网络安全学习笔记(更新中)

上一篇 / 下一篇  2010-07-14 00:22:51 / 个人分类:网络

 
//////////////////////////////////////////////////企业网络安全结构
网络设备(路由器、交换机)
操作系统
应用程序
//////////////////////////////////////////////////网络设备面临的威胁
路由器:内部网络与外界通信出口。一旦黑客攻陷路由器,就掌握了控制内部网络访问外部网络的权力。
-弱口令  密码简单
-IOS自身漏洞  (路由器的操作系统)版本低,需要经常更新
-非授权用户可以管理设备  权限低
-CDP协议造成信息的泄露  思科设备之间相互了解。(尽量关闭)
//////////////////////////////////////////////////操作系统面临的威胁
1、Windows系统
-未及时安装补丁
-开启不必要的服务
-管理员口令设置不正确  暴力破解
-默认共享漏洞
2、Linux系统
-账号与口令安全
-NFS文件系统漏洞  把移动硬盘的某个目录挂载下来
-作为root运行的程序安全  应用程序被黑客控制得到权限
//////////////////////////////////////////////////操作系统面临的威胁
1、Web服务
-II5.0超长文件名请求存在漏洞
-其他漏洞
2、邮件服务
-垃圾邮件的骚扰
-邮件附件中的病毒
3、数据库
-Sa账号为空  1、不开启Sa账号。2、为Sa设置强壮的密码。
//////////////////////////////////////////////////企业网络面临的其他威胁
1、病毒
-蠕虫
2、木马
-冰河
-灰鸽子
3、来自内部的攻击  80%来自企业内部员工 20%来自网络
-对企业不满的员工
-对安全不了解的员工
//////////////////////////////////////////////////网络安全解决方案
1、网络设备
2、操作系统
3、应用程序
4、防火墙+IDS+网络发病毒体系——IDS网络监测系统

操作系统安全加固:
1、主机物理安全——计算机不要让外人碰,有专门的机房及管理人员。
2、账户安全——密码口令复杂度高。
3、文件系统的安全——NTFS比FTP32安全,权限涉及到了文件夹和文件级别。
4、停止多余的服务——减少黑客入侵可能,用最先进的漏洞监测工具。
5、Windows日志维护——了解服务器最近是否有遭受到攻击。
计算机病毒防治:
1、全面部署防病毒系统——部署企业版杀毒软件
2、及时更新病毒库和产品
3、预防为主
4、加强培训、提高防毒意识——给企业员工进行安全培训
IDS入侵检测系统
1、对系统的运行状态进行监视
2、发现各种攻击企图、攻击行为或者攻击结果
3、保证系统资源的机密性、完整性和可用性
4、是防火墙的合理补充
5、第二道安全闸门
 
IPS (Intrusion Prevention System , 入侵防御系统)
IPS的出现,应该说是IDS技术的一种新发展趋势,IPS技术在IDS监测的功能上又增加了主动响应的功能,一旦发现有攻击行为,立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中。

