1、2006 VCampus Corporation All Rights Reserved. 第五單元第五單元 控制階段的安全審核控制階段的安全審核 學習目標學習目標 熟悉控制流程 識別控制手段 掌握記錄控制流程和手段的方法 網絡控制網絡控制 攻擊者可以在服務器和網絡上建立控制攻擊者可以在服務器和網絡上建立控制 熟悉成功獲得網絡控制權的規則、工具和手段熟悉成功獲得網絡控制權的規則、工具和手段 審查典型的控制手段將有助于發現弱點和漏洞審查典型的控制手段將有助于發現弱點和漏洞 控制階段的目標控制階段的目標 獲得獲得root的權限的權限 創建額外帳號創建額外帳號 收集特定信息收集特定信息 開啟新的安全

2、漏洞開啟新的安全漏洞 進行端口重定向進行端口重定向 擦除滲透痕跡擦除滲透痕跡 控制階段的目標控制階段的目標 獲得獲得root的權限的權限 Root權限是控制的前提，因為它有權建立更多的帳號，權限是控制的前提，因為它有權建立更多的帳號， 操縱服務和對系統持續進行控制操縱服務和對系統持續進行控制 非法服務和后門（非法服務和后門（trap doors）允許攻擊者使用合法的帳）允許攻擊者使用合法的帳 號來升級訪問權限號來升級訪問權限 控制階段的目標控制階段的目標 創建額外帳號創建額外帳號 攻擊者在獲得攻擊者在獲得root權限后創建額外的帳號權限后創建額外的帳號 使用批處理文件是創建額外帳號的一種手段使

3、用批處理文件是創建額外帳號的一種手段 審核這種控制手段的方法是查看那些沒有填寫完整的用戶審核這種控制手段的方法是查看那些沒有填寫完整的用戶 帳號帳號 控制階段的目標控制階段的目標 獲得信息獲得信息 與入侵前期的掃描活動比較類似，但它實際上是入侵滲透與入侵前期的掃描活動比較類似，但它實際上是入侵滲透 的一部分的一部分 信息獲取比偵查階段的更具有針對性，該信息只會導致重信息獲取比偵查階段的更具有針對性，該信息只會導致重 要的文件和信息的泄漏要的文件和信息的泄漏 攻擊者獲得信息的一種方法是操縱遠程用戶的攻擊者獲得信息的一種方法是操縱遠程用戶的Web瀏覽器瀏覽器 控制階段的目標控制階段的目標 審核審核

4、UNIX文件系統文件系統 UNIX文件系統的一個安全威脅是文件系統的一個安全威脅是rootkit rootkit可以用各種各樣的偵查和記錄密碼的程序替代了可以用各種各樣的偵查和記錄密碼的程序替代了 合法的程序如合法的程序如ls，su和和ps 審核審核UNIX系統時，注意程序有無運行異常的情況存在系統時，注意程序有無運行異常的情況存在 控制階段的目標控制階段的目標 L0phtCrack工具工具 L0phtCrack工具工具 進行目錄攻擊和暴力攻擊十分有效進行目錄攻擊和暴力攻擊十分有效 的工具的工具 字典攻擊、暴力攻擊。字典攻擊、暴力攻擊。 L0phtCrack工作方式：工作方式： 指定指定IP地

5、址來攻擊地址來攻擊Windows NT系統系統 對對SAM數據庫文件進行攻擊數據庫文件進行攻擊 配置運行配置運行L0pht的計算機嗅探到的密碼的計算機嗅探到的密碼 實驗實驗5-15-1：使用：使用LC5LC5破解破解Windows 2000Windows 2000 的的SAMSAM庫庫 在本試驗中，我們將學習使用LC5來對本地系統的SAM庫進 行審核。 控制階段的目標控制階段的目標 UNIX系統密碼安全系統密碼安全 UNIX下的密碼文件通常存放于下的密碼文件通常存放于etcpasswd下。下。 etcpasswd文件是冒號分隔的文本文件，文件是冒號分隔的文本文件， 例如：例如： test：x：

6、501：501：testuser James：hometest：bin bash 用戶名：用戶名：test ；UID號是號是501；GID號是號是501；全名是；全名是testuser james；宿主目錄是；宿主目錄是hometest；和登錄；和登錄shell是是bin bash的用戶。的用戶。 Password文件必須能夠被所有用戶讀取，但是不能被除文件必須能夠被所有用戶讀取，但是不能被除root 外的任何用戶寫入，而且外的任何用戶寫入，而且etc目錄只能被目錄只能被root寫入。寫入。 控制階段的目標控制階段的目標 映像密碼文件映像密碼文件 為了防止密碼文件的泄漏，為了防止密碼文件的泄漏

7、，UNIX系統采用了映像密碼系統采用了映像密碼 （shadow password）技術。）技術。 在在 /etc/passwd 文件中存放密碼的位置只存放一個文件中存放密碼的位置只存放一個“x”， 而經過加密的密碼存放于而經過加密的密碼存放于 /etc/shadow 文件中。文件中。 為為user用戶更改密碼，使用下列語法命令：用戶更改密碼，使用下列語法命令： host#passwd user Password：hidden Re-type：hidden 控制階段的目標控制階段的目標 John the Ripper 和和Crack John the Ripper和和Crack是在基于是在基于U

8、NIX的操作系統上常的操作系統上常 見的暴力破解密碼的程序。見的暴力破解密碼的程序。 John the Ripper和和Crack是最常見的從是最常見的從shadow和和 passwd文件中獲得密碼的程序。文件中獲得密碼的程序。 要使用要使用L0pht和和John the Ripper來實施審核工作。來實施審核工作。 實驗實驗5-25-2：使用：使用John the RipperJohn the Ripper破解破解 LinuxLinux密碼密碼 在本試驗中，我們將學習John the Ripper的安裝、配置、它 的用法及參數意義。 控制階段的目標控制階段的目標 信息重定向信息重定向 攻擊者

9、控制系統后進行程序和端口轉向。攻擊者控制系統后進行程序和端口轉向。 禁止禁止FTP的服務，然后把的服務，然后把FTP的端口指向另一臺計算機。的端口指向另一臺計算機。 重定向重定向SMTP端口，可以獲得所有使用端口，可以獲得所有使用SMTP來傳送來傳送E-mail 帳號的電子商務服務器的信息。帳號的電子商務服務器的信息。 控制階段的目標控制階段的目標 創建新的訪問點創建新的訪問點 如果系統管理員關閉了系統默認的一些訪問點，那么黑客如果系統管理員關閉了系統默認的一些訪問點，那么黑客 就會通過安裝后門的方法來開啟另外的一些訪問點。就會通過安裝后門的方法來開啟另外的一些訪問點。 通常開啟后門的方法在系

10、統上安裝木馬程序。通常開啟后門的方法在系統上安裝木馬程序。 控制階段的目標控制階段的目標 自動創建帳號和使用木馬自動創建帳號和使用木馬 黑客通常都是利用已有的帳號進入系統的。黑客通常都是利用已有的帳號進入系統的。 使用計劃任務來自動創建帳號或更改用戶訪問權限。使用計劃任務來自動創建帳號或更改用戶訪問權限。 cron 和和at來添加帳號或更改系統配置來添加帳號或更改系統配置 NetBus 和和 BackOrifice 2000 后門程序后門程序 控制階段的目標控制階段的目標 清除入侵痕跡清除入侵痕跡 破壞系統日志是清除入侵痕跡的最好辦法破壞系統日志是清除入侵痕跡的最好辦法 常見日志文件常見日志文

11、件 在在Windows2000系統中日志文件系統中日志文件 防止刪除系統日志的最好辦法是做好系統日志的備份，將防止刪除系統日志的最好辦法是做好系統日志的備份，將 日志存儲到遠程系統上日志存儲到遠程系統上 控制階段的目標控制階段的目標 并發連接和端口重定向并發連接和端口重定向 使用并發的使用并發的Telnet或或FTP會話來隱藏活動痕跡。會話來隱藏活動痕跡。 建立的連接鏈路越多，追蹤花費的時間越多建立的連接鏈路越多，追蹤花費的時間越多 要正確的追蹤到使用端口重定向進行連接的黑客是非常困難要正確的追蹤到使用端口重定向進行連接的黑客是非常困難 的的 控制方法控制方法 系統的升級不可避免的會開啟新的安

12、全漏洞系統的升級不可避免的會開啟新的安全漏洞 黑客不斷開發出新的工具黑客不斷開發出新的工具 控制方法控制方法 系統缺省設置系統缺省設置 缺省設置是指計算機軟硬件缺省設置是指計算機軟硬件“Out-of-the-box”的配置，的配置， 便于廠商技術支持。便于廠商技術支持。 攻擊者可以缺省攻擊設置來完全控制系統。攻擊者可以缺省攻擊設置來完全控制系統。 改變缺省設置可以極大地增強操作系統的安全性。改變缺省設置可以極大地增強操作系統的安全性。 控制方法控制方法 合法服務，守護進程和可裝載模塊合法服務，守護進程和可裝載模塊 以下守護進程可以被用來破壞操作系統的安全架構：以下守護進程可以被用來破壞操作系統

13、的安全架構： Windows 2000運行服務運行服務 UNIX運行守護進程運行守護進程 Novell操作系統運行可裝載的模塊操作系統運行可裝載的模塊 控制方法控制方法 非法服務，守護進程和可裝載模塊非法服務，守護進程和可裝載模塊 建立破壞安全的守護進程 捕獲密碼，通過郵件發送給遠方攻擊者 root kits繞過安全帳號數據庫，進而完全控制系統 兩個經典工具NetBus和BackOrifice 絕大多數流行的反病毒程序都可以檢測出所有版本的NetBus NetBus的功能： 運行程序 注銷用戶，強迫重啟系統 控制Web瀏覽器，包括指向特定的URL 對應用程序進行遠程控制 捕捉擊鍵記錄 使用使用

14、Telnet確定系統中是否有確定系統中是否有Netbus非法服務存在非法服務存在 控制方法控制方法 BackOrifice和BackOrifice2000 獲取系統信息 收集用戶名和密碼和用戶緩存的密碼 獲得文件的完全訪問權限；寫入注冊表的權限；列出可訪問 網絡資源的權限；列出、建立和刪除網絡連接的權限；列出 所有共享的資源和密碼；建立和刪除共享。 實施端口和程序的重定向 通過HTTP從瀏覽器上傳和下載文件 控制方法控制方法 擊鍵記錄器擊鍵記錄器 keyloggers作為一個應用程序安裝在受害者的計算機上， 并且在用戶完全不知情的前提下駐留在系統內存中。 收集用戶所有的擊鍵信息并將其保存在一個

15、文件中，目的 就是為了捕獲諸如用戶密碼之類的機密數據。 keyloggers獲得的數據將通過FTP、e-mail 或是隱秘的共 享傳遞給安裝keyloggers程序的人。 滲透到其他系統滲透到其他系統 以滲透的系統為跳板繼續滲透其他的系統以滲透的系統為跳板繼續滲透其他的系統 在20世紀70年美國聯邦政府制定了第一個安全標準美國國防部彩虹 系列(Rainbow Series) 該系列標準幫助政府確定哪些網絡系統能夠安全 的與政府網絡系統連接。 最常被使用的是Department of Defense Trusted Computer System Evaluation Criteria，被成為“

16、桔皮書(Orange Book)”。 “彩虹系列”叢書：“彩虹系列”叢書是信息系統安全事業的里程碑， 對信息系統安全領域具有深遠的影響。它不但建立了一個標準，更建立 了一套體系。 該叢書以美國國防部可信計算機系統評測標準（TCSEC）為核心， 對評測標準進行擴充、提供了關鍵的背景知識、對關鍵的概念進行深入 解釋和分析，并且提出了具體的實現方法和措施。該叢書共三十多冊。 控制階段的審核控制階段的審核 審核人員應熟練地運用掃描程序，日志文件和其它審核人員應熟練地運用掃描程序，日志文件和其它 工具。工具。 審核人員必須懂得什么是可疑的流量。審核人員必須懂得什么是可疑的流量。 審核人員和攻擊者最主要的

17、不同點是審核人員從不審核人員和攻擊者最主要的不同點是審核人員從不 真正進入控制階段。真正進入控制階段。 控制階段的審核控制階段的審核 報告潛在控制問題的方法：報告潛在控制問題的方法： 列出通過自動執行的掃描程序(如NetRecon，ISS Internet Scanner或eTrust Intrusion Detection)獲得的信息。 產生流量記錄在日志中，記錄時間，用日志來證明你的活 動。 顯示捕獲的報文，這些包包括端口，IP地址和其它信息。 顯示你滲透的屏幕快照。 實驗實驗5-35-3：使用：使用NetBUSNetBUS進行主機控制進行主機控制 在本實驗中，我們將利用NetBusl.7

18、的界面所對應的功能，在 NetBus中遠程控制目標系統的文件系統。 實驗實驗5-45-4：分析：分析NetBusNetBus會話端口會話端口 在本實驗中，我們將學習如何分析NetBus會話端口，以進一 步學習掌握NetBus的控制原理。 實驗實驗5-55-5：使用：使用NetBusNetBus進行遠程控制進行遠程控制 在本實驗中，我們將使用NetBus進行遠程控制。 2006 VCampus Corporation All Rights Reserved. 第六單元第六單元 審核和日志分析審核和日志分析 學習目標學習目標 為用戶的活動建立基線 實施日志分析 過濾Windows 2000和Lin

19、ux系統的日志 審核用戶登錄、系統重啟和特殊資源的使用 日志分析日志分析 在審核過程中，需要投入大量的時間分析日志文件。在審核過程中，需要投入大量的時間分析日志文件。 日志分析為你提供了確定何時產生缺陷及如何產生日志分析為你提供了確定何時產生缺陷及如何產生 缺陷的方法。缺陷的方法。 注意把握日志記錄的分寸。注意把握日志記錄的分寸。 建立基線建立基線 建立基線是進行日志分析的開始。建立基線是進行日志分析的開始。 基線是網絡活動的參考標準。基線是網絡活動的參考標準。 在建立基線的過程中，應根據用戶的活動傾向對日在建立基線的過程中，應根據用戶的活動傾向對日 志進行檢查。志進行檢查。 大多數公司網絡活

20、動最頻繁的時間段出現在清晨上班、午大多數公司網絡活動最頻繁的時間段出現在清晨上班、午 餐期間和下班時期，然而活動圖樣會有所不同。餐期間和下班時期，然而活動圖樣會有所不同。 防火墻路由器日志防火墻路由器日志 在分析防火墻和路由器日志時，集中完成下列任務：在分析防火墻和路由器日志時，集中完成下列任務： 識別源和目的端口識別源和目的端口 找到源主機和目的主機找到源主機和目的主機 跟蹤使用跡象跟蹤使用跡象 協議的使用協議的使用 搜索可疑端口的連接搜索可疑端口的連接 操作系統日志操作系統日志 UNIX系統日志系統日志 Syslogd是記錄是記錄Linux和和UNIX系統日志的服務系統日志的服務 UNIX

21、系統分析工具系統分析工具 last lastb lastlog 一些常見的日志如下一些常見的日志如下 access-log acet/pacct 操作系統日志操作系統日志 Windows 2000系統日志系統日志 Windows 2000將它的日志分為以下四個類別：將它的日志分為以下四個類別： 系統日志系統日志 安全性日志安全性日志 應用程序日志應用程序日志 DNS服務日志服務日志 開啟Windows 2000的審核功能 審核是審核是Windows2000中本地安全策略的一部分，它是一個維中本地安全策略的一部分，它是一個維 護系統安全性的工具。護系統安全性的工具。 通過審核，我們可以記錄下列信

22、息：通過審核，我們可以記錄下列信息： 哪些用戶企圖登錄到系統中或從系統中注銷、登錄以及注銷哪些用戶企圖登錄到系統中或從系統中注銷、登錄以及注銷 的日期和時間，是否成功等的日期和時間，是否成功等 哪些用戶對指定的文件、文件夾或打印機進行哪種類型的訪哪些用戶對指定的文件、文件夾或打印機進行哪種類型的訪 問問 系統的安全選項進行了哪些更改系統的安全選項進行了哪些更改 用戶帳戶進行了哪些更改，是否增加或刪除了用戶等等用戶帳戶進行了哪些更改，是否增加或刪除了用戶等等 根據監控審核結果，可以將計算機資源的非法使用消除或減到根據監控審核結果，可以將計算機資源的非法使用消除或減到 最小最小 通過查看審核信息，

23、能夠及時發現系統存在的安全隱患，通過通過查看審核信息，能夠及時發現系統存在的安全隱患，通過 了解指定資源的使用情況來指定資源使用計劃了解指定資源的使用情況來指定資源使用計劃 審核功能在管理工具中的本地安全策略工具進行設置審核功能在管理工具中的本地安全策略工具進行設置 開啟Windows 2000的審核功能 Windows 2000系統的重要事件系統的重要事件 事件號事件號描描 述述 529登錄失敗的事件編號登錄失敗的事件編號(在安全日志中在安全日志中) 6005Windows NT/2000重新啟動的事件編號重新啟動的事件編號(在系統日志中在系統日志中) 6006系統正常關機的事件編號系統正常

24、關機的事件編號(在系統日志中在系統日志中) 6007因為權限不夠的不正常的關機請求因為權限不夠的不正常的關機請求(在系統日志中在系統日志中) 6008“不正常關機不正常關機”事件：當事件：當Windows NT/2000系統被不正常系統被不正常 關機時，該操作被記錄下來。關機時，該操作被記錄下來。 6009記錄工作系統的版本號，修建號，補丁號和系統處理器的記錄工作系統的版本號，修建號，補丁號和系統處理器的 相關信息。相關信息。(在系統日志中在系統日志中) 實驗實驗6-16-1：Windows 2000Windows 2000系統登錄事件系統登錄事件 審核審核 在本實驗中，我們將學習如何審核Wi

25、ndows 2000系統中“失 敗登錄”事件。 開啟Windows 2000的審核功能 確定確定Windows 2000系統的補丁等級系統的補丁等級 可以使用事件查看器來確定在你系統中安裝的補丁可以使用事件查看器來確定在你系統中安裝的補丁 使用使用winver工具，可以在工具，可以在“開始開始運行運行”中，輸入中，輸入 winver命令使用該工具命令使用該工具 開啟Windows 2000的審核功能 確定確定Windows 2000系統的啟動時間系統的啟動時間 使用使用uptime.exe工具工具 快速確定系統啟動了多長時間快速確定系統啟動了多長時間 獲得遠程獲得遠程Windows系統的啟動時

26、間系統的啟動時間 使用使用uptime/?命令可以獲得更多的關于命令可以獲得更多的關于uptime工具的使用工具的使用 說明說明 日志過濾日志過濾 日志記錄文件會變得很大日志記錄文件會變得很大 過大的日志記錄浪費磁盤空間過大的日志記錄浪費磁盤空間 不易查找日志記錄不易查找日志記錄 對系統進行適當的配置以獲得重要事件的日志對系統進行適當的配置以獲得重要事件的日志 日志過濾日志過濾 Windows 2000系統日志過濾系統日志過濾 使用使用“篩選器篩選器”進行日志的過濾進行日志的過濾 要非常謹慎地選擇過濾規則要非常謹慎地選擇過濾規則 符合你所設置的過濾規則的事件才會被記錄，而其他不符符合你所設置的

27、過濾規則的事件才會被記錄，而其他不符 合規則的活動都不會被記錄合規則的活動都不會被記錄 日志過濾日志過濾 Linux系統日志過濾系統日志過濾 使用不帶參數的使用不帶參數的last和和lastlog命令會提供太多的信息，要命令會提供太多的信息，要 帶參數使用帶參數使用 last -x：只顯示與系統關閉和重啟有關的事件：只顯示與系統關閉和重啟有關的事件 last -a：將所有主機信息列在最后一列：將所有主機信息列在最后一列 last -d：顯示所有遠程登錄信息：顯示所有遠程登錄信息 日志過濾日志過濾 可以合并命令可以合并命令 last -ad將顯示遠程登錄的將顯示遠程登錄的IP和主機名和主機名 將

28、將last命令與命令與|grep結合起來縮小查找范圍結合起來縮小查找范圍 例如，例如，last x grep Wed grep ftp將只顯示發生在星期將只顯示發生在星期 三的有關三的有關FTP的事件。的事件。 lastlog t number_of_days：顯示指定天數內的記錄。例：顯示指定天數內的記錄。例 如，如，lastlog t 2將列出最近兩天內的登錄情況。將列出最近兩天內的登錄情況。 lastlog u login-name：顯示指定用戶的最后一次登錄記：顯示指定用戶的最后一次登錄記 錄。錄。 日志過濾日志過濾 操作系統附件和第三方日志記錄工具操作系統附件和第三方日志記錄工具 操

29、作系統附件操作系統附件 ： Enterprise Reporting Server WebTrends for Firewalls and VPNs 第三方日志記錄工具第三方日志記錄工具 ： Symantec IBM 第三方日志記錄工具的優缺點：第三方日志記錄工具的優缺點： 黑客很難篡改日志記錄文件，而且對事件的反應速度很快黑客很難篡改日志記錄文件，而且對事件的反應速度很快 缺點是需要額外費用和人員培訓缺點是需要額外費用和人員培訓 實驗實驗6-26-2：使用：使用eEye RetinaeEye Retina軟件獲得一軟件獲得一 份系統安全報告份系統安全報告 在本實驗中，我們將學習如何使用eEy

30、e Retina軟件來獲得一 份系統審核報告。 審核可疑活動審核可疑活動 “可疑的活動可疑的活動” 一個用戶兩周以來每天半夜二點嘗試登錄系統，并且沒有一個用戶兩周以來每天半夜二點嘗試登錄系統，并且沒有 登錄成功登錄成功 主服務器每天早晨自動地重新啟動主服務器每天早晨自動地重新啟動 在一天中的特定時間段內系統的性能突然下降在一天中的特定時間段內系統的性能突然下降 仔細對下列現象進行檢查：仔細對下列現象進行檢查： 異常時段內的合法活動或任何不在基線范圍內的用戶舉動異常時段內的合法活動或任何不在基線范圍內的用戶舉動 任何失敗任何失敗 其他類型的日志其他類型的日志 事件日志不僅僅包括路由器、防火墻和操

31、作系統的事件日志不僅僅包括路由器、防火墻和操作系統的 日志，通常還包括以下一些日志記錄：日志，通常還包括以下一些日志記錄： 入侵檢測系統日志入侵檢測系統日志 電話連接（包括語音郵件日志）日志電話連接（包括語音郵件日志）日志 ISDN或幀中繼連接（或幀中繼連接（frame relay）日志）日志 職員訪問日志職員訪問日志 日志的存儲日志的存儲 有效地保護日志記錄不受破壞有效地保護日志記錄不受破壞 利用不同的機器存放日志利用不同的機器存放日志 將日志記錄刻成光碟保存將日志記錄刻成光碟保存 使用磁盤備份設備使用磁盤備份設備 審核對系統性能的影響審核對系統性能的影響 審核會對系統的性能造成一些影響。影

32、響系統性能審核會對系統的性能造成一些影響。影響系統性能 的因素包括以下幾個方面：的因素包括以下幾個方面： 網絡請求的數量，日志對這些請求的記錄會造成服務器對網絡請求的數量，日志對這些請求的記錄會造成服務器對 請求的響應變慢請求的響應變慢 審核系統中需要審核的事件的數量審核系統中需要審核的事件的數量 硬盤的容量大小硬盤的容量大小 硬件總線接口的類型（硬件總線接口的類型（SCSI/IDE） CPU的工作頻率的工作頻率 2006 VCampus Corporation All Rights Reserved. 第七單元第七單元 審審 核核 結結 果果 學習目標學習目標 提供針對特殊網絡問題的解決方案

33、 建立審核步驟安全策略的建議方法 創建一份評估報告 實施積極主動的檢測服務 修復和“清除”被損壞的系統 實施本機審核 安裝必要的操作系統安全附件，如單機版防火墻 使用SSH替換Telnet、rlogin和rsh 建立審核報告建立審核報告 安全審核報告中應包含以下元素：安全審核報告中應包含以下元素： 對現在的安全等級進行總體評價對現在的安全等級進行總體評價 對偶然的、有經驗的和專家級的黑客入侵系統分別做出時對偶然的、有經驗的和專家級的黑客入侵系統分別做出時 間上的估計間上的估計 簡要總結出最重要的建議，并提供相應的支撐材料簡要總結出最重要的建議，并提供相應的支撐材料 詳細描述審核過程的步驟詳細描

34、述審核過程的步驟 對各種網絡元素提出整改建議對各種網絡元素提出整改建議 對物理安全提出建議對物理安全提出建議 對安全審核領域內使用的術語進行解釋對安全審核領域內使用的術語進行解釋 詳細解釋系統可能出現的問題的報告方法詳細解釋系統可能出現的問題的報告方法 收集客戶意見收集客戶意見 在審核報告中我們要充分考慮客戶的意見在審核報告中我們要充分考慮客戶的意見 審核報告的內容與客戶進行溝通審核報告的內容與客戶進行溝通 制定詳細審核報告制定詳細審核報告 依據審核的結果，以及相應的審核標準并結合客戶依據審核的結果，以及相應的審核標準并結合客戶 的意見，制定詳細的審核報告。的意見，制定詳細的審核報告。 形成審

35、核報告流程形成審核報告流程 推薦的審核方案推薦的審核方案 三個角度來提出三個角度來提出 為了能夠有效地確定安全策略和實施情況的差距，建議采為了能夠有效地確定安全策略和實施情況的差距，建議采 用一些特殊方法繼續進行有效的審核用一些特殊方法繼續進行有效的審核 抵御和清除病毒、蠕蟲和木馬，修補系統漏洞抵御和清除病毒、蠕蟲和木馬，修補系統漏洞 建議完善和增強的內容建議完善和增強的內容 網絡審核范圍網絡審核范圍 網絡審核范圍的改善建議網絡審核范圍的改善建議 分分 類類改改 善善 防火墻防火墻保證防火墻安全規則的正確設置以及對保證防火墻安全規則的正確設置以及對DMZ區區 域內有問題的主機的有效監控。域內有

36、問題的主機的有效監控。 入侵檢測入侵檢測升級入侵監測系統規則升級入侵監測系統規則,識別需要監測的新內容識別需要監測的新內容 主機和個人安全主機和個人安全實施用戶級別的加密實施用戶級別的加密,在終端上安裝在終端上安裝“個人防火個人防火 墻墻”來控制端口和減小風險來控制端口和減小風險 強制策略強制策略安裝監視軟件，如使用安裝監視軟件，如使用Axent的企業級安全管的企業級安全管 理系統對物理安全進行有效的審核理系統對物理安全進行有效的審核 增強一致性增強一致性 加強安全和持續審核的步驟：加強安全和持續審核的步驟： 定義安全策略定義安全策略 建立對特定任務負責的內部團隊建立對特定任務負責的內部團隊

37、對網絡資源進行分類對網絡資源進行分類 為雇員建立安全指導為雇員建立安全指導 確保終端和網絡系統的物理安全確保終端和網絡系統的物理安全 保障網絡主機的服務和操作系統安全保障網絡主機的服務和操作系統安全 增強訪問控制機制增強訪問控制機制 建立和維護系統建立和維護系統 確保網絡滿足商業目標確保網絡滿足商業目標 保持安全策略的一致性保持安全策略的一致性 許多國際性的公司都要求符合這些需求許多國際性的公司都要求符合這些需求 安全審核和安全標準安全審核和安全標準 ISO 7498-2 國際標準組織（國際標準組織（ISO）建立了）建立了7498系列標準來幫助網絡實系列標準來幫助網絡實 施標準化施標準化 74

38、98-2描述了如何確保站點安全和實施有效的審核計劃描述了如何確保站點安全和實施有效的審核計劃 文件的標題文件的標題Information Processing Systems，Open System Interconnection，Basic Reference Model,Part 2：security Architecture 論述如何系統地實現網絡安全論述如何系統地實現網絡安全 安全審核和安全標準安全審核和安全標準 英國標準英國標準BS 7799 文檔標題文檔標題A Code of Practice For Information Security Management 論述了如何確保網

39、絡系統安全論述了如何確保網絡系統安全 BS 7799系列與系列與ISO 9000系列的文檔有關，這些標準保證了公系列的文檔有關，這些標準保證了公 司之間安全的協作司之間安全的協作 實施信息安全管理系統（實施信息安全管理系統（ISMS）的目的是確保公司使用的信息）的目的是確保公司使用的信息 盡可能的安全盡可能的安全 完善完善ISMS時，應遵循以下步驟：時，應遵循以下步驟： 定義安全策略定義安全策略 為目標信息安全管理系統（為目標信息安全管理系統（ISMS）定義范圍）定義范圍 風險評估風險評估 對已知的風險進行排序和管理對已知的風險進行排序和管理 安全審核和安全標準安全審核和安全標準 Common

40、 Criteria（CC） 公共標準（公共標準（Common Criteria）提供了有助于你選擇和發）提供了有助于你選擇和發 展網絡安全解決方案的全球統一標準。展網絡安全解決方案的全球統一標準。 CC的目的是統一的目的是統一ITSEC和和TCSEC，但它們還是用來取代，但它們還是用來取代 “Orange Book”標準標準 Common Criteria被稱為被稱為ISO國際標準國際標準15408（IS 15408），），Common Criteria 2.1等同于等同于IS 15408 安全審核和安全標準安全審核和安全標準 CC文件由三個部分組成文件由三個部分組成 Evaluation a

41、ssurance levels（EAL）提供了描述和預）提供了描述和預 測特別的操作系統和網絡的安全行為的通用方法測特別的操作系統和網絡的安全行為的通用方法 等級數越高，則要求得越嚴格等級數越高，則要求得越嚴格 EAL 1需要由需要由TOE廠商做出聲明的證明，廠商做出聲明的證明，EAL 7需要核實和需要核實和 記錄下實施過程的每一個步驟記錄下實施過程的每一個步驟 EAL 1只要求檢查產品的文件，而只要求檢查產品的文件，而EAL 7要求對系統進行完要求對系統進行完 全的記錄完整的獨立的分析全的記錄完整的獨立的分析 EAL 1需要產品至少聲明能夠提供對攻擊的有效防范；而需要產品至少聲明能夠提供對攻

42、擊的有效防范；而 EAL 7需要操作系統能夠抵御復雜的破壞數據機密性和拒絕需要操作系統能夠抵御復雜的破壞數據機密性和拒絕 服務式的攻擊服務式的攻擊 安全審核人員有關的概念和術語安全審核人員有關的概念和術語 術術 語語描描 述述 Protection Profile （PP） 需要的網絡服務和元素的詳細列表，包括安需要的網絡服務和元素的詳細列表，包括安 全目標。全目標。 Security Objectives列出如何提出特別的弱點的書面敘述，這是列出如何提出特別的弱點的書面敘述，這是 一種總體的陳述。一種總體的陳述。 Security Target（ST）由生產廠商提供的描述安全工具的用處的一由

43、生產廠商提供的描述安全工具的用處的一 組聲明，與安全目標和安全需求不同。組聲明，與安全目標和安全需求不同。 Target of Evaluation(TOE) 將要審核的某個操作系統，網絡，分布式的將要審核的某個操作系統，網絡，分布式的 程序或軟件。程序或軟件。 Packages任何允許任何允許IT專家達到安全目標和要求的可以專家達到安全目標和要求的可以 重復使用的內容。重復使用的內容。 Evaluation Assurance Level (EAL) 七個事先定義好的七個事先定義好的packages，用來幫助，用來幫助IT 專家評價規劃的和已經存在的網絡和系統。專家評價規劃的和已經存在的網絡

44、和系統。 EALEAL的七個類別的七個類別 類類 別別描描 述述 1功能上的測試：分析產品的聲明，和實施功能上的測試：分析產品的聲明，和實施TOE的基本測試。的基本測試。 2結構上的測試：需要選擇結構上的測試：需要選擇TOE的重要元素來經受具有權威資格的重要元素來經受具有權威資格 的測試，例如程序開發者。的測試，例如程序開發者。 3系統的測試和檢查：進行測試的要求非常嚴格，在有限的基礎系統的測試和檢查：進行測試的要求非常嚴格，在有限的基礎 上，操作系統的所有元素都必須獨立地檢驗。上，操作系統的所有元素都必須獨立地檢驗。 4系統地設計，測試和回顧：這一級別的保證是允許已經完成的系統地設計，測試和

45、回顧：這一級別的保證是允許已經完成的 程序和以前實施的系統進行更改的最高保證。這一級別還需要程序和以前實施的系統進行更改的最高保證。這一級別還需要 操作系統通過抵御低級別的攻擊的測試。操作系統通過抵御低級別的攻擊的測試。 5半正式的設計和測試：操作系統必須可以經受適度的，比較復半正式的設計和測試：操作系統必須可以經受適度的，比較復 雜的攻擊。雜的攻擊。 6半正式地驗證設計和測試：與半正式地驗證設計和測試：與EAL 5相同，但是需要第三方的相同，但是需要第三方的 TOE設計核實。設計核實。 7操作系統必須經完整地回顧和被證明能夠抵御靈活的攻擊。操作系統必須經完整地回顧和被證明能夠抵御靈活的攻擊。

46、 增強路由器安全增強路由器安全 增強路由器安全的一般方法包括：增強路由器安全的一般方法包括： 嚴格控制路由器的物理訪問權限嚴格控制路由器的物理訪問權限 及時獲取最新的操作系統（包括及時獲取最新的操作系統（包括NT系統做路由和專門的系統做路由和專門的 路由器操作系統，例如路由器操作系統，例如Cisco IOS） 確保路由器不受拒絕服務攻擊的影響確保路由器不受拒絕服務攻擊的影響 確保不讓路由器在不知情的情況下成為拒絕服務攻擊的幫確保不讓路由器在不知情的情況下成為拒絕服務攻擊的幫 兇兇 確保路由器不受拒絕服務攻擊確保路由器不受拒絕服務攻擊 過過 程程描描 述述 入口和出口過濾入口和出口過濾 配置你的

