02网络安全威胁对教育行业的影响及应对方案-V1.2-20140429教程讲解.ppt

* * * * * * * * * * * * * * * * * * 建立全网应急相应中心 全网部署 结合三级等保整改建设 将重要数据和信息中心统一进行防护 分散部署到个重要系统网络出入口 建设全网统一的入侵检测和应急响应中心 安全技术手段不统一，安全技术标准不统一，安全管理不统一，安全策略不统一 安全技术手段统一，安全技术标准统一，安全管理统一，安全策略统一 不涉及网络架构变动，原有设备继续使用，工作量小，进度快，省投资，统一提升至最新安全防护水平 下一代安全防御技术总结 网络安全防御 应用安全防御 主机安全防御 建立等级保护 建立全网应急响应中心 3 2 1 网络信息安全现状 下一代信息安全防御 高级逃避测试方法 介绍 本测试方案是针对现有网络中的安全设备（包括防火墙、IDS/IPS），通过高级逃避（AET, Advanced Evasion Technology）的手段来检测、审计现有网络安全设备防御功能的一个系统。 该系统包括高级逃避模拟攻击机和高级逃避模拟目标机两部分。待检测的网络安全设备串联在模拟攻击和目标机之间，模拟攻击机通过高级逃避的手段来避开待测网络安全设备的检查，达到控制模拟目的机。 在此过程中，通过查看网络安全设备的反应（警告、拦截等），来检测审计该网络安全设备对高级逃避攻击手段的防御能力。 环境拓扑 TES 交换机 IPS 目标 默认管理IP: 登陆方式: :8000 部署透明模式加载安全策略 XPIP(udp445): 00 UbuntuIP(http80): 01 按拓扑部署网络环境： 模拟高级逃避测试步骤1 登陆::8000 阶段1：内容包括： 选择漏洞： CVE-2008-4250: MSRPC Server Service Vulnerability使用Windows服务器服务漏洞，Conficker蠕虫利用了该漏洞. CVE-2004-1315: HTTP phpBB highlight使用viewtopic.php中的任意PHP代码注入漏洞，highlight参数不正确的验证造成该漏洞. 带有该漏洞的服务器包含在CNGate-TES Linux映像中. 攻击效果： CVE-2008-4250包括: 1.绑定 shell 2.无特征绑定 shell 3.在对方电脑打开计算器 4.触发电脑蓝屏 CVE-2004-1315包括: 1.绑定 shell 2.获得 /etc/passwd 模拟高级逃避测试步骤2 选择阶段2配置测试环境 阶段2：内容包括： 网络类型： 三层: 通过路由方式测试目标主机，此方式需要添加网关地址. 二层: 透明部署，此方式工具与目标机在同一网段，无需添加网关.组合层次： 组合层次分为2.3.4种组合方式. 接口： 选择ETH0. 渗透发起地址范围: 建议选择IP范围. 网关IP: 当网络类型选择三层时,需要添加. 目标系统IP: 目标主机地址. 模拟高级逃避测试步骤3 选择阶段3开始测试 阶段3：内容包括： 自动测试： 系统会自动组合逃避方式.手动测试： 可以手动添加逃避方式. 入侵次数： 本次测试成功次数. 持续时间: 本次测试时间. 下载报告: 可以下载自动生成此次测试报告. 开始测试: 进行高级逃避测试. * * * * * * * * * * * * * * * * * * * * * * “高级逃避技术”已经引起国内安全专家和厂商的重视 国内安全厂商纷纷投入力量进行研发，目前对“普通逃避技术”已经取得了较好的防御效果 国内部分安全产品已经能够防御部分或大部分的“高级逃避技术”的入侵，但是仍存在较大的技术差距 进一步加强对 “高级逃避技术”最新威胁的研究，成为国内安全行业的首要课题 国内针对高级逃避技术的研究近况 网络信息安全总结 网络架构风险 应用安全风险 主机安全风险 3 2 1 网络信息安全现状 下一代安全防御 高级逃避测试方法 Firewall 传统安全防御 IDS UTM 新一代的防御对策 防火墙 入侵防御 应用防御 主机防护 入侵防御 Network layer(OSI 2-3) Application layer(OSI 4-7) 网络防御 应用防御 主机防御（服务器加固系统） 安全防御的划分 深度检测 病毒检测 应用控制 网络防御 Click to edit title style 下一代防御系统 应用感知及协议栈可视 在应用层鉴别应用、加强网络安全策略，从而独立于端口协议（而不是仅仅基于端口、协议和业务）； 上下文感知及内容感知 根据IPS之外的源地址提高拦截判决，或改善拦截规则； 检查和分类入站的可执行文件及其他类似的文件类型，比如PDF和微软office文件； 灵活的引擎 对于新的