Network security笔记
Network security笔记
Network security
introduction to networking
(security)安全: 减少资料,资源被攻击的可能性
(vulnerability)漏洞: 是指一些人对数据非发取得访问权,通常指的是系统的各种可能被非法入侵的端口和安装的问题
后门: 为软件开放的后门,通常是软件开发人员为了更好的维护软件而开放的一个和使用该软件的用户的一个通道
黑客活动: 大部分黑客威胁来之内部,而不是来自外部
安全寻求平衡:使用有效的安全策略来平衡公司用户和安全的冲突,
Elements of Security (安全的基本因素)
1 (Audit)稽核
2 (Encryption and Access Control)加密和访问控制
3 (Authentication)鉴定
4 (Security Policy)安全策略划分安全等级
1 (Audit)稽核
稽核报告系统分类
安全等级 Application(应用于) Impeamentation(实施)
低 电脑不包含访问敏感资料
电脑在安全的区域 安装了防病毒软件
电脑可防止一般的攻击行为
中 电脑含有或可访问公司内部资料,电脑可超过一人以上的访问
对于意外损失的危险,必须要必要的保护措施 具有一般稽核功能
使用档案许可权保护
实施帐号策略
高 电脑含有高度敏感或极有价值的资料
电脑在高风险的区域
2 (Encryption and Access Control)加密和访问控制
加密和访问控制: 对公司的一些资源来加密和访问控制,
Resource资源分类(4种资源)
①end user Resources终端用户资源: 通过检测木马,病毒来保护资源
②network Resources 网络资源: 通过保护路由器,交换机,ACL列表来避免黑客入侵
③server resources 服务器资源: E-mail ,FTP等的保护,可以防止而已的访问以及控制其他资源,也可以使用ACL列表来保护
④information storage resources 储存资询资料: 商业机密,交易资询,用户资料等,进行加密来保护
3 (Authentication)鉴定
4种鉴定方法:1 是否有密码 2 拥有如钥匙或智能卡等 3 根据特征来鉴定会 4 根据位置,如IP
4 (Security Policy)安全策略划分安全等级
安全可以划分为三个等级
等级一: 对于商业执行最重要的系统. Eq:一个电子商务公司的服务器
等级二: 对于日常工作是必须的,但不是最重要的系统. Eq:公司内部的员工的资料库
等级三: 不会对等级一,等级二系统照成破坏的电脑主机. Eq: 公司内部员工的个人电脑
安全分类级别
级别 数据 系统 安全
级别3:日常工作 一些用于操作的数据 一般的系统,在数据丢失或停止时不会导致公司的商业行为正常运转 一般的安全策略和防范
级别2:较重要 如果数据保护不好的话会使公司产生极大的风险 操作系统或电子商务在线系统,其停止时间最多不能超过48小时,这种情况内部服务器不能直接连入到Internet 一般的安全策略加上特殊的监视,审计和恢复策略
级别1:最重要 需要高度保护的重要数据,如商业机密和客户资料等 重要任务级的系统,系统停止运行不能超过几个小时,如证书服务器,公网上对外服务的一些服务器等 安全分析及扩展的安全机制,系统级别的审计,监视和安全功能
明智的为系统分类:
根据机器上的信息量和数据的敏感度和性质去为系统分类.
资源的优先划分:
根据系统和他的信息的重要性而顶,用于发生事故时,管理员先去做什么,后做什么?使损害降到最低
指定危险因素:
危险因素指的是黑客攻击某种资源的可能性,资源越敏感的危险因素就越大.
定义可接受和不可接受活动:
可接受的活动: 允许用户在公共的资源进行活动
不可接受的活动及实施: 列举出可接受的活动,剩余的活动全化分为不可接受的活动,最好的策略是定期列举出不可接受的活动,这样能建立一个有效的政策,缺点:花费一些时间,并且经常的去更新,管理
加密
加密是使某些东西只能是某些特定的接受者可以知道的过程
加密的类型
对称加密: 使用一个字符串(密钥)来加密数据,这把密钥用来加密,同时也用来解密,接收方和发送方共用次密钥,
用DES,RC2,RC4,RC5,RC6等算法实施对称加密
对称加密工作流程:
1. 甲方想发送信息给乙方,首先使用一组密钥加密,然后在进行对称加密的算法,而生成密文,
2. 乙方在使用同一把密钥来解密,使用对称解密算法,把密文还原成明文
注: 甲和乙用的是用一把密钥
DES: 是美国的国家技术标准局(NIST)开发DES(Data Encrypt Sdandard)标准
DES加密方法:
1, 是一种64位的加密演算法标准
2, 是一种block模式(将文件拆成64bit的文件分散来加密)的密文
eq: 如一个文件,加密的密钥的长度56bit,在加密的同时,把文件分成64bit的一块一块的密文,然后在解密,解密的长度为56bit,在打乱,在重新进行加密,这断过程主要是增加破解的难度
官方网站www.nist.gov
RC2,RC4,RC5,RC6是用RSA公司发明的,
RC2: 是由Ron Rivest开发的,它是一种block模式的密文(前面讲过的),就是把资料加密成64位的资料.因为它可以只用不同长度的密钥,它的密钥长度可以从0到1024并且加密的速度依靠密钥的大小不等(DES只有56bit)
Eq: 如一个文件,加密的密钥长度可以达到1024bit,把文件分成64bit的一块一块的密文
RC5: 1 类似于RC2,也是block密文,但是这种算法采用不同的block大小和密钥大小
2 有12到161个rounds (rounds指的是,加密后解密打乱在加密,在解密,在打乱的次数)
3 RC5加密算法,二进制兼容的加密算法,密钥可到2048bit
eq:文件,密钥(长度可以达到2048bit)
分成64bit的一块一块,得到密文长度了,在进行rounda(加密解密过程)共12到161个
RC4: 也是由Rivest在1987年开发的,是一用Stream流式(把资料加密成一个整体观念)的密文(不同于前面的block),密钥也是可变的:在美国一般密钥长度是128位
Eq:文件,用密钥(长度可以达到2048)进行加密
RC6: RC6的设计是弥补RC5的vulnerability(漏洞),RC5的特殊Round上理论上有个漏洞,
更多可以参考www.rsasecurity.com
他们的对照表:
加密算法 密钥长度 密文长度 密文类型
DES 56bit 64bit Block
RC2 0 to 1024bit 64bit Block
RC4 0 to 2048bit Stream
RC5 0 to 2048bit 64bit Block
RC6 0 to 2048bit 128bit Block
非对称加密(Asymmetric Encryption): 使用一对密,加密方和解密方拿有不同的密钥
两种主要的非对称密钥加密方法:
RSA-----非对称演短法由RSA安全公司创立
DSA-----Digital Signature Algorithm美国国家技术标准局(NIST)开发的技术已经成为Liunx下的公钥加密方法的标准
非对称加密流程:
1 甲方发送信息给乙方时,首先用发送方的公钥来进行加密,再使用非对称加密算法,最后得到一组密文
2 乙收到一组密文,用一把接收方的私钥(与发送方的密钥不同),在进行非对称解密算法,求得算法
DSA只提供数字签名,不提供数据加密功能,
缺陷:
1 由于密钥的产生是依赖乱数的选取,但在上,从某些特定范围所选取的乱数的机是其他范围的2倍
2 这种偏重性减弱了DSA的安全性能
3 这种偏重性将影响到电子上午,金融交易的安全性
比较:
DSA的签名速度比RSA快,但RSA的验证签名的速度比DSA快,解密的速度MD5最快,RC6,DES,RSA依次减慢.
