《it系统深度安全》

IT系统深度安全汇报目录安全案例H3C安全产品发展历程H3C安全解决方案H3C成功案例分析选中攻击目标获取普通用户权限擦除入侵痕迹安装后门获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动破坏型、入侵型信息收集确定操作系统、应用服务、端口、社会工程学等可以做简单入侵或提升权限的准备网络攻击示意图根据本地漏洞提高权限系统日值Rootkit等网络攻击实例PCWeek的一次悬赏评测目标： WinNT、RedHat6.0应用： 为报刊类站点设计的分类广告系统NT： ASP、IIS、MTS、SQLServer7Linux：Apache、mod_perlSS目标： 修改主页或获取绝密文件topsecret。前期踩点搜寻对方系统发现被防火墙保护Lemming:~#telnet80Trying70…Connectedto.Escapecharacteris’^]’.POSTXHTTP/1.0HTTP/1.1400BadRequestDate:Fri,24Sep199923:42:15GMTServer:Apache/1.3.6(Unix)(RedHat/Linux)(…)ConnectionclosedbyforeignhostLemming:~#探测结果：运行Apache的RedHat主机，应该有mod_perl,没有发现，尝试常见的CGI漏洞(tect-cgi、wwwboard、count.cgi)等，未发现问题，登录网站，发现目录结构(/、/cgi-bin、/photoads、/photods/cgi-bin等)设定目标重点对象Photoads软件出品的软件包找到一份默认安装发现：http:///photoads/ads_data.pl查询photoads/cgi-bin/photo_cfg.pl,没有实现Env.cgi获得文件目录/home/httpd/html,以nobody用户权限来运行第一次攻击<!--#includefile=“…”>forSSI<!--#perl…-->formod_perl系统虑过了大部分的输入，几乎没有找到什么问题Post.cgi 出现了一个变量Print“youaretryingtopostanADfromanotherURL:<h>$ENV{‘HTTP_PEFERER’}\n”;$ENV{‘HTTP_PEFERER’} 是一个用户提供的变量，没有做输入过滤，可以嵌入代码使用工具：getit.ssi getit.mod_perl使用方法: lemming:~#catgetit.ssi|nc80机器没有配置SSI和mod_perl,所以尝试没有成功第一次失败改变思路从查找cgi漏洞入手 perl的漏洞一般出在open()、system()、系统调用系统查找结果 没有system()和系统调用，出现了open()Lemming:~/photoads/cgi-bin#grep‘open.*(.*)’*cgi|moreavisory.cgi:open(DATA,“$BaseDir/$dataFile”);edit.cgi:open(DATA,“$BaseDir/$dataFile”);edit.cgi:open(MAIL,“|$mailprog–t”)||die“Can’topen$mailprog!\n”;Photo.cgi:open(ULFD.“>$write_file”)||dirshow_upload_failed(“$write_file$!”);Photo.cgiopen(File,$filename);(…)Photo.cgi 132行$write_file=$Upload_Dir$filename;Open(ULFD,“>$write_file”)||dieshow_upload_failed(“$write_file”);PtintULFD$UPLOAD{‘FILE_CONTENT’}Close(ULFD)查找变量定义$write_file=$Upload_Dir.$filenamePhoto.cgi第226行定义If(!$UPLOAD{‘FILE_NAME’}){show_file_not_found();}$filename=lc($UPLOAD{‘FILE_NAME’});$filename=~s/.+\\([^\\]+)$|.