网络安全应急响应服务与CERNET的行动.ppt

《网络安全应急响应服务与CERNET的行动.ppt》由会员分享，可在线阅读，更多相关《网络安全应急响应服务与CERNET的行动.ppt（63页珍藏版）》请在三一办公上搜索。

1、网络安全应急响应服务与CERNET的行动,网络安全应急响应服务的背景CERNET 计算机应急响应组(CCERT)运行一年回顾网络和系统安全配置建议CERNET 安全应急响应服务计划参考文献,内容提要,Internet 的安全问题的产生,Internet起于研究项目,安全不是主要的考虑少量的用户，多是研究人员,可信的用户群体可靠性(可用性)、计费、性能、配置、安全“Security issues are not discussed in this memo”网络协议的开放性与系统的通用性目标可访问性，行为可知性攻击工具易用性Internet 没有集中的管理权威和统一的政策安全政策、计费政策、路由

2、政策,操作系统漏洞统计,操作系统漏洞增长趋势,两个实验,San Diego 超级计算中心Redhat Linux 5.2,no patch8小时：sun rpc probe21天：20 次pop,imap,rpc,mountd使用Redhat6.X的尝试失败40天：利用pop 服务缺陷或的控制权系统日志被删除安装了rootkit、sniffer,清华大学校园网Redhat Linux 6.2,只开设telnet,www服务；所有用户申请均可获得账号7天后358个用户两个用户利用dump获得root 控制权,安全应急响应服务背景,应急响应服务的诞生CERT/CC1988年Morris 蠕虫事件直

3、接导致了CERT/CC的诞生CERT/CC服务的内容安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT（也称IRT、CERT）组织建设,CERT/CC简介,现有工作人员30多人，12年里处理了288,600 封Email,18,300个热线电话，其运行模式帮助了80多个CSIRT组织的建设,CERT/CC简介,CMU,SEI,Networked Systems Survivability program,Survivable Network Managem

4、ent,CERT/CC,Survivable Network Technology,IncidentHandling,VulnerabilityHandling,CSIRTDevelopment,DoD,安全应急响应服务背景,国外安全事件响应组（CSIRT）建设情况DOE CIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT,NavyCIRT亚太地区：AusCERT、SingCERT等FIRST（1990）FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。80多个正式成员组织，覆盖18个国家和地

5、区从FIRST中获益的比例与IRT愿意提供的贡献成比例两个正式成员的推荐,国内安全事件响应组织建设情况,计算机网络基础设施已经严重依赖国外；由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织国内的应急响应服务还处在起步阶段CCERT（1999年5月），中国第一个安全事件响应组织NJCERT（1999年10月）中国电信ChinaNet安全小组解放军，公安部安全救援服务公司中国计算机应急响应组/协调中心CNCERT/CC信息产业部安全管理中心，2000年3月，北京,安全应急响应组的分类,国际间的协调组织,国内的协调组织,国内的协调组织,愿意付费的任何用户,产品用户,网络接入用户,企业部门

6、、用户,商业IRT,网络服务提供商 IRT,厂商 IRT,企业/政府 IRT,如：安全服务公司,如：CCERT,如：cisco,IBM,如：中国银行、公安部,如CERT/CC,FIRST,如CNCERT/CC,安全应急响应服务组织的服务内容,CSIRT的服务内容应急响应安全公告咨询风险评估入侵检测教育与培训追踪与恢复,安全应急响应服务的特点,技术复杂性与专业性各种硬件平台、操作系统、应用软件；知识经验的依赖性由IRT中的人提供服务，而不是一个硬件或软件产品；突发性强需要广泛的协调与合作,网络安全应急响应服务的背景CCERT运行一年回顾网络和系统安全配置建议CERNET 安全应急响应服务计划参考

7、文献,内容提要,CERNET在应急响应中的优势,高速的、大规模的网络环境10M/100M/1000M的用户接入活跃的攻击者和安全服务提供者BBS、各种俱乐部,CERNET、Internet2、IPv6 实验床,CERNET在应急响应中的优势,CERNET在应急响应中的优势,运行网络和实验网络,可进行各种实验IPv6实验床、Internet2 的国际接入可控的网络基础设施路由系统、域名系统、网络管理系统、电子邮件系统主干网扩大到省级节点，便于集中控制以CERNET为依托的科研项目九五攻关项目：网络管理、网络安全、安全路由器高速IP网络安全运行监控系统100M 流量分析与协同分布式入侵检测多种角色