47、路由器只對那些具有合法的內部配置你的路由器只對那些具有合法的內部IP地址的地址的 數據包進行路由。你的路由器應當丟棄任何不具有數據包進行路由。你的路由器應當丟棄任何不具有 合法的內部合法的內部IP地址的包。這些設置有助于網絡不成地址的包。這些設置有助于網絡不成 為發送虛假為發送虛假IP包的源頭。要獲得更多的信息請查看包的源頭。要獲得更多的信息請查看 Internet Draft ietf-grip-isp-07（ISP的安全展望）的安全展望） 禁止廣播過濾禁止廣播過濾 許多拒絕服務攻擊，包括許多拒絕服務攻擊，包括Smurf攻擊，都是攻擊者攻擊，都是攻擊者 利用路由器在配置上允許直接廣播的漏洞。

48、最簡單利用路由器在配置上允許直接廣播的漏洞。最簡單 的確定路由器是否配置成回應這些地址的方法是的確定路由器是否配置成回應這些地址的方法是 ping該網絡地址（例如該網絡地址（例如）或該網絡廣播）或該網絡廣播 地址（例如地址（例如55） 入口和出口過濾中應當考慮的入口和出口過濾中應當考慮的IP 地址地址 分分 類類地地 址址 Historical Low EndBroadcast/8 Limited broadcast55/32 RFC 1918 私有網絡 /8 RFC 1918 私有網絡 172

49、.16.0.0/12 RFC 1918 私有網絡 /16 本機回環地址 /8 連接本地網絡 /16 D類地址 /4 E類保留地址 /5 未分配地址 /5 實施主動檢測實施主動檢測 主動檢測是指使用黑客的策略和手法來對付黑客，主動檢測是指使用黑客的策略和手法來對付黑客， 而不是簡單地停止攻擊而不是簡單地停止攻擊 一個有效的檢測策略通常包括審核一個有效的檢測策略通常包括審核 實施主動檢測實施主動檢測 掃描檢測、蜜罐和網絡陷阱掃描檢測、蜜罐和網絡陷阱 用于反擊的系統通常包括建立一臺服務

50、器作為目標，同時用于反擊的系統通常包括建立一臺服務器作為目標，同時 也還可以包括下列內容：也還可以包括下列內容： 混雜模式掃描混雜模式掃描 虛假的數據庫虛假的數據庫 虛假的帳號文件虛假的帳號文件 虛擬文件虛擬文件 虛假的管理員帳號虛假的管理員帳號 自動將攻擊者引入虛擬網絡中的防火墻配置自動將攻擊者引入虛擬網絡中的防火墻配置 報警或懲罰黑客行為的報警或懲罰黑客行為的Tripwire帳號帳號 物理線路追蹤（試圖確定黑客使用的端口或電話線路）物理線路追蹤（試圖確定黑客使用的端口或電話線路） 數據包追蹤（試圖了解包的起源）數據包追蹤（試圖了解包的起源） 實施主動檢測實施主動檢測 檢測工作在混雜模式的網

51、卡檢測工作在混雜模式的網卡 檢測網卡是否工作于混雜模式：檢測網卡是否工作于混雜模式： 檢測網卡電子方面的變化來確定網卡的工作模式檢測網卡電子方面的變化來確定網卡的工作模式 發送各種包（發送各種包（ARP請求，請求，ICMP包，包，DNS請求，請求，TCP SYN floods，等等），等等） 將錯誤的將錯誤的ICMP請求包含在無效的以太網地址里，所有沒有請求包含在無效的以太網地址里，所有沒有 工作在混雜模式的系統將忽略這些請求，而那些回復錯誤的工作在混雜模式的系統將忽略這些請求，而那些回復錯誤的 ICMP請求的主機將有可能出于混雜模式請求的主機將有可能出于混雜模式 主機審核解決方案主機審核解決

52、方案 在對主機進行審核時，針對不同的商業目的需要提在對主機進行審核時，針對不同的商業目的需要提 供不同的解決方案。供不同的解決方案。 實施本機審核實施本機審核 安裝監視軟件安裝監視軟件 清除安裝工作中的臨時文件清除安裝工作中的臨時文件 修復和清理被損壞的系統修復和清理被損壞的系統 替代服務替代服務 安裝操作系統附件安裝操作系統附件 主機審核解決方案主機審核解決方案 清除清除“感染感染” 使用使用TCP/IP排錯工具，例如排錯工具，例如netstat系列命令系列命令 使用使用Telnet命令對懷疑的端口進行連接測試命令對懷疑的端口進行連接測試 運行反病毒程序和升級病毒庫運行反病毒程序和升級病毒庫 實驗實驗7-17-1：修復被：修復被NetBusNetBus感染的系統感染的系統 在本實驗中，你將學會從系統中清除NetBus的方法。 主機審核解決方案主機審核解決方案 個人防火墻軟件個人防火墻軟件 可以提供以下四個主要功能：可以提供以下四個主要功能： 端口阻塞端口阻塞 連接追蹤，鎖定特殊的連接追蹤，鎖定特殊的IP地址地址 報警提示信息報警提示信息 電子郵件掃描電子郵件掃描 主機審核解決方案主機審核解決方案 流行的個人防火墻軟件包括：流行的個人防火墻軟件包括： Network Ices Black Ice和和Black Ice