《网络安全技术讲解.ppt》由会员分享,可在线阅读,更多相关《网络安全技术讲解.ppt(37页珍藏版)》请在三一文库上搜索。
1、网络安全技术讲解,2008年4月,中国电信东莞分公司商务领航企智通运营中心,技术部经理:李思文,网络安全简述 网络安全整体框架、体系 安全规划、服务、管理 防火墙 入侵检测 身份认证、访问控制、审计系统 漏洞扫描 防病毒系统,课 程,面临的安全威胁,以经济利益为动机的控制系统、窃取、篡改信息等犯罪活动 以破坏系统为目标的系统犯罪 以政治目的为动机的破坏系统等 信息犯罪活动 其他信息违法犯罪行为,内部系统网络,internet,网络入侵,黑客入侵工具,控制系统 窃取资料 修改资料 ,内部系统网络,TCP SYN : 80 SIP: 10.X.X.X or Null DIP: 211.1.1.2,
2、黑 客 攻 击,internet,内部系统网络,侦听、窃取资料,Snifer工具,用户名、密码 传输的资料 服务器信息 操作系统信息 ,internet,内部系统网络,木马 蠕虫 Jokes 黑客工具,病 毒,感染操作系统 感染数据 堵塞网络 ,internet,被动式攻击 那些不改变正常通讯连接的数据流,而且不将数据加入到连接中 那些进入工作环境中等待捕获在网络上传输的有价值的信息活动 主动式攻击 打断正常的数据流,插入数据或修改数据流(欺骗) 攻击者寻找系统的漏洞,发动侵略性攻击 在发动主动式攻击前,首先要进行被动式攻击,攻击类型,病毒、蠕虫、炸弹和特洛伊木马 陷门【 Trap doors
3、】 隐通道【Covert Channels】 拒绝服务【Denial of service】 侦听【Sniffing】 欺骗【Spoofing】 口令攻击【Password attack】 寻找软件存在的漏洞和弱点 寻找系统配置的漏洞 路由攻击【Routing Attacks】 中继攻击【Replay Attacks】 会话窃取攻击【Session Stealing Attacks】,目前已知的手段,陷门和隐通道 陷门【 Trap doors 】 由软件设计者或程序员人为设置的漏洞,用来作为进入系统的后门 能够通过较好的软件检测过程来避免 隐通道【 Covert Channels 】 是一种交
4、互式处理通讯的方法,能够向没有正确安全权限的外人泄漏信息 很难防范,需要利用可信的人员处理或加工敏感信息,陷门和隐通道,广泛流行 不需要太多的技术 青少年占很大的比例 利用菜单驱动的程序很容易实现,而且能够跨平台 很难跟踪 经常需要很多ISP的协助,但是很难合作的很好 利用无用的或有害的数据包充斥网络、消耗系统缓冲或网络带宽,从而击溃系统 land.c攻击:利用目标主机的地址同时作为源地址和目的地址;利用目标主机的同一端口同时作为源端口和目的端口发出 tcp SYN(同步状态)数据包 ping 死亡攻击:通过从远程主机上发出特定大小(65535字节)的 ping 包来冲击、重启动或者down掉
5、大量的系统。大于65535字节的 ip 包是不合法的,拒绝服务攻击,Tcp SYN 泛滥和 IP 欺骗攻击 利用伪造的、根本不存在的源地址发出Tcp_SYN包 受害者试图发一个Tcp_SYN_ACK包,但找不到源地址,只好把它排队 信息排队时间 75秒 填满了SYN队列 受害者无法通信或系统崩溃 Smurf 攻击(Broadcast Ping Attack) 发出“Broadcast_ Ping_request ” ,看起来是来自“受害者”,将它发给“无辜的第三方” “无辜的第三方”的网络上的主机都向“受害者”回发“broadcast_ping_reply”包 “受害者”被大量的 ping 包