8、：高校、NSP/ISP便于国际交流、更加了解用户需求,CERNET 计算机安全应急响应组（CCERT）,http:/,CERNET华东（北）地区网网络安全事件响应组(NJCERT),http:/,研发部,运行部,CCERT 事件处理,CCERT,NIC,NOC,地区网络中心,校园网络中心,Internet用户,IPv6,网管,高速网,：,系统管理员,CERNET 计算机安全应急响应组（CCERT）,主要客户群是CERNET 会员，但也有受理其他网络的报告和投诉目前主要从事以下服务和研究：事件响应：入侵、垃圾邮件以及邮件炸弹、恶意扫描和DoS事件处理给站点管理员提供安全建议提供安全信息公告和安全

9、资源反垃圾邮件、禁止扫描的公告操作系统补丁、工具软件网络安全领域的研究,包括安全管理、入侵检测、安全体系结构、PKI,CCERT一年来回顾,所处理的事件可分为四类：垃圾邮件和邮件炸弹扫描入侵 DOS 攻击至2000年9月，处理了 2000 多份报告，其中包括1800多起垃圾邮件和邮件炸弹报告;110 起扫描与 DOS 攻击报告;50 起入侵报告,常见安全事件报告与处理,垃圾邮件转发90左右的报告与垃圾邮件有关国外的投诉国内的报告邮件服务器配置不当，为第三方中转邮件危害：流量盗用-费用增加可能导致邮件服务器的所有通信被受害者封锁；spamcop对国家和社会安全的影响解决方法：relay-test

10、 scan重新配置、升级邮件系统封锁国外转发转发垃圾邮件的站点,垃圾邮件的报告已逐渐减少,常见安全事件报告与处理,扫描，入侵的前兆服务发现扫描，如 proxy hunter（80,8080,1080）缺陷扫描，如SATAN 等工具ftp,telnet,ssh,pop2,pop3,sunrpc,netbios,imap,klogind,socks,入侵多数入侵由于众所周知的缺陷，解决方法已有：Solaris rpc.statd,rpc.ttdbserver,Linux imapd,wu_ftp freeBSD pop3dWin2k Terminal Server,很多案例由外部的报告发现，管理员

11、并不知道,典型的入侵案例,缺陷扫描Root compromise:pop3d停止 syslogd,修改/etc/inetd.conf,激活 telnet,ftp,甚至替换以下程序/bin/login、/bin/ps、/usr/bin/du、/bin/ls、/bin/netstat安装窃听程序 sniffer:/usr/.sniffit重新启动 syslogd,关闭pop3d删除日志记录 wtmp、wtp、message、syslog,一般入侵步骤,拒绝服务攻击,DoS 攻击land,teardrop,SYN floodICMP:smurfRouter:remote reset,UDP port

12、 7,Windows:Port 135,137,139(OOB),terminal serverSolaris:Linux:其他.,SYN Flood,Send SYN(seq=100 ctl=SYN),SYN received,Send SYN(seq=300 ack=101 ctl=syn,ack),Established(seq=101 ack=301 ctl=ack),attacker,target,Established(seq=301 ack=301 ctl=ack Data),SYN received,正常的TCP 连接建立过程-三次握手,ICMP Smurf,attacker,

13、target,分布式拒绝服务（DDOS）,以破坏系统或网络的可用性为目标常用的工具：Trin00,TFN/TFN2K,Stacheldraht很难防范伪造源地址，流量加密，因此很难跟踪,client,target,DDOS攻击方法及防范,攻击的两阶段：第一阶段控制大量主机利用系统的漏洞获得大量主机系统的控制权，并安装DDoS 工具；Linux imapd,Solaris rpc、rstatd,Windows；第二个阶段，发起攻击：向目标发送大量的TCP/UDP/ICMP包，导致系统资源耗尽或网络拥塞，从而使目标系统或网络不能响应正常的请求。DDOS防范：网络中所有的系统都要安全的配置，不使之成

