《安全评估工具及方法介绍.ppt》由会员分享,可在线阅读,更多相关《安全评估工具及方法介绍.ppt(125页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安全评估工具及方法介绍安全评估工具及方法介绍议程评估概述评估概述评估工具介绍评估工具介绍Windows2000安全评估安全评估Unix安全评估安全评估网络设备安全性评估网络设备安全性评估网络架构安全评估网络架构安全评估安全风险评估三要素资产“资产”定义电信网和互联网及相关系统资产是具有价值的资源,是安全防护体系保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。资产识别资产识别资产是具有价值的资源,是安全策略保护的对象。风资产是具有价值的资源,是安全策略保护的对象。风险评估中,首先需要将电信网和互联网及相关系统资险评估中,首先需要将电信网和互联网及
2、相关系统资产进行恰当的分类,以此为基础进行下一步的风险评产进行恰当的分类,以此为基础进行下一步的风险评估。估。资产分类及示例分类示例数据保存在设备上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件:操作系统、协议包、工具软件、各种数据库软件等应用软件:外部购买的应用软件,外包开发的应用软件,各种共享、自行或合作开发的各种软件等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列等传输线路:光纤、双绞线等保障设备:动力保障设备(UPS、变电设备等)、消防设施等服务网络服
3、务:各种网络设备、设施提供的网络连接服务等业务提供服务:依赖电信网和互联网及相关系统开展的各类业务等文档纸质的各种文件,如设计文档、管理规定和技术要求等人员掌握重要技术的人员,如网络维护人员、网络或业务的研发人员等其它企业形象,客户关系等威胁威胁是一种对资产构成潜在破坏的可能性因素,是客观存在的。威胁可以通过威胁主体、动机、途径等多种属性来描述。威胁可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的网络威胁有盗取帐号密码、冒名顶替、病毒、特洛伊木马、错误路由、火灾、水灾等。威威胁胁赋赋值值评估者根据经验和(
4、或)有关的统计数据来判断威胁出现的频率威胁分类及示例种类种类描述描述软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害无作为或操作失误由于应该执行而没有执行相应的操作、或无意地执行了错误的操作,对系统造成影响管理不到位安全管理无法落实、不到位,造成安全管理不规范或者管理混乱,从而破坏电信网和互联网及相关系统正常有序运行恶意代码和病毒具有自我复制、自我传播能力,对电信网和互联网及相关系统构成破坏的程序代码越权或滥用通过采用一些措施,超越自己的权限访问了本来无权
5、访问的资源;或者滥用自己的职权,做出破坏电信网和互联网及相关系统的行为黑客攻击技术利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对电信网和互联网及相关系统进行攻击和入侵物理攻击物理接触、物理破坏、盗窃泄密机密泄漏,机密信息泄漏给他人篡改非法修改信息抵赖不承认收到的信息和所作的操作或交易脆弱性“脆弱性”定义脆弱性是电信网和互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用可能被威胁所利用从而危及资产的安全。脆脆弱弱性性赋赋值值被威胁利用后对资产的损害程度威胁利用脆弱性示例威胁威胁威胁子类威胁子类威胁可
6、利用的脆弱性威胁可利用的脆弱性人为威胁非故意无作为、误操作威胁核心盘有无保护网管服务器及数据的备份厂家支持力度人员素质及管理外力施工光缆铺设合理性承载系统保护机制故障应急机制有效性故意恶意代码和病毒防恶意代码及病毒措施网络及系统漏洞网络攻击防网络攻击措施针对网络攻击的网络脆弱性泄密、篡改、抵赖防泄密、篡改、抵赖措施保密管理的脆弱性风险值计算相乘法风险值计算方法风险值计算方法-相乘法相乘法风险值 资产价值 威胁值 脆弱性值风险值的取值范围为1-125,风险值等级化处理,确定风险值对应的风险等级。安全评估网络安全主机安全应用安全数据安全物理安全各层的安全需求:各层的安全需求:1、保证本层自身的安全
7、;、保证本层自身的安全;2、实现本层对上层的安全支撑;、实现本层对上层的安全支撑;3、增强对上层安全侵害的抵抗能力;、增强对上层安全侵害的抵抗能力;4、尽可能减少本层对下层的安全依赖;、尽可能减少本层对下层的安全依赖;5、尽可能减少本层对下层的安全侵害;、尽可能减少本层对下层的安全侵害;单系统评估风险评估实施流程图否是否是风险评估准备已有安全措施的确认风险计算风险是否接受保持已有的安全措施施施施选择适当的安全措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险分析评估过程文档评估过程文档风险评估文件记录评估结果文档风险评估规范的依据风险评估方法工具评估工具评估人工检查
8、人工检查资料分析资料分析访谈访谈问卷调查问卷调查渗透测试渗透测试工具评估目的:以网络扫描的方式,发现易于被攻击者利用目的:以网络扫描的方式,发现易于被攻击者利用的安全风险;的安全风险;要求:尽可能和被扫描设备之间无访问控制要求:尽可能和被扫描设备之间无访问控制扫描影响:对网络资源的影响在扫描影响:对网络资源的影响在5%以下,对系统以下,对系统资源的影响在资源的影响在3%以下;以下;人工评估目的:目的:对工具评估结果进行分析;查找工具评估无法发现的安全漏洞;了解系统配置信息,为安全加固做准备;查看系统受攻击情况;要求:以系统管理员方式登陆系统要求:以系统管理员方式登陆系统评估影响:不对系统进行任
9、何更改,没有影响;评估影响:不对系统进行任何更改,没有影响;风险规避措施评估前要求对重要系统进行有效备份;评估前要求对重要系统进行有效备份;扫描中不使用扫描中不使用DoS扫描策略;扫描策略;对重要业务系统选择业务量比较小的时间段进行评对重要业务系统选择业务量比较小的时间段进行评估;估;双机热备系统分别扫描,确认工作正常后再继续扫双机热备系统分别扫描,确认工作正常后再继续扫描;描;发现问题,及时中止,确认问题解决后再继续扫描发现问题,及时中止,确认问题解决后再继续扫描议程评估概述评估概述评估工具介绍评估工具介绍Windows2000安全评估安全评估Unix安全评估安全评估网络设备安全性评估网络设
10、备安全性评估网络架构安全评估网络架构安全评估什么是扫描器什么是扫描器什么是扫描器黑客实施盗窃之前,最先进行的工作黑客实施盗窃之前,最先进行的工作窥探,利用扫窥探,利用扫描器可以收集到:操作系统类型、开放端口、开放服务描器可以收集到:操作系统类型、开放端口、开放服务及版本号、共享目录,及版本号、共享目录,无疑扫描器成了黑客的帮凶!但扫描器无罪,关键看掌无疑扫描器成了黑客的帮凶!但扫描器无罪,关键看掌握在谁的手里;握在谁的手里;什么是扫描器什么是扫描器安全管理者眼中的扫描器知己知彼,百战不殆。通过扫描器可以对己方的安全隐知己知彼,百战不殆。通过扫描器可以对己方的安全隐患了如指掌;患了如指掌;利用扫
11、描器提供的漏洞修补建议,完成系统的加固;利用扫描器提供的漏洞修补建议,完成系统的加固;防范未授权的扫描:部署防火墙、防范未授权的扫描:部署防火墙、IDS等;等;与其它产品联动:防火墙阻断主机、与其它产品联动:防火墙阻断主机、IDS入侵事件过滤入侵事件过滤;主流扫描器ISSSSSWebRavorLinktrustNetworkScannerXSCANSPUER-SCANNMAPNESSUS流光流光X-ScanX-ScanNESSUSNESSUS议程评估概述评估概述评估工具介绍评估工具介绍Windows2000安全评估安全评估Unix安全评估安全评估网络设备安全性评估网络设备安全性评估网络架构安全
12、评估网络架构安全评估主要检查项补丁与版本补丁与版本用户与口令用户与口令服务状况服务状况安全配置安全配置系统日志系统日志主要应用软件主要应用软件被攻击情况检查被攻击情况检查版本与补丁版本查看办法版本查看办法“我的电脑”属性”开始菜单“管理工具”计算机管理系统信息系统摘要补丁查看办法补丁查看办法通过在线Windows Update,检查有哪些安全更新需要安装通过“控制面板”添加/删除软件”查看已经安装了哪些补丁通过注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdates通过其它工具用户与口令确保禁用确保禁用Guest等账户;等账户;检查用户所属的组,关注检查用户所
13、属的组,关注administrators组;组;用户与口令C:winntrepairsam文件服务状况“管理工具管理工具”服务服务需要关注的服务需要关注的服务Alerter、messenger、snmp、remote registry service、routing and remote access、run as、telnet、ftp、smtp、nntp、terminal service、www其他远程服务、可疑的服务远程管理服务远程管理服务Terminal service、pcanywhere、netmeeting等共享服务共享服务C:net share“管理工具”计算机管理”共享”注意共
14、享访问权限安全配置安全选项安全选项“管理工具”“本地安全策略”“安全设置/本地策略/安全选项”对匿名连接的额外限制;对匿名连接的额外限制;允许在未登录前关机;允许在未登录前关机;是否显示上次登录帐号;是否显示上次登录帐号;LANManager身份验证级别;身份验证级别;发送未加密的密码以连接到第三方发送未加密的密码以连接到第三方SMB服务器;服务器;允许弹出可移动允许弹出可移动NTFS媒体;媒体;在断开会话之前所需的空闲时间;在断开会话之前所需的空闲时间;如果无法记录安全审计则立即关闭系统;如果无法记录安全审计则立即关闭系统;登录屏幕上不要显示上次登录的用户名;登录屏幕上不要显示上次登录的用户
15、名;禁用按禁用按CTRL+ALT+DEL进行登录的设置;进行登录的设置;在关机时清理虚拟内存页面交换文件;在关机时清理虚拟内存页面交换文件;系统日志系统日志设置系统日志设置系统日志日志审核设置日志审核设置主要应用软件MSSQLServer等数据库软件等数据库软件Seru-U等等ftp软件软件Apache、IIS等等WWW服务软件服务软件被攻击情况检查查看系统进程查看系统进程任务管理器查看系统开放服务查看系统开放服务查看系统端口和连接查看系统端口和连接Netstat an结合fport工具查看系统日志查看系统日志系统日志、安全日志、应用日志、IIS等访问日志C:winntsystem32logf
16、iles被攻击情况检查系统注册表系统注册表HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun和HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce项下是否有异常程序 菜单程序启动Txt、exe等关联程序C:ftypetxtfile等等议程评估概述评估概述评估工具介绍评估工具介绍Windows2000安全评估安全评估Unix安全评估安全评估网络设备安全性评估网络设备安全性评估网络架构安全评估网络架构安全评估主要检查项系统基本信息系统基本信息root用户安全配置用户安全配置系统服务启动状况系统服务启动状况关键服务
17、配置关键服务配置用户与口令用户与口令系统审计系统审计文件系统与文件权限文件系统与文件权限其他其他系统基本信息(补丁)系统补丁信息系统补丁信息使用使用oslevel确定系统版本确定系统版本补丁分为三类补丁分为三类-Recommended Maintenance Package(RM)-Critical Fix(cfix)-Emergence Fix(efix)推荐使用推荐使用RPM安装系统补丁安装系统补丁对于最新的漏洞,需要对于最新的漏洞,需要efix系统基本信息(其他)系统基本信息系统基本信息uname-a系统网卡信息系统网卡信息ifconfig-a系统路由信息系统路由信息netstat-nr
18、网络连接信息网络连接信息netstat-na系统进程信息系统进程信息ps-efroot用户安全配置是否允许是否允许root用户远程登录用户远程登录在/etc/security/user文件中设定使用lsuser可以查看使用chuser更改root用户的环境变量用户的环境变量/etc/environment是全局的环境变量/etc/security/environ中可以设定单个用户的环境变量也可以通过启动文件设定环境变量系统服务启动状况初始的启动文件初始的启动文件/etc/inittabpiobeqdaemonwritesrvhttpdlite通常服务在通常服务在/etc/rc.*文件中启动文件
19、中启动rc.nfsrc.tcpiprc.d/inetd的启动文件的启动文件/etc/inetd.conf关键服务配置R命令(命令(rlogin,rsh)的配置情况)的配置情况CDE(dtlogin)是否设置访问控制)是否设置访问控制Ftp服务是否限制系统用户访问(服务是否限制系统用户访问(/etc/ftpusers)Cron服务服务NFS服务服务SNMP服务服务Sendmail服务服务DNS服务服务用户与口令删除无用用户删除无用用户查看是否存在空查看是否存在空/弱口令弱口令口令策略设定口令策略设定在/etc/security/user文件中设定使用lsuser/chuser查看与修改登录策略设
20、定登录策略设定在/etc/security/login.cfg文件中设定通用用户的环境变量设定通用用户的环境变量设定在/etc/environment文件中设定系统审计syslog日志的配置状况日志的配置状况记录失败登录:记录失败登录:/etc/security/failedlogin使用who查看:who/etc/security/failedlogin记录最新登录:记录最新登录:/etc/security/lastlog文本文件,使用more查看记录记录su的使用:的使用:/var/adm/sulog文本文件,使用more查看文件系统与文件权限以安全模式加载文件系统以安全模式加载文件系统文
21、件基本权限文件基本权限查找查找setuid,setgid与全局可写的文件与全局可写的文件find/-perm-4000-ls 查找所有setuid的文件find/-perm-2000-ls 查找所有setgid的文件find/-perm-0004-ls 查找所有全局可写的文件和目录 其他修改修改banner信息信息在/etc/security/login.cfg中修改herald参数对网络连接设置访问控制对网络连接设置访问控制服务安全管理尽可能少泄露系统信息尽可能少泄露系统信息更改telnetdftpdbindsendmail等的banner信息 编写安全的用户程序编写安全的用户程序注意避免自
22、己编写的用户程序中常见的安全漏洞,它们往往成为黑客攻击的突破口。主要应用软件安全性服务的安全补丁服务的安全补丁除了操作系统的安全补丁外,各厂商的应用服务,也需要安装相应的安全补丁。比如比如sendmail、Bind、Apache、WUFTP、数据库、网管系统等等,都、数据库、网管系统等等,都会不定期出现严重的安全漏洞,需要单独安装其安全补丁。会不定期出现严重的安全漏洞,需要单独安装其安全补丁。主要应用软件安全性对服务的安全配置对服务的安全配置对主要的服务,比如snmpd、sendmail、bind、apache、NFS等,如果必须开放的话,也应该进行相应的安全配置。入侵检查基本理念基本理念了解
23、后门的形式了解后门的形式会有助于对攻击者入侵行为和后门的检查会有助于对攻击者入侵行为和后门的检查系统是否可信系统是否可信系统已经或者有可能受到攻击,那么许多信息已经不再完全可信系统已经或者有可能受到攻击,那么许多信息已经不再完全可信通过通过lsnetstatpsfind等获得的信息不再可信,因为这些应用程序本身等获得的信息不再可信,因为这些应用程序本身可能已经被入侵者篡改;可能已经被入侵者篡改;syslog日志可能已经被删除或者篡改;日志可能已经被删除或者篡改;文件或者目录的大小属性、时间戳等都可能被伪造。文件或者目录的大小属性、时间戳等都可能被伪造。入侵痕迹入侵痕迹入侵者往往会由于技术或者非
24、技术的原因留下蛛丝马迹入侵者往往会由于技术或者非技术的原因留下蛛丝马迹当攻击者多次登录、或者多台机器被入侵时,由于疏忽的原因,留下当攻击者多次登录、或者多台机器被入侵时,由于疏忽的原因,留下痕迹的可能性会更大痕迹的可能性会更大入侵检查使用基本的系统命令使用基本的系统命令ls命令:注意查看文件的注意查看文件的ACLTime时间戳、权限位、大小、属主等;时间戳、权限位、大小、属主等;find命令:可以根据文件的可以根据文件的ACLtime时间戳、权限、大小、属主、类型等特性进时间戳、权限、大小、属主、类型等特性进行查找;行查找;ps eaf或者/bin/ucb/ps aux查看进程信息;ldd查看
25、命令所调用的动态库netstat an命令查看端口链接信息;lsof查看进程打开的端口、打开的文件等属性;strings和file命令查看文件信息;入侵检查使用基本的系统日志使用基本的系统日志查看系统本身的相关日志,但它们被篡改的可能性较大;但它们被篡改的可能性较大;查看网络日志服务器的日志或者查看IDS系统日志等它们一般比较可靠,被篡改的可能性相对较小。它们一般比较可靠,被篡改的可能性相对较小。使用其它工具(使用其它工具(chkrootkit)常见的后门形式suid后门后门把重要的文件cp到隐藏的目录下,设置suid位,比如:cp/bin/ksh/tmp/.aachownroot:root.
26、aachmod4755.aa常见的后门形式inetd后门后门选择一个不常被使用的服务,用可以产生某种后门的守护进程代替原先的守护进程,比如:将用于提供日期时间的服务将用于提供日期时间的服务daytime替换为能够产生一个替换为能够产生一个suidroot的的shellvi/etc/inetd.confdaytimestreamtcpnowait/bin/shsh-i.常见的后门形式rc等启动脚本后门等启动脚本后门在rc启动脚本中运行后门服务,比如在/sbin/rc3或者/etc/rc2.d/S69inet中增加:nclp9999e/bin/sh&将会在将会在tcp9999端口监听。端口监听。常
27、见的后门形式更改更改/etc/passwd和和/etc/shadow文件文件echo footq:x:0:0:/export/home/footq:/bin/sh /etc/passwdecho footq:/etc/shadow常见的后门形式攻击者可能在攻击者可能在crontab或者或者at中增加定期运行的后中增加定期运行的后门门Crontab的语法为:几分几分几点几点几号几号几月几月周几周几命令命令103*0/usr/lib/newsyslogcrontab l aaa将当前用户的crontab内容导入到aaa文件crontab bbb将编辑好的crontab文件bbb加载到当前用户的cr
28、ontab中,使之生效crontab e编辑当前的crontab文件 常见的后门形式rootkit黑客的后门工具箱,比如lrk5、ark等,包括以下功能:自动清除日志中的登录记录的工具,比如自动清除日志中的登录记录的工具,比如wipe、zap2等;等;隐藏攻击者目录和文件、进程等的工具,如替换的隐藏攻击者目录和文件、进程等的工具,如替换的netstat、ps、ls、ifconfig等;等;木马,比如替换的木马,比如替换的login、su等;等;后门程序,比如后门程序,比如nc,或者其他的,或者其他的BindShell等;等;以太网的以太网的sniffer;它能伪装被替换文件的sum校验和,更改
29、时间戳等,由于许多命令被替换更改,所以许多东西不再可信,比较难于检查,但是:往往也会存在纰漏和蛛丝马迹,能够被人工发现;往往也会存在纰漏和蛛丝马迹,能够被人工发现;tripwire等文件系统完整性检查工具、等文件系统完整性检查工具、chkrootkit可以发现它。可以发现它。议程评估概述评估概述评估工具介绍评估工具介绍Windows2000安全评估安全评估Unix安全评估安全评估网络设备安全性评估网络设备安全性评估网络架构安全评估网络架构安全评估主要检查项设备负载设备负载访问安全访问安全账号和口令账号和口令认证认证banner服务管理服务管理logacl防范防范DOS攻击功能攻击功能路由器负载
30、路由器的负载通常取决于下列因素路由器的负载通常取决于下列因素:路由器在网络中所处的层次核心层核心层,汇聚层汇聚层,或者接入层或者接入层 路由器执行的软件功能NAT,policy-route,加密等等都会加重设备负担加密等等都会加重设备负担命令showprocessmemshowprocesscpuIOS版本有无漏洞 系统漏洞系统漏洞,在非人为条件下在非人为条件下,系统在特定网络环境中系统在特定网络环境中出现异常出现异常;安全性漏洞安全性漏洞,破坏者借此控制设备或者造成设备运破坏者借此控制设备或者造成设备运行异常行异常;网络设备运行中断或者异常即可造成经济损失检测方式检测方式网络扫描工具如如Li
31、nkTrustNetworkScanner 检查版本号,版本过低即可能有漏洞命令命令showversion访问安全 Console访问安全 auxiliary访问安全 vtyvty访问安全 vty访问安全 Privilege从015默认是:1(exec)15(enable)可以自定义其他级别访问安全 访问安全 账号和口令应按照用户分配账号应按照用户分配账号Router#config tEnter configuration commands,one per line.End with CNTL/Z.Router(config)#service password-encryptionRouter
32、(config)#username ruser1 password 3d-zirc0niaRouter(config)#username ruser1 privilege 1Router(config)#username ruser2 password 2B-or-3BRouter(config)#username ruser2 privilege 1Router(config)#end 账号和口令Type7Cisco的算法很容易被破解很容易被破解enablepasswordusername*password*servicepassword-encryption(可以保证不在屏幕上直接显示)(
33、可以保证不在屏幕上直接显示)Type5MD5算法算法安全安全enablesecret账号和口令Enablepassword和和enablesecret同时存在时,只有同时存在时,只有enablesecret起作用起作用应该禁止enable password,尤其注意二者不能相同认证认证系统联动认证系统联动Router#configure terminal Enter configuration commands,one per line.End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#aaa authentication l
34、ogin default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacsRouter(config)#tacacs-server key Ir31yh8n#w9swDRouter(config)#end有些时候,有些时候,缺省缺省BANNER信息会为黑客提供入侵线索;信息会为黑客提供入侵线索;User Access VerificationPassword:如上信息意味着该设备是Cisco设备。Router(config)#banner login
35、This is secured device.Unauthorized use is prohibited by law.修改缺省bannerHTTP 管理模式 HTTP管理模式可以使用户以WEB方式管理路由器,但是也带来安全隐患。router(config)#noiphttpserver关闭关闭HTTP模式模式router(config)#iphttpaccess-classaccess-list 用用ACL限制可以访问的地址限制可以访问的地址router(config)#iphttpauthentication验证方式:本机或者验证方式:本机或者radius服务器服务器 Router(co
36、nfig)#no access-list 11Router(config)#access Router(config)#access-list 11 deny any Router(config)#ip http access-class 11 Router(config)#ip http authentication local Router(config)#ip http serverHTTP 管理模式 SNMP是否有安全隐患尽可能禁用尽可能禁用SNMP,如确实需要使用如确实需要使用SNMP,必须:必须:确保使用SNMP 版本3,因为SNMP V3使用了较强的MD5认证技术 必须确保MIB
37、库的读写密码(Community String Password)必须设定为非缺省值(Public and Private)Community String Password必须为健壮口令,并定期更换;确保授权使用SNMP进行管理的主机限定在指定网段范围内(ACL)Router(config)#no snmp community public Router(config)#no snmp community private Router(config)#accessRouter(config)#accessRouter(config)#access-list 8 deny anyRouter(
38、config)#!make SNMP read-only and subject to access listRouter(config)#snmp-server community hello!#ro 8Router(config)#snmp-server host 172.22.66.18 maddogRouter(config)#snmp-server trap-source loopback 0Router(config)#snmp-server enable traps snmpSNMP是否有安全隐患 关闭无用服务很多服务目前Internet 上已经很少使用,而且这类服务服务往往存在
39、可供黑客利用的缺陷。Small services(echo,discard,chargen,etc.):Router(config)#no service tcp-small-servers Router(config)#no service udp-small-serversBOOTP:Router(config)#no ip bootp server FingerRouter(config)#no ip finger Router(config)#no service finger CDP是否构成隐患?无必要时,无必要时,关闭关闭CDP协议,协议,黑客通常可以借助黑客通常可以借助CDP更快
40、地了解网络拓扑结构更快地了解网络拓扑结构XXXX-NMSW-1#show cdp neiCapability Codes:R-Router,T-Trans Bridge,B-Source Route Bridge S-Switch,H-Host,I-IGMP,r-RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port IDJAB032008YP(XXXX-Gig 4 155 T S WS-C4003 2/2JAB032008YP(XXXX-Gig 3 155 T S WS-C4003 2/1LOGLog类型类型Conso
41、le loggingTerminal line loggingBuffered logging空间有限空间有限Syslog loggingSNMP trap loggingLOGLOGLOGLOG日志是否开启 确保路由器开启日志功能。若路由器没有足够的空间,需要确保路由器开启日志功能。若路由器没有足够的空间,需要将日志传送到日志服务器上保存;将日志传送到日志服务器上保存;若边界路由器未配合防火墙、若边界路由器未配合防火墙、IDSIDS、SnifferSniffer等技术使用,必等技术使用,必须支持详尽的日志信息;须支持详尽的日志信息;在日志文件中需要记录登录过该设备的用户名、时间和所作在日志文
42、件中需要记录登录过该设备的用户名、时间和所作的命令操作等详细信息,为发现潜在攻击者的不良行为提供的命令操作等详细信息,为发现潜在攻击者的不良行为提供有力依据有力依据;Router(config)#logging onRouter(configRouter(config)#logging buffered 16000 informationRouter(config)#logging console criticalRouter(config)#logging trap debugging日志是否开启 SNMPSNMP访问控制列表 标准标准ACLInterface#access-grouplis
43、t-numberin(out)访问控制列表 扩展扩展ACLInterface#access-grouplist-numberin(out)访问控制列表 基于基于name的扩展的扩展ACLInterface#access-grouplist-numberin(out)访问控制列表 ACL匹配顺序匹配顺序默认是默认是deny最少一个permit只是单向访问控制只是单向访问控制是否需要和合理利用RPF功能?RPF可可以以有有效效地地防防止止基基于于地地址址欺欺骗骗的的攻攻击击手手段段,提提供供全全网网的的抗抗攻攻击击能能力力,的使用基于以下原则的使用基于以下原则:路由器必须可以开启交换模式 如果路由
44、器从某接口接收到的任何包,其回应包必定从该接口返回,则可以在该接口上使用RPF功能;尽可能在靠近接入用户的网络设备上使用;Router(config)#ip cefRouter(config)#inter e0/0Router(config-if)#ip verify unicast reverse-path 访问控制列表 访问控制列表 访问控制列表 访问控制列表 议程评估概述评估概述评估工具介绍评估工具介绍Windows2000安全评估安全评估Unix安全评估安全评估网络设备安全性评估网络设备安全性评估网络架构安全评估网络架构安全评估网络架构安全评估安全域划分安全域划分边界防护边界防护网络安
45、全管理网络安全管理冗余、备份与恢复冗余、备份与恢复IP地址规划地址规划安全域划分(1)为什么要划分安全域?为什么要划分安全域?n组网方式随意性强,缺组网方式随意性强,缺乏统一规划乏统一规划n网络区域之间边界不清网络区域之间边界不清晰,互连互通没有统一晰,互连互通没有统一控制规范控制规范n安全防护手段部署原则安全防护手段部署原则不明确不明确n扩展性差扩展性差n无法有效隔离不同业务领域,无法有效隔离不同业务领域,跨业务领域的非授权互访难于跨业务领域的非授权互访难于发现和控制发现和控制n无法有效控制网络病毒的发作无法有效控制网络病毒的发作区域和影响区域和影响n不能及时的发现安全事件和响不能及时的发现
46、安全事件和响应应n第三方维护人员缺乏访问控制第三方维护人员缺乏访问控制和授权和授权n管理员密码和权限的难以管理管理员密码和权限的难以管理n关键服务器、信息资产的缺乏关键服务器、信息资产的缺乏重点防护重点防护安全域划分(2)安全域划分的根本目的是把一个大规模复杂系统的安全问题,安全域划分的根本目的是把一个大规模复杂系统的安全问题,化解为更小区域的简单系统的安全保护问题。这也是实现大规模复化解为更小区域的简单系统的安全保护问题。这也是实现大规模复杂信息的系统安全分等级保护的有效方法。杂信息的系统安全分等级保护的有效方法。安全域是指具有相同或近安全域是指具有相同或近似安全保护需求的一系列似安全保护需
47、求的一系列ITIT要素的逻辑集合。这些要素的逻辑集合。这些要素主要包括:要素主要包括:业务应用业务应用网络区域网络区域主机主机/系统系统组织人员组织人员物理环境物理环境主体、性质、安全目标和策略等元素的主体、性质、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。同的网络安全域共享同样的安全策略。安全域划分安全域划分安全
48、域划分(3)安全域划分的基本步骤安全域划分的基本步骤作为实现信息系统安全等级保护的前提,首先应提出各信息系统组网、作为实现信息系统安全等级保护的前提,首先应提出各信息系统组网、设备部署的基本原则,即进行安全域划分的原则。设备部署的基本原则,即进行安全域划分的原则。在明确安全域划分基本原则基础上,根据不同信息系统的价值和安全在明确安全域划分基本原则基础上,根据不同信息系统的价值和安全风险等级,确定各安全域不同的保护等级。风险等级,确定各安全域不同的保护等级。结合冗余备份、提高数据传输效率等原则,明确组网的基本要求,并结合冗余备份、提高数据传输效率等原则,明确组网的基本要求,并据此进行边界保护和基
49、本安全防护手段的建设工作。据此进行边界保护和基本安全防护手段的建设工作。安全域划分(4)安全域划分的原则安全域划分的原则业务保障原则:业务保障原则:安全域划分的根本目标是能够更好的保障网络上承载的业务。在保证安全域划分的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。安全的同时,还要保障业务的正常运行和运行效率。结构简化原则:结构简化原则:安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。网络结构便于设计防护体系。等级保护原则:等级保护原则:安全域的划分
50、要做到每个安全域的信息资产价值相近,具有相同或相安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。近的安全等级、安全环境、安全策略等。生命周期原则:生命周期原则:对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;化;在安全域的建设和调整过程中要考虑工程化的管理。在安全域的建设和调整过程中要考虑工程化的管理。安全域划分(5)安全域划分方法安全域划分方法安全域的划分除了遵循上述根本原则外,安全域的划分还应考虑如安全域的划分除了遵循上述根本原则外,安全域的划分还应考虑如下两个重要特