网络基础、常见网络设备及安全技术.ppt

4A认证技术 4A一起确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用户的权益，又能有效地保障支撑系统安全可靠地运行。 为什么需要4A认证技术 随着各大电信运营商的业务网发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。而每个业务网系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求，及与国际业务接轨的需求。 表现出的问题 1、大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加 2、一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知 3、各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障 Windows日志审计 事件查看器中记录了我们需要记录的所有系统日志信息。我们可以通过这些日志查出系统异常的蛛丝马迹 操作系统日志审计 操作系统日志审计 Windows系统日志审计 类UNIX系统日志审计 WEB服务器日志审计 IIS服务器日志审计 Apache服务器日志审计 数据库系统日志审计 Oracle数据库日志审计 MS-SQL数据库日志审计 DB2数据库日志审计 类UNIX系统日志审计 Linux、FreeBSD、Solaris、AIX、Hp-unix和Cisco交换机和路由器都是采用标准的Syslog协议格式进行日志的记录 这里主要介绍Solaris 910系统 Solaris系统wtmp/utmp文件记录了系统的登录日志信息。使用last命令进行查询 wtmp/utmp文件主要记录的内容包括： 未授权的访问 非法登录事件 1分钟内多次登录的事件 帐户登录时间 类UNIX系统日志审计 Solaris系统默认不记录错误登录尝试，需要手动创建日志文件 日志记录的操作步骤如下： touch /var/adm/loginlog chmod 600 /var/adm/loginlog chown root /var/adm/loginlog 系统默认只记录连续5次错误登录尝试的帐户信息，系统会将其记录到/var/adm/loginglog文件中，用户可以通过 #cat /var/adm/loginglog 命令进行查询 类UNIX系统日志审计 Syslog进程日志 通过syslog.conf配置文件可以查看日志文件的存储位置和记录哪些类型的信息 Error、Warning类型中记录的是系统级别的信息，通过查看这两类信息可以判断出是否有可能被缓冲区溢出或者本地服务莫名被关闭 Auth类型中记录的是帐号登录的信息，通过分析帐号登录时间、次数等信息判断有无异常登录情况 类UNIX系统日志审计 历史命令日志信息 /.sh_history和/.bash_history文件记录的是历史操作命令信息。 通过查看以上文件可以检测类似useradd、passwd、shadow等等带S位的各种命令的执行信息。 SU命令日志信息 /var/adm/sulog记录了su成功、失败的时间，通过查看su的帐号、时间、状态分析有无异常的权限提升行为。 Crontab 通过查看/var/cron/log记录，分析有无异常的计划任务。 WEB服务器日志审计 操作系统日志审计 Windows系统日志审计 类UNIX系统日志审计 WEB服务器日志审计 IIS服务器日志审计 Apache服务器日志审计 数据库系统日志审计 Oracle数据库日志审计 MS-SQL数据库日志审计 DB2数据库日志审计 IIS服务器日志审计 IIS 5.0默认使用W3C扩充日志文件格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理等信息 IIS服务器日志审计 IIS 5.0的WWW日志文件默认存放位置为%systemroot%system32logfilesw3svc1 建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限 IIS服务器日志审计 日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。IIS的日志文件都是文本文件，可以使用任何编辑器打开，例如记事本程序。 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 2002-08-12 01:27:21