第七章Windows网络安全防护

第七章Windows网络安全防护（理论部分）授课教师：李鑫授课时长：2小时引言：前几章我们介绍了配置Exchang服务器实现了企业的邮件系统。并且介绍了使用边缘服务器保障邮件系统安全是不是这样就已经安全了呢？显然这还是不够的。网络上再好的防范也不可能完全杜绝一些危险的攻击行为。所以我们要使用防火墙保证内部安全。本课程介绍如何配置使用防火墙保证系统安全。第六章内容回顾：备份Exchange时需要备份哪些数据？如何恢复已删除的邮箱？如何恢复存储组和数据库？Exchange有哪些队列类型？•备份Exchange需要备份的内容包括：Exchange数据库、事物日志、系统状态。•恢复已删除的邮箱：（1）重新创建一个用户，用户名和密码和原来保持一样。（2）将删除的邮箱重新连接到新建的用户，按向导提示完成恢复过程。•恢复存储组和数据库（1）先卸除数据库。（2）删除邮件数据库文件。（3）打开备份工具，使用还原向导进行还原操作。（4）完成还原后验证数据库是否可以装入，是否能正常访问。•Exchange的队列类型：（1）提交队列（2）邮箱传递队列（3）远程传递队列（4）带毒邮件队列（5）无法到达队列本章内容理解网络安全的概念和特性了解当前网络面临的安全威胁了解常见的网络攻击方式掌握网络安全防护的方法本章重点常见的网络攻击方式一、网络安全的概念网络系统的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统可以连续正常运行，网络服务不会终止网络安全主要涉及3个方面：网络中的硬件安全、软件和数据安全、系统正常运行硬件安全：即要保证网络设备的安全，如网络中的服务器、交换机、路由器等设备的安全。软件和数据安全：即保证网络中的重要数据不被窃取和破坏，软件可以正常运行，没有被破坏。系统正常运行：保证系统正常运行，系统不能瘫痪和停机。二、网络安全的特性机密性：防止未授权用户访问数据完整性：数据在存储、传输过程中不被修改可用性：数据在任何时候都是可用的可控性：数据在传输过程中是可控的可审查性：管理员能够跟踪用户的操作行为三、网络安全的威胁1.非授权访问：未经授权访问相关数据2.信息泄露或丢失：信息在传输过程中泄露或丢失3.破坏数据完整性：数据在传输过程中被修改4.拒绝服务攻击：通过向服务器发送大量数据包，消耗服务器的资源，使服务器无法提供服务5.利用网络传播计算机病毒四、常见的网络攻击方式端口扫描安全漏洞攻击口令入侵木马程序电子邮件攻击Dos攻击端口扫描SuperScanPortScannerX-Scan通过端口扫描可以知道被扫描计算机开放了哪些服务和端口，以便发现其弱点可以手动扫描，也可以使用端口扫描软件扫描可能存在安全威胁的端口及操作建议1、21端口：端口说明：21端口主要用于FTP（FileTransferProtocol，文件传输协议）服务。操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用，比如BladeRunner、FTPTrojan、DolyTrojan、WebEx等等。如果不架设FTP服务器，建议关闭21端口。2、23端口端口说明：23端口主要用于Telnet（远程登录）服务。操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是TTS（TinyTelnetServer）木马的缺省端口。所以，建议关闭23端口。3、25端口端口说明：25端口为SMTP（SimpleMailTransferProtocol，简单邮件传输协议）服务器所开放，主要用于发送邮件端口漏洞：1.利用25端口，黑客可以寻找SMTP服务器，用来转发垃圾邮件。2.25端口被很多木马程序所开放，比如Ajan、Antigen、EmailPasswordSender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。4、53端口端口说明：53端口为DNS（DomainNameServer，域名服务器）服务器所开放，主要用于域名解析。端口漏洞：如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。5、67与68端口端口说明：67、68端口分别是为Bootp服务的BootstrapProtocolServer（引导程序协议服务端）和BootstrapProtocolClient（引导程序协议客户端）开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP地址。端口漏洞：如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。操作建议：建议关闭该端口。6、69端口端口说明：69端口是为TFTP（TrivalFileTranferProtocol，次要文件传输协议）服务开放的。端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。操作建议：建议关闭该端口。8、79端口端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机用户的信息，可以在命令行中键入“fingeruser01@”即可。端口漏洞：一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。操作建议：建议关闭该端口。9、80端口端口说明：80端口是为HTTP（HyperTextTransportProtocol，超文本传输协议）开放的。端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。操作建议：为了能正常上网冲浪，我们必须开启80端口。10、99端口端口说明：99端口是用于一个名为“MetagramRelay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。端口漏洞：虽然“MetagramRelay”服务不常用，可是HiddenPort、NCx99等木马程序会利用该端口，比如在Windows2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。操作建议：建议关闭该端口。11、109与110端口端口说明：109端口是为POP2（PostOfficeProtocolVersion2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMailPOP3Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMailtrojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。操作建议：如果是执行邮件服务器，可以打开该端口。12、111端口端口说明：111端口是SUN公司的RPC（RemoteProcedureCall，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同样也有RPC服务。端口漏洞：SUNRPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者远程或本地获取root权限。113端口端口说明：113端口主要用于Windows的“AuthenticationService”（验证服务），一般与网络连接的计算机都运行该服务，主要用于验证TCP连接的用户，通过该服务可以获得连接计算机的信息。在Windows2000/2003Server中，还有专门的IAS组件，通过该组件可以方便远程访问中进行身份验证以及策略管理。端口漏洞：113端口虽然可以方便身份验证，但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器，这样会被相应的木马程序所利用，比如基于IRC聊天室控制的木马。另外，113端口还是InvisibleIdentdDeamon、Kazimas等木马默认开放的端口。操作建议：建议关闭该端口。13、119端口端口说明：119端口是为“NetworkNewsTransferProtocol”（网络新闻组传输协议，简称NNTP）开放的，主要用于新闻组的传输，当查找USENET服务器的时候会使用该端口。端口漏洞：著名的Happy99蠕虫病毒默认开放的就是119端口，如果中了该病毒会不断发送电子邮件进行传播，并造成网络的堵塞。操作建议：如果是经常使用USENET新闻组，就要注意不定期关闭该端口。14、135端口端口说明：135端口主要用于使用RPC（RemoteProcedureCall，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。端口漏洞：相信去年很多Windows2000和WindowsXP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。操作建议：为了避免“冲击波”病毒的攻击，建议关闭该端口。15、137端口端口说明：137端口主要用于“NetBIOSNameService”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。操作建议：建议关闭该端口。16、139端口端口说明：139端口是为“NetBIOSSessionService”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享，必