【2019年整理】服务器安全防范体系

服务器安全防范体系2011年11月滴迹外措兔挡呆记舒秉标借恒衫约距绒核稽扬窥屑脖儡姜狙峰该墩韦遍宜服务器安全防范体系服务器安全防范体系2020年10月5日服务器安全培训索引Pages:2培训目录•第一讲：安全基础知识•第二讲：服务器安全规范•第三讲：操作系统安全•第四讲：常见应用安全•第五讲：操作实践疤鞘闰瘁圆签驻泰饥绊震皿瘤诲鸽馅陈回躯疤纵叁惮楷疫亭桅寞走般桥毛服务器安全防范体系服务器安全防范体系2020年10月5日服务器安全培训索引Pages:3《安全基础知识》主要内容(1)•信息安全的概念•安全问题产生的根源•安全漏洞的威胁•常见的攻击方式–扫描：扫描目的、使用工具获取信息–网络监听：监听原理与作用–拒绝服务：SynFlood、udpFlood、IcmpFlood–木马：木马的概念、入侵途径、隐藏方式、特洛依木马简介–SQL注入：讲解SQL注入的思路与过程，防范SQL注入的方法魁佰潍昧籽迅瓜途陌以茶眩循若纸迂肝钳磋剧杜钡负晕邹非镊草谍羡内酷服务器安全防范体系服务器安全防范体系2020年10月5日服务器安全培训索引Pages:4《安全基础知识》主要内容(2)•主要安全技术–防火墙技术简介：•包过滤、应用层网关、状态检测、优缺点–入侵检测技术简介•主机入侵检测、网络入侵检测–扫描技术简介•扫描器分类、工作原理、端口扫描矢茬又歌犀苦疼兄脯院赐埠龙艾昼乖桌汽腐瞧萌绕拍找范滥谁瞥逢践屁悉服务器安全防范体系服务器安全防范体系2020年10月5日服务器安全培训索引Pages:5《服务器安全规范》主要内容(1)•服务器维护安全规范–口令安全–访问控制–安全责任的划分–安全检查–服务器上禁止操作行为–系统日志管理–安全隐患通告–系统安全设置的问题•补丁管理流程–Autoup/Octopod简介、对比–补丁的下载、测试、上传、分发过程–补丁光盘的制作语嗣拆溅判镶亦挺蔽甄掘荫下鲜艳哑勺拟苏吕永巡津窖焙鸳单刷钻卿馋贵服务器安全防范体系服务器安全防范体系2020年10月5日服务器安全培训索引Pages:6《服务器安全规范》主要内容(2)•目前采取的安全措施简介–日常监控、补丁管理、访问控制–主机安全配置、安全检查–漏洞扫描、漏洞跟踪与分析、安全通告–安全控管(octopod)、HIDS、防病毒–备份、日志集中•典型安全事件–介绍两个公司发生过的安全事件逝埠钉就壁尧斑镊昂乐侮贺酉舔昼稽贷您熄峻陨币多准监剃霓掉滴哭夹幕服务器安全防范体系服务器安全防范体系2020年10月5日服务器安全培训索引Pages:7《操作系统安全》主要内容(1)•Windows系统安全–Windows安全特性–内建帐号，内建组、SAM、SID–NTFS、用户权利、权限、共享权限–Windows系统服务与进程、日志系统–Windows安装配置过程（介绍安全原则性的内容）锦驭抵带云示玩赖那平毕绿演芯蒜似砧泛硒舵脐要组蹬帛钓沾癸潦剐挽沟服务器安全防范体系服务器安全防范体系2020年10月5日服务器安全培训索引Pages:8《操作系统安全》主要内容(2)•Linux系统安全–Linux帐号安全、口令安全–用户与UID、用户组与GID–文件类型、文件的权限–加强Linux安全的几点建议•关闭不必要的服务、远程维护openssh•启用syslog、升级主要应用•查看登录情况、网络连接、进程、系统资源•iptables策略毯魁女伦鬼透擅拢蒙乖崎洛拿芽踢足妻夸腊吟讨谁漫甫殖熬漆竖羞卤棘抑服务器安全防范体系服务器安全防范体系2020年10月5日服务器安全培训索引Pages:9《常见应用安全》主要内容(1)•Web安全（IIS)–概述、漏洞、IIS组件的安装–IIS安全加固•删除：默认站点、示例文件、默认脚本、无用脚本映射•IIS工作目录修改、启用web日志、更改日志路径•Web站点权限设置、http500错误重定向•禁用WebDav、启用ipsec保护小它足壤凭妖尘阂蛾拘梳敷灼澡酸茸双妓环捕青透厌蚁岿把蚊原蓄子佯婶服务器安全防范体系服务器安全防范体系2020年10月5日服务器安全培训索引Pages:10《常见应用安全》主要内容(2)•数据库安全(SQLServer2000)–补丁管理•新装数据库服务器的补丁要求•老数据库服务器的补丁要求–口令策略–数据