東北大學網(wǎng)絡中心網(wǎng)絡安全手冊-200612版PPT課件.ppt

網(wǎng)絡安全手冊 東北大學網(wǎng)絡中心2006年12月30日 提綱 個人計算機的安全配置與使用規(guī)范校園網(wǎng)近期安全問題個人計算機常見安全問題與解決辦法校內(nèi)安全資源 2 一 個人計算機的安全配置與使用規(guī)范 Windows系統(tǒng)的安全保護機制校內(nèi)安全資源的使用初裝計算機的正確步驟 3 一 個人計算機的安全配置與使用規(guī)范 Windows系統(tǒng)的安全保護機制系統(tǒng)與應用程序補丁防火墻帳號與口令防病毒軟件正確的使用習慣 4 windows的安全保護機制 系統(tǒng)與應用程序補丁補丁的安裝方法 Windows在線的update網(wǎng)站更新 需要是正版 微軟提供的自動更新服務 速度慢 學校提供的WSUS服務器 推薦使用 手動下載補丁程序安裝 不推薦 需要提醒的時除了系統(tǒng)補丁外 很多應用軟件也需要安裝補丁程序 如 office IE OUTLOOK等 5 windows的安全保護機制 防火墻的選用Winxp或者win2003自帶的防火墻 推薦使用 Windows自身的組策略安全規(guī)則 配置復雜 第三方的防火墻 如天網(wǎng)個人防火墻 norton提供的防火墻 瑞星殺毒軟件提供的防火墻 趨勢防火墻 防火墻是必須的 6 windows的安全保護機制 口令設置要求口令應該不少于8個字符 不包含字典里的單詞 不包括姓氏的漢語拼音 同時包含多種類型的字符 比如大寫字母 A B C Z 小寫字母 a b c z 數(shù)字 0 1 2 9 標點符號 7 windows的安全保護機制 防病毒系統(tǒng)一定要及時升級病毒庫文件 推薦使用企業(yè)版 實時監(jiān)控功能一定要開著推薦使用的殺毒軟件賽門鐵克的norton防毒軟件瑞星殺毒軟件 rising 趨勢科技的officescan防毒軟件卡巴斯基 8 windows的安全保護機制 正確的使用習慣不隨便下載程序運行不訪問一些來歷不明的網(wǎng)頁鏈接不使用的情況下盡量關(guān)閉機器經(jīng)常備份重要數(shù)據(jù) 9 一 個人計算機的安全配置與使用規(guī)范 Windows系統(tǒng)的安全保護機制校內(nèi)安全資源的使用初裝計算機的正確步驟 10 校內(nèi)安全資源的使用 補丁更新服務器東北大學WSUS服務器地址 202 118 1 113WSUS服務配置方法修改注冊表修改組策略 推薦 11 補丁更新服務器 組策略 一 選擇 開始 運行 輸入gpedit msc 打開組策略窗口 二 選擇 管理模板 然后從菜單中選擇 操作 添加 刪除模板 注意 winxpsp1以上版本的操作系統(tǒng)中這個wuau adm已經(jīng)添加了 您可以直接跳到第六步 三 在 添加 刪除模板 窗口中選擇 添加 12 補丁更新服務器 組策略 四 在 策略模板 中選擇 wuau adm 并選擇 打開 五 選擇 關(guān)閉 關(guān)閉 添加 刪除模板 窗口 六 選擇 計算機配置 管理模板 Windows組件 WindowsUpdate 并選擇 配置自動更新 七 在 配置自動更新 的屬性窗口中 選擇 啟用 并選擇 確定 13 補丁更新服務器 組策略 八 在 指定IntranetMicrosoft更新服務器位置 的屬性窗口中 選擇 啟用 并在 設置檢測更新的Intranet更新服務 框中輸入 14 補丁更新服務器 注冊表 WindowsRegistryEditorVersion5 00 HKEY LOCAL MACHINE SOFTWARE Policies Microsoft Windows WindowsUpdate WUServer WUStatusServer HKEY LOCAL MACHINE SOFTWARE Policies Microsoft Windows WindowsUpdate AU UseWUServer dword 00000001 15 補丁更新服務器 注冊表 當系統(tǒng)右下角的托盤中出現(xiàn)了黃色的小盾牌 windows2000為綠色的小地球圖標 后 說明系統(tǒng)有需要安裝的補丁程序 雙擊該圖標后按照系統(tǒng)提示安裝相應的補丁程序 16 Symantec殺毒軟件 病毒服務器地址 http 202 118 1 39病毒軟件的安裝方法 在線安裝 需要把控件功能打開 