《网络安全基础》

国内信息平安的热点问题TCP/IP的网络根本组成情况平安的根本元素攻击者与攻击方式网络设备的平安问题讲义内容整体介绍.年信息平安热点问题军事商业间谍事件开始浮出水面误杀事件频发平安管理能力提升成为最为需要的思考方向防火墙继续硬件化道路的开展平安厂商的危机再次来临做黑客站点被抓几个G的攻击流量不再陌生平安等级保护在我国全面推广开始P2P等新应用也带来了新的平安隐患.网络攻击变成了以经济利益为目的犯罪最吸引国人眼球的应该是腾讯，2004年两次QQ大规模无法使用，尤其是此后的勒索传言，有人惊呼：中国网络恐怖主义诞生了。入侵网站后贩卖游戏帐号事件层出不穷。技术进步加上道德感的缺失，黑客们开始看清自己要的东西。

.已经有了众多公开售卖SHELL的站点.“挂马式〞攻击的案例分析中国招商引资网://china228/站点最下方被填加恶意连接，是一次典型的挂马式攻击。://gowuyi/about_us/image/icyfox.htm.“当当网〞也没有幸免.蠕虫、病毒、网络钓鱼事件频发MYDOOM/Netsky/Bagle/震荡波/SCO炸弹/QQ尾巴/MSN射手等一系列新病毒和蠕虫的出现，造成了巨大的经济损失。而且病毒和蠕虫的多样化明显，甚至蠕虫编写组织开始相互对抗，频繁推出新版本。越来越多的间谍软件，它们已经被更多的公司及个人利用，其目的也从初期简单收户信息演化为可能收集密码、帐号等资料，大家还记得网银大盗吗？网络钓鱼，只看网络钓客以“假网站〞试钓中国银行、工商银行等国内各大银行用户，就可以想见其猖獗程度了。.什么是网络钓鱼？.工行后续事件的追踪涉案金额惊人.P2P下载谨防Real蛀虫随着BT下载以及播客的应用与繁荣，众多网民热衷于网上下载电影、电视等视频文件，病毒开始瞄准这一传播途径大肆传播。黑客最常用的视频漏洞无疑应该是Real脚本漏洞。由于Real格式的视频文件可以内嵌一个网址，并在翻开视频文件时自动翻开内嵌的网址，因此许多黑客在一些热门的视频文件内嵌入一个带有大量病毒的恶意网址。一旦网友下载并翻开了该视频文件，即可从嵌入的恶意网址中下载大量的病毒，轻者电脑运行缓慢直至死机，严重的中毒电脑将会成为黑客手中肉鸡，电脑内所有的数据和资料都可以被黑客轻易窃取。.警惕木马“恋〞上贺岁大片.大学生自编黑客软件盗款50余万长沙某银行多个用户账号被盗,近10万元钱失踪.民警经过4个月的调查得知,作案人竟是3个名牌大学的毕业生,他们通过“个人网上银行〞平安漏洞,自编黑客软件盗取用户存款,长沙、上海等地20多名用户受害,涉案金额高达50多万元.5月2日,长沙某银行储户李芳(化名)发现自己银行账号里的10050元存款离奇“蒸发〞,经查,该行共有10多名储户遭窃,近10万元存款不翼而飞.经查,犯罪嫌疑人谭继善、谭长庚、王裕新是高中同学,3人分别毕业于不同的名牌大学,毕业后长期纠合在一起.今年5月初,由于对工作不满足,3人商量“搞钱〞.一次偶然时机,学计算机专业的谭继善登录某银行网页,发现网上银行存在漏洞,于是编写出一套黑客程序,套取局部储户的资料,在银行专用机将钱取走.目前3人已被依法刑拘..股票“黑客〞获刑一年.垃圾邮件与反垃圾邮件之间的斗争愈演愈烈.“流氓软件〞无空不入.误杀事件频频发生.熊猫烧香所带来的病毒产业化开展.主动防御成为了平安新名词“主动防御〞主要包括两个方面。一是在未知病毒和未知程序方面，通过“行为判断〞技术，开发出了“危险行为监控〞、“行为自动分析和诊断〞等技术。这些技术从动态和静态两个角度来判定程序的行为特征，可以识别大局部未被截获的未知病毒和变种。除了识别未知病毒和变种之外，还将大力强化了系统漏洞管理模块。一方面，该模块强制扫描、主动修补系统漏洞，这样的话，在相应的病毒乃至攻击代码出现之前，我们就堵死了它的传播和攻击渠道。另一方面，我们将对漏洞攻击行为进行监测，这样可以防止病毒利用系统漏洞对其它计算机进行攻击，从而阻止病毒的爆发。“主动防御〞其实是针对传统的“特征码技术〞而言的。在传统的反病毒方式中，平安软件总是处于弱势，只有病毒出现了，才能有病毒库的更新，即便这之间的时间差很小，但仍然让很多用户遭受损失。主动防御根据病毒的行为模式，给用户更多的信息，帮助完成对未知病毒的识别。.国家加强信息平安保障，公布系列文件信息平安等级保护逐渐成为当前国家重点开展的信息平安战略。27号文件和66号文件等文件促进信息平安开展。1994年国务院公布了?中华人民共和国计算机信息系统平安保护条例?，条例中规定：我国的“计算机信息系统实行平安等级保护。平安等级的划分标准和平安等级保护的具体方法，由公安部会同有关部门制定。〞?计算机信息系统平安保护等级划分准那么?GB17859-1999的制定。这是一部强制性国家标准，是技术法规。2003年的?国家信息化领导小组关于加强信息平安保障工作的意见?(27号文件)中指出：“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息平安等级保护制度，制定信息平安等级保护的管理方法和技术指南〞。根据国家信息化领导小组的统一部署和安排，我国将在全国范围内全面开展信息平安等级保护工作。.国家全力参与网络打黄专项行动.国家出口路由封锁.信息平安开展趋势同时拥有高超的技术和伪装手段的职业化攻击者越来越多的出现在网络世界中，他们目的性非常强。信息平安即国家平安，我国政府已经清楚的认识到信息平安的重要性，大力整改网络空间中的问题。.国内信息平安的热点问题TCP/IP的网络根本组成情况平安的根本元素攻击者与攻击方式网络设备的平安问题网络平安技术防护体系介绍讲义内容整体介绍.协议－－ISO/OSI协议分层应用层表示层会话层传输层数据链路层物理层网络层数据链路层.协议－－ISO/OSI协议分层(cont.)物理层：涉及在物理信道上传输原始比特，处理与物理传输介质有关的机械的、电气的和过程的接口。数据链路层：分为介质访问控制〔MAC〕和逻辑链路控制〔LLC〕两个子层。MAC子层解决播送型网络中多用户竞争信道使用权问题。LLC的主要任务是将有噪声的物理信道变成无传输过失的通信信道，提供数据成帧、过失控制、流量控制和链路控制等功能。网络层：负责将数据从物理连接的一端传到另一端，即所谓点到点，通信主要功能是寻径，以及与之相关的流量控制和拥塞控制等。.协议－－ISO/OSI协议分层(cont.)传输层：主要目的在于弥补网络层效劳与用户需求之间的差距。传输层通过向上提供一个标准、通用的界面，使上层与通信子网〔下三层〕的细节相隔离。传输层的主要任务是提供进程间通信机制和保证数据传输的可靠性。会话层：主要针对远程终端访问。主要任务包括会话管理、传输同步以及活动管理等。表示层：主要功能是信息转换，包括信息压缩、加密、与标准格式的转换〔以及上述各操作的逆操作〕等等。应用层：提供最常用且通用的应用程序，包括电子邮件〔E-mail〕和文电传输等。.