網絡安全應急響應服務與CERNET的行動-課件

1、網絡安全應急響應服務與CERNET的行動網絡安全應急響應服務的背景CERNET 計算機應急響應組(CCERT)運行一年回顧網絡和系統(tǒng)安全配置建議CERNET 安全應急響應服務計劃參考文獻內容提要Internet 的安全問題的產生Internet起于研究項目,安全不是主要的考慮少量的用戶，多是研究人員,可信的用戶群體可靠性(可用性)、計費、性能 、配置、安全“Security issues are not discussed in this memo”網絡協(xié)議的開放性與系統(tǒng)的通用性目標可訪問性，行為可知性攻擊工具易用性Internet 沒有集中的管理權威和統(tǒng)一的政策安全政策、計費政策、路由政策操

2、作系統(tǒng)漏洞統(tǒng)計securityfocus操作系統(tǒng)漏洞增長趨勢兩個實驗San Diego 超級計算中心Redhat Linux 5.2 , no patch8小時：sun rpc probe21天：20 次pop, imap, rpc, mountd使用Redhat6.X的嘗試失敗40天：利用pop 服務缺陷或的控制權系統(tǒng)日志被刪除安裝了rootkit、 sniffer清華大學校園網Redhat Linux 6.2 , 只開設telnet, www服務；helpwork 所有用戶申請均可獲得賬號7天后358個用戶兩個用戶利用dump獲得root 控制權安全應急響應服務背景應急響應服務的誕生CER

3、T/CC1988年Morris 蠕蟲事件直接導致了CERT/CC的誕生CERT/CC服務的內容安全事件響應安全事件分析和軟件安全缺陷研究缺陷知識庫開發(fā)信息發(fā)布：缺陷、公告、總結、統(tǒng)計、補丁、工具教育與培訓：CSIRT管理、CSIRT技術培訓、系統(tǒng)和網絡管理員安全培訓指導其它CSIRT（也稱IRT、CERT）組織建設CERT/CC簡介現有工作人員30多人，12年里處理了288,600 封Email, 18,300個熱線電話，其運行模式幫助了80多個CSIRT組織的建設CERT/CC簡介CMUSEINetworked Systems Survivability programSurvivable

4、Network ManagementCERT/CCSurvivable Network TechnologyIncidentHandlingVulnerabilityHandlingCSIRTDevelopmentDoD安全應急響應服務背景國外安全事件響應組（CSIRT）建設情況DOE CIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT, NavyCIRT亞太地區(qū)：AusCERT、SingCERT等FIRST（1990）FIRST為IRT組織、廠商和其他安全專家提供一個論壇，討論安全缺陷、入侵者使用的方法和技巧、建議等，共同的尋找一個可接受的方案。80多個正式成員組織，覆

5、蓋18個國家和地區(qū)從FIRST中獲益的比例與IRT愿意提供的貢獻成比例兩個正式成員的推薦國內安全事件響應組織建設情況計算機網絡基礎設施已經嚴重依賴國外；由于地理、語言、政治等多種因素，安全服務不可能依賴國外的組織國內的應急響應服務還處在起步階段CCERT（2019年5月），中國第一個安全事件響應組織NJCERT（2019年10月）中國電信ChinaNet安全小組解放軍，公安部安全救援服務公司中國計算機應急響應組/協(xié)調中心CNCERT/CC信息產業(yè)部安全管理中心 ，2000年3月，北京安全應急響應組的分類國際間的協(xié)調組織國內的協(xié)調組織國內的協(xié)調組織愿意付費的任何用戶產品用戶網絡接入用戶企業(yè)部門、

6、用戶商業(yè)IRT網絡服務提供商 IRT廠商 IRT企業(yè) /政府 IRT如：安全服務公司如：CCERT如：cisco, IBM如：中國銀行、 公安部如CERT/CC, FIRST如CNCERT/CC安全應急響應服務組織的服務內容CSIRT的服務內容應急響應安全公告咨詢風險評估入侵檢測教育與培訓追蹤與恢復安全應急響應服務的特點技術復雜性與專業(yè)性各種硬件平臺、操作系統(tǒng)、應用軟件；知識經驗的依賴性由IRT中的人提供服務，而不是一個硬件或軟件產品； 突發(fā)性強需要廣泛的協(xié)調與合作網絡安全應急響應服務的背景CCERT運行一年回顧網絡和系統(tǒng)安全配置建議CERNET 安全應急響應服務計劃參考文獻內容提要CERNE

