Copyright©2002ProsoftTraining.Allrightsreserved.安全审计,攻击,威胁分析Copyright©2002ProsoftTraining.Allrightsreserved.Lesson1:安全审计Objectives•识别安全审计•列出安全审计原则•评估网络风险要素•安全审计过程描述•审计规划WhatIsanAuditor?•独立的被委托进行风险评估的人-风险评估-网络安全WhatDoesanAuditorDo?ComplianceRiskAnalysisAuditorRolesandPerspectives•Auditorassecuritymanager•Auditorasconsultant-Auditorasinsider-InsiderthreatsConductingaRiskAssessment•检查以前的书面安全策略•资源分析,分类并确定优先级•考虑商业利益•深入评价现有的边界和内部安全•利用现有的管理和控制手段RiskAssessmentStages•发现•渗透•控制•扩散到其他系统Summary9Identifyasecurityauditor’schiefduties9Listsecurityauditingprinciples9Assessriskfactorsforanetwork9Describethesecurityauditingprocess9PlananauditLesson1Quiz1.Fornetworksecurity,whatisanauditor'schiefpurpose?a.Toprovidesecurityservices.b.Toassessrisk.c.Tosellsecurityproducts.d.Toencryptdataandcreatepasswords.2.Fromwhattwoperspectivesmustanauditorapproachanetwork?a.Hackerandsecuritymanager.b.Hackerandconsultant.c.Securitymanagerandconsultant.d.Systemadministratorandhacker.3.Whatisthefirstrecommendedstepinconductingariskassessment?a.Analyze,categorizeandprioritizeresources.b.Evaluateexistingperimeterandinternalsecurity.c.Considerbusinessconcerns.d.Checkforawrittensecuritypolicy.4.Atwhatstageofanauditwouldanauditorinspectsystemsforweaknesses,attemptingtodefeattheencryption,passwordsandaccesslists?a.Penetration.b.Control.c.Auditplanning.d.Discovery.5.Atwhatstageofanauditwouldanauditorscanandtestthesystemsforeffectivesecurity?a.Penetration.b.Control.c.Auditplanning.d.Discovery.Copyright©2002ProsoftTraining.Allrightsreserved.Lesson2:发现的方法Objectives•描述发现过程•识别特殊的发现办法•安装并配置基于网络和基于主机的发现软件•操作网络级和主机级的安全扫描•配置和部署企业级的网络漏洞扫描软件SecurityScans•Whois•nslookup•Thehostcommand•Thetraceroute(tracert)command•Pingscanning•Portscans•Network-discoveryandserver-discoveryapplications•NMAP•Sharescans•Servicescans•UsingTelnetUsingSNMP•TheSetRequestcommand•SNMPsoftwareTCP/IPServices•Finger–Usernames–Servernames–E-mailaccounts–Userconnectivity–UserlogonstatusEnterprise-GradeAuditingApplications•Protocolsupport•Networkscanners•Subnetting•Configuringnetworkscanners•ConfiguringhostscannersScanLevels•Profilesandpolicies•Reporting•SymantecNetRecon•ISSInternetScanner•eEyeRetina•AdditionalscanningapplicationvendorsSocialEngineering•Telephonecalls•Fraudulente-mail•EducationWhatInformationCanYouObtain?•网络层的信息•主机层的信息•调查•合法及非法的审计工具内容•信息收集–DNS收集信息–端口扫描–操作系统辨识为什么要信息收集•信息收集技术也是一把双刃剑–黑客在攻击之前需要收集信息,才能实施有效的攻击–管理员用信息收集技术来发现系统的弱点攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞扫描评估加固攻击过程实时入侵检测知己知彼,百战不殆信息收集过程•信息收集是一个综合过程–从一些社会信息入手–找到网络地址范围–找到关键的机器地址–找到开放端口和入口点–找到系统的制造商和版本–……社会信息•DNS域名–网络实名–管理人员在新闻组或者论坛上的求助信息也会泄漏信息–网站的网页中•新闻报道–例如:XX公司采用XX系统,…•这样的信息可以合法地获取例:来自网站的公开信息非网络技术的探查手段•社会工程–通过一些公开的信息,获取支持人员的信任–假冒网管人员,骗取员工的信任(安装木马、修改口令等)•查电话簿、XX手册(指南)–在信息发达的社会中,只要存在,就没有找不到的,是这样吗?