系統(tǒng)脆弱分析技術(shù).ppt

系統(tǒng)脆弱性分析技術(shù),第 7 章,基本內(nèi)容,針對網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)應(yīng)用的安全技術(shù)，本章首先從自我檢查的角度入手，分析系統(tǒng)不安全的各種因素，采用工具檢測并處理系統(tǒng)的各種脆弱性。,7.1 漏洞掃描概述,漏洞源自“vulnerability”（脆弱性）。一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。 標(biāo)準(zhǔn)化組織CVE（Common Vulnerabilities and Exposures, 即“公共漏洞與暴露”）致力于所有安全漏洞及安全問題的命名標(biāo)準(zhǔn)化，安全產(chǎn)品對漏洞的描述與調(diào)用一般都與CVE兼容。,7.1.1 漏洞的概念,信息安全的 “木桶理論”,對一個(gè)信息系統(tǒng)來說，它的安全性不在于它是否采用了最新的加密算法或最先進(jìn)的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。只要這個(gè)漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。,7.1 漏洞掃描概述,7.1.2 漏洞的發(fā)現(xiàn),一個(gè)漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它。這個(gè)工作主要是由以下三個(gè)組織之一來完成的：黑客、破譯者、安全服務(wù)商組織。,每當(dāng)有新的漏洞出現(xiàn)，黑客和安全服務(wù)商組織的成員通常會(huì)警告安全組織機(jī)構(gòu)；破譯者也許不會(huì)警告任何官方組織，只是在組織內(nèi)部發(fā)布消息。根據(jù)信息發(fā)布的方式，漏洞將會(huì)以不同的方式呈現(xiàn)在公眾面前。,通常收集安全信息的途徑包括：新聞組、郵件列表、Web站點(diǎn)、FTP文檔。,網(wǎng)絡(luò)管理者的部分工作就是關(guān)心信息安全相關(guān)新聞，了解信息安全的動(dòng)態(tài)。管理者需要制定一個(gè)收集、分析以及抽取信息的策略，以便獲取有用的信息。,7.1 漏洞掃描概述,7.1.3 漏洞對系統(tǒng)的威脅,漏洞對系統(tǒng)的威脅體現(xiàn)在惡意攻擊行為對系統(tǒng)的威脅，因?yàn)橹挥欣糜布?、軟件和策略上最薄弱的環(huán)節(jié)，惡意攻擊者才可以得手。,目前，因特網(wǎng)上已有3萬多個(gè)黑客站點(diǎn)，而且黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已多達(dá)上千種。,目前我國95的與因特網(wǎng)相連的網(wǎng)絡(luò)管理中心都遭到過境內(nèi)外攻擊者的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。國內(nèi)乃至全世界的網(wǎng)絡(luò)安全形勢非常不容樂觀。漏洞可能影響一個(gè)單位或公司的生存問題。,7.1 漏洞掃描概述,7.1.4 漏洞掃描的必要性,幫助網(wǎng)管人員了解網(wǎng)絡(luò)安全狀況 對資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估的依據(jù) 安全配置的第一步 向領(lǐng)導(dǎo)上報(bào)數(shù)據(jù)依據(jù),7.2 系統(tǒng)脆弱性分析,信息系統(tǒng)存在著許多漏洞，這些漏洞來自于組成信息系統(tǒng)的各個(gè)方面。在前幾章我們已陸續(xù)介紹了軟硬件組件（組件脆弱性）存在的問題、網(wǎng)絡(luò)和通信協(xié)議的不健全問題、網(wǎng)絡(luò)攻擊（特別是緩沖區(qū)溢出問題）等方面的內(nèi)容，這里重點(diǎn)介紹協(xié)議分析和基于應(yīng)用層的不安全代碼或調(diào)用問題。,7.2 系統(tǒng)脆弱性分析,7.2.1 協(xié)議分析,1、DNS協(xié)議分析 域名服務(wù)器在Internet上具有舉足輕重的作用，它負(fù)責(zé)在域名和IP地址之間進(jìn)行轉(zhuǎn)換。 域名服務(wù)系統(tǒng)是一個(gè)關(guān)于互聯(lián)網(wǎng)上主機(jī)信息的分布式數(shù)據(jù)庫，它將數(shù)據(jù)按照區(qū)域分段，并通過授權(quán)委托進(jìn)行本地管理，使用客戶機(jī)/服務(wù)器模式檢索數(shù)據(jù)，并且通過復(fù)制和緩存機(jī)制提供進(jìn)發(fā)和冗余性能。 域名服務(wù)系統(tǒng)包含域名服務(wù)器和解析器兩個(gè)部分：域名服務(wù)器存儲(chǔ)和管理授權(quán)區(qū)域內(nèi)的域名數(shù)據(jù)，提供接口供客戶機(jī)檢索數(shù)據(jù)；解析器即客戶機(jī)，向域名服務(wù)器遞交查詢請求，翻譯域名服務(wù)器返回的結(jié)果并遞交給高層應(yīng)用程序，通常為操作系統(tǒng)提供的庫函數(shù)之一。 域名查詢采用UDP協(xié)議，而區(qū)域傳輸采用TCP協(xié)議。域名解析過程分為兩種方式：遞歸模式和交互模式。,7.2 系統(tǒng)脆弱性分析,7.2.1 協(xié)議分析,1、DNS協(xié)議分析（續(xù)） 對DNS服務(wù)器的威脅 1）地址欺騙。地址欺騙攻擊利用了RFC標(biāo)準(zhǔn)協(xié)議中的某些不完善的地方，達(dá)到修改域名指向的目的。 2）遠(yuǎn)程漏洞入侵。 3）拒絕服務(wù)。 保護(hù)DNS服務(wù)器的措施 1）使用最新版本的DNS服務(wù)器軟件。 2）關(guān)閉遞歸查詢和線索查找功能。 3）限制對DNS進(jìn)行查詢的IP地址。 4）限制對DNS進(jìn)行遞歸查詢的IP地址。 5）限