1、網(wǎng)絡安全技術講解,2008年4月,中國電信東莞分公司商務領航企智通運營中心,技術部經理：李思文,網(wǎng)絡安全簡述 網(wǎng)絡安全整體框架、體系 安全規(guī)劃、服務、管理 防火墻 入侵檢測 身份認證、訪問控制、審計系統(tǒng) 漏洞掃描 防病毒系統(tǒng),課 程,面臨的安全威脅,以經濟利益為動機的控制系統(tǒng)、竊取、篡改信息等犯罪活動 以破壞系統(tǒng)為目標的系統(tǒng)犯罪 以政治目的為動機的破壞系統(tǒng)等 信息犯罪活動 其他信息違法犯罪行為,內部系統(tǒng)網(wǎng)絡,internet,網(wǎng)絡入侵,黑客入侵工具,控制系統(tǒng) 竊取資料 修改資料 ,內部系統(tǒng)網(wǎng)絡,TCP SYN : 80 SIP: 10.X.X.X or Null DIP: ,

2、黑 客 攻 擊,internet,內部系統(tǒng)網(wǎng)絡,偵聽、竊取資料,Snifer工具,用戶名、密碼 傳輸?shù)馁Y料 服務器信息 操作系統(tǒng)信息 ,internet,內部系統(tǒng)網(wǎng)絡,木馬 蠕蟲 Jokes 黑客工具,病 毒,感染操作系統(tǒng) 感染數(shù)據(jù) 堵塞網(wǎng)絡 ,internet,被動式攻擊 那些不改變正常通訊連接的數(shù)據(jù)流，而且不將數(shù)據(jù)加入到連接中 那些進入工作環(huán)境中等待捕獲在網(wǎng)絡上傳輸?shù)挠袃r值的信息活動 主動式攻擊 打斷正常的數(shù)據(jù)流，插入數(shù)據(jù)或修改數(shù)據(jù)流（欺騙） 攻擊者尋找系統(tǒng)的漏洞，發(fā)動侵略性攻擊 在發(fā)動主動式攻擊前，首先要進行被動式攻擊,攻擊類型,病毒、蠕蟲、炸彈和特洛伊木馬 陷門【 Trap doors

3、】 隱通道【Covert Channels】 拒絕服務【Denial of service】 偵聽【Sniffing】 欺騙【Spoofing】 口令攻擊【Password attack】 尋找軟件存在的漏洞和弱點 尋找系統(tǒng)配置的漏洞 路由攻擊【Routing Attacks】 中繼攻擊【Replay Attacks】 會話竊取攻擊【Session Stealing Attacks】,目前已知的手段,陷門和隱通道 陷門【 Trap doors 】 由軟件設計者或程序員人為設置的漏洞，用來作為進入系統(tǒng)的后門 能夠通過較好的軟件檢測過程來避免 隱通道【 Covert Channels 】 是一種交

4、互式處理通訊的方法，能夠向沒有正確安全權限的外人泄漏信息 很難防范，需要利用可信的人員處理或加工敏感信息,陷門和隱通道,廣泛流行 不需要太多的技術 青少年占很大的比例 利用菜單驅動的程序很容易實現(xiàn)，而且能夠跨平臺 很難跟蹤 經常需要很多ISP的協(xié)助，但是很難合作的很好 利用無用的或有害的數(shù)據(jù)包充斥網(wǎng)絡、消耗系統(tǒng)緩沖或網(wǎng)絡帶寬，從而擊潰系統(tǒng) land.c攻擊：利用目標主機的地址同時作為源地址和目的地址;利用目標主機的同一端口同時作為源端口和目的端口發(fā)出 tcp SYN（同步狀態(tài)）數(shù)據(jù)包 ping 死亡攻擊：通過從遠程主機上發(fā)出特定大?。?5535字節(jié)）的 ping 包來沖擊、重啟動或者down掉

5、大量的系統(tǒng)。大于65535字節(jié)的 ip 包是不合法的,拒絕服務攻擊,Tcp SYN 泛濫和 IP 欺騙攻擊 利用偽造的、根本不存在的源地址發(fā)出Tcp_SYN包 受害者試圖發(fā)一個Tcp_SYN_ACK包，但找不到源地址，只好把它排隊 信息排隊時間 75秒 填滿了SYN隊列 受害者無法通信或系統(tǒng)崩潰 Smurf 攻擊（Broadcast Ping Attack） 發(fā)出“Broadcast_ Ping_request ” ，看起來是來自“受害者”，將它發(fā)給“無辜的第三方” “無辜的第三方”的網(wǎng)絡上的主機都向“受害者”回發(fā)“broadcast_ping_reply”包 “受害者”被大量的 ping 包