下載安裝包安裝企業(yè)版的Norton殺毒軟件采用的是服務器自動分發(fā)病毒庫文件 無需用戶手動更新 17 Symantec殺毒軟件 查看病毒碼更新日期 主窗口 病毒定義文件 版本 Liveupdate 立即更新功能 一般情況下不需要手動點擊立即更新 應該連接到校內(nèi)地址202 118 1 64 9 0版 10 0版 18 卡巴的升級 目前東北大學網(wǎng)絡中心提供卡巴的病毒定于升級地址 http 202 118 1 39支持版本 5 0 6 0 19 一 個人計算機的安全配置與使用規(guī)范 Windows系統(tǒng)的安全保護機制校內(nèi)安全資源的使用初裝計算機的正確步驟 20 初裝計算機的正確步驟 系統(tǒng)的選擇原則選擇最新版的操作系統(tǒng) 推薦winxp或2003 盡量選擇已經(jīng)帶有servicepack的版本遵從 最小安裝原則 如果有專職管理員 請專職管理員協(xié)助安裝操作系統(tǒng) 21 操作系統(tǒng)初始安裝的過程 系統(tǒng)安裝與加固預先將東西準備好 如防火墻軟件等 安裝過程請拔掉網(wǎng)線系統(tǒng)安裝結(jié)束后請安裝并啟用防火墻后再插上網(wǎng)線配置補丁自動更新 并升級補丁程序安裝防病毒軟件并升級到最新的病毒庫具體過程請參照ftp 202 118 1 64 pub2 Sercurity doc 初裝計算機補丁安裝 doc 22 提綱 個人計算機的安全配置與使用規(guī)范校園網(wǎng)近期安全問題個人計算機常見安全問題與解決辦法校內(nèi)安全資源 23 二 近期校園網(wǎng)常見安全問題 ARP攻擊系統(tǒng)入侵熊貓燒香病毒 24 ARP攻擊 什么是ARP攻擊 利用ARP協(xié)議本身的缺陷進行的一種非法攻擊 目的是為了在全交換環(huán)境下實現(xiàn)數(shù)據(jù)監(jiān)聽 通常這種攻擊方式可能被病毒 木馬或者有特殊目的攻擊者使用 ARP攻擊有什么危害 致使同網(wǎng)段的其他用戶無法正常上網(wǎng) 頻繁斷網(wǎng)或者網(wǎng)速慢 泄露用戶的敏感信息 25 ARP原理 ARP AddressResolutionProtocol 地址解析協(xié)議用于將計算機的網(wǎng)絡地址 IP地址32位 轉(zhuǎn)化為物理地址 MAC地址48位 RFC826 ARP協(xié)議是屬于鏈路層的協(xié)議 在以太網(wǎng)中的數(shù)據(jù)幀從一個主機到達網(wǎng)內(nèi)的另一臺主機是根據(jù)48位的以太網(wǎng)地址 硬件地址 來確定接口的 而不是根據(jù)32位的IP地址 內(nèi)核 如驅(qū)動 必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù) 點對點的連接是不需要ARP協(xié)議的 26 ARP原理 主機名IP地址MAC地址主機A192 168 1 201 01 01 01 01 01主機B192 168 1 302 02 02 02 02 02網(wǎng)關(guān)C192 168 1 103 03 03 03 03 03主機D10 1 1 204 04 04 04 04 04網(wǎng)關(guān)E10 1 1 105 05 05 05 05 05 27 ARP工作原理 假如主機A要與主機B通訊 它首先會檢查自己的ARP緩存中是否有192 168 1 3這個地址對應的MAC地址 如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包 大致的意思是192 168 1 3的MAC地址是什么請告訴192 168 1 2 而廣播地址會把這個請求包廣播給局域網(wǎng)內(nèi)的所有主機 但是只有192 168 1 3這臺主機才會響應這個請求包 它會回應192 168 1 2一個arp包 大致的意思是192 168 1 3的MAC地址是02 02 02 02 02 02 這樣的話主機A就得到了主機B的MAC地址 并且它會把這個對應的關(guān)系存在自己的ARP緩存表中 之后主機A與主機B之間的通訊就依靠兩者緩存表里的MAC地址來通訊了 直到通訊停止后兩分鐘 這個對應關(guān)系才會被從表中刪除 28 ARP工作原理 假如主機A需要和主機D進行通訊 它首先會發(fā)現(xiàn)這個主機D的IP地址并不是自己同一個網(wǎng)段內(nèi)的 