+V([^V]+)$^1/;If($filename=~m/gif/)$type=‘~gif’;{elsif($filename=~m/jpg/)$type=‘~jpg’;}else{{&Not_Valid_Image}}查找CGI相关漏洞文章发现/jfs^../../../../../../../export/www/htdocs/index.html%00.gif 的漏洞检查已经很完善了，检查了特殊字符的输入、必须为GIF或者JPG的文件才能够上传。避免出现../../../../../../etc/passwd的现象似乎无懈可击！如果是POST发布则不会解释％00的代码，故应使用GET方式上传攻击的详细过程其它文件检查Photo.cgi 256行规定了上传图片文件的大小，主要是长、宽，不符合要求将被改写Pcweek将JPG文件的ImageSize=0所以找到GIF文件作为突破口If(substr($filename,-4,4)e“.gif”)Open(FILE,$filename);My$head;My$gHeadFmt=“6vvb8cc”;My$pictDescFmt=“vvvb8”;ReadFILE,$head13;(my$Gif8a,$width,$height,my$resFlags,my$bgColor,my$w2h)=uppack$gHeadFmt,$head;closeFILE;$PhotoWidth=$width;$PhotoHeight=$height;$PhotoSize=$Size;Return攻击的详细过程Photo.cgi 140行If(($photoWidtheq“”)||($PhotoWidth>700’)){&Not_Valid_Image}{if($PhotoWidth>$ImgWidth||$PhotoHeight>$ImgHeight){&Height_Width}}系统默认的宽为350，长为250，所以上传文件应在此范围内，故0，0Chmod0755,$Upload_Dir.$filename;$newname=$AdNum;Rename(“$write_file”,“$Upload_Dir/$newname”);Show_Upload_Success($write_file);$UPLOAD{‘AdNum’}=~tr/0-9//cd;$UPLOAD{‘Password’}=~tr/a-zA-Z0-9!+&#%$@*//cd;$AdNum=$UPLOAD{‘AdNum’};文件名必须是数字密码限制了字节又不能使用../../../的手法了暴露出的问题Rename()函数没有校验，出错会跳过去出错的方法，超常文件名 Linux默认最长文件名为1024个字节系统提示只能上传已经存在编号的广告图片又是一个死胡同?_?寻找Edit.cgi,发现能够自己建立一个新的广告文件编号输入一个名字＋回车＋1024个数字＝创建一个文件编号 大收获！因为系统设置NOBODY可以运行，故上传文件，设计一个文件有专门为GIF留有的文件头发现不能改名 index.html为管理员所有，或没有写权限。但是可以修改CGI教本，于是在不影响系统运行的情况下，加入Advisory.cgi首战告捷！！柳暗花明但是当教本第一次运行Shell的时候必须加以说明，如：#!/bin/shEcho“Content-type:text/html”Find/”*secret*”–print但是我们的文件必须满足文件尺寸大小的规定，按照标准则应为#!/bi\00\00\00\00n/sh没有这么短就能执行的SHELL 死胡同第二次!_!Linux下默认的ELF(可执行文件)，给了我们一个提示将文本文件转成16进制文件，将里面的00转为0X00，则一举两得！！Sing～构造一个ELF文件使之符合URL标准，Apache的最常URL为8190个字符还有1024个字符的数字，ELF文件只有7000个字节空间是一个很小的程序真正的编程工作1.设计一个小型的C程序2.将之编译3.使之符合URL规范 发现是7600个字节，太大了对这个二进制文件进行优化，剩余4535个字节上传这个文件可以调用系统命令进行ls、Find、Locate等命令没有发现Topsecret文件为什么？绝密文件没有放在nobody可以访问的文件夹中！解决方法需要ROOT权限！为了最高权限通过脚本查找系统版本、应用服务版本……查到crontab漏洞(可以在bugtraq/securityfocus中找到)目的就是有一个nobody有权限使用的shell就可以了繁忙编写程序中……完成后重新上传文件，检查运行状态，发现suidroot最后的工作：1.上传文件2.改名3.Copy到相应目录攻击完成了！ 历时20个小时简单回顾让我们来回顾攻击的全过程修改主页目标 开始探测程 第一个隐患得出结论价值获取