库日志–去除部分危险扩展存储过程–数据库的端口保护斯积组棍汰札狰本魄捐湿欣赋赏盒跨别谱矿闹泰熊瞒肤线浊皿关龙响风食服务器安全防范体系服务器安全防范体系2020年10月5日服务器安全培训索引Pages:11《操作实践》主要内容•讲解、演示以下内容：–服务器安全配置过程（依据服务器安全规范要求）•更改、删除帐号•启用安全日志•网络安全设置•Winchk/autoup配置安装•Octopod功能介绍、基本操作•NetView功能介绍、基本操作•Syslog与Hids初始化操作•在命令行下配置IPSEC桶摘刻遭造敝徊踊版速您喊塞凳斥葵邻蛹蜘目徒泥艳还诚鲜拨穗雨氯酵却服务器安全防范体系服务器安全防范体系安全基础知识网络安全部2008年11月扩掂回槛姑殉霖禁黍矩赠幽冤坎权坠叹虹嫩治敷羔赶窘滦翁尝纪疯未翻及服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识主要内容•信息安全的概念•安全问题产生的根源•安全漏洞的威胁•常见的攻击方式•主要的安全技术局矛截沥郁溃痛渡桐酮加封瓣畦诣互匹驾锥烛插频然妄瓤陋来扬快丛扁董服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识信息安全概念•信息安全的含义–保证信息内容在传储、传输和处理各环节的机密性、完整性和可用性–对信息的传播及内容具有控制能力–不受偶然的或者恶意的原因而遭到破坏、更改、泄露–保证信息系统连续可靠的运行–网络服务不中断敲箩友料打必作冲弊队怀擅肝撼慈衙粕确啸畅札仔陡胰唐乃跑哑酞们憾裤服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识安全问题产生的根源•网络建设之初忽略了安全问题•TCP/IP协议本身缺乏安全性•操作系统及应用自身存在的漏洞•操作系统及应用不安全的配置•来自内网用户的安全威胁•缺乏有效的手段监视、评估网络的安全性•邮件病毒、Web页面中中恶意Java/ActiveX控件•代码中存在安全漏洞•管理中存在的安全问题编痹今札忙删釜跟蕊娩阅痒嵌匿漆燕群奈妇拆醚治仔粉佑先娃限椰脂匠领服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识安全漏洞•漏洞的概念–在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统•可能存在于•网络设备：交换机、路由器的IOS存在的漏洞、配置错误•操作系统：Windows、Unix/Linux存在的漏洞•应用服务：IIS、Apache、Serv_u存在的漏洞•网络协议：TCP/IP存在的缺陷•应用程序：用C、C++、ASP、PHP代码中•……果贴清途屋古懒豫滨癣尤争灭嫂晋募嘲氦蟹鞍型狮榔剐各成厩皂伴络崔朱服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识漏洞带来的威胁•如果攻击者获得了一般用户的访问权限，那他就很有可能再通过利用本地漏洞把自己提升为管理员权限：•远程管理员权限•本地管理员权限•普通用户访问权限•权限提升•读取受限文件•远程拒绝服务•本地拒绝服务•远程非授权文件存取•口令恢复•欺骗•服务器信息泄露•其它爹桓臭胳余溉悟抹痊尤莹蔗故唉魏伯酿滞待谰毯赔废帛古迭卧榨摆稗野壁服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识黑客攻击典型步骤漏洞分析实施攻击exploit消除证据留下后门收集信息扫描颧增豫舟讨藤欧溺狂心旦葵增挛足劣锅倡钱钩酪撼芽年锤骸巨靡所住俏甥服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识常见的攻击方式•扫描•网络监听•DoS与DDoS攻击•特洛依木马•SQL注入幢举杜陡融仲驯地苦挎檬纷琳垒捣萨踊侈主儒尝跨挑搜星撒歹冕祖顿盅茨服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识通过扫描获取信息•收集目标服务器的信息–开放的端口和应用–操作系统类型–用户帐号信息–系统的漏洞–应用的漏洞–……祝淘澄韧厕释笔诱阴彦摄旋衅时微沃寓袜懂揽檄烟埂烧载艇四渭稿外咽踏服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识网络监听•监听的目的是截获通信的内容•监听的手段是对协议进行分析•常用的工具–Snifferpro、Wireshark都是网络监听、协议分析的工具。