7、T在應急響應中的優(yōu)勢高速的、大規(guī)模的網絡環(huán)境10M/ 100M/ 1000M的用戶接入活躍的攻擊者和安全服務提供者BBS、各種俱樂部75410M+45M+45M155M(即將2.5G)2000.1-2000.10580近10M2M+2M2019.7-2019.12507近10M2M+2M2019.1-2019.064092M+4M2M2019.1-2019.12278128K64K/128K2019.1-2019.12聯(lián)網用戶數目國際出口帶寬國內主干帶寬時 間CERNET、 Internet2、IPv6 實驗床CERNET在應急響應中的優(yōu)勢CERNET在應急響應中的優(yōu)勢運行網絡和實驗網絡, 可

8、進行各種實驗IPv6實驗床、Internet2 的國際接入可控的網絡基礎設施路由系統(tǒng)、域名系統(tǒng)、網絡管理系統(tǒng)、電子郵件系統(tǒng)主干網擴大到省級節(jié)點，便于集中控制以CERNET為依托的科研項目九五攻關項目：網絡管理、網絡安全、安全路由器高速IP網絡安全運行監(jiān)控系統(tǒng)100M 流量分析與協(xié)同分布式入侵檢測多種角色：高校、NSP/ISP便于國際交流、更加了解用戶需求CERNET 計算機安全應急響應組（CCERT）CERNET華東（北）地區(qū)網網絡安全事件響應組(NJCERT)/njcert/index.html研發(fā)部運行部CCERT 事件處理CCERTNICNOC 地區(qū)網絡中心 校園網絡中心Internet

9、用戶IPv6網管高速網：系統(tǒng)管理員CERNET 計算機安全應急響應組（CCERT）主要客戶群是CERNET 會員，但也有受理其他網絡的報告和投訴目前主要從事以下服務和研究：事件響應：入侵、垃圾郵件以及郵件炸彈、惡意掃描和DoS事件處理給站點管理員提供安全建議提供安全信息公告和安全資源反垃圾郵件、禁止掃描的公告操作系統(tǒng)補丁、工具軟件網絡安全領域的研究,包括安全管理、入侵檢測、安全體系結構、PKICCERT一年來回顧所處理的事件可分為四類：垃圾郵件和郵件炸彈掃描入侵 DOS 攻擊至2000年9月，處理了 2000 多份報告，其中包括1800多起垃圾郵件和郵件炸彈報告;110 起掃描與 DOS 攻擊

10、報告; 50 起入侵報告常見安全事件報告與處理垃圾郵件轉發(fā)90左右的報告與垃圾郵件有關國外的投訴國內的報告郵件服務器配置不當，為第三方中轉郵件危害：流量盜用 費用增加可能導致郵件服務器的所有通信被受害者封鎖；spamcop對國家和社會安全的影響解決方法：relay-test scan重新配置、升級郵件系統(tǒng)封鎖國外轉發(fā)轉發(fā)垃圾郵件的站點垃圾郵件的報告已逐漸減少常見安全事件報告與處理掃描，入侵的前兆服務發(fā)現掃描，如 proxy hunter（ 80, 8080,1080）缺陷掃描，如SATAN 等工具ftp, telnet ,ssh, pop2, pop3, sunrpc, netbios, im

11、ap, klogind, socks,入侵多數入侵由于眾所周知的缺陷，解決方法已有：Solaris rpc.statd, rpc.ttdbserver, Linux imapd, wu_ftp freeBSD pop3dWin2k Terminal Server, 很多案例由外部的報告發(fā)現，管理員并不知道典型的入侵案例缺陷掃描Root compromise: pop3d停止 syslogd , 修改/etc/inetd.conf, 激活 telnet, ftp, 甚至替換以下程序/bin/login 、/bin/ps 、/usr/bin/du 、/bin/ls 、/bin/netstat安裝竊

12、聽程序 sniffer : /usr/.sniffit重新啟動 syslogd ,關閉pop3d刪除日志記錄 wtmp、wtp、message、syslog一般入侵步驟拒絕服務攻擊DoS 攻擊land , teardrop, SYN floodICMP : smurfRouter: remote reset , UDP port 7, Windows: Port 135, 137,139(OOB), terminal serverSolaris :Linux:其他. SYN FloodSend SYN (seq=100 ctl=SYN)SYN receivedSend SYN (seq=300

13、 ack=101 ctl=syn,ack)Established(seq=101 ack=301 ctl=ack)attackertargetEstablished(seq=301 ack=301 ctl=ack Data)1234SYN received正常的TCP 連接建立過程 - 三次握手ICMP SmurfattackerICMP echo req Src: targetdst: xxx.xxx.xxx.255Echo replyEcho replyEcho replytarget分布式拒絕服務（DDOS）以破壞系統(tǒng)或網絡的可用性為目標常用的工具：Trin00, TFN/TFN2K,