HASH加密
三种主要的Hash加密方法:MD2/MD4/MD5由RSA公司研发的
MD2/MD4和MD5是一组基于单向HASH功能的演算法,这些操作采用一定长度的位元组流(128bit)并产生一个唯一的数字指纹,
功能: 当一个文件被发送出去之前,会为这个文件进行数字签名,以保证这个文件不可串改性
eq: 当甲发发送一份文件ciw.txt,并且附带一个ciw.md5的数字签名给乙法(档案名称同为ciw),ciw.md5是一组乱数(数字签名),一共32byte=128bit
如果ciw.txt被改过后,数字签名会发生变换,这时就知道文件被人家改过
MD2基本工作方法: 一个文件如果有23个byte,不是16的倍数的话,那么,将增加9个byte,这样使他的文件等于16的倍数,然后在生成一组数字签名
Md4: 如果一个文件为23个byte,不能被512整除的话,先加488,如果还不能整除的话,就加byte,加到正好能被512整除,然后在生成一组数字签名 .
认证
ISO(International Organization for Standardization)工业评估标准
更多参考www.iso.ch
OSI的标准
http://www.iso.org/iso/en/Catalo ... CS3=&scopelist=
不过,他们的标准要用钱去购买的,
描述安全方面的工业评估标准
ISO7498-2对等级的本地和远端系统及应用程序访问的主要安全服务
Authentication (鉴定): 必须有密码才能进去系统
Acess Control (访问控制): 赋予用户对数据访问的许可权
Data Confidentiality (资料的保密性): 保护主机不被没有访问权限的用户访问
Data Integrity (资料的完整性): 利用特殊加密的资料以及使用带有密码的用户帐号登陆
Non Repudiation (不可否定性): eq:当发生交易时,如果一方拒绝承认发生过交易,另一方就需要拿出证据来证明交易确实发生过
电脑系统安全评估标准(BS 7799)
英国标准:BS 7799,同时也是ISO 17799
BS 7799分为:
BS 7799-1 讨论了确认保护网络安全所采取的步骤.
BS 7799-2 讨论了执行资源安全管理系统时应采取的步骤.
电脑系统安全评估标准(TCSEC)
美国国家电脑安全中心(NCSC)建立了电脑系统安全评估标准,分7级
A 需要经过严格的数学运算验证,确保系统不会被危害,如Honeywell SCOMP
B3 可以提供资料的隐藏和分层,阻止个层之间的交互影响
B2 支持结构化,硬体保护,记忆体区被实际分割并严格保护,如Honeywell MULTICS
B1 标记安全的保护措施,如AT&T,UNIX
C2 灵活的访问安全性,系统要识别用户还要考虑唯一行,如NT,等系统
C1 基本的安全保护,系统不需要区分用户
D 最低的安全级别,如MS-DOS系统,没有安全性可言
电脑系统安全评估标准(CC)
提供了有助于你选择和发展网络安全解决方案的全球同意标准
CC(等同于ISO 15408)的目的是同意ITSEC和TCSEC
有三部分组成
定义了如何建立安全目标和需求,还提供了一个术语的概述
定义了如何建立能够使商业通信更安全的需求列表
提出了如何建立能够达到公司安全需求的”保险内容”的过程
黑客的攻击手法
1. Front-Door Attacks(前门攻击): 试图攻击鉴定认证过程.伪装成一个合法的用户进入系统
2. Brute-Force Attacks(暴力攻击): 类似于前门攻击,用暴力的方式去破解密码,从而进去系统
3. Dictionary Program Attacs(字典攻击): 使用某种具体的密码来缩小尝试的范围,大多数的用户使用标准单词做为密码,一个字典攻击会试图通过利用包含单词列表的档去破解密码
4. Bugs and back door attacks(Bug与后门攻击): BUG是一个程序中的错误,它产生一个不注意的通道.后门是一个在作业系统上或程序上未被记录的通道,大多数的后门并不是有恶意的
5. Denial-of-service attacks(Dos拒绝服务攻击): 联合很多电脑去Ping同一个主机,用该主机的资源通道堵塞,没有办法去提供服务.
6. Social engineering and Non-Direct attacks(间接攻击): 使用记谋或假情报去获取密码和其他敏感的数据.
NetBus(木马程序)
NetBus由Client(服务端)和(patch)客户端端,
思路:一般用E-mail附带自动执行的程序或别的办法去骗取远端的管理员运行Patch
(threats)威胁
(Passive threats)被动的威胁: 比如黑客利用sniffer(嗅叹器)捕获数据包,而没有警告内容或改变目的地址,资料的合法用户对这种活动一点也不会察觉.
(keystrokes threats)键盘记录的威胁: 悄悄的进行,不会影响电脑的性能
(intentional threats)有意图的威胁: 比如知道邮件的存放位置,导致黑客窃取邮件资料.
Eq:WINDOWS98的邮件默认的路径: C:\WINDOWS\Application Data\identities,
WINDOWS2000的路径: C:\ C:\Documents and Settings\Administrator\local settings\Application Data\identities
Eq:IPC$空会话连接: 开始------cmd
用net user 可以查看用户的帐号,
用net use x: \\19.168.1.4\c$ 这是将对方的C盘映射到我们电脑的X盘,这时候打开电脑就看到了X盘
(Accidental threats)偶然的威胁
eq:一个用户可以远程望文访问系统,并且可能偶然的建立了一个以前用户没有中断的回话
TFTP的威胁: TFTP不用密码的传输,
一般用户变管理员的威胁: logon.scr是启动加载的程序,usrmgr.exe是管理所有用户的画面,如果黑客把usrmgr..exe 改为logon.scr,则可以直接在登入时启动usrmagr.exe程序,而不用输入密码,当黑客进入用户管理画面后,就可把他自己的权限加到administrator组.