应用层表示层会话层传输层网络层数据链路层物理层FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它ICMPARPRARPOSI参考模型Internet协议簇OSI参考模型与Internet协议簇注解：通过对每一个协议簇中各种协议结构的详细了解，就可以非常轻松的针对包过滤型、应用代理型等防火墙的ACL〔访问控制列表〕进行制定和理解，并有助于了解防火墙的架构体系。.协议－－TCP/IP协议分层应用层传输层网间网层网络接口层.协议－－TCP/IP协议分层应用层：向用户提供一组常用的应用程序，比方文件传输访问、电子邮件、远程登录等。用户完全可以在“网间网〞之上〔即传输层之上〕，建立自己的专用应用程序，这些专用应用程序要用到TCP/IP，但不属于TCP/IP。传输层〔TCP/UDP〕：提供给用程序间〔即端到端〕的可靠〔TCP〕或高效〔UDP〕的通信。其功能包括：格式化信息流及提供可靠传输。传输层还要解决不同应用程序的识别问题。网间网层〔IP〕：负责相邻计算机之间的通信。其功能包括：处理来自传输层的分组发送请求；处理输入数据包；处理ICMP报文。网络接口层：TCP/IP协议的最低层，负责接收IP数据报并通过网络发送，或者从网络上接收物理帧，抽出IP数据包，交给IP层。.TCP/IP效劳注解：通过该效劳体系的理解，大家一定要了解清楚IP包过滤型防火墙中的TCP协议簇包括那些具体协议、UDP协议簇包括那些具体协议，并要特别注意怎样通过防火墙的ICMP协议去平安有效的控制PING命令的执行。.SMTP-SimpleMailTransferProtocol,用于发送、接收电子邮件。TELNET-可以远程登陆到网络的每个主机上，直接使用他的资源。FTP-FileTransferProtocol,用于文件传输。DNS-DomainNameService,被TELNET、FTP、WWW及其它效劳所用，可以把主机名字转换为IP地址。WWW-WorldWideWeb,是FTP、gopher、WAIS及其它信息效劳的结合体,使用超文本传输协议()。TCP/IP效劳(cont.).RPC-远程过程调用效劳。如NFS-NetworkFileSystem,可允许系统共享目录与磁盘。NIS-NetworkInformationServices,网络信息效劳容许多个系统共享数据库,如passwordfile容许集中管理。XWindowSystem：一个图形化的窗口系统。Rlogin、rsh、及其它“r〞效劳。运用相互信任的主机的概念，在其它系统上可以执行命令且不要求password。TCP/IP效劳(cont.).IPIP协议的主要内容包括无连接数据报传送、数据报寻径及过失处理三局部。IP层作为通信子网的最高层，屏蔽底层各种物理网络的技术环节，向上〔TCP层〕提供一致的、通用性的接口，使得各种物理网络的差异性对上层协议不复存在。IP数据报分为报头和数据区两局部，IP报头由IP协议处理，是IP协议的表达；数据体那么用于封装传输层数据或过失和控制报文〔ICMP〕数据，由TCP协议或ICMP协议处理。.TCPTCP是传输层的重要协议之一，提供面向连接的可靠字节流传输。面向连接的TCP要求在进行实际数据传输前，必须在信源端与信宿端建立一条连接。且面向连接的每一个报文都需接收端确认，未确认报文被认为是出错报文，出错的报文协议要求出错重传。TCP采用可变窗口进行流量控制和拥塞控制以保证可靠性。分组是TCP传输数据的根本单元，分TCP头和TCP数据体两大局部。.UDPUDP是传输层的重要协议之一；基于UDP的效劳包括NIS、NFS、NTP及DNS等。UDP不是面向连接的效劳，几乎不提供可靠性措施；因此，基于UDP的效劳具有较高的风险。.TCP与UDP端口一个TCP或UDP连接由下述要素唯一确定：源IP地址、目的地IP地址、源端口、目的地端口。TCP或UDP用协议端口标识通信进程，端口是一种抽象的软件结构〔包括一些数据结构和I/O缓冲区〕。应用程序〔即进程〕通过系统调用与某些端口建立连接后，传输层传给该端口的数据被相应进程所接收。接口又是进程访问传输效劳的人口点。每个端口拥有一个叫端口号的16位整数标识符，用于区分不同端口。TCP和UDP软件分别可以提供65536个不同的端口。端口有两局部，一局部是保存端口〔端口号小于1024，对应于效劳器进程〕，一局部是自由端口〔以本地方式分配〕。.某些效劳进程通常对应于特定的端口。如SMTP为25，XWINDOWS为6000。客户使用端口号及目的地IP地址初始化与一个特定主机或效劳的连接。TCP与UDP端口(cont.).国内信息平安的热点问题TCP/IP的网络根本组成情况网络平安的根本元素攻击者与攻击方式网络设备的平安问题讲义内容整体介绍.平安是什么？网络平安〔通俗的解释〕一种能够识别和消除不平安因素的能力平安是一个持续的过程.平安是一种特殊商品我的PC中的软件：MSWord2000，微软公司2000年出品，安装后从未升过级Norton防病毒系统，Symantec公司2002年出品，最近一次升级时间是2天以前对于我们正在使用的软件价值来说，我们关心Symantec的健康要比对微软的关心强很多倍.平安系统的时间特性平安产品的平安能力随时间递减；根底设施随时间增加积累越来越多的全缺陷；平安产品升级可以提高系统的平安保护能力；根底设施修补漏洞；根底设施发生结构性变化〔原有的平安系统全面失效〕；应用系统发生变化；平安维护人员知识技能提高〔平安性提高〕；人员变动〔保护能力突变，平安风险增加〕；.为什么我们不能杜绝攻击事件的发生日趋精密的攻击以及以INTERNET为根底的技术快速开展由于IT技术人员和资金的缺乏无法获得更多的资源没有被充分保护的系统大量的快速的部署.复杂程度Internet技术的飞速增长InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间.百分之百的平安？开放最少效劳提供最小权限原那么平安既需求平衡过分繁杂的平安政策将导致比没有平安政策还要低效的平安。需要考虑一下平安政策给合法用户带来的影响在很多情况下如果你的用户所感受到的不方便大于所产生的平安上的提高，那么执行的平安策略是实际降低了你公司的平安有效性。.百分之百的平安？“真空中〞的硬盘才是绝对平安平安平衡和平安策略.全面的看待平安的平衡问题Confidentiality保密性Availability可用性Integrity完整性.安全需求平衡平安需求平衡为平安设计考虑的根本.建立有效的平安矩阵允许访问控制容易使用合理的花费灵活性和伸缩性优秀的警报和报告.黑客的分类偶然的破坏者——大多数坚决的破坏者——特殊动机商业和军事间谍.平安的根本元素审计管理加密访问控制用户验证平安策略.平安元素1：平安策略为你的系统分类指定危险因数确定每个系统的平安优先级定义可接受和不可接受的活动决定在平安问题上如何教育所有员工确定谁管理你的政策.系统分类——平安分类级别级别数据系统安全级别3：

