搜索
1.认证是用户进入系统的第一道防线;访问控制在鉴别用户的合法身份后,通过引用监控器控制用户对数据信息的访问;审计通过监视和记录起到事后分析的作用。2.访问控制技术(DAC、MAC、RBAC)通过某种途径限制访问能力及范围的一种方法。可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。组成:主体:指发出访问操作、存取请求的主动方,主体可以访问客体,包括用户、用户组、终端、主机、或应用进程客体:被调用的程序或欲存取的数据访问,可以是一段数据、一个文件、程序或处理器、储存器、网络节点安全访问政策:即授权访问,是一套规则,用以确定一个主体是否可以访问客体访问控制系统的组成:访问实施模块:负责控制主体对客体的访问访问控制决策功能块:主要部分,根据访问控制信息做出是否允许主题操作决定访问控制信息:放在数据库、数据文件中,也可选择其他存储方法,视信息的多少与安全敏感度而定。自主访问控制DAC:基本思想:允许主体显式的制定其他主体是否可以访问自己的信息资源即访问类型特点:访问信息的决定权在于信息的创建者,根据主体的身份和授权来决定访问模式。不足:信息在移动过程中其访问权限关系会被改变。最常用的一种访问控制技术,被UNIX普遍使用强制访问控制MAC:基本思想:每个主题有既定的安全属性,每个客体也有既定的安全属性,主体对客体是否能执行取决于两者的安全属性。特点:主体与客体分级,级别决定访问模式。用于多级安全军事系统。保护数据机密性(不上读/不下写):不允许低级别用户读高敏感信息,不允许高敏感信息进入地敏感区域。保护数据完整性(不下读/不上写):避免应用程序修改某些重要的数据。通常DAC与MAC混用。两种访问模式共有的缺点:自主式太弱、强制式太强、二者工作量大,不便管理;基于角色的访问控制技术RBAC:具有提供最小权限和责任分离的能力。三种授权管理途径:改变客体的访问权限;改变角色的访问权限;改变主体所担任的角色;五个特点:(1)以角色作为访问控制的主体(2)角色继承(3)最小权限原则(4)职责分离(5)角色容量与DAC与MAC相比RBAC具有明显的优越性,基于策略无关的特性使其可以描述任何的安全策略,DAC与MAC也可以用来描述RBAC2.可信计算机系统评估标准TESEC评价标准:D类:不细分级别,没有安全性可言C1类:不区分用户,基本的访问控制C2类:由自主的访问安全性,区分用户B1类:标记安全保护B2类:结构化内容保护,支持硬件保护B3类:安全域,数据隐藏与分层、屏蔽A/A1类:校验及保护,也提供低级别手段D最低A最高,高级别具有低级别所有功能,同时又实现新的内容3.扫描技术:TCP端口扫描:connect()扫描:最基本的方式,优点是用户无需任何权限,且探测结果最为准确;缺点是容易被目标主机察觉SYN扫描:即半开式扫描,不建立完整的连接,只发送一个SYN信息包,ACK响应包表示目标是开放监听的,RST响应包则表示目标端口未被监听,若收到ACK的回应包则立刻发送RST包来中断连接。有点为隐蔽性好。FIN:向目标端口发送FIN分组。按照RFC793的约定,目标系统给所有关闭着的端口回应一个RST分组Xmas空扫描UDP端口扫描:发送一个零字节的UDP信息包到目标机器的各个端口,若收到ICMP端口不可达的回应则证明该端口关闭,否则默认开放。许多易受攻击的服务都是通过UDP端口来传输数据的4.操作系统识别:由于软件漏洞总是与操作系统的版本与类型相关,所以探测识别操作系统的类型十分重要。传统方法:信息不够全面,依赖对方提供的服务和对服务的配置,如是否开放talent、ftp、等,及是否关闭标志。因此在很多情况下传统的方式无效。基于TCPIP协议栈的指纹探测:操作系统通常以内核的方式为应用程序提供用于网络互联服务的子例程,即网络协议栈。操作系统一旦发布,其网络协议栈也就成型了。有点事准确度和精准度高。5.网络漏洞库-CVE:为每个漏洞和暴露确定了唯一的名称与标准化的描述,可以成为评价响应入侵检测和漏洞扫描等工具产品和数据库的基准。