Keberos: 是一种被证明为非常安全的双向身份认证技术,通过其身份认证强调了Client端对Server端的Authentication
组成模快:
工作过程: 1首先客户端发送username和password给KDC(key distribution center)
2 KDC在返回Ticket Granting Ticket给客户端
3 客户端在拿着ticket Granting Ticket 给KDC验证,
4 KDC收到客户端返回的Ticket Granting Ticket验证正确后,在发给客户端一个Service Ticket
5 客户端收到Service Ticket 后才可以向Server请求服务
OTP(One time password)一次性加密
原理: 在登入过程中加入了不确定的因素(如时间等,这时时间不同,密码也不同),使每次登入过程中传送的咨询都不相同,以提高登入过程的安全性,网上银行都采用这种方法
eq: 登入密码=用户名+密码+时间 (现在很多网站都增加了即时数位Authentication(鉴定))
eq: 加密”hello wordl”
纯文字的部分,可以以8位ASCII编码,产生以下16进制的表示方法:
4f 6e 56 20 74 69 45 f1 32 45 78 85 35
OTP随即产生一组16进制的密钥
12 45 78 3d 34 g5 12 43 2d od 22 71 b6
执行了加密操作后,我们可以得到以下密文
d2 fe c7 d9 -3 f8 3j od 7d 4i 90 15 c2 d6
(注意: 需要加密的文字长度和密钥的长度是一样的)
优点: 密钥的长度于文件相同,并且密钥是随即产生的,黑客很难破解
确定: 当文件是50G的文件是,则密钥也是50G,则加密不方便和浪费时间
一般加密方式的缺点
1. 为了方便记忆,用户多选择用词组来做密码,因此很容易被破解
2. 企业员工流动性大,内部授权密码被带出公司可能会被恶意使用
3. 一个密码多次使用时,容易造成无意泄露
4. 黑客可以从网上截获密码,可以轻易获得用户的关键信息
5. 网管或内部其他人员可通过合法授权取得用户密码而非法使用
6. 密码自动破解工具是破解密码的时间缩短,甚至克服了密码加密的问题
OTP应用的范例:
目前市面上所研发的密码卡,多半是使用OTP加密
密码卡安全算法程序没分钟变化一次,因此任何人都无法预知密码
密码卡使用户不需要记忆多个密码,只要脊柱一个密码卡的开机PIN码即可
密码卡采用双因素任证机制,用户登陆时,处开机PIN码外,还需要输入密码卡产生的随即密码才能登陆系统,开机PIN码只保存在密码卡专用芯片和认证服务器中,不在网络上,因此可以避免在网络上被截取密码,
密码卡如果遗失,只需挂失就可以
OTP工作流程:
1. 客户端向应用服务器请求服务,
2. 应用服务器并不会马上给客户端提供服务,而已向验证服务器严正请求
3. 验证服务器要求客户端验证
4. 客户端将密码卡插入读卡机中,随机产生一组OTP密码与验证服务器验证
5. 通过验证服务器,验证服务器会交给应用服务器
6. 最后由应用服务器向客户端提供服务
VPN
VPN虚拟专用网络协议(Virtual Private Networks Protocol)
VPN是指在共用的网络上建立专用的虚拟网络的技术
在VPN整个网络上任意两点之间的连接是没有真正的实体网络,是架设在共用网络服务商所提供的网络上,
当一个人出差在外需要访问公司的服务器时,如果使用internet 连接是不安全的,因为这样的话,其他用户就有机会访问公司的服务器,就加大了风险,这时如果用VPN技术的虚拟一条网络的话,那么相对是安全的,因为建立VPN时,只有两端的电脑可以通讯,其他的电脑都无法于服务器通讯
建立VPN: 使用PGP软件,首先安装,然后在点击PGPnet,在选择VPN,点Add, 然后点击use expert mode(接受预设设定),在点next, 在点next,到Add Host Wizard的时候要你填的是欲连接主机的名称,在点next,在填IP,在N ext,在下来,会有两个选项,Automatically(自动连接),如果你想自动连接的话,就选这个,Manually(手动连接),在next,下来,单击select key按钮来选择自己的密钥,在next,最后将被要求输入自己的密钥的passphrase,建立一个系统的鉴定条目,输入密码就完成了.
安装PGP并对E_mail进行加密
PGP: 是一种基于RSA公钥加密软件的邮件系统加密软件
可以用来对你的邮件加密,防止被人查看,可以对你的邮件加上数字签名从而可以使收信人确认邮件是你发来的.
www.PGP.com上购买,
PGP用来加密邮件的方法可以自己去找资料来查看,这里就不举例了
注册表
注册表是在windows95以后的版本中都采用了将应用程序和电脑系统全部配置信息容纳在一起的注册表,用来管理应用程序,硬件设备说明状态属性等,他的功能取代了System.ini和Win.ini,是现在windows系统的心脏,好比人的骨架
进入注册表的方法: 开始----运行- -- regedit
HKEY_LOCAL_MACHINE 里面是包含了当前登录到这个系统上的用户的配置文件,
HKEY_USERS 里面配置包括了当前计算机上所有用户的配置文件
HKEY_CLASSES_ROOT 列出了当前已在计算机上注册的所有COM服务和与应用程序相关联的所有文件扩展名
HKEY_CURRENT_CONFIG 里面列出来计算机当前会话的所有硬件信息
HKEY_CURRENT_USER 列出了当前会话的用户的信息
HKEY_DYN_DATA 保存了系统运转时的动态数据资料,它反映出系统的当前状态,因此每次登录时的数据都不一样
eq:HKEY_CURRENT_USER里的Identities 里面的Last Username是存放当前登系统用户的信息,包括用户名和密码,同样在HKEY_USERS里面的个个子键的Identities 里面也放着用户信息
HEKY_CURRENT_CONFIG 里面存放了桌面的设定资料,如图,我的桌面分辨率为1024*768
HKEY_CLASSES_ROOT 里面存放了系统文件后缀名的所有文件
HKEY_LOCAL_MACHINE 里面就是存放了一些硬件的资料,SAM子键是存放密码, SECURITY是当前系统的安全状况, \SYSTEM\ControlSet001\Services,是储存电脑中服务和设备的配置资料,如HTTP服务,SMTP服务等
HKEY_DYN_DATA(好象windows98才有的,NT或NT以上没有这项)里面存放了系统运行时的数据资料
HKEY_USER 里面的.DEFAULT是存放所有用户进入系统的设置,包括控制面板的内容,S开头的那个是当前用户的SID
NT的注册表: 他存放在\WINNT\System32\config下 开开这个文件会发现很多文件,default是存放注册表的文件,default.log是存放注册表历史记录,SAM是存放帐号和密码的文件(这个文件很重要,但你忘记密码时,可以用DOS模式下,把SAM删除,重新启动就可以不用帐号了),System.alt是系统备份,System.sav是对比原始注册表记录不同处,
另一个重要的资料夹,\WINNT\Repair下是原始未别修改过的注册表文件,在WINNT\Profiles\username的资料夹下,档案名是NTUser.dat的文件是用户个人的注册表的配置
注册表被破坏的现象:
1. 系统无法启动,启动WINDOWS时,会出现提示: 无法启动SHELL32.DLL,请推出部分程序,然后在试一次,当按下确定后,系统死机
2. Mprexe.exe程序发生错误,即将关闭,,如果安下关闭按钮,系统将死机
3. 在启动市场windows时,出现以下提示: Cannot find a device file 底下有press a key to continue这几行
注册表被破坏的途径”
1. 应用程序的错误
2. 驱动程序不兼容或使用了错误的驱动程序
3. 应用程序在注册表中添加了错误的内容
4. 电脑硬件更换或损害,如病毒,断电,CPU烧毁
注册表的修改
注册表的修改: 建立子键,设置数值,查询数值,删除 注:要用administrator 帐号来登录,否则有些注册表不能修改.
eq: edit---new---key---closePC(建立子键), new----value(设置数值)
双击即可查询数值, 点delete(删除)即可删除
eq:加快关机速度的例子: 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell下选择new ----key把名字命名为closePC(关机的意思) 建立个别string value ,然后在右边的New Value #1右键选择改名,改成command ,后面的TYPE是类型的意思REG_SZ表示字符串类型,
在双击弹出对话框,在对话框中输入c:\winnt\system32\ruudll32\rundll32.exe user.exe,exit windows(表示直接通过核心文件推出WINDOWS
registry access controls(注册表的访问控制)
notify(通知) write owner(写入所有者) write DAC(写入权限)
建立假帐号和密码
主要的目的:迷惑黑客,使网管人员能够有足够的时间来发现入侵情况
eq: 在NT中建立一个administrator帐号,把这个帐号设为没有访问权限,同时把他设置一个脚本,使这个帐号登录时,便通知网管人员,
在控制中心,选择computer management(电脑管理)
在system tools----local users and groups----users---单击右键,选择news user在弹出的对话框中
建立一个administrator 的用户,记住,密码要与真正的管理员的密码不一样,还有底下的第一项不能选上.
