系統(tǒng)脆弱分析技術(shù).ppt

系統(tǒng)脆弱性分析技術(shù),第 7 章,基本內(nèi)容,針對(duì)網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)應(yīng)用的安全技術(shù)，本章首先從自我檢查的角度入手，分析系統(tǒng)不安全的各種因素，采用工具檢測(cè)并處理系統(tǒng)的各種脆弱性。,7.1 漏洞掃描概述,漏洞源自“vulnerability”（脆弱性）。一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問(wèn)、控制系統(tǒng)。 標(biāo)準(zhǔn)化組織CVE（Common Vulnerabilities and Exposures, 即“公共漏洞與暴露”）致力于所有安全漏洞及安全問(wèn)題的命名標(biāo)準(zhǔn)化，安全產(chǎn)品對(duì)漏洞的描述與調(diào)用一般都與CVE兼容。,7.1.1 漏洞的概念,信息安全的 “木桶理論”,對(duì)一個(gè)信息系統(tǒng)來(lái)說(shuō)，它的安全性不在于它是否采用了最新的加密算法或最先進(jìn)的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。只要這個(gè)漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。,7.1 漏洞掃描概述,7.1.2 漏洞的發(fā)現(xiàn),一個(gè)漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它。這個(gè)工作主要是由以下三個(gè)組織之一來(lái)完成的：黑客、破譯者、安全服務(wù)商組織。,每當(dāng)有新的漏洞出現(xiàn)，黑客和安全服務(wù)商組織的成員通常會(huì)警告安全組織機(jī)構(gòu)；破譯者也許不會(huì)警告任何官方組織，只是在組織內(nèi)部發(fā)布消息。根據(jù)信息發(fā)布的方式，漏洞將會(huì)以不同的方式呈現(xiàn)在公眾面前。,通常收集安全信息的途徑包括：新聞組、郵件列表、Web站點(diǎn)、FTP文檔。,網(wǎng)絡(luò)管理者的部分工作就是關(guān)心信息安全相關(guān)新聞，了解信息安全的動(dòng)態(tài)。管理者需要制定一個(gè)收集、分析以及抽取信息的策略，以便獲取有用的信息。,7.1 漏洞掃描概述,7.1.3 漏洞對(duì)系統(tǒng)的威脅,漏洞對(duì)系統(tǒng)的威脅體現(xiàn)在惡意攻擊行為對(duì)系統(tǒng)的威脅，因?yàn)橹挥欣糜布?、軟件和策略上最薄弱的環(huán)節(jié)，惡意攻擊者才可以得手。,目前，因特網(wǎng)上已有3萬(wàn)多個(gè)黑客站點(diǎn)，而且黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已多達(dá)上千種。,目前我國(guó)95的與因特網(wǎng)相連的網(wǎng)絡(luò)管理中心都遭到過(guò)境內(nèi)外攻擊者的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。國(guó)內(nèi)乃至全世界的網(wǎng)絡(luò)安全形勢(shì)非常不容樂(lè)觀。漏洞可能影響一個(gè)單位或公司的生存問(wèn)題。,7.1 漏洞掃描概述,7.1.4 漏洞掃描的必要性,幫助網(wǎng)管人員了解網(wǎng)絡(luò)安全狀況 對(duì)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估的依據(jù) 安全配置的第一步 向領(lǐng)導(dǎo)上報(bào)數(shù)據(jù)依據(jù),7.2 系統(tǒng)脆弱性分析,信息系統(tǒng)存在著許多漏洞，這些漏洞來(lái)自于組成信息系統(tǒng)的各個(gè)方面。