《系统安全之漏洞扫描ppt课件.ppt》由会员分享,可在线阅读,更多相关《系统安全之漏洞扫描ppt课件.ppt(67页珍藏版)》请在三一办公上搜索。
1、系统安全之漏洞扫描,陈威2009年11月,海南省2009年政府信息安全培训,目录,常见系统漏洞简介漏洞扫描系统介绍数据库的安全管理,漏洞源自“vulnerability”(脆弱性)。一般认为,漏洞是指硬件、软件或策略上存在的的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。 标准化组织CVE(Common Vulnerabilities and Exposures, 即“公共漏洞与暴露”)致力于所有安全漏洞及安全问题的命名标准化,安全产品对漏洞的描述与调用一般都与CVE兼容。,漏洞的概念,信息安全的“木桶理论”,对一个信息系统来说,它的安全性不在于它是否采用了最新的加密算法或最先进
2、的设备,而是由系统本身最薄弱之处,即漏洞所决定的。只要这个漏洞被发现,系统就有可能成为网络攻击的牺牲品。,漏洞的发现,一个漏洞并不是自己突然出现的,必须有人发现它。这个工作主要是由以下三个组织之一来完成的:黑客、破译者、安全服务商组织。,每当有新的漏洞出现,黑客和安全服务商组织的成员通常会警告安全组织机构;破译者也许不会警告任何官方组织,只是在组织内部发布消息。根据信息发布的方式,漏洞将会以不同的方式呈现在公众面前。,通常收集安全信息的途径包括:新闻组、邮件列表、Web站点、FTP文档。,网络管理者的部分工作就是关心信息安全相关新闻,了解信息安全的动态。管理者需要制定一个收集、分析以及抽取信息
3、的策略,以便获取有用的信息。,漏洞对系统的威胁,漏洞对系统的威胁体现在恶意攻击行为对系统的威胁,因为只有利用硬件、软件和策略上最薄弱的环节,恶意攻击者才可以得手。,目前,因特网上已有3万多个黑客站点,而且黑客技术不断创新,基本的攻击手法已多达800多种。,目前我国95的与因特网相连的网络管理中心都遭到过境内外攻击者的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。国内乃至全世界的网络安全形势非常不容乐观。漏洞可能影响一个单位或公司的生存问题。,漏洞扫描的必要性,帮助网管人员了解网络安全状况对资产进行风险评估的依据安全配置的第一步向领导上报数据依据,系统脆弱性分析,信息系统存在着许多漏洞,
4、如IIS的安全性、CGI的安全性、DNS与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门。由于网络的飞速发展,越来越多的漏洞也必将随之出现。,IIS安全问题,Windows的IIS服务器存在着很多漏洞,如拒绝服务、泄露信息、泄露源代码、获得更多权限、目录遍历、执行任意命令、缓冲区溢出执行任意代码等。,缓冲区溢出,Buffer overflow attack 缓冲区溢出攻击缓冲区溢出漏洞大量存在于各种软件中利用缓冲区溢出的攻击,会导致系统当机,获得系统特权等严重后果。最早的攻击1988年UNIX下的Morris worm最近的攻击Codered 利用IIS漏洞SQL Server Worm
5、利用SQL Server漏洞Blaster 利用RPC漏洞Sasser利用LSASS漏洞,向缓冲区写入超过缓冲区长度的内容,造成缓冲区溢出,破坏程序的堆栈,使程序转而执行其他的指令,达到攻击的目的。原因:程序中缺少错误检测:void func(char *str) char buf16; strcpy(buf,str);如果str的内容多于16个非0字符,就会造成buf的溢出,使程序出错。,缓冲区溢出,类似函数有strcat、sprintf、vsprintf、gets、scanf等一般溢出会造成程序读/写或执行非法内存的数据,引发segmentation fault异常退出.如果在一个suid