日常工作

桌面电脑一些用于操作的数据一般的系统，数据丢失不会导致公司商业行为瘫痪一般的安全策略和防范级别2：

较重要

非关键业务系统如果数据保护不好的话会使公司产生极大的风险操作系统或电子商务在线系统，宕机时间不能超过48小时一般的安全策略+特殊的监视、审计和恢复策略级别1：

最重要

商务运行至关重要的系统高度保护的重要数据，如商业机密和客户资料等重要任务级的系统，系统停止运行不能超过几个小时，如证书服务器，Web服务器安全分析及扩展的安全机制，系统级别的审计、监视和安全功能.平安策略细分明智的为系统分类E-mail效劳器CEO的笔记本Web效劳器(机器流量/信息敏感度/系统性质)资源优先级划分一个危险优先级列表和—个行动列表哪种级别需最大平安/时间和金钱的花费指定危险因数危险因数指的是一个黑客攻击某种资源的可能性.平安策略细分定义可接受和不可接受的活动将策略应用到资源上最正确性能价格比.平安策略细分定义教育标准指派策略管理级别需要的知识用户对一些安全威胁和漏洞敏感,要对保护公司的信息和资源引起重视执行者需要达到熟悉公司安全知识的级别并做出使用信息安全程序的决策 管理者寻找、开发防止威胁和漏洞的技能，并把它们整合到安全策略中，来满足系统和资源安全的需要.平安元素2：加密加密类型Symmetric〔对称加密〕Asymmetric〔非对称加密〕Hash〔哈希算法多用在一些签名算法的应用中例如MD5SHA等〕.加密的优势数据保密性这是使用加密的通常的原因。通过小心使用数学方程式，你可以保证只有特定的接受者才能查看内容。数据完整性对需要更安全来说数据保密是不够的。数据仍能够被非法破解并修改。一种叫HASH的运算方法能确定数据是否被修改过。更安全。认证数字签名提供认证服务不可否定性数字签名允许用户证明信息交换确实发生过，金融组织尤其依赖于这种方式的加密，用于电子货币交易.平安元素3：认证认证方法whatyouknow？常用密码认证方式whatyouhave？智能卡，磁卡，双因素数字卡等whoyouare？物理，生理上的特征认证，比方指纹，声音识别whereyouare？原始IP地址验证.特殊的认证技术一次性密码〔OTP〕Kerberos到效劳器的身份认证更高效相互身份认证.平安元素4：访问控制访问控制列表〔ACL〕Objects执行控制列表〔ECL〕.平安元素5：审计被动式审计简单地记录一些活动，并不做什么处理主动式审计结束一个登陆会话拒绝一些主机的访问(包括WEB站点，FTP效劳器和e-mail效劳器)跟踪非法活动的源位置.平安元素6：管理“三分技术、七分管理〞管理要表达在细节的执行力管理也需要技巧与“中国特色〞.国内信息平安的热点问题TCP/IP的网络根本组成情况网络平安的根本元素攻击者与攻击方式网络设备的平安问题讲义内容整体介绍.典型的攻击方式及平安规那么前门攻击和暴力破解法BUG和后门社会工程和非直接攻击.攻击的分类社交工程学和非直接攻击前门攻击后门攻击.非直接攻击的介绍目标的信息收集踩点社交工程学的欺骗网络钓鱼的技术分析拒绝效劳攻击可怕的搜索引擎自己也可以搜索的方法.目标主机的信息收集踩点NSLOOKUPTRACERTSNMP信息收集效劳器实地勘察WHOIS查询与旁注攻击.社交工程学的攻击案例.邮件病毒是最常采用社交工程学攻击方式.欺骗用户执行或者访问恶意程序和站点.什么是DoS/DDoS攻击？.拒绝效劳攻击的可怕针对TCP/IP协议网络层的攻击行为针对应用层程序的压力拒绝效劳攻击例如QQ软件.针对网络层的协议拒绝效劳攻击.针对应用软件的拒绝效劳攻击.搜索引擎也可以成为攻击者的辅助工具.扩大攻击范围寻找可利用突破目标.前门攻击特殊字符绕过口令验证通过网络进行暴力口令猜解本地文件密码破解从网络中直接嗅叹收集密码无需口令也可以进入效劳器的另类方法.脚本验证过程的可绕过漏洞.容易获取的ADSL上网帐号.后门攻击SQL的注射攻击ARP欺骗的“中间人攻击〞.SQL注射式攻击介绍数据型字符型搜索型.利用简单的出错信息来判断是否存在.搜索型.数据型注射式攻击.年国内信息平安的热点问题TCP/IP的网络根本组成情况网络平安的根本元素攻击者与攻击方式网络设备的平安问题讲义内容整体介绍.网络设备的多样形路由器交换机根本的网络连接设备网络打印机等办公设备开展趋势越来越多的应用集成在一个硬件中来实现，比方家用电器的上网等等。.目前网络设备面临的平安威胁攻击者利用Tracert/SNMP命令很容易确定网络路由设备位置和根本结构成为新一代DDOS攻击的首选目标泄露网络拓扑结构成为攻击者的攻击跳板(telnetping命令的使用)交换机桢听口的平安问题.路由器缺省帐号设备用户名密码级别Bay路由器UsernulluserManagernullmanagerCisco路由器〔telnet〕cuser〔telnet〕ciscouser〔enable〕ciscomanagerShiva root nullmanagerGuestnulluserWebrampwradmintracellmanagerMotorolacablecomroutermanager3comsecuritysecuritymanager.Cisco路由器密码非加密和弱加密enablepassword7011B03085704linevty04password7130B12061B03132F39loginMD5加密enablesecret5$1$uh9n$2yBbtgtNsSdz46yodGnOE0.对其中的简单加密的密码进行直接解密.CISCOMD5加密HASH的本地暴力破解.SNMP协议版本SNMPv1，SNMPv2，SNMPv3SnmpAgentMIB轮循〔polling-only〕和中断〔interupt-based〕CommunityStringSNMP网管软件Solarwinds,HPOpenview,IBMNetview.十种最易受攻击端口某组织I-Trap曾经收集了来自24个防火墙12小时工作的数据，这些防火墙分别位于美国俄亥俄州24个企业内网和本地ISP所提供的Internet主干网之间。其间，黑客攻击端口的事件有12000次之多，下表是攻击的详细情况。