在前幾章我們已陸續(xù)介紹了軟硬件組件（組件脆弱性）存在的問(wèn)題、網(wǎng)絡(luò)和通信協(xié)議的不健全問(wèn)題、網(wǎng)絡(luò)攻擊（特別是緩沖區(qū)溢出問(wèn)題）等方面的內(nèi)容，這里重點(diǎn)介紹協(xié)議分析和基于應(yīng)用層的不安全代碼或調(diào)用問(wèn)題。,7.2 系統(tǒng)脆弱性分析,7.2.1 協(xié)議分析,1、DNS協(xié)議分析 域名服務(wù)器在Internet上具有舉足輕重的作用，它負(fù)責(zé)在域名和IP地址之間進(jìn)行轉(zhuǎn)換。 域名服務(wù)系統(tǒng)是一個(gè)關(guān)于互聯(lián)網(wǎng)上主機(jī)信息的分布式數(shù)據(jù)庫(kù)，它將數(shù)據(jù)按照區(qū)域分段，并通過(guò)授權(quán)委托進(jìn)行本地管理，使用客戶(hù)機(jī)/服務(wù)器模式檢索數(shù)據(jù)，并且通過(guò)復(fù)制和緩存機(jī)制提供進(jìn)發(fā)和冗余性能。 域名服務(wù)系統(tǒng)包含域名服務(wù)器和解析器兩個(gè)部分：域名服務(wù)器存儲(chǔ)和管理授權(quán)區(qū)域內(nèi)的域名數(shù)據(jù)，提供接口供客戶(hù)機(jī)檢索數(shù)據(jù)；解析器即客戶(hù)機(jī)，向域名服務(wù)器遞交查詢(xún)請(qǐng)求，翻譯域名服務(wù)器返回的結(jié)果并遞交給高層應(yīng)用程序，通常為操作系統(tǒng)提供的庫(kù)函數(shù)之一。 域名查詢(xún)采用UDP協(xié)議，而區(qū)域傳輸采用TCP協(xié)議。域名解析過(guò)程分為兩種方式：遞歸模式和交互模式。,7.2 系統(tǒng)脆弱性分析,7.2.1 協(xié)議分析,1、DNS協(xié)議分析（續(xù)） 對(duì)DNS服務(wù)器的威脅 1）地址欺騙。地址欺騙攻擊利用了RFC標(biāo)準(zhǔn)協(xié)議中的某些不完善的地方，達(dá)到修改域名指向的目的。 2）遠(yuǎn)程漏洞入侵。 3）拒絕服務(wù)。 保護(hù)DNS服務(wù)器的措施 1）使用最新版本的DNS服務(wù)器軟件。 2）關(guān)閉遞歸查詢(xún)和線索查找功能。 3）限制對(duì)DNS進(jìn)行查詢(xún)的IP地址。 4）限制對(duì)DNS進(jìn)行遞歸查詢(xún)的IP地址。 5）限制區(qū)域傳輸。 6）限制對(duì)BIND軟件的版本信息進(jìn)行查詢(xún)。,7.2 系統(tǒng)脆弱性分析,7.2.1 協(xié)議分析,2、FTP協(xié)議分析 文件傳輸協(xié)議FTP是一個(gè)被廣泛應(yīng)用的協(xié)議，它使得我們能夠在網(wǎng)絡(luò)上方便地傳輸文件。 FTP模型是典型的客戶(hù)機(jī)/服務(wù)器模型。兩個(gè)TCP連接分別是控制連接和數(shù)據(jù)連接。 FTP協(xié)議漏洞分析與防范 1）FTP反彈（FTP Bounce）。 2）有限制的訪問(wèn)（Restricted Access）。 3）保護(hù)密碼（Protecting Passwords）。 4）端口盜用（Port SteaUng）。,7.2 系統(tǒng)脆弱性分析,7.2.2 應(yīng)用層的不安全調(diào)用,1、應(yīng)用安全概述 應(yīng)用層漏洞才是最直接、最致命的，因?yàn)榛ヂ?lián)網(wǎng)的應(yīng)用必須開(kāi)放端口，這時(shí)防火墻等設(shè)備已無(wú)能為力；網(wǎng)絡(luò)應(yīng)用連接著單位的核心數(shù)據(jù)，漏洞直接威脅著數(shù)據(jù)庫(kù)中的數(shù)據(jù)；內(nèi)部人員通過(guò)內(nèi)網(wǎng)的應(yīng)用安全也不受防火墻控制。 基于B/S結(jié)構(gòu)應(yīng)用的普及使得應(yīng)用層安全問(wèn)題越來(lái)越受到重視。 