网络安全概述(续)

ISASERVER概述内容回顾网络安全面临的威胁网络设备（路由器、交换机）面临威胁操作系统面临威胁应用程序面临威胁针对企业网络面临的安全威胁制定解决方案网络攻击的常见手法介绍端口扫描安全漏洞口令入侵木马程序邮件攻击等ISASERVER概述网络安全基础防护第2章ISASERVER概述本章目标掌握路由器与交换机安全设置的方法掌握Windows系统安全设置的方法掌握Linux安全设置的方法掌握Web服务与数据库基本安全设置方法ISASERVER概述针对路由器攻击类型直接侵入到系统内部远程攻击使路由器崩溃或是运行效率显著下降InternetISASERVER概述路由器安全管理1路由器支持的配置方式TELNETTFTPFTPHTTPSNMPConsoleAuxISASERVER概述路由器安全管理2面临的威胁Telnet信息为明文HTTP存在漏洞Console口SNMP协议缺省设置telnet信息、SNMP信息等ISASERVER概述路由器安全管理3及时更新IOS下载IOSISASERVER概述路由器安全管理4控制台辅助远程登录启用口令在路由器上登录口令加密ISASERVER概述路由器安全管理5设置远程登录控制设置控制台与AUX登录控制Router(config)#linevty04Router(config-line)#loginRouter(config-line)#passwordciscoRouter(config-line)#exec-timeout10Router(config)#lineconsole0Router(config-line)#transportinputnoneRouter(config-line)#passwordciscoRouter(config)#lineaux0Router(config-line)#transportinputnoneRouter(config-line)#noexecISASERVER概述路由器安全管理6应用强密码策略关闭基于Web的配置Router(config)#servicepassword-encryptionRouter(config)#enablesecretciscoRouter(config)#noiphttpserverISASERVER概述路由器安全管理7利用ACL禁止Ping相关接口关闭CDPRouter(config)#access-list101denyicmpany192.168.2.10.0.0.255echoRouter(config)#access-list101permitanyanyRouter(config-if)#ipaccessgroup101outRouter(config)#nocdprunRouter(config-if)#nocdpenableISASERVER概述路由器安全管理8禁止不必要的服务查看配置信息Router(config)#noipdomain-lookupRouter(config)#noipbootpserverRouter(config)#nosnmp-serverRouter(config)#nosnmp-servercommunitypublicRORouter(config)#nosnmp-servercommunityadminRWRouter(config)#showconfigurationRouter(config)#showrunning-configISASERVER概述交换机安全管理及时下载新IOS使用管理访问控制系统禁用未使用的端口关闭危险服务利用VLAN加强内部网络安全ISASERVER概述阶段总结针对路由器的攻击直接侵入到系统内部远程攻击使路由器崩溃或是运行效率显著下降网络管理协议路由器安全管理登录控制应用强密码策略关闭不必要的服务利用ACL等ISASERVER概述阶段练习设置Cisco交换机控制台口令设置Cisco交换机远程访问口令ISASERVER概述Windows安全1关闭不必要的服务RemoteRegistryServiceMessenger关闭不必要的端口telnetNetbiosFTPWebISASERVER概述Windows安全2打开审计策略重要文件安全存放登录时不显示上次登录名禁止建立空连接关闭默认共享ISASERVER概述操作系统安全加固使用MBSA查看系统漏洞查看扫描结果启动检查ISASERVER概述Linux安全Linux面临的威胁DoS攻击本地用户获取非授权的文件的读写权限远程用户获得特权文件的读写权限远程用户获得root权限ISASERVER概述Linux安全设置1使用GRUB口令编辑/boot/grub/grub.conf，加入以下语句password12345删除所有的特殊帐户包括lp，shutdown，halt，news，uucp，operator，games，gopher等[root@redhatroot]#userdellp[root@redhatroot]#groupdellpISASERVER概述Linux安全设置2修改默认root密码长度默认root密码长度是5位，建议修改为8位编辑/etc/login.defs，修改PASS_MIN_LEN5为PASS_MIN_LEN8ISASERVER概述Linux安全设置3打开密码shadow支持功能利用md5算法加密为shadow文件添加不可更改属性[root@redhatroot]#chattr+i/etc/shadowISASERVER概述Linux安全设置4取消所有不需要的服务telnet、http等默认启动的服务关闭telnet，编辑/etc/xinetd.d/telnet，修改disable=no为disable=yes更改/etc/xinetd.conf的权限为600，只允许root来读写该文件[root@redhatroot]#chmod600/etc/xinetd.confISASERVER概述Linux安全设置5小练习要关闭HTTP、FTP等服务应该如何实现？ISASERVER概述屏蔽系统信息登录信息包括Linux发行版、内核版本名和服务器主机名等[root@redhatroot]#rm/etc/issue[root@redhatroot]#rm/etc/issue.net禁止按Ctrl+Alt+Del键关闭系统编辑/etc/inittab，将ca::ctrlaltdel:/sbin/shutdown-t3-rnow改为＃ca::ctrlaltdel:/sbin/shutdown-t3-rnowISASERVER概述Linux安全设置7不允许root从不同的控制台进行登录编辑/etc/securetty，在不需要登录的TTY设备前添加#，禁止从该TTY设备进行root登录使用SSH进行远程连接通过SSH客户端软件连接Linux在Linux下利用以下命令连接其他Linux[root@redhatroot]#ssh–lroot192.168.2.180ISASERVER概述Linux安全设置8禁止随意通过su命令将普通用户变为root用户编辑/etc/pam.d/su，加入以下内容authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=wheel(wheel为系统中隐含的组，只有wheel组的成员才能用su命令成为root）ISASERVER概述Linux安全设置9配置防火墙利用iptables防火墙保持最新的系统内核随时关注Linux网站上内核更新ISASERVER概述应用程序安全设置1Web安全随时下载安全补丁只开放80端口放置在专门的区域中利用SSL安全访问将IIS的安装目录和数据与系统磁盘分开设置SQLServer的安全安装SQLServer的最新补丁程序使用安全的帐号策略选择正确的身份验证模式加强数据库日志记录除去不需要的网络协议ISASERVER概述本章总结网络安全基础防护Web安全防护数据库安全防护Linux安全防护Windows安全防护路由器安全管理交换机安全管理设备安全防护操作系统安全防护应用程序安全防护通过设置路由器（交换机）控制台、远程登录以及AUX接口安全，设置强密码策略，设置ACL等设置GRUB口令，删除特殊帐号，修改密码长度，取消不需要的服务，屏蔽登录信息等ISASERVER概述实验背景随着HB公司的网络设备和服务器越来越多，应用越来越复杂。提出了新的需求：实施路由器与交换机安全管理实施操作系统安全ISASERVER概述任务1背景利用MBSA进行Windows安全扫描完成目标安装MBSA利用MBSA进行Windows安全扫描查看扫描结果ISASERVER概述任务2背景通过MBSA扫描结果来加强Windows安全性完成目标开启密码复杂性策略开启帐户安全策略开启帐户审核策略开启安全选项关闭潜在危险服务ISASERVER概述任务3背景利用Linux自身功能加强系统安全性完成目标设置GRUB口令删除系统默认帐号及组帐号禁止三键重启删除登录信息设置最短口令长度利用SSH替代TelnetISASERVER概述任务4背景加强路由器（交换机）的安全访问控制完成目标能够对路由器登录实施口令控制关闭基于Web的配置关闭其他不必要的服务关闭CDP