信息安全審計培訓教材

信息安全審計培訓教材一、黑客攻擊與安全審計黑客簡介黑客的定義黑客（Hacker）的定義：非法搜索和滲透計算機網(wǎng)絡(luò)，訪問和使用數(shù)據(jù)的人。根據(jù)黑客的態(tài)度和動機來給黑客分類，可分為下列3類：偶然的破壞者：堅定的破壞者：間諜和工業(yè)偵探：黑客的動機黑客的動機表明了入侵的目的，從而有助于安全專家更好地評估系統(tǒng)的危險性。挑戰(zhàn)貪婪惡意安全審計什么是安全審計人員？安全審計人員是進行風險評估的個體。作為一名審計人員，你的職責是通過對網(wǎng)絡(luò)風險進行評估，從而提出有效的安全解決方案。一個合格的審計人員應(yīng)該從兩個角度來分析網(wǎng)絡(luò)：從黑客的角度進行思考，尋找現(xiàn)有網(wǎng)絡(luò)的漏洞，對網(wǎng)絡(luò)資源加以保護；從雇員和管理者的角度進行思考，尋找最佳途徑既可保障安全又不影響商業(yè)運作效率。安全審計人員的工作安全審計人員采用兩種方式來達到一個高的安全等級：抱怨分析和風險分析。首先他們幫助網(wǎng)絡(luò)管理人員了解用戶的抱怨，制定一致性的安全策略。容易出現(xiàn)的問題是網(wǎng)管和安全專家所制定的可靠的安全策略只有用戶在抵制它。其次是進行風險評估，決定哪些服務(wù)器是公司最重要的服務(wù)器，哪些最需要保護的資源。審計人員的職責和前瞻性作為一名審計人員，應(yīng)該至少從兩個角度來對待網(wǎng)絡(luò)：從安全管理者的角度和從顧問的角度考慮。從黑客角度審計人員最初不了解網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、服務(wù)、協(xié)議和操作的情況，此時從一個不了解內(nèi)情的黑客角度來偵查、滲透和試圖控制網(wǎng)絡(luò)。從知情的審計者的角度第二類審計人員是從一個內(nèi)部知情人的角度來評估網(wǎng)絡(luò)安全。多數(shù)情況下，審計人員會合并這兩種角度來提供更深層次的審計。黑客攻擊過程在實施審計的時候，你將嘗試采取一些黑客的行為：試圖偵查、滲透和控制網(wǎng)絡(luò)系統(tǒng)。這三個步驟是作為一名黑客和安全審計人員進行的重要階段。偵查階段在偵查階段，你將掃描和測試系統(tǒng)的有效安全性。對網(wǎng)絡(luò)進行偵查意味著要定位出網(wǎng)絡(luò)資源的具體情況，包括IP地址、開放端口、網(wǎng)絡(luò)拓撲等。這種分析工作通常需要大量的時間，我們可以使用自動運行的掃描程序。滲透階段滲透意味著你能繞過安全控制機制，如登錄賬號和密碼。你還可以通過使加密機制無效從而破壞數(shù)據(jù)的機密性和完整性。你還可以是網(wǎng)絡(luò)拒絕提供服務(wù)?？刂齐A段控制意味著可以隨心所欲的管理網(wǎng)絡(luò)和主機。審計人員從不試圖控制網(wǎng)絡(luò)主機，只是通過演示他可以控制網(wǎng)絡(luò)主機來證明現(xiàn)有網(wǎng)絡(luò)存在的問題。你將發(fā)現(xiàn)，控制表明一個黑客可以控制網(wǎng)絡(luò)資源，創(chuàng)建賬號，修改日志，行使管理員的權(quán)限。二、偵查手段和工具黑客和安全審計人員采取的第一步都是偵查網(wǎng)絡(luò)。在本節(jié)中，你將接觸一些網(wǎng)絡(luò)偵查工具和方法。安全掃描DNS工具Whois命令Whois命令通常是安全審計人員了解網(wǎng)絡(luò)情況的開始。一旦你得到了Whois記錄，從查詢的結(jié)果還可得知Primary和Secondary域名服務(wù)器的信息。Lab12-1演示W(wǎng)hois工具的使用，Web網(wǎng)站W(wǎng)hois工具的使用Nslookup命令使用DNS的排錯工具nslookup，你可以利用從Whois查詢到的信息偵查更多的網(wǎng)絡(luò)情況。