據(jù)OWASP相關(guān)資料顯示，2007年的十大應(yīng)用安全問(wèn)題排名如下： （1）跨站腳本（XSS） （2）注入缺陷 （3）不安全的遠(yuǎn)程文件包含 （4）不安全的直接對(duì)象引用 （5）跨站請(qǐng)求偽造 （6）信息泄漏和異常錯(cuò)誤處理 （7）損壞的驗(yàn)證和會(huì)話(huà)管理 （8）不安全的加密存儲(chǔ) （9）不安全的通信 （10） URL訪問(wèn)限制失敗,7.2 系統(tǒng)脆弱性分析,7.2.2 應(yīng)用層的不安全調(diào)用,2、常見(jiàn)Web應(yīng)用安全漏洞 常見(jiàn)的Web應(yīng)用安全漏洞有： SQL注入（SQL injection） 跨站腳本攻擊 惡意代碼 已知弱點(diǎn)和錯(cuò)誤配置 隱藏字段 后門(mén)和調(diào)試漏洞 參數(shù)篡改 更改cookie 輸入信息控制 緩沖區(qū)溢出 直接訪問(wèn)瀏覽 攻擊者利用網(wǎng)站系統(tǒng)的代碼漏洞，精心構(gòu)造攻擊代碼，完成對(duì)網(wǎng)站系統(tǒng)的非法訪問(wèn)或控制，中國(guó)、美國(guó)、德國(guó)和俄羅斯是惡意代碼最為活躍的地區(qū)。,2006年黑客利用SQL注入成功入侵中國(guó)移動(dòng)網(wǎng)站，首頁(yè)被黑,2006年底中國(guó)工商銀行遭遇“跨站腳本”攻擊,惡意代碼,應(yīng)對(duì)措施 在網(wǎng)站投入使用之前，應(yīng)該通過(guò)“應(yīng)用層安全檢測(cè)”。 目前比較常見(jiàn)的有“Watchfire AppScan”、 “數(shù)據(jù)庫(kù)弱點(diǎn)深度掃描器”、 “Web應(yīng)用弱點(diǎn)深度掃描”、 “網(wǎng)上木馬自動(dòng)分析溯源器”等產(chǎn)品供檢測(cè)使用。,8.1.2 漏洞的發(fā)現(xiàn),7.3 掃描技術(shù)與原理,掃描是檢測(cè)Internet上的計(jì)算機(jī)當(dāng)前是否是活動(dòng)的、提供了什么樣的服務(wù)，以及更多的相關(guān)信息，主要使用的技術(shù)有Ping掃描、端口掃描和操作系統(tǒng)識(shí)別。掃描所收集的信息主要可以分為以下幾種： 1）標(biāo)識(shí)主機(jī)上運(yùn)行的TCPUDP服務(wù)。 2）系統(tǒng)的結(jié)構(gòu)(SPARC、ALPHA、X86)。 3）經(jīng)由INTERNET可以到達(dá)主機(jī)的詳細(xì)IP地址信息。 4）操作系統(tǒng)的類(lèi)型。,掃描的幾個(gè)分類(lèi),Ping掃描：ICMP,TCP掃描,UDP掃描,端口掃描,7.4 掃描器的類(lèi)型和組成,掃描器的作用就是用檢測(cè)、掃描系統(tǒng)中存在的漏洞或缺陷。目前主要有兩種類(lèi)型的掃描工具，即主機(jī)掃描器和網(wǎng)絡(luò)掃描器，它們?cè)诠δ苌细饔袀?cè)重。,1主機(jī)掃描器 主機(jī)掃描器又稱(chēng)本地掃描器，它與待檢查系統(tǒng)運(yùn)行于同一節(jié)點(diǎn)，執(zhí)行對(duì)自身的檢查。它的主要功能為分析各種系統(tǒng)文件內(nèi)容，查找可能存在的對(duì)系統(tǒng)安全造成威脅的漏洞或配置錯(cuò)誤。,2網(wǎng)絡(luò)掃描器 網(wǎng)絡(luò)掃描器又稱(chēng)遠(yuǎn)程掃描器，一般它和待檢查系統(tǒng)運(yùn)行于不同的節(jié)點(diǎn)上，通過(guò)網(wǎng)絡(luò)遠(yuǎn)程探測(cè)目標(biāo)節(jié)點(diǎn)，檢查安全漏洞。遠(yuǎn)程掃描器檢查網(wǎng)絡(luò)和分布式系統(tǒng)的安全漏洞。,7.4 掃描器的類(lèi)型和組成,掃描器的組成,一般說(shuō)來(lái)，掃描器由以下幾個(gè)模塊組成：用戶(hù)界面、掃描引擎、掃描方法集、漏洞數(shù)據(jù)庫(kù)、掃描輸出報(bào)告等。整個(gè)掃描過(guò)程是由用戶(hù)界面驅(qū)動(dòng)的，首先由用戶(hù)建立新會(huì)話(huà)，選定掃描策略后，啟動(dòng)掃描引擎，根據(jù)用戶(hù)制訂的掃描策略，掃描引擎開(kāi)始調(diào)度掃描方法，掃描方法將檢查到的漏洞填入數(shù)據(jù)庫(kù)，最后由報(bào)告模塊根據(jù)數(shù)據(jù)庫(kù)內(nèi)容組織掃描輸出結(jié)果。