搜索
网络通信安全管理员培训班网络安全概述防火墙技术入侵检测技术系统安全审计与评估2019/11/232网络通信安全管理员培训班从技术角度看◦由补充到基础从用户角度看◦由可选到必备技术需求走向解决方案需求2019/11/23网络通信安全管理员培训班3网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫2019/11/234网络通信安全管理员培训班我国网络安全形势非常严峻•来自国内的威胁•来自国外的民间威胁•来自国外的有组织攻击•整体安全意识的不足•131万个主机被恶意程序控制•5000个网站被篡改•1000个网站被植入后门……2019/11/235网络通信安全管理员培训班•数据传输加密•数据存储加密加密和数字签名技术•基于密码的认证•基于地址的认证身份认证与访问控制技术•数据包过滤技术•代理技术防火墙技术入侵检测技术•数据完整性的鉴别•密钥管理技术•基于密码认证协议的认证•动态身份认证•生物特征认证•状态检测技术•地址翻译技术•虚拟专用网•误用检测•异常检测•混合检测2019/11/236网络通信安全管理员培训班将黑客采用数据欺骗(DataDiddling)、寻找系统漏洞(Scanner)、监听加密封包(Sniffer)、拒绝服务攻击(DenialofService)、虚假IP地址欺骗(IPSpoofing)等入侵手段控制网站站点主机,以达到篡改网页、窃取重要数据,甚至控制站点服务器或摧毁整个网站的行为,称之为对网站的攻击。1.数据欺骗◦数据欺骗(DataDiddling)就是利用口令破解软件破译出进入被攻击系统所需的口令,然后堂而皇之地进入系统。◦通过向用户发送欺骗性邮件、建立虚假网站或主页来骗取口令的攻击方法也就应运而生。2.利用工具寻找系统漏洞并攻击网站◦网络应用程序的漏洞操作系统浏览器电子邮件网络服务程序与协议◦网络硬件产品的安全问题3.监听加密封包(sniffer)4、拒绝服务攻击5、虚假IP欺骗1.大多数网站设计,只考虑正常用户稳定使用。2.网站防御措施过于落后,甚至没有真正的防御。3.黑客入侵后,未被及时发现4.发现安全问题不能彻底解决政府网站易被篡改的主要原因是网站整体安全性差,缺乏必要的经常性维护,某些政府网站被篡改后长期无人过问,还有些网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。政府网站作为行政事务公开和政务信息发布平台,其安全防护意识仍旧比较淡薄。1.对于数据欺骗方式◦用户应选用安全的口令,避免使用容易被破译的口令。口令应该包括大写字母、小写字母及数字;口令至少应有8位长度;应定期改变口令。◦对于采用发送欺骗性邮件来骗取口令的,收到此类邮件的用户应该进行仔细核实2.对于利用系统本身的漏洞进行攻击的方式◦用户应尽量使用最新版的浏览程序。◦对运行于网站服务器上的平台,应该选择合适的服务器系统,对于关键服务器最好使用UNIX操作系统。◦同时,还应及时地获取最新的补丁,不断完善服务器系统的安全性能,保证系统的安全性。◦对于系统本身的安全性,主要考虑服务器自身的稳定性、健壮性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。◦对重要商业应用,必须应用防火墙和数据加密技术加以保护。3.对于监听加密封包的方式◦可以通过加密算法对数据进行加密,并采用数字签名及认证来确保数据的安全。更重要的是要不断提高和改进数据加密技术,不给黑客可乘之机。可以要求在验证过程中,口令不得以明文方式传输,也不得以明文方式存放于系统中,要确保口令以加密的方式存放在硬盘上。用户输入的口令,在内存中保留的时间应尽可能短,用后及时清除。4.对于拒绝服务攻击方式的防范措施◦对于拒绝服务攻击方式的防范,可以进行动态站点监控,及时发现网络遭受攻击的情况并加以防范。◦如果网站有能力将异常的IP地址暂时屏蔽,则可能可以避免遭受不必要的损失。5.对于制造虚假IP地址进行欺骗的防范◦对于制造虚假IP地址进行欺骗的防范措施有:修补系统所使用的网络服务程序、协议以及网络硬件设备的漏洞,如禁用JavaScript等的功能。◦此外,站点用户还应养成良好的网络安全习惯,以更好地防范黑客入侵。定期做好数据的备份工作。不要轻易打开未知邮件附件,同时,谨慎处理从其他网站上下载的一些工具软件。加强防治计算机病毒,定期查杀病毒并及时更新杀毒软件。选择安全的、适合自己网站使用的操作系统。网络仿冒一般通过仿冒合法网页来诱骗用户提供个人资料、财务账号和口令,甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段向用户的计算机中秘密植入木马,直接窃取个人数据。目前的网络仿冒对象主要是金融网站和电子商务网站,以骗取用户金钱为目的,国际上称这种欺诈行为为“Phishing”,我国称之为“网络仿冒”、“网页欺诈”、“网络欺诈”、“网络钓鱼”或“诱饵电邮”等。犯罪活动具有组织性、专业化特点◦疑犯都受雇于犯罪集团目标针对性强、涉及地域广◦根据反网络钓鱼组织APWG最新统计指出,约有70.8%的网络欺诈是针对金融机构而来◦包括西班牙、新加坡、澳大利亚、加拿大、中国、中国香港甚至瑞士的全球35家银行我国形势不容乐观◦多家商业银行遭受仿冒2019/11/23网络通信安全管理员培训班18偷:使用类似URL和相似网页◦–ablc.comvsab1c.com◦–abc.comvsabc.com.cn防:看清楚真正的网址偷:网址真实但是假的弹出式窗口防:警惕弹出式窗口提示:一些银行宣称他们的网站从来不用弹出式窗口(不过要让他们的每个用户都知道才行)仿冒网站的关闭:◦定位(信息不准确)◦合作(超出管理范围,需要寻找最近的合作伙伴)数据提取和分析:用户不配合恶意代码获取分析:样本获取、技术积累、人力资源、资金环境等.取证与追踪:法律相关部门的工作,高的分析能力要求。仿冒网页禁止同一IP多次访问:避免被追踪。利用僵尸网络进行重定向,使得更加难以追查到真正的假冒网站。