绝密文件系统检测LinuxRedHatApacheWindowsNTIIS开放80端口应用广告程序确定攻击方向获取软件并分析口令文件的存放位置程序以Nobody身份运行文件存放目录无用有用下一节回顾第二部分第二次攻击 结果 系统分析常用编写教本上一节SSIMod_perl没有配置查脚本漏洞分析软件系统调用System()Open()$write_file$filename文件名称检测只能是数字的名称必须是.gif或.jpg获取

信息发现漏洞：index.html%00.gif 只能以GET方式上传Jpg禁止上传Gif可以上传下一节回顾第三部分Gif可以上传系统分析 结果 二次系统分析文件尺寸检查

必须设定尺寸标记默认为350*250上一节文件名只能是数字密码框屏蔽特殊字符尝试上传只能上传已存在的文件Edit.cgi编辑现有文件创建新文件文件改名Rename()有1024字节的bug再次上传成功！改名index.html不成功没有权限下一节离成功只有一步之遥上一节可以改为cgi文件 扩大战果 编程实战图片尺寸脚本语言无法两者都满足ELF改为.elf上传编译优化编程调用系统命令没有绝密文件必须拥有root权限！最终成功调用系统命令发现系统漏洞提升自身权限编写程序改名上传复制攻击成功其它安全事件下载DOS政府网站木马入侵汇报目录安全案例H3C安全产品发展历程H3C安全解决方案H3C成功案例分析ITOIP以IP技术为核心的四大产品集群构成ITOIP的支撑华为3Com安全理念－安全渗透网络的发展演变Megabits10’sofgigabits10’sofmbps100’sofmbpsGigabits安全发展演变包过滤软件防火墙路由器ACLs以太网HubsbridgeSwitchesHWRoutersMulti-layerSwitchesLoadbalancers软件IPSIDSASIC硬件防火墙安全渗透网络网络本身内置安全机制，实现端到端的安全SoftwareRouters华为3Com安全理念－技术模型深度全局智能L2L2.5L3L4L5~7统一威胁与策略管理流量分析与行为识别统一用户认证与授权协作（产品解决方案）集成（技术/产品）统一基础安全管理DVPN交换机路由器/VPN防火墙/SecBladeTippingPointIPSVPEEAD入侵抵御虚拟化分区隔离抗DoS带宽滥用蠕虫控制华为3Com安全产品线－安全设备华为3Com安全产品线－安全管理安全认证CAMS：综合安全认证平台安全管理

Quidview网络基础管理

VPNManager业务管理

BIMS安全业务智能管理端点安全EAD：端点准入防御方案安全审计

XLog：综合安全审计系统SOC ：安全管理中心IT与业务融合中的安全困扰P2P泛滥环境干扰物理安全信息窃取非法业务非授权访问身份识别DoS攻击木马/间谍软件蠕虫病毒90%以上的计算机会感染间谍软件、广告软件、木马和病毒等恶意软件SQLSlammer在10分钟内感染了全球90％有漏洞的机器911事件中，丢失数据的企业中有55%当时倒闭。剩下的45%中，因为数据丢失，有29%也在两年之内倒闭，生存下来的仅占16%

……损失大

危害高防护难差异化全局安全部署DVPNSSLVPN远程接入网关内网数据中心防病毒网流优化入侵抵御FW/EAD内网可控虚拟软件补丁DDoS防御安全管理中心网络流量分析全局IPSecVPNVPE虚拟防火墙汇报目录安全案例H3C安全产品发展历程H3C安全解决方案H3C成功案例分析安全趋势分析关注安全问题接入安全Internet接入的安全隐患外部单位接入安全隐患内部用户接入的安全隐患重要数据存储安全管理的解决方案一、Internet接入安全Internet接入是安全问题最前沿DOS/DDOS攻击病毒、蠕虫传播、木马ActiveX、JAVA用户名密码尝试、穷举BT带宽占用VPN接入安全备份网络……Internet接入解决方案拓扑水利广域网内部办公区Internet外网DMZ区防火墙1、区域设置、状态包过滤、DDOS攻击、应用层信息过滤、BT限流2、防病毒板卡(http/ftp/pop3/smtp)3、应用层防护(IDS联动防火墙)4、区域节点之间的VPN连接防病毒板卡防火墙+VPNIPS（IDS）物理隔离网闸Internet区域防御优劣势分析优势保障了接入的安全性(DOS/DDOS、Java、ActiveX)建立了网关防病毒的模式区域节点间的VPN连接(备份网)BT限流IPS和防火墙联动扩展性防火墙可扩充流量管理模块在互联网与省局网络之间通过网闸进行分割劣势IDS难以全面进行安全防护与安全审计建议使用UTM设备进行防护业务解决方案之：互联网可靠连接SecPathFW/VPN总部分支机构分支机构SecPathFW/VPNSecPathFW/VPNDVPN域EADIPSec远程接入移动办公用户合作伙伴SSLVPN

丰富的VPN综合运用DVPN/IPSec/SSLL2TP/GREVPN远程客户端安全校验SSLVPN优势易于安装使用、兼容性好能够对应用层进行访问控制Clienttosite的最佳组网模式病毒防护网关—

ASM防病毒插卡ASM：Anti-VirusSecurityMonitor

与瑞星合作完成支持SMTP、POP3、FTP、HTTP等协议可应用于SecPathF100-A/F1000-S/F1000-A

最大吞吐量200Mbps新SecPath防病毒网关路由器带防火墙模块的核心交换机内网办公区数据中心ASM插卡网络安全监控——NSM插卡

产品特点：独立网络处理器，并联处理，不影响网络性能监控信息的图形化显示百余种网络协议分析，包括IP和非IP的2~7层报文各种历史和实时报告的输出SecPath防火墙报文流入报文流出流量镜像NSM插卡(NetworkSecurityMonitor)产品定位：NSM适用于：SecPathF100-A/F1000-S/F1000-A新虚拟软件补丁技术一个漏洞（弱点）就是软件程序中存有的一个安全缺陷