..SNMP泄露网络拓扑结构.利用SNMP的团体字下载CISCO的配置文件.专门针对SNMP的暴力破解程序.CISCOSNMP的越权访问查询可写团体字.SNMP解决方法修改默认的communitystringsnmp-servercommunitymy_readonlyROsnmp-servercommunitymy_readwriteRW添加访问控制规那么〔ACL〕access-list110permitudp02anyeq161logaccess-list110denyudpanyanyeq161loginterfacef0/0ipaccess-group110关闭SNMP支持nosnmp-server.Cisco路由器80端口漏洞〔二〕越权访问如果开放了80端口，将允许任意远程攻击者获取该设备的完全管理权限。构造一个如下的URL:://ip/level/xx/exec/其中xx是一个16-99之间的整数，不同设备可能不同。例如://20/level/19/exec/show%20config.CISCOWEB接口的越权访问管理.路由器平安配置物理访问控制密码恢复机制密码策略enablesecretvsenablepaswordservicepassword-encryption交互访问控制〔console,aux,vty〕lineconsole|aux|vtyloginpasswordnetpoweripaccess-class88exec-timeout300.路由器平安配置SNMP配置snmp-servercommunitymycommrwsnmp-serverpartyauthenticationmd5snmp-servertrap-sourceEthernet0snmp-serverhost91sercetpasswdnosnmp-serverHTTP配置ipauthenticationipaccess-classnoip.路由器平安配置审计aaaloggingaaaaccountingsnmp-traploggingsnmp-servertrapsystemloggingloggingconsoleloggingtraploggingmonitor防止欺骗

anti-spoofingwithaccesslistsaccess-listnumberdenyip55anyaccess-listnumberdenyip55anyaccess-listnumberdenyip55anyaccess-listnumberdenyiphostany

.路由器平安配置控制播送noip-directedbroadcast禁止源路由noipsource-route禁止路由重定向access-list110denyicmpanyany5路由协议过滤和验证.路由器平安配置关闭不需要的效劳noservicefingernontpenablenocdpenablenoservicetcp-small-serversnoserviceudp-small-servers更多请参考：://cisco/warp/public/707/21.html://cisco/warp/public/707/advisory.html.全球超过30万个黑客站点提供系统漏洞和攻击知识，国内有将近1000个。越来越多的容易使用的攻击软件的出现过去国内法律制裁打击力度不够近期国家已经逐渐加大了法律和制裁力度网络普及使学习攻击变得容易..DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部个体外部/组织内部个体内部/组织不平安因素的来源定位..不安全的安全的安全策略实际安全到达标准安全间隙未知平安间隙不容无视.课程小结

