《网络安全技术人员培训(安全基础)ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络安全技术人员培训(安全基础)ppt课件.ppt(71页珍藏版)》请在三一办公上搜索。
1、网络与信息安全技术网络安全部分,主要内容,网络安全简介TCP/IP网络安全分析网络安全概念和手段介绍安全建议网络安全展望,冒名顶替,废物搜寻,身份识别错误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不周,随意口令,口令破解,口令圈套,窃听,偷窃,网络安全威胁,线缆连接,身份鉴别,编程,系统漏洞,物理威胁,网络安全威胁,网络安全威胁,虚拟专用网,防火墙,访问控制,防病毒,入侵检测,网络安全整体框架(形象图),中国被黑网站一览表,http:/ http:/www.guizhou- 贵州方志与地情网 中国青少年发展基金会 http:/(放
2、有不良图片,现已被中国黑客删除) http:/ 福建外贸信息网 http:/ http:/www.gll- 桂林图书馆 http:/ 中国:http:/www.beijing- 中国科学院心理研究所,国内外黑客组织,北京绿色联盟技术公司 ()中国红客联盟(redhacker.org)中国鹰派()中国黑客联盟HackweiserProphetAcidklownPoizonboxPrime SuspectzSubexSVUNHi-Tech,网络病毒,红色代码尼姆达冲击波震荡波ARP病毒,木马,病毒性木马工行密码盗取木马其它后门工具,安全威胁实例,用户使用一台计算机D访问位于网络中心服务器S上的we
3、bmail邮件服务,存在的安全威胁:U在输入用户名和口令时被录像机器D上有key logger程序,记录了用户名和口令机器D上存放用户名和密码的内存对其他进程可读,其他进程读取了信息,或这段内存没有被清0就分配给了别的进程,其他进程读取了信息用户名和密码被自动保存了用户名和密码在网络上传输时被监听(共享介质、或arp伪造)机器D上被设置了代理,经过代理被监听,安全威胁实例(续),查看邮件时被录像机器D附近的无线电接收装置接收到显示器发射的信号并且重现出来屏幕记录程序保存了屏幕信息浏览邮件时的临时文件被其他用户打开浏览器cache了网页信息临时文件仅仅被简单删除,但是硬盘上还有信息由于DNS攻击
4、,连接到错误的站点,泄漏了用户名和密码由于网络感染了病毒,主干网瘫痪,无法访问服务器服务器被DOS攻击,无法提供服务,什么是网络安全?,本质就是网络上的信息安全。网络安全防护的目的。,网络安全的特征,(1)保密性confidentiality:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。(2)完整性integrity:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。(3)可用性availability:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
5、(4)可控性controllability:对信息的传播及内容具有控制能力。(5)可审查性:出现的安全问题时提供依据与手段,主要内容,网络安全简介TCP/IP网络安全分析网络安全概念和手段介绍安全建议网络安全展望,网络系统结构开放系统互连参考模型(1),TCP/IP 网络的体系结构,TCP/IP 技术的发展设计目标 实现异种网的网际互连是最早出现的系统化的网络体系结构之一顺应了技术发展网络互连的应用需求采用了开放策略与最流行的 UNIX 操作系统相结合TCP/IP的成功主要应该归功于其开放性,使得最广泛的厂商和研究者能够不断地寻找和开发满足市场需求的网络应用和业务。 鱼与熊掌总是不能兼得,也正
6、是其体系结构得开放性,导致了TCP/IP网络的安全性隐患!,TCP/IP 的网络互连,网际互连是通过 IP 网关(gateway)实现的网关提供网络与网络之间物理和逻辑上的连通功能网关是一种特殊的计算机,同时属于多个网络,TCP/IP与OSI参考模型,TCP/IP协议和OSI模型的对应关系,应用层表示层会话层传输层网络层数据链路层物理层,FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet, IEEE802.3,802.11等,ICMP,ARP RARP,OSI参考模型,Internet协议簇,物理层,影响网络安全的主要因素(1),网络的缺陷因特
