搜索
网络运维安全培训2018.303安全措施02威胁与防护01网络安全态势CONTENTPART1网络安全态势网络安全的威胁来源网络拒绝服务流氓软件黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统漏洞网络通信故障网络安全的威胁因素信息系统自身安全的脆弱性操作系统与应用系统漏洞安全管理问题黑客攻击网络犯罪运维安全主要内容运维安全基础服务ftpsshtelnetsmtpdnsntpsnmprsync……网络服务器&设备ddosscan内网探测本地提权OpenSSLbashwebserver应用层信息泄露(账号密码)tomatjbossresinapachenginxjettyIIS……压缩文件泄密备份文件泄密敏感文件泄密Struts2Svn信息泄露……代码泄露截图泄陋……PART2威胁与防护基础服务威胁与防护举例——ftpftp匿名访问cmd下,ftpxx.xx.xx.xx文件夹,的漏洞案例看,常见弱口令:网站域名(eg:baidu.com)从阳光保险项目(漏洞扫出),弱口令为:ftp/ftp网站使用lampp套装,未修改默认ftp密码:nobody/lampp基础服务威胁与防护举例——ftp使用8uftp登录ftp,可见:在文件夹中直接输入地址登录ftp,可见:比较两种方式登录的差异:前者下载文件会受到大小限制,后者则不会。基础服务威胁与防护举例——rsync►利用方法•rsync默认端口是873,可使用nmap进行扫描nmap–n–open–p873x.x.x.x/24•尝试上传、下载文件(使用工具:kali)rsync10.210.208.39::或rsync–vvvvrsync://10.210.208.39::►安全配置•限定访问IP:IPTables防火墙或修改配置文件rsync.conf•不允许匿名访问,添加用户口令rsync是一个远程数据同步工具,用“rsync算法”提供了一个客户机和远程文件服务器的文件同步的快速方法,在同步文件的同时,可以保持原来文件的权限、时间、软硬链接等附加信息简介基础服务威胁与防护举例——rsyncrsync–vxx.xx.xx.xx:xx::上传webshell:#rsync–av/root/Desktop/youxiu.aspxxx:xx:xx:xx::Etest确认是否成功:#rsync–vxx:xx:xx:xx::Etest获取webshell:公司OA系统基础服务威胁与防护举例——weblogic弱口令简介►利用方法:•寻找weblogic服务器。使用IISPUTScanner扫描80.8080端口,查看HTTPbanner信息,确认为weblogic•利用弱口令进入管理后台,在控制台部署一个web应用,该web应用中必须要有一个servlet或JSPweb.xml文件►weblogic默认配置:•默认weblogic管理员账号/密码:weblogic/weblogic•默认weblogic开放端口:7001•默认weblogic访问路径:►DefaultPassword|CIRT.net上常见的默认账号/密码:•Oracle-WebLogic:weblogic/weblogic•Oracle-WebLogic11g:weblogic/welcome1•Oracle-WebLogicProcessIntegartor:admin/security►wooyun常见的默认账号/密码:•weblogic/weblogic123•weblogic/12345678•admin/12345678基础服务威胁与防护举例——weblogic口令输入账号/密码:weblogic/12345678mstsc打开远程终端,Guest/xiuyou基础服务威胁与防护举例——DNS域传送漏洞DNS主备之间数据同步使用的是dns域传送,若配置不当,就会导致匿名用户获取DNS服务器某一域所有记录,暴露整个企业的基础业务及网络架构,导致信息泄露甚至企业网络被渗透。简介漏洞成因成因:默认安装BIND,配置项中没有allow-transfer。域传送关键配置项:•allow-transfer{ipaddress;};•allow-transfer{keytransfer;};设置方式:•在option配置域;•在zone配置域(优先级:zoneoption)防护方式防护原理:只需要限制相应的zone、option中添加allow-transfer限制可以进行同步的服务器。