本课程先从近年来网络平安的热点问题介绍开始，然后体系化的介绍了TCP/IP网络的组成与分层情况。然后以介绍网络平安中重要元素和常见的网络平安黑客攻击方式与防护方式，同时还侧重的介绍了网络根底设备的常见平安问题与漏洞。.WINDOWS系统平安提纲引导平安安装过程系统加固入侵监控平安管理.禁止从软盘和CD－ROM启动系统,并给BIOS设置密码。不要与其他操作系统共存安装。引导平安.引导平安安装过程系统加固入侵监控平安管理WINDOWS系统平安提纲.改变默认的系统安装目录〔c:\winnt〕使用NTFS格式化磁盘尽可能地少安装windows组件尽可能地少安装第三方应用软件工作组成员而不是域控制器安装最新servicepack及其他最新补丁.删除多余的系统帐号合理分配帐号的组权限更名默认的系统帐号Administrator、Guest等帐号管理.如何更名默认的系统帐号.所有平安强壮的密码至少要有以下四方面内容的三种：大写字母、小写字母、数字、非字母数字的字符，如标点符号等。平安的密码还要符合以下的规那么：不使用普通的名字或昵称；不使用普通的个人信息，如生日日期；密码里不含有重复的字母或数字；至少使用八个字符另外，应该还要求用户60天必须修改一次密码。以下举例说明强壮密码的重要性：假设密码设置为6位〔包括任意五个字母和一位数字或符号〕，那么其可能性将近有163亿种。不过这只是是理论估算，实际上密码比这有规律得多。例如，英文常用词条约5000条，从5000个词中任取一个字母与一个字符合成口令，仅有688万种可能性，在一台赛扬600〔CPU主频〕的计算机上每秒可运算10万次，那么破解时间仅需1分钟！即使采用穷举方法，也只需9个小时；因此6位密码十分不可靠。而对于8位密码〔包括七个字母和一位数字或符号〕来说，假设完全破解，那么需要将近三年的时间。因此，密码不要用全部数字，不要用自己的中英文名，不要用字典上的词，一定要数字和字母交替夹杂，并最好参加@#$%!&*?之类的字符。.如何强制使用平安强壮的密码.设置帐号锁定策略防止暴力猜解口令。建议：尝试5次失败锁定；锁定30分钟.如何设置帐户锁定策略.设置平安选项登陆屏幕上不要显示上次登陆的用户名对匿名连接的限制用户试图登陆时的消息标题用户试图登陆时的消息内容在关机时清理虚拟内存页面交换文件.如何设置平安选项.合理设置目录及文件权限windows默认情况下Everyone对所有盘符都具有完全控制的权限，这是很危险的，尤其是对于有些重要的系统及效劳目录例如IIS的根目录等。另外当我们新建一个共享目录时，默认情况下也是Everyone具有完全控制的权限。我们需要改变这种不平安的权限设置。.如何设置目录及文件权限.如何设置目录及文件权限.删除默认共享

WindowsNT/2000出于管理的目的自动地建立了一些默认共享，包括C$，D$磁盘共享以及ADMIN$目录共享等。尽管它们仅仅是针对管理而配置的，但却隐藏了一定的风险，成为方便攻击者入侵的途径。.如何删除默认共享.如何删除默认共享我们翻开注册表，找到主键HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters针对server：创立一个叫AutoShareServer的双字节〔DWORD〕键名，键值为0。针对workstation：创立一个叫AutoShareWks的双字节〔DWORD〕键名，键值为0。.加强对平安帐号管理器(SAM)数据库的管理在WindowsNT/2000中，关于本机或者域的所用平安机制信息以及用户帐号信息都存放在平安帐号管理器(SAM)数据库中。平安帐号管理器〔SAM〕数据库在磁盘上的具体位置就是保存在系统安装目录下的system32\config\中的SAM文件，在这个目录下还包括一个Security文件，也是平安数据库的内容。平安帐号管理器〔SAM〕数据库中包含所有组、帐户的信息，包括密码HASH结果、帐户的SID等。另外在系统安装目录下的repair目录下也有SAM文件，这是每次生成系统修复盘时创立的备份。所以应该特别小心这个repair目录下的SAM文件，严格限制访问权限，并加强对这个SAM文件的审核。.禁止不必要的效劳WindowsNT/2000系统中有许多用不着的效劳自动处于激活状态，它们中可能存在的平安漏洞使攻击者甚至不需要账户就能控制机器.为了系统的平安，应把不必要的功能效劳及时关闭，从而大大减少平安风险。.如何停止不必要的系统效劳.防范NetBIOS漏洞攻击NetBIOS〔NetworkBasicInputOutputSystem，网络根本输入输出系统〕，是一种应用程序接口〔API〕，系统可以利用WINS〔管理计算机netbios名和IP影射关系〕效劳、播送及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。在局域网内部使用NetBIOS可以非常方便地实现消息通信，但是如果在互联网上，NetBIOS就相当于一个后门程序，很多攻击者都是通过NetBIOS漏洞发起攻击。.如何防范NetBIOS漏洞攻击.启用TCP/IP筛选TCP/IP筛选就像一个简单的包过滤防火墙，用来控制连接本机的网络协议和端口。.如何设置TCP/IP筛选.限制危险命令的使用把一些工具从你的NT目录中转移到一个只有系统管理员能够访问的隐藏目录。例如：arp.exe，asdial.exe，at.exe，atsvc.exe，cacls.exe，cmd.exe，cscript.exe，debug.exe，edit，edlin.exe，finger.exe，ftp.exe，ipconfig.exe，nbtstat.exe，net.exe，netstat.exe，nslookup.exe，ping.exe，posix.exe，qbasic.exe，rcp.exe，rdisk.exe，regedit.exe，regedt32.exe，rexec.exe，route.exe，rsh.exe，runonce.exe，secfixup.exe，syskey.exe，telnet.exe，tracert.exe，wscript.exe，xcopy.exe，或者干脆删除掉其中不经常使用的系统程序。.加固IIS效劳器的平安Windows系统近几年的攻击都偏重在IIS上，曾在2001到2002年大肆流行的Nimda，CodeRed病毒等都是通过利用IIS的一些漏洞入侵并且开始传播的。由于NT/2000系统上使用IIS作为WWW效劳程序居多，再加上IIS的脆弱性以及与操作系统相关性，整个NT/2000系统的平安性也受到了很大的影响。通过IIS的漏洞入侵来获得整个操作系统的管理员权限对于一台未经平安配置的机器来说是轻而易举的事情，所以，配置和管理好你的IIS在整个系统配置里面显得举足轻重了。.如何加固IIS效劳器的平安改变IIS默认安装的根目录。 例如将默认的C:\inetpub移到D:\web、E:\FTP；将web和FTP根目录分别放在不同的分区，防止利用Unicode等漏洞遍历目录以及利用文件上传导致塞满此盘空间。删除所有默认的映射目录和所对应的真实目录。删除不需要的应用程序映射。禁止Frontpage扩展效劳。限制连接数和性能。使用SSL〔SecureSocketsLayer〕每次更改IIS配置后都需要重新安装IIS的补丁，并在安装后重新检查IIS配置。..Windows系统平安提纲引导平安安装过程系统加固入侵监控平安管理.设置审核策略Windows日志IIS日志TaskScheduler日志系统帐号帐号配置文件及目录系统效劳后台进程自启动程序.设置审核策略审核是开启日志记录功能的必需条件。有些审核日志记录在windows日志中；另有些审核日志记录在其自己特有的日志中。.如何设置审核策略.如何设置审核策略.如何设置终端效劳审核策略.Windows日志.Windows日志.IIS日志.IIS日志.TaskScheduler日志.TaskScheduler日志.系统帐号.系统帐号.系统帐号.帐号配置文件.帐号配置目录.系统效劳.后台进程.后台进程.后台进程－连接状态.自启动程序启动文件〔开始－程序－启动〕系统注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或RunServersHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServers.引导平安安装过程系统加固入侵监控平安管理WINDOWS系统平安提纲.平时对效劳器的操作用普通用户登陆；需要特权管理时再改为管理员身份登陆。在效劳器上绝对不能上网，例如浏览Web页面、OQ聊天等。不要把密码放在容易被别人看到的地方。加强数据备份。管理平安.Windows系统平安小结操作系统平安的防护工作永无止境，按照以上推荐的方法进行安装和配置只是防护系统平安的开始。为Windows2000/XP/2003系统提供平安的运行环境需要不断地努力，因此我们建议你至少应该做到以下几条：启动系统自动平安更新，安装最新的SP〔servicepack〕及HotFix。定期运行平安扫描工具分析系统，确保没有遗漏任何补丁程序；微软提供了一个叫MicrosoftBaselineSecurityAnalyzer的工具，可以定期检测系统漏洞，IIS漏洞，弱帐号等等。.UNIX系统根本平安知识和平安配置.UNIX系统概况什么是UNIX?UNIX是:1.Novell公司的注册商标2.多任务、多用户的操作系统3.相关操作系统应用工具、编译程序的总称4.功能丰富的可扩展、开放的计算环境.UNIX简介在互联网上应用最广种类最多有多家厂商提供不同的版本.UNIX变种关系图.系统平安根底平安来自于平安配置的操作系统许多平安问题源于系统的部署和薄弱的配置… 1.默认配置 2.改变的二进制代码 3.未授权访问.默认配置与默认配置有关的系统风险: 1.许多特征与效劳是可用的； 2.默认的用户账户被翻开:3.Guest账户4.空口令账户 5.宽松的访问控制.改变的二进制代码攻击者可能会利用弱配置的系统，改变的系统文件或植入木马程序.损害的操作系统呈现以下的危险：有可进入系统的后门2.密码泄露3.系统平安措施失效4.不可靠的系统或审计日志.未授权访问默认账户或合法用户账户仅通过简单的口令进行防护，这为攻击者提供一个进入系统的简单的攻击点。具有合法用户权限的攻击者利用权限提升的漏洞来获得管理员权限一些提供远程效劳的进程没有限制访问,被远程溢出.UNIX的平安威胁管理类的威胁1.缺乏本地平安策略2.没有重视多余效劳进程的危害性3.错误的配置4.弱口令技术类的威胁1.软件本身的缺陷(缓冲区溢出)2.会话劫持,窃听等……UNIX平安威胁的种类?.UNIX系统平安根底本地(物理)平安系统补丁平安配置网络平安平安管理策略.物理平安保护硬件环境；保护硬件；关闭不用的接口：并行口、串行、红外或USB；设置开机口令；严格限制对系统的物理存储；安装操作系统时应该在非生产的网络中，或放置在断开的网络中；使用第二系统来接收厂商提供的升级报或补丁程序.系统安装使用常规介质；备份可能包括改变的代码对于具有网络功能的设备只安装必要的选项系统安装结束后，将最新的补丁程序打上去掉不用的用户名或者修改其密码使用第二系统来获得补丁程序在正式装补丁程序前需要校验(md5sum)