Ping掃描和使用TraceroutePing掃描軟件Ping掃描程序?qū)⒆詣訏呙枘闼付ǖ腎P地址范圍。Traceroute命令Traceroute用于路由追蹤，如判斷從你的主機到目標主機經(jīng)過哪些路由器、跳計數(shù)、響應(yīng)時間如何、是否有路由器宕機等。Lab12-2Ping掃描軟件的使用，Tracert命令的使用端口掃描端口掃描軟件端口掃描器是黑客最常使用的工具。一些單獨使用的端口掃描工具像PortScanner，定義好IP地址范圍和端口后便可開始實施掃描。許多工具也集成了端口掃描器。Lab12-3用PingPro執(zhí)行Ping掃描和端口掃描；網(wǎng)絡(luò)偵查和服務(wù)器偵查程序有一些更復(fù)雜的工具可以識別更多的網(wǎng)絡(luò)和服務(wù)類型的程序。例如NMAP是UNIX下的掃描工具，它可以識別不同操作系統(tǒng)在處理TCP/IP協(xié)議上細微的差別。服務(wù)掃描RedButton可以從Windows2000服務(wù)器上獲得信息。Lab12-5演示RedButton堆棧指紋識別和操作系統(tǒng)檢測利用堆棧指紋技術(shù)允許你利用TCP/IP來識別不同的操作系統(tǒng)和服務(wù)。各個廠商和系統(tǒng)處理TCP／IP協(xié)議的特征是管理員所難以更改的。許多審計人員和黑客記錄下這些TCP/IP應(yīng)用的細微差別，并針對各種系統(tǒng)構(gòu)建了堆棧指紋表。NMAP由于功能強大、不斷升級和免費的原因十分流行。它對網(wǎng)絡(luò)的偵查十分有效。使用Telnet你可以Telnet至HTTP端口。在連接一段時間內(nèi)若沒有任何動作，服務(wù)器會因為無法識別這次連接而自動切斷。但是你通常可以從HTTP服務(wù)器上得到一些信息。Lab12-6演示Telnet企業(yè)級的審計工具企業(yè)級的審計程序用以其人之道還制其人之身的方式來對付黑客，通過對網(wǎng)絡(luò)進行綜合的攻擊使你可以實時地檢測到網(wǎng)絡(luò)的漏洞，并加以改進。協(xié)議及操作系統(tǒng)的支持掃描級別配置文件和策略報告功能常見的弱點掃描器SymantecNetReconISSInternetScanner其他掃描器如：EeyeRetina（）；Lab12-7部署EeyeRetina4.0社會工程作為安全管理人員你不應(yīng)低估社會工程的威脅。作為安全審計人員，你也不應(yīng)在偵查工具和技巧中漏掉社會工程。電話訪問E-mail詐騙教育作為安全管理人員，避免員工成為偵查工具的最好方法是對他們進行教育。通過提高員工對設(shè)備的認識和增強他們的責任感，可以使他們變得更難于被黑客控制。獲得信息作為安全審計人員，你可以把信息分成網(wǎng)絡(luò)級別和主機級別的信息。網(wǎng)絡(luò)級別的信息下表中列出了你需要獲得的有價值的網(wǎng)絡(luò)級別的信息。網(wǎng)絡(luò)拓撲路由器和交換機防火墻種類IP服務(wù)Modem池主機級別的信息下表列舉了一些更有價值的主機級別的信息：活動端口數(shù)據(jù)庫服務(wù)器近年來，許多成功的黑客都和用了大量的業(yè)余時間。他們閱讀了大量的文獻，研究系統(tǒng)的缺省設(shè)置和內(nèi)置的漏洞。無論你是安全管理大員還是安全審計大員，都應(yīng)該盡可能地多掌握產(chǎn)品的情況。三、服務(wù)器滲透和攻擊技術(shù)審計一旦黑客定位了你的網(wǎng)絡(luò)，他通常會選定一個目標進行滲透。通常這個目標會是安全漏洞最多或是他擁有最多攻擊工具的主機。容易遭受攻擊的目標最常遭受攻擊的目標包括路由器、數(shù)據(jù)庫、Web和FTP服務(wù)器，和與協(xié)議相關(guān)的服務(wù)，如DNS、WINS和SMB。路由器連接公網(wǎng)的路由器由于被暴露在外，通常成為被攻擊的對象。許多路由器為便于管理使用SNMP協(xié)議，尤其是SNMPv1，成為潛在的問題。許多網(wǎng)絡(luò)管理員未關(guān)閉或加密Telnet會話，若明文傳輸?shù)目诹畋唤厝。诳途涂梢灾匦屡渲寐酚善?，這種配置包括關(guān)閉接口，重新配置路由跳計數(shù)等等。物理安全同樣值得考慮，必須保證路由器不能被外人物理接觸到進行終端會話。過濾Telnet為了避免未授權(quán)的路由器訪問，你應(yīng)利用防火墻過濾掉路由器外網(wǎng)的telnet端口和SNMP[161，162]端口?；蛟谂渲猛曷酚善骱髮elnet服務(wù)禁止掉，因為路由器并不需要過多的維護工作。如果需要額外的配置，你可以建立物理連接。數(shù)據(jù)庫黑客最想得到的是公司或部門的數(shù)據(jù)庫。現(xiàn)在公司普遍將重要數(shù)據(jù)存儲在關(guān)系型或面向?qū)ο蟮臄?shù)據(jù)庫中，這些信息包括：雇員數(shù)據(jù)，如個人信息和薪金情況；市場和銷售情況；重要的研發(fā)信息；貨運情況等。黑客可以識別并攻擊數(shù)據(jù)庫。每種數(shù)據(jù)庫都有它的特征。如SQLServer使用1433/1434端口，你應(yīng)該確保防火墻能夠?qū)υ摲N數(shù)據(jù)庫進行保護。Web和FTP服務(wù)器安全WEB和FTP這兩種服務(wù)器通常置于DMZ，無法得到防火墻的完全保護，所以也特別容易遭到攻擊。Web和FTP服務(wù)通常存在的問題包括：用戶通過公網(wǎng)發(fā)送未加密的信息；操作系統(tǒng)和服務(wù)存在眾所周知的漏洞導(dǎo)致拒絕服務(wù)攻擊或破壞系統(tǒng)；舊有操作系統(tǒng)中以root權(quán)限初始運行的服務(wù)，一旦被黑客破壞，入侵者便可以在產(chǎn)生的命令解釋器中運行任意的代碼。郵件服務(wù)廣泛使用的SMTP、POP3和IMAP4一般用明文方式進行通信。這種服務(wù)可以通過加密進行驗證但是在實際應(yīng)用中通信的效率不高。由于大多數(shù)人對多種服務(wù)使用相同的密碼，攻擊者可以利用嗅探器得到用戶名和密碼，再和用它攻擊其它的資源，例如Windows2000服務(wù)器。與郵件服務(wù)相關(guān)的問題包括：利用字典和暴力攻擊POP3的loginshell；在一些版本中Sendmail存在緩沖區(qū)溢出和其它漏洞；利用E-mail的轉(zhuǎn)發(fā)功能轉(zhuǎn)發(fā)大量的垃圾信件。名稱服務(wù)攻擊者通常把攻擊焦點集中在DNS服務(wù)上。DNS服務(wù)器經(jīng)常暴露在外，使它成為攻擊的目標。DNS攻擊包括：未授權(quán)的區(qū)域傳輸；DNS毒藥，這種攻擊是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進行區(qū)域傳輸時插入錯誤的DNS信息，一旦成功，攻擊者便可以使輔DNS服務(wù)器提供錯誤的名稱到IP地址的解析信息；拒絕服務(wù)攻擊；審計系統(tǒng)BUG作為安全管理者和審計人員，你需要對由操作系統(tǒng)產(chǎn)生的漏洞和可以利用的軟件做到心中有數(shù)審計TrapDoor和RootKitRootkit是用木馬替代合法程序。TrapDoor是系統(tǒng)上的bug，當執(zhí)行合法程序時卻產(chǎn)生了非預(yù)期的結(jié)果。如老版本的UNIXSendmail，在執(zhí)行debug命令時允許用戶以root權(quán)限執(zhí)行腳本代碼，一個受到嚴格權(quán)限控制的用戶可以很輕易的添加用戶賬號。審計后門程序通常，在服務(wù)器上運行的操作系統(tǒng)和程序都存在代碼上的漏洞。