960 likes | 1.13k Views
第 10 章 Internet 安全. 本章主要内容 : 安全威胁 安全目标 信息安全体系 防火墙技术. 10.1 安全威胁. 10.1.1 案例分析. 其他. DDOS 攻击. 主机入侵. 垃圾邮件. 网页篡改. 蠕虫病毒. 复旦大学安全事件投诉率. 针对网络和服务器. 垃圾邮件 蠕虫病毒 网页篡改 DDOS 攻击 局域网 ARP 欺骗 网络扫描. 针对个人用户. 主机入侵 木马 宏病毒 帐号、权限盗用 弱口令. 分析. 垃圾邮件
E N D
第10章 Internet安全 本章主要内容: 安全威胁 安全目标 信息安全体系 防火墙技术 1
10.1 安全威胁 • 10.1.1 案例分析 2
其他 DDOS攻击 主机入侵 垃圾邮件 网页篡改 蠕虫病毒 复旦大学安全事件投诉率 3
针对网络和服务器 • 垃圾邮件 • 蠕虫病毒 • 网页篡改 • DDOS攻击 • 局域网ARP欺骗 • 网络扫描 4
针对个人用户 • 主机入侵 • 木马 • 宏病毒 • 帐号、权限盗用 • 弱口令 5
分析 垃圾邮件 • 根据统计,每日收到的垃圾邮件和病毒邮件约占总请求数80%,在病毒多发期此数字甚至达到90%以上。 网页篡改 • 即使使用了反向代理+防火墙方式为二级网站提供安全屏障,网页被篡改现象仍然时有发生。 6
分析 • 2004年冲击波病毒。中毒电脑数量巨大,造成网络严重阻塞。 • 主机入侵。一学生对计算机技术了解不多,但是他利用黑客工具进行扫描和入侵,基本不搞破坏,较多行动是用肉机开设代理服务器。 7
因中毒而被病毒制造者控制的计算机被称为“肉机”。因中毒而被病毒制造者控制的计算机被称为“肉机”。 • 就是可以被可以远程控制的机器(无论是装木马还是留了后门).叫肉鸡,是指成你成了别人的 “枪”。 8
分析 • 垃圾邮件是Internet的最大危害之一 • 网站开发和管理人员水平参差不齐,代码编写不规范,使注入攻击等方式有机可乘 • 随处可下载黑客工具,黑客行为傻瓜化 • 用户电脑技术不高,不会使用防火墙、杀毒软件等安全工具 • 用户欠缺必要的信息安全知识,弱密码泛滥,安装补丁不及时 • 学生法律意识薄弱,图一时之利,不考虑后果 9
废物搜寻 间谍行为 冒名顶替 身份识别错误 窃听 偷窃 拨号进入 不安全服务 线缆连接 物理威胁 算法考虑不周 安全威胁 配置 随意口令 系统漏洞 身份鉴别 初始化 编程 口令破解 乘虚而入 口令圈套 代码炸弹 病毒 特洛伊木马 更新或下载 10.1.2 安全威胁的几种类型 10
10.2 网络攻击行径分析 • 10.2.1攻击事件 • 10.2.2攻击的目的 • 10.2.3攻击诀窍 11
10.2.1 攻击事件 攻击事件分类 • 破坏型攻击 • 利用型攻击 • 信息收集型攻击 • 网络欺骗攻击 • 垃圾信息攻击 12
10.2.2 攻击目的 • 攻击的动机 • 恶作剧 • 恶意破坏 • 商业目的 • 政治军事 13
10.2.2 攻击目的(续) • 攻击目的 • 破坏目标工作 • 窃取目标信息 • 控制目标机器 • 利用假消息欺骗对方 14
10.2.3 攻击诀窍 • 基本方法 • 黑客软件 • Back Orifice2000、冰河 • 安全漏洞攻击 • Outlook,IIS,Serv-U • 对防火墙的攻击 • Firewalking、Hping • 渗透 • 路由器攻击 15
10.3 网络恶意代码 10.3.1 网络恶意代码的基本概念 10.3.2 流行的网络恶意代码分类 10.3.3 网络恶意代码的运行周期及我们的上网安全意识 16
10.3.1 恶意代码的基本概念 • 恶意代码,又称Malicious Code,或MalCode, MalWare。 • 其是设计目的是用来实现某些恶意功能的代码或程序。 17
10.3.2 网络恶意代码的分类 • 计算机病毒 • 网络蠕虫 • 特洛伊木马 • 后门 • RootKit • 拒绝服务程序,黑客工具,广告软件,间谍软件…… 18
计算机病毒 • 一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。 • 如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose… ROSE:千万不要直接点击U盘的盘符进去,否则会立刻激活病毒 19
网络蠕虫 一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。 • 其通过不断搜索和侵入具有漏洞的主机来自动传播。 • 如红色代码、SQL蠕虫王、冲击波、震荡波、极速波… • 极速波是一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒。该病毒利用最新漏洞传播,并且可以通过IRC接受黑客命令,致使被感染计算机被黑客完全控制。 20