随时注意并更新系统和软件补丁.日志审计审计特性: 1.操作系统都具有一些审计与日志的功能 2.平安配置的操作系统应使用这些特性 3.审计与日志会纪录各种应用软件的事件，系统消息及用户活动，例如用户登陆等。4.应用效劳进程自身也有日志功能.日志审计1.提供一种追踪用户活动的方法2.系统管理员可以知道系统的日常活动3.及时了解和处理平安事件4.它是一种在平安事件发生后，可以提供法律证据的机制

为什么要启用审计?.日志审计1.在UNIX中,主要的审计工具是syslogd,2.可以通过配置这个后台进程程序，可以提供各种水平的系统审计和指定输出目录如何启用审计?.帐号平安根底选择复杂口令的意义:防止两层攻击基于用户信息简单密码猜测基于口令强制猜测程序的攻击人类倾向于使用易于猜测到的口令,这在使用字典猜测攻击面前变得非常脆弱口令选择的弱点:.选择口令的原那么如何选择口令?严禁使用空口令和与用户名相同的口令不要选择可以在任何字典或语言中找到的口令

不要选择简单字母组成的口令不要选择任何和个人信息有关的口令不要选择短于6个字符或仅包含字母或数字不要选择作为口令范例公布的口令

采取数字混合并且易于记忆.口令的管理如何保管好自己的口令?不要把口令写在纸上不要把口令贴到任何计算机的硬件上面不要把口令以文件的形式放在计算机里不要把口令与人共享5.防止信任欺骗(,E-mail等).Passwd文件剖析条目的格式:name:coded-passwd:UID:GID:user-info:homedirectory:shell2.条目例子:jrandom:Npge08fdehjkl:523:100:J.Random:/home/jrandom:/bin/sh

