大连理工大学网络安全入门

网络安全入门于广辉yghdlut.edu.cn 大连理工大学网络中心平台和安全性n关于Windows NT的C2安全级nC2是EPL中的一个非常地的安全级，而且， NT的C2级只限于某些特定的硬件平台上（ Compaq Proliant 2000 或 4000 Pentium和 DEC AXP/150 Alpha）。nNT的C2级证书的对象是一台无网络连接的 ，单独工作的工作站。平台和安全性n从DOS开始n硬件n不可靠的CMOS口令n放电nAmidecod 获取AMI BIOS主板口令nAW.com 获得Award BIOS主板口令nCwspwd15.zip 获得AMI, Award, Dell口令n键盘捕获工具n键盘捕获工具是一种捕获出现在某一特定事件的任何 击键动作的工具平台和安全性nPlay Back 1.9 记录一个任务的所有击键动作， 并可以回放。有精确的时间顺序。nWindows95n很轻易就可以避开登录过程平台和安全性nMicrosoft Internet安全框架 (MISF)nMISF目的是将一连串技术加入到Microsoft产品中。nAcitveX采用了Authenticode的技术，即系统中开发人员数 字的为他的应用程序签名。nActiveX的问题是ActiveX允许任何二进制代码的执行，恶 意的ActiveX控件可以编写程序不需要用户的确认或同意就 可以删除或修改用户本地攀上的文件或与其他计算机链接 的文件。表现较好的ActiveX空间也有染毒的危险。遗憾的 事，病毒可以像一般代码那样加密。n1997年2月，德国的CCC(Chaos Computer Club)显示了能 够从银行账户中窃取钱财病房到另一个账户的ActiveX控件 ，这些没有用到个人标示码(PIN)。这显示了ActiveX安全 模型的巨大漏洞。平台和安全性nMicrosoft Windows NTnMicrosoft Windows NT采用了一个真正的安 全模型。这个模型中最重要的是考虑了访问 控制。访问控制主要是出现在基于UNIX的 操作系统中。它包括关于谁可以访问文件、 服务和目录控制。某些情况下，它也包含对 访问可以出现的时间控制。平台和安全性nDAC 数据访问控制nDAC可以控制用户在一给定的时间内对那些文件 和资源进入完全控制的权利。如在WindowsNT 安全模型下，你可以禁止某个用户访问Excel。nNTFS是包含于NT发行版中的增强文件系统 。FAT文件系统提供某些安全性，如控制用 户访问和认证。然而对于严格的细节控制（ 对每个文件和目录的控制），你必须为分区 选择NTFS。这个问题经常被忽视。平台和安全性nWindowsNT的DAC与UNIX系统所实现的 DAC策略相同。其中起核心作用的是文件所 有权和特权的理论。即谁创建文件谁就拥有 它， 而其他人对这个文件的访问以来与其 管理者对它所作的限制。nDump ACL 把所有的控制情况放在一起并以 完整的格式显示。nRegFind 查找注册表中的对象。平台和安全性nNT的脆弱性n80端口的远程漏洞n早期的IIS 2.0, 只要向80端口发送 GET /，Web服 务器就会崩溃。n现在IIS仍然有很多漏洞被发现n拒绝服务攻击nCPUHog 可以使NT服务器的CPU使用率达到100%n135,1031端口攻击 对其中一个发出几行文字，将时早 期的NT CPU负载达到100%nDNS拒绝服务攻击平台和安全性nSMB（Sever Message Block）问题nSMB是一个客户/服务器模型的文件共享协议。 它用于共享文件、目录、打印机和串行通信连接 。它可以运行于（或相连于）一系列其他协议上 ，包括nTCP/IPnNetBIOSnIPX/SPXn拒绝服务攻击 早期的NT可以通过向SMB服务器 发送DIR 来摧毁目标机平台和安全性n可能通过复杂的手段未经授权的安装远程主 机的共享目录平台和安全性nUNIXnUnix平台已经发展了很多年。