网络信息安全认证.ppt

降低Linux系统的风险 Patches和Fixes Red Hat Linux勘误表 Lab 11-5：使用图形界面更新Linux补丁 Bastille工具 新版本的Linux系统已经默认禁止了许多守护进程，并且使用ipchains或iptables设置个人防火墙设置。为关闭守护进程，可以编辑/etc/inetd.conf文件和/etc/xinetd.d/目录，也可以使用一些自动工具实现系统服务关闭，如Bastille。 Bastille提供了有效、快速地安全化默认Linux的安装的进程。使用Bastille，可以实现： 关闭系统，已成为路由器/防火墙，屏蔽进入和出去的流量； 自动地下载系统补丁； 为SUID文件审核系统； 检查你的系统查看哪个服务正在运行。 第四部分 信息系统的安全审计 网络信息安全讲座 十二、黑客攻击与安全审计 黑客简介 黑客的定义 黑客（Hacker）的定义：非法搜索和渗透计算机网络，访问和使用数据的人。 根据黑客的态度和动机来给黑客分类，可分为下列3类： 偶然的破坏者 坚定的破坏者 间谍和工业侦探 黑客的动机 黑客的动机表明了入侵的目的，从而有助于安全专家更好地评估系统的危险性。 挑战 贪婪 恶意 安全审计 什么是安全审计人员？ 安全审计人员是进行风险评估的个体。作为一名审计人员，你的职责是通过对网络风险进行评估，从而提出有效的安全解决方案。 安全审计人员的工作 安全审计人员采用两种方式来达到一个高的安全等级：抱怨分析和风险分析。 首先他们帮助网络管理人员了解用户的抱怨，制定一致性的安全策略。容易出现的问题是网管和安全专家所制定的可靠的安全策略只有用户在抵制它。 其次是进行风险评估，决定哪些服务器是公司最重要的服务器，哪些最需要保护的资源。 审计人员的职责和前瞻性 作为一名审计人员，应该至少从两个角度来对待网络 从黑客角度 审计人员最初不了解网络的拓扑结构、服务、协议和操作的情况，此时从一个不了解内情的黑客角度来侦查、渗透和试图控制网络。 从知情的审计者的角度 第二类审计人员是从一个内部知情人的角度来评估网络安全。多数情况下，审计人员会合并这两种角度来提供更深层次的审计。 黑客攻击过程 侦查阶段 在侦查阶段，你将扫描和测试系统的有效安全性。对网络进行侦查意味着要定位出网络资源的具体情况，包括IP地址、开放端口、网络拓扑等。这种分析工作通常需要大量的时间，我们可以使用自动运行的扫描程序。 渗透阶段 渗透意味着你能绕过安全控制机制，如登录账号和密码。你还可以通过使加密机制无效从而破坏数据的机密性和完整性。你还可以是网络拒绝提供服务。 控制阶段 控制意味着可以随心所欲的管理网络和主机。审计人员从不试图控制网络主机，只是通过演示他可以控制网络主机来证明现有网络存在的问题。你将发现，控制表明一个黑客可以控制网络资源，创建账号，修改日志，行使管理员的权限。 第四部分 信息系统的安全审计 网络信息安全讲座 十三、侦查手段和工具 安全扫描工具（1） DNS工具 Whois命令 Whois命令通常是安全审计人员了解网络情况的开始。一旦你得到了Whois记录，从查询的结果还可得知Primary和Secondary域名服务器的信息。 Lab 13-1 演示Whois工具的使用，Web网站Whois工具的使用 Nslookup命令 使用DNS的排错工具nslookup，你可以利用从Whois查询到的信息侦查更多的网络情况。 Ping扫描和使用Traceroute Ping扫描软件 Ping扫描程序将自动扫描你所指定的IP地址范围。 Traceroute命令 Traceroute用于路由追踪，如判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间如何、是否有路由器宕机等。 Lab 12-3 Ping扫描软件的使用，Tracert命令的使用 安全扫描工具（2） 端口扫描 端口扫描软件 端口扫描器是黑客最常使用的工具。一些单独使用的端口扫描工具像Port Scanner，定义好IP地址范围和端口后便可开始实施扫描。 Lab 13-3 用Ping Pro执行Ping扫描和端口扫描； 网络侦查和服务器侦查程序 一些更复杂的工具可以识别更多的网络和服务类型的程序。例如NMAP是UNIX下的扫描工具，它可以识别不同操作系统在处理TCP/IP协议上细微的差别 服务扫描 RedButton可以从Windows 2000服务器上获得信息。 Lab 13-5 演示RedButton 堆栈指纹识别和操作系统检测 利用堆栈指纹技术允许你利用TCP/IP来识别不同的操作系统和服务。各个厂商和系统处理TCP／IP协议的特征是管理员所难以更改的。许多审计人员和黑客记录下这些TCP/IP应用的细微差别，并针对各种系统构建了堆栈