網(wǎng)絡安全建設

網(wǎng)絡安全建設中國教育和科研計算機網(wǎng)應急響應組CCERT清華大學信息網(wǎng)絡工程研究中心目錄網(wǎng)絡安全簡介垃圾郵件的預防如何防止掃描和DOS攻擊系統(tǒng)安全管理和入侵的防范網(wǎng)絡安全常用工具CCERT簡介網(wǎng)絡安全簡介網(wǎng)絡安全概念常見的網(wǎng)絡安全問題垃圾郵件危害DOS、掃描危害蠕蟲危害網(wǎng)絡安全概念信息安全保密性、完整性、可用性、可信性把網(wǎng)絡看成一個透明的、不安全的信道系統(tǒng)安全：網(wǎng)絡環(huán)境下的端系統(tǒng)安全網(wǎng)絡安全網(wǎng)絡的保密性：存在性、拓撲結(jié)構(gòu)等網(wǎng)絡的完整性：路由信息、域名信息網(wǎng)絡的可用性：網(wǎng)絡基礎(chǔ)設施計算、通信資源的授權(quán)使用：地址、帶寬？？常見的網(wǎng)絡安全問題垃圾郵件UCE:UnsolicitedCommercialEmailUBE:UnsolicitedBulkEmailSpam網(wǎng)絡掃描和拒絕服務攻擊端口掃描和缺陷掃描DDOS、DOS入侵和蠕蟲蠕蟲：Lion、nimda、CRII系統(tǒng)缺陷垃圾郵件危害網(wǎng)絡資源的浪費歐洲委員會公布的一份報告，垃圾郵件消耗的網(wǎng)絡費用每年高達100億美元

資源盜用利用他人的服務器進行垃圾郵件轉(zhuǎn)發(fā)威脅網(wǎng)絡安全DOS攻擊DOS、掃描危害占用資源占用大量帶寬服務器性能下降影響系統(tǒng)和網(wǎng)絡的可用性網(wǎng)絡癱瘓服務器癱瘓往往與入侵或蠕蟲伴隨缺陷掃描DDOS入侵、蠕蟲造成的危害信息安全機密或個人隱私信息的泄漏信息篡改可信性的破壞系統(tǒng)安全后門的存在資源的喪失信息的暴露網(wǎng)絡安全基礎(chǔ)設施的癱瘓垃圾郵件的預防垃圾郵件特點郵件轉(zhuǎn)發(fā)原理配置Sendmail關(guān)閉轉(zhuǎn)發(fā)配置Exchange關(guān)閉轉(zhuǎn)發(fā)垃圾郵件特點內(nèi)容：商業(yè)廣告宗教或個別團體的宣傳資料發(fā)財之道,連鎖信等

接收者無因接受被迫接受發(fā)送手段信頭或其它表明身份的信息進行了偽裝或篡改通常使用第三方郵件轉(zhuǎn)發(fā)來發(fā)送郵件轉(zhuǎn)發(fā)原理理配置Sendmail關(guān)關(guān)閉轉(zhuǎn)發(fā)（一一）

簡介Sendmail8.9以上版本/etc/mail/relay-domains/etc/mail/accessSendmail8.8以下版本升級Sendmail其它版本配置Sendmail缺省不允許轉(zhuǎn)轉(zhuǎn)發(fā)編輯相應的允允許轉(zhuǎn)發(fā)IP列表配置Sendmail關(guān)關(guān)閉轉(zhuǎn)發(fā)（二二）

Mc文文件樣例divert(0)dnlVERSIONID(`@(#)generic-solaris2.mc8.8(Berkeley)5/19/1998')OSTYPE(solaris2)dnlDOMAIN(generic)dnlFEATURE(access_db,dbm-o/usr/local/etc/mail/access)define(`confPRIVACY_FLAGS',``authwarnings,goaway,noexpn,novrfy'')dnlMAILER(local)dnlMAILER(smtp)dnl配置Sendmail關(guān)關(guān)閉轉(zhuǎn)發(fā)（三三）

