【培训课件】网络安全培训P177.ppt
《【培训课件】网络安全培训P177.ppt》由会员分享,可在线阅读,更多相关《【培训课件】网络安全培训P177.ppt(177页珍藏版)》请在三一文库上搜索。
1、网络安全培训,http:/ 安全的网络 常见网络攻击的介绍 常见主机攻击介绍 安全的主机 网络监测 事故处理 案例分析 FAQ,http:/ 计算机安全(公安部定义1994): 计算机系统的硬件、软件和数据受到保护,不因偶然或恶意的原因而遭到破坏、更改、显露,系统不能连续正常运行。 计算机安全的含义(1991): 避免窃取和破坏硬件 避免窃取和破坏信息 避免破坏服务,http:/ 完整性:保护信息使其不致被篡改或破坏。 服务失效:临时降低系统性能、系统崩溃而需要人工重新启动、因数据永久性丢失而导致较大范围的系统崩溃。,http:/ 软件安全 数据安全 运行安全 环境安全,http:/ 体系是网
2、络安全的重要特性 安全需求和安全政策,http:/ 安全域边界管理 数据安全体制 安全监测分析系统 病毒防护? 自动安全管理系统? ,http:/ 管理制度面对人的威胁 边界管理面对来自网络外部的威胁 数据安全体制主要针对内部或外部信道的威胁(此外,防止泄密、进行鉴别等) 安全监测系统用于发现和补救存在的危险,http:/ 网络的开放性 产品的垄断性 技术的公开性 人类的天性,http:/ 安全是复杂的,不易认清存在的问题 安全是广泛的,不易普及安全的知识,http:/ Client-Server模式提供了明确的攻击目标 开放的网络协议和操作系统为入侵提供了线索 用户的匿名性为攻击提供了机会,
3、http:/ X。 专用技术的细节通常受到有关厂家的保护,因而缺乏广泛的安全讨论,容易出现安全缺陷,例如Active X允许进行控件下载,又缺乏对控件的运行约束。,http:/ 基于上述原则,高水平的网络安全资料与工具在Internet中可自由获得。,http:/ 惰性和依赖心理 家丑不可外扬,http:/ 安全链条:链条的强度等于其最弱一环的强度 “人”是最短的木板和最弱的一环!,http:/ 什么是防火墙!? 机房里用防火砖砌的墙? 不同的人对防火墙有不同的定义! 一种定义:防火墙是允许或不允许特定信息通过网络的某一关键路径的访问控制政策,http:/ 的也可以是逻辑的,http:/ Pa
4、cket Filter (如路由器中的access list),堡垒主机、多协议过滤器 (如checkpoint防火墙),应用级防火墙 (如Proxy、分裂的DNS,Sendmail、 WEB过滤的Gaunlet防火墙),参考 OSI 模型 的近 似防 火墙 分层 体系,http:/ 内容完整:数字签名,信息摘录。 无否认:公证机制,审计功能,数字签名。,http:/ 访问安全:身份认证,访问控制; 运行安全:基础设施的可靠性,安全监测。,http:/ 端系统访问控制 自主访问控制 强制访问控制 基于角色的访问控制政策 网络的访问控制:防火墙技术,http:/ 制定安全政策 在边界建立符合安全
5、政策的防火墙体系 划分内部的安全政策域 对特定的主机节点进行加固 使用合理的访问控制政策、鉴别机制和数据安全体制 建立有效的可承受的监测体制,http:/ 安全需求是建立安全政策的基础 例如校园网可以有: 保证网络的可用:路由器不瘫痪、邮件发送正常等等 保证网络用户使用的可管理 防止出现异常的流量导致异常的费用 防止对核心服务器的攻击,以保护学校的声望 对学校某学生的机器不特别关心,除非他报案,http:/ 安全政策可以是形式化的,也可以是口语化的 安全政策表示的是什么是允许的什么是不允许的 例如(可以不用书面定义,可以包括所采用的技术手段的种类): 在边界使用防火墙,允许内部注册用户的对外访
6、问,禁止随意的对内部访问等 内部开发网段使用SSH作为数据安全手段 鉴别采用口令认证的方式,http:/ 开发 服务器 禁止 开发 禁止(允许FTP),http:/ 如上例 WWW服务器和Mail服务器 对于内部开发服务器也需要加固 可以制定一定的制度,要求内部员工也对各自的主机进行加固,http:/ 选择内部或外部使用的鉴别机制,例如口令机制、证书、LDAP、NIS 选择使用或不使用数据安全体制,使用哪种数据安全体制,例如CA、KDC。如采用Kerberos(KDC),http:/ 基于网络还是基于主机的安全监测系统 例如: 在边界上使用基于网络的入侵检测系统 在服务器上使用基于主机的安全状
7、态检查系统 等等,http:/ 网络安全是成体系的 网络边界的管理常常使用防火墙体系 信息安全依靠数据安全体系保障 安全监测体系可以用于发现系统漏洞和入侵行为 根据安全需求和安全政策建立相对安全的网络,http:/ 拒绝服务攻击(Deny of Service) 针对主机的攻击 缓冲区溢出攻击(buffer overflow) 后门和木马(backdoor&Trojan) 蠕虫、病毒,http:/ 获取目标系统信息 从远程获取系统的部分权利 从远程获取系统的特权 清除痕迹 留后门 破坏系统,http:/ DoS,消耗有限资源 网络链接 带宽消耗 其他资源 处理时间 磁盘空间 账号封锁 配置信息