6、攻擊 對事件的跟蹤卻集中到“無辜的第三方”身上,拒絕服務攻擊,難于跟蹤 源地址一般都被隱藏或偽裝 需要實時跟蹤，經過一個又一個的路由器去尋找 高的數(shù)據(jù)包比率 有時受害者卻不能用Internet去控訴或跟蹤攻擊 用戶組的帳號或被丟棄的帳號被利用 學校的實驗室、撥號用戶、私有系統(tǒng),拒絕服務攻擊,入侵者通過Internet攻破數(shù)以千計的系統(tǒng)，包括大型網(wǎng)絡間的網(wǎng)關。通過安裝偵聽器程序來監(jiān)視網(wǎng)絡數(shù)據(jù)流，從而獲取連接網(wǎng)絡系統(tǒng)時用戶鍵入的用戶名和口令 電子郵件同樣也象Telnet和Ftp會話一樣，可以被監(jiān)視，用來獲取有關站點和其相關商業(yè)交易情況的信息,偵聽【Sniffing】,欺騙是用來騙取目標系統(tǒng)，使之認

7、為信息是來自或發(fā)向其所相信的人的過程 欺騙可在IP層及之上發(fā)生（地址解析欺騙、IP源地址欺騙、電子郵件欺騙等） 當一臺主機的IP地址假定為有效，并為Tcp和Udp服務所相信 利用IP地址的源路由，一個攻擊者的主機可以被偽裝成一個被信任的主機或客戶,欺騙【Spoofing】,通常的做法是通過監(jiān)視通信信道上的口令數(shù)據(jù)包，破解口令的加密形式 UNIX操作系統(tǒng)通常將口令加密保存成為一個能夠被普通用戶讀取的文件。一個入侵者可以運行現(xiàn)有的口令破解程序獲取口令。如果口令強度比較弱，如少于8個字符的英文單詞等，就可以被破解，并用來獲得對系統(tǒng)的訪問權 UNIX操作系統(tǒng)中的 r* 命令，在信任的系統(tǒng)中是不需要口令

8、的,口令攻擊,向路由系統(tǒng)中插入錯誤的路由信息 重定向流量到一個黑洞中（blackhole） 重定向流量到慢速連接 重定向流量到不同的地方進行偵聽或修改 需要可靠的認證，僅從已知的路由器接收路由的更新 中繼攻擊保存一份原始信息的拷貝，一段時間后再轉發(fā) 保存一份商業(yè)交易，而后轉發(fā) 攻擊者可以中繼一個網(wǎng)絡使之停止更新，并對該網(wǎng)段實施拒絕服務攻擊 所有的交易需要攜帶一個序列ID或加蓋時間戳,路由和中繼攻擊,在找到一個沒有用到的網(wǎng)絡接口或者攻破網(wǎng)絡上的一臺主機后，入侵者可以 主動地偵聽該網(wǎng)段上的數(shù)據(jù)流，試圖找到被主機認證的感興趣的會話 發(fā)出大量的、無用的數(shù)據(jù)包去擊潰原始系統(tǒng) 入侵者利用已崩潰系統(tǒng)的地址向

9、其它主機發(fā)送數(shù)據(jù)包 需要通過加密來防止數(shù)據(jù)包偵聽或會話竊聽 保證物理端口的安全，防止不被使用的接口被非法使用,會話竊取攻擊,攻擊者的策略 識別脆弱的系統(tǒng) 獲得對系統(tǒng)的訪問 獲得特殊訪問權限 擴展訪問至其它的系統(tǒng)或網(wǎng)絡 簡單攻擊 識別目標 端口或薄弱點掃描 識別安全漏洞 利用已識別的安全漏洞,攻擊策略,復雜攻擊 識別目標 收集信息 操作系統(tǒng)的類型和版本 系統(tǒng) / 網(wǎng)絡管理員的意見 所用防火墻類型 / 安全措施 研究薄弱點 開發(fā)攻擊策略 進行攻擊調試 站在受害者的角度，看攻擊效果（背后不留痕跡） 確定是否值得冒險掃描 應用社會工程 獲得范圍內的支持幫助,攻擊策略,Incidents Reporte

10、d to CERT/CC,網(wǎng)絡安全整體框架、體系,三維安全體系結構框架,安全特性,網(wǎng)絡層次,系統(tǒng)單元,身份鑒別,訪問控制,數(shù)據(jù)完整,數(shù)據(jù)保密,防止否認,跟蹤審計,可靠可用,信息處理,網(wǎng)絡,安全管理,物理環(huán)境,物理層,鏈路層,網(wǎng)絡層,傳輸層,會話層,表示層,應用層,安全特性,網(wǎng)絡層次,系統(tǒng)單元,安全防御子系統(tǒng),網(wǎng)絡防火墻： 網(wǎng)絡層、傳輸層 網(wǎng)絡平臺、系統(tǒng)平臺 訪問控制,身份認證子系統(tǒng),Kerberos 或 X.509： 傳輸層 應用層 系統(tǒng)平臺 安全管理 身份鑒別,桌面VPN子系統(tǒng),端到端加密通道： 網(wǎng)絡層 會話層 系統(tǒng)平臺、應用平臺 數(shù)據(jù)完整、數(shù)據(jù)加密,授權管理子系統(tǒng),用戶和對象的授權策略：