7、网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP 协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。 例如:多数底层协议为广播方式,多数应用层协议为明文传输,缺乏保密 与认证机制,因此容易遭到欺骗和窃听软件及系统的“漏洞”及后门 随着软件及网络系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows 还是UNIX 几乎都存在或多或少
8、的安全漏洞,众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一,影响网络安全的主要因素(2),黑客的攻击黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。目前,世界上有20 多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,“杀伤力”强的特点,构成了网络安全的主要威胁。网络普及,安全建设滞后网络硬件建设如火如荼
9、,网络管理尤其是安全管理滞后,用户安全意识不强,即使应用了最好的安全设备也经常达不到预期效果,主要内容,网络安全简介TCP/IP网络安全分析网络安全概念和手段介绍安全建议网络安全展望,网络安全策略,网络安全是一个系统的概念,可靠的网络安全解决方案必须建立在集成网络安全技术的基础上,网络系统安全策略就是基于这种技术集成而提出的,主要有三种: 1 直接风险控制策略(静态防御) 安全=风险分析+安全规则+直接的技术防御体系+安全监控 攻击手段是不断进步的,安全漏洞也是动态出现的,因此静态防御下的该模型存在着本质的缺陷。 2 自适应网络安全策略(动态性) 安全=风险分析+执行策略+系统实施+漏洞分析+
10、实时响应 该策略强调系统安全管理的动态性,主张通过安全性检测、漏洞监测,自适应地填充“安全间隙”,从而提高网络系统的安全性。完善的网络安全体系,必须合理协调法律、技术和管理三种因素,集成防护、监控和恢复三种技术,力求增强网络系统的健壮性与免疫力。局限性在于:只考虑增强系统的健壮性,仅综合了技术和管理因素,仅采用了技术防护。,网络安全策略(续),3 智能网络系统安全策略(动态免疫力) 安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习进化 技术防御体系包括漏洞检测和安全缝隙填充;安全跟踪是为攻击证据记录服务的,系统学习进化是旨在改善系统性能而引入的智能反馈机制
11、。模型中,“风险分析+安全策略”体现了管理因素;“技术防御体系+攻击实时检测+系统数据恢复+系统学习进化”体现了技术因素;技术因素综合了防护、监控和恢复技术;“安全跟踪+系统数据恢复+系统学习进化”使系统表现出动态免疫力。,网络安全防护模型PDRR,目前业界共识:“安全不是技术或产品,而是一个过程”。为了保障网络安全,应重视提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术,它强调信息系统整个生命周期的主动防御。,网络安全防护模型PDRR(续),保护 ( PROTECT ) 传统安全概念的继承,包括信息加密技术、访问控制技术
12、等等。检测 ( DETECT ) 从监视、分析、审计信息网络活动的角度,发现对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御。,网络安全防护模型PDRR(续),响应 ( RESPONSE ) 在遭遇攻击和紧急事件时及时采取措施,包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。恢复 ( RECOVER ) 评估系统受到的危害与损失,恢复系统功能和数据,启动备份系统等。,网络安全保障体系,安全管理与审计,物理层安全,网络层安全,传输层安全,应用层安全,链路层物理层,网络层,传输层,应用层表示层会话层,审计与
13、监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制链路加密物理信道安全物理隔离,访问控制数据机密性数据完整性,用户认证防抵赖安全审计,网络安全层次,层次模型,网络安全技术,实现安全目标,用户安全,服务可用,安全技术选择- 根据协议层次,物理层:物理隔离 链路层: 链路加密技术、PPTP/L2TP 网络层: IPSec协议(VPN)、防火墙 TCP 层: SSL 协议、基于公钥的认证和对称钥加密技术 应用层: SHTTP、PGP、S/MIME、 SSH(Secure shell)、开发专用协议(SET),网络安全工具,物理隔离设备 交换机/路由器安全模块 防火墙(Firewall) 漏洞扫