因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā) 這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關(guān)192 168 1 1對應的MAC地址 如果沒有就通過ARP請求獲得 如果有就直接與網(wǎng)關(guān)通訊 然后再由網(wǎng)關(guān)C通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)E 網(wǎng)關(guān)E收到這個數(shù)據(jù)包后發(fā)現(xiàn)是送給主機D 10 1 1 2 的 它就會檢查自己的ARP緩存 沒錯 網(wǎng)關(guān)一樣有自己的ARP緩存 看看里面是否有10 1 1 2對應的MAC地址 如果沒有就使用ARP協(xié)議獲得 如果有就是用該MAC地址與主機D通訊 29 ARP欺騙 Arp欺騙原理主機在實現(xiàn)ARP緩存表的機制中存在一個不完善的地方 當主機收到一個ARP的應答包后 它并不會去驗證自己是否發(fā)送過這個ARP請求 而是直接將應答包里的MAC地址與IP對應的關(guān)系替換掉原有的ARP緩存表里的相應信息 這就導致主機B截取主機A與主機D之間的數(shù)據(jù)通信成為可能 30 ARP欺騙 主機b向網(wǎng)關(guān)C發(fā)送ARP應答包說 我是A我的MAC地址是02 02 02 02 02 02 主機b同時向主機A發(fā)送ARP應答包說 我是C我的MAC地址是02 02 02 02 02 02B獲得A發(fā)給C的數(shù)據(jù) 修改后發(fā)給C 同時獲得C發(fā)給A的數(shù)據(jù)修改后發(fā)給A 實現(xiàn)了監(jiān)聽過程 31 ARP攻擊 幾個概念 Arp緩存表 32 ARP攻擊 ARP數(shù)據(jù)包13 10 44 802151arpwho has192 168 1 1tell192 168 1 213 10 44 802607arpreply192 168 1 1is at00 00 0c 07 ac 00 33 ARP攻擊 什么情況下表明局域網(wǎng)內(nèi)有ARP攻擊校園網(wǎng)登陸系統(tǒng)頻繁掉線網(wǎng)速突然變慢使用ARP a命令發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址不停的變換使用sniffer軟件發(fā)現(xiàn)局域網(wǎng)內(nèi)存在大量的ARPreply包 34 ARP攻擊 如何發(fā)現(xiàn)正在進行ARP攻擊的主機1 在知道正確的網(wǎng)關(guān)MAC的情況下 通過ARP a命令看到的另一個網(wǎng)關(guān)MAC就是攻擊主機的MAC2 使用Sniffer等抓包軟件抓包發(fā)現(xiàn)大量的以網(wǎng)關(guān)的IP地址發(fā)送的ARPreply包 包中指定的MAC就是攻擊主機的MAC3 使用清華開發(fā)的ARP保護程序發(fā)現(xiàn)攻擊主機的MACftp 202 118 1 64 pub2 Security tools ArpFix rar 35 ARP攻擊 如何處理感染主機發(fā)現(xiàn)感染主機 第一時間拔掉網(wǎng)線按照安全手冊重新安裝操作系統(tǒng) 36 ARP攻擊 目前已知的ARP病毒的傳播途徑通過外掛程序傳播通過網(wǎng)頁傳播通過其他木馬程序傳播通過即時通訊軟件傳播 QQ MSN 通過共享傳播 網(wǎng)絡共享 P2P軟件共享 37 ARP攻擊 如何預防感染ARP病毒 關(guān)閉不必要的共享及時安裝系統(tǒng)補丁程序安裝防病毒軟件并及時升級病毒庫不隨便運行來歷不明的程序不訪問一些來歷不明的鏈接 38 二 近期校園網(wǎng)常見安全問題 ARP攻擊系統(tǒng)入侵熊貓燒香病毒 39 近期校園網(wǎng)常見安全問題 系統(tǒng)入侵多數(shù)被攻擊的都是服務器 操作系統(tǒng)多為windows2000server或者linux針對linux常利用的漏洞為 openssh和apche等軟件的漏洞針對windows2000server更多的是利用網(wǎng)頁編寫本身的漏洞 40 二 近期校園網(wǎng)常見安全問題 