网络安全建设

网络安全建设中国教育和科研计算机网应急响应组CCERT清华大学信息网络工程研究中心目录网络安全简介垃圾邮件的预防如何防止扫描和DOS攻击系统安全管理和入侵的防范网络安全常用工具CCERT简介网络安全简介网络安全概念常见的网络安全问题垃圾邮件危害DOS、扫描危害蠕虫危害网络安全概念信息安全保密性、完整性、可用性、可信性把网络看成一个透明的、不安全的信道系统安全：网络环境下的端系统安全网络安全网络的保密性：存在性、拓扑结构等网络的完整性：路由信息、域名信息网络的可用性：网络基础设施计算、通信资源的授权使用：地址、带宽？？常见的网络安全问题垃圾邮件UCE:UnsolicitedCommercialEmailUBE:UnsolicitedBulkEmailSpam网络扫描和拒绝服务攻击端口扫描和缺陷扫描DDOS、DOS入侵和蠕虫蠕虫：Lion、nimda、CRII系统缺陷垃圾邮件危害网络资源的浪费欧洲委员会公布的一份报告，垃圾邮件消耗的网络费用每年高达100亿美元

资源盗用利用他人的服务器进行垃圾邮件转发威胁网络安全DOS攻击DOS、扫描危害占用资源占用大量带宽服务器性能下降影响系统和网络的可用性网络瘫痪服务器瘫痪往往与入侵或蠕虫伴随缺陷扫描DDOS入侵、蠕虫造成的危害信息安全机密或个人隐私信息的泄漏信息篡改可信性的破坏系统安全后门的存在资源的丧失信息的暴露网络安全基础设施的瘫痪垃圾邮件的预防垃圾邮件特点邮件转发原理配置Sendmail关闭转发配置Exchange关闭转发垃圾邮件特点内容：商业广告宗教或个别团体的宣传资料发财之道,连锁信等

接收者无因接受被迫接受发送手段信头或其它表明身份的信息进行了伪装或篡改通常使用第三方邮件转发来发送邮件转发原理理配置Sendmail关关闭转发（一一）

简介Sendmail8.9以上版本/etc/mail/relay-domains/etc/mail/accessSendmail8.8以下版本升级Sendmail其它版本配置Sendmail缺省不允许转转发编辑相应的允允许转发IP列表配置Sendmail关关闭转发（二二）

Mc文文件样例divert(0)dnlVERSIONID(`@(#)generic-solaris2.mc8.8(Berkeley)5/19/1998')OSTYPE(solaris2)dnlDOMAIN(generic)dnlFEATURE(access_db,dbm-o/usr/local/etc/mail/access)define(`confPRIVACY_FLAGS',``authwarnings,goaway,noexpn,novrfy'')dnlMAILER(local)dnlMAILER(smtp)dnl配置Sendmail关关闭转发（三三）

Sendmail配置Sendmail.cw配置邮件服务务器所接受的的域名CMRelay-domains配置邮件服务务器可以转发发的地址Access允许对某一个个来源地址进进行配置REJECT、RELAY、OK、”msg”配置Sendmail关关闭转发（四四）access文件件样本nobody@550:badusername202.112.55.RELAY6REJECT配置Sendmail关关闭转发（五五）Sendmail使用建立别名编辑aliases文件Sendmail–v–bi初始化启动Sendmail–bd–q1h使用access数据库Makemapdbm/etc/mail/access</etc/mail/access配置Exchange关关闭转发（一一）ExchangeServer5.0或以前版本升级邮件系统统ExchangeServer5.5以上选择RerouteincomingSMTPmail配置Exchange关关闭转发（二二）填入所服务的的域点击RoutingRestrictions如何防止DOS和扫描扫描简介拒绝服务攻击击简介分布式拒绝服服务攻击DOS和扫描的防范范攻击取证和报报告扫描简介拒绝服务攻击击简介洪水式DOS攻击SYNfloodSmurf利用系统或路路由器缺陷DoS攻击Windows:IGMPfragmentation,OOB…Linux:teardropSolaris:pingofdeath分布式拒绝服服务攻击往往既利用系系统或者路由由器的缺陷产产生大规模的的洪水式攻击击两方面的危害害：被攻击者者和被利用者者分布式拒绝服服务（DDOS）以破坏系统或或网络的可用用性为目标常用的工具：：Trin00TFN/TFN2KStacheldraht很难防范伪造源地址，，流量加密，，因此很难跟跟踪clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFloodDOS和扫描的防范范（一）路路由器访问控制链表表基于源地址/目标地址/协议端口号路径的完整性性防止IP假冒和拒绝服服务（Anti-spoofing/DDOS）检查源地址：：ipverifyunicastreverse-path过滤RFC1918地址空间的所所有IP包；路由协议的过过滤与认证Flood管理—利用QoS的特征防止Floodinterfacexyzrate-limitoutputaccess-group20203000000512000786000conform-actiontransmitexceed-actiondropaccess-list2020permiticmpanyanyecho-replyDOS和扫描描的防范（二二）