特点:(1)为每个漏洞和暴露确定了唯一的名称与标准化的描述(2)CVE不是数据库而是字典(3)任何完全风格迥异的漏洞库都可以用同一个语言表述(4)语言的统一可以使得安全事件报告更好地被理解、实现更好的协同工作,可以成为评价相应工具和数据库的基准(5)CVE非常容易从互联网查询和下载(6)各种漏洞数据库和漏洞评估工具使用一个公共的安全漏洞名字,可以帮助用户彼此独立的共享交换数据6.拒绝服务攻击(DoSDenialofService):使计算机或网络无法提供正常的服务。这种攻击是由人为或非人为发起的,使主机硬件、软件或者二者都失去工作能力,使系统变得不可访问、从而拒绝为合法用户提供服务的行为。攻击者的意图很明显:使你的主机提供的服务无法被访问。早期(90年代中晚期):利用操作系统中的软件缺陷使软件或硬件无法处理例外情况,通常发生在用户向有缺陷的程序发送或输入出乎预料的数据。最具危害性的是:以TCPIP协议栈作为目标的“发送异常数据包”现代:能力消耗(带宽消耗):设法耗尽目标系统(通信层和应用层)的全部带宽,让它无法向合法用户提供服务(或不能及时提供服务)。早期的DoS攻击技术主要通过耗尽攻击目标的某种资源来达到目的,但它们所利用的安防漏洞现在差不多都被修补好了。可供利用的安防漏洞越来越少.带宽攻击:极大的通信量冲击网络,使得所有的可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击:用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。难以杜绝拒绝服务攻击的原因:(1),DoS攻击简单有效,效果立竿见影,因此很受初学乍练的攻击者的青睐,作为一名系统管理员,要对频繁的DoS攻击有思想准备(2)这一类的攻击大多利用了计算机软件、硬件厂商提供的TCP/IP协议实现中的错误、缺陷或不一致性,具有通用性。即使目标系统的软件没有编程漏洞,也可攻击。攻击过程:(1)攻击者向服务器发送众多的带有虚假地址的请求;(2)服务器发送回复信息后等待回传信息;服务器一直等待伪地址回传的消息,资源无法释放,一段时间后连接因超时被切断。(3)在攻击者持续传送新的伪地址请求,服务器资源最终被耗尽攻击类型:(1)Smurf攻击(利用ICMP协议):结合使用IP欺骗与ICMP回应,使大量网络传输充斥目标系统,导致它法提供正常服务,因为其放大效果而成为最具有破坏性的DoS攻击之一,放大效果是向一个网络上的多个系统发送定向的ping请求,这些系统接着对这种请求作出响应(2)Smurf攻击(利用定向广播技术):需要至少三个部分:攻击者、“放大”网络(也称为反弹网络或站点)和受害者。Smurf攻击过程:Attacker向一个具有大量主机和因特网连接的网络的广播地址,发送一个欺骗性Ping分组(echo请求),这个目标网络被称为反弹站点,而欺骗性Ping分组的源地址就是Attacker希望攻击的系统。攻击的前提:路由器接收到这个发送给IP广播地址(如202.122.12.255)的分组后,会认为这就是广播分组,并且把以太网广播地址FF:FF:FF:FF:FF:FF映射过来。这样路由器从因特网上接收到该分组,会对本地网段中的所有主机进行广播。防止Smurf攻击的对策:阻塞攻击源头:用户使用路由器的访问控制机制,使欺骗性分组无法找到反弹站点。阻塞反弹站点:简单的阻塞所有的入站echo请求,可以防止这些分组到达自己的网络,若不能阻止,则要制止自己的路由器把网络广播地址映射成为LAN广播地址。阻塞目标站点:通过动态分组过滤技术或使用防火墙,阻止这些分组进入自己的网络。(3)SYNFlood攻击:当前最流行的DoS与DDoS(分布式拒绝服务攻击)方式之一,利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式防御对策:增加连接队列的大小:不是优选的,因为会影响系统性能缩短连接建立超时时限:不是优选。应用厂家检测及规避潜在syn攻击的相关软件补丁:作为网管,应该及时升级系统,并打补丁应用网络IDS产品