Logon Scripts使用登录陷阱脚本
使用陷阱脚本是为了黑客使用刚才建立的administrator帐号登录时执行,这样它将记录企图登录系统的主机名和IP地址,并发出警告,通知管理员,可能有黑客入侵 内容编写,打开记事本,输入@echo off net send <电脑名> “<消息内容” 命名为script.bat文件,保存在C:\WINNT\System32\repl\import\scripts文件夹下,
最后,在system tools----local users and groups----users双击administrator,在弹出对话框中填入scripts.bat
这样,当你在工作过程中,收到刚才设置脚本里面的消息,那你应该意识到可能有黑客入侵
服务器中,应当把administrator改名,这为了使黑客不知道那个帐号是真正的管理员帐号,是管理员有更多的时间去发现,还有IUSR_(电脑名)这个帐号,如果不提供WWW服务的话,应该把他禁止掉,
也应该把提供服务的所有服务选项都把默认的路经都修改过,使黑客难以找到真正的路经
电子邮件的默认路经也修改,在电子邮件用,工具-----设置-----维护----储存位置,把它改掉即可
改变系统的预设值: windows2000的主要资料的存放目录是C:\Documents and settings和WINNT,让我门来看看C:\Documents and settings 的文件夹,进去administrator文件,Application Data 是存放outlook express的邮件,NTUSER.DAT是存放HKEY_CURRENT_USER注册表里面的信息,NetHood是存放网络邻居的连接, printHood是网络共享打印机的连接,我们在来看看WINNT的资料夹,msagent是office小帮手,msdownld.tmp是windows升级时的临时档案,profiles是2000为了兼容久的软件所存放的程序配置的档案,repair 是存放了注册表原始备份的档案,system是2000为了兼容98的久软件存放的程序配置档案,system32是2000本身驱动程序等系统档案
改变系统预设的共享: windowsNT出于为了管理的目瞪口呆自动共享了文件,包括C$,D$等,ADMIN$是一个指向C:\winnt资料夹,删除共享,查看个个盘的属性,把他设为不共享,或用命令: share c$ /del
删除不必要的服务: 删除Gopher服务,Gopher是用来检查分布在internet上的文件的服务,随着WWW的普及,现在已经不需要了,但,大多数WEB服务器中,都具备Gopher的服务端功能,当从Gopher服务器发送特定的字符串时,可能造成IE缓冲区溢出,
惩罚黑客: 使用IGMPNUKE软件,会根据来源的IP地址发送大两的IGMP数据包
防火墙(firewall)
1. 可根据安全策略控制(允许,拒绝,监测)出入网络的数据
2. 防火强是一个分离器,一个限制器,也是一个分析器
3. 是不同网络或安全网络之间数据的唯一出路
防火墙的任务: 1 监视检查人员所有进出的数据
2 建立一个阻塞点
3 执行一个公司的安全策略
4 记录internet活动,日记记录功能
防火墙可以分为:
1 Circuit-leel(电路级)防火墙-----一般指路由器
2 Application-level(应用级)防火墙------通常指安装防火墙软件
3 Circuit and Application-level( 电路应用级)防火墙-----通常指堡垒主机
防火墙术语:
Gateway(网关): 是在两个网络之间提供转发数据的服务
Net address translation(NAT): 网络地址解释是对internet隐藏内部IP地址,防止内部IP地址被外网知道
Packet filter(包过滤): 允许或阻止数据包的出入,优点:不用改变客户机和主机上的应用程序,因为是工作在网络曾和传输层上,缺点: 只能过滤判别网络层和传输层的数据,因此各种安全不能充分满足
代理服务器: 主要是代表内部用户端和外部服务器通讯,他是属于应用级的防火墙,
DMZ(demilitarized zone非军事化区域): 指的是在防火墙外面的服务器,特点,被暴露目标在防火墙保护之外
Bastion host(堡垒主机); 指安装了防火墙软件的电脑设备,一般设在一边连internet一边连内部网络的主级,特点,也是暴露在网络上,但是一种被强化的,可以防御能力攻击的电脑,所有内部主机要于外部进行数据交流就要通过堡垒主机,同样,外部数据要流入内部网络,也要通过
堡垒主机
堡垒主机可以分为1 single-homed bastion host 单宿主堡垒主机: 特点,只检查外部进入内部的数据包
2 dual-homed bastion host 双宿主堡垒主机 : 特点 可以检查内部到外部,和外部到内部的数据包
3 single-purpose bastion host 单目的的堡垒主机 : 特点 只安装了防火墙软件的主机不可失
4 internal bastion host 内部堡垒主机 : 特点 是保护内部网段中进行保护层的堡垒主机,不连接外部的internet,主要是当外部的堡垒主机被攻破了,还可以保护内部的主
堡垒主机的特色;
保持堡垒主机的简单性,尽可能少装软件或提供服务,最好只装上提供防火墙功能的软件
最好安装在最小的硬件的需求低性能的主机
筛选路由器: 是对进出内部网络的所有数据进行分析,并按照一定的安全策略进行限制, 特色,可以检查由内部或外部进出数据包,可根据IP地址拒绝进出流量
阻塞路由器: 也叫内部路由器,可以保护内部的网络不受外部网络的侵犯
它只检查外部进入内部的数据包,
网管人员常用的网络命令 :
tracert 追踪到一个网络上经过的路由器有多少台
NMAP
入侵监测IDS(Intrusion Detection System)
IDS入侵检测软件可以放在防火墙之后对网络活动进行即使检测,主要功能提供管理网络流量的分析
区分为: 网络级和主机级
网络级: 程序同时具备管理者和代理者的身份,只要在一台主机上安装IDS就完成所有的工作,网络是接受被动的查询,他可以安装在路由器或堡垒主机中, 主要工作方法是通过连接网络,捕获网络上的数据包,并分析其是否具有已知的攻击模式,以次来判别是否该活动为入侵活动,也可以扫描整个网络,
优点:
1. 容易安装,通常只需要将程序安装在一台主机上
2. 适合阻止扫描和阻止DOS攻击
缺点:
1. 在交换和ATM环境中工作不好
2. 对处理升级非法帐号权限(eq:升级为管理员权限),破坏策略和篡改日记并不是特别有效
3. 扫描大型网络时会是主机的性能下降
主机级的结构是使用一个管理者和数个代理,管理者向代理发送查询请求,代理向管理者报告网络中主机传输咨询的情况
优点: 在主机少的情况下,使用主机级的话,性价比更高,更容易的检测一些活动
IDS规则
IDS就象防火墙一样,必须要建立策略,大多数的IDS都有预定的策略,不过,你最好编辑已有的策略和增加新的策略来为网络提供最好的保护
1编辑的元素:
2需要保护的主机
3是否要进行日记记录
4需要禁止那些主机入侵或访问
5实施策略的时间段
6对入侵事件的描述
7对放声的事件如何放应
IDS的策略主要是针对的是: 网络的异常活动或网络的误用
Network security
introduction to networking
(security)安全: 减少资料,资源被攻击的可能性
(vulnerability)漏洞: 是指一些人对数据非发取得访问权,通常指的是系统的各种可能被非法入侵的端口和安装的问题