入侵检检测和防火墙墙入侵检检测工工具了解情情况提供报报告依依据指导应应对政政策防火墙墙建立访访问控控制个人防防火墙墙攻击取取证和和报告告系统取取证Syslog系统日日志Netstat连接情情况CPU、Mem使用情情况网络取取证Tcpdump路由器器、防防火墙墙纪录录入侵检检测系系统报告责责任方方对方CERT或本辖辖区CERT对方责责任人人whois系统安安全管管理和和入侵侵防范范Windows系统安安全管管理UNIX系统安安全管管理路由器器安全全管理理如何检检验入入侵蠕虫的的危害害及防防范Windows安全管管理（（一））操作系系统更更新政政策安装最最新版版本的的补丁丁ServicePack;安装相相应版版本所所有的的hotfixes跟踪最最新的的SP和hotfix病毒防防范安装防防病毒毒软件件，及及时更更新特特征库库政策与与用户户的教教育：：如何何处理理邮件件附件件、如如何使使用下下载软软件等等账号和和口令令管理理口令安安全策策略:有效期期、最最小长长度、、字符符选择择账号登登录失失败n次锁定定关闭缺缺省账账号，，guest,AdministratorWindows安全管管理（（二））Windows服务管管理TerminalServer中文输输入法法缺陷陷网络共共享Nimda等一些些蠕虫虫和和和病毒毒IISUNICODE(nimda、CodeBlue…)IndexService(CRI、CRII)Windows安全全管理理（三三）操作系系统更更新局域网网防火火墙配置防防火墙墙/路由器器，封封锁不不必要要的端端口：：TCPport135,137,139andUDPport138.基于主主机的的访问问控制制Windows2000自带个人防防火墙墙Unix安全管管理（（一））相应版版本的的所有有补丁丁账号与与口令令关闭缺缺省账账号和和口令令：lp,shutdown等shadowpasswd用crack/john等密码码破解解工具具猜测测口令令（配置置一次次性口口令））网络服服务的的配置置：/etc/inetd.conf,/etc/rc.d/*TFTP服务get/etc/passwd匿名ftp的配置置关闭rsh/rlogin/rexec服务关闭不不必要要的rpc服务安装sshd，关闭telnet。NFSexportUnix安全管管理（（二））操作系系统更更新Solaris：/Redhat：up2date常见安安全问问题Solaris各种RPC服务LinuxprinterNamedWu-ftpd路由器器安全全管理理（一一）认证口口令管管理使用enablesecret,而不用用enablepasswordTACACS/TACACS+,RADIUS,Kerberos认证控制交交互式式访问问控制台台的访访问：：可以以越过过口令令限制制；远程访访问telnet,rlogin,ssh,LAT,MOP,X.29,Modem虚拟终终端口口令保保护：：vty,tty：login，nopassword只接收收特定定协议议的访访问，，如transportinputssh设置允允许访访问的的地址址：ipaccess-class超时退退出：：exec-timeout登录提提示：：bannerlogin路由器器安全全管理理（二二）关闭没没有必必要的的服务务smallTCPnoservicetcp-small-servers:echo/chargen/discardfinger,ntp邻机发发现服服务（（cdp）审计SNMP认证失失败信信息，，与路路由器器连接接信息息：Trap系统操操作日日志：：systemlogging:console,Unixsyslogd,违反访访问控控制链链表的的流量量操作系系统更更新路由器器IOS与其他他操作作系统统一样样也有有BUG怎样检检测系系统入入侵察看登登录用用户和和活动动进程程w,who,finger,last命令ps,crash寻找入入侵的的痕迹迹last,lastcomm,netstat,lsof,/var/log/syslog，/var/adm/messages,~/.history查找最最近被被修改改的文文件：find检测sniffer程序ifconfig,cpm蠕虫的危危害及防防范（一一）蠕蠕虫简介介Morris蠕虫事件件发生于1988年，当时时导致大大约6000台机器瘫瘫痪主要的攻攻击方法法Rsh，rexec：用户的的缺省认认证Sendmail的debug模式Fingerd的缓冲区区溢出口令猜测测CRII蠕虫感染主机机全球超超过30万台导致大量量网络设设备瘫痪痪蠕虫的危危害及防防范（二二）Lion蠕虫出现于今今年四五五月间造成网络络的针对对53端口大面面积扫描描主要行为为利用Bind安全缺陷陷入侵扫描一段段B类网络之后出现现了很多多类似的的蠕虫Raemon蠕虫Sadmind蠕虫解决方法法：更新新Linuxbind服务器蠕虫的危危害及防防范（三三）CRI主要影响响WindowsNT系统和Windows2000主要影响响国外网网络据CERT统计，至至8月初已经经感染超超过25万台主要行为为利用IIS的Index服务的缓缓冲区溢溢出缺陷陷进入系系统检查c:\notworm文件是否否存在以以判断是是否感染染中文保护护（是中中文windows就不修改改主页））攻击白宫宫！解决方法法：更新新Windows2000、NT操作系统统和杀毒毒工具蠕虫的危危害及防防范（三三续）CRIIInspiredbyCRI影响波及及全球国内影响响尤其广广泛主要行为为所利用缺缺陷相同同只感染windows2000系统，由由于一些些参数的的问题，，只会导导致NT死机休眠与扫扫描：中中文windows，600个线程CodeRed扩散速度度（7.19-7.20）CodeRedv1扩展速度度（7.19-7.20)蠕虫的危危害及防防范（四四）nimda主要特点点综合了各各种攻击击和传染染方法第一款既既有蠕虫虫特征又又有病毒毒特征的的恶意代代码影响面遍遍及全球球主要行为为群发电子子邮件，，付病毒毒扫描共享享文件夹夹，扫描有漏漏洞的IIS,扫描有CodeRed后门的IISServer蠕虫的危危害及防防范（五五）蠕蠕虫的防防范完善的安安全政策策定期更新新杀毒工工具邮件、网网络共享享的安全全使用规规范系统责任任人和权权限设置置有效的应应对措施施与辖区CERT保持及时时联系首先设法法避免蔓蔓延利用访问问控制建建立停火火区常用网络络安全工工具介绍绍入侵检测测系统网络入侵侵检测系系统其它入侵侵检测系系统风险评估估和端口口扫描防火墙安全传输输网络入侵侵检测系系统Tcpdump可以得到到数据包包的原始始记录需要较多多的经验验Snort可配置性性强，检检测多种种入侵，，免费误警率高高Realsecure用户界面面好，误误警率低低，稳定定的技术术支持贵其它入侵侵检测系系统基于主机机的入侵侵检测系系统Syslog+grepSnortwin32版文件完整整性检查查系统tripware风险评估估和端口口扫描端口扫描描工具Nmap：功能强强大、速速度快Strobe：使用简简单端口和进进程对应应工具LsofSocklistfport缺陷扫描描系统Satancops防火墙网络防火火墙Linux：ipchains、netfilter其它UNIX操作系统统：ipfilter商用防火火墙NetscreenCheckpoint单机防火火墙Zonealarm天网防火火墙绿色警戒戒Win2000自带安全传输输安全应急急响应服服务应急响应应服务的的诞生—CERT/CC1988年Morris蠕虫事件件直接导导致了CERT/CC的诞生CERT/CC服务的内内容安全事件件响应安全事件件分析和和软件安安全缺陷陷研究缺陷知识识库开发发信息发布布：缺陷陷、公告告、总结结、统计计、补丁丁、工具具教育与培培训：CSIRT管理、CSIRT技术培训训、系统统和网络络管理员员安全培培训指导其它它CSIRT（也称IRT、CERT）组织建建设CERT/CC简介现有工作作人员30多人，12年里处理理了288,600封Email,18,300个热线电电话，其其运行模模式帮助助了80多个CSIRT组织的建建设国际安全全应急响响应国外安全全事件响响应组（（CSIRT）建设情情况DOECIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT,NavyCIRT亚太地区区：AusCERT、SingCERT等FIRST（1990