6、程序中特意构造内容,可以有目的的执行程序,如/bin/sh,得到root权限。,缓冲区溢出,对于使用C语言开发的软件,缓冲区溢出大部分是数组越界或指针非法引用造成的。有时并不引发溢出也能进行攻击。现存的软件中可能存在缓冲区溢出攻击,因此缓冲区溢出攻击短期内不可能杜绝。缓冲区溢出的危害很大:可以植入并运行攻击代码比大部分DoS攻击危害严重,缓冲区溢出,在进程的地址空间安排适当的代码通过适当的初始化寄存器和内存,跳转到以上代码段执行,利用进程中存在的代码传递一个适当的参数如程序中有exec(arg),只要把arg指向“/bin/sh”就可以了植入法把指令序列放到缓冲区中堆、栈、数据段都可以存放攻击
7、代码,最常见的是利用栈,缓冲区溢出,拒绝服务攻击,拒绝服务攻击,拒绝服务攻击,拒绝服务攻击,拒绝服务攻击,DNS的安全性,对DNS服务器的攻击主要有三种方法:地址欺骗、远程漏洞入侵和拒绝服务。,1)地址欺骗。地址欺骗攻击利用了RFC标准协议中的某些不完善的地方,达到修改域名指向的目的。,2)远程漏洞入侵。BIND服务器软件的许多版本存在缓冲区溢出漏洞,黑客可以利用这些漏洞远程入侵BIND服务器所在的主机,并以root身份执行任意命令。,3)拒绝服务。一种攻击针对DNS服务器软件本身;另一种攻击的目标不是DNS服务器,而是利用DNS服务器作为中间的“攻击放大器”,去攻击其他Internet上的主
8、机。,FTP协议漏洞分析,1)FTP反弹(FTP Bounce)。 FTP的代理服务特性,形成FTP反弹漏洞。2)有限制的访问(Restricted Access)。可能形成控制连接是可信任的,而数据连接却不是。 3)保护密码(Protecting Passwords)。漏洞:在FTP标准PR85中,FTP服务器允许无限次输入密码;“PASS”命令以明文传送密码。 4)端口盗用(Port SteaUng)。漏洞:当使用操作系统相关的方法分配端口号时,通常都是按增序分配。,后门,后门通常是一个服务端程序,它可能由黑客编写,被恶意攻击者通过一定手段放在目标主机上以达到非法目的;也可能是目标主机正在
9、运行的授权应用软件,其本身具有可被攻击者利用的特性。更形象地说,第一种情况是小偷趁主人度假期间,在房主院子后面为自己打造了一个后门,并稍加装饰,使人轻易发现不了他的杰作;第二种情况可能是主人为了方便,本来就在院子后面留有一门,但由于疏忽竟然忘了上锁,这就给小偷以可乘之机。当然,在第一种情况下,若小偷在主人眼皮底下开工,自然需要更高超的技术,通常人们所说的特洛伊木马就是这种情况。 很多网管软件也有类似的功能,若被误用或滥用,后果会非常严重。,8.1.2 漏洞的发现,目录,常见系统漏洞简介漏洞扫描系统介绍数据库的安全管理,扫描技术与原理,扫描是检测Internet上的计算机当前是否是活动的、提供了
10、什么样的服务,以及更多的相关信息,主要使用的技术有Ping扫描、端口扫描和操作系统识别。扫描所收集的信息主要可以分为以下几种:1)标识主机上运行的TCPUDP服务。2)系统的结构(SPARC、ALPHA、X86)。3)经由INTERNET可以到达主机的详细IP地址信息。4)操作系统的类型。,扫描的几个分类,Ping扫描:ICMP,TCP扫描,UDP扫描,端口扫描,扫描器的类型和组成,扫描器的作用就是用检测、扫描系统中存在的漏洞或缺陷。目前主要有两种类型的扫描工具,即主机扫描器和网络扫描器,它们在功能上各有侧重。,1主机扫描器主机扫描器又称本地扫描器,它与待检查系统运行于同一节点,执行对自身的检
11、查。它的主要功能为分析各种系统文件内容,查找可能存在的对系统安全造成威胁的漏洞或配置错误。,2网络扫描器 网络扫描器又称远程扫描器,一般它和待检查系统运行于不同的节点上,通过网络远程探测目标节点,检查安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。,扫描器的组成,一般说来,扫描器由以下几个模块组成:用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等。整个扫描过程是由用户界面驱动的,首先由用户建立新会话,选定扫描策略后,启动扫描引擎,根据用户制订的扫描策略,扫描引擎开始调度扫描方法,扫描方法将检查到的漏洞填入数据库,最后由报告模块根据数据库内容组织扫描输出结果。,典型漏洞扫描系统,目