后门: 为软件开放的后门,通常是软件开发人员为了更好的维护软件而开放的一个和使用该软件的用户的一个通道
黑客活动: 大部分黑客威胁来之内部,而不是来自外部
安全寻求平衡:使用有效的安全策略来平衡公司用户和安全的冲突,
Elements of Security (安全的基本因素)
1 (Audit)稽核
2 (Encryption and Access Control)加密和访问控制
3 (Authentication)鉴定
4 (Security Policy)安全策略划分安全等级
1 (Audit)稽核
稽核报告系统分类
安全等级 Application(应用于) Impeamentation(实施)
低 电脑不包含访问敏感资料
电脑在安全的区域 安装了防病毒软件
电脑可防止一般的攻击行为
中 电脑含有或可访问公司内部资料,电脑可超过一人以上的访问
对于意外损失的危险,必须要必要的保护措施 具有一般稽核功能
使用档案许可权保护
实施帐号策略
高 电脑含有高度敏感或极有价值的资料
电脑在高风险的区域
2 (Encryption and Access Control)加密和访问控制
加密和访问控制: 对公司的一些资源来加密和访问控制,
Resource资源分类(4种资源)
①end user Resources终端用户资源: 通过检测木马,病毒来保护资源
②network Resources 网络资源: 通过保护路由器,交换机,ACL列表来避免黑客入侵
③server resources 服务器资源: E-mail ,FTP等的保护,可以防止而已的访问以及控制其他资源,也可以使用ACL列表来保护
④information storage resources 储存资询资料: 商业机密,交易资询,用户资料等,进行加密来保护
3 (Authentication)鉴定
4种鉴定方法:1 是否有密码 2 拥有如钥匙或智能卡等 3 根据特征来鉴定会 4 根据位置,如IP
4 (Security Policy)安全策略划分安全等级
安全可以划分为三个等级
等级一: 对于商业执行最重要的系统. Eq:一个电子商务公司的服务器
等级二: 对于日常工作是必须的,但不是最重要的系统. Eq:公司内部的员工的资料库
等级三: 不会对等级一,等级二系统照成破坏的电脑主机. Eq: 公司内部员工的个人电脑
安全分类级别
级别 数据 系统 安全
级别3:日常工作 一些用于操作的数据 一般的系统,在数据丢失或停止时不会导致公司的商业行为正常运转 一般的安全策略和防范
级别2:较重要 如果数据保护不好的话会使公司产生极大的风险 操作系统或电子商务在线系统,其停止时间最多不能超过48小时,这种情况内部服务器不能直接连入到Internet 一般的安全策略加上特殊的监视,审计和恢复策略
级别1:最重要 需要高度保护的重要数据,如商业机密和客户资料等 重要任务级的系统,系统停止运行不能超过几个小时,如证书服务器,公网上对外服务的一些服务器等 安全分析及扩展的安全机制,系统级别的审计,监视和安全功能
明智的为系统分类:
根据机器上的信息量和数据的敏感度和性质去为系统分类.
资源的优先划分:
根据系统和他的信息的重要性而顶,用于发生事故时,管理员先去做什么,后做什么?使损害降到最低
指定危险因素:
危险因素指的是黑客攻击某种资源的可能性,资源越敏感的危险因素就越大.
定义可接受和不可接受活动:
可接受的活动: 允许用户在公共的资源进行活动
不可接受的活动及实施: 列举出可接受的活动,剩余的活动全化分为不可接受的活动,最好的策略是定期列举出不可接受的活动,这样能建立一个有效的政策,缺点:花费一些时间,并且经常的去更新,管理
加密
加密是使某些东西只能是某些特定的接受者可以知道的过程
加密的类型
对称加密: 使用一个字符串(密钥)来加密数据,这把密钥用来加密,同时也用来解密,接收方和发送方共用次密钥,
用DES,RC2,RC4,RC5,RC6等算法实施对称加密
对称加密工作流程:
1. 甲方想发送信息给乙方,首先使用一组密钥加密,然后在进行对称加密的算法,而生成密文,
2. 乙方在使用同一把密钥来解密,使用对称解密算法,把密文还原成明文
注: 甲和乙用的是用一把密钥
DES: 是美国的国家技术标准局(NIST)开发DES(Data Encrypt Sdandard)标准
DES加密方法:
1, 是一种64位的加密演算法标准
2, 是一种block模式(将文件拆成64bit的文件分散来加密)的密文
eq: 如一个文件,加密的密钥的长度56bit,在加密的同时,把文件分成64bit的一块一块的密文,然后在解密,解密的长度为56bit,在打乱,在重新进行加密,这断过程主要是增加破解的难度
官方网站www.nist.gov
RC2,RC4,RC5,RC6是用RSA公司发明的,
RC2: 是由Ron Rivest开发的,它是一种block模式的密文(前面讲过的),就是把资料加密成64位的资料.因为它可以只用不同长度的密钥,它的密钥长度可以从0到1024并且加密的速度依靠密钥的大小不等(DES只有56bit)
Eq: 如一个文件,加密的密钥长度可以达到1024bit,把文件分成64bit的一块一块的密文
RC5: 1 类似于RC2,也是block密文,但是这种算法采用不同的block大小和密钥大小
2 有12到161个rounds (rounds指的是,加密后解密打乱在加密,在解密,在打乱的次数)
3 RC5加密算法,二进制兼容的加密算法,密钥可到2048bit
eq:文件,密钥(长度可以达到2048bit)
分成64bit的一块一块,得到密文长度了,在进行rounda(加密解密过程)共12到161个
RC4: 也是由Rivest在1987年开发的,是一用Stream流式(把资料加密成一个整体观念)的密文(不同于前面的block),密钥也是可变的:在美国一般密钥长度是128位
Eq:文件,用密钥(长度可以达到2048)进行加密
RC6: RC6的设计是弥补RC5的vulnerability(漏洞),RC5的特殊Round上理论上有个漏洞,
更多可以参考www.rsasecurity.com
他们的对照表:
加密算法 密钥长度 密文长度 密文类型
DES 56bit 64bit Block
RC2 0 to 1024bit 64bit Block
RC4 0 to 2048bit Stream
RC5 0 to 2048bit 64bit Block
RC6 0 to 2048bit 128bit Block
非对称加密(Asymmetric Encryption): 使用一对密,加密方和解密方拿有不同的密钥
两种主要的非对称密钥加密方法:
RSA-----非对称演短法由RSA安全公司创立
DSA-----Digital Signature Algorithm美国国家技术标准局(NIST)开发的技术已经成为Liunx下的公钥加密方法的标准
非对称加密流程:
1 甲方发送信息给乙方时,首先用发送方的公钥来进行加密,再使用非对称加密算法,最后得到一组密文
2 乙收到一组密文,用一把接收方的私钥(与发送方的密钥不同),在进行非对称解密算法,求得算法
DSA只提供数字签名,不提供数据加密功能,
缺陷:
1 由于密钥的产生是依赖乱数的选取,但在上,从某些特定范围所选取的乱数的机是其他范围的2倍
2 这种偏重性减弱了DSA的安全性能
3 这种偏重性将影响到电子上午,金融交易的安全性
比较:
DSA的签名速度比RSA快,但RSA的验证签名的速度比DSA快,解密的速度MD5最快,RC6,DES,RSA依次减慢.