11、應用層 應用平臺、安全管理 訪問控制,密鑰管理子系統(tǒng),密鑰生成、存儲和發(fā)放： 傳輸層 應用層 系統(tǒng)平臺 安全管理 身份鑒別,安全檢測子系統(tǒng),安全掃描、攻擊報警 網(wǎng)絡層、傳輸層 網(wǎng)絡平臺 應用平臺 跟蹤設計、可靠可用,病毒防御子系統(tǒng),過濾、刪除病毒： 傳輸層 應用層 系統(tǒng)平臺、應用平臺 數(shù)據(jù)完整、可靠可用,機要保密子系統(tǒng),機要信息加密處理： 表示層、應用層 系統(tǒng)平臺、應用平臺 數(shù)據(jù)保密,安全數(shù)據(jù)庫子系統(tǒng),集成數(shù)據(jù)庫安全機制： 應用層 系統(tǒng)平臺、應用平臺 身份鑒別 可靠可用,安全審計子系統(tǒng),安全日志存儲、分析： 網(wǎng)絡層 應用層 安全管理 防止否認、跟蹤審計,網(wǎng)絡安全子系統(tǒng),網(wǎng)絡安全設計注意點,網(wǎng)絡

12、環(huán)境,網(wǎng)絡拓撲結構（LAN、MAN、WAN） 系統(tǒng)和網(wǎng)絡設備 位置 軟件和硬件的版本 負責部門 供貨商 定義可能的威脅 應用程序 供貨商 負責部門 版本 由誰來使用 怎樣來用,用戶數(shù)量 用戶類型 內部用戶 合作伙伴 競爭對手 到底做什么 如何連接的 什么樣的數(shù)據(jù)流 信息是如何流動的 定義信息流的安全級別 定義可能存在的威脅,網(wǎng)絡安全設計注意點,了解安全的關注點 方案整體性 提出安全可能存在的問題,網(wǎng) 絡 安 全 模 型,防病毒 漏洞掃描 身份認證 授權 應用層加密 訪問控制 ,防火墻 入侵檢測 VPN 物理隔離 ,安全規(guī)劃、服務、管理,安全服務的內容,安全系統(tǒng)規(guī)劃,全面、細致地分析網(wǎng)絡的安全需

13、求 利用科學的方法論和安全漏洞掃描、分析工具，分析企業(yè)信息網(wǎng)絡的網(wǎng)絡、應用、管理的現(xiàn)狀和安全風險 提出針對網(wǎng)絡的全面的、科學的安全體系規(guī)劃和完整、可行的整體安全解決方案,安全服務,安全服務與安全技術的區(qū)別 誰可以提供安全服務,安全服務的內容,安全咨詢,最新發(fā)現(xiàn)的各種安全風險，如系統(tǒng)漏洞、攻擊手段、新的病毒 安全技術的最新發(fā)展，新的安全技術，新的攻擊防御和檢測手段 安全技術的發(fā)展趨勢 企業(yè)信息網(wǎng)絡安全系統(tǒng)建設的方法和步驟,安全服務的內容,其它的內容,安全策略制定：根據(jù)企業(yè)的安全需求，制定統(tǒng)一的安全策略。對企業(yè)信息網(wǎng)絡而言，需要采取什么樣的安全措施，在什么時候、什么地方使用什么樣的安全技術，都需要

14、由一個統(tǒng)一的安全策略作為指導。在企業(yè)信息網(wǎng)絡的不同平臺、不同部分，都需要在一個統(tǒng)一的安全策略指導下，采取相應的安全措施。 安全系統(tǒng)集成：根據(jù)安全系統(tǒng)規(guī)劃和統(tǒng)一的安全策略，根據(jù)企業(yè)信息網(wǎng)絡的特點，把不同安全廠商的不同安全技術和產品進行集成。 安全培訓：包括對用戶的安全意識、安全技術的培訓，對系統(tǒng)管理員的安全技術培訓、安全專業(yè)知識的培訓等。 應急安全服務：在緊急情況下的各種安全服務，包括特殊情況下的安全防護、發(fā)生安全事故時的現(xiàn)場保護、追蹤、以及采取各種必要的安全補救措施等。,內部系統(tǒng)的安全服務,網(wǎng)絡安全實施前,了解內部系統(tǒng)的網(wǎng)絡結構、安全需求 對網(wǎng)絡進行安全掃描、安全分析，確定網(wǎng)絡中存在的問題 提出符合內部系統(tǒng)的網(wǎng)絡安全解決方案 論證方案的可行性，進一步完善方案,內部系統(tǒng)的安全服務,定義安全要求,ISO/IEC