6、攻击 对事件的跟踪却集中到“无辜的第三方”身上,拒绝服务攻击,难于跟踪 源地址一般都被隐藏或伪装 需要实时跟踪,经过一个又一个的路由器去寻找 高的数据包比率 有时受害者却不能用Internet去控诉或跟踪攻击 用户组的帐号或被丢弃的帐号被利用 学校的实验室、拨号用户、私有系统,拒绝服务攻击,入侵者通过Internet攻破数以千计的系统,包括大型网络间的网关。通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令 电子邮件同样也象Telnet和Ftp会话一样,可以被监视,用来获取有关站点和其相关商业交易情况的信息,侦听【Sniffing】,欺骗是用来骗取目标系统,使之认
7、为信息是来自或发向其所相信的人的过程 欺骗可在IP层及之上发生(地址解析欺骗、IP源地址欺骗、电子邮件欺骗等) 当一台主机的IP地址假定为有效,并为Tcp和Udp服务所相信 利用IP地址的源路由,一个攻击者的主机可以被伪装成一个被信任的主机或客户,欺骗【Spoofing】,通常的做法是通过监视通信信道上的口令数据包,破解口令的加密形式 UNIX操作系统通常将口令加密保存成为一个能够被普通用户读取的文件。一个入侵者可以运行现有的口令破解程序获取口令。如果口令强度比较弱,如少于8个字符的英文单词等,就可以被破解,并用来获得对系统的访问权 UNIX操作系统中的 r* 命令,在信任的系统中是不需要口令
8、的,口令攻击,向路由系统中插入错误的路由信息 重定向流量到一个黑洞中(blackhole) 重定向流量到慢速连接 重定向流量到不同的地方进行侦听或修改 需要可靠的认证,仅从已知的路由器接收路由的更新 中继攻击保存一份原始信息的拷贝,一段时间后再转发 保存一份商业交易,而后转发 攻击者可以中继一个网络使之停止更新,并对该网段实施拒绝服务攻击 所有的交易需要携带一个序列ID或加盖时间戳,路由和中继攻击,在找到一个没有用到的网络接口或者攻破网络上的一台主机后,入侵者可以 主动地侦听该网段上的数据流,试图找到被主机认证的感兴趣的会话 发出大量的、无用的数据包去击溃原始系统 入侵者利用已崩溃系统的地址向
9、其它主机发送数据包 需要通过加密来防止数据包侦听或会话窃听 保证物理端口的安全,防止不被使用的接口被非法使用,会话窃取攻击,攻击者的策略 识别脆弱的系统 获得对系统的访问 获得特殊访问权限 扩展访问至其它的系统或网络 简单攻击 识别目标 端口或薄弱点扫描 识别安全漏洞 利用已识别的安全漏洞,攻击策略,复杂攻击 识别目标 收集信息 操作系统的类型和版本 系统 / 网络管理员的意见 所用防火墙类型 / 安全措施 研究薄弱点 开发攻击策略 进行攻击调试 站在受害者的角度,看攻击效果(背后不留痕迹) 确定是否值得冒险扫描 应用社会工程 获得范围内的支持帮助,攻击策略,Incidents Reporte
10、d to CERT/CC,网络安全整体框架、体系,三维安全体系结构框架,安全特性,网络层次,系统单元,身份鉴别,访问控制,数据完整,数据保密,防止否认,跟踪审计,可靠可用,信息处理,网络,安全管理,物理环境,物理层,链路层,网络层,传输层,会话层,表示层,应用层,安全特性,网络层次,系统单元,安全防御子系统,网络防火墙: 网络层、传输层 网络平台、系统平台 访问控制,身份认证子系统,Kerberos 或 X.509: 传输层 应用层 系统平台 安全管理 身份鉴别,桌面VPN子系统,端到端加密通道: 网络层 会话层 系统平台、应用平台 数据完整、数据加密,授权管理子系统,用户和对象的授权策略:
11、应用层 应用平台、安全管理 访问控制,密钥管理子系统,密钥生成、存储和发放: 传输层 应用层 系统平台 安全管理 身份鉴别,安全检测子系统,安全扫描、攻击报警 网络层、传输层 网络平台 应用平台 跟踪设计、可靠可用,病毒防御子系统,过滤、删除病毒: 传输层 应用层 系统平台、应用平台 数据完整、可靠可用,机要保密子系统,机要信息加密处理: 表示层、应用层 系统平台、应用平台 数据保密,安全数据库子系统,集成数据库安全机制: 应用层 系统平台、应用平台 身份鉴别 可靠可用,安全审计子系统,安全日志存储、分析: 网络层 应用层 安全管理 防止否认、跟踪审计,网络安全子系统,网络安全设计注意点,网络
12、环境,网络拓扑结构(LAN、MAN、WAN) 系统和网络设备 位置 软件和硬件的版本 负责部门 供货商 定义可能的威胁 应用程序 供货商 负责部门 版本 由谁来使用 怎样来用,用户数量 用户类型 内部用户 合作伙伴 竞争对手 到底做什么 如何连接的 什么样的数据流 信息是如何流动的 定义信息流的安全级别 定义可能存在的威胁,网络安全设计注意点,了解安全的关注点 方案整体性 提出安全可能存在的问题,网 络 安 全 模 型,防病毒 漏洞扫描 身份认证 授权 应用层加密 访问控制 ,防火墙 入侵检测 VPN 物理隔离 ,安全规划、服务、管理,安全服务的内容,安全系统规划,全面、细致地分析网络的安全需
13、求 利用科学的方法论和安全漏洞扫描、分析工具,分析企业信息网络的网络、应用、管理的现状和安全风险 提出针对网络的全面的、科学的安全体系规划和完整、可行的整体安全解决方案,安全服务,安全服务与安全技术的区别 谁可以提供安全服务,安全服务的内容,安全咨询,最新发现的各种安全风险,如系统漏洞、攻击手段、新的病毒 安全技术的最新发展,新的安全技术,新的攻击防御和检测手段 安全技术的发展趋势 企业信息网络安全系统建设的方法和步骤,安全服务的内容,其它的内容,安全策略制定:根据企业的安全需求,制定统一的安全策略。对企业信息网络而言,需要采取什么样的安全措施,在什么时候、什么地方使用什么样的安全技术,都需要
14、由一个统一的安全策略作为指导。在企业信息网络的不同平台、不同部分,都需要在一个统一的安全策略指导下,采取相应的安全措施。 安全系统集成:根据安全系统规划和统一的安全策略,根据企业信息网络的特点,把不同安全厂商的不同安全技术和产品进行集成。 安全培训:包括对用户的安全意识、安全技术的培训,对系统管理员的安全技术培训、安全专业知识的培训等。 应急安全服务:在紧急情况下的各种安全服务,包括特殊情况下的安全防护、发生安全事故时的现场保护、追踪、以及采取各种必要的安全补救措施等。,内部系统的安全服务,网络安全实施前,了解内部系统的网络结构、安全需求 对网络进行安全扫描、安全分析,确定网络中存在的问题 提出符合内部系统的网络安全解决方案 论证方案的可行性,进一步完善方案,内部系统的安全服务,定义安全要求,ISO/IEC 15408 GB/T18336,保护轮廓,访问控制 身份认证 授权 审计 密码系统, 操作系统 数据库系统 防火墙 应用 安全检测 应急措施 VPNs,用户在某一特定的IT 领域提出的技术安全要求,以灵活实用的方法对标准的 信息技术安全要求进行分类 (特征和保证),内部系统的安全服务,网络安全实施后,对系统进行全面检查 全面的安全培训 制定应急安全服务措施 定期进行安全交流 定期进行网络检查 及时提供安全补丁,应用案例,谢 谢!,技术支持:S,