Internet服务安全技术-new

1、Internet服务安全技术服务安全技术2教学目标 n没有安全的服务就没有安全的Internetn就Internet服务而言，主要由运行承载服务的网络服务器操作系统和具体执行的各类服务（协议）组成n重点是以网络服务器操作系统及基本服务为核心的Internet服务安全技术Internet服务安全技术服务安全技术3要点内容 n服务器操作系统安全概述nWindows Server 2003/2008安全技术nLinux/UNIX安全技术nFTP安全、E-mail安全、Web安全nDHCP与DNS服务安全技术Internet服务安全技术服务安全技术4能力要求 n掌握服务器操作系统安全、Internet

2、服务安全的基本概念n了解Windows Server 2003/2008、Linux/UNIX、DHCP与DNS服务、IPv4/IPv6的基本安全漏洞及相关安全防范策略n能分析FTP、E-mail、Web的基本安全问题，会应用基本的相关安全防范操作 Internet服务安全技术服务安全技术54.1 服务器操作系统安全概述n只有立足于服务器操作系统，从造成信息安全问题的源头抓起，才能构筑全面高效的安全防护系统 n如果说一个操作系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息Internet服务安全技术服务安全技

3、术64.1 服务器操作系统安全概述n操作系统的安全包含两层意思：n操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全n操作系统在使用中，通过一系列的配置，保证操作系统尽量避免由于实现时的缺陷或应用环境因素产生的不安全因素Internet服务安全技术服务安全技术7服务器操作系统的安全漏洞 n没有一款网络服务器操作系统是完全可靠的，它们总是存在各种各样的安全漏洞 n实际上，根据目前的软件设计水平和开发工具，要想绝对避免软件漏洞是不可能的n网络服务器操作系统作为一种系统软件，在设计和开发过程中造成这样或那样的缺陷，埋下一些安全隐患，使黑客有机可乘，也是可以理解的n软件质

4、量决定了软件的安全性Internet服务安全技术服务安全技术8服务器操作系统安全特点 n一方面，由于操作系统的代码庞大，从而存在安全漏洞；另一方面，管理员或使用人员对复杂的操作系统和安全机制了解不够、配置不当也会造成安全隐患 n除了增加安全补丁之外，还需建立一套对系统的监控系统，并建立和实施有效的用户口令和访问控制等制度nInternet服务安全是一个系统工程，操作系统安全只是其中的一层，还需要其他环节的配合，如防火墙、杀毒软件、加密产品等配合使用，才能达到Internet服务安全 Internet服务安全技术服务安全技术94.2 Windows 03/08安全技术n微软一直以在操作系统中捆绑

5、许多额外特性而著称，这些额外特性大多数是以默认的服务访问权限进行安装的n03起打破了这种传统的模式，使得在默认情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行 Internet服务安全技术服务安全技术102003的安全特性 n主要有连接防火墙、授权执行机制、无线网络的安全强化、安全凭证及SSL、EFS等方面n同时启用了安全模板，使得安全配置和管理变得容易理解、操作和简单 Internet服务安全技术服务安全技术112003的安全配置 n物理安全 n停用Guest账号 n限制用户数量 n多个管理员账号 nAdministrator账号改名n陷阱账号 n安全密码 n防病毒软件 n备份安全

6、 Internet服务安全技术服务安全技术122008的安全特性 n增加了Web工具、虚拟化技术、安全性的强化及管理公用程序，提供稳固的网络服务器操作系统基础n通过政策驱动安全特征，提供改善的可管理性以及安全策略。简化的管理界面允许管理员轻松控制安全以及与功能相关的政策，提高安全同时减少管理时间 Internet服务安全技术服务安全技术132008安全策略 n高级安全Windows防火墙 n网络访问保护策略 NPSn应用程序控制策略 AppLocker Internet服务安全技术服务安全技术144.3 Linux/UNIX安全技术nLinux有两个特点：一是它免费提供源码，二是爱好者可以按照

7、自己的需要自由修改、复制和发布程序的源码，并公布在Internet上n由于可以得到源码，所以内部逻辑可见，这样就可以准确地查明故障原因，及时采取相应对策。同时，这也使得用户容易根据操作系统的特点构建安全保障系统，不会由于不了解不公开源码的“黑盒子”式的系统预留的什么“后门”而受到意外的打击。 Internet服务安全技术服务安全技术15Linux系统安全技术 n入侵检测技术 n加密文件系统 n安全审计 n强制访问控制 n防火墙 Internet服务安全技术服务安全技术16Linux系统安全加固 n只开放所需要的服务，关闭所有不需要的服务。对外提供的服务越少，所面临的外部威胁越小n将所需的不同服

8、务分布在不同的主机上，这样不仅提高系统的性能，同时便于配置和管理，减小系统的安全风险Internet服务安全技术服务安全技术17Linux系统安全加固 n安装：使系统处于单独（或隔离）的网络中，以防止未受保护的系统连接到其他网络或互联网中受到可能的攻击，安装完成后将下面软件卸载：nPump、apmd、lsapnptools、redhat-logos、 mt-st、kernel-pcmcia-cs、Setserial、redhat-relese、eject、linuxconf、kudzu、gd、bc、getty_ps、raidtools、pciutils、mailcap、setconsole、g