HASH加密
三种主要的Hash加密方法:MD2/MD4/MD5由RSA公司研发的
MD2/MD4和MD5是一组基于单向HASH功能的演算法,这些操作采用一定长度的位元组流(128bit)并产生一个唯一的数字指纹,
功能: 当一个文件被发送出去之前,会为这个文件进行数字签名,以保证这个文件不可串改性
eq: 当甲发发送一份文件ciw.txt,并且附带一个ciw.md5的数字签名给乙法(档案名称同为ciw),ciw.md5是一组乱数(数字签名),一共32byte=128bit
如果ciw.txt被改过后,数字签名会发生变换,这时就知道文件被人家改过
MD2基本工作方法: 一个文件如果有23个byte,不是16的倍数的话,那么,将增加9个byte,这样使他的文件等于16的倍数,然后在生成一组数字签名
Md4: 如果一个文件为23个byte,不能被512整除的话,先加488,如果还不能整除的话,就加byte,加到正好能被512整除,然后在生成一组数字签名 .
认证
ISO(International Organization for Standardization)工业评估标准
更多参考www.iso.ch
OSI的标准
http://www.iso.org/iso/en/Catalo ... CS3=&scopelist=
不过,他们的标准要用钱去购买的,
描述安全方面的工业评估标准
ISO7498-2对等级的本地和远端系统及应用程序访问的主要安全服务
Authentication (鉴定): 必须有密码才能进去系统
Acess Control (访问控制): 赋予用户对数据访问的许可权
Data Confidentiality (资料的保密性): 保护主机不被没有访问权限的用户访问
Data Integrity (资料的完整性): 利用特殊加密的资料以及使用带有密码的用户帐号登陆
Non Repudiation (不可否定性): eq:当发生交易时,如果一方拒绝承认发生过交易,另一方就需要拿出证据来证明交易确实发生过
电脑系统安全评估标准(BS 7799)
英国标准:BS 7799,同时也是ISO 17799
BS 7799分为:
BS 7799-1 讨论了确认保护网络安全所采取的步骤.
BS 7799-2 讨论了执行资源安全管理系统时应采取的步骤.
电脑系统安全评估标准(TCSEC)
美国国家电脑安全中心(NCSC)建立了电脑系统安全评估标准,分7级
A 需要经过严格的数学运算验证,确保系统不会被危害,如Honeywell SCOMP
B3 可以提供资料的隐藏和分层,阻止个层之间的交互影响
B2 支持结构化,硬体保护,记忆体区被实际分割并严格保护,如Honeywell MULTICS
B1 标记安全的保护措施,如AT&T,UNIX
C2 灵活的访问安全性,系统要识别用户还要考虑唯一行,如NT,等系统
C1 基本的安全保护,系统不需要区分用户
D 最低的安全级别,如MS-DOS系统,没有安全性可言
电脑系统安全评估标准(CC)
提供了有助于你选择和发展网络安全解决方案的全球同意标准
CC(等同于ISO 15408)的目的是同意ITSEC和TCSEC
有三部分组成
定义了如何建立安全目标和需求,还提供了一个术语的概述
定义了如何建立能够使商业通信更安全的需求列表
提出了如何建立能够达到公司安全需求的”保险内容”的过程
黑客的攻击手法
1. Front-Door Attacks(前门攻击): 试图攻击鉴定认证过程.伪装成一个合法的用户进入系统
2. Brute-Force Attacks(暴力攻击): 类似于前门攻击,用暴力的方式去破解密码,从而进去系统
3. Dictionary Program Attacs(字典攻击): 使用某种具体的密码来缩小尝试的范围,大多数的用户使用标准单词做为密码,一个字典攻击会试图通过利用包含单词列表的档去破解密码
4. Bugs and back door attacks(Bug与后门攻击): BUG是一个程序中的错误,它产生一个不注意的通道.后门是一个在作业系统上或程序上未被记录的通道,大多数的后门并不是有恶意的
5. Denial-of-service attacks(Dos拒绝服务攻击): 联合很多电脑去Ping同一个主机,用该主机的资源通道堵塞,没有办法去提供服务.
6. Social engineering and Non-Direct attacks(间接攻击): 使用记谋或假情报去获取密码和其他敏感的数据.
NetBus(木马程序)
NetBus由Client(服务端)和(patch)客户端端,
思路:一般用E-mail附带自动执行的程序或别的办法去骗取远端的管理员运行Patch
(threats)威胁
(Passive threats)被动的威胁: 比如黑客利用sniffer(嗅叹器)捕获数据包,而没有警告内容或改变目的地址,资料的合法用户对这种活动一点也不会察觉.
(keystrokes threats)键盘记录的威胁: 悄悄的进行,不会影响电脑的性能
(intentional threats)有意图的威胁: 比如知道邮件的存放位置,导致黑客窃取邮件资料.
Eq:WINDOWS98的邮件默认的路径: C:\WINDOWS\Application Data\identities,
WINDOWS2000的路径: C:\ C:\Documents and Settings\Administrator\local settings\Application Data\identities
Eq:IPC$空会话连接: 开始------cmd
用net user 可以查看用户的帐号,
用net use x: \\19.168.1.4\c$ 这是将对方的C盘映射到我们电脑的X盘,这时候打开电脑就看到了X盘
(Accidental threats)偶然的威胁
eq:一个用户可以远程望文访问系统,并且可能偶然的建立了一个以前用户没有中断的回话
TFTP的威胁: TFTP不用密码的传输,
一般用户变管理员的威胁: logon.scr是启动加载的程序,usrmgr.exe是管理所有用户的画面,如果黑客把usrmgr..exe 改为logon.scr,则可以直接在登入时启动usrmagr.exe程序,而不用输入密码,当黑客进入用户管理画面后,就可把他自己的权限加到administrator组.
