李凤华--计算机安全与保密技术--第五章

网络安全第五讲积极防御本讲内容5.1访问控制5.2审计5.3防火墙5.4入侵检测5.5安全系统设计5.1访问控制5.1.1安全服务的各个层面•安全服务（SecurityServices）：开放某一层所提供的服务，用以保证系统或数据传输足够的安全性根据ISO7498-2,安全服务包括：1.实体认证（EntityAuthentication）2.数据机密性（DataConfidentiality）3.数据完整性（DataIntegrity）4.防抵赖（Non-repudiation）5.访问控制（AccessControl）5.1.2访问控制的概念及分类原始概念——是对进入系统的控制(用户标识+口令/生物特性/访问卡)一般概念——是针对越权使用资源的防御措施。一般分为：•自主访问控制•强制访问控制•基于角色的访问控制5.1.3访问控制的目的和作用目的:是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么作用:是对需要访问系统及其数据的人进行鉴别,并验证其合法身份；也是进行记账、审计等的前提5.1.4访问控制与其他安全措施的关系模型引用监视器鉴别访问控制授权数据库用户目标目标目标目标目标审计安全管理员5.1.5访问控制的一般实现机制和方法一般实现机制——•基于访问控制属性——〉访问控制表/矩阵•基于用户和资源分级（“安全标签”）——〉多级访问控制常见实现方法——•访问控制表（ACL)•访问能力表（Capabilities)•授权关系表userAOwnRWOuserBROuserCRWOObj11.访问控制实现方法——访问控制表(ACL)2.访问控制实现方法——访问能力表(CL)Obj1OwnRWOObj2ROObj3RWOUserASubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute•按列看是访问控制表内容•按行看是访问能力表内容3.访问控制实现方法——访问控制矩阵4.访问控制实现方法——授权关系表UserAOwnObj1UserARObj1UserAWObj1UserAWObj2UserARObj2自主访问控制强制访问控制基于角色访问控制访问控制5.1.6访问控制的一般策略（略）5.1.7常见相关工具介绍—访问控制(1)•Kerberos开发者：BarrayJaspan一个用于不安全物理网络上的验证原则有效性系统原则=PrimaryName,Instance,Realm主名事例领域1.用户：注册标识符空或与用户相区分不同的关的特殊信息身份验证域2.服务：服务的名字机器名(所以可同时拥有不同的K服务器)常见相关工具介绍—访问控制(2)•其它常见工具软件Deslogin——开发者DaveBarrett提供比Telnet,rlogin更强的安全认证功能，而且所有的数据都可通过DES加密方式从远程主机传入或传出，因此可允许用户通过不可靠的网络访问远程主机，而不必担心被窃听DIAL——开发者RogerTolkvEmulex通过利用电话业务控制访问者身份的回拨工具。即只有已经授权的用户通过自己特定的电话号码，才能够通过验证；一旦用户通过了身份认证，他这次的连接就会被挂断，然后系统会按照他拨入时所使用的电话号码进行回拨用（C语言编写的）CALLBACK.EXE功能/原理和DIAL几乎一致（用Fortran编写）……5.1.8常见相关工具介绍——单机访问控制访问控制主要内容典型工具软件Windows平台桌面保护WindowsEnforcer+CetusStormWindows系统保护UNIX平台多层次权限管理GUARDIAN(一般通过特权值)suGUARD……注：1.桌面保护包括隐藏桌面图标/网上邻居/所有的驱动程序等2.系统保护包括屏蔽热启动/添删打印机/进入DOS环境等5.2审计5.2.1问题的提出70%的安全问题起源于管理几乎所有的安全事件的查处和追踪依赖系统事件记录系统资源的改善需要历史经验5.2.2审计概念：根据一定的策略，通过记录、分析历史操作事件发现和改进系统性能和安全作用：对潜在的攻击者起到震摄或警告对于已经发生的系统破坏行为提供有效的追纠证据为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞5.2.3NT的安全审计在NT中可以对如下事件进行安全审计：登录及注销文件及对象访问用户权力的使用，用户及组管理安全性规则更改重新启动、关机系统进程追踪等NT安全审计方法利用NT的用户管理器，可以设置安全审计规则。要启用安全审计功能，只需在规则菜单下选择审计，然后通过查看NT记录的安全性事件类型的事件，可以跟踪所选用户的操作。NT的审计规则如下(既可以审计成功的操作，又可以审计失败的操作)：登录及注销：登录及注销或连接到网络文件及对象访问用户及组管理：创建、更改或删除用户帐号或组；重命名、禁止或启用用户号；或设置和更改密码安全性规则更改：对用户权利、审计或委托关系规则的改动重新启动、关机：用户重新启动或关闭计算机；或者发生了一个影响系统安全性或安全日志的事件进程追踪：这些事件提供了关于事件的详细跟踪信息，如程序活动、某些形式句柄的复制，间接对象的访问和退出进程对于文件及对象访问中的文件和目录的审计还需要在资源管理器中对要审计的目录或文件进行具体的设置文件和目录审计允许您跟踪目录和文件的用法。对于一个具体的文件或目录，可以指定要审计的组、用户或操作。