Sendmail配置Sendmail.cw配置郵件服務務器所接受的的域名CMRelay-domains配置郵件服務務器可以轉(zhuǎn)發(fā)發(fā)的地址Access允許對某一個個來源地址進進行配置REJECT、RELAY、OK、”msg”配置Sendmail關(guān)關(guān)閉轉(zhuǎn)發(fā)（四四）access文件件樣本nobody@550:badusername202.112.55.RELAY6REJECT配置Sendmail關(guān)關(guān)閉轉(zhuǎn)發(fā)（五五）Sendmail使用建立別名編輯aliases文件Sendmail–v–bi初始化啟動Sendmail–bd–q1h使用access數(shù)據(jù)庫Makemapdbm/etc/mail/access</etc/mail/access配置Exchange關(guān)關(guān)閉轉(zhuǎn)發(fā)（一一）ExchangeServer5.0或以前版本升級郵件系統(tǒng)統(tǒng)ExchangeServer5.5以上選擇RerouteincomingSMTPmail配置Exchange關(guān)關(guān)閉轉(zhuǎn)發(fā)（二二）填入所服務的的域點擊RoutingRestrictions如何防止DOS和掃描掃描簡介拒絕服務攻擊擊簡介分布式拒絕服服務攻擊DOS和掃描的防范范攻擊取證和報報告掃描簡介拒絕服務攻擊擊簡介洪水式DOS攻擊SYNfloodSmurf利用系統(tǒng)或路路由器缺陷DoS攻擊Windows:IGMPfragmentation,OOB…Linux:teardropSolaris:pingofdeath分布式拒絕服服務攻擊往往既利用系系統(tǒng)或者路由由器的缺陷產(chǎn)產(chǎn)生大規(guī)模的的洪水式攻擊擊兩方面的危害害：被攻擊者者和被利用者者分布式拒絕服服務（DDOS）以破壞系統(tǒng)或或網(wǎng)絡的可用用性為目標常用的工具：：Trin00TFN/TFN2KStacheldraht很難防范偽造源地址，，流量加密，，因此很難跟跟蹤clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFloodDOS和掃描的防范范（一）路路由器訪問控制鏈表表基于源地址/目標地址/協(xié)議端口號路徑的完整性性防止IP假冒和拒絕服服務（Anti-spoofing/DDOS）檢查源地址：：ipverifyunicastreverse-path過濾RFC1918地址空間的所所有IP包；路由協(xié)議的過過濾與認證Flood管理—利用QoS的特征防止Floodinterfacexyzrate-limitoutputaccess-group20203000000512000786000conform-actiontransmitexceed-actiondropaccess-list2020permiticmpanyanyecho-replyDOS和掃描描的防范（二二）