14、描器 入侵检测系统IDS、入侵防御系统IPS、安全审计系统、日志审计系统绿盟远程安全评估系统 虚拟专用网(VPN)、上网行为管理系统 病毒防护(防病毒软件、防毒墙、防木马软件等) 网络加速,负载均衡、流量控制,物理隔离,主要分两种:双网隔离计算机物理隔离网闸,双网隔离计算机,解决每人2台计算机的问题1台计算机,可以分时使用内网或外网关键部件硬盘网线软盘/USB/MODEM等共享部件显示器键盘/鼠标主板/电源硬盘*原理切换关键部件,简单双网隔离计算机,外网硬盘,内网硬盘,外网网线,内网网线,公共部件,控制卡,控制开关,复杂双网隔离计算机,内网硬盘,外网网线,内网网线,公共部件,控制卡,远端设备,
15、使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯,减少一根网线,物理隔离网闸的基本原理,采用数据“摆渡”的方式实现两个网络之间的信息交换在任意时刻,物理隔离设备只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络相连接时,它与内部网络的主机是断开的,反之亦然。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离设备。物理隔离设备在网络的第7层讲数据还原为原始数据文件,然后以“摆渡文件”形式传递原始数据。,物理隔离实现基本原理(1),物理隔离实现基本原理(2),内外网模块连接相应网络实现数据的接收及预处理等操作;交换模块采用专用的高速隔
16、离电子开关实现与内外网模块的数据交换,保证任意时刻内外网间没有链路层连接;数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”,传送到网闸另一侧;集成多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠的交换。,物理隔离技术的应用,涉密网和非涉密网之间,物理隔离技术的优缺点,优点: 中断直接连接 强大的检查机制 最高的安全性 缺点: 对协议不透明,对每一种协议都要一种具体的实现 效率低,交换机安全模块,MAC绑定QOS设置多VLAN划分日志其他,路由器安全功能,访问控制链表基于源地址/目标地址/协议端口号路径的完整性防止IP假冒和拒绝服务(Anti-spoof
17、ing/DDOS)检查源地址: ip verify unicast reverse-path 过滤RFC1918 地址空间的所有IP包;关闭源路由: no ip source-route路由协议的过滤与认证Flood 管理日志其他抗攻击功能,VPN通过一个私有的通道来创建一个安全的私有连接,将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来,形成一个扩展的公司企业网 提供高性能、低价位的因特网接入VPN是企业网在公共网络上的延伸,VPN简介,网上数据泄漏的风险,恶意修改通道终点到:假冒网关,外部段(公共因特网),ISP接入设备,原始终点为:安全网关,数据在到达终点之前要经过许多路由器,
18、明文传输的报文很容易在路由器上被查看和修改监听者可以在其中任一段链路上监听数据逐段加密不能防范在路由器上查看报文,因为路由器需要解密报文选择路由信息,然后再重新加密发送恶意的ISP可以修改通道的终点到一台假冒的网关,远程访问,搭线监听,攻击者,ISP,ISP窃听,正确通道,VPN功能,数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护,远程访问,Internet,VPN是企业网在因特网上的延伸,VPN的典型应用,现有的VPN 解决方案,基于 IPSec 的VPN解决方案 基于第二层的VPN解决方案 非 IPSec 的网络层VPN解决方案 非 IPSec 的应用层解决方案,基于IPSe