今天，他被定 位为一个32（64）位的多任务，多用户的网 络操作系统。它具有先进的安全特性，包括 独立访问控制、加密和认证。nUNIX是安全的吗?nUnix可以使安全的，但是大多是的默认安装是不 安全的。平台和安全性n什么是安全的Unix?nTrusted UNIX被认为对一般敏感数据的使用 是安全的。nXTS-300 STOP 4.1a B3级nXTS-300 STOP 4.1a不仅仅是一个操作系统，而且包 括硬件（Intel 80486PC/AT, EISA Bus）和软件（ STOP 4.1a OS）。在底层它有一个类似UNIX的界面。 在高层，它使用一个有等级的文件系统。这个操作系 统的DAC（数据访问控制）非常完善，非常适合于敏 感性工作。平台和安全性nTrusted XENIX 4.0 B2级nTrusted XENIX是UNIX的安全增强版本。nTusted XENIX提供小粒度的访问控制、审查能力和访问控制 列表。另外，系统识别四个层次的安全用户（或特权用户） ：n系统安全管理员n安全操作员n收费管理员n审查员n这种操作系统并不信任用户。系统结构依赖于人为定义的严 格访问政策。攻击这样系统的唯一方法就是内部人进行破坏 。负责系统维护的每个人相互之间都是相对独立的。每个可 信用户必须对系统安全的某一特定部分负责。为了覆盖所有 系统安全性，这些人必须协同工作。平台和安全性n保护一个系统应该开始于安装。n开始安装时，对你机器安全性威胁是本地漏洞和极 小的由供应厂商的程序员安装特罗伊木马的可能性 。n控制台安全n让系统在单用户模式下需要口令n机器应该放在何处n不应该把一台有敏感数据的机器放在用户可以不受 限制接触机器的地方。n若一个系统在物理上是不安全的，则整个系统都是 不安全的。RFC1224平台和安全性n保护你的安装介质n安装介质应该放到一个安全的地方。请记住 安装介质可用于对系统破坏。n绝对不能把安装介质放到离工作站附近！n缺省账号和口令n缺省口令平台和安全性n口令安全n每种口令系统都有自己的弱点n必须为密码的选择制定一个标准n需要强制所有用户定期的改变他们的密码n隐藏口令n如果你的系统支持，一定要启用Shadow PasswordnShadow Password阻止了普通用户直接访问加密后 的口令。n注意：如果你在本地保存口令攻击器，要确保除了 你之外没有人可以使用它。平台和安全性n安装一个主动口令检查程序n目前我们已经完成：n安装软件n定义root口令n定义控制台口令n物理的保护机器和安装介质n安装口令隐藏n如果要求用户提供一个他们自己喜爱的口令，他们 将会选择很容易击破的口令。n主动口令检查器的目的是保证每个进入passwd文件 的口令是不会有问题的。平台和安全性n当用户选定一个希望的口令时，在口令被接 受前，它与一个单词表和一系列规则相比较 ，若口令不满足这个程序的要求，强迫用户 做出其他的选择。n检查服务nr系列服务nrsh,rlogin,rcp n用ssh进行替代 （Secure Shell）平台和安全性nfinger服务器n其它远程服务n你应该确定的几个问题：n是否允许使用telnet从外部连接？nFTP？n是否允许匿名ftp?ntelnetnTelnet本身不是一个危险服务，但是一些实现有问题。nTelnet采用明文传输密码，这本身对网络就是一个威胁。n如果一定要提供远程登录，请使用SSH。平台和安全性nFTPn允许上传的匿名FTP是相当不安全的n利用incoming目录可以避开某些安全检查n常用FTPnWu-ftpdn早期wu-ftpd具有多个安全性漏洞，请是用最新版本或 者最新版本的proftpd。nTFTPnTFTP具很大的安全威胁，如果没有必要，一定要关掉 它。平台和安全性nNFSn尽量避免使用NFS，错误配置的NFS服务同 样具有安全威胁。