9、nupgInternet服务安全技术服务安全技术18Linux系统安全加固n用户账号 n系统设置 n文件系统 Internet服务安全技术服务安全技术194.4 Internet服务安全概述nInternet服务安全事件年平均增长率为16%，其中的48%属于非授权应用（44%来源于内部人员的非授权应用），25%定性为拒绝服务攻击（24%报告称由于被外部攻击所致），18%为盗用私密信息（15%属于财务机密信息）；接入Internet机构所受攻击事件年平均增长率为7%Internet服务安全技术服务安全技术20 Internet服务安全隐患 nInternet服务是一个开放的、无控制管理机构的网络

10、 nTCP/IP通信协议缺乏使传输过程中的信息不被窃取的安全措施 n病毒通过Internet服务传播给上网用户带来极大的危害n通信业务使用Linux系统支持，系统存在的安全脆弱问题直接影响安全服务；在应用层支持的服务协议是凭君子协定来维系；电子邮件存在着被拆看、误投和伪造的可能性 Internet服务安全技术服务安全技术21TCP/IP协议对Internet安全威胁 nSYN泛洪攻击 nIP欺骗 nTCP序列号预测 nTCP会话挟持nRST和FIN攻击 nPing of Death Internet服务安全技术服务安全技术224.5 FTP安全n一方面是协议自身的安全问题以及用户如何进行安全防

11、范；另一方面是协议在安全功能方面怎样扩展 Internet服务安全技术服务安全技术23FTP安全问题及防范措施 n代理FTP与跳转攻击 n有限访问与地址盗用 n用户名、密码与强力密码猜测 n端口分配与端口盗用 Internet服务安全技术服务安全技术244.6 E-mail安全 AClientaS BClientbS POP3 SMTP Internet SMTP bS aS Internet服务安全技术服务安全技术25E-mail安全问题 n电子邮件窃取 n电子邮件炸弹 n电子邮件病毒 Internet服务安全技术服务安全技术26E-mail安全技术 n成熟的端到端的全程的安全电子邮件技术标

12、准主要有PGP和S/MIME nPGP（Pretty Good Privacy）是一种长期在学术圈和技术圈内得到广泛使用的安全邮件标准，其特点是通过单向散列算法对邮件内容进行签名，以保证信件内容无法修改，使用公钥和私钥技术保证邮件内容保密且不可否认Internet服务安全技术服务安全技术27E-mail安全技术 nOE安全电子邮件技术 n设置标识密码 n记住邮箱密码功能 n采用规则过滤功能 n其他安全设置 Internet服务安全技术服务安全技术284.7 Web安全 Server SQL Server HTTP HTTP Internet Intranet Browser Browser B

13、rowser Web Server (IIS) Internet服务安全技术服务安全技术29Web客户端安全n清除上网记录 n禁用Cookie与阻止弹出窗口 n安全设置 n恢复IE默认页的设置功能 Internet服务安全技术服务安全技术30Web服务器安全IIS 6.0安全配置 n启用内容过期 n内容分级设置 n安全认证nIP地址及域名限制 n停止、启动和暂停站点服务Internet服务安全技术服务安全技术314.8 DHCP服务安全 DHCP Client Internet Switch A （DHCP Snooping） Switch B （DHCP Relay） DHCP Server

14、 Internet服务安全技术服务安全技术324.8 DHCP服务安全nDHCP服务的不安全因素，主要有DHCP中继和DHCP Snooping两种，通过运行在网络层的DHCP中继的安全功能，或运行在数据链路层的DHCP Snooping的安全功能来监听DHCP报文，记录服务器分配给客户端的IP地址等配置信息Internet服务安全技术服务安全技术33DHCP服务安全防范 nDHCP服务欺骗攻击 nARP“中间人”攻击 n IP/MAC欺骗攻击 n DHCP报文泛洪攻击 Internet服务安全技术服务安全技术344.8 DNS服务安全nDNS ：Domain Name System，是一种组

15、织成域层次结构的计算机和网络服务命名系统，存在以下缺陷：n单点故障 ，Fully Qualified Domain Name，FQDNn无认证机制 nDNS本身漏洞 n缓存中毒 n信息泄露 n不安全的动态更新 Internet服务安全技术服务安全技术35DNS服务安全措施 n使用DNS转发器 n使用只缓冲DNS服务器 n使用DNS广告者 、解析者 n保护DNS不受缓存污染 n使DNS只用安全连接 n禁用区域传输 n使用防火墙来控制DNS访问 n在DNS注册表中建立访问控制 n在DNS文件系统入口设置访问控制 Internet服务安全技术服务安全技术364.9 IPv4/IPv6过渡安全nIPv

16、4/IPv6过渡nIPv6与IPv4协议兼容，像一般的软件升级一样能在Internet设备上进行升级安装 n 满足IP地址不足之需n提升网络安全nIPv4/IPv6过渡途径n双栈协议技术n隧道技术n地址/协议转换技术 Internet服务安全技术服务安全技术37过渡技术 n双栈协议技术n双栈协议主机上既有IPv4又有IPv6，在双协议栈结构中必须同时考虑IPv4和IPv6的安全性，一种协议的漏洞往往会殃及另一种，这使得网络存在着不确定的安全隐患，给恶意用户提供了更多的攻击机会Internet服务安全技术服务安全技术38过渡技术 n隧道技术 n隧道技术是将IPv6的数据包封装入IPv4中，将隧道入口和出口的IPv4地址作为IPv4分组的源地址和目的地址，从而实现IPv6数据包的传输。但是，将IPv6协议封装在IPv4协议的数据包中会使得过滤分组的安全机制失效，攻击者可以建立由IPv6到IPv4的隧道，绕过防火墙对IPv4进行攻击Internet服务安全技术服务安全技术39过渡技术 n地址/协议转换技术 n协议转换技术（NAT-PT