3.密文的组成

Salt+ 口令的密文

Np ge08fdehjkl.帐号管理1.伪用户帐号 通常不被登录，而是进程和文件所有权保存位置，如bin、daemon、mail和uucp等。2.单独命令帐号 如date、finger、halt等帐号。3.相应策略 检查/etc/passwd文件，确保口令域中是“*〞，而非空白。4.公共帐号 原那么上每个用户必须有自己的帐号，假设一个系统必须提供guest帐号，那么设置一个每天改变的口令。最好是设置受限shell,并且做chroot限制..禁用或删除帐号1.禁用帐号 在/etc/passwd文件中用户名前加一个“#〞，把“#〞去掉即可取消限制。2.删除帐号a)杀死任何属于该用户的进程或打印任务。b)检查用户的起始目录并为任何需要保存的东西制作备份。c)删除用户的起始目录及其内容。d)删除用户的邮件文件(/var/spool/mail)。e)把用户从邮件别名文件中删除(/etc/sendmail/aliases)。.保护root除非必要，防止以超级用户登录。严格限制root只能在某一个终端登陆，远程用户可以使用/bin/su-l来成为root。不要随意把rootshell留在终端上。假设某人确实需要以root来运行命令，那么考虑安装sudo这样的工具，它能使普通用户以root来运行个人命令并维护日志。不要把当前目录(“./〞)和普通用户的bin目录放在root帐号的环境变量PATH中。永远不以root运行其他用户的或不熟悉的程序.受限环境应用受限制shell(restrictedshell) 1.不能用cd命令切换到其它工作目录 2.不能改变PATH环境变量 3.不能执行包含“/〞的命令名 4.不能用“>〞和“>>〞重定向输出创立chrootjail chroot()系统调用改变一个进程对root目录所在位置的,如调用chroot(“/usr/restricted〞)后，访问的根目录/其实是/usr/restricted。.稳固帐号平安加强口令平安1.策略传播(对用户培训和宣传)2.进行口令检查3.产生随机口令4.口令更新5.设置口令失效时间.稳固帐号平安使用影子口令(shadow)文件组成 /etc/passwd：口令域置为“X〞或其它替代符号。 /etc/shadow：只被root或passwd等有SUID位的程序可读。设置影子口令 在可选影子口令系统中，执行pwconv命令。.除了包含用户名和加密口令还包含以下域： 1.上次口令修改日期。 2.口令在两次修改间的最小天数。 3.口令建立后必须修改的天数。 4.口令更改前向用户发出警告的天数。5.口令终止后被禁用的天数。 6.自从1970/1/1起帐号被禁用的天数。 7.保存域。例如： root:*:10612:0:99999:7:::/etc/shadow文件剖析.文件系统的平安文件类型

1.普通文件——文本文件，二进制文件。

2.目录——包括一组其它文件的二进制文件。

3.特殊文件——/dev目录下的设备文件等。

4.链接文件——硬链接和符号链接。

5.Sockets——进程间通信时使用的特殊文件。.i-node包含的信息

1.UID——文件拥有者。

2.GID——文件的权限设置。

3.模式节点上次修改时间。

4.文件大小——文件所在的分组。

5.文件类型——文件、目录、链接等。

6.ctime——i-访问时间。

7.mtime——文件上次修改时间。

8.atime——文件上次——以字节为单位。

9.nlink——硬链接的数目。文件系统的平安.文件系统权限各种许可权限的含义是什么?.计算8进制权限位如何计算各种权限位?4000SUID0040同组用户可写2000SGID0020同组用户可读1000“粘着位”0010同组用户可执行0400属主可写0004其他用户可写0200属主可读0002其他用户可读0100属主可执行0001其他用户可执行.计算文件权限的例子某文件的权限位为:〞-rwxr-x〞转换成8进制为:0750即: 0400 0200 0100 0040 0000 0010+0000 0750.ls-l命令可以来显示文件名与特性。下面信息的第一栏可以说明文件类型和该文件赋予不同组用户的权限查看文件权限[root@smithers/etc]#ls-al|moretotal937drwxr-xr-x32rootroot3072Aug3111:07.drwxr-xr-x16rootroot1024May2708:05..-rw1rootroot0May2508:22.pwd.lock-rw-r--r--1rootroot20May2508:55HOSTNAME-rw-r--r--1rootroot42May2512:56MACHINE.SID-rw-r--r--1rootroot5468Mar291999Muttrcdrwxr-xr-x14rootroot1024May2707:46X11-rw-r--r--1rootroot39Jun208:24adjtime-rw-r--r--1rootroot732Apr1916:38aliases-rw-r--r--1rootroot16384May2508:36aliases.db--More--.文件修改命令1.chmod—改变文件权限设置。2.chgrp—改变文件的分组。3.chown—改变文件的拥有权。4.Chattr—设置文件属性.操作实例1.取消groups与others组用户的读权限2.目录的r与x的设置3.目录〞粘着位〞的设置-rw-r--r--1rootroot1Mar211999at.deny#chmod600at.deny-rw1rootroot1Mar211999at.deny.umask值什么是umask值?用来指明要禁止的访问权限，通常在登录文件.login或.profile中建立。三位8进制值用来指定新创立文件和目录权限的缺省许可权限通过umask值来计算文件目录的许可权限(mod&~umask常用的值有022,027,077.SUID和SGID什么是SUID和SGID程序?UNIX中的SUID(SetUserID)/SGID(SetGroupID)设置了用户id和分组id属性，允许用户以特殊权利来运行程序,

这种程序执行时具有宿主的权限.

如passwd程序,它就设置了SUID位-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序passwd程序执行时就具有root的权限.SUID和SGID为什么要有SUID和SGID程序?SUID程序是为了使普通用户完成一些普通用户权限不能完成的事而设置的.比方每个用户都允许修改自己的密码,但是修改密码时又需要root权限,所以修改密码的程序需要以管理员权限来运行..非法命令执行和权限提升为了保证SUID程序的平安性，在SUID程序中要严格限制功能范围，不能有违反平安性规那么的SUID程序存在。并且要保证SUID程序自身不能被任意修改。SUID和SGIDSUID程序对系统平安的威胁..用户可以通过检查权限模式来识别一个SUID程序。如果“x〞被改为“s〞，那么程序是SUID。如： ls-l/bin/su -rwsr-xr-x 1rootroot12672oct271997/bin/su查找系统中所有的SUID/SGID程序find find/-typef\(-perm+4000-or-perm+2000\)-execls-alF{}\;用命令chmodu-sfile可去掉file的SUID位.堆栈溢出攻击有漏洞的SUID程序在SUID程序堆栈中填入过长的数据,使数据覆盖返回地址.

