网络安全课件

14三月2024网络安全ppt安全很重要实际上你很无奈“你要力图保护的是些什么资源?”“你需要防范谁?”“你究竟需要什么级别的安全?”黑客HackerCracker和HackerKevinMitnick小莫里斯网络入侵事件网络攻击事件网络安全维护人员和黑客之间的关系（白帽子和灰帽子）搜集网络信息的常用工具FingerWhoisNslookupDigPingTraceroutePathpingVisualRouteSmartwhoisSamSpadeNeoTracePro网络扫描TCP/IP协议的套节字和系统服务TCP和UDP系统服务的banner信息端口扫描的类型端口扫描程序主动、被动探测SuperscanNmap天眼漏洞扫描网络安全扫描程序NessusISSScannerNAICyberCopScannerShadowScanner国产对抗网络扫描的手段系统补丁Patch禁止与系统服务信息有关的回应停止系统服务安装防火墙软件或者个人防火墙软件使用入侵检测系统提供系统安全的日志和审计功能一些小而有效的技巧网络侦听Sniffer原理网卡的工作模式广播域集线器、交换机和路由器通用SnifferTcpdumpNAISnifferProNetX-RayIrisNetMonitorCommView网络协议分析仪（Flock、HP公司）专用Sniffer口令SnifferSMBSnifferL0phtcrack其它服务的SnifferDsniff交换网络下的Sniffer交换机的原理伪造MAC地址细化VLAN对抗SnifferAnfiSniff防止ARP欺骗数据加密通讯SSHSSLVPNPGP网络攻击拒绝服务攻击Dos协议缺陷PingofDeathOOB缺陷WinNukeFlood攻击UDPFloodSYNFloodIGMPFlood大量网络应用服务请求垃圾邮件系统内部缺陷计算机病毒和木马程序口令破解网络欺骗（DNS欺骗、会话劫持）缓冲区溢出系统漏洞例：Windows2000输入法漏洞服务器上的应用代码保护对策定期的安全扫描及时更新安全补丁停止系统上不必要的服务控制好文件访问权限分布式拒绝服务攻击模型事件对策木马的防治入侵检测系统网络流量和服务器负荷的监视路由器或防火墙的配置缓冲区溢出原理边界检查堆栈网络服务请求对策安全编程知识使用代码的质量安全的编译器和函数库和代码检查工具口令破解口令的处理方法UNIXWindows系统98的.pwl文件NT和2000的散列表文件PWDump.exe网络侦听字典文件网格计算对策计算机病毒和木马程序历史种类引导区病毒文件病毒多变形病毒宏病毒网络病毒网络环境下的病毒传播快速，无法全面清除来源多样，更新快速危害巨大电子邮件文件下载及时通讯系统网络资源共享几种历史上的主要病毒冲击波（RPC漏洞）NimdaRedCode（可以攻击IIS）美莉莎BO2000（木马程序）CIH（破坏BIOS病毒）Dir2（多变形病毒）Stone（引导区病毒）病毒的发现和防&治病毒的扫描（静态、被动）病毒防火墙（动态、主动）病毒库免疫技术全面的策略建立病毒处理机制网络端口的扫描企业级的防病毒产品SymantecNortanAntivirus企业版病毒防火墙网关防病毒产品邮件服务器防止其它类型入侵Windows2000系统的安全策略文件系统格式NTFS停止系统内部不必要的服务严格帐户管理，去除不必要的帐户设定文件权限，严格文件的共享和读写权为所有用户配置口令策略定期检查安全列表checklistWindows系统IIS系统/security记录日志配置审计功能安装防病毒软件和个人防火墙软件安装系统补丁使用安全扫描程序搞好系统备份和恢复机制磁盘拷贝技术双机备份系统或者群集系统备份主机学会数据恢复技术如何保证IIS的安全案例：RedCode蠕虫病毒尼母达NimadaIIS的安全检查列表繁殖阶段(每个月的1号到19号):受感染的主机随机挑选IP地址，然后以TCP80端口试图连接对方，以进一步繁殖蠕虫。根据不同的主机系统配置，表现为不同的感染状况。病毒产生100个新的线程，99个线程用于感染其它的服务器，第100个线程用于检查本机首页RedCode发作特征受感染的主机的症状表现涂改所有从webserver上收到的web页面。未打补丁的Cisco

600系列DSL路由器会处理该HTTP请求，因而触发一个系统漏洞，该漏洞会导致路由器停止转发数据包。没有运行IIS但是安装了HTTP服务器的系统，其侦听端口是TCP80这种系统可能会接受该HTTP请求，返回一个“HTTP400BadRequest”消息，其访问日志里可能记录该请求。洪水模式(该月20-26日)对某固定IP地址进行拒绝服务攻击在7/20时所有被感染的机器回参与对白宫网站的自动攻击.休眠期(27日之后)蠕虫驻留在“休眠”；没有活动连接或者停止拒绝服务攻击。IIS被“红色代码”利用的漏洞IIS的一些ISAPI扩展.dlls提供一些扩展功能微软IIS在缺省安装情况下带了一个索引服务器(IndexService)。缺省安装时，IIS支持两种脚本映射：管理脚本(.ida文件)、Inernet数据查询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展——idq.dll来处理和解释