Keberos: 是一种被证明为非常安全的双向身份认证技术,通过其身份认证强调了Client端对Server端的Authentication
组成模快:
工作过程: 1首先客户端发送username和password给KDC(key distribution center)
2 KDC在返回Ticket Granting Ticket给客户端
3 客户端在拿着ticket Granting Ticket 给KDC验证,
4 KDC收到客户端返回的Ticket Granting Ticket验证正确后,在发给客户端一个Service Ticket
5 客户端收到Service Ticket 后才可以向Server请求服务
OTP(One time password)一次性加密
原理: 在登入过程中加入了不确定的因素(如时间等,这时时间不同,密码也不同),使每次登入过程中传送的咨询都不相同,以提高登入过程的安全性,网上银行都采用这种方法
eq: 登入密码=用户名+密码+时间 (现在很多网站都增加了即时数位Authentication(鉴定))
eq: 加密”hello wordl”
纯文字的部分,可以以8位ASCII编码,产生以下16进制的表示方法:
4f 6e 56 20 74 69 45 f1 32 45 78 85 35
OTP随即产生一组16进制的密钥
12 45 78 3d 34 g5 12 43 2d od 22 71 b6
执行了加密操作后,我们可以得到以下密文
d2 fe c7 d9 -3 f8 3j od 7d 4i 90 15 c2 d6
(注意: 需要加密的文字长度和密钥的长度是一样的)
优点: 密钥的长度于文件相同,并且密钥是随即产生的,黑客很难破解
确定: 当文件是50G的文件是,则密钥也是50G,则加密不方便和浪费时间
一般加密方式的缺点
1. 为了方便记忆,用户多选择用词组来做密码,因此很容易被破解
2. 企业员工流动性大,内部授权密码被带出公司可能会被恶意使用
3. 一个密码多次使用时,容易造成无意泄露
4. 黑客可以从网上截获密码,可以轻易获得用户的关键信息
5. 网管或内部其他人员可通过合法授权取得用户密码而非法使用
6. 密码自动破解工具是破解密码的时间缩短,甚至克服了密码加密的问题
OTP应用的范例:
目前市面上所研发的密码卡,多半是使用OTP加密
密码卡安全算法程序没分钟变化一次,因此任何人都无法预知密码
密码卡使用户不需要记忆多个密码,只要脊柱一个密码卡的开机PIN码即可
密码卡采用双因素任证机制,用户登陆时,处开机PIN码外,还需要输入密码卡产生的随即密码才能登陆系统,开机PIN码只保存在密码卡专用芯片和认证服务器中,不在网络上,因此可以避免在网络上被截取密码,
密码卡如果遗失,只需挂失就可以
OTP工作流程:
1. 客户端向应用服务器请求服务,
2. 应用服务器并不会马上给客户端提供服务,而已向验证服务器严正请求
3. 验证服务器要求客户端验证
4. 客户端将密码卡插入读卡机中,随机产生一组OTP密码与验证服务器验证
5. 通过验证服务器,验证服务器会交给应用服务器
6. 最后由应用服务器向客户端提供服务
VPN
VPN虚拟专用网络协议(Virtual Private Networks Protocol)
VPN是指在共用的网络上建立专用的虚拟网络的技术
在VPN整个网络上任意两点之间的连接是没有真正的实体网络,是架设在共用网络服务商所提供的网络上,
当一个人出差在外需要访问公司的服务器时,如果使用internet 连接是不安全的,因为这样的话,其他用户就有机会访问公司的服务器,就加大了风险,这时如果用VPN技术的虚拟一条网络的话,那么相对是安全的,因为建立VPN时,只有两端的电脑可以通讯,其他的电脑都无法于服务器通讯
建立VPN: 使用PGP软件,首先安装,然后在点击PGPnet,在选择VPN,点Add, 然后点击use expert mode(接受预设设定),在点next, 在点next,到Add Host Wizard的时候要你填的是欲连接主机的名称,在点next,在填IP,在N ext,在下来,会有两个选项,Automatically(自动连接),如果你想自动连接的话,就选这个,Manually(手动连接),在next,下来,单击select key按钮来选择自己的密钥,在next,最后将被要求输入自己的密钥的passphrase,建立一个系统的鉴定条目,输入密码就完成了.
安装PGP并对E_mail进行加密
PGP: 是一种基于RSA公钥加密软件的邮件系统加密软件
可以用来对你的邮件加密,防止被人查看,可以对你的邮件加上数字签名从而可以使收信人确认邮件是你发来的.
www.PGP.com上购买,
PGP用来加密邮件的方法可以自己去找资料来查看,这里就不举例了
注册表
注册表是在windows95以后的版本中都采用了将应用程序和电脑系统全部配置信息容纳在一起的注册表,用来管理应用程序,硬件设备说明状态属性等,他的功能取代了System.ini和Win.ini,是现在windows系统的心脏,好比人的骨架
进入注册表的方法: 开始----运行- -- regedit
HKEY_LOCAL_MACHINE 里面是包含了当前登录到这个系统上的用户的配置文件,
HKEY_USERS 里面配置包括了当前计算机上所有用户的配置文件
HKEY_CLASSES_ROOT 列出了当前已在计算机上注册的所有COM服务和与应用程序相关联的所有文件扩展名
HKEY_CURRENT_CONFIG 里面列出来计算机当前会话的所有硬件信息
HKEY_CURRENT_USER 列出了当前会话的用户的信息
HKEY_DYN_DATA 保存了系统运转时的动态数据资料,它反映出系统的当前状态,因此每次登录时的数据都不一样
eq:HKEY_CURRENT_USER里的Identities 里面的Last Username是存放当前登系统用户的信息,包括用户名和密码,同样在HKEY_USERS里面的个个子键的Identities 里面也放着用户信息
HEKY_CURRENT_CONFIG 里面存放了桌面的设定资料,如图,我的桌面分辨率为1024*768
HKEY_CLASSES_ROOT 里面存放了系统文件后缀名的所有文件
HKEY_LOCAL_MACHINE 里面就是存放了一些硬件的资料,SAM子键是存放密码, SECURITY是当前系统的安全状况, \SYSTEM\ControlSet001\Services,是储存电脑中服务和设备的配置资料,如HTTP服务,SMTP服务等
HKEY_DYN_DATA(好象windows98才有的,NT或NT以上没有这项)里面存放了系统运行时的数据资料
HKEY_USER 里面的.DEFAULT是存放所有用户进入系统的设置,包括控制面板的内容,S开头的那个是当前用户的SID
NT的注册表: 他存放在\WINNT\System32\config下 开开这个文件会发现很多文件,default是存放注册表的文件,default.log是存放注册表历史记录,SAM是存放帐号和密码的文件(这个文件很重要,但你忘记密码时,可以用DOS模式下,把SAM删除,重新启动就可以不用帐号了),System.alt是系统备份,System.sav是对比原始注册表记录不同处,
另一个重要的资料夹,\WINNT\Repair下是原始未别修改过的注册表文件,在WINNT\Profiles\username的资料夹下,档案名是NTUser.dat的文件是用户个人的注册表的配置
注册表被破坏的现象:
1. 系统无法启动,启动WINDOWS时,会出现提示: 无法启动SHELL32.DLL,请推出部分程序,然后在试一次,当按下确定后,系统死机
2. Mprexe.exe程序发生错误,即将关闭,,如果安下关闭按钮,系统将死机
3. 在启动市场windows时,出现以下提示: Cannot find a device file 底下有press a key to continue这几行
注册表被破坏的途径”
1. 应用程序的错误
2. 驱动程序不兼容或使用了错误的驱动程序
3. 应用程序在注册表中添加了错误的内容
4. 电脑硬件更换或损害,如病毒,断电,CPU烧毁
注册表的修改
注册表的修改: 建立子键,设置数值,查询数值,删除 注:要用administrator 帐号来登录,否则有些注册表不能修改.
eq: edit---new---key---closePC(建立子键), new----value(设置数值)
双击即可查询数值, 点delete(删除)即可删除
eq:加快关机速度的例子: 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell下选择new ----key把名字命名为closePC(关机的意思) 建立个别string value ,然后在右边的New Value #1右键选择改名,改成command ,后面的TYPE是类型的意思REG_SZ表示字符串类型,
在双击弹出对话框,在对话框中输入c:\winnt\system32\ruudll32\rundll32.exe user.exe,exit windows(表示直接通过核心文件推出WINDOWS
registry access controls(注册表的访问控制)
notify(通知) write owner(写入所有者) write DAC(写入权限)
建立假帐号和密码
主要的目的:迷惑黑客,使网管人员能够有足够的时间来发现入侵情况
eq: 在NT中建立一个administrator帐号,把这个帐号设为没有访问权限,同时把他设置一个脚本,使这个帐号登录时,便通知网管人员,
在控制中心,选择computer management(电脑管理)
在system tools----local users and groups----users---单击右键,选择news user在弹出的对话框中
建立一个administrator 的用户,记住,密码要与真正的管理员的密码不一样,还有底下的第一项不能选上.