入侵檢檢測和防火墻墻入侵檢檢測工工具了解情情況提供報報告依依據(jù)指導應應對政政策防火墻墻建立訪訪問控控制個人防防火墻墻攻擊取取證和和報告告系統(tǒng)取取證Syslog系統(tǒng)日日志Netstat連接情情況CPU、Mem使用情情況網(wǎng)絡取取證Tcpdump路由器器、防防火墻墻紀錄錄入侵檢檢測系系統(tǒng)報告責責任方方對方CERT或本轄轄區(qū)CERT對方責責任人人whois系統(tǒng)安安全管管理和和入侵侵防范范Windows系統(tǒng)安安全管管理UNIX系統(tǒng)安安全管管理路由器器安全全管理理如何檢檢驗入入侵蠕蟲的的危害害及防防范Windows安全管管理（（一））操作系系統(tǒng)更更新政政策安裝最最新版版本的的補丁丁ServicePack;安裝相相應版版本所所有的的hotfixes跟蹤最最新的的SP和hotfix病毒防防范安裝防防病毒毒軟件件，及及時更更新特特征庫庫政策與與用戶戶的教教育：：如何何處理理郵件件附件件、如如何使使用下下載軟軟件等等賬號和和口令令管理理口令安安全策策略:有效期期、最最小長長度、、字符符選擇擇賬號登登錄失失敗n次鎖定定關(guān)閉缺缺省賬賬號，，guest,AdministratorWindows安全管管理（（二））Windows服務管管理TerminalServer中文輸輸入法法缺陷陷網(wǎng)絡共共享Nimda等一些些蠕蟲蟲和和和病毒毒IISUNICODE(nimda、CodeBlue…)IndexService(CRI、CRII)Windows安全全管理理（三三）操作系系統(tǒng)更更新局域網(wǎng)網(wǎng)防火火墻配置防防火墻墻/路由器器，封封鎖不不必要要的端端口：：TCPport135,137,139andUDPport138.基于主主機的的訪問問控制制Windows2000自帶個人防防火墻墻Unix安全管管理（（一））相應版版本的的所有有補丁丁賬號與與口令令關(guān)閉缺缺省賬賬號和和口令令：lp,shutdown等shadowpasswd用crack/john等密碼碼破解解工具具猜測測口令令（配置置一次次性口口令））網(wǎng)絡服服務的的配置置：/etc/inetd.conf,/etc/rc.d/*TFTP服務get/etc/passwd匿名ftp的配置置關(guān)閉rsh/rlogin/rexec服務關(guān)閉不不必要要的rpc服務安裝sshd，關(guān)閉telnet。NFSexportUnix安全管管理（（二））操作系系統(tǒng)更更新Solaris：/Redhat：up2date常見安安全問問題Solaris各種RPC服務LinuxprinterNamedWu-ftpd路由器器安全全管理理（一一）認證口口令管管理使用enablesecret,而不用用enablepasswordTACACS/TACACS+,RADIUS,Kerberos認證控制交交互式式訪問問控制臺臺的訪訪問：：可以以越過過口令令限制制；遠程訪訪問telnet,rlogin,ssh,LAT,MOP,X.29,Modem虛擬終終端口口令保保護：：vty,tty：login，nopassword只接收收特定定協(xié)議議的訪訪問，，如transportinputssh設置允允許訪訪問的的地址址：ipaccess-class超時退退出：：exec-timeout登錄提提示：：bannerlogin路由器器安全全管理理（二二）關(guān)閉沒沒有必必要的的服務務smallTCPnoservicetcp-small-servers:echo/chargen/discardfinger,ntp鄰機發(fā)發(fā)現(xiàn)服服務（（cdp）審計SNMP認證失失敗信信息，，與路路由器器連接接信息息：Trap系統(tǒng)操操作日日志：：systemlogging:console,Unixsyslogd,違反訪訪問控控制鏈鏈表的的流量量操作系系統(tǒng)更更新路由器器IOS與其他他操作作系統(tǒng)統(tǒng)一樣樣也有有BUG怎樣檢檢測系系統(tǒng)入入侵察看登登錄用用戶和和活動動進程程w,who,finger,last命令ps,crash尋找入入侵的的痕跡跡last,lastcomm,netstat,lsof,/var/log/syslog，/var/adm/messages,~/.history查找最最近被被修改改的文文件：find檢測sniffer程序ifconfig,cpm蠕蟲的危危害及防防范（一一）蠕蠕蟲簡介介Morris蠕蟲事件件發(fā)生于1988年，當時時導致大大約6000臺機器癱癱瘓主要的攻攻擊方法法Rsh，rexec：用戶的的缺省認認證Sendmail的debug模式Fingerd的緩沖區(qū)區(qū)溢出口令猜測測CRII蠕蟲感染主機機全球超超過30萬臺導致大量量網(wǎng)絡設設備癱瘓瘓蠕蟲的危危害及防防范（二二）Lion蠕蟲出現(xiàn)于今今年四五五月間造成網(wǎng)絡絡的針對對53端口大面面積掃描描主要行為為利用Bind安全缺陷陷入侵掃描一段段B類網(wǎng)絡之后出現(xiàn)現(xiàn)了很多多類似的的蠕蟲Raemon蠕蟲Sadmind蠕蟲解決方法法：更新新Linuxbind服務器蠕蟲的危危害及防防范（三三）CRI主要影響響WindowsNT系統(tǒng)和Windows2000主要影響響國外網(wǎng)網(wǎng)絡據(jù)CERT統(tǒng)計，至至8月初已經(jīng)經(jīng)感染超超過25萬臺主要行為為利用IIS的Index服務的緩緩沖區(qū)溢溢出缺陷陷進入系系統(tǒng)檢查c:\notworm文件是否否存在以以判斷是是否感染染中文保護護（是中中文windows就不修改改主頁））攻擊白宮宮！解決方法法：更新新Windows2000、NT操作系統(tǒng)統(tǒng)和殺毒毒工具蠕蟲的危危害及防防范（三三續(xù)）CRIIInspiredbyCRI影響波及及全球國內(nèi)影響響尤其廣廣泛主要行為為所利用缺缺陷相同同只感染windows2000系統(tǒng)，由由于一些些參數(shù)的的問題，，只會導導致NT死機休眠與掃掃描：中中文windows，600個線程CodeRed擴散速度度（7.19-7.20）CodeRedv1擴展速度度（7.19-7.20)蠕蟲的危危害及防防范（四四）nimda主要特點點綜合了各各種攻擊擊和傳染染方法第一款既既有蠕蟲蟲特征又又有病毒毒特征的的惡意代代碼影響面遍遍及全球球主要行為為群發(fā)電子子郵件，，付病毒毒掃描共享享文件夾夾，掃描有漏漏洞的IIS,掃描有CodeRed后門的IISServer蠕蟲的危危害及防防范（五五）蠕蠕蟲的防防范完善的安安全政策策定期更新新殺毒工工具郵件、網(wǎng)網(wǎng)絡共享享的安全全使用規(guī)規(guī)范系統(tǒng)責任任人和權(quán)權(quán)限設置置有效的應應對措施施與轄區(qū)CERT保持及時時聯(lián)系首先設法法避免蔓蔓延利用訪問問控制建建立停火火區(qū)常用網(wǎng)絡絡安全工工具介紹紹入侵檢測測系統(tǒng)網(wǎng)絡入侵侵檢測系系統(tǒng)其它入侵侵檢測系系統(tǒng)風險評估估和端口口掃描防火墻安全傳輸輸網(wǎng)絡入侵侵檢測系系統(tǒng)Tcpdump可以得到到數(shù)據(jù)包包的原始始記錄需要較多多的經(jīng)驗驗Snort可配置性性強，檢檢測多種種入侵，，免費誤警率高高Realsecure用戶界面面好，誤誤警率低低，穩(wěn)定定的技術(shù)術(shù)支持貴其它入侵侵檢測系系統(tǒng)基于主機機的入侵侵檢測系系統(tǒng)Syslog+grepSnortwin32版文件完整整性檢查查系統(tǒng)tripware風險評估估和端口口掃描端口掃描描工具Nmap：功能強強大、速速度快Strobe：使用簡簡單端口和進進程對應應工具LsofSocklistfport缺陷掃描描系統(tǒng)Satancops防火墻網(wǎng)絡防火火墻Linux：ipchains、netfilter其它UNIX操作系統(tǒng)統(tǒng)：ipfilter商用防火火墻NetscreenCheckpoint單機防火火墻Zonealarm天網(wǎng)防火火墻綠色警戒戒Win2000自帶安全傳輸輸安全應急急響應服服務應急響應應服務的的誕生—CERT/CC1988年Morris蠕蟲事件件直接導導致了CERT/CC的誕生CERT/CC服務的內(nèi)內(nèi)容安全事件件響應安全事件件分析和和軟件安安全缺陷陷研究缺陷知識識庫開發(fā)發(fā)信息發(fā)布布：缺陷陷、公告告、總結(jié)結(jié)、統(tǒng)計計、補丁丁、工具具教育與培培訓：CSIRT管理、CSIRT技術(shù)培訓訓、系統(tǒng)統(tǒng)和網(wǎng)絡絡管理員員安全培培訓指導其它它CSIRT（也稱IRT、CERT）組織建建設CERT/CC簡介現(xiàn)有工作作人員30多人，12年里處理理了288,600封Email,18,300個熱線電電話，其其運行模模式幫助助了80多個CSIRT組織的建建設國際安全全應急響響應國外安全全事件響響應組（（CSIRT）建設情情況DOECIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT,NavyCIRT亞太地區(qū)區(qū)：AusCERT、SingCERT等FIRST（1990