14、Stacheldraht很難防范偽造源地址，流量加密，因此很難跟蹤clienttargethandler.agent.DoSICMP Flood / SYN Flood / UDP FloodDDOS攻擊方法及防范攻擊的兩階段：第一階段控制大量主機利用系統(tǒng)的漏洞獲得大量主機系統(tǒng)的控制權，并安裝DDoS 工具；Linux imapd, Solaris rpc 、rstatd, Windows；第二個階段，發(fā)起攻擊：向目標發(fā)送大量的TCP/UDP/ICMP包，導致系統(tǒng)資源耗盡或網絡擁塞，從而使目標系統(tǒng)或網絡不能響應正常的請求。DDOS防范：網絡中所有的系統(tǒng)都要安全的配置，不使之成為DDOS的源；路

15、由器/防火墻配置：過濾偽造源地址的IP 包檢測工具：find_ddosv31、ddos_scan、rid掃描事件報告統(tǒng)計增長趨勢常見問題管理問題：資產、策略、負責人, 沒有明確的安全管理策略操作系統(tǒng)安裝后使用缺省配置，不打補丁，運行許多不必要的服務；99%以上的入侵是可以通過系統(tǒng)配置來防范的；常用的攻擊方法常見問題多種服務安裝在同一服務器上，DNS/Mail/Web/ FTP公用服務器用戶口令過于簡單，uid: stud? / Pwd:123456審計功能沒有激活，或管理員根本不檢查審計日志沒有備份，系統(tǒng)在被入侵后很難恢復事件處理的困難服務本身缺乏項目和資金的支持；人力資源與知識經驗的不足；缺

16、乏迅速的聯(lián)系渠道過時的 whois 數據庫，聯(lián)系信息數據庫不準確 ；來自國外的投訴較多，國內的用戶還沒有足夠的自我保護意識和能力網絡安全應急響應服務的背景CCERT 運行一年來的回顧網絡和系統(tǒng)安全配置建議CERNET安全應急響應服務建設計劃參考文獻內容提要NT 安全配置檢查表安裝不要同時安裝其他操作系統(tǒng)，以防止越權訪問和數據破壞所有分區(qū)都選擇NTFS格式，以支持訪問控制選擇9個字符以上、不易猜測的口令創(chuàng)建修復盤補丁安裝最新版本的補丁Service Pack;安裝相應版本所有的 hotfixes跟蹤最新的SP 和 hotfixNT 安全配置檢查表病毒防范安裝防病毒軟件，及時更新特征庫政策與用戶的

17、教育：如何處理郵件附件、如何使用下載軟件等網絡配置關閉不必要的網絡服務配置防火墻/路由器，封鎖不必要的端口：TCP port 135, 137, 139 and UDP port 138. NT 安全配置檢查表賬號與口令策略設置口令安全策略:有效期、最小長度、字符選擇賬號登錄失敗n次鎖定關閉缺省賬號，guest, Administrator文件系統(tǒng)與共享系統(tǒng)分區(qū)的權限設置如果不想提供共享服務，關閉Server 、computer browser 服務確保共享的目錄分配了合適的訪問權限重要文件的備份NT 安全配置檢查表注冊表安全不顯示上次登錄的用戶名對普通用戶隱藏shutdown 按鈕限制遠程注

18、冊表瀏覽限制軟驅和光驅的遠程訪問審計功能三個方面的操作審計，缺省是關閉的用戶：logon /log off, restart , shutdown文件和目錄：讀、寫、執(zhí)行、刪除、改變權限注冊表的修改Unix安全 配置檢查表相應版本的所有補丁賬號與口令關閉缺省賬號和口令：lp, shutdown等shadow passwd用crack /john等密碼破解工具猜測口令（配置一次性口令）網絡服務的配置： /etc/inetd.conf, /etc/rc.d/*TFTP 服務 get /etc/passwd匿名ftp的配置關閉rsh/rlogin/rexec 服務關閉不必要的 rpc 服務安裝ssh

19、d， 關閉telnet 。NFS export Unix安全 配置檢查表環(huán)境設置路徑，掩碼（ umask）審計與記賬功能有效的工具tripwareCOPStcpwrappersatan路由器安全配置檢查表認證口令管理使用enable secret , 而不用enable passwordTACACS/TACACS+, RADIUS, Kerberos 認證控制交互式訪問控制臺的訪問：可以越過口令限制；遠程訪問telnet, rlogin, ssh, LAT, MOP, X.29, Modem虛擬終端口令保護：vty, tty ：login ， no password 只接收特定協(xié)議的訪問，如t

