1 / 70

huawei-3com

IT 系统深度安全. 杜旭 ( 北京总部 - 政府 ) 13910735735 duxu@H3C.com duxu@huawei-3com.com. www.huawei-3com.com.cn. 汇报目录. 安全案例 H3C 安全产品发展历程 H3C 安全解决方案 H3C 成功案例分析. 网络攻击示意图. 可以做简单入侵或提升权限的准备. 破坏型、入侵型. 攻击其它 主机. 系统日值 Rootkit 等. 选中攻 击目标. 获取普通 用户权限. 获取或 修改信息. 擦除入 侵痕迹. 安装 后门. 信息 收集. 获取超级

ganya
Download Presentation

huawei-3com

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IT系统深度安全 杜旭(北京总部-政府) 13910735735 duxu@H3C.com duxu@huawei-3com.com www.huawei-3com.com.cn

  2. 汇报目录 • 安全案例 • H3C安全产品发展历程 • H3C安全解决方案 • H3C成功案例分析

  3. 网络攻击示意图 可以做简单入侵或提升权限的准备 破坏型、入侵型 攻击其它 主机 系统日值 Rootkit等 选中攻 击目标 获取普通 用户权限 获取或 修改信息 擦除入 侵痕迹 安装 后门 信息 收集 获取超级 用户权限 从事其它 非法活动 确定操作系统、应用服务、端口、社会工程学等 根据本地漏洞 提高权限

  4. PCWeek的一次悬赏评测 目标: WinNT、RedHat 6.0 应用: 为报刊类站点设计的分类广告系统 NT: ASP、IIS、MTS、SQL Server7 Linux:Apache、mod_perl Securelinux.hackpcweek.com Securent.hackpcweek.com 目标: 修改主页或获取绝密文件top secret。 网络攻击实例

  5. 搜寻对方系统 发现被防火墙保护 前期踩点 Lemming:~# telnet securelinux.hackpcweek.com 80 Trying 208.184.64.170… Connected to securelinux.hackpcweek.com. Escape character is ’^]’. POST X HTTP/1.0 HTTP/1.1 400 Bad Request Date: Fri, 24 Sep 1999 23:42:15 GMT Server: Apache/1.3.6 (Unix) (Red Hat/Linux) (…) Connection closed by foreign host Lemming:~# 探测结果:运行Apache的Red Hat主机,应该有mod_perl, 没有发现,尝试常见的CGI漏洞(tect-cgi、wwwboard、count.cgi )等,未发现问题,登录网站,发现目录结构(/、/cgi-bin、/photoads、/photods/cgi-bin等)

  6. 重点对象 Photoads软件 www.hoffice.com出品的软件包 找到一份默认安装 发现:http://securelinux.hackpcweek.com/photoads/ads_data.pl 查询photoads/cgi-bin/photo_cfg.pl,没有实现 Env.cgi获得文件目录/home/httpd/html,以nobody用户权限来运行 设定目标

  7. <!--#include file=“…”> for SSI <!--#perl…--> for mod_perl 系统虑过了大部分的输入,几乎没有找到什么问题 Post.cgi 出现了一个变量 Print “you are trying to post an AD from another URL:<h>$ENV{‘HTTP_PEFERER’}\n”; $ENV{‘HTTP_PEFERER’} 是一个用户提供的变量,没有做输入过滤,可以嵌入代码 使用工具: getit.ssi getit.mod_perl 使用方法: lemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80 机器没有配置SSI和mod_perl,所以尝试没有成功 第一次失败 第一次攻击

  8. 从查找cgi 漏洞入手  perl 的漏洞一般出在open()、system()、系统调用 系统查找结果  没有system()和系统调用,出现了open() Lemming:~/photoads/cgi-bin# grep ‘open.*(.*)’ *cgi | more avisory.cgi: open (DATA, “$BaseDir/$dataFile”); edit.cgi: open (DATA, “$BaseDir/$dataFile”); edit.cgi: open (MAIL, “|$mailprog –t”) || die “Can’t open $mailprog!\n”; Photo.cgi: open (ULFD. “>$write_file”) || dir show_upload_failed(“$write_file $!”); Photo.cgi open (File, $filename ); (…) Photo.cgi 132行 $write_file=$Upload_Dir$filename; Open(ULFD, “>$write_file”) || die show_upload_failed(“$write_file”); Ptint ULFD $UPLOAD {‘FILE_CONTENT’} Close (ULFD) 改变思路