利用动态域名不断变化IP,利用僵尸网络控制的资源,短时间内(例如30分钟)就可以随便转移仿冒网站的位置(而传统方式下平均存活5.8天)对窃取的信息加密银行或其他被仿冒对象:◦提供更安全的环境;宣传;通知用户;法律执行部门:◦调查取证,抓捕“小偷”(通过信息走向)网络运营单位:◦协助定位IP(有时能将之断网)专业组织◦专业技术分析,网络的监测,新趋势研究,其它防护◦不要点击电子邮件中的超链接,而是自己手工输入◦不要打开不明电子邮件附件◦安装防护和监控软件如何植入恶意程序◦利用IE浏览器漏洞:“正常”网页中隐藏恶意代码;(2004年发现1200多个这种网站)◦利用其他漏洞或者脆弱性:邮件工具漏洞等.DoS的英文全称是DenialofService,也就是“拒绝服务”的意思。从网络攻击的手段和所产生的破坏情况来看,DoS算是一种简单但很有效的攻击方式。实施拒绝服务攻击的目的就是拒绝用户的正常访问,破坏组织的正常运行。DoS的攻击方式有很多种,最基本的就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到正常服务。DDoS(分布式拒绝服务),它的英文全称为DistributedDenialofService,它是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式。被攻击主机上有大量等待的TCP连接网络中充斥着大量的无用的数据包,源地址为伪造的地址网络拥塞,受害主机无法正常和外界通信受害主机反复收到高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求;严重时会造成系统死机。(1)主机上的设置:关闭不必要的服务,限制同时打开的SYN半连接数目,缩短SYN半连接的超时(TimeOut)时间,及时更新系统补丁等。(2)网络设备上的设置◦防火墙:禁止对主机的非开放服务的访问;限制同时打开的SYN最大连接数;限制特定IP地址的访问;启用防火墙的防DDoS的属性;严格限制对外开放的服务器的向外访问。◦路由器:访问控制表(ACL)过滤;设置SYN数据包流量速率;升级版本过低的IOS;为路由器建立日志服务器。(3)充足的网络带宽保证(4)把网站做成静态页面:(5)增强操作系统的TCP/IP栈(6)当你发现自己正在遭受DDoS攻击时,你应当启动你的应急策略,尽可能快地追踪攻击包,并且要及时联系有关应急组织,在他们的指导下分析受影响的系统,确定涉及的其他节点,从而采取相应的措施解决问题。我们的对手可能是独立黑客,具有极客的特点我们的对手可能是一个组织我们的对手可能是一个国家甚至多个国家2019/11/23网络通信安全管理员培训班29网络安全概述防火墙技术入侵检测技术系统安全审计与评估2019/11/2330网络通信安全管理员培训班防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件;设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。2019/11/2331网络通信安全管理员培训班网络流量过滤资料内容过滤网络地址翻译安全策略2019/11/2332网络通信安全管理员培训班防外不防内不能防范绕过防火墙的攻击配置复杂,易出现安全漏洞控制粒度较粗不能防范病毒不能防止数据驱动式攻击2019/11/2333网络通信安全管理员培训班包过滤防火墙静态包过滤、动态包过滤代理防火墙ApplicationFilterTCP/UDPIPTCP/UDPIP2019/11/2334网络通信安全管理员培训班Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头,不理会包内的正文信息)。如果找到一个匹配,且规则允许这包,这个包则根据路由表中的信息前行;如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃;如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。2019/11/2335网络通信安全管理员培训班版本号Version(4bit)报头长IHL(4bit)服务类型ServiceType(8bit)分组总长度TotalLength(16bit)标识Identification(16bit)标志Flags(3bit)片偏移FragmentOffset(13bit)生存时间TimetoLive(8bit)传输层协议Protocol(8bit)头部校验和HeaderChecksum(16bit)源IP地址SourceAddress(32bit)宿IP地址DestinationAddress(32bit)可选项Option有效负载Payload(0或多个字节)20bytes048161931填充域padding2019/11/2336网络通信安全管理员培训班ICMP报文的一般格式:Data差错信息出错IP数据报的头+64个字节数据类型Type(8bit)代码Code(8bit)检验和Checksum(16bit)不同类型和代码有不同的内容Data081631ICMPheaderICMPdataIPheaderIPdata封装2019/11/2337网络通信安全管理员培训班源端口SourcePort(16bit)宿端口DestinationPort(16bit)序列号SequenceNumber(32bit)确认号AcknowledgmentNumber(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小Windowsize(16bit)校验和Checksum(16bit)紧急指针UrgentPointer(16bit)选项Options(0或多个32bit字)数据Data(可选)2019/11/2338网络通信安全管理员培训班UDP源端口UDP宿端口UDP长度UDP校验和16bit16bit最小值为8全“0”:不选;全“1”:校验和为0。2019/11/2339网络通信安全管理员