网络安全方案.docx

网络安全方案.docx

《网络安全方案.docx》由会员分享，可在线阅读，更多相关《网络安全方案.docx（34页珍藏版）》请在冰豆网上搜索。

网络安全方案

第一章

黑客攻击：

1、踩点

2、扫描漏洞

3、得到计算机的最高权限

或提升为最高权限

4、产生新的端口（这个端口不容易被发现）

5、打扫日志

服务器机房禁忌：

（物理）

1、使用服务器玩游戏

2、在机房里喝饮料等液体

3、机房门锁安全

安全证书

CIW：

国际权威安全证书（）

470：

Network/Forework

OS操作系统windowsunixlinux

Audit（ids）审计入侵检测系统

CISSP：

密码学知识

网络安全入门

1、网络安全定义：

a）本质上讲：

保护——网络系统硬件，软件，数据

防止——系统和数据遭受破坏，更改，泄露

保证——系统连续可靠正常地运行，服务不中断

b）广义上讲：

领域——涉及网络信息的保密性，完整性，可用性，真实性，可控性的相关技术和理论

c）两个方面：

技术方面——防止外部用户的非法入侵

管理方面——内部员工的教育和管理

黑客分类hacker

One：

破坏者cracker

Two：

红客

Three：

间谍

安全的基本要素

制定安全策略

进行用户验证

加密，访问控制

审核，管理

网路安全标准

英国：

7799-ITSES网络安全评估标准

美国：

TCSES

Iso15408

Ccv2.0

小结

安全的定义：

本质和广义两个方面

黑客分析：

黑客定义，黑客分类，黑客的行为统计，黑客行为趋势

风险：

黑客团体化，工具开放化，网络方便化，物理危险化，管理低下化

第二章

2.1网络协议，服务和安全

OSI：

应用层，表示层，会话层，传输层，网络层，数据链路层，物理层

“ping->TTL：

128“属于网络层（windows默认128，unix默认255）

物理层：

硬件，线缆

组成：

传输在线缆上的电子信号

威胁：

搭线窃听和监听

保护措施：

加密，加数据标签，流量填充等

设备：

HUB、水晶头、线缆

数据链路层：

MAC地址

网路层:

ip

功能：

寻址和路由

协议：

IP,ICMP,IGMP（组播）,ARP,RARP

网际协议：

——32位，唯一性，标志主机

——IP头：

20位包含信息和控制字段

——威胁：

IP欺骗攻击

INTERNET信息控制协议

——IP层检查错误使用

——威胁：

FLOOD,WINNUKE

保护措施：

防火墙过滤，打系统补丁

传输层：

TCPUDP

功能：

控制主机之间传输的数据流

协议：

TCP,UDP

TCP包头标记：

SYN,FIN,ACK

——建立一个TCP连接的过程

——终止一个TCP连接的过程

——TCP威胁：

SYNFLOOD

UDP：

面向非连接的协议

端口号非类：

常用端口<1024

常用端口：

21,22,23,80,139

应用层：

SMTP,FTP,TELNET,HTTP,SNMP

SMTP:

威胁：

邮件炸弹，病毒，匿名邮件，木马

保护措施：

认证，附件病毒扫描，用户安全意识教育

FTP：

威胁：

明文传输，黑客恶意传输非法使用等

保护措施：

只允许匿名登录，单独的服务器分区，禁止执行程序

域名解析系统：

威胁：

DNS欺骗、中毒，区域文件的被盗

保护措施：

防火墙过滤所有区域文件

允许特定主机进行文件传送

TCP概述

RFC793

IP报头TCP报头段

UDP用户数据包协议

UDPTCP

无连接面向连接

不可靠可靠

快速、低开销慢，高开销

点对点，点对多点点对点

FTP

Anonymous匿名

Binary以2进制传输

Bash1024

Get文件名下载文件名

Pwd查看当前目录

Put文件名上传文件名

TELNET

telnet192.168.0.2062525是SMTP

Mailfrom：

user4@

Rcpttouser1@

Subject:

007

Hello

Hi

Nihao

.发送

telnet

setlocalecho打开本地回显

open192.168.0.206110110是pop

useruser1

pass1234567

list

….

…..