Logon Scripts使用登录陷阱脚本
使用陷阱脚本是为了黑客使用刚才建立的administrator帐号登录时执行,这样它将记录企图登录系统的主机名和IP地址,并发出警告,通知管理员,可能有黑客入侵 内容编写,打开记事本,输入@echo off net send <电脑名> “<消息内容” 命名为script.bat文件,保存在C:\WINNT\System32\repl\import\scripts文件夹下,
最后,在system tools----local users and groups----users双击administrator,在弹出对话框中填入scripts.bat
这样,当你在工作过程中,收到刚才设置脚本里面的消息,那你应该意识到可能有黑客入侵
服务器中,应当把administrator改名,这为了使黑客不知道那个帐号是真正的管理员帐号,是管理员有更多的时间去发现,还有IUSR_(电脑名)这个帐号,如果不提供WWW服务的话,应该把他禁止掉,
也应该把提供服务的所有服务选项都把默认的路经都修改过,使黑客难以找到真正的路经
电子邮件的默认路经也修改,在电子邮件用,工具-----设置-----维护----储存位置,把它改掉即可
改变系统的预设值: windows2000的主要资料的存放目录是C:\Documents and settings和WINNT,让我门来看看C:\Documents and settings 的文件夹,进去administrator文件,Application Data 是存放outlook express的邮件,NTUSER.DAT是存放HKEY_CURRENT_USER注册表里面的信息,NetHood是存放网络邻居的连接, printHood是网络共享打印机的连接,我们在来看看WINNT的资料夹,msagent是office小帮手,msdownld.tmp是windows升级时的临时档案,profiles是2000为了兼容久的软件所存放的程序配置的档案,repair 是存放了注册表原始备份的档案,system是2000为了兼容98的久软件存放的程序配置档案,system32是2000本身驱动程序等系统档案
改变系统预设的共享: windowsNT出于为了管理的目瞪口呆自动共享了文件,包括C$,D$等,ADMIN$是一个指向C:\winnt资料夹,删除共享,查看个个盘的属性,把他设为不共享,或用命令: share c$ /del
删除不必要的服务: 删除Gopher服务,Gopher是用来检查分布在internet上的文件的服务,随着WWW的普及,现在已经不需要了,但,大多数WEB服务器中,都具备Gopher的服务端功能,当从Gopher服务器发送特定的字符串时,可能造成IE缓冲区溢出,
惩罚黑客: 使用IGMPNUKE软件,会根据来源的IP地址发送大两的IGMP数据包
防火墙(firewall)
1. 可根据安全策略控制(允许,拒绝,监测)出入网络的数据
2. 防火强是一个分离器,一个限制器,也是一个分析器
3. 是不同网络或安全网络之间数据的唯一出路
防火墙的任务: 1 监视检查人员所有进出的数据
2 建立一个阻塞点
3 执行一个公司的安全策略
4 记录internet活动,日记记录功能
防火墙可以分为:
1 Circuit-leel(电路级)防火墙-----一般指路由器
2 Application-level(应用级)防火墙------通常指安装防火墙软件
3 Circuit and Application-level( 电路应用级)防火墙-----通常指堡垒主机
防火墙术语:
Gateway(网关): 是在两个网络之间提供转发数据的服务
Net address translation(NAT): 网络地址解释是对internet隐藏内部IP地址,防止内部IP地址被外网知道
Packet filter(包过滤): 允许或阻止数据包的出入,优点:不用改变客户机和主机上的应用程序,因为是工作在网络曾和传输层上,缺点: 只能过滤判别网络层和传输层的数据,因此各种安全不能充分满足
代理服务器: 主要是代表内部用户端和外部服务器通讯,他是属于应用级的防火墙,
DMZ(demilitarized zone非军事化区域): 指的是在防火墙外面的服务器,特点,被暴露目标在防火墙保护之外
Bastion host(堡垒主机); 指安装了防火墙软件的电脑设备,一般设在一边连internet一边连内部网络的主级,特点,也是暴露在网络上,但是一种被强化的,可以防御能力攻击的电脑,所有内部主机要于外部进行数据交流就要通过堡垒主机,同样,外部数据要流入内部网络,也要通过
堡垒主机
堡垒主机可以分为1 single-homed bastion host 单宿主堡垒主机: 特点,只检查外部进入内部的数据包
2 dual-homed bastion host 双宿主堡垒主机 : 特点 可以检查内部到外部,和外部到内部的数据包
3 single-purpose bastion host 单目的的堡垒主机 : 特点 只安装了防火墙软件的主机不可失
4 internal bastion host 内部堡垒主机 : 特点 是保护内部网段中进行保护层的堡垒主机,不连接外部的internet,主要是当外部的堡垒主机被攻破了,还可以保护内部的主
堡垒主机的特色;
保持堡垒主机的简单性,尽可能少装软件或提供服务,最好只装上提供防火墙功能的软件
最好安装在最小的硬件的需求低性能的主机
筛选路由器: 是对进出内部网络的所有数据进行分析,并按照一定的安全策略进行限制, 特色,可以检查由内部或外部进出数据包,可根据IP地址拒绝进出流量
阻塞路由器: 也叫内部路由器,可以保护内部的网络不受外部网络的侵犯
它只检查外部进入内部的数据包,
网管人员常用的网络命令 :
tracert 追踪到一个网络上经过的路由器有多少台
NMAP
入侵监测IDS(Intrusion Detection System)
IDS入侵检测软件可以放在防火墙之后对网络活动进行即使检测,主要功能提供管理网络流量的分析
区分为: 网络级和主机级
网络级: 程序同时具备管理者和代理者的身份,只要在一台主机上安装IDS就完成所有的工作,网络是接受被动的查询,他可以安装在路由器或堡垒主机中, 主要工作方法是通过连接网络,捕获网络上的数据包,并分析其是否具有已知的攻击模式,以次来判别是否该活动为入侵活动,也可以扫描整个网络,
优点:
1. 容易安装,通常只需要将程序安装在一台主机上
2. 适合阻止扫描和阻止DOS攻击
缺点:
1. 在交换和ATM环境中工作不好
2. 对处理升级非法帐号权限(eq:升级为管理员权限),破坏策略和篡改日记并不是特别有效
3. 扫描大型网络时会是主机的性能下降
主机级的结构是使用一个管理者和数个代理,管理者向代理发送查询请求,代理向管理者报告网络中主机传输咨询的情况
优点: 在主机少的情况下,使用主机级的话,性价比更高,更容易的检测一些活动
IDS规则
IDS就象防火墙一样,必须要建立策略,大多数的IDS都有预定的策略,不过,你最好编辑已有的策略和增加新的策略来为网络提供最好的保护
1编辑的元素:
2需要保护的主机
3是否要进行日记记录
4需要禁止那些主机入侵或访问
5实施策略的时间段
6对入侵事件的描述
7对放声的事件如何放应
IDS的策略主要是针对的是: 网络的异常活动或网络的误用
浙公网安备 33010602011771号