12、录,常见系统漏洞简介漏洞扫描系统介绍数据库的安全管理,背景知识:数据库安全标准,1985年,可信计算机系统评测标准(TCSEC)的颁布,为计算机安全产品的评测提供了测试和方法,指导信息安全产品的制造和应用。,1987年,美国国家计算机安全中心为TCSEC桔皮书提出可信网络解释(TNI),通常被称作红皮书。,1991年,美国国家计算机安全中心(NCSC)为TCSEC桔皮书提出可依赖数据库管理系统解释(TDI)。,CC(Common Criteria):通用标准,很多产品开始申请CC证书,比如ORACLE9i,已经通过EAL4级认证。,TCSEC-TDI基本内容(一),R1 安全策略(Securi
13、ty Policy) R1.1 自主存取控制(Discretionary Access Control,简记为DAC) R1.2 客体重用(Object Reuse) R1.3 标记(Labels) R1.3.1 标记完整性(Label Integrity) R1.3.2 标记信息的扩散(Labeled Information Exploration) R1.3.3 主体敏感度标记(Subject Sensitivity Labels) R1.3.4 设备标记(Device Labels) R1.4 强制存取控制(Mandatory Access Control,简记为MAC),TCSEC-T
14、DI基本内容(二),R2 责任(Accountability) R2.1 标识与鉴别(Identification & Authentication) R2.1.1 可信路径(Trusted Path) R2.2 审计(Audit),TCSEC-TDI基本内容(三),R3 保证(Assurance) R3.1 操作保证(Operational Assurance) R3.1.1 系统体系结构(System Architecture) R3.1.2 系统完整性(System Integrity) R3.1.3 隐蔽信道分析(Covert Channel Analysis) R3.1.4 可信设施
15、管理(Trusted Facility Management) R3.1.5 可信恢复(Trusted Recovery) R3.2 生命周期保证(Life Cycle Assurance) R3.2.1 安全测试(Security Testing) R3.2.2 设计规范和验证(Design Specification & Verification) R3.2.3 配置管理(Configuration Management) R3.2.4 可信分配(Trusted Distribution),TCSEC-TDI基本内容(四),R4 文档(Documentation) R4.1 安全特性用户指
16、南(Security Features Users Guide) R4.2 可信设施手册(Trusted Facility Manual) R4.3 测试文档(Test Documentation) R4.4 设计文档(Design Documentation),数据库系统安全级别,根据计算机系统对上述各项指标的支持情况,TCSEC-TDI将数据库系统划分为四类七个等级,依次是D、C(C1,C2)、B(B1,B2,B3)、A(A1),按系统可信程度逐渐增高,如下表所示。,TCSEC-TDI安全级别划分,D级,D级是最低级别。保留D级的目的是为了将一切不符合更高标准的系统,统统归于D组,在安全性