Retr1查看第一封信

第三章

SNMP：

简单网络管理协议

端口：

UDP161/162

最大威胁：

传输明文，访问验证只需要交流名称

解决：

使用防火墙过滤UDP161

推荐——Mrtg:

流量控制软件

查看每个协议的端口号c:

\windows\system32\drivers\etc\service

概述：

简单网络管理协议是使用TCP/IP协议组对互联网上的设备进行管理的一个框架，提供一组基本的操作来监视和维护互联网

SNMP构件

管理信息结构

管理信息库

SNMP

三方共同协作完成

管理信息结构

为对象命名

定义数据类型

给出数据编码类型

管理信息库

MIB是网络管理中第二个构件，每一个代理有它自己的MIB，这是管理器能够管理所有对象的集合

SNMP功能

管理器读取代理定义的一个对象的值

管理器将一个值存储在代理定义一个对象

代理将关于一场情况的错误报文发给代理器

配置远程设备

监视网络性能

检测网络故障或不适当的访问

审核网络使用

NETBIOS:

网络基本输入输出系统

使用端口137,138,139

最大的安全威胁：

功能：

能够把程序和任何类型的硬件属性分开，方便开发人员使用程序接口

名称：

包含16个字节，每个名称的前15个字节是用户指定的

NBTSTAT使用

Nbtstat–a192.168.0.123查看Netbios名称

关闭默认共享

HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMAN..VER\PARAMETERS

添加：

AutoShareServerREG_DWORD0

Netsharec$/del

Netsharec$=c:

/yes

SSH:

SecureShell安全的shell

因为传统FTP,TELNET,POP等协议在本质上的不安全，明文

SSH工作原理和验证过程

1，基于口令的安全验证

2，基于密钥的安全验证

安装：

Windows默认是安装的

Linux下需要安装RPM包，在/etc/ssh下

第4章

Nslookup

Server202.106.0.20

Settype*all

S

网络层：

IP协议也称网际协议

负责网络寻址和发送IP数据包。

提供性能很好的无连接传输系统，不保证数据包能否到达目的地或按照顺序到达目的地。

Message：

ip信使服务

Netsend\\192.168.0.1371234567

Ip头部20个字节

ICMP：

网间报文控制协议

危害：

ICMP攻击导致拒绝服务（DOS）

基于重定向（redirect）的路由欺骗技术

关闭ICMP：

远程和路由访问——IP路由选项——常规——本地连接——属性——入栈筛选器——新建——添加IP筛选器（ICMP类型8ICMP代码0[8和0是sniffer捕捉到的ping入栈信息IP包信息]）

第二种方法是在防火墙禁止ICMP协议

ARPARP–amacaddress手工配置一个mac地址

1、A机检查ARP缓存

2、A机发送ARP请求

3、B机添加ARP项目

4、B机发送ARP答复

5、A机添加ARP项目

注：

finger返回主机上的用户信息

第5章

加密技术

对称加密：

用123456加密，再用123456解密

非对称加密：

用123456加密，用654321解密

HASH加密：

用128位HASH函数算出一个值，对方也算出一个值

用来查看文件是否被篡改过

对称加密有：

DES加密IDEA加密RSA加密（n=p*q，p和q是质数）

非对称加密有：

RSADSADigitalSignatureAlgorithmDiffie-Hellman

HASH加密：

把一些不同长度的信息转化成没有规律的128位编码

签名：

数字签名

HASH算法：

MD2,MD4,MD5,SHA

“PGP”加密算法

SSL：

安全套接字，端口号443

应用加密执行过程

通常的加密方式：

综合对称，非对称，HASH三种加密

邮件加密：

PGP,S-MIME

文件加密：

MD5SUM

Web服务器加密：

SHTTP,SSL

虚拟私有网络VPN:

PPTP,IPSEC

IPSEC

AH

ESP

SA

IKE

PKI:

公钥体系结构

PKI的标准时建立在X.509之上的

Certificateauthority（CA）

CA证书

第六章

PGP案例

第七章

WIN2003的安全配置和管理

安全原则：

最少的服务+最小的权限=最大的安全

TerminalService软件安装，最好装一个PcAnyWhere软件

正确安装Win2003

C区6-10G只装操作系统

D区20G程序

E区10G工作

F区不了解的程序

安装顺序1，安装时不接入网络2，补丁的安装

配置

端口：

netstat–an查看端口

IIS：

账号：

（密码复杂度设置）

安全日志：

目录和文件权限：

（共享文件权限）

DOS攻击：

IP策略，或者TCP/IP筛选

注册表的安全问题

本地安全设置：

审核策略

HKLM：

包括关于本地计算机系统信息，包括硬件和操作系统数据，如总线类型、系统内存、设备驱动程序和启动控制数据

HKCR：

包含由各种OLE技术使用的信息和文件类别关联数据（等价于MS-DOS下的windows中的注册表）。

如果HKLM\software\Classes或HKCU\SOFTWARE\CLASSES中存在的某个键值，则对应的键值或值将出现在HKCR中。

如果两处均存在项或值，HKCU版本将是出现在HKCR中的一个

HKCU包含当前以交互方式（与远程方式相反）登录的用户的用户配置文件，包括环境变量、桌面设置、网络连接、打印机和程序首选项。

该子目录树是HKU子目录树的别名并指向HKU\当前用户的安全ID。

HKU包含关于动态加载的用户配置文件和默认的配置文件的信息。

这包含同时出现在HKCU中的信息。

要远程访问服务器的用户在服务器上的该项下没有配置文件；他们的配置文件将加载到他们自己计算机的注册表中。

HKCC包含在启动时由本地计算机系统使用的硬件配置文件的相关信息。

该信息用于配置一些设置，如果加载的设备驱动程序和现实时要使用的分辨率。

该子目录树是HKLM子目录树的一部分并指向HKLM\SYSTEM\CURRENTCONTROLSET\HARDWAREPROFILES\CURRENT.

