǎn)聯(lián)系E.從入侵中恢復(fù)F.提高你系統(tǒng)和網(wǎng)絡(luò)的安全性G.重新連上因特網(wǎng)H.更新你的安全策略/sundae_meng著手處理事故之前對照你的安全策略如果你還沒有安全策略請教管理層請教律師聯(lián)系法律強(qiáng)制代理(FBI)通知機(jī)構(gòu)里的其他人記錄下恢復(fù)過程中采取的所有步驟記錄下恢復(fù)過程中采取的所有步驟有助于防止草率的決定,這些記錄在未來還有參考價(jià)值.這對法律調(diào)查來說也是很有用的./sundae_meng奪回控制權(quán)將遭受入侵的系統(tǒng)從網(wǎng)絡(luò)上斷開為了奪回控制權(quán),可能需要從網(wǎng)絡(luò)上(包括撥號連接)斷開所有的遭受入侵的機(jī)器.之后可以在UNIX的單用戶模式下或NT的本地管理員狀態(tài)下操作,確保擁有對機(jī)器的完全控制權(quán);然而,通過重啟動(dòng)或切換到單用戶/本地管理員模式,可能會(huì)丟失一些有用的信息./sundae_meng奪回控制權(quán)（續(xù)上）復(fù)制遭受入侵系統(tǒng)的鏡象在分析入侵之前,我們推薦建立一個(gè)系統(tǒng)的當(dāng)前備份.這可以提供入侵被發(fā)現(xiàn)時(shí)刻文件系統(tǒng)的快照.將來這個(gè)備份或許用的上.例如UNIX的dd命令/sundae_meng奪回控制權(quán)？Lock-invs.Lock-outLock-in：使攻擊者保持活動(dòng)Lock-out：奪回控制權(quán)取證原則在有的情況下也要求Lock-in的處理方式因此，奪回控制權(quán)不適用于全部情況/sundae_meng分析入侵查看系統(tǒng)軟件和配置文件的更改查看數(shù)據(jù)的更改查看入侵者留下的工具和數(shù)據(jù)檢查日志文件/sundae_meng分析入侵查看是否有sniffer檢查網(wǎng)絡(luò)中的其他系統(tǒng)檢查與遭受入侵系統(tǒng)有關(guān)或受到影響的遠(yuǎn)程主機(jī)/sundae_meng查看系統(tǒng)軟件和配置文件的更改校驗(yàn)所有的系統(tǒng)二進(jìn)制和配置文件操作系統(tǒng)的內(nèi)核本身也可能被更改.因此,建議從一個(gè)可信內(nèi)核啟動(dòng)并且使用一個(gè)干凈工具來分析入侵活動(dòng)需要檢查的內(nèi)容：木馬程序配置文件/sundae_meng查看數(shù)據(jù)的更改查看數(shù)據(jù)的更改Web頁面ftp文擋用戶主目錄中的文件系統(tǒng)上的其他數(shù)據(jù)文件/sundae_meng入侵者留下的工具和數(shù)據(jù)查看入侵者留下的工具和數(shù)據(jù)NetworkSniffersTrojanHorseProgramsBackdoorsVulnerabilityExploitsOtherIntruderTools探測系統(tǒng)漏洞的工具發(fā)起大范圍探測其他站點(diǎn)的工具發(fā)起拒絕服務(wù)攻擊的工具使用計(jì)算機(jī)和網(wǎng)絡(luò)資源的工具/sundae_meng檢查日志文件NTIIS的日志文件c:\winnt\system32\logfilesUNIX的日志文件messagesxferlogutmpwtmpsecure/sundae_meng查看是否有網(wǎng)絡(luò)sniffer入侵者可以在UNIX系統(tǒng)上暗地里安裝一個(gè)網(wǎng)絡(luò)監(jiān)視程序,通常稱為sniffer(orpacketsniffer),用于捕獲用戶賬號和密碼信息.對于NT系統(tǒng),為達(dá)到相同目的,通常更多地使用遠(yuǎn)程管理程序在UNIX上網(wǎng)卡會(huì)進(jìn)入promisc狀態(tài)或debug狀態(tài)，可以使用的命令有：ifconfigifstatuscpm/sundae_meng檢查網(wǎng)絡(luò)中的其他系統(tǒng)在要檢查的系統(tǒng)中應(yīng)該包括與被入侵系統(tǒng)有網(wǎng)絡(luò)服務(wù)(NFS或NIS)聯(lián)系的系統(tǒng)或者通過某種信任方式(hosts.equiv.rhosts,或者Kerberos服務(wù)器)聯(lián)系的系統(tǒng)以及有其它較密切聯(lián)