17、方面几乎没有什么专门的机制来提供保障。,C1级,只提供了非常初级的自主安全保护。能够实现对用户和数据的分离,进行自主存取控制(DAC),保护或限制用户权限的传播。现有的商业系统往往稍作改进即可满足要求。,C2级,实际是安全产品的最低档次,提供受控的存取保护,即将C1级的DAC进一步细化,以个人身份注册负责,并实施审计和资源隔离。很多商业产品已得到该级别的认证,如Oracle公司的Oracle 7, Sybase公司的 SQL Server 11.0.6 等。,B1级,标记安全保护。对系统的数据加以标记,并对标记的主体和客体实施强制存取控制(MAC)以及审计等安全机制。B1级能够较好地满足大型企
18、业或一般政府部门对于数据的安全需求,这一级别的产品才认为是真正意义上的安全产品。满足此级别的产品前一般多冠以“安全”(Security)或“可信的”(Trusted)字样,作为区别于普通产品的安全产品出售,如Oracle公司的Trusted Oracle 7和ORACLE 9i, Sybase公司的Secure SQL Server version 11.0.6等。,B2级,结构化保护。建立形式化的安全策略模型并对系统内的所有主体和客体实施DAC和MAC。 现在还没有符合B2标准的数据库产品。,B3级,安全域。该级的TCB必须满足访问监控器的要求,审计跟踪能力更强,并提供系统恢复过程。,A1级
19、,验证设计,即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。,小结,B2以上的系统标准更多地还处于理论研究阶段,产品化以至商品化的程度都不高,其应用也多限于一些特殊的部门如军队等。但美国正在大力发展安全产品,试图将目前仅限于少数领域应用的B2安全级别或更高安全级别下放到商业应用中来,并逐步成为新的商业标准。支持自主存取控制的DBMS大致属于C级,而支持强制存取控制的DBMS则可以达到B1级。,数据库安全技术,访问控制加密、证书标识和鉴别购买:关键业务少使用MS的产品;安装:不要使用缺省配置部署:多层部署;开发:开发环境与业务环境隔离;不要硬编码口令应用具有IDS+
20、IPS功能,恢复,日志,硬拷贝一定不要自己设计加密算法和公式!,数据库安全策略,数据库安全策略是应该重视的关键问题之一,为了对抗常见的威胁,可以在如下几个方面选择安全策略:1.1 数据备份策略1.2 漏洞弥补策略1.3 数据安全性策略 1.4 用户安全性策略 1.5 数据库管理员安全性策略 1.6 应用程序开发人员的安全性策略1.7 系统安全性策略,数据备份策略,确保当系统当机、存储介质受到破坏、用户误操作时,数据信息不至于丢失。,数据备份策略,可以采取的策略有:机器备份介质备份应用备份网络备份异地备份,漏洞弥补策略,扫描并弥补潜在漏洞,有专人跟踪漏洞发布情况。肯定存在不知道的或者不能马上弥补
21、的漏洞,要在其他方面积极采取措施来应对这种情况,以使整个业务系统正常运行。,数据安全性策略,数据安全性策略应建立在数据重要性基础上。如果数据不是很重要,那么数据安全性策略可以稍松一些。如果很重要,则应该有谨慎的安全性策略来 维护对数据对象的有效控制。,用户安全性策略,1) 一般用户的安全性(口令与权限) A. 口令的安全性。如果用户是通过数据库进行用户身份的确认,那么建议使用口令加密的方式与数据库进行连接,举例:ORACLE系统的设置方法如下: 在客户端的oracle.ini文件中设置ora_encrypt_login数为true; 在服务器端的initORACLE_SID.ora文件中设置d
22、bling_encypt_ login参数为true。,用户安全性策略,1) 一般用户的安全性 B. 权限管理。对于那些用户很多,应用程序和数据对象很丰富的数据库,应充分利用“角色”这个机制对权限进行有效管理。,用户安全性策略,2) 终端用户的安全性(权限) 必须针对终端用户制定安全性策略。例如,对于一个有很多用户的大规模数据库, 安全管理员可以决定用户组分类,为这些用户组创建角色,把所需的权限授予每一个角色,然后为用户分配相应角色。当处理特殊的应用要求时,安全管理员也必须明确地把一些特定的权限要求授予用户。,数据库管理员安全性策略,(1)及时更改有高权限用户的缺省口令 当数据库创建好以后,立