特洛伊木马 指一类看起来具有正常功能,但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。 • 如冰河、网络神偷、灰鸽子…… • 灰鸽子是新出现的一款国产木马软件,由服务器端“P_Server.exe”和客户端“P_Client.exe”构成。其服务器端伪装成文本文件的图标,误运行后,会打开受害机的8225端口。 21
后门 使得攻击者可以对系统进行非授权访问的一类程序。 • 如Bits、WinEggDrop、Tini…Tini能在Windows系统中建立后门监听代理,它的功能没有netcat那么多的功能,并且不能对它进行配置,但是它非常小,整个长度才3k。Tini最大的缺点是通常工作在端口7777,并且有人接入到此端口时,就运行命令提示符,这使得它非常容易被探测出来。Natcat可以监听任何一个端口,所以被发现的概率要小得多 22
RootKit 通过修改现有的操作系统软件,使攻击者获得访问权并隐藏在计算机中的程序。 • 如RootKit、Hkdef、ByShell… 23
10.3.3 网络恶意代码的运行周期 保存线 触发线 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 24
寻找目标 在目标之中 将自身保存 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 目标系统之中 长期存活于 让自身 寻找目标 • 寻找目标 • 本地文件(.exe,.scr,.doc,vbs…) • 可移动存储设备 • 电子邮件地址 • 远程计算机系统 • …… 25
在目标之中 将自身保存 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 目标系统之中 长期存活于 让自身 寻找目标 • 主动型—程序自身实现 • 病毒,蠕虫 • 被动型-人为实现 • 物理接触植入 • 入侵之后手工植入 • 用户自己下载(姜太公钓鱼) • 访问恶意网站 • …… • 多用于木马,后门,Rootkit… 26
在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 目标系统之中 长期存活于 让自身 寻找目标 • 主动触发 • 蠕虫 • 各种漏洞(如缓冲区溢出) • 恶意网站 • 网页木马 • 被动触发 • 初次人为触发 • 双击执行,或命令行运行 • 打开可移动存储设备… • 打开本地磁盘 • …… • 系统重启后的触发 • 各种启动项(如注册表,启动文件…) 27
在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 目标系统之中 长期存活于 让自身 寻找目标 • 静态存在形式 • 文件(Exe,Dll…) • 启动项(修改注册表、各种启动文件…) • …… • 动态存在形式 • 进程(自创进程或插入到其他进程之中) • 服务 • 端口(对外通信) • …… • 以上也是恶意代码检测的基础和依据所在; • 而恶意代码本身也会对文件、启动项、进程、 • 端口、服务等进行隐藏--〉即RootKit。 28
安装杀毒软件,更新病毒库 • 定期备份与还原系统 • 清除异常系统启动项与系统目录异常文件 • 关注异常进程、端口、服务、网络流量… • …… • 及时更新系统补丁、病毒库 • 对系统关键程序(如cmd.exe)作权限保护 • 不运行来历不明文件(包括数据文件) • 养成安全的移动存储设备使用习惯 • 定期备份与还原系统 • 关注系统启动项和系统目录中的可执行文件 • …… • 安装反病毒软件和防火墙 • 及时更新系统补丁、病毒库 • 不访问恶意网站 • 为系统设置系统密码 • 离开计算机时锁定计算机 • 不从不知名网站下载软件 • 拒绝各种诱惑(如色情) • 移动存储设备的可写开关 • …… 上网安全意识—恶意代码篇 保存线 触发线 存活线 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 29
目前恶意代码的发展趋势 • 目的性和自我隐蔽性将会越来越强。 • 恶意代码功能不局限某一单一形式,为了实现更多的功能,其将会吸收各种恶意代码的长处。 • 这也将成为以后恶意代码的主流之一。 • 从瑞星2006年上半年的安全报告来看,近半年时间,其新截获病毒就达119402个之多,相当于过去几年截获病毒数量的总和。 • 如果继续以这个速度发展下去的话,目前的杀毒模式确实很吃力。在数量急剧增加的同时,病毒的传播速度越来越快,这对反病毒厂商的反应能力进一步提出了更高要求。 30