执行攻击者指定的代码..SUID程序效劳进程攻击目标来自bufferoverflow的威胁越来越多的bufferoverflow被发现

Internet上可以获得大量利用bufferoverflow漏洞攻击的程序一旦被成功攻击，系统将暴露无遗

更多的攻击形式(heap,format…)堆栈溢出的危害.防止堆栈溢出攻击及时发现系统和应用程序存在的问题及时下载并修补最新的程序和补丁去掉不必要或者发生问题的SUID程序s位养成良好的编程习惯如何更好的防止堆栈溢出攻击?.1.Libsafe: ://research.avayalabs/project/libsafe/2.PAX:non-execstackmodule:///3.RSX:non-execstack/heapmodule ://ihaquer/software/rsx/4.kNoX:non-execstack/heapmodule://isec.pl/projects/knox/knox.html设置non-execstack.文件的特殊属性针对特定系统的特殊文件属性/标志

Linux下的chattr命令

Freebsd下的chflags命令

sappnd设置只追加标志

schg设置不可改变标志

sunlnk设置不可删除标志.文件系统的结构常见目录的用途/bin—用户命令可执行文件。/dev—特殊设备文件。/etc—系统执行文件、配置文件、管理文件。/home—用户的起始目录。/lib—引导系统及在root文件系统中运行命令所需共享。/lost+found—与特定文件系统断开连接的丧失文件。/mnt—临时安装的文件系统。/proc—伪文件系统，是到内核数据结构或运行进程的接口。/sbin—为只被root使用的可执行文件及引导系统启动的文件。/usr—分成许多目录，包含可执行文件、头文件、帮助文件。/var—用于电子邮件、打印、cron等的文件，统计、日志文件。.文件系统权限限制与平安有关的mount选项noodevnoexecnosuidrdonly.网络效劳平安效劳:效劳就是运行在网络效劳器上监听用户请求的进程,效劳是通过端口号来区分的.常见的效劳及其对应的端口 ftp:21 telnet:23 (www):80 pop3:110.网络效劳平安1.inetd超级效劳器 inetd的功能 inetd的配置和管理2.效劳的关闭 关闭通过inetd启动的效劳 关闭独立启动的效劳.网络效劳平安建议禁止使用的网络效劳fingertftpr系列效劳telnet大多数rpc效劳其他不必要的效劳.网络效劳平安系统启动脚本sysV风格的启动脚本 rcX.d/KNprogSNprogK03rhnsdK24irdaS10networkS90crondK05anacronK25squidK60lpdS12syslogK05keytableK30sendmailS91smb2.BSD风格的启动脚本/etc/rc.confsshd_enable=“YES〞.网络效劳平安使用命令工具来监视网络状况

netstat

ifconfigLinux下的socklist

Freebsd下的sockstat

lsof–I

tcpdump.系统记帐1.普通的系统记账连接/登录记账 ac命令(记录登录时长) last命令 who命令 w命令 lastlog/lastlogin命令2.进程记账翻开进程记账(FreeBSD为例)cd/var/accounttouchacctsavacctusracct accton/var/account/acct sa–a lastcomm.系统记帐系统计帐的相关记录文件

/var/run/utmp/var/log/wtmp/var/account/acct.系统日志syslog的功能syslog的配置把syslog的信息输出到其它效劳器或打印机把syslog的信息输出到打印机:authpriv.*;mail.*;local7.*;auth.*;/dev/lp04.系统日志/记账信息可以做什么和不可以做什么5.syslog的替代品syslog工具.主流UNIX厂商的平安信息Sun(Solaris)://sunsolve.sun/pub-cgi/show.pl?target=patches/patch-access=patches/patch-accessIBM(AIX)://www-1.ibm/services/continuity/recovery1.nsf/advisoriesHP(HP-UX)://us-support.external.hpSGI(IRIX)://sgi/support/security/index.htmlCompaq(Tru64UNIX,OpenVMS,Ultrix)ftp://ftp.service.digital/publicLinux(RedHatLinux)://redhat/apps/support/errata/Freebsd://FreeBSD.org/security/美国国家平安局发布的SE-Linux补丁:///selinux.应用平安身份认证技术：公开密钥根底设施〔PKI〕是一种遵循标准的密钥管理平台，能够为所有网络应用透明地提供采用加密和数字签名等密码效劳所必需的密钥和证书管理。应用效劳平安性：Web效劳器、邮件效劳器等的平安增强，使用S-HTTP、SSH、PGP等技术提高Web数据、远程登录、电子邮件的平安性。网络防病毒技术：病毒是系统中最常见的威胁来源。建立全方位的病毒防范系统是计算机网络系统建设的重要任务。.身份认证分类单因素认证双因素认证挑战/应答机制认证时间同步机制认证.认证手段知道某事或某物拥有某事或某物拥有某些不变特性在某一特定场所〔或特定时间〕提供证据通过可信的第三方进行认证.非密码认证机制口令机制一次性口令机制挑战/应答机制基于地址的机制基于个人特征的机制个人认证令牌.基于密码的认证机制根本原理是使验证者信服声称者所声称的，因为声称者知道某一秘密密钥。基于对称密码技术基于公钥密码技术.零知识认证零知识认证技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。在网络认证中，已经提出了零知识技术的一些变形，例如，FFS方案、FS方案和GQ方案。一般情况下，验证者公布大量的询问给声称者，声称者对每个询问计算一个答复，而在计算中使用了秘密信息。.典型的认证协议Kerberos系统Kerberos系统为工作站用户〔客户〕到效劳器以及效劳器到工作站用户提供了认证方法，Kerberos系统使用了对称密码技术和在线认证效劳器。缺陷：需要具有很高利用率的可信〔物理上平安的〕在线效劳器；重放检测依赖于时戳，意味着需要同步和平安的时钟；如果认证过程中的密钥受到威胁，那么传递在使用该密钥进行认证的任何会话过程中的所有被保护的数据将受到威胁。.典型的认证协议X.509认证交换协议与Kerberos协议相比，X.509认证交换协议有一个很大的优点：不需要物理上平安的在线效劳器，因为一个证书包含了一个认证授权机构的签名。公钥证书可通过使用一个不可信的目录效劳被离线地分配。X.509双向交换同样依赖于时戳，而X.509三向交换那么克服了这一缺陷。但X.509认证交换协议仍存在K