  9. $write_file=$Upload_Dir.$filename Photo.cgi第226行定义 If(!$UPLOAD{‘FILE_NAME’}) {show_file_not_found();} $filename = lc($UPLOAD{‘FILE_NAME’}); $filename = ~s/.+\\([^\\]+)$|.+V([^V]+)$^1/; If ($filename=~m/gif/) $type=‘~gif’; {elsif ($filename=~m/jpg/) $type=‘~jpg’; } else { {&Not_Valid_Image} } 查找CGI相关漏洞文章 发现 /jfs^../../../../../../../export/www/htdocs/index.html%00.gif 的漏洞 查找变量定义 检查已经很完善了,检查了特殊字符的输入、必须为GIF或者JPG的文件才能够上传。 避免出现 ../../../../../../etc/passwd 的现象 似乎无懈可击! 如果是POST发布则不会解释%00的代码,故应使用GET方式上传

  10. 其它文件检查 Photo.cgi 256行规定了上传图片文件的大小,主要是长、宽,不符合要求将被改写 Pcweek将JPG文件的ImageSize=0 所以找到GIF文件作为突破口 If ( substr ( $filename, -4, 4) e “.gif”) Open ( FILE, $filename ); My $head; My $gHeadFmt = “6vvb8cc”; My $pictDescFmt = “vvvb8”; Read FILE, $head 13; (my $Gif8a,$width,$height,my $resFlags, my $bgColor, my $w2h) = uppack $gHeadFmt,$head; close FILE; $PhotoWidth = $width; $PhotoHeight = $height; $PhotoSize = $Size; Return 攻击的详细过程

  11. Photo.cgi 140行 If (($photoWidth eq “”) || ($PhotoWidth>700’)) {&Not_Valid_Image} {if ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {&Height_Width} } 系统默认的宽为350,长为250,所以上传文件应在此范围内,故0,0 Chmod 0755, $Upload_Dir.$filename; $newname = $AdNum; Rename(“$write_file”, “$Upload_Dir/$newname”); Show_Upload_Success($write_file); $UPLOAD{‘AdNum’}=~tr/0-9//cd; $UPLOAD{‘Password’}=~tr/a-zA-Z0-9!+&#%$@*//cd; $AdNum=$UPLOAD{‘AdNum’}; 攻击的详细过程 文件名必须是数字 密码限制了字节 又不能使用../../../的手法了

  12. Rename()函数没有校验,出错会跳过去 出错的方法,超常文件名 Linux默认最长文件名为1024个字节 系统提示只能上传已经存在编号的广告图片 又是一个死胡同 ?_? 寻找Edit.cgi,发现能够自己建立一个新的广告文件编号 输入一个名字+回车+1024个数字=创建一个文件编号  大收获! 因为系统设置NOBODY可以运行,故上传文件,设计一个文件有专门为GIF留有的文件头 发现不能改名  index.html为管理员所有,或没有写权限。 但是可以修改CGI教本,于是在不影响系统运行的情况下,加入Advisory.cgi 首战告捷!! 暴露出的问题

  13. 但是当教本第一次运行Shell的时候必须加以说明,如:但是当教本第一次运行Shell的时候必须加以说明,如: #!/bin/sh Echo “Content-type:text/html” Find /”*secret*” –print 但是我们的文件必须满足文件尺寸大小的规定,按照标准则应为 #!/bi\00\00\00\00n/sh 没有这么短就能执行的SHELL  死胡同第二次 !_! Linux下默认的ELF(可执行文件),给了我们一个提示 将文本文件转成16进制文件,将里面的00转为0X00,则一举两得!!Sing~ 构造一个ELF文件使之符合URL标准,Apache的最常URL为8190个字符 还有1024个字符的数字,ELF文件只有7000个字节空间 是一个很小的程序 柳暗花明

  14. 1.设计一个小型的C程序 2.将之编译 3.使之符合URL规范 发现是7600个字节,太大了 对这个二进制文件进行优化,剩余4535个字节 上传这个文件 可以调用系统命令进行ls、Find、Locate等命令 没有发现Top secret文件 为什么? 绝密文件没有放在nobody可以访问的文件夹中! 解决方法  需要ROOT权限! 真正的编程工作

  15. 通过脚本查找系统版本、应用服务版本 … … 查到crontab漏洞(可以在bugtraq/securityfocus中找到) 目的就是有一个nobody有权限使用的shell就可以了 繁忙编写程序中… … 完成后重新上传文件,检查运行状态,发现suidroot 最后的工作: 1.上传文件 2.改名 3.Copy到相应目录 攻击完成了! 历时20个小时 为了最高权限