一个攻击就是能充分一个存在的安全缺陷，从而实现不需任何授权就能对易受攻击（有漏洞）的系统进行访问的程序简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器由于受到处理器引擎性能限制，过滤器开发人员只能采用这种最基本的过滤器结果：漏报、误报、继续受到攻击IPS的弱点过滤器实际应是一个虚拟软件补丁，它能覆盖整个漏洞漏洞“特征码”攻击

A

“特征码”攻击

B“特征码”(由攻击A的粗糙的签名造成遗漏的攻击）误报(粗糙的签名）简单的攻击A的过滤器虚拟软件补丁IPS系列产品的核心属性属性价值在线部署的方式能够提供实时有效、具备前瞻性线内攻击阻挡能力、透明部署卓越的硬件平台基于ASIC＋FPGA+NP硬件解决方案，为实现高安全性和高性能提供可扩展硬件平台，提供50M-5G性能，交换机级的延时精准过滤器方法提供标准数字签名、协议异常检测、流量异常检测、漏洞分析检测四种组合过滤器，以及业界领先的安全威胁分析团队全面可靠性设计提供设备级以及业务级高可靠性解决方案，包括模块热插拔、断电保护、软件故障保护、双机热备、负载均衡等多种特性完备的管理能力通过专用的安全增强设备进行安全设备的管理、安全策略的部署以及精细的安全监控和审计（虚拟补丁、一万攻击）IPS过滤器的方法签名用法:固定模式正则表达式检测和防止:病毒特洛伊木马已知攻击P2P应用

未经授权的即时通讯协议异常用法:遵守RFC协议解码器SYN代理服务器标准化检测和防止:规避未知的攻击流量异常未经授权的访问SYNFloods漏洞用法:协议解码器正则表达式应用消息分析检测和防止:未知攻击蠕虫/Walk-in蠕虫未经授权的访问流量异常用法:流量阈值连接限制连接速率限制检测和防止:DDoS

攻击未知的攻击

流量异常高可用性和基于状态网络冗余热插拨，双电源支持内置监控Watchdog计时器安全和管理引擎自动或手动切换到L2交换机方式99.999%网络可靠性网络状态冗余Active-ActiveActive-Passive没有IP地址或

MAC地址对路由协议透明HSRP,VRRP,OSPF基于状态网络冗余内置的高可用性数字疫苗在线更新机制SANSCERTVendorAdvisoriesBugtraqVulnWatchPacketStormSecuriteam数字疫苗自动在线为用户更新

漏洞分析系统智能化原始数据采集

疫苗生成大规模的分发系统通过Akamai

CND在56个国家的

9,700服务器进行分发

@RISKWeeklyReport过滤器类型签名（Signature）

漏洞（Vulnerability）

异常流量和（或）异常流量统计业界的认可-NSS金奖通过750个单项测试，评估IPS的性能、安全性和可用性

用一年的时间开发测试方法和建立测试环境每个产品进行二周的测试参与厂商TippingPoint、ISS、NetScreen、TopLayer、McAfee、Cisco－BobWalderPresident,NSSGroup“NSS金奖是一个标准，我们授予给我们认为近乎完美的产品.”解决方案二、内部用户接入安全内网关注的安全问题客户端的安全(系统补丁、防病毒、非法外联)用户接入认证、权限管理环保广域网接入的安全链路备份不同安全域的划分日志审计EADEADEAD环保办公网安全水利广域网内网认证、日志系统内部办公区

安全规划：1、使用双链路冗余、核心交换机使用防火墙板卡、链路通过网闸隔离；2、内部用户使用EAD进行认证(接入认证、权限管理、防病毒、补丁自动升级)3、管理局域网使用日志系统、认证服务器进行管理安全隔离区系统补丁服务器防病毒服务器网闸EADEADEAD环保接入网安全水利广域网双核心交换防火墙板卡Internet外网DMZ区UTM物理隔离网闸横向单位接入区(银行、海关、法院等)特殊应用接入内部办公区IDSIPS内部用户接入方案优、劣势分析优势板卡式防火墙模块解决防火墙单点故障问题双链路接入，网闸进行隔离内网用户全面认证，可以和CA或域认证结合使用内网用户病毒库、系统补丁全面自动升级，隔离区升级内网部署日志服务器，实现事后审计扩展性可以结合SOC进行统一安全管理劣势EAD部署时间周期较长，需进行较多培训工作内部管理难度大于技术实现难度Internet出口管理：企业IT管理人员非常反感网络中多Internet出口问题，包括私设代理、私自拨号、双网卡等。EAD可以发现网络中私设的Internet出口，并根据策略将私设出口的终端下线。补丁和病毒软件管理：企业终端染毒进而造成网络故障，90%以上原因是没有打上必要的系统（包括OS、DB、Office）补丁、安装必要防病毒软件（或者升级到最新的病毒库版本）。EAD增强的安全检查可以强制用户终端上网前完成此类修复工作。黑白软件管理：很多企业有强制推行某些软件安装（或者不安装）的制度需求。EAD可以从技术上支持这种制度的落实，即如果不安装某些必须软件（或者安装了某些禁止软件）禁止上网。终端流量检查：用户终端染毒对网络的影响往往是发送大量的广播包占用网络带宽，自动检测和遏制这种终端是保护网络的一种有效办法。EAD支持对用户终端流量异常的检测，根据策略将该终端进行下线操作。安全检查EAD主要特点解决方案三、安全管理解决方案安全管理需要关注的问题由技术管理向管理技术转变把握全网安全动态而不是局部隐患全网皆安全—所有设备、服务器的统一审计关联分析，查询安全事件源头，迅速反应支出占营业收入的比例100%0%典型的企业IT安全ROI50%成本功效10%IT安全投资认证服务器日志系统IDS安全路由交换机防火墙信息孤立安全审计系统安全客户端流量整形网关企业网络安全建设现状安全投资回报网络安全建设取得的成绩IT投资管理最佳实践端点准入防护专业防护软件内容过滤网关FW/VPNIDS/IPS基于安全事件的需求部署单点管理以遏制安全事件为核心，无法监控和量化整网安全风险，整网安全状况无法量化，无法帮助企业作出恰当的决定IT安全投资病毒传播防护垃圾邮件过滤间谍软件过滤攻击防御访问控制路由策略加密、认证与授权移动用户安全接入用户准入认证服务策略实施应用层威胁攻击防御流量监控主机病毒防护主机防火墙主机应用审计对攻击只能孤岛防御，无法实现全局监控问题一：重局部、轻整体造成信息孤岛设备间信息沟通不畅，形成信息孤岛分别管理各种网络设备，获取安全信息网络失衡问题二：海量信息缺乏智能分析海量信息：安全事件不断涌现，很难抓住重点，巨大的工作量也不能带来决策依据。防火墙日志IPS日志安全客户端日志病毒传播报警网络设备日志公安部安全等级保护FISMA公安部安全等级保护GLPASOX法案风险评估HIPAAISO17799公司的安全制度有没有人违反？最近有没有泄密公司资料？有没有上班时间下载电影？有没有发生过攻击事件？病毒防护措施做了没有？......环境问题三：法规遵从要求不断提高人员设备信息CIO的实际需求从数字上对安全风险进行评估实现风险规避事件发生概率、损失问题四：以反应性方法为核心10.8%10.4%-0.5%-4.1%5.4%反应性方法：当一个安全事件发生时，反应性方法就是遏制情形，指出发生了什么事情，并尽可能快地修复受影响的系统。前瞻性方法：与等待坏事情发生然后再做出响应不同，前瞻性方法防治结合，最大程度地降低坏事情发生的可能性。安全风险我们需要什么样的安全网络？反应性方法为核心无法遵从相关法规杂乱的海量信息信息孤岛安全网络的可管理安全管理中心???前瞻性方法为核心遵从法律法规有用的决策数据信息统一处理？EADEAD安全管理解决方案拓扑水利部广域网内部办公区双核心交换防火墙板卡Internet外网DMZ区UTM物理隔离网闸横向单位接入区(银行、海关、法院等)SAN网络-CATIS数据网闸+入侵防御特殊应用接入内网认证、日志入侵防御SecCenter防火墙+VPN安全统一管理方案优、劣势分析优势全面内网安全管理，管理所有安全设备防火墙、网闸、IPS、VPN、EAD等管理H3C安全管理产品外设备路由器、交换机、服务器、应用全面防护差异化部署全面关注三层传输安全、4~7层应用安全结合网闸，将不同安全区域进行隔离安全趋势管理成为可能可追查问题来源至交换机端口扩展性全网设备的统一管理，可以实现全网皆安全的目标劣势部署较为复杂，需要进行长时间联调事件统计图应用统计图简洁的图形化管理界面安全威胁的实时监控上百种监控方式实时显示事件详情实时监控安全资产信息攻击、病毒、DDoS实时报警相关信息实时整合信息统计实时图表输出Hackerpc防火墙ReverseBackdoor实时攻击可视化Corpor