20、ransport input ssh設置允許訪問的地址：ip access-class 超時退出：exec-timeout 登錄提示：banner login路由器安全配置檢查表網絡管理SNMPv1:修改缺省的community name community name, snmp-server community SNMPv2 :基于Keyed-MD5的認證方式snmp-server party Digest AuthenticationHTTP: 限制管理站點地址、配置認證方式ip http access-class , ip http authentication , TACACS/RAD

21、IUS防止竊聽加密管理協(xié)議：ssh 登錄, SNMPv2的管理協(xié)議一次性口令（OTP）： SecureID/Token, S/KeyIPSec 封裝所有管理協(xié)議: telnet , SNMP，HTTP路由器安全配置檢查表關閉沒有必要的服務small TCPno service tcp-small-servers: echo / chargen / discardfinger, ntp 鄰機發(fā)現服務（cdp） 審計SNMP 認證失敗信息，與路由器連接信息： Trap系統(tǒng)操作日志：system logging: console, Unix syslogd, 違反訪問控制鏈表的流量操作系統(tǒng)更新路由器

22、IOS 與其他操作系統(tǒng)一樣也有BUG利用路由器保護網絡安全訪問控制鏈表基于源地址/目標地址/協(xié)議端口號路徑的完整性防止IP假冒和拒絕服務（Anti-spoofing/DDOS）檢查源地址： ip verify unicast reverse-path 過濾RFC1918 地址空間的所有IP包；關閉源路由： no ip source-route路由協(xié)議的過濾與認證Flood 管理利用QoS的特征防止Floodinterface xyz rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit

23、 exceed-action drop access-list 2020 permit icmp any any echo-reply利用路由器防止DoS的攻擊Stub ADTransit AD/16eth0eth1access-list 101 permit ip 55 any access-list 101 deny ip any anyinterface eth0ip access-group 101 inaccess-list 110 deny ip 55 any access-list 110 deny ip 55 any access-list 110 deny ip 55 any

24、access-list 110 permit ip any anyinterface ether 1ip access-group 110 inip verify unicast reverse-pathTransit ADeth0access-list 101 deny ip 55 anyaccess-list 101 permit ip any anyaccess-list 102 permit ip 55 anyaccess-list 102 deny ip any anyinterface eth0ip access-group 101 inip access-group 102 ou

25、t怎樣檢測系統(tǒng)入侵察看登錄用戶和活動進程w, who, finger ,last 命令ps , crash尋找入侵的痕跡last, lastcomm, netstat, lsof,/var/log/syslog，/var/adm/messages, /.history查找最近被修改的文件 ：find檢測sniffer 程序ifconfig, cpm有用的工具 tripware,cops, cpm, tcpdump,怎樣從被攻破的系統(tǒng)中恢復重新獲得控制權從網絡中斷開備份被攻破的系統(tǒng)鏡像分析入侵尋找被修改的程序或配置文件# find / ( -perm -004000 -o -perm -0020

26、00 ) -type f -print尋找被修改的數據，如web pages, 尋找入侵者留下的工具和數據sniffer, Trojan Horses, backdoor檢查日志文件 messages, xferlog,utmp,wtmp, /.history 怎樣從被攻破的系統(tǒng)中恢復尋找sniffer: cpm, ifstatus/advisories/CA-94.01.ongoingwork.monitoring.attacks.html 檢查其他的系統(tǒng)是否也被入侵與相關的IRT聯(lián)系報告, 申請援助、調查通知相關站點恢復安裝一份干凈的操作系統(tǒng)關掉所有不必要的服務安裝所有的補丁怎樣從被攻破的

27、系統(tǒng)中恢復查閱IRT相關的公告謹慎使用數據備份修改所有用戶口令提高系統(tǒng)的安全性根據UNIX / NT的安全配置指南文件檢查系統(tǒng)安全性/tech_tips/unix_configuration_guidelines.html.au/Information/Auscert_info/Papers/win_configuration_guidelines.html檢查工具與文檔安裝安全工具激活記賬功能配置防火墻怎樣從被攻破的系統(tǒng)中恢復重新連接到INTERNET更新你的安全政策記錄從事件中吸取的教訓計算損失修改安全策略網絡安全應急響應服務的背景CCERT 運行一年來的回顧網絡和系統(tǒng)安全配置建議CCERT建設計劃及展望參考文獻內容提要CERNET 安全 建設計劃安全事件診斷系統(tǒng)分布式入侵檢測系統(tǒng)CERNET-CERT 安全服務CERNET 會員安全事件處理系統(tǒng)研究與開發(fā)脆弱性特征庫安