第03章节 网络入侵与防范(n).ppt

计算机网络研究室 什么是黑客 在信息安全范畴内特指对电脑系统的非法侵入者 黑客宣言 通往电脑的路不止一条 所有信息都应该免费共享 打破电脑集权 在电脑上创造艺术和美 信息无疆界可言,任何人都可以在任何时间地点获取任何他认为有必要了解的任何信息 反对国家和政府部门对信息的垄断和封锁 典型的入侵过程 外部侦查 内部侦查 入侵 立足 利益 典型的入侵过程（一） 外部侦查 入侵者会尽可能地找出实际上并不直接给予他们的资讯。他们常通过公开资讯或伪装成正常的使用者。这种入侵方式难以察觉 常用方法：whois、nslookup、正常FTP、报刊新闻 SNMP协议 TraceRoute程序 Whois协议 DNS服务器 Finger协议 Ping实用程序 典型的入侵过程（二） 内部侦查 入侵者使用更具侵略性的技术来对资讯扫描，但不会破坏任何东西 常用手段：CGI漏洞、ping、rpcinfo、snmpwalk、端口扫描 典型的入侵过程（三） 入侵 入侵者开始对目标主机作可能的漏洞入侵 常用方法：通过CGI传递shell指令、缓冲区溢出、猜解用户帐号、程序已知漏洞 典型的入侵过程（四） 立足 入侵者已经入侵机器，成功地在网络中立足。入侵者主要的目的就是藏匿入侵证据并确认他可以再次侵入 常用手段： 建立帐户 安装远程控制器 发现信任关系全面攻击 获取特权 替换服务程序 典型的入侵过程（五） 利益 入侵者利用他们的优势偷取机密资料，滥用系统资源或破坏你的网页 安全守则 安装操作系统或应用程序时不要使用默认值 使用先进的用户帐号/密码设定与组合 关闭不必要的网络通讯端口 对出入的IP封包进行过滤 制定Logging记录的机制 及时修补程序的漏洞 安全守则（一） 安装操作系统或应用程序时不要使用默认值 几乎所有的操作系统或应用程序的厂商都会提供用户快速安装的功能，虽然方便了用户，但是在绝大多数用户不知情的情况下，系统却同时安装了许多不必要功能 这种采用默认值安装的操作系统或应用程序，往往是造成安全漏洞的祸首。主要原因是因为用户通常不会去注意那些从来不用的功能，而且有许许多多的用户，包含IT管理人员，根本就不知道自己在使用中的操作系统或应用程序上到底安装了哪些东西。一旦这些不明功能出现漏洞，而偏偏用户又一无所知，且未实时加以修补的话，往往会成为黑客入侵的最佳通道 安全守则（二） 帐号安全 制定系统用户帐号管理政策，详细规范增加用户帐号、删除过期帐号等 定时确认系统上是否出现未经授权的新帐号，并且适时删除不再使用的帐号，并予以记录 使用工具来检查用户的密码设定是否安全 安全守则（三） 关闭不必要的网络通讯端口 网络通讯端口是合法用户连接至主机端取得服务的通道，同样地，黑客也是利用同样的途径来入侵。所以主机上开放的通讯端口越多，被入侵的机会越多 减少系统上开放的通讯端口数目是网络安全最有效的防范措施之一，除了有必要对外提供服务的通讯端口之外，其它通讯端口应予以关闭 安全守则（四） 对进出入的IP封包进行过滤 防火墙或路由器过滤规则设定原则： 进入网络的封包之源地址不可以是内部网络的地址 进入网络的封包之目的地址必须是内部网络的地址 离开网络的封包之源地址必须是内部网络的地址 离开网络的封包之目的地址不可以是内部网络的地址 进入或是离开网络的封包的源或是目的地址不可以是虚拟IP地址或是RFC1918所列的保留IP地址。以上所提的IP地址包含10.x.x.x/8, 172.16.x.x/12, 192.168.x.x/16，以及本机/8 安全守则（五） 制定日志记录的机制 一旦对外开放网络服务而且允许网络联机进出网络，那遭到黑客入侵与渗透的机率将大增。现在几乎每天都会有新的安全漏洞被发现，而用户更是难以预防黑客利用这些新的漏洞来入侵 网络上或系统上最好建立完善的记录机制，以便在遭受黑客攻击后，追踪黑客到底在你的系统上动了哪些手脚。良好的记录机制可以协助用户追踪已发生过的事件、时间、和掌握哪些主机被入侵及其经过 安全守则（六） 及时修补程序的漏洞 通过软件发布商的主页或者开发者提供的补丁程序修补漏洞 通过修改配置文件或者参数修补漏洞 防火墙(Firewall) 概念 门卫(边界防火墙，堡垒主机) 原理与实现模型 包过滤、代理(应用网关)、Stateful Inspection 主流产品介绍 CheckPoint，Cisco PIX，Netscreen，天融信，东方龙马，东软 IDS 概念 医生(在与其它安全工具联动后会起到巡警的作用) 原理与实现模型 数据包探测式(类似于查病毒)、异常探测式(类似于病毒实时警报) 网络内嵌式(在网络上实时工作)，审计式(事后核查) 基于主机的，基于网络的 主流的产品 RealSecure，C