既可以审计成功的操作，又可以审计失败的操作审计目录可以选择下列事件：读、写、执行、删除、更改权限、获得所有权5.2.4NT日志文件名称:/WINNT/SYSTEM32/CONFIG/SysEvent.evtSecEvent.evtAppEvent.evt打开工具:程序/管理工具/事件查看器5.2.5UNIX的安全审计Unix的日志文件主要目录:/etc/etc/security/usr/adm早期版本/var/adm近期版本/var/log主要文件:acctpacct记录所有用户使用过的文件lastlog记录最新登录时间(成/败)message记录syslog产生的输出到控制台的信息sulog使用su命令的记录utmp记录当前登录进系统的用户信息wtmp提供一份详细每次用户登录和退出的历史信息文件HOME/.shhistory用户登录进系统后执行的所有命令主要工具:AuthdDump_lastloglogdaemomloginlog.c.ZnetlogNOCOL/NetConsoleSparsunrogate-syslog主要工具:chklastlogchkwtmptrimlogL5traceroutstartUplogsupersavebootloggerinftp.pl5.3防火墙TCP/IP基础知识防火墙防火墙简介几种防火墙的类型防火墙的配置防火墙技术的发展5.3.1TCP/IP协议栈协议栈各层数据包的结构IP网络互连的原理广播子网内部ARP地址解析从MAC地址到IP地址之间的解析以太网络间路由IP数据包格式UDP数据包格式TCP数据包格式常用的上层协议DNS:53/tcp,udpFTP:20,21/tcp,udptelnet:23/tcp,udpHTTP:80/tcp,udpNNTP:119/tcp,udpSMTP:25/tcp,udpPOP3:110/tcp,udp参考：IANA提供的port-numbers.txt常用的网络工具NetstatIpconfig/ifconfigPingTracert……5.3.2防火墙(Firewall)防火墙的基本设计目标对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙通过一些安全策略，试图确保只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力服务控制，确定哪些服务可以被访问方向控制，对于特定的服务，可以确定允许进/出某个方向能够通过防火墙用户控制，根据用户来控制对服务的访问行为控制，控制一个特定的服务行为1.防火墙能解决什么定义一个必经之节点挡住未经授权的访问流量禁止具有脆弱性的服务带来的危害实施保护，以避免各种IP欺骗和路由攻击防火墙提供了一个监视各种安全事件的位置，可以在防火墙上实现审计和报警对于某些Internet功能来说，防火墙也可以是一个理想的平台，如地址转换、Internet日志、审计、计费等功能2.防火墙自身的一些局限性对于绕过防火墙的攻击，它无能为力，例如，在防火墙内部通过拨号出去防火墙不能防止内部的攻击，以及内部人员与外部人员的联合攻击(比如，通过tunnel进入)防火墙不能防止被病毒感染的程序或者文件、邮件等防火墙的性能要求3.防火墙的类型包过滤路由器应用层网关电路层网关5.3.3包过滤路由器基本思想对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包往往配置成双向转发如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略1.安全缺省策略两种基本策略，或缺省策略没有被拒绝的流量都可以通过管理员必须针对每一种新出现的攻击，制定新的规则没有被允许的流量都要拒绝比较保守根据需要，逐渐开放2.包过滤路由器示意图网络层链路层物理层外部网络内部网络5.3.4包过滤防火墙在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点：实现简单对用户透明效率高缺点：正确制定规则并不容易不可能引入认证机制举例：ipchainsandiptables1.包过滤防火墙的设置(1)由内向外的telnet服务clientserver外部内部往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议，目标端口23源端口1023连接的第一个包ACK=0，其他包ACK=1向内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议，源端口23目标端口1023所有往内的包都是ACK=1包过滤防火墙的设置(2)从外向内的telnet服务clientserver内部外部向内包的特性(用户操作信息)IP源是外部地址目标地址为本地serverTCP协议，目标端口23源端口1023连接的第一个包ACK=0，其他包ACK=1往外包的特性(显示信息)IP源是本地server目标地址为外部地址TCP协议，源端口23目标端口1023所有往内的包都是ACK=12.针对telnet服务的防火墙规则*:第一个ACK=0,其他=1服务方向包方向源地址目标地址包类型源端口目标端口ACK往外外内部外部TCP102323*往外内外部内部TCP2310231往内外外部内部TCP102323*往内内内部外部TCP23102313.Ftp文件传输协议(1)clientftpserver命令通道：21端口数据通道：20端口515151502120PORT5151OK建立数据通道OKFtp文件传输协议(2)clientftpserver命令通道：21端口数据通道：1023515151502120PASVOK3267建立数据通道OK3267针对ftp的包过滤规则建立一组复杂的规则集是否允许正常模式的ftp数据通道？动态监视ftp通道发出的port命令有一些动态包过滤防火墙可以做到启示包过滤防火墙比较适合于单连接的服务(比如smtp,pop3)，不适合于多连接的服务(比如ftp)4.针对包过滤防火墙的攻击IP地址欺骗，假冒内