网络安全方案.docx
《网络安全方案.docx》由会员分享,可在线阅读,更多相关《网络安全方案.docx(34页珍藏版)》请在冰豆网上搜索。
网络安全方案
第一章
黑客攻击:
1、踩点
2、扫描漏洞
3、得到计算机的最高权限
或提升为最高权限
4、产生新的端口(这个端口不容易被发现)
5、打扫日志
服务器机房禁忌:
(物理)
1、使用服务器玩游戏
2、在机房里喝饮料等液体
3、机房门锁安全
安全证书
CIW:
国际权威安全证书()
470:
Network/Forework
OS操作系统windowsunixlinux
Audit(ids)审计入侵检测系统
CISSP:
密码学知识
网络安全入门
1、网络安全定义:
a)本质上讲:
保护——网络系统硬件,软件,数据
防止——系统和数据遭受破坏,更改,泄露
保证——系统连续可靠正常地运行,服务不中断
b)广义上讲:
领域——涉及网络信息的保密性,完整性,可用性,真实性,可控性的相关技术和理论
c)两个方面:
技术方面——防止外部用户的非法入侵
管理方面——内部员工的教育和管理
黑客分类hacker
One:
破坏者cracker
Two:
红客
Three:
间谍
安全的基本要素
制定安全策略
进行用户验证
加密,访问控制
审核,管理
网路安全标准
英国:
7799-ITSES网络安全评估标准
美国:
TCSES
Iso15408
Ccv2.0
小结
安全的定义:
本质和广义两个方面
黑客分析:
黑客定义,黑客分类,黑客的行为统计,黑客行为趋势
风险:
黑客团体化,工具开放化,网络方便化,物理危险化,管理低下化
第二章
2.1网络协议,服务和安全
OSI:
应用层,表示层,会话层,传输层,网络层,数据链路层,物理层
“ping->TTL:
128“属于网络层(windows默认128,unix默认255)
物理层:
硬件,线缆
组成:
传输在线缆上的电子信号
威胁:
搭线窃听和监听
保护措施:
加密,加数据标签,流量填充等
设备:
HUB、水晶头、线缆
数据链路层:
MAC地址
网路层:
ip
功能:
寻址和路由
协议:
IP,ICMP,IGMP(组播),ARP,RARP
网际协议:
——32位,唯一性,标志主机
——IP头:
20位包含信息和控制字段
——威胁:
IP欺骗攻击
INTERNET信息控制协议
——IP层检查错误使用
——威胁:
FLOOD,WINNUKE
保护措施:
防火墙过滤,打系统补丁
传输层:
TCPUDP
功能:
控制主机之间传输的数据流
协议:
TCP,UDP
TCP包头标记:
SYN,FIN,ACK
——建立一个TCP连接的过程
——终止一个TCP连接的过程
——TCP威胁:
SYNFLOOD
UDP:
面向非连接的协议
端口号非类:
常用端口<1024
常用端口:
21,22,23,80,139
应用层:
SMTP,FTP,TELNET,HTTP,SNMP
SMTP:
威胁:
邮件炸弹,病毒,匿名邮件,木马
保护措施:
认证,附件病毒扫描,用户安全意识教育
FTP:
威胁:
明文传输,黑客恶意传输非法使用等
保护措施:
只允许匿名登录,单独的服务器分区,禁止执行程序
域名解析系统:
威胁:
DNS欺骗、中毒,区域文件的被盗
保护措施:
防火墙过滤所有区域文件
允许特定主机进行文件传送
TCP概述
RFC793
IP报头TCP报头段
UDP用户数据包协议
UDPTCP
无连接面向连接
不可靠可靠
快速、低开销慢,高开销
点对点,点对多点点对点
FTP
Anonymous匿名
Binary以2进制传输
Bash1024
Get文件名下载文件名
Pwd查看当前目录
Put文件名上传文件名
TELNET
telnet192.168.0.2062525是SMTP
Mailfrom:
user4@
Rcpttouser1@
Subject:
007
Hello
Hi
Nihao
.发送
telnet
setlocalecho打开本地回显
open192.168.0.206110110是pop
useruser1
pass1234567
list
….
…..
Retr1查看第一封信
第三章
SNMP:
简单网络管理协议
端口:
UDP161/162
最大威胁:
传输明文,访问验证只需要交流名称
解决:
使用防火墙过滤UDP161
推荐——Mrtg:
流量控制软件
查看每个协议的端口号c:
\windows\system32\drivers\etc\service
概述:
简单网络管理协议是使用TCP/IP协议组对互联网上的设备进行管理的一个框架,提供一组基本的操作来监视和维护互联网
SNMP构件
管理信息结构
管理信息库
SNMP
三方共同协作完成
管理信息结构
为对象命名
定义数据类型
给出数据编码类型
管理信息库
MIB是网络管理中第二个构件,每一个代理有它自己的MIB,这是管理器能够管理所有对象的集合
SNMP功能
管理器读取代理定义的一个对象的值
管理器将一个值存储在代理定义一个对象
代理将关于一场情况的错误报文发给代理器
配置远程设备
监视网络性能
检测网络故障或不适当的访问
审核网络使用
NETBIOS:
网络基本输入输出系统
使用端口137,138,139
最大的安全威胁:
功能:
能够把程序和任何类型的硬件属性分开,方便开发人员使用程序接口
名称:
包含16个字节,每个名称的前15个字节是用户指定的
NBTSTAT使用
Nbtstat–a192.168.0.123查看Netbios名称
关闭默认共享
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMAN..VER\PARAMETERS
添加:
AutoShareServerREG_DWORD0
Netsharec$/del
Netsharec$=c:
/yes
SSH:
SecureShell安全的shell
因为传统FTP,TELNET,POP等协议在本质上的不安全,明文
SSH工作原理和验证过程
1,基于口令的安全验证
2,基于密钥的安全验证
安装:
Windows默认是安装的
Linux下需要安装RPM包,在/etc/ssh下
第4章
Nslookup
Server202.106.0.20
Settype*all
S
网络层:
IP协议也称网际协议
负责网络寻址和发送IP数据包。
提供性能很好的无连接传输系统,不保证数据包能否到达目的地或按照顺序到达目的地。
Message:
ip信使服务
Netsend\\192.168.0.1371234567
Ip头部20个字节
ICMP:
网间报文控制协议
危害:
ICMP攻击导致拒绝服务(DOS)
基于重定向(redirect)的路由欺骗技术
关闭ICMP:
远程和路由访问——IP路由选项——常规——本地连接——属性——入栈筛选器——新建——添加IP筛选器(ICMP类型8ICMP代码0[8和0是sniffer捕捉到的ping入栈信息IP包信息])
第二种方法是在防火墙禁止ICMP协议
ARPARP–amacaddress手工配置一个mac地址
1、A机检查ARP缓存
2、A机发送ARP请求
3、B机添加ARP项目
4、B机发送ARP答复
5、A机添加ARP项目
注:
finger返回主机上的用户信息
第5章
加密技术
对称加密:
用123456加密,再用123456解密
非对称加密:
用123456加密,用654321解密
HASH加密:
用128位HASH函数算出一个值,对方也算出一个值
用来查看文件是否被篡改过
对称加密有:
DES加密IDEA加密RSA加密(n=p*q,p和q是质数)
非对称加密有:
RSADSADigitalSignatureAlgorithmDiffie-Hellman
HASH加密:
把一些不同长度的信息转化成没有规律的128位编码
签名:
数字签名
HASH算法:
MD2,MD4,MD5,SHA
“PGP”加密算法
SSL:
安全套接字,端口号443
应用加密执行过程
通常的加密方式:
综合对称,非对称,HASH三种加密
邮件加密:
PGP,S-MIME
文件加密:
MD5SUM
Web服务器加密:
SHTTP,SSL
虚拟私有网络VPN:
PPTP,IPSEC
IPSEC
AH
ESP
SA
IKE
PKI:
公钥体系结构
PKI的标准时建立在X.509之上的
Certificateauthority(CA)
CA证书
第六章
PGP案例
第七章
WIN2003的安全配置和管理
安全原则:
最少的服务+最小的权限=最大的安全
TerminalService软件安装,最好装一个PcAnyWhere软件
正确安装Win2003
C区6-10G只装操作系统
D区20G程序
E区10G工作
F区不了解的程序
安装顺序1,安装时不接入网络2,补丁的安装
配置
端口:
netstat–an查看端口
IIS:
账号:
(密码复杂度设置)
安全日志:
目录和文件权限:
(共享文件权限)
DOS攻击:
IP策略,或者TCP/IP筛选
注册表的安全问题
本地安全设置:
审核策略
HKLM:
包括关于本地计算机系统信息,包括硬件和操作系统数据,如总线类型、系统内存、设备驱动程序和启动控制数据
HKCR:
包含由各种OLE技术使用的信息和文件类别关联数据(等价于MS-DOS下的windows中的注册表)。
如果HKLM\software\Classes或HKCU\SOFTWARE\CLASSES中存在的某个键值,则对应的键值或值将出现在HKCR中。
如果两处均存在项或值,HKCU版本将是出现在HKCR中的一个
HKCU包含当前以交互方式(与远程方式相反)登录的用户的用户配置文件,包括环境变量、桌面设置、网络连接、打印机和程序首选项。
该子目录树是HKU子目录树的别名并指向HKU\当前用户的安全ID。
HKU包含关于动态加载的用户配置文件和默认的配置文件的信息。
这包含同时出现在HKCU中的信息。
要远程访问服务器的用户在服务器上的该项下没有配置文件;他们的配置文件将加载到他们自己计算机的注册表中。
HKCC包含在启动时由本地计算机系统使用的硬件配置文件的相关信息。
该信息用于配置一些设置,如果加载的设备驱动程序和现实时要使用的分辨率。
该子目录树是HKLM子目录树的一部分并指向HKLM\SYSTEM\CURRENTCONTROLSET\HARDWAREPROFILES\CURRENT.