  16. 让我们来回顾攻击的全过程 简单回顾 目标 开始探测程 第一个隐患  得出结论  价值 Linux RedHat Apache 口令文件的 存放位置 修改主页 获 取 软 件 并 分 析 确 定 攻 击 方 向 无用 系 统 检 测 应用广告程序 文件存放目录 有用 开放80端口 程序以 Nobody 身份运行 Windows NT IIS 获取绝密文件 下一节

  17. 回顾第二部分 第二次攻击 结果 系统分析 上一节 Open() $write_file Jpg禁止上传 没 有 配 置 System() $filename Gif可以上传 常 用 编 写 教 本 SSI 获取信息 系统调用 下一节 文件名称检测 只能是数字的名称 必须是.gif或.jpg 查脚本漏洞 分析软件 Mod_perl 只能以GET 方式上传 发现漏洞:index.html%00.gif

  18. 回顾第三部分 系统分析 结果 二次系统分析 文件尺寸检查必须设定尺寸标记 默认为350*250 Edit.cgi 编辑现有文件 上一节 创建新文件 文件改名 Rename()有1024字节的bug Gif可以上传 文件名只能是数字 成功! 密码框屏蔽 特殊字符 再次上传 只能上传 已存在的文件 尝试上传 不成功 没有权限 下一节 改名index.html

  19. 离成功只有一步之遥 扩大战果 编程实战 上一节 图片尺寸 上传 调用系统命令 可以改为cgi文件 脚本语言 优化 没有绝密文件 无法两者都满足 编译 必须拥有root权限! ELF 改为.elf 编程

  20. 最终成功 调用系统命令 发现系统漏洞 提升自身权限 编写程序 上传 改名 复制 攻击成功

  21. 其它安全事件 • 下载DOS • 政府网站木马入侵

  22. 汇报目录 • 安全案例 • H3C安全产品发展历程 • H3C安全解决方案 • H3C成功案例分析

  23. ITOIP • 以IP技术为核心的四大产品集群构成ITOIP的支撑

  24. Megabits 10’s of mbps 100’s of mbps Gigabits 10’s of gigabits 华为3Com安全理念-安全渗透 安全发展演变 软件IPS 路由器 ACLs 包过滤 软件 防火墙 IDS ASIC硬件防火墙 网络本身内置安全机制,实现端到端的安全 安全渗透 网络 Switches HW Routers Multi-layer Switches Load balancers Software Routers 以太网 Hubs bridge 网络的发展演变

  25. 华为3Com安全理念-技术模型 智能 统一威胁与策略管理 流量分析与行为识别 统一用户认证与授权 统一基础安全管理 全局 集成(技术/产品) 协作(产品解决方案) L2 EAD L2.5 VPE 交换机 L3 DVPN 路由器/VPN L4 虚拟化分区隔离 抗DoS 防火墙/SecBlade L5~7 带宽滥用 入侵抵御 蠕虫控制 TippingPoint IPS 深度

  26. 华为3Com安全产品线-安全设备

  27. 华为3Com安全产品线-安全管理 安全 认证 • CAMS:综合安全认证平台 • Quidview网络基础管理 • VPN Manager业务管理 • BIMS安全业务智能管理 安全 管理 端点 安全 • EAD:端点准入防御方案 • XLog:综合安全审计系统 • SOC :安全管理中心 安全 审计

  28. 身份识别 物理安全 木马/间谍软件 环境干扰 蠕虫病毒 P2P泛滥 非授权访问 非法业务 DoS攻击 信息窃取 IT与业务融合中的安全困扰 损失大 危害高 防护难 • 90%以上的计算机会感染间谍软件、广告软件、木马和病毒等恶意软件 • SQL Slammer在10分钟内感染了全球90%有漏洞的机器 • 911事件中,丢失数据的企业中有55%当时倒闭。剩下的45%中,因为数据丢失,有29%也在两年之内倒闭,生存下来的仅占16%……

  29. 差异化全局安全部署 DVPN 网流优化 SSL VPN 虚拟防火墙 网络流量分析 入侵抵御 DDoS防御 VPE 安全管理中心 FW/EAD内网可控 虚拟软件补丁 防病毒 IPSec VPN 全局 网关 内网 数据中心 远程接入

  30. 汇报目录 • 安全案例 • H3C安全产品发展历程 • H3C安全解决方案 • H3C成功案例分析

  31. 安全趋势分析 • 关注安全问题 • 接入安全 • Internet接入的安全隐患 • 外部单位接入安全隐患 • 内部用户接入的安全隐患 • 重要数据存储 • 安全管理的