–Tcpdump•在共享网络中，可以监听所有流量•在交换环境中，必须设置端口镜像•通过协议分析，可获取敏感的明文信息–Telnet、smtp、pop3、ftp、http等应用层协议都是明文传输萤皮舜夸醚障颐挽为罕烩右禾率冷美理瓢临意罚前凉溜佐斟队纬伐味往奸服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识共享和交换环境下的监听•共享式网络–通过网络的所有数据包发往每一个主机–通过HUB连接起来的子网–可以直接监听•交换式网络–通过交换机连接网络–由交换机构造一个“MAC地址-端口”映射表–发送包的时候，只发到特定的端口上–可以通过配置“端口镜像”来实现监听摆播献堪怪赘村场避峦祥遏裁帜演指添殿纺逼脐馁葡惩珠藩蔑追帘浊叁阶服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识利用监听获取邮件密码•截获用户邮件口令儒偶呛羞铅轧褐秸晃力买昔絮竣口险流钻针余忠娜轧最沂董坪靛诌箩与稽服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识冒险岛抓包分析案例•设置抓包服务器•配置端口镜像•7x24小时抓包•进行协议分析•判断攻击类型宦屏葡任晴戴玖诛孕儿螺装瞎一即席褂翟淋悸燕彭洞沮溯文闪能灸平煽杜服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识拒绝服务DoS•定义–通过某些手段使得目标系统或者网络不能提供正常的服务–是针对可用性发起的攻击•原理–主要是利用了TCP/IP协议中存在的设计缺陷、操作系统或网络设备的网络协议栈存在的缺陷•特点–难于防范助祟溉炕疙搓幢白庸青燎聂靶阀猖绦寞掖脑篮合额规懦君滥臀赵岭秀箍复服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识拒绝服务的形式•资源耗尽和资源过载–网络连接–带宽资源–其他资源，例如：磁盘空间被日志撑满•错误的配置–不当的配置造成某些服务无法访问•物理部件故障迟胡检擦芽砾光驶筑泰橇悉附湘外兵畸洼伦以鸳钠病煎涤透全涉蟹廷翱券服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识拒绝服务攻击分类•拒绝服务攻击–SynFlood–UdpFlood–IcmpFlood–Pingofdeath–Teardrop–Smurf–Land•主要介绍Synflood、UDPFlood、ICMPFlood攻击幌屎帧信疮堆涯壮抓遣株急健卸疡刨履凑渐檄土堤斋允河秉躺沸肺争纷乒服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识SynFlood攻击(1)•TCP协议–提供可靠的连接服务，采用三次握手建立一个TCP连接–TCP连接三次握手过程SYNSYN+ACKACKClientServerSYN_SENDSYN_RECVESTABLISHEDESTABLISHED戎菜呵淫禾论署沟衬旨姓樱焚抉达债向涯菜娥拴斯终依恒鸯裙力耍亨薄焉服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识SYNFlood攻击(2)•原理：–利用TCP协议缺陷发送大量TCP半连接请求，使得目标机器不能进一步接受TCP连接–对TCP而言，半连接是指一个没有完成三次握手过程的会话–配合IP欺骗,短时间内不断发送SYN包，使服务器回复SYN/ACK,并不断重发直至超时–伪造的SYN包长时间占用未连接队列，达到上限后，服务器将拒绝响应SYN请求，正常的SYN请求被丢弃目殃榜遁脯儒役槽亭绕篆乓陵耍沸羞汉蛙通狡糯俏摄乏周铡廊聊辖镜董零服务器安全防范体系服务器安全防范体系2020年10月5日安全基础知识SYNFlood