8、的改变,http:/ flood 其他flood(smurf等) 分布式DoS(DDoS),http:/ flood 攻击原理,攻击TCP协议的实现 攻击者不完成TCP的三次握手 服务器显示TCP半开状态的数目 与带宽无关 通常使用假冒的源地址 给追查带来很大的困难,http:/ Three-Way Handshake,Client initiates request,Connection is now half-open,Client connection Established,Server connection Established,Client connecting to a TCP
9、 port,http:/ Flood Illustrated,Client spoofs request,half-open,half-open,half-open,Queue filled,Queue filled,Queue filled,Client SYN Flood,http:/ flood攻击实例,服务器很容易遭到该种攻击 南邮“紫金飞鸿”曾遭受该攻击的困扰,http:/ Flood Protection,Cisco routers TCP 截取 截取SYN报文,转发到server 建链成功后在恢复client与server的联系 Checkpoint Firewall-1 SYN
10、 Defender 与Cisco 路由器的工作原理累死 攻击者依然可以成功 耗尽路由器或者防火墙的资源,http:/ Intercept Illustrated,Request connection,Answers for server,Finishes handshake,Request connection,Server answers,Finishes handshake,http:/ Flood Prevention,增加监听队列长度 依赖与操作系统的实现 将超时设短 半开链接能快速被淘汰 有可能影响正常使用 采用对该攻击不敏感的操作系统 BSD Windows,http:/ 攻击原理
11、,一些操作系统的实现会对目的地址是本地网络地址的ICMP应答请求报文作出答复。 以网络地址为目标地址发送ICMO应答请求报文,其中很多主机会作出应答。 攻击者将ICMP报文源地址填成受害主机,那么应答报文会到达受害主机处,造成网络拥塞。,http:/ Attack Illustrated,ICMP Echo Request,Attacker spoofs address,Amplifier: Every host replies,http:/ 成为smurf攻击的目标,需要在上级网络设备上做报文过滤。,http:/ DOS),从多个源点发起攻击 堵塞一个源点不影响攻击的发生 采用攻击二级结构
12、攻击控制用的称为 handlers 发起攻击用的 agents 攻击目标为targets,http:/ Illustrated,Client,Agent,Handler,Agent,Agent,Handler,Agent,Agent,Agent,http:/ 很好的预防方法 DDoS攻击开销巨大 但是一般主机不可能成为DDoS的目标 Yahoo曾经遭受过DDoS攻击 Sadmind/unicode蠕虫为DDoS做准备,http:/ 后门和木马 蠕虫、病毒,http:/ 程序的栈结构产生混乱 任意输入会导致服务器不能正常工作 精心设计的输入会导致服务器程序执行任意指令,http:/ Overfl
13、ow Illustrated,main() show (“THIS IS MORE THAN 24 CHARACTERS!”); show(char*p) strbuff24; strcpy(strbuf,p); ,main() data,main() return,Saved register,Show() data Strbuf 24 bytes,strcpy() return,E R S !,T H I S . I S . M O R E . T H A N . 2 4 . C H A,R A C T,Return address corrupt,http:/ 下载和安装相关的补丁程序
14、如果有源代码 自己修改源代码,编译安装,http:/ Trojan horse: A program that appears to serve one purpose, but it reality performs an unrelated (and often malicious) task.,http:/ 获得系统控制权之后,可以做什么?,修改系统配置 修改文件系统 添加系统服务,后门技术通常采用以上的手段或其组合。,http:/ 基线 给干净系统文件做MD5校验 定时做当前系统的MD5校验,并做比对 入侵检测系统 后门活动有一定的规律 安装入侵检测系统,一定程度上能够发现后门 从CD
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 培训课件 培训 课件 网络安全 P177
链接地址:https://www.31doc.com/p-3021564.html