注册表配置单元和文件

HKLM\SAMsam和sam.Log

HKLM\SECURITY安全和Security.LOG

HKLM\SOFTWARE软件和software.log

HKLM\SYSTEM系统和system.log

HKCC系统和system.log

HKCUNtuser.dat和Ntuser.dat.log

HKU\.DEFAULT默认和Default.log

第八章

LINUX安全知识

SUID:

安全用户ID

SGID:

安全组ID

系统结构

Bin:

二进制的课执行文件目录

Dev:

用特殊设备驱动文件

Etc:

系统执行文件,配置文件,管理文件:

Home:

用户起始目录

Lib引导系统以及在root文件系统中运行命令所需的共享库文件

Lost+found用与特定文件系统断开连接的丢失文件

Mnt:

临时安装的文件系统

Proc:

伪文件系统,来作为到内核数据机构或正在运行的进程的接口

Sbin:

被root使用的可执行文件以及那些只需要引导或安装usr的文件保留

Tmp:

临时文件

Usr:

为用户和系统命令使用的可执行文件,头文件,共享库,帮助文件本地程序（/usr/local）\

Var:

电子邮件\打印\cron等文件,统计文件,日志文件

文件系统类型

Ext2----固定和可移动磁盘都能用的一种高性能文件系统

Msdos---由MS-DOS和windows使用.文件名不能超过8个字符,后面跟一个可选的点号和3个字符的扩展名

Iso9660---光驱

Nfs---访问远程计算机磁盘的网络文件系统

Swap---用作交换的一个磁盘分区

密码文件

Root:

x:

0:

0：

root:

/root:

/bin/bash

用户:

密码:

SUID:

SGID:

描述:

所在目录:

使用的shell

Shadow:

Root:

$asdfasasdfa:

11830（天）:

999999:

0:

:

RPM

安装–ivh升级-Uvh

文件权限

-rwxr-x---

-代表文件类型d代表目录

Tar命令

Tarcvfzbackup.tar.gz/etc/压缩文件到/etc/

Tarcvfz555.tar.gz555.txt

Tarxvfz555.tar.gz解压缩

系统安全概要

BIOS安全

/etc/login.defs：

更改密码长度

/etc/exports：

共享文件

/etc/hosts.llow

/etc/hosts.eny

PING

Echo1>/proc/sys/net/ipv4/icmp_echo_ignore_allping

Echo0>/proc/sys/net/ipv4/icmp_echo_ignore_allping

~~~~~~~~~~显示系统信息

安装TELNET才有这样的必要

telnetstreamtcp……-h

/etc/host.conf文件

Order：

指明选择服务的顺序

Multi：

决定能不能有多个IP地址

Nospoof：

指明不允许IP伪装

路由协议

禁止IP源路径路由

Forfin/proc/sys/net/ipv4/conf/*/acc

TCPSYNCookie保护生效

Echo1>/proc/sys/net/ipv4/tcp_syncookies把这个命令加入到”/etc/rc.d/rc.local”文件中，这样下次启动时就不用重新输入一遍，如果安装了IPTABLES就没有必要用这个命令

/etc/securetty文件

允许与内需规定ROOT用户可以从那个TTY设备登录TTY虚拟终端

特殊的账号

删除系统自带的一些账号

Userdeladm

删除系统自带的一些不必要的组

Groupdeladm

在系统中添加必要的用户

Useraddadmin

Passwdadmin

不允许改变可以用来保护文件使其不被意外的删除或重写

Chattr+i/etc/passwd\

Chattr+i/etc/shadow

Chattr+i/etc/group

Chattr+i/etc/gshadow

防止任何人都可以用su命令

编辑/etc/pam.d/su在文件头部下面两行，

Authsufficient/lib/security/pam_rootok.sobug

Authrequired/lib/security/pam_wheel.sogroup.wheel

Usermod10admin

资源限制

/etc/security/limits.conf:

限制用户对系统资源的使用

Bardcore0

Bardrss5000

Bardnproc20

Core0表示禁止创建core文件

Nproc20表示最多进程数限制为20

Rss5000表示其他用户都最多只能用5M的内存

编辑/etc/pam.d/login文件，在文件末尾加入下面这一行

Sessionrequired/lib/security/pam_limits.so

更好的控制MOUNT上的文件系统

编辑fstab文件/etc/fstab

把RPM程序转移到一个安全的地方，并改变默认的访问许可

把RPM程序移到软盘上，用下面的命令

Mount/dev/fd0/mnt/floppy/

Mv/bin/rpm/mnt/floppy/

Umount/mnt/floppy

千万不要把RPM程序从系统中卸载掉，否则以后不能重新安装

把rpm命令的访问许可从默认的755改成700，这样非root用户就不能使用rpm命令了，特别是考虑到万一在安装完新软件之后忘了把rpm程序移到一个安全的地方，这样做就更有必要了

改变/bin/rpm默认的访问权限，用下面的这个命令

Chmod700/bin/rpm

登录SHELL

/etc/profileHISTFILESIZE和Histsize决定系统中所有用户的历史命令记录

/etc/grub.conf引导启动

加入password=单用户也需输入口令

使Control-Alt-Delete键清掉

Vi/etc/inittab

#ca:

:

ctrlaltdel:

/sbin/shutdown–t3–rnow加上#号

创建所有重要的日志文件的硬拷贝

/etc/syslog.log

改变/etc/rc.d/init.d/目录下的脚本文件的访问许可

Chmod–R700/etc/rc.d/init.d/

系统安全软件

LINUXSXID

SSH

TRIPWIRE

LINUXGNUPG

第十章

网络安全攻击技术一

扫描SCAN

大型网络级扫描工具

ISS产品的扫描，测试

大型主机级扫描工具

NETIQ安全分析器

黑客专用风险评估利器

ShadowSecrurityScanner5.35

端口扫描系统

Linux下的Nmap端口扫描系统和操作系统识别

安全扫描

对计算机系统或者其他网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。

在没有扫描工具的情况下，使用TelnetIP端口号，查看

Nbtstat–aIP查看主机名

FTP

Bin

Bash1024以二进制方式传送

Put上传get下载

两种策略

第一种被动式策略

基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检测

第二种主动式策略

基于网络之上，通过执行脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞

利用被动扫描称为系统安全扫描

利用主动扫描称为网络安全扫描

检测技术

基于应用

基于主机

基于目标漏洞

基于网络

用户选择安全扫描产品应该注意：

----升级问题

----可扩充性

----全面解决方案

----人员培训

扫描工具：

SuperScan、LanHelper、x-scan、小榕软件流光、SSS

Linux下端口扫描系统

Nmap扫描

审计的实施流程

Audit

网络监听技术

使用sniffitLINUX下的监听程序

监听

捕获网络中传输的数据信息就称为监听

信息在网络上传输形式

帧和比特流

第11章

拒绝服务攻击

IP包分片，开始头包会少20个字节是1480

往后包都是1500

LINUXLs–w`100000/dir

有几下几种

Synfloodattack

Smurfattack

Pingofdeath

Icmpflood

IIS溢出工具SnakeIIS

防止SYNFLOOD攻击

HKLM\SYSTEM\CRUUENT\SERIVES\TCPIP\PARMETERS

增加DwordSynAttackProtect1

Smurf攻击：

结合IP欺骗借刀杀人

分布式攻击含义：

控制网络上的其他主机一起来攻击同一台主机

物理安全

1，对于重点保护的计算机，不安装软驱和光驱，需要时临时安装

2，设置BIOS密码，启动仅仅允许从硬盘

3，有条件，给主机加锁就加锁

Linux，修改LILOlilo.conf

加入：

timeout=0

暴力攻击

攻击UNIX密码

先单一模式，没有就使用一个默认字典

1，显示检测之后的结果

John-showshadow

2，过滤显示结果

John-show-users：

uidshadow

John-show-groups：

gidshadow

3，可以恢复一个被用户中断的检测

John-restore：

file

4，内存占用

John-savemen：

1

（2）（3）

5，可以同时检测多个shadow文件

Johnshadow1，shadow2……..

第12章

病毒

定义：

指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码

传统病毒定义：

一个小程序，4K到10LK

将自己的病毒码依附在其他宿主程序上

若干个线程组成进程，若干进程组成一个程序

计算机病毒的触发

时间、日期作触发条件

计数器触发条件

键盘触发，文件触发

计算机病毒特性

程序性，可执行

传染性

潜伏性

可触发性

攻击主动性

针对性

非授权性

隐蔽性

病毒征兆

键盘、打印、显示有异常现象

运行速冻突然减慢

计算机系统出现异常死机和死机频繁

文件长度内容、属性、日期无故改变

丢失文件、丢失数据

系统引导过程变慢

存储系统的存储容量异常减少或有不明常驻程序

系统不认识磁盘或是硬盘不能开机

整个目录变成一堆乱码

硬盘的指示灯无缘无故亮了

计