//////////////////////////////////////////////////网络攻击常见手法
1、扫描攻击——扫描计算机开放哪些服务和端口
2、安全漏洞攻击——根据服务缺陷进行攻击
3、口令入侵——反复尝试密码登录,暴力破解软件
4、木马程序
5、电子邮件攻击——附件里放木马
6、DoS攻击——拒绝服务攻击,DDoS分布式拒绝服务攻击
扫描攻击:
1、黑客利用专门工具进行系统端口扫描,找到开放端口后进行入侵
2、主机扫描
-ping
-Tracert
-Nmap
3、端口扫描
-一个端口就是一个潜在的通信通道
-扫描方法
  手动扫描
  工具扫描
扫描软件:
SuperScan  扫描计算机开放的端口和服务
PortScanner
Xscan
MBSA 微软官方提供的系统安全检测软件
安全漏洞攻击:
1、操作系统或应用软件自身具有的Bugs
2、安全漏洞举例:
-缓冲区溢出
  当目标操作系统收到了超过它所能接收到的信息量时产生缓冲区溢出。
  例:用户名10个字符,黑客输入100个字符,有90个字符注入到内存中。(解决:当超过10个字符时,重新输入)
-Http协议漏洞导致黑客攻击
口令入侵:
1、黑客攻击目标时必须破译用户的口令,只要攻击者能猜测用户口令,就能获得机器访问权
-通过网络监听
    使用Sniffer工具捕获主机间通讯来获取口令,嗅探器
-暴力破解
  John the Ripper
  L0pht Crack 5 :LC5   根据密码字典对计算机反复尝试登陆
-利用管理员失误
  网络安全中人是薄弱的一环
  提高用户、特别是网络管理员的安全意识
木马程序:
1、特洛伊木马
 在对方机器上运行打开个端口为黑客提供服务
2、常见的木马
-BO(BackOriffice)
-冰河、灰鸽子——国人的骄傲
电子邮件:
1、内容不健康邮件
2、广告邮件——可能打开一个病毒网页
3、被感染的邮件
4、病毒邮件
5、木马邮件
DoS(Denial of Service,拒绝服务攻击)
1、消耗系统资源(带宽、内存、队列、CPU)
2、导致目标主机宕机
3、阻止授权用户正常访问服务(慢、不能连接、没有响应)
DoS攻击种类
SYN Flood  需要为TCP连接分配内存,从而使其他功能不能分配足够内存。三次握手,进行了两次(SYN)(SYN/ACK),不进行第三次握手(ACK),连接队列处于等待状态,大量的这样等待,占满全部队列空间,系统挂起。60S系统自动RST,但系统已经崩溃。
Ping of Death  IP应用的分段使打包不得不重装配,从而导致系统崩溃。
               偏移量+段长度>65535,系统崩溃,重新启动,内核转储等。
Teardrop  分段攻击,利用重装配错误,通过将各个分段重叠来使目标系统崩溃或挂起。
Smurf(程序名)  网络上广播通信量泛滥,导致网络堵塞。攻击者向广播地址发送大量欺骗性的ICMP ECHO请求,这些包被放大,并发送到被攻击的地址,大量计算机向一台计算机回应ECHO包,目标系统将崩溃。

//////////////////////////////////////////////////网络安全基础防护
1、设备安全防护
-路由器安全管理
-交换机安全管理
2、操作系统安全防护
-Windows安全防护
-Linux安全防护
3、应用程序安全防护
-Web安全防护
-数据库安全防护

//////////////////////////////////////////////////路由器安全管理
针对路由器攻击类型:
-直接侵入到系统内部——远程控制路由器
-远程攻击使路由器崩溃或运行效率显著下降
-网络管理协议

路由器支持的配置方式:
TELNET——远程控制协议
TFTP——文件传输,基于UDP,向路由器传输设置文件
FTP——文件传输,基于TCP
HTTP——不需要远程登录,通过IE浏览器直接登录路由器
SNMP——远程监控路由器,效率高
Console——对路由器直接配置
Aux——通过电话线、ISDN进行远程拨号

面临的威胁:
Telnet信息为明文——没有进行加密
HTTP存在漏洞
Console口——用笔记本直接连接配置
SNMP协议缺省设置——如果不对SNMP设置,黑客会利用默认设置修改路由器配置

防护措施:
及时更新IOS——更新路由器操作系统
登录路由器,要设置加密口令
设置远程登录控制
-Router(config)#line vty 0 4  设置远程控制端口0-4,共5个端口
-Router(config-line)#login  启用端口
-Router(config-line)#password AAA  设置密码
-Router(config-line)#exec-timeout 10  超时10秒自动退出登录
设置控制台与AUX登录控制
-Router(config)#line console 0
-Router(config-line)#transport input none  支持的协议,none表示不支持任何协议
-Router(config-line)#password AAA
-Router(config)#line sux 0
-Router(config-line)#transport input none
-Router(config-line)#no exec
应用强密码策略
-Router(config)#service password-encryption  red5加密
-Router(config)#enable secret AAA  secret比password优先级高,password不生效
关闭基于Web的配置
-Router(config)#no ip http server 关闭不必要的服务
利用ACL禁止Ping相关接口
-Router(config)#access-list 101 deny icmp any host 192.168.2.1 echo  拒绝icmp协议ping主机,ping主机时,主机不应答
-Router(config)#access-list 101 permit ip any any  允许其他协议访问
-Router(config-if)#ip access-group 101 in
关闭CDP
-Router(config)#no cdp run 关闭整个路由器CDP协议
-Router(config-if)#no cdp enable 进入端口,关闭该端口的CDP协议
禁止不需要的服务
-Router(config)#no ip domain-lookup 域名解析
-Router(config)#no ip bootp server  协议DHCP
-Router(config)#no snmp-server  简单网络管理协议
-Router(config)#no snmp-server community public RO
-Router(config)#no snmp-server community admin RW