23、即更改有管理权限的用户的口令(如ORACLE的sys和system的口令),防止非法用户访问数据库。因为有管理权限的用户连入数据库后可以用各种方式对数据库进行改动,威胁很大。,数据库管理员安全性策略,(2) 保护管理者与数据库的连接 应该只有数据库管理员才能用管理权限连入数据库。 (3) 使用角色对管理者权限进行管理 应该合理设置和分配角色给用户,做到权力制衡。,应用开发人员安全性策略,(1) 应用程序开发人员和他们的权限 (2) 应用程序开发人员的环境 (3) 自由和受控的应用程序开发 (4) 应用程序开发人员的角色和权限 (5) 加强应用程序开发人员的空间限制 (6) 应用开发安全管理,应
24、用开发人员和权限,应用程序开发人员是唯一一类需要特殊权限组才能完成自己工作的数据库用户 开发者需要诸如create table等系统权限。为了限制开发者对数据库的操作,只应该把一些特定的系统权限授予开发者。,应用开发人员的环境,A.程序开发者不应与终端用户竞争数据库资源B.应用程序开发人员不能损害数据库其他应用产品,自由和controlled应用开发,应用程序开发人员有以下两种权限:自由开发和受控开发 A.自由开发允许应用程序开发人员创建自己的模式对象,包括table, index, procedure, package等,允许应用程序开发人员开发独立于其他对象的应用程序。,自由和contro
25、lled应用开发,应用程序开发人员有以下两种权限: B.受控开发不允许应用程序开发人员创建自己的模式对象,所有需要的table, procedure等都由数据库管理员创建,保证了数据库管理员能完全控制数据空间的使用以及访问数据库信息的途径。,应用开发人员角色和权限,数据库安全管理员能创建角色来管理典型的应用程序开发人员的权限要求 create系统权限常常被授予应用程序开发人员,以便让开发者创建自己的数据对象。,加强开发者空间限制,数据库安全管理者应该为每个应用开发人员设置以下的一些限制: A. 开发者可以创建table或index的表空间;,加强开发者空间限制,数据库安全管理者应该为每个应用开
26、发人员设置以下的一些限制:B. 在每一个表空间中,开发者所拥有的空间份额。可能需要一应用程序管理者来负责以下的任务:1.为每个应用程序创建角色以及管理每个应用程序的角色;2.创建和管理应用程序需要使用的数据对象;3.维护和更新应用程序代码和存储过程和程序包。,应用开发安全管理,要进行严格的软件配置管理,尽可能使用自动化的配置管理支持工具。,系统安全性策略,(1) 管理数据库用户 数据库用户要访问数据库信息,因此应该维护和管理数据库用户的安全性。按照数据库系统的规模和管理数据库用户所需工作量的大小,数据库安全管理员可能只是拥有create、alter、drop等特权的特殊用户,或者是拥有这些权限
27、的一组用户。应注意,只有那些值得信任的个人才应该拥有管理这些数据库用户的权限。,系统安全性策略,(2) 用户身份确认数据库用户可以通过操作系统、网络服务或数据库进行身份确认。通过主机操作系统进行用户身份认证的优点有: A. 用户能更快、更方便地联入数据库; B. 通过操作系统对用户身份进行集中控制:如果操作系统与数据库用户信息一致,那么DBMS无须存储和管理用户名以及密码; C. 用户进入数据库和操作系统的审计信息一致。,系统安全性策略,(3) 操作系统安全性 A.数据库管理员必须有create和delete文件的权限; B.一般数据库用户不应该有create或delete与数据库相关文件的权限; C.如果操作系统能为数据库用户分配角色,那么安全管理员必须有修改操作系统帐户安全属性的操作系统权限。,让每一个人放心地使用互联网,谢谢!,