ARP攻擊系統(tǒng)入侵熊貓燒香病毒 41 近期校園網(wǎng)常見安全問題 熊貓燒香病毒可對用戶系統(tǒng)進行破壞 導致大量應用軟件無法使用可刪除擴展名為gho的所有文件 造成用戶的系統(tǒng)備份文件的丟失 從而無法進行系統(tǒng)恢復能終止大量反病毒軟件進程 降低用戶系統(tǒng)的安全性急速變種感染型的蠕蟲病毒 42 近期校園網(wǎng)常見安全問題 熊貓燒香病毒 43 提綱 個人計算機的安全配置與使用規(guī)范校園網(wǎng)近期安全問題個人計算機常見安全問題與解決辦法校內(nèi)安全資源 44 三 常見安全問題及解決方法 系統(tǒng)中的自啟動程序瀏覽器的恢復本地病毒木馬程序檢查 45 系統(tǒng)中的自啟動程序 Windows支持多種在系統(tǒng)啟動時自動加載應用程序的方法包括 啟動組Boot ini win ini system ini文件注冊表啟動項添加成系統(tǒng)服務計劃任務動態(tài)庫文件加載 46 系統(tǒng)中的自啟動程序 啟動組和win ini system ini開始 程序 啟動里面對應的目錄 C DocumentsandSettings administrator 開始 菜單 程序 啟動 C Boot iniC Windows Win iniC Windows system ini 47 系統(tǒng)中的自啟動程序 注冊表啟動項HKEY CURRENT USER Software Microsoft Windows CurrentVersion RunHKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run 48 系統(tǒng)中的自啟動程序 系統(tǒng)服務使用管理工具中服務選項來管理系統(tǒng)服務系統(tǒng)服務對應的注冊表值HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices 49 系統(tǒng)中的自啟動程序 任務計劃在控制面板的任務計劃里查看動態(tài)庫文件加載判斷相對困難 需要有豐富的經(jīng)驗和相應的工具 50 系統(tǒng)中的自啟動程序 有用但不為人知的系統(tǒng)啟動檢測命令msconfig 51 五 常見安全問題及解決方法 系統(tǒng)中的自啟動程序瀏覽器的恢復本地病毒木馬程序檢查 52 瀏覽器的恢復 IE瀏覽器容易出現(xiàn)的故障自動關(guān)閉默認主頁被篡改 默認主頁被禁止修改 自動彈出多個頁面 53 瀏覽器的恢復 IE瀏覽器自動關(guān)閉的原因很多 例如 系統(tǒng)內(nèi)存偏小系統(tǒng)內(nèi)核故障 中木馬了 IE軟件故障IE與其他應用沖突 如打印進程 我們可以通過查看事件日志查找IE出錯的原因 54 瀏覽器的恢復 解決IE瀏覽器自動關(guān)閉的方法使用殺毒軟件殺毒察看事件記錄看看是否記錄關(guān)閉原因使用修復工具對IE進行修復安裝新版本的IE瀏覽器重新安裝操作系統(tǒng)增加系統(tǒng)內(nèi)存 55 瀏覽器的恢復 IE瀏覽器手動修復方式 比較復雜 修復IE的標題欄 編輯注冊表HKEY CURRENT USER Software Microsoft InternetExplorer MainHKEY LOCAL MACHINE Software Microsoft InternetExplorer Main找到鍵值項WindowTitle 修改成你要的或刪除即可 56 瀏覽器的恢復 恢復注冊表修改權(quán)限 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies system DisableRegistryTools dword 00000001方法1 使用其他注冊表編輯器恢復 將DisableRegistryTools的值改為1方法2 通過組策略工具修改 57 瀏覽器的恢復 恢復IE默認主頁修改權(quán)限的操作 即 Internet屬性 控制面板設置IE主頁 使用默認頁 使用空白頁 等按鈕變?yōu)榛疑豢捎?解決方法 編輯注冊表查找HKEY CURRENT USER Software Policies Microsoft InternetExplorer ControlPanel刪除鍵值項HomePage 或?qū)⑵渲蹈臑? 58 瀏覽器的恢復 修改IE默認頁IE默認頁為 59 瀏覽器的恢復 使用工具修