注册表配置单元和文件
HKLM\SAMsam和sam.Log
HKLM\SECURITY安全和Security.LOG
HKLM\SOFTWARE软件和software.log
HKLM\SYSTEM系统和system.log
HKCC系统和system.log
HKCUNtuser.dat和Ntuser.dat.log
HKU\.DEFAULT默认和Default.log
第八章
LINUX安全知识
SUID:
安全用户ID
SGID:
安全组ID
系统结构
Bin:
二进制的课执行文件目录
Dev:
用特殊设备驱动文件
Etc:
系统执行文件,配置文件,管理文件:
Home:
用户起始目录
Lib引导系统以及在root文件系统中运行命令所需的共享库文件
Lost+found用与特定文件系统断开连接的丢失文件
Mnt:
临时安装的文件系统
Proc:
伪文件系统,来作为到内核数据机构或正在运行的进程的接口
Sbin:
被root使用的可执行文件以及那些只需要引导或安装usr的文件保留
Tmp:
临时文件
Usr:
为用户和系统命令使用的可执行文件,头文件,共享库,帮助文件本地程序(/usr/local)\
Var:
电子邮件\打印\cron等文件,统计文件,日志文件
文件系统类型
Ext2----固定和可移动磁盘都能用的一种高性能文件系统
Msdos---由MS-DOS和windows使用.文件名不能超过8个字符,后面跟一个可选的点号和3个字符的扩展名
Iso9660---光驱
Nfs---访问远程计算机磁盘的网络文件系统
Swap---用作交换的一个磁盘分区
密码文件
Root:
x:
0:
0:
root:
/root:
/bin/bash
用户:
密码:
SUID:
SGID:
描述:
所在目录:
使用的shell
Shadow:
Root:
$asdfasasdfa:
11830(天):
999999:
0:
:
RPM
安装–ivh升级-Uvh
文件权限
-rwxr-x---
-代表文件类型d代表目录
Tar命令
Tarcvfzbackup.tar.gz/etc/压缩文件到/etc/
Tarcvfz555.tar.gz555.txt
Tarxvfz555.tar.gz解压缩
系统安全概要
BIOS安全
/etc/login.defs:
更改密码长度
/etc/exports:
共享文件
/etc/hosts.llow
/etc/hosts.eny
PING
Echo1>/proc/sys/net/ipv4/icmp_echo_ignore_allping
Echo0>/proc/sys/net/ipv4/icmp_echo_ignore_allping
~~~~~~~~~~显示系统信息
安装TELNET才有这样的必要
telnetstreamtcp……-h
/etc/host.conf文件
Order:
指明选择服务的顺序
Multi:
决定能不能有多个IP地址
Nospoof:
指明不允许IP伪装
路由协议
禁止IP源路径路由
Forfin/proc/sys/net/ipv4/conf/*/acc
TCPSYNCookie保护生效
Echo1>/proc/sys/net/ipv4/tcp_syncookies把这个命令加入到”/etc/rc.d/rc.local”文件中,这样下次启动时就不用重新输入一遍,如果安装了IPTABLES就没有必要用这个命令
/etc/securetty文件
允许与内需规定ROOT用户可以从那个TTY设备登录TTY虚拟终端
特殊的账号
删除系统自带的一些账号
Userdeladm
删除系统自带的一些不必要的组
Groupdeladm
在系统中添加必要的用户
Useraddadmin
Passwdadmin
不允许改变可以用来保护文件使其不被意外的删除或重写
Chattr+i/etc/passwd\
Chattr+i/etc/shadow
Chattr+i/etc/group
Chattr+i/etc/gshadow
防止任何人都可以用su命令
编辑/etc/pam.d/su在文件头部下面两行,
Authsufficient/lib/security/pam_rootok.sobug
Authrequired/lib/security/pam_wheel.sogroup.wheel
Usermod10admin
资源限制
/etc/security/limits.conf:
限制用户对系统资源的使用
Bardcore0
Bardrss5000
Bardnproc20
Core0表示禁止创建core文件
Nproc20表示最多进程数限制为20
Rss5000表示其他用户都最多只能用5M的内存
编辑/etc/pam.d/login文件,在文件末尾加入下面这一行
Sessionrequired/lib/security/pam_limits.so
更好的控制MOUNT上的文件系统
编辑fstab文件/etc/fstab
把RPM程序转移到一个安全的地方,并改变默认的访问许可
把RPM程序移到软盘上,用下面的命令
Mount/dev/fd0/mnt/floppy/