,7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),天鏡漏洞掃描系統(tǒng)分單機(jī)、便攜和分布式三種版本，分布式產(chǎn)品組成包含幾個(gè)部分： 1）管理控制中心。負(fù)責(zé)添加、修改掃描引擎的屬性，進(jìn)行策略編輯和掃描任務(wù)制定和下發(fā)執(zhí)行，完成漏洞庫(kù)和掃描方法的升級(jí)，同時(shí)支持主、子控設(shè)置。 2）綜合顯示中心。實(shí)時(shí)顯示掃描的結(jié)果信息?？梢赃M(jìn)行樹(shù)形分類(lèi)察看和分窗口信息察看，顯示掃描進(jìn)度，提供漏洞解釋的詳細(xì)幫助。 3）日志分析報(bào)表。查詢(xún)歷史掃描結(jié)果，提供多種報(bào)表模版，形成圖、表結(jié)合的豐富報(bào)表，以多種文件格式輸出。 4）掃描引擎軟件。執(zhí)行管理控制中心發(fā)來(lái)的掃描任務(wù)，返回掃描結(jié)果到綜合顯示中心顯示并存入數(shù)據(jù)庫(kù)中。 5）掃描對(duì)象授權(quán)。通過(guò)授權(quán)許可具體的掃描引擎軟件可掃描對(duì)象，包括同時(shí)掃描的數(shù)量，也可以指定那些目標(biāo)可以?huà)呙杌蚪箳呙琛?6）數(shù)據(jù)庫(kù)。 產(chǎn)品缺省提供MSDE 的桌面數(shù)據(jù)庫(kù)安裝包，用戶(hù)可以根據(jù)掃描規(guī)模的大小選用MSDE 或者SQL Server 作為使用數(shù)據(jù)庫(kù)。,7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),圖8-3 單中心分布式部署,7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),漸進(jìn)式掃描：根據(jù)被掃描主機(jī)的操作系統(tǒng)和主機(jī)應(yīng)用等信息智能確定進(jìn)一步的掃描流程； 授權(quán)掃描：系統(tǒng)支持用戶(hù)提供被掃描主機(jī)的權(quán)限信息，以獲取更深入、更全面的漏洞信息； 系統(tǒng)穩(wěn)定性高：掃描過(guò)程實(shí)時(shí)正確處理各種意外情況：如網(wǎng)卡故障、資源耗盡等； 掃描系統(tǒng)資源占用少、速度快、誤報(bào)低、漏報(bào)低、穩(wěn)定性高。,天鏡掃描技術(shù)特點(diǎn),7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),支持掃描的主流操作系統(tǒng)：Windows 9x/2000/2003/NT/XP、Sun Solaris、HP UNIX、IBM AIX、IRIX、Linux、BSD等。 天鏡可以?huà)呙璧膶?duì)象包括各種服務(wù)器、工作站、網(wǎng)絡(luò)打印機(jī)以及相應(yīng)的網(wǎng)絡(luò)設(shè)備如：3Com交換機(jī)、CISCO 路由器、Checkpoint Firewall、HP 打印機(jī)、Cisco PIX Firewall 等。 天鏡可以提供掃描對(duì)象的賬戶(hù)信息，便于檢查是否異常賬戶(hù)出現(xiàn)。 掃描漏洞分類(lèi)：Windows 系統(tǒng)漏洞、WEB 應(yīng)用漏洞、CGI 應(yīng)用漏洞、FTP 類(lèi)漏洞、DNS、后門(mén)類(lèi)、網(wǎng)絡(luò)設(shè)備漏洞類(lèi)、緩沖區(qū)溢出、信息泄漏、MAIL 類(lèi)、RPC、 NFS、NIS、 SNMP、守護(hù)進(jìn)程、PROXY強(qiáng)力攻擊等1000 種以上。支持對(duì)MS SQLServer、Oracle、Sybase、DB2 數(shù)據(jù)庫(kù)的掃描功能。 自由定制掃描策略 漏洞信息規(guī)范全面符合CNCVE 標(biāo)準(zhǔn)，兼容國(guó)際CVE 標(biāo)準(zhǔn)與BUGT