•通过搜索引擎可以获取到大量的信息–搜索引擎提供的信息的有效性?信息收集:whois•Whois–为Internet提供目录服务,包括名字、通讯地址、电话号码、电子邮箱、IP地址等信息•Client/Server结构–Client端•发出请求,接受结果,并按格式显示到客户屏幕上–Server端•建立数据库,接受注册请求•提供在线查询服务•客户程序–UNIX系统自带whois程序–Windows也有一些工具–直接通过Web查询Spade工具基于Web的Whois示例信息收集:nslookup•关于DNS–是一个全球分布式数据库,对于每一个DNS节点,包含有该节点所在的机器的信息、邮件服务器的信息、主机CPU和操作系统等信息–Nslookup是一个功能强大的客户程序•熟悉nslookup,就可以把DNS数据库中的信息挖掘出来–分两种运行模式•非交互式,通过命令行提交命令•交互式:可以访问DNS数据库中所有开放的信息•UNIX/LINUX环境下的host命令有类似的功能DNS&nslookup•通过nslookup可以做什么?–区域传送:可以列出DNS节点中所有的配置信息•这是为了主DNS和辅DNS之间同步复制才使用的–查看一个域名,根据域名找到该域的域名服务器–反向解析,根据IP地址得到域名名称•从一台域名服务器可以得到哪些信息?–如果支持区域传送,不用客气,拿下来看一看–否则的话,至少可以发现以下信息•邮件服务器的信息,在实用环境中,邮件服务器往往在防火墙附近,甚至就在同一台机器上•其他,比如ns、、ftp等,这些机器可能被托管给ISPNslookup交互环境中常用命令•Server,指定DNS服务器•Setq=XXX,设定查询类型•Ls,列出记录•[domainname,orIPaddress]使用nslookup实现区域传送•使用whois命令查询目标网络,例如在Linux提示符下输入whoiscs.pku.edu.cn•你会得到目标网络的primary和slaveDNS服务器的信息。例如,假设主DNS服务器的名字是ns.cs.pku.edu.cn•使用交互查询方式,缺省情况下nslookup会使用缺省的DNS服务器作域名解析。键入命令serverns.cs.pku.edu.cn定位目标网络的DNS服务器;•列出目标网络DNS服务器的内容,如ls–dcs.pku.edu.cn使用nslookup实现区域传送关于DNS&nslookup•注意的地方–关闭未授权区域传送功能•或者,在防火墙上禁止53号TCP端口,DNS查询请求使用53号UDP端口–区分内部DNS和外部DNS•内部信息不出现在外部DNS中–DNS中该公开的信息总是要公开的,否则,域名解析的功能就无效了,没有MX记录就不能支持邮件系统•Windows2000中的DNS–与AD集成在一起,增加了新的功能•SRV记录•动态DNS–在获得灵活性的同时,更加要注意安全Ping&Traceroute•Ping:PacketInterNetGroper–用来判断远程设备可访问性昀常用的方法–原理:发送ICMPEcho消息,然后等待ICMPReply消息•Traceroute–用来发现实际的路由路径–原理:给目标的一个无效端口发送一系列UDP,其TTL依次增一,中间路由器返回一个ICMPTimeExceeded消息ICMP简介•InternetControlMessageProtocol,本身是IP的一部分,用途–网关或者目标机器利用ICMP与源通讯,当出现问题时,提供反馈信息–用于报告错误•在IP协议栈中必须实现•特点:–其控制能力并不用于保证传输的可靠性–它本身也不是可靠传输的–并不用来反映ICMP消息的传输情况ICMP数据包•ICMP数据包直接包含在IP数据包的净荷数据中,IP头中协议类型为1•ICMP数据的第一个字节代表ICMP消息的类型,它决定了后续数据的格式ICMP消息类型(部分)•0EchoReply•3DestinationUnreachable•4SourceQuench•5Redirect•8Echo•11TimeExceeded•12ParameterProblem•13Timestamp•14TimestampReply•15InformationRequest•16InformationReplyICMPEcho消息•类型:0表示EchoReply消息,8表示Echo消息•代码:0•标识符:标识一个会话,例如,用进程ID•序号:可能这样用:每个请求增一•选项数据:回显ICMPTimeExceeded消息•类型:11•代码:0表示传输过程中时间到,1表示分片装配过程中时间到•IP首部+原始IP数据包中前8个字节ICMPDestinationUnreachable消息•类型:3•代码:0表示网络不可达,1表示主机不可达;2表示协议不可达;3表示端口不可达;等等•IP首部+原始IP数据包中前8个字节Ping工具•发送ICMPEcho消息,等待EchoReply消息–可以确定网络和外部主机的状态–可以用来调试网络的软件和硬件•每秒发送一个包,显示响应的输出,计算网络来回的时间•昀后显示统计结果——丢包率关于Ping•Ping有许多命令行参数,可以改变缺省的行为•可以用来发现一台主机是否active•为什么不能ping成功?–没有路由,网关设置?–网卡没有配置正确–增大timeout值–防火墙阻止掉了–