Mv/bin/rpm/mnt/floppy/
Umount/mnt/floppy
千万不要把RPM程序从系统中卸载掉,否则以后不能重新安装
把rpm命令的访问许可从默认的755改成700,这样非root用户就不能使用rpm命令了,特别是考虑到万一在安装完新软件之后忘了把rpm程序移到一个安全的地方,这样做就更有必要了
改变/bin/rpm默认的访问权限,用下面的这个命令
Chmod700/bin/rpm
登录SHELL
/etc/profileHISTFILESIZE和Histsize决定系统中所有用户的历史命令记录
/etc/grub.conf引导启动
加入password=单用户也需输入口令
使Control-Alt-Delete键清掉
Vi/etc/inittab
#ca:
:
ctrlaltdel:
/sbin/shutdown–t3–rnow加上#号
创建所有重要的日志文件的硬拷贝
/etc/syslog.log
改变/etc/rc.d/init.d/目录下的脚本文件的访问许可
Chmod–R700/etc/rc.d/init.d/
系统安全软件
LINUXSXID
SSH
TRIPWIRE
LINUXGNUPG
第十章
网络安全攻击技术一
扫描SCAN
大型网络级扫描工具
ISS产品的扫描,测试
大型主机级扫描工具
NETIQ安全分析器
黑客专用风险评估利器
ShadowSecrurityScanner5.35
端口扫描系统
Linux下的Nmap端口扫描系统和操作系统识别
安全扫描
对计算机系统或者其他网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。
在没有扫描工具的情况下,使用TelnetIP端口号,查看
Nbtstat–aIP查看主机名
FTP
Bin
Bash1024以二进制方式传送
Put上传get下载
两种策略
第一种被动式策略
基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检测
第二种主动式策略
基于网络之上,通过执行脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞
利用被动扫描称为系统安全扫描
利用主动扫描称为网络安全扫描
检测技术
基于应用
基于主机
基于目标漏洞
基于网络
用户选择安全扫描产品应该注意:
----升级问题
----可扩充性
----全面解决方案
----人员培训
扫描工具:
SuperScan、LanHelper、x-scan、小榕软件流光、SSS
Linux下端口扫描系统
Nmap扫描
审计的实施流程
Audit
网络监听技术
使用sniffitLINUX下的监听程序
监听
捕获网络中传输的数据信息就称为监听
信息在网络上传输形式
帧和比特流
第11章
拒绝服务攻击
IP包分片,开始头包会少20个字节是1480
往后包都是1500
LINUXLs–w`100000/dir
有几下几种
Synfloodattack
Smurfattack
Pingofdeath
Icmpflood
IIS溢出工具SnakeIIS
防止SYNFLOOD攻击
HKLM\SYSTEM\CRUUENT\SERIVES\TCPIP\PARMETERS
增加DwordSynAttackProtect1
Smurf攻击:
结合IP欺骗借刀杀人
分布式攻击含义:
控制网络上的其他主机一起来攻击同一台主机
物理安全
1,对于重点保护的计算机,不安装软驱和光驱,需要时临时安装
2,设置BIOS密码,启动仅仅允许从硬盘
3,有条件,给主机加锁就加锁
Linux,修改LILOlilo.conf
加入:
timeout=0
暴力攻击
攻击UNIX密码
先单一模式,没有就使用一个默认字典
1,显示检测之后的结果
John-showshadow
2,过滤显示结果
John-show-users:
uidshadow
John-show-groups:
gidshadow
3,可以恢复一个被用户中断的检测
John-restore:
file
4,内存占用
John-savemen:
1
(2)(3)
5,可以同时检测多个shadow文件
Johnshadow1,shadow2……..
第12章
病毒
定义:
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码
传统病毒定义:
一个小程序,4K到10LK
将自己的病毒码依附在其他宿主程序上
若干个线程组成进程,若干进程组成一个程序
计算机病毒的触发
时间、日期作触发条件
计数器触发条件
键盘触发,文件触发
计算机病毒特性
程序性,可执行
传染性
潜伏性
可触发性
攻击主动性
针对性
非授权性
隐蔽性
病毒征兆
键盘、打印、显示有异常现象
运行速冻突然减慢
计算机系统出现异常死机和死机频繁
文件长度内容、属性、日期无故改变
丢失文件、丢失数据
系统引导过程变慢
存储系统的存储容量异常减少或有不明常驻程序
系统不认识磁盘或是硬盘不能开机
整个目录变成一堆乱码
硬盘的指示灯无缘无故亮了
计