目前杀毒软件对恶意代码的查杀 • 所有恶意代码均在杀毒软件的查杀范围之内 • 特征值查毒法主流技术 • 获取样本-〉提取特征码-〉更新病毒库-〉查杀病毒 • 配合虚拟机技术、启发式扫描技术 • 已经难以满足实际需要 • 病毒数量急剧增加 • 传播速度越来越快 • 主动防御技术发展趋势 • 东方微点-微点主动防御软件 • http://www.micropoint.com.cn 31
10.4 安全的目标 • 保障安全的基本目标就是要能具备 • 安全保护能力 • 隐患发现能力 • 应急反应能力 • 信息对抗能力 采取积极的防御措施,保护网络免受攻击、损害;具有容侵能力,使得网络在即使遭受入侵的情况下也能够提供安全、稳定、可靠的服务 能够及时、准确、自动地发现各种安全隐患特别是系统漏洞,并及时消除安全隐患 万一网络崩溃,或出现了其它安全问题,能够以最短的时间、最小的代价恢复系统,同时使用户的信息资产得到最大程度的保护 信息对抗能力已经不只是科技水平的体现,更是综合国力的体现。未来的战争无疑是始于信息战,以网络为基础的信息对抗将在一定程度上决定战争的胜负 33
10.5 信息安全体系 34
信息安全体系 35
访问 控制 数据 加密 用户 隔离 ASPF 防护 身份 认证 安全 策略 检测 入侵 检测 策略 更改 响应 告警 日志 黑名单 安全体系结构 安全模型——P2DR P2DR(Policy、Protection、Detection、Response)模型是安全管理基本思想,贯穿IP网络的各个层次 36
信息保障 • Information Assurance • 保护(Protect) • 检测(Detect) • 反应(React) • 恢复(Restore) 保护 Protect 检测 Detect IA 反应 React 恢复 Restore 37
10.6 防火墙技术 • 10.6.1 防火墙技术概述 • 10.6.2 防火墙的结构 • 10.6.3 构建防火墙 • 10.6.4 防火墙产品 38
10.6.1 防火墙技术概述 • 在网络中防火墙主要用于逻辑隔离外部网络与受保护的内部网络 39
10.6.1 防火墙技术概述 • 防火墙技术属于典型的静态安全技术,该类技术用于逻辑隔离内部网络与外部网络. • 通过数据包过滤与应用层代理等方法实现内外网络之间信息的受控传递,从而达到保护内部网络的目的 40
10.6.1 防火墙技术概述 • 经典安全模型 • 防火墙规则 • 匹配条件 • 防火墙分类 41
10.6.1 防火墙技术概述 • 经典安全模型 42
10.6.1 防火墙技术概述 • 防火墙规则 • 防火墙的基本原理是对内部网络与外部网络之间的信息流传递进行控制 • 控制的功能是通过在防火墙中预先设定一定的安全规则(也称为安全策略)实现的 43
10.6.1 防火墙技术概述 • 防火墙规则 • 防火墙的安全规则由匹配条件与处理方式两个部分共同构成 • 其中匹配条件是一些逻辑表达式,根据信息中的特定值域可以计算出逻辑表达式的值为真(True)或假(False) • 如果信息使匹配条件的逻辑表达式为真,则说明该信息与当前规则匹配 44
10.6.1 防火墙技术概述 • 防火墙规则 • 信息一旦与规则匹配,就必须采用规则中的处理方式进行处理 • 处理方式主要包括 • Accept:允许数据包或信息通过 • Reject:拒绝数据包或信息通过,并且通知信息源该信息被禁止 • Drop:直接将数据包或信息丢弃,并且不通知信息源 45
10.6.1 防火墙技术概述 • 防火墙规则 • 基本原则 • “默认拒绝”原则 • “默认允许”原则 • 现有的防火墙产品大多基于第一种规则 46
10.6.1 防火墙技术概述 • 匹配条件 • 网络层 • IP源地址、IP目的地址、协议 • 传输层 • 源端口 、目的端口 • 应用层 • 根据各种具体应用而定 • 基于信息流向的匹配条件 • 向内、向外 47
10.6.1 防火墙技术概述 • 防火墙分类 • 按防范领域分类 • 个人防火墙 • 禁止Internet文件共享 、隐藏端口 、过滤IP信息流 、控制Internet应用程序 、警告和日志 、漏洞检查 • 网络防火墙 • 对网络数据流进行分析,并按照规则进行过滤。 48
10.6.1 防火墙技术概述 • 防火墙分类 • 按实现的方式分类 • 软件防火墙 • 硬件防火墙 49
10.6.1 防火墙技术概述 • 防火墙分类 • 按实现技术分类 • 数据包过滤 • 在系统进行IP数据包转发时设置访问控制列表,访问控制列表主要由各种规则组成。 • 数据包过滤的规则主要采用网络层与传输层匹配条件 • 应用层代理 • 应用层代理是指运行在防火墙主机上的特殊应用程序或者服务器程序 • 这些程序根据安全策略接受用户对网络的请求,并在用户访问应用信息时依据预先设定的应用协议安全规则进行信息过滤 50