7网站的安全答辩.ppt

本章应掌握的内容： （1）熟悉建设网站的基本安全技术 （2）了解DNS的安全中可能面临的威胁 （3）掌握DNS信息的动态更新的方法 复习题： 1、WEB站先面临的安全威胁有哪些？ 2、简述WEB欺骗攻击的原理和过程。 3、如何增强WEB服务器的安全性？ 4、常见的DNS安全问题有哪些？如何设置DNS来隐藏信息？ （2）模式B 在模式B中，域的隐蔽密钥和主文件都在线存放，当更新完成时，域密钥会重新计算更新内容的SIG，因为在网络中仅有惟一的主文件。 表7.2 模式A和模式B之间的差别比较 指 标 模式A 模式B 定义 域密钥离线存放 域密钥在线存放 服务器数据的安全性 轻 高 静态数据的安全性 很高 中到高 动态数据的安全性 中 中到高 密钥的限制 好 粗糙 动态数据存放 短暂的 永久的 动态更新密钥过期 做不到 可以 * * 第7章 网站的安全 7.1 口令安全 口令破解过程；安全口令设置 7.2 Web站点的安全 检测和排除安全漏洞；监控WEB站点信息流 7.3 DNS的安全 DNS的安全问题；增强DNS安全； 安全DNS信息的动态更新 7.1 口 令 安 全 7.1.1 口令破解过程 口 令 长 度 要猜测的口令数 所 需 时 间 1 36 36秒 2 1296 21分 3 46656 12.96小时 4 1679616 19.44天 5 1.9年 6 2176782236 69年 7 78364164096 2484年 8 2821109907456 89456年 1.口令破解方法 表7.1 口令长度对破解的影响 （1）穷举法 （2）利用漏洞：缓冲区溢出；Sendmail漏洞 ；Sun 的ftpd漏洞；rlogin漏洞等 （3）字典法破解 即将已有的电子文件作为用户的口令输入给远端的主机，进行尝试。 通常可以用以下的方法来获取用户口令： 缺省登录界面（用JAVA编写黑客程序）；网络监听；直接猜测；获取密码存放文件。 2. 口令破解过程 大多数口令以加密（替换法、变位法、DES、IDEA等）形式存储；输入潜在的口令并加密，与文件中的加密口令进行比较。 P210 Windows2000/NT的几个口令破解程序： 1）L0phtcrack; 2) Solar Designer的John the Ripper 7.1.2 安全口令的设置 1．保证足够的口令长度(至少8位) 2．保证口令的复杂性（下述是安全口令设置原则 ） （1）口令中尽量包含字母、数字和标点符号，还可以用控制字符来增强口令的复杂性； （2）口令的长度应至少有8个字符； （3）口令的字符不要太常见； （4）口令不要用自己的电话号码； （5）口令不要用自己或家里亲人的生日； （6）口令不要用身份证号码的一部分； （7）口令不要用单个英文单词； （8）口令不要用自己的名字+数字的形式； （9）口令不要用英文单词+数字的形式。 3．定期更改口令 4．避免使用重复的口令 减少口令危险的最有效的方法是根本不用常规口令。替代的办法就是在系统中安装新的软件或硬件，使用一次性口令。不幸的是，他们或者要求安装一些特定的程序，或者需要购买一些硬件，因此现在使用得并不普遍。 7.2 Web站点的安全 Web面临的威胁有多种 ，可大致分为以下四种: 1．信息泄露：站点的敏感信息；通信途中的敏感信息。 2．拒绝服务 3．系统崩溃：可能通过web篡改或者删除关键信息 4．跳板 被攻击者作为跳板来攻击其它主机，承受舆论甚至法律困扰。 7.2.1 构建Web站点的安全特性 Web站点的安全体系结构非常复杂，包括客户端浏览器软件、客户操作系统、客户所在的局域网和服务方的网络、服务软件、操作系统等。 1．制定Web站点的安全策略 （1）安全资源的定义和重要等级划分 （2）风险评估 （3）安全策略的基本原则和安全管理规定 （4）意外事件的处理措施 2．配置Web服务的安全特性 （1）用户与Web站点建立连接的过程 过程：客户请求服务器（域名）；域名服务器将请求转换为IP地址；服务器进行验证并提供服务。 从连接过程看，Web站点的以下几个漏洞: ① 一旦服务器伪造了域名，客户就可能永远得不到授权访问的信息。 ② 如果服务器被伪造了域名，服务器就可能向另一用户发送信息。 ③ 服务器可能将入侵者误认为合法用户，并允许入侵者访问。 加强服务器的安全，有以下一些措施。 ① 保证注册账户的时效性。 ② 可以将Web服务器当作无权的用户运行。 ③