nHTTPn几个需要注意的地方：nEXEC选项nSSInAllowOverride NONE平台和安全性n为敏感内容选择s-http和ssln进行备份n在把你的机器连到Internet之前做一个备份n不能允许其他用户接触介质，这些备份应该 只能有可信任的人员才能接触。n备份以后安装TCP_Wrapper、TCPDUMP 和Trip Wire平台和安全性nTCP_WrappernTCP Wrapper可以提供完整的日志，记录谁访问 了你的系统；并且可以对谁能访问进行严格的控 制。nTCPDumpn一个很好的Sniffer，可以用来收集非法入侵信息 和分析网络流量。nTrip Wiren对系统完整性进行检查n注意对检查结果单独离线存放平台和安全性n关于Xn启用 Xdm Authorization机制n注意.xhostn有可能的话在远程机器上启用SSH转发n修订程序n从销售商获得系统的补丁nSolaris http:/www.sun.comnHP UX http:/www.hp.comnAIX http:/www.ibm.com平台和安全性n最后一步：把机器连到Internet上远程攻击n远程攻击n一台远程计算机是这样一种机器，它不是你 正在其上工作的那台，而是能利用某协议通 过Internet或其他任何网络或介质被使用的 计算机。n远程攻击的对象是攻击者还无法控制的远程 计算机。远程攻击n远程攻击的一般过程n收集足够的信息n系统管理员是谁n在目标网络上的计算机和它们的功能以及域服务 器n他们操作系统n他们可能有的漏洞n他们的系统管理员进行的任何讨论，包括网络拓 扑结构、网络管理、网络策略和网络构造等。远程攻击n进行测试n搭建一个模拟环境，然后进行一系列的攻击 测试。n需要特别注意：n从攻击方来看这些攻击行为看上去象什么n从被攻击方来看这些攻击行为看上去象什么n寻找和漏洞相关的各种工具n形成一个攻击策略远程攻击n一个完美的远程攻击不是那些仓促行事 的入侵者能做到的。防火墙n防火墙n防火墙是阻止外面的人对你的网络进行访问的任何 设备，此设备通常是软件和硬件的组合体，它通常 根据一些规则来挑选想要或者不想要的地址。n防火墙的类型n网络层（包过滤）防火墙n对数据包的IP地址和端口进行限制n通常具有很高的速度，能够方便处理大多数服务n不能有效处理对随机分配端口的服务，如RPCn应用代理/应用网关n当用户连接一个远程服务器时，向应用代理发出请求。应 用代理根据规则检查通过后，向远程服务器发出请求，并 将结果返回用户主机。防火墙n应用代理可以提供更多的控制，成熟的日志 功能。然而，这些都是由牺牲速度换来的。n你需要为分别每个应用配置代理，并且只有 常见的服务被应用代理所支持。n防火墙的局限性n防火墙能够使你的网络对未授权连接的任何 人而言是不可见的（至少是不可到达的）。防火墙n从理论上来讲，防火墙是你所能采取的最严 格的安全措施。然而同样和容易带来一些问 题：n防火墙带来的严格的安全性实际上削弱了网络的 功能。你在安全上得到了多少，那么你在功能上 就失去了多少。n防火墙很容易使你忽视内部的安全问题。这样防 火墙就成了你位一的安全屏障，如果防火墙一旦 被突破，你将失去全部的安全性。n防火墙将成为网络的瓶颈。防火墙n对某些情况来说，采用防火墙并不现实。如 大的ISP的出口。防火墙n如何构造防火墙n基本的步骤：n判别网络拓扑和使用的协议n形成策略n寻找足够的工具n充分利用这些工具n测试配置防火墙n防火墙坚不可摧吗？n没有坚不可摧的防火墙。n常见的入侵方式如下：n从目标网络上跳出真正的攻击目标。n努力获得有关内部系统的确切信息。n阅读最新的安全文章n任何一个防火墙都无法有效的防止来自内部 的攻击。防火墙n商业防火墙nCheckpoint Firewall and Firewall-1nhttp:/www.checkpoint.comn可以控制时间对象，可以将处理任务分散到一组工作站上 。nCisco PIXnhttp:/www.cisco.comnNokia