//////////////////////////////////////////////////交换机安全管理
及时下载新的IOS
使用管理访问控制系统
禁用未使用的端口
关闭危险服务
利用VLAN加强内部网络安全——VLAN虚拟局域网,局域网的物理链路上隔离了广播域。计算机端口绑定在VLAN上,
                            用Sniffer抓包,只能抓到同一个VLAN里的包。

//////////////////////////////////////////////////Windows安全
1、关闭不必要的服务
-Remote Registry Service  远程注册服务,允许远程修改注册表。services.msc
-Messenger  网络信使服务
2、关闭不需要的端口
-telnet
-Netbios
-FTP
-Web
3、打开审计策略——本地安全设置->本地策略->审核登录事件。
                   对文件夹及文件添加审核->属性->安全->高级->审核
4、重要文件安全存放——尽量不要放在系统盘,文件系统选择NTFS。
5、登录时不显示上次登录名——本地安全设置->本地策略->安全选项->交互式登录:不显示上次用户名。
                             本地安全设置->本地策略->安全选项->账户:重命名系统管理员账户。让黑客猜不到管理员账号
                             gpupdate /force 强制更新组策略
6、禁止建立空连接——打了XPsp3和2003sp2补丁后安全
7、关闭默认共享——net share 查看共享
                   net share c$ /delete 删除共享
8、设定账户锁定阀值——本地安全设置->帐户策略。可防止暴力破解。
                
//////////////////////////////////////////////////Linux安全

 

//////////////////////////////////////////////////防火墙介绍及ACL
防火墙主要功能:
1、强化安全策略——防火墙通过仅允许“认可的”和符合规则的请求通过的方式来强化安全策略
2、有效的记录网上活动——所有经过防火墙的流量都可以被记录下来,包括企业用户上网情况
3、隐藏用户站点或网络拓扑——防火墙在隔离内网和外网的同时利用NAT来隐藏内网的各种细节
4、安全策略的检查——所有信息都必须经过防火墙,防火墙就成为一个安全检查点

NAT:“Network Address Translation”,中文意思是“网络地址转换”,NAT就是在局域网内部网络中使用内部地址,
而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将内部地址替换成公用地址,
从而在外部公网(internet)上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共IP地址紧缺的问题。

防火墙分类:
1、包过滤型防火墙——网络层,对数据报进行检测
2、代理型防火墙——应用程,用代理服务器上网
3、状态检测型防火墙——网络层,根据数据包状态

包过滤型防火墙:
-根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配
-过滤规则是根据数据包的报头信息进行定义的
-没有明确允许的都被禁止

代理型防火墙:
-也被称为代理服务器
-位于客户机与服务器之间,完全阻挡二者间的数据流
-可以针对应用层进行侦测和扫描,对付基于应用层的浸入和病毒十分有效

状态检测型防火墙:
-检测每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙

 

TAG: 漏洞扫描 DDoS攻击 DoS攻击 IDS 网络安全 防火墙

woddebbmm的个人空间 引用 删除 woddebbmm   /   2010-07-15 08:56:29
 

评分:0

我来说两句

guobin_it

guobin_it

软件测试技术交流群60926703 (已满) CDN流媒体测试技术交流群126760166 (未满)

日历

« 2024-03-27  
     12
3456789
10111213141516
17181920212223
24252627282930
31      

数据统计

  • 访问量: 107527
  • 日志数: 57
  • 建立时间: 2007-12-14
  • 更新时间: 2011-07-07

RSS订阅

Open Toolbar