限制方式:•限制IP•使用key认证Windows入侵调查——及早发现系统异常1、系统重新启动•系统日志记录•系统运行时间•网络连接时间2、系统资源减少•进程占用大量CPU时间•进程消耗大量物理内存•磁盘空间减少3、网络流量异常•发送或接收大量SYN数据包•发送或接收大量ICMP数据包•其他流量(如BT协议流量,FTP协议流量)1、安全产品•入侵检测•防火墙•其他2、其他途径•其他管理员的询问•残缺日志Windows入侵调查——查看遗留痕迹1、IE临时文件•访问过的网页•DocumentsandSettings\帐号\LocalSettings\TemporaryInternetFiles2、访问地址记录•记录访问过的网址和本地地址•按日期排列•DocumentsandSettings\帐号\LocalSettings\History3、使用文件记录•打开过的文档•DocumentsandSettings\帐号\Recent4、cookie记录•访问过的网址•使用过的帐户•DocumentsandSettings\帐号\cookie5、计划任务•使用at命令查看6、回收站•根目录下隐藏的Recycler目录•用户删除的文件在以其自身SID为基础命名的子目录中Windows入侵调查——查看遗留痕迹、分析入侵状况1、注册表•曾经存在的帐户HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList•曾经安装过的软件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall2、检查交换文件•HKLM\System\CurrentControlSet\Control\SessionManagement\ClearPageFileAtShutdown1、审核日志:•系统日志•应用日志•安全性日志•Web日志•FTP日志•数据库日志2、查看攻击者遗留痕迹3、分析入侵原因并弥补漏洞查看遗留痕迹分析入侵状况Windows入侵调查——恢复系统及应用1、复查确认后门清理完毕:PslistIceSword2、判断系统存在漏洞•入侵手法判断:根据日志重现攻击手法;依照流行程度判断•服务内容判断:检查本机服务•扫描判断:微软工具MBSA基准扫描3、修补系统存在漏洞,并加固系统•临时解决方案使用防火墙策略阻挡指定协议或端口特殊关键字请求,如select*、insertinto、dropfrom等使用防火墙阻挡指定进程暂时停止使用危险应用•根本解决方案安装安全补丁更换安全的应用系统暂时停止使用危险应用4、启动所有应用,测试是否正常运行Linux安全防护——弱口令审计1、弱口令审计(johntheripper)、审计命令#john/etc/shadow--single#john/etc/shadow--wordlist=pass.dicLinux安全防护——PAM(PluggableAuthenticationModules)类型含义控制含义auth检查用户名密码required必须通过,否则退出account检查用户属性requisite有一项通过即可password检查修改密码sufficient通过后立刻退出session检查登录后会话optional可选项Linux安全防护——TCP-Wrapper概述Linux安全防护——TCP-Wrapper配置1、查看libwrap库#ldd/usr/sbin/sshd|greplibwraplibwrap.so.0=/lib/libwrap.so.0(0x008c5000)#ldd/usr/sbin/vsftpd|greplibwraplibwrap.so.0=/lib/libwrap.so.0(0x00774000)2、配置访问控制列表/etc/hosts.allowsshd:1.1.1./etc/hosts.denysshd:allLinux安全防护——禁止root远程登录1、telnet命令•Linux、HP-UX:/etc/securetty•AIX:/etc/security/user,rlogin=false•Solaris:/etc/default/login,CONSOLE=/dev/console2、SSH命令•/etc/ssh/sshd_config,PermitRootLogin=no3、Vsftp命令•/etc/vsftpd/ftpusers信息泄密与防护举例——口令泄露bcdaa、70%如果你以请一顿工作餐来作为交换,有70%的人乐意告诉你他(她)的机器口令b、79%据调查,有79%的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息c、95%平均每人要记住四个口令,95%都习惯使用相同的口令(在很多需要口令的地方)d、33%33%的人选择将口令写下来,然后放到抽屉或夹到文件里信息泄密与防护举例——口令泄露实施技术保护措施•部署DLP策略•部署DRM策略•对重要数据实施强加密策略等完善口令管理制度•及时修改默认密码•规定密码强度,尤其是管理员密码。一般口令长度不少于8位,口令组成须包含数字、字符、大小写字母的三种及以上•定期修改管理员密码•若口令错误输入规定次数后,系统自动锁定等提高员工安全意识•在管理制度中完善口令管理要求后,可定期组织人员培训,宣贯口令保护措施,以及防范员工日常无意识泄密行为等口令防泄密措施主要可从以下三方面进行部署:PART3安全措施安全运维防御措施总体防护措施运行数据加密措施完善安全管理制度数据备份与恢复实施访问控制措施标题文本预设1324安全运维防御措施PC端防护措施防护措施防火墙加密重要文件定期备份系统或重要文件杀毒软件定期升级和杀毒定期升级补丁个人应该怎么做PPT模板下载:行业PPT模板:节日PPT模板:素材下载:背景图片:图表下载:优秀PPT下载:教程:教程:教程:资料下载:课件下载:范文下载:试卷下载:教案下载:字体下载: