《局域网的网络安全防范与技术课件.pptx》由会员分享,可在线阅读,更多相关《局域网的网络安全防范与技术课件.pptx(139页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、恭祝江苏省高校图情工委现代技术专业委员会年会顺利召开局域网的网络安全防范与技术孙国梓 博士南京邮电大学计算机学院主要内容v局域网环境简介v局域网的安全威胁v局域网监听与防范v局域网ARP攻击与防范v局域网病毒入侵与防范v快速关闭端口防止入侵v局域网共享资源安全防范v无线局域网嗅探与防范v局域网上网的安全防范与技巧局域网环境简介v 计算机网络的分类按作用范围的大小分 广域网(WAN)也叫远程网。作用范围通常为几十到几千公里,是一种可跨越国家及地区的遍布全球的计算机网络 城域网(MAN)也叫市域网。它的范围约为几千米到几十千米 局域网(LAN)也叫局部网。一般将微机通过高速通信线路相连,范围一般在
2、几百米到几千米局域网环境简介v局域网的基本概念 Local Area Network(LAN)是计算机网络的一种一个通信系统 范围 在一定的地理区域(一个办公室、一幢楼、一家工厂或方圆几公里远的地域等)内 功效 利用通信线路将众多计算机(一般为微机)及外围设备连接起来,达到数据通信和资源共享的目的局域网环境简介v局域网最主要的特点 覆盖的地理范围较小,几米到几公里 以微机为主要联网对象 通常为某个单位或部门所有 具有较高的数据传输速率、较低的时延和较小的误码率 易于安装、配置和维护简单,造价低 实用性强,已经成为计算机网络中使用最广的形式v局域网一般分为令牌网和以太网两种 令牌网主要用于广域网
3、及大型局域网的主干部分,其操作系统大多是UNIX。组建和管理非常繁琐,需专业人员胜任 以太网是当今世界应用范围最广的一种网络技术,组建较为容易,各设备之间的兼容性较好,Windows和Netware都支持它局域网的组成v 局域网由网络硬件和网络软件两部分组成 网络硬件用于实现局域网的物理连接 为连接在局域网上的计算机之间的通信提供一条物理信道和实现局域网间的资源共享 网络软件则主要用于控制 并具体实现信息的传送和网络资源的分配与共享 这两部分互相依赖,共同完成局域网的通信功能局域网的拓朴结构最常见的局域网拓朴结构有星型、环型、总线型和树型集线器(a)星型网*(b)环型网(c)总线网(d)树型网
4、注:图(a)在物理上是一个星型网,但在逻辑上仍是一个总线网干线耦合器匹配电阻(1)星型拓朴每一个站点通过点-点链路连至中心节点,所有的通信都由中心节点控制,一般采用线路交换。中心节点也可以有数据处理能力并提供共享资源近年来由于集线器(hub)的出现和双绞线大量用于局域网中,星形网以及多级结构的星形网获得了非常广泛的应用基本特性优点建网容易,配置方便每个连接的故障容易排除,不影响全网控制协议相对简单缺点在同样覆盖面积内;所用电缆量较大扩展不方便,需要预留或增设电缆对中心节点要求非常高,一旦中心节点产生故障,全网将不能工作集线器或交换机(2)环型拓朴由一些中继器通过点到点链路连成的一个闭合环。入网
5、设备连到中继器上。中继器是较简单的设备,无存储转发功能。它从一条链路上接收数据,以相同速率在另一条链路上输出。数据在环上是单向传输的由于所有站点共享一个环,因此要对站点对环的访问进行控制。控制采用分布的办法,即每个站都有控制发送和接收的访问逻辑基本特性优点电线长度较短,与总线拓扑类似适于采用光缆连接,从而提高数据速率缺点某段链路或某个中继器有故障会使全网不能工作站点离网、入网都较困难(3)总线拓朴将所有站点通过硬件接口连接到单根传输介质共享总线上。在IEEE802标准中IEEE802.3(即以太网)和IEEE802.4(令牌总线)都是总线拓扑基本特性优点与星型拓扑相比,所需电缆长度较短结构简单
6、,可靠性高扩充(如增加站点、延长电缆等)较容易缺点故障检测不很容易,如总线有故障需分段查找,如站点有故障需一个一个查站点需要提供访问控制功能按网络使用的传输介质分类v 局域网使用的传输介质有双绞线,光纤,同轴电缆,无线电波,微波等v 对应的局域网有双绞线网,光纤网,同轴电缆网,无线局域网,微波网v 目前小型局域网大都是双绞线网,而较大型局域网则采用光纤和双绞线传输介质的混合型网络v 近年来,无线网络技术发展迅速,它将成为未来局域网的一个重要发展方向局域网环境简介v 无线局域网 Wireless LAN 可提供所有无线局域网的功能,而不需要物理线路连接 数据先被调制到射频载波中,然后以大气为载体
7、进行传输 典型速率为11Mbps 和54Mbps,但实际应用中得到的速率通常为此速率的一部分 无线局域网的实现可以非常简单,只要在计算机上安装无线网卡即可 如果想和有线网络连接在一起需要添加一个无线接入点AP。AP 一般位于无线客户端的中心接入位置Wireless LAN 的优缺点v 优点:移动性 安装 安装的灵活性 减少用户投入 易于扩展v 缺点:Wireless LAN 和有线局域网相比速率较低 无线网络的硬件投入会高于有线网络主要内容v局域网环境简介v局域网的安全威胁v局域网监听与防范v局域网ARP攻击与防范v局域网病毒入侵与防范v快速关闭端口防止入侵v局域网共享资源安全防范v无线局域网
8、嗅探与防范v局域网上网的安全防范与技巧局域网安全威胁v局域网技术将网络资源共享的特性体现得淋漓尽致 不仅能提供软件资源、硬件资源共享 还提供Internet连接共享等各种网络共享服务 越来越多的局域网被应用在学校、写字楼,办公区 局域网的安全威胁v目前绝大多数的局域网使用的协议都是和Internet一样的TCP/IP协议 各种黑客工具一样适用于局域网v局域网中的计算机更多体现的是共享和服务 因此局域网的安全隐患较之于Internet更是有过之而无不及局域网的安全威胁v目前的局域网基本上都采用以广播为技术基础的以太网 任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以
9、太网上的任何一个节点的网卡所截取 v黑客只要接入以太网上的任一节点进行侦听 就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患安全无内、外之分 长期以来,对于信息安全问题,通常认为安全问题主要源于外面因素,都希望在互联网接入处,把病毒和攻击挡在门外,就可安全无忧 有许多重大的网络安全问题正是由于内部员工引起 一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中 在员工浏览色情网站、利用即时通讯和访问购物网站时 这些恶意软件还会在企业内部网络中进行传播,不仅会产生安全隐患,而且还会影响到网络的使用率 特别值得注意的是,企业的机密资料
10、、客户数据等信息可能会由于恶意软件的存在,不知不觉被盗取局域网内的安全误区v局域网中无需单机防火墙 v没有人会针对我v安装杀毒软件和病毒防火墙就不怕病毒v安装了SP2的Windows XP就安全了主要内容v局域网环境简介v局域网的安全威胁v局域网监听与防范v局域网ARP攻击与防范v局域网病毒入侵与防范v快速关闭端口防止入侵v局域网共享资源安全防范v无线局域网嗅探与防范v局域网上网的安全防范与技巧以太网协议工作方式v将要发送的数据包发往连接在一起的所有主机 包中包含着应该接收数据包主机的正确地址 只有与数据包中目标地址一致的那台主机才能接收v当主机网卡设置为混杂模式时(监听模式)经过自己网络接口
11、的那些数据包 无论数据包中的目标地址是什么,主机都将接收(监听)以太网协议工作方式v现在网络中使用的大部分协议都是很早设计的 许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上 许多信息以明文发送局域网监听与防范v局域网中采用广播方式 在某个广播域中可以监听到所有的信息包 黑客通过对信息包进行分析,就能获取局域网上传输的一些重要信息 很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段,原因是想用这种方法获取其想要的密码等信息v对黑客入侵活动和其它网络犯罪进行侦查、取证时,也可以使用网络监听技术来获取必要的信息 因此,了解以太网监听技术的原理、实现方法和防范措施就显得尤为
12、重要网络监听v网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等 当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获 网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等网络监听的应用场景v如果用户的账户名和口令等信息也以明文的方式在网上传输 只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分 黑客或网络攻击者会利用此方法进行网络监听v正确使用网络监听技术也可以发现入侵并
13、对入侵者进行追踪定位 在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段使用sniffer pro 进行监听v获取邮箱密码 通过对用监听工具捕获的数据帧进行分析,可以很容易的发现敏感信息和重要信息 对一些明码传输的邮箱用户名和口令可以直接显示出来网络监听的相关软件v密码监听器(01)用于监听网页的密码,包括网页上的邮箱、论坛、聊天室等 只需在一台电脑上运行,就可以监听整个局域网内任意一台电脑登录的账号和密码,并将密码显示、保存,或发送到用户指定的邮箱如何检测并防范网络监听v网络监听是很难被发现的,特点 隐蔽性强 运行网络监听的主机只是被动地接收在局域局上传输的信息
14、 不主动的与其他主机交换信息,也没有修改在网上传输的数据包 手段灵活 网络监听可以在网上的任何位置实施 可以是网上的一台主机、路由器,也可以是调制解调器 网络监听效果最好的地方是在网络中某些具有战略意义的位置 如网关、路由器、防火墙之类的设备或重要网段;而使用最方便的地方是在网中的一台主机上对可能存在的网络监听的检测v1)对于怀疑运行监听程序的主机,可用正确的IP地址和错误的物理地址去探测(如Ping),运行监听程序的主机会有响应 这是因为正常的机器不接收错误的物理地址 处理监听状态的机器能接收 如果他的IP stack不再次反向检查的话,就会响应对可能存在的网络监听的检测v2)可向网上发送大
15、量目的地址根本不存在的数据包 由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降 通过比较前后该机器性能加以判断 这种方法难度比较大v3)使用反监听工具如antisniffer等进行检测对网络监听的检测v当前,有两个比较可行的办法 搜索网上所有主机运行的进程 网络管理员使用UNIX或Windows NT的主机,可以很容易地得到当前进程的清单 确定是否有一个进程被从管理员主机上启动 搜查监听程序 现在监听程序只有有限的几种,管理员可以检查目录,找出监听程序对网络监听的检测v还有两个方法比较有效,缺点也是难度较大 检查被怀疑主机中是否有一个随时间不断增长的文件存在 因为网
16、络监听输出的文件通常很大,且随时间不断增长 通过运行ipconfig命令,检查网卡是否被设置成了监听模式 或使用Ifstatus工具,定期检测网络接口是否处于监听状态 当网络接口处于监听状态时,可能是入侵者侵入了系统,并正在运行一个监听程序,就要有所注意对网络监听的防范措施v从逻辑或物理上对网络分段v以交换式集线器代替共享式集线器 控制单播包而无法控制广播包和多播包v使用加密技术v划分VLAN 运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵主要内容v局域网环境简介v局域网的安全威胁v局域网监听与防范v局域网ARP攻击与防范v局域网病毒入侵与防范v快
17、速关闭端口防止入侵v局域网共享资源安全防范v无线局域网嗅探与防范v局域网上网的安全防范与技巧ARP 协议vAddress Resolution Protocol(地址解析协议)v在局域网中,网络中实际传输的是“帧”帧里面是有目标主机的MAC地址的v在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址v但这个目标MAC地址是如何获得的呢 通过地址解析协议获得ARP 协议原理v所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行v在局域网中,通过ARP协议
18、来完成IP地址转换为第二层物理地址(即MAC地址)的 ARP协议对网络安全具有重要的意义 通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞局域网内部的ARP 攻击vARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行v基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包 数据包内包含有与当前设备重复的Mac地址 使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信受ARP 攻击可能出现的现象v1)不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框v2)计算
19、机不能正常上网,出现网络中断的症状v因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截v普通的防火墙很难抵挡这种攻击ARP 病毒攻击症状v现在局域网中感染ARP 病毒的情况比较多 清理和防范都比较困难,给不少的网络管理员造成了很多的困扰v症状 有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误 局域网内的ARP 包爆增 使用Arp 查询的时候会发现不正常的Mac地址,或错误的Mac 地址对应,还有就是一个Mac 地址对应多个IP 的情况也会有出现ARP 攻击的原理vARP 欺骗攻击的包一般有以下两个特点,满足之一可
20、视为攻击包报警 以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配 ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC 数据库MAC/IP 不匹配ARP 攻击的原理v这些统统第一时间报警 查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道哪台机器在发起攻击了v现在有网络管理工具 比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问 也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能 同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关敏感信息ARP 攻击软件vWinArp
21、Attacker ARP攻击器(02)ARP机器列表扫描 基于ARP的各种攻击方法 定时IP冲突/IP冲突洪水/禁止上网/禁止与其他机器通讯/监听与网关和其他机器的通讯数据/ARP代理 ARP攻击检测/主机状态检测/本地ARP表变化检测 检测到其他机器的ARP监听攻击后可进行防护,自动恢复正确的ARP表 把ARP数据包保存到文件 可发送手工定制ARP包ARP 攻击的处理方法v先保证网络正常运行v找到感染ARP 病毒的机器v采取一定的预防措施先保证网络正常运行v在能上网时,进入MS-DOS窗口,输入命令 arp a 查看网关IP对应的正确MAC地址,将其记录下来 如果已经不能上网,则先运行一次命
22、令arp d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp a先保证网络正常运行v如果已经有网关的正确MAC地址 在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响 手工绑定可在MS-DOS窗口下运行以下命令:arp s 网关IP 网关MAC 例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp a后输出如下:C:Documents and Settingsarp a Interface:218.197.192.1-0 x
23、2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 先保证网络正常运行v被攻击后,再用该命令查看 会发现该MAC已经被替换成攻击机器的MAC 如果希望能找出攻击机器,彻底根除攻击 可以在此时将该MAC记录下来,为以后查找做准备v手工绑定的命令为:arp s 218.197.192.254 00-01-02-03-04-05 v绑定完,可再用arp a查看arp缓存 C:Documents and Settingsarp a Interface:218.197.192.1-0 x2
24、Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static先保证网络正常运行v需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定 所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决v找出病毒计算机的方法:如果已有病毒计算机的MAC地址,可使用软件NBTSCAN找出网段内与该MAC地址对应的IP 即病毒计算机的IP地址,然后可报告校网络中心对其进行查封先保证网络正常运行v1)编辑个*.bat 文件 echo off arp d arp-s 192.168.16.
25、254 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可 将这个批处理软件拖到“Windows-开始-程序-启动”中先保证网络正常运行v2)编辑一个注册表文件,键值如下:Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREmicrosoftWindowsCurrentVersionRun“mac”=“arp-s 网关IP 地址网关Mac 地址 然后保存成Reg 文件以后在每个客户端上点击导入注册表找到感染ARP 病毒的机器v在电脑上ping 一下网关的IP
26、地址 使用ARP a 的命令看得到的网关对应 的MAC 地址是否与实际情况相符 如不符,可去查找与该MAC 地址对应的电脑v使用抓包工具,分析所得到的ARP 数据报 有些ARP 病毒是会把通往网关的路径指向自己 有些是发出虚假ARP 回应包来混淆网络通信v使用mac 地址扫描工具,nbtscan 扫描全网段IP 地址和MAC 地址对应表 有助判断感染ARP 病毒对应MAC 地址和IP 地址ARP 攻击防护软件vARP防火墙(03)采用内核层拦截技术和主动防御技术 几大功能模块互相配合,可彻底解决ARP相关问题,扼杀DoS攻击源 拦截ARP攻击/拦截IP冲突/DoS攻击抑制/安全模式 ARP数据
27、分析/监测ARP缓存/主动防御 追踪攻击源/查杀ARP病毒 系统时间保护/IE首页保护 ARP缓存保护/自身进程保护/智能防御防护ARP 攻击软件最终版(04)v 使用方法 1、填入网关IP地址 点击获取网关地址将会显示出网关的MAC地址 点击自动防护即可保护当前网卡与该网关的通信不会被第三方监听 注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址防护ARP 攻击软件最终版 2、IP地址冲突 如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP
28、冲突的警告,利用Anti ARP Sniffer可以防止此类攻击 3、您需要知道冲突的MAC地址,Windows会记录这些错误 注意:如果您想恢复默认MAC地址,请点击恢复默认,为了使MAC地址生效请禁用本地网卡然后再启用网卡预防措施v及时升级客户端的操作系统和应用程式补丁 v安装和更新杀毒软件 v如果网络规模较少,尽量使用手动指定IP 设置,而不是使用DHCP 来分配IP 地址 v如果交换机支持,在交换机上绑定MAC 地址与IP 地址主要内容v局域网环境简介v局域网的安全威胁v局域网监听与防范v局域网ARP攻击与防范v局域网病毒入侵与防范v快速关闭端口防止入侵v局域网共享资源安全防范v无线局
29、域网嗅探与防范v局域网上网的安全防范与技巧局域网病毒入侵v计算机病毒在网络中泛滥已久,而其在局域网中也能快速繁殖,导致局域网计算机的相互感染v计算机病毒一般首先通过各种途径进入到有盘工作站,也就进入网络,然后开始在网上的传播局域网病毒的传播方式v(1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播 v(2)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器v(3)病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中 v(4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中局域网病毒的传播v一旦病毒进入文件服务器,就可通过它迅速传
30、染到整个网络的每一个计算机上v对于无盘工作站来说 由于其并非真的无盘(它的盘是网络盘)当其运行网络盘上的一个带毒程序时,便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上 因此无盘工作站也是病毒孽生的温床局域网病毒的新特点v局域网环境下,病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外,还具有一些新的特点(1)感染速度快(2)扩散面广(3)传播的形式复杂多样(4)难于彻底清除(5)破坏性大(6)可激发性(7)潜在性局域网病毒防范v以尼姆达病毒为例 个人用户感染该病毒后,使用单机版杀毒软件即可清除 然而企业的网络中,一台机器一旦感染尼姆达,病毒便会自动复制、发送并采用
31、各种手段不停交叉感染局域网内的其他用户局域网病毒防范v计算机病毒形式及传播途径日趋多样化 大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单 需要建立多层次的、立体的病毒防护体系 而且要具备完善的管理系统来设置和维护对病毒的防护策略局域网病毒防范v一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的 应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统 分别设置有针对性的防病毒策略v(1)增加安全意识v(2)小心邮件v(3)挑选网络版杀毒软件局域网病毒防范方法v从网络的源头开始防范 将路由器带的防火墙打开 过滤一些IP地址,屏蔽一些有危险的端口 v使用网络版杀毒软件
32、v最好把整个网络分成几个小网 每个小网接一个主机.那几个主机接一个配置比较高的机器做主机 这样既能很好的分层管理网络.又可以在有病毒入侵的时候.对已经感染病毒的机子很好的隔离v定时全网杀毒,及时打补丁主要内容v局域网环境简介v局域网的安全威胁v局域网监听与防范v局域网ARP攻击与防范v局域网病毒入侵与防范v快速关闭端口防止入侵v局域网共享资源安全防范v无线局域网嗅探与防范v局域网上网的安全防范与技巧Windows 入侵端口v默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑 为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有 TCP 13
33、5、139、445、593、1025 端口 UDP 135、137、138、445 端口 一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口)远程服务访问端口3389快速关闭端口防止入侵v打开系统运行对话框,在其中输入字符串命令“cmd”v然后输入 secpol.msc快速关闭端口防止入侵快速关闭端口防止入侵快速关闭端口防止入侵快速关闭端口防止入侵服务器开放端口的设置v如果有路由器或防火墙设备,需要在路由器或防火墙上开放v如果你的服务器直接连接在外网上,并且使用外网IP服务器开放端口的设置主要内容v局域网环境简介v局域网的安全威胁v局域网监听与防范v局域网ARP攻击与防范v
34、局域网病毒入侵与防范v快速关闭端口防止入侵v局域网共享资源安全防范v无线局域网嗅探与防范v局域网上网的安全防范与技巧局域网共享资源局域网共享资源局域网共享资源局域网共享资源局域网共享资源共享资源安全防范v在Windows服务器系统中,每当服务器启动成功时,系统的C盘、D盘等都会被自动设置成隐藏共享 通过这些默认共享可以让服务器管理维护起来更方便一些 但在享受方便的同时,这些默认共享常常会被一些非法攻击者利用,从而容易给服务器造成安全威胁 如果你不想让服务器轻易遭受到非法攻击的话,就必须及时切断服务器的默认共享“通道”共享资源安全防范v功能配置法 cmd msconfig 找到其中的“Serve
35、r”项目,并检查该项目前面是否有勾号存在 重新启动服务器系统时,服务器的C盘、D盘等就不会被自动设置成默认共享了功能配置法功能配置法vWindows 2000服务器系统没有系统配置实用程序功能v可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中v以后就可以在该系统的运行对话框中,直接启动系统配置实用程序功能了v如果在启动该功能的过程中,遇到有错误提示窗口弹出时,可以不必理会,不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了共享资源安全防范v“强行”停止法 是借助Windows服务器的计算机管理功能
36、 对已经存在的默认共享文件夹,“强制”停止共享命令,以便让其共享状态取消 同时确保这些文件夹下次不能被自动设置成共享 cmd compmgmt.msc“强行”停止法“强行”停止法共享资源安全防范v逐一删除法 借助Windows服务器内置的“net share”命令 将已经处于共享状态的默认共享文件夹,一个一个地删除掉(当然这里的删除,仅仅表示删除默认共享文件夹的共享状态,而不是删除默认文件夹中的内容)该方法有一个致命的缺陷,就是无法实现“一劳永逸”的删除效果 只要服务器系统重新启动一下,默认共享文件夹又会自动生成了逐一删除法vcmd 在DOS命令行中,输入字符串命令“net share c$/
37、del”,单击回车键后,服务器中C盘分区的共享状态就被自动删除了 如果服务器中还存在D盘分区、E盘分区的话,你可以按照相同的办法,分别执行字符串命令“net share d$/del”、“net share e$/del”来删除它们的共享状态逐一删除法v对应IPC$、Admin$之类的默认共享文件夹 也可以执行字符串命令“net share ipc$/del”“net share admin$/del”将它们的隐藏共享状态取消v这样,非法攻击者就无法通过这些隐藏共享“通道”,来随意攻击Windows服务器了共享资源安全防范v“自动”删除法 如果服务器中包含的隐藏共享文件夹比较多 依次通过“ne
38、t share”命令来逐一删除它们,将显得非常麻烦 可以自行创建一个批处理文件,来让服务器一次性删除所有默认共享文件夹的共享状态“自动”删除法v批处理文件的内容 echo off net share C$/del net share D$/del net share ipc$/del net share admin$/del“自动”删除法v完成上面的代码输入操作后,文件保存为“delshare.bat”v设置好具体的保存路径,完成自动删除默认共享文件夹的批处理文件创建工作v以后需要删除这些默认共享文件夹的共享状态时 只要双击“delshare.bat”批处理文件,服务器系统中的所有默认共享“通
39、道”就能被自动切断“自动”删除法v服务器重新启动后,所有默认的共享文件夹又会“卷土重来”v通过下面的方法,让服务器启动成功后自动运行“delshare.bat”批处理文件,从而实现自动删除默认共享文件夹的目的“自动”删除法vcmd gpedit.msc 打开服务器系统的组策略编辑窗口 设置组策略“自动”删除法最后重新启动一下服务器系统服务器系统中的默认共享就能被自动取消了共享资源安全防范v权限分配法 是借助服务器的组策略来进行用户权利指派 让非法用户无法通过网络访问到服务器中的任何内容 默认共享文件夹就不会成为非法用户入侵服务器的“通道”了vcmd gpedit.msc权限分配法权限分配法共享
40、资源安全防范v系统策略法 对于Window 2000 Server系统的服务器 可借助该系统内置的系统策略编辑功能,来切断默认共享“通道”vcmd Poledit 打开服务器系统的策略编辑窗口系统策略法v单击“文件”菜单项,再从下拉菜单中选中“打开注册表”项目 双击“本地计算机”图标 在出现的计算机策略列表框中,用鼠标逐一展开WindowsNT网络、共享分支 在共享分支下面,检查一下“创建隐藏的驱动器共享(服务器)”选项前面是否有勾号存在 如存在,则表示服务器将会自动把系统的C盘、D盘等设置成隐藏共享系统策略法 此时可以取消“创建隐藏的驱动器共享(服务器)”的选中状态,并单击“确定”按钮 返回
41、到服务器系统的策略编辑窗口,并依次执行菜单栏中的“文件”/“保存”命令,以便将前面的设置操作保存到系统注册表中 以后服务器系统重新启动时,就不会自动生成默认共享了系统策略法共享资源安全防范v共享管理法 借助Windows服务器系统中的rundll32.exe命令 快速打开系统的共享文件夹管理器窗口 在该窗口中可逐一地对每个默认隐藏共享文件夹,进行停止共享或者修改属性等管理操作 cmd Rundll32.exe ntlanui.dll,ShareManage 打开共享目录管理器窗口共享管理法主要内容v局域网环境简介v局域网的安全威胁v局域网监听与防范v局域网ARP攻击与防范v局域网病毒入侵与防范
42、v快速关闭端口防止入侵v局域网共享资源安全防范v无线局域网嗅探与防范v局域网上网的安全防范与技巧无线局域网的安全威胁v无线局域网(WLAN)因其安装便捷、组网灵活的优点在许多领域获得了越来越广泛的应用v但由于它传送的数据利用无线电波在空中传播,发射的数据可能到达预期之外的接收设备,因而WLAN存在着网络信息容易被窃取的问题无线局域网嗅探v在网络上窃取数据就叫嗅探 是利用计算机的网络接口截获网络中数据报文的一种技术v嗅探一般工作在网络的底层 在不易被察觉的情况下将网络传输的全部数据记录下来 捕获账号和口令、专用的或机密的信息 甚至可以用来危害网络邻居的安全 或者用来获取更高级别的访问权限、分析网
43、络结构进行网络渗透等嗅探的隐蔽性vWLAN中无线信道的开放性给网络嗅探带来了极大的方便v在WLAN中网络嗅探对信息安全的威胁来自其被动性和非干扰性 运行监听程序的主机在窃听的过程中只是被动的接收网络中传输的信息 它不会跟其它的主机交换信息,也不修改在网络中传输的信息包 使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现嗅探的隐蔽性 尽管它没有对网络进行主动攻击和破坏的危害明显 但由它造成的损失也是不可估量的v通过分析网络嗅探的原理与本质 才能更有效地防患于未然 增强无线局域网的安全防护能力网络嗅探的原理v网络嗅探就是从通信中捕获和解析信息 假设主机B想知道登陆服务器C的FTP口令
44、是什么 捕获主机A播发的数据帧 对数据帧进行解析,依次剥离出以太帧头、IP包头、TCP包头等 然后对报头部分和数据部分进行相应的分析处理,从而得到包含在数据帧中的有用信息嗅探的实现v先设置用于嗅探的计算机,即在嗅探机上装好无线网卡,并把网卡设置为混杂模式 在混杂模式下,网卡能够接收一切通过它的数据包,进而对数据包解析,实现数据窃听v再实现循环抓取数据包,并将抓到的数据包送入下一步的数据解析模块处理v最后进行数据解析,依次提取出以太帧头、IP包头、TCP包头等,然后对各个报头部分和数据部分进行相应的分析处理嗅探防范策略v加强网络访问控制v网络设置为封闭系统v采用可靠的协议进行加密v一次性口令技术
45、主要内容v局域网环境简介v局域网的安全威胁v局域网监听与防范v局域网ARP攻击与防范v局域网病毒入侵与防范v快速关闭端口防止入侵v局域网共享资源安全防范v无线局域网嗅探与防范v局域网上网的安全防范与技巧局域网安全问题v西方有句俗语 堡垒常常从内部被攻破v古人教育我们 外敌易躲,家贼难防v人是这样,信息安全亦然v现况:内网安全 不容乐观内网安全的重点v相对于来自互联网的威胁,重点是数据和信息的安全 这些数据和信息,才是企业真正有价值的资源v数据安全的风险来自于两个方面 数据本身是否安全,也就是说数据是否加密 是否得到授权的人访问了这些数据和信息v从风险的这两个方面来看,数据加密和身份认证是目前适
46、用于内网安全防范的主要技术手段安全威胁v三个方面 黑客攻击 计算机病毒 拒绝服务攻击v几种网络攻击类型Data Diddling-未经授权删除档案,更改其资料(15.5%)Scanner-利用工具寻找暗门漏洞(15.8%)Sniffer-监听加密之封包(11.2%)Denial of Service-使其系统瘫痪(16.2%)IP Spoofing-冒充系统内网络的IP地址(12.4%)Other-其他(13.9%)防范黑客的措施v选用安全的口令 据统计,大约80%的安全隐患是由于口令设置不当引起的 用户口令应包含大小写,最好能加上字符串和数字,一起使用以期达到最好的保密效果 用户口令不要太规
47、则,不要用用户姓名、生日和电话号码作为口令。不要用常用单词作为口令 根据黑客软件的工作原理,参照口令破译的难易程度,以破解需要的时间为排序指标,口令长度设置时应遵循7位或14位的整数倍原则防范黑客的措施v选用安全的口令 安装某些系统服务功能模块时有内建帐号,应及时修改操作系统内部帐号口令的缺省设置 应及时取消调离或停止工作的雇员的帐号以及无用的帐号 在通过网络验证口令过程中,不得以明文方式传输,以免被监听截取防范黑客的措施v选用安全的口令 口令不得以明文方式存放在系统中,确保口令以加密的形式写在硬盘上并包含口令的文件是只读的 口令应定期修改,应避免重复使用旧口令,应采用多套口令的命名规则 建立
48、帐号锁定机制,一旦同一帐号密码校验错误若干次即断开连接并锁定该帐号,至一段时间才解锁再次开放使用防范黑客的措施v实施存取控制 主要是针对网络操作系统的文件系统的存取控制 存取控制是内部网络安全理论的重要方面,包括 人员权限,数据标识,权限控制,控制类型,风险分析等v确保数据的安全 完整性是在数据处理过程中,在原来数据和现行数据之间保持完全一致的证明手段 常用数字签名和数据加密算法来保证等 请参照几个加密站点 RSA加密专利公司:等防范黑客的措施v使用安全的服务器系统 没有一种网络操作系统是绝对安全的 UNIX经过几十年来的发展已相对成熟,以其稳定性和安全性成为关键性应用的首选v谨慎开放缺乏安全
49、保障的应用和端口 很多黑客攻击程序是针对特定服务和特定服务端口的,所以关闭 不必要的服务和服务端口,能大大降低遭受黑客攻击的风险防范黑客的措施v关闭端口 NT SERVER 将缺省的NWLink IPX/SPX传输协议去掉 在TCP/IP协议属性里,启用安全机制 如果没有特别需求(如ICQ,Real数据流传输等)可将所有UDP端口关闭 具体方法:控制面板协议TCP/IP协议属性高级启用安全机制配置防范黑客的措施v关闭端口 UNIX 最好关闭UNIX的rServices,如rlogin,rfingerd等 用户不提供r Services,最好将/etc/hosts.equiv和rhosts文件删
50、除 修改/etc/services和/etc/inetd.conf文件,将不必要的服务去除防范黑客的措施v定期分析系统日志 日志文件不仅在调查网络入侵时十分重要的,它们也是用少的代价来阻止攻击的办法之一 比较有用的日志文件分析工具 NestWatch 能从所有主web服务器和许多防火墙中导入日志文件 运行在Windows NT 机器上,能够以HTML格式输出报告,并将它们分发到选定的服务器上。(URL:)防范黑客的措施 比较有用的日志文件分析工具 LogSurfer 一个综合日志分析工具 根据它发现的内容,它能执行各种动作,包括告警、执行外部程序,甚至将日志文件数据分块并将它们送给外部命令或进