19、c 的VPN 解决方案,在通信协议分层中,网络层是可能实现端到端安全通信的最低层,它为所有应用层数据提供透明的安全保护,用户无需修改应用层协议。,该方案能解决的问题:数据源身份认证:证实数据报文是所声称的发送者发出的。数据完整性:证实数据报文的内容在传输过程中没被修改过,无论是被故意改动或是由于发生了随机的传输错误。数据保密:隐藏明文的消息,通常靠加密来实现。 重放攻击保护:保证攻击者不能截获数据报文,且稍后某个时间再发放数据报文,而不会被检测到。 自动的密钥管理和安全关联管理:保证只需少量或根本不需要手工配置,就可以在扩展的网络上方便精确地实现公司的虚拟使用网络方针,AH协议(头部认证 )
20、ESP协议(IPsec 封装安全负载 ) ISAKMP/Oakley协议,基于 IPSec 的VPN解决方案需要用到如下的协议:,IPSec 框架的构成,基于第二层的VPN解决方案,公司内部网,拨号连接,因特网,用于该层的协议主要有: L2TP:Lay 2 Tunneling Protocol PPTP:Point-to-Point Tunneling Protocol L2F:Lay 2 Forwarding,L2TP的缺陷:仅对通道的终端实体进行身份认证,而不认证通道中流过的每一个数据报文,无法抵抗插入攻击、地址欺骗攻击。没有针对每个数据报文的完整性校验,就有可能进行拒绝服务攻击:发送假冒
21、的控制信息,导致L2TP通道或者底层PPP连接的关闭。虽然PPP报文的数据可以加密,但PPP协议不支持密密钥的自动产生和自动刷新,因而监听的攻击者就可能最终破解密钥,从而得到所传输的数据。,非IPSec 的网络层VPN 解决方案,网络地址转换由于AH协议需要对整个数据包做认证,因此使用AH协议后不能使用NAT 包过滤由于使用ESP协议将对数据包的全部或部分信息加密,因此基于报头或者数据区内容进行控制过滤的设备将不能使用 服务质量由于AH协议将IP协议中的TOS位当作可变字段来处理,因此,可以使用TOS位来控制服务质量,非IPSec 的应用层VPN 解决方案,SOCKS位于OSI模型的会话层,在
22、SOCKS协议中,客户程序通常先连接到防火墙1080端口,然后由Firewall建立到目的主机的单独会话,效率低,但会话控制灵活性大 SSL(安全套接层协议 )属于高层安全机制,广泛用于Web Browse and Web Server,提供对等的身份认证和应用数据的加密。在SSL中,身份认证是基于证书的,属于端到端协议,不需要中间设备如:路由器、防火墙的支持 S-HTTP提供身份认证、数据加密,比SSL灵活,但应用很少,因SSL易于管理 S-MIME一个特殊的类似于SSL的协议,属于应用层安全体系,但应用仅限于保护电子邮件系统,通过加密和数字签名来保障邮件的安全,这些安全都是基于公钥技术的,
23、双方身份靠X.509证书来标识,不需要Firewall and Router 的支持,SMIME Kerberos Proxies SET IPSec (ISAKMP),SOCKS SSL,TLS,IPSec (AH,ESP) Packet Filtering Tunneling Protocols,CHAP,PAP,MS-CHAP,TCP/IP 协议栈与对应的VPN协议,Application,现有的VPN 解决方案小结,网络层对所有的上层数据提供透明方式的保护,但无法为应用提供足够细的控制粒度数据到了目的主机,基于网络层的安全技术就无法继续提供保护,因此在目的主机的高层协议栈中很容易受到攻
24、击应用层的安全技术可以保护堆栈高层的数据,但在传递过程中,无法抵抗常用的网络层攻击手段,如源地址、目的地址欺骗应用层安全几乎更加智能,但更复杂且效率低 因此可以在具体应用中采用多种安全技术,取长补短,防火墙的主要功能,监控并限制访问针对黑客攻击的不安全因素,防火墙采取控制进出内外网的数据包的方法,实时监控网络上数据包的状态,并对这些状态加以分析和处理,及时发现存在的异常行为;同时,根据不同情况采取相应的防范措施,从而提高系统的抗攻击能力。控制协议和服务针对网络先天缺陷的不安全因素,防火墙采取控制协议和服务的方法,使得只有授权的协议和服务才可以通过防火墙,从而大大降低了因某种服务、协议的漏洞而引
25、起灾难性安全事故的可能性。,防火墙的主要功能(续),保护网络内部针对软件及系统的漏洞或“后门”,防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构,其自身建立在安全操作系统之上;同时,针对受保护的内部网络,防火墙能够及时发现系统中存在的漏洞,进行访问上的限制;防火墙还可以屏蔽受保护网络的相关信息,使黑客无从下手。日志记录与审计当防火墙系统被配置为所有内部网络与外部Internet 连接均需经过的安全节点时,防火墙系统就能够对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结