  32. 解决方案一、Internet接入安全 • Internet接入是安全问题最前沿 • DOS/DDOS攻击 • 病毒、蠕虫传播、木马 • Active X、JAVA • 用户名密码尝试、穷举 • BT带宽占用 • VPN接入 • 安全备份网络 • … …

  33. Internet接入解决方案拓扑 Internet 水利广域网 防火墙+VPN 外网DMZ区 防火墙 物理隔离网闸 防病毒板卡 IPS(IDS) 内部办公区 1、区域设置、状态包过滤、DDOS攻击、应用层信息过滤、BT限流 2、防病毒板卡(http/ftp/pop3/smtp) 3、应用层防护(IDS联动防火墙) 4、区域节点之间的VPN连接

  34. Internet区域防御优劣势分析 • 优势 • 保障了接入的安全性(DOS/DDOS、Java、Active X) • 建立了网关防病毒的模式 • 区域节点间的VPN连接(备份网) • BT限流 • IPS和防火墙联动 • 扩展性 • 防火墙可扩充流量管理模块 • 在互联网与省局网络之间通过网闸进行分割 • 劣势 • IDS难以全面进行安全防护与安全审计 • 建议使用UTM设备进行防护

  35. 业务解决方案之:互联网可靠连接 SecPath FW/VPN IPSec远程接入 总部 合作伙伴 EAD DVPN域 SSL VPN 移动办公用户 SecPath FW/VPN SecPath FW/VPN 分支机构 分支机构 • 丰富的VPN • 综合运用DVPN/IPSec/SSL L2TP/GRE VPN • 远程客户端安全校验 • SSL VPN优势 • 易于安装使用、兼容性好 • 能够对应用层进行访问控制 • Client to site的最佳组网模式

  36. 病毒防护网关—ASM防病毒插卡 带防火墙模块的核心交换机 数据中心 路由器 SecPath 防病毒网关 内网办公区 ASM插卡 • ASM:Anti-Virus Security Monitor • 与瑞星合作完成 • 支持SMTP 、 POP3、 FTP 、 HTTP等协议 • 可应用于SecPath F100-A/F1000-S/F1000-A • 最大吞吐量200Mbps

  37. 网络安全监控——NSM插卡 新 SecPath防火墙 报文流出 报文流入 流量镜像 NSM插卡 (Network Security Monitor) 产品特点: • 独立网络处理器,并联处理,不影响网络性能 • 监控信息的图形化显示 • 百余种网络协议分析,包括IP和非IP的2~7层报文 • 各种历史和实时报告的输出 产品定位: • NSM适用于:SecPath F100-A/F1000-S/F1000-A

  38. 攻击A “特征码” 攻击B “特征码” (由攻击A的粗糙的签名造成遗漏的攻击) 误报 (粗糙的签名) 虚拟 软件 补丁 简单的攻击A的过滤器  虚拟软件补丁技术 漏洞 “特征码” • 一个漏洞(弱点)就是软件程序中存有的一个安全缺陷 • 一个攻击就是能充分一个存在的安全缺陷,从而实现不需任何授权就能对易受攻击(有漏洞)的系统进行访问的程序  • 简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器  • 由于受到处理器引擎性能限制,过滤器开发人员只能采用这种最基本的过滤器 • 结果:漏报、误报、继续受到攻击  • IPS的弱点过滤器实际应是一个虚拟软件补丁,它能覆盖整个漏洞 

  39. IPS系列产品的核心属性 

  40. IPS过滤器的方法 协议 异常 流量异常 漏洞 签名 • 用法: • 固定模式 • 正则表达式 • 检测和防止 : • 病毒 • 特洛伊木马 • 已知攻击 • P2P应用 • 未经授权的即时通讯 • 用法: • 遵守RFC • 协议解码器 • SYN 代理服务器 • 标准化 • 检测和防止 : • 规避 • 未知的攻击 • 流量异常 • 未经授权的访问 • SYN Floods • 用法: • 协议解码器 • 正则表达式 • 应用消息分析 • 检测和防止 : • 未知攻击 • 蠕虫/Walk-in 蠕虫 • 未经授权的访问 • 用法: • 流量阈值  • 连接限制  • 连接速率限制  • 检测和防止: • DDoS 攻击 • 未知的攻击 • 流量异常

  41. 高可用性和基于状态网络冗余 内置的高可用性 基于状态网络冗余 热插拨,双电源支持 内置监控 Watchdog 计时器 安全和管理引擎 自动或手动切换到L2 交换机方式 99.999% 网络可靠性 • 网络状态冗余 • Active-Active • Active-Passive • 没有 IP 地址或MAC 地址 • 对路由协议透明 • HSRP, VRRP, OSPF

  42. 漏洞分析系统 智能化原始数据采集 疫苗生成  数字疫苗在线更新机制 • SANS • CERT • Vendor Advisories • Bugtraq • VulnWatch • PacketStorm • Securiteam @RISK Weekly Report 数字疫苗 自动在线 为用户更新 • 过滤器类型 • 签名(Signature) • 漏洞(Vulnerability) • 异常流量和(或)异常流量统计  大规模的分发系统  通过AkamaiCND在56个国家的9,700 服务器进行分发

  43. 业界的认可- NSS 金奖 • 通过750 个单项测试,评估IPS的性能、安全性和可用性  • 用一年的时间开发测试方法和建立测试环境  • 每个产品进行二周的测试  • 参与厂商 • TippingPoint、ISS、NetScreen、TopLayer、 McAfee、Cisco “NSS 金奖是一个标准,我们授予给我们认为近乎完美的产品.” -Bob Walder President, NSS Group

  44. 解决方案二、内部用户接入安全 • 内网关注的安全问题 • 客户端的安全(系统补丁、防病毒、非法外联) • 用户接入认证、权限管理 • 环保广域网接入的安全 • 链路备份 • 不同安全域的划分 • 日志审计

  45. 环保办公网安全 水利广域网 安全规划: 1、使用双链路冗余、核心交换机使用防火墙板卡、链路通过网闸隔离; 2、内部用户使用EAD进行认证(接入认证、权限管理、防病毒、补丁自动升级) 3、管理局域网使用日志系统、认证服务器进行管理 网闸 防病毒 服务器 系统补丁 服务器 安全隔离区 EAD EAD EAD 内网认证、日志系统 内部办公区

  46. 环保接入网安全 Internet 水利广域网 外网DMZ区 物理隔离网闸 UTM 双核心交换 防火墙板卡 IPS IDS EAD EAD EAD 内部办公区 横向单位接入区 (银行、海关、法院等) 特殊应用接入

  47. 内部用户接入方案优、劣势分析 • 优势 • 板卡式防火墙模块解决防火墙单点故障问题 • 双链路接入,网闸进行隔离 • 内网用户全面认证,可以和CA或域认证结合使用 • 内网用户病毒库、系统补丁全面自动升级,隔离区升级 • 内网部署日志服务器,实现事后审计 • 扩展性 • 可以结合SOC进行统一安全管理 • 劣势 • EAD部署时间周期较长,需进行较多培训工作 • 内部管理难度大于技术实现难度

  48. EAD主要特点 • 补丁和病毒软件管理: • 企业终端染毒进而造成网络故障, • 90%以上原因是没有打上必要的系统(包括OS、DB、Office)补丁、 • 安装必要防病毒软件(或者升级到最新的病毒库版本)。 • EAD增强的安全检查可以强制用户终端上网前完成此类修复工作。 黑白软件管理: 很多企业有强制推行某些软件安装(或者不安装)的制度需求。 EAD可以从技术上支持这种制度的落实,即如果不安装某些必须软件(或者安装了某些禁止软件)禁止上网。 安全检查 终端流量检查: 用户终端染毒对网络的影响往往是发送大量的广播包占用网络带宽,自动检测和遏制这种终端是保护网络的一种有效办法。 EAD支持对用户终端流量异常的检测,根据策略将该终端进行下线操作。 Internet出口管理: 企业IT管理人员非常反感网络中多Internet出口问题,包括私设代理、私自拨号、双网卡等。 EAD可以发现网络中私设的Internet出口,并根据策略将私设出口的终端下线。

  49. 解决方案三、安全管理解决方案 • 安全管理需要关注的问题 • 由技术管理向管理技术转变 • 把握全网安全动态而不是局部隐患 • 全网皆安全—所有设备、服务器的统一审计 • 关联分析,查询安全事件源头,迅速反应

  50. 企业网络安全建设现状 IDS 安全客户端 流量整形网关 安全路由 交换机 信息孤立 认证服务器 安全审计系统 日志系统 防火墙 典型的企业IT安全ROI 100% 支出占营业收入的比例 50% 10% 0% IT安全投资 安全投资回报 成本功效

More Related