后門也指在操作系統(tǒng)或程序中未記錄的入口。程序設(shè)計人員為了便于快速進行產(chǎn)品支持有意在系統(tǒng)或程序中留下入口。不同于bug，這種后門是由設(shè)計者有意留下的。審計拒絕服務(wù)攻擊防范拒絕服務(wù)攻擊你可以通過以下方法來減小拒絕服務(wù)攻擊的危害：加強操作系統(tǒng)的補丁等級。如果有雇員建立特定的程序，特別留意代碼的產(chǎn)生過程。只使用穩(wěn)定版本的服務(wù)和程序。審計非法服務(wù)，特洛伊木馬和蠕蟲非法服務(wù)開啟一個秘密的端口，提供未經(jīng)許可的服務(wù)，常見的非法服務(wù)包括：NetBusBackOrifice和BackOrifice2000Girlfriend冰河2.X秘密的建立共享的程序特洛伊木馬特洛伊木馬是在執(zhí)行看似正常的程序時還同時運行了未被察覺的有破壞性的程序。木馬通常能夠?qū)⒅匾男畔魉徒o攻擊者。審計木馬掃描開放端門是審計木馬攻擊的途徑之一。如果你無法說明一個開放端口用途，你也許就檢測到一個問題。蠕蟲Melissa病毒向我們展示了TCP/IP網(wǎng)絡(luò)是如何容易遭受蠕蟲攻擊的。在你審計系統(tǒng)時，通常需要配置防火墻來排除特殊的活動，在防火墻上過濾那些從不信任的網(wǎng)絡(luò)來的數(shù)據(jù)包和端口。結(jié)合所有攻擊定制審計策略攻擊者有兩個共同的特點。首先，他們將好幾種不同的方法和策略集中到一次攻擊中。其次，他們在一次攻擊中和用好幾種系統(tǒng)，綜合應(yīng)用攻擊策略可以增強攻擊的成功率，同時利用好幾種系統(tǒng)使他們更不容易被捕獲。滲透策略物理接觸如果攻擊者能夠物理接觸操作系統(tǒng)，他們便可以通過安裝和執(zhí)行程序來使驗證機制無效。操作系統(tǒng)策略較弱的密碼策略較弱的系統(tǒng)安全策略審計文件系統(tǒng)漏洞Lab12-8：使用WINNTAutoAttack攻擊Windows服務(wù)器控制階段的安全審計一旦攻擊者成功地滲透進你的系統(tǒng)，他會立即試圖控制它。在這一階段的目標包括：獲得root的權(quán)限收集信息開啟新的安全漏洞擦除滲透痕跡攻擊其他系統(tǒng)如果攻擊者成功地進行到這一階段，通常就很難被發(fā)覺了，應(yīng)該在滲透階段阻止他們的攻擊行為。獲得root的權(quán)限攻擊者最終目的是獲得root的權(quán)限。攻擊者會采用許多不同的策略來獲得這一權(quán)限，包括前門課程中討論的各種手段。創(chuàng)建額外賬號為了減小從系統(tǒng)中被清除的幾率，攻擊者通常會在獲得root權(quán)限后創(chuàng)建額外的賬號。審計這種控制手段的方法是查看哪些沒有填寫完整的用戶賬號。例如，上面的批處理文件并沒有在域中加入任何描述性的語句。獲得信息一旦攻擊者獲得root的權(quán)限，他將立即掃描服務(wù)器的存儲信息。例如，在人力資源數(shù)據(jù)庫中的文件，支付賬目數(shù)據(jù)庫和屬于上層管理的終端用戶系統(tǒng)。審計UNIX文件系統(tǒng)Rootkit充斥在互聯(lián)網(wǎng)上，很難察覺并清除它們。審計這類程序的最好方法是檢查象1s，su和ps等命令在執(zhí)行時是否正常。大多數(shù)替代Rootkit的程序運行異常，或者有不同的文件大小。審計Windows2000文件系統(tǒng)下表列出了在Windows2000中通常文件的存放位置：見8表所示。信息重定向一旦攻擊者控制了系統(tǒng)，他便可以進行程序和端口轉(zhuǎn)向。端口轉(zhuǎn)向成功后，他們可以操控連接并獲得有價值的信息。例如，有些攻擊者會禁止像FTP的服務(wù)，然后把FTP的端口指向另一臺計算機。那臺計算機會收到所有原來那臺主機的連接和文件。創(chuàng)建新的訪問點通過安裝額外的軟件和更改系統(tǒng)參數(shù)，攻擊者還可