26、果进行分析,掌握网络的运行状态,继而更加有效的管理整个网络。,防火墙的优点与不足,可屏蔽内部服务,避免相关安全缺陷被利用27层访问控制(集中在3-4层)解决地址不足问题抗网络层、传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限,入侵检测,基本原理:利用sniffer方式获取网络数据,根据已知特征判断是否存在网络攻击优点:能及时获知网络安全状况,借助分析发现安全隐患或攻击信息,便于及时采取措施。不足:准确性:误报率和漏报率有效性:难以及时阻断危险行为,网络防病毒,基本功能:串接于网络中,根据网络病毒的特征在网络数据中比对,从而发现并阻断病毒传播优点:能有效阻断已知网络病毒的传播不
27、足:只能检查已经局部发作的病毒对网络有一定影响,网络扫描器,通过模拟网络攻击检查目标主机是否存在已知安全漏洞优点:有利于及早发现问题,并从根本上解决安全隐患不足:只能针对已知安全问题进行扫描准确性 vs 指导性,访问控制(1),广义的访问控制功能包括鉴别、授权和记账等鉴别(Authentication):辨别用户是谁的过程。 授权(Authorization)对完成认证过程的用户授予相应权限,解决用户能做什么的问题。在一些访问控制的实现中,认证和授权是统一在一起的 记账(Accounting);统计用户做过什么的过程,通常使用消耗的系统时间、接收和发送的数据量来量度。Tacacs、Tacacs
28、+、Radius等技术能实现这三种功能。,访问控制(2),RADIUS协议 针对远程用户Radius(Remote Authentication Dialin User service)协议,采用分布式的Client/Server结构完成密码的集中管理和其他访问控制功能;网络用户(Client)通过网络访问服务器(NAS)访问网络,NAS同时作为Radius结构的客户端,认证、授权和计帐的3A功能通过NAS和安全服务器(Secutity Server)或Radius服务器之间的Radius协议过程完成,而用户的控制功能在NAS实现。,访问控制(3),TACAS协议 TACACS (Termin
29、al Access Controller Access Control System-终端访问控制系统)是历史上用于UNIX系统的认证协议,它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统。TACACS对数据并不加密,因此它的安全性要差一些,针对这种情况,又设计了TACACS+和RADIUS协议。,访问控制(4),TACACS+协议 由Cisco公司提出,在此协议中,当用户试图登录时,NAS将询问安全服务做什么,安全服务器通常知NAS输入用户名和密码,然后,发送接受或拒绝响应信息给NAS。用户登录进入之后,对于每一条用户输入的命令,NAS都将提请安全服务器进行授
30、权。,访问控制(5),TACACS+协议的应用,主要内容,网络安全简介TCP/IP网络安全分析网络安全概念和手段介绍安全建议网络安全展望,网络安全防护建议(1),经常关注安全信息发布www.cert.orgMicrosoft、Sun、hp、ibm等公司的安全公告www.bugtraq.org安全焦点 绿盟网站 ,网络安全防护建议(2),经常性检查重要服务器、网络设备是否存在安全漏洞www.nessus.org微软安全基线检测工具NmapX-scan流光ISS-SCANNER等其他商业安全工具Windows平台利用Msconfig检查启动项目,网络安全防护建议(3),根据安全公告、扫描结果及时打
31、补丁或升级软件利用签名工具对系统重要文件进行签名,经常检查有无变化,防止木马植入关闭服务器或网络设备上不必要的功能或服务制定切实可行的安全策略,形成制度并强制执行,内容总结,网络安全简介TCP/IP网络安全分析网络安全概念和手段介绍安全建议网络安全展望,网络安全发展方向追求实效,安全理念主动防御安全工具高性能高安全高可靠安全管理注重制度建设和安全人才培养,内容总结,网络安全简介TCP/IP网络安全分析网络安全概念和手段介绍安全建议网络安全展望,简化方案,联通,电信,服务器区,办公区,SecPath U200-A,H3C S5120,H3C WX3024,H3C MSR 30-40,WA2620-AGN,包括无线覆盖,WA2620-AGN,WA2620-AGN,包括无线覆盖,包括无线覆盖,谢谢!,