IIS被“红色代码”利用的漏洞漏洞:idq.dll在一段处理URL输入代码中存在一个未经检查的缓冲区，如果攻击者提供一个特殊格式的URL，就可能引发一个缓冲区溢出。一个攻击者与有这样的idq.dll存在的server建立web会话，通过此会话发出缓冲区溢出攻击，并在webserver上执行代码。严重的是idq.dll是以SYSTEM身份运行的，可利用此漏洞取得系统管理员权限应对方法微软在2001年6月份发布的修复程序

MS01-033尼母达Nimada4种传播方式IE浏览器:利用IE的一个安全漏洞(微软在2001年3月份已发布修复程序MS01-020)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.(补丁和RedCode一样)电子邮件附件（极端危险）文件共享:针对所有未做安全限制的共享应对方法安装补丁使用杀毒软件清除对所有的邮件附件进行病毒检查IIS系统的检查表分区必须是NTFS格式IIS的目录权限和NTFS文件系统权限配置日志功能为日后的审查提供信息清除特殊的脚本映射和组件清除远程管理和Sample文件使用IISLockdown使用来源可靠的源代码IIS目录设置推荐做法按文件类型建立目录结构对文件夹设置而不是文件配置属性防止目录设置重叠如设置ftp上载权限和IIS的网页在同一个目录如果不是必要删除Web-basedPasswords.htrInternetDatabaseConnector.idcServer-sideIncludes.stm,.shtm,shtmlInternetPrinting.printerIndexServer.htw,.ida,idq清除不必要的映射移走不必要的文档IISSamples \IISSamples c:\inetpub\iissamplesIISDocumentation \IISHelp c:\winnt\help\iishelp使用IISLockDown来完成上述工作对缓冲区溢出的问题代码编写人员的培训使用提供安全机制的开发工具使用特殊的工具软件，提供边界检查的分析购买有足够技术支持和实力的公司开发的代码入侵检测被动检测主动检测入侵检测系统IDS原理分类基于主机基于网络网络入侵规则SnortWinpcap.exeSnort.exeIDScenter.exesnort.exe–vde–l./log–hIPaddress/24-csnort.conf日志审计和分析日志系统安全策略日志分析工具Web服务器的日志分析软件Samwill数据加密技术原理明文密文密钥加密算法加密和解密加密算法对称密钥（古典）——同一个密钥DES数据加密标准3DESIDEA国际数据加密算法公开密钥（现代\非对称）——不同密钥RSA公开密钥的用途安全通讯对称和非对称算法的结合数字签名数据的完整和真实加密用私钥消息摘要函数MD5数字认证第三方交换公钥Kerberos安全通讯通讯内容的安全通讯对象的确认SSHVPN隧道技术链路层PPTP、L2TP网络层IPSecSSL文件加密PGP网络和计算机系统安全维护安全分析和弱点评估（定期）数据备份系统（日常）系统冗余配置不间断电源应急响应和灾难恢复机制安全知识的普及和审计（）系统补丁的安装微软公司的补丁分类关键更新（必须）Windows的升级驱动程序下载ServicePack下载特定的补丁程序使用WindowsUpdate使用微软的SUSService提供自动补丁安装WindowsXPSP2问题其它应用程序的补丁安装问题微软推荐的安全工具BaselineSecurityAnalyzerMBSA使用HFNetChk来确定在一个系统中是否应用了安全更新程序，MBSA是HFNetChk的功能的一个超集。HFNetChk通过引用一个XML安全即时修复程序数据库来完成此项工作，该数据库由Microsoft不断地更新。XML数据库中包含了针对Microsoft产品有哪些补丁程序可供使用方面的信息。此文件包含安全公告的名称和标题等详细信息。其中就包括相关的Microsoft知识库文章编号链接。SoftwareUpdateServices（SUS）从微软公司下载最新的SUS服务程序安装并配置SUS与微软的升级服务器同步签发认可的升级补丁组策略的配置管理SUSServicehttp://ipaddress/susadmin在活动目录下配置企业方式的升级策略定期签发关键升级补丁为自己的局域网建立多个SUS服务群单机的组策略配置组策略编辑器gpedit.msc为管理模板添加组策略wuau在里面的Windows组件中配置WindowsUpdate策略配置自动更新和SUS的服务器位置活动目录下的配置活动目录下的组策略配置点击“开始→程序→管理工具→ActiveDirectory用户和计算机”，选择“组织单元（OU）”，可以是域或者是是组，在“属性”中选择“组策略”，点击“新建”，为该策略取名“SUS”，然后“编辑”，同上。自动安装客户端程序下载客户端自动升级程序Wuau22chs.msi复制到SUS服务器的NETLOGON默认共享目录下（WINNT\SYSVOL\sysvol\DomainName\scripts下）在SUS组策略中配置“软件设置”，在“软件安装”中选择“新建→程序包”，在文件名中填入“\\ServerName\NETLOGON\WUAU22CHS.msi”，点击“打开”，选择“已指派”。SUS的问题Windows2000必须预安装SP1包，否则没有WUAU策略只提供关键性更新Windows98不支持防火墙原理和技术包过滤（网络中的第二层）代理（网络中的第三层和以上各层）状态检测NAT网络地址翻译防火墙产品ISAServerCh