14、为DDOS的源；路由器/防火墙配置：过滤伪造源地址的IP 包检测工具：find_ddosv31、ddos_scan、rid,扫描事件报告统计增长趋势,常见问题,管理问题：资产、策略、负责人,没有明确的安全管理策略操作系统安装后使用缺省配置，不打补丁，运行许多不必要的服务；99%以上的入侵是可以通过系统配置来防范的；,常用的攻击方法,常见问题,多种服务安装在同一服务器上，DNS/Mail/Web/FTP公用服务器用户口令过于简单，uid:stud?/Pwd:123456审计功能没有激活，或管理员根本不检查审计日志没有备份，系统在被入侵后很难恢复,事件处理的困难,服务本身缺乏项目和资金的支持；人力

15、资源与知识经验的不足；缺乏迅速的联系渠道过时的 whois 数据库，联系信息数据库不准确；来自国外的投诉较多，国内的用户还没有足够的自我保护意识和能力,网络安全应急响应服务的背景CCERT 运行一年来的回顾网络和系统安全配置建议CERNET安全应急响应服务建设计划参考文献,内容提要,NT 安全配置检查表,安装不要同时安装其他操作系统，以防止越权访问和数据破坏所有分区都选择NTFS格式，以支持访问控制选择9个字符以上、不易猜测的口令创建修复盘补丁安装最新版本的补丁Service Pack;安装相应版本所有的 hotfixes跟踪最新的SP 和 hotfix,NT 安全配置检查表,病毒防范安装防病

16、毒软件，及时更新特征库政策与用户的教育：如何处理邮件附件、如何使用下载软件等网络配置关闭不必要的网络服务配置防火墙/路由器，封锁不必要的端口：TCP port 135,137,139 and UDP port 138.,NT 安全配置检查表,账号与口令策略设置口令安全策略:有效期、最小长度、字符选择账号登录失败n次锁定关闭缺省账号，guest,Administrator,文件系统与共享系统分区的权限设置如果不想提供共享服务，关闭Server、computer browser 服务确保共享的目录分配了合适的访问权限重要文件的备份,NT 安全配置检查表,注册表安全不显示上次登录的用户名对普通用户隐

17、藏shutdown 按钮限制远程注册表浏览限制软驱和光驱的远程访问审计功能三个方面的操作审计，缺省是关闭的用户：logon/log off,restart,shutdown文件和目录：读、写、执行、删除、改变权限注册表的修改,Unix安全 配置检查表,相应版本的所有补丁账号与口令关闭缺省账号和口令：lp,shutdown等shadow passwd用crack/john等密码破解工具猜测口令（配置一次性口令）网络服务的配置：/etc/inetd.conf,/etc/rc.d/*TFTP 服务 get/etc/passwd匿名ftp的配置关闭rsh/rlogin/rexec 服务关闭不必要的 r

18、pc 服务安装sshd，关闭telnet。NFS export,Unix安全 配置检查表,环境设置路径，掩码（umask）审计与记账功能有效的工具tripwareCOPStcpwrappersatan,路由器安全配置检查表,认证口令管理使用enable secret,而不用enable passwordTACACS/TACACS+,RADIUS,Kerberos 认证控制交互式访问控制台的访问：可以越过口令限制；远程访问telnet,rlogin,ssh,LAT,MOP,X.29,Modem虚拟终端口令保护：vty,tty：login，no password 只接收特定协议的访问，如trans

19、port input ssh设置允许访问的地址：ip access-class 超时退出：exec-timeout 登录提示：banner login,路由器安全配置检查表,网络管理SNMPv1:修改缺省的community name community name,snmp-server community SNMPv2:基于Keyed-MD5的认证方式snmp-server party Digest AuthenticationHTTP:限制管理站点地址、配置认证方式ip http access-class,ip http authentication,TACACS/RADIUS防止窃听加密

20、管理协议：ssh 登录,SNMPv2的管理协议一次性口令（OTP）：SecureID/Token,S/KeyIPSec 封装所有管理协议:telnet,SNMP，HTTP,路由器安全配置检查表,关闭没有必要的服务small TCPno service tcp-small-servers:echo/chargen/discardfinger,ntp 邻机发现服务（cdp）审计SNMP 认证失败信息，与路由器连接信息：Trap系统操作日志：system logging:console,Unix syslogd,违反访问控制链表的流量操作系统更新路由器IOS 与其他操作系统一样也有BUG,利用路由器

21、保护网络安全,访问控制链表基于源地址/目标地址/协议端口号路径的完整性防止IP假冒和拒绝服务（Anti-spoofing/DDOS）检查源地址：ip verify unicast reverse-path 过滤RFC1918 地址空间的所有IP包；关闭源路由：no ip source-route路由协议的过滤与认证Flood 管理利用QoS的特征防止Floodinterface xyz rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop acce

22、ss-list 2020 permit icmp any any echo-reply,利用路由器防止DoS的攻击,Stub AD,Transit AD,202.112.0.0/16,eth0,eth1,Transit AD,eth0,怎样检测系统入侵,察看登录用户和活动进程w,who,finger,last 命令ps,crash寻找入侵的痕迹last,lastcomm,netstat,lsof,/var/log/syslog，/var/adm/messages,/.history查找最近被修改的文件：find检测sniffer 程序ifconfig,cpm有用的工具 tripware,cop

23、s,cpm,tcpdump,怎样从被攻破的系统中恢复,重新获得控制权从网络中断开备份被攻破的系统镜像分析入侵寻找被修改的程序或配置文件#find/(-perm-004000-o-perm-002000)-type f-print寻找被修改的数据，如web pages,寻找入侵者留下的工具和数据sniffer,Trojan Horses,backdoor检查日志文件 messages,xferlog,utmp,wtmp,/.history,怎样从被攻破的系统中恢复,寻找sniffer:cpm,ifstatushttp:/www.cert.org/advisories/CA-work.monito

24、ring.attacks.html 检查其他的系统是否也被入侵与相关的IRT联系报告,申请援助、调查通知相关站点恢复安装一份干净的操作系统关掉所有不必要的服务安装所有的补丁,怎样从被攻破的系统中恢复,查阅IRT相关的公告谨慎使用数据备份修改所有用户口令提高系统的安全性根据UNIX/NT的安全配置指南文件检查系统安全性http:/www.cert.org/tech_tips/unix_configuration_guidelines.htmlhttp:/www.auscert.org.au/Information/Auscert_info/Papers/win_configuration_gui

25、delines.html检查工具与文档安装安全工具激活记账功能配置防火墙,怎样从被攻破的系统中恢复,重新连接到INTERNET更新你的安全政策记录从事件中吸取的教训计算损失修改安全策略,网络安全应急响应服务的背景CCERT 运行一年来的回顾网络和系统安全配置建议CCERT建设计划及展望参考文献,内容提要,CERNET 安全 建设计划,安全事件诊断系统,分布式入侵检测系统,CERNET-CERT 安全服务,CERNET 会员,安全事件处理系统,研究与开发,脆弱性特征库,安全服务,其他用户,风险评估,应急响应,教育与培训,入侵检测,漏洞扫描,安全公告,技术咨询,协调与合作,实验平台,攻击特征库,C

26、ERNET 应急响应服务组织结构,参考文献,NT系统安全配置指南http:/ciac.llnl.gov/cgi-bin/index/documents.htm,CIAC-2317http:/www.auscert.org.au/Information/Auscert_info/Papers/win_configuration_guidelines.htmlhttp:/系统安全配置指南http:/ciac.llnl.gov/cgi-bin/index/documents.htm,CIAC-2305http:/www.cert.org/tech_tips/unix_configuration_gu

27、idelines.htmlhttp:/www.cert.org/tech_tips/root_compromise.html RFC 2196:Site Security HandbookCISCO 路由器安全配置http:/ciac.llnl.gov/cgi-bin/index/documents.htm,CIAC-2319http:/2350:Expectations for Computer Security Incident Response.http:/www.singcert.org.sg/papers/Forming_an_Incident_Response_Team.html安全工具http:/www.auscert.org.au/Information/Tools/other_tools.htmlhttp:/www.singcert.org.sg/resource.shtml,结束语,整体的安全性依赖于所有用户安全意识的增强、安全技术的普及、组织之间的协作；保护用户不受攻击规范用户行为，不发起攻击行为不做攻击的中继,结束语,了解风险、明确政策、积极防御、及时发现、快速响应、确保恢复隐患险于明火、防患胜于救灾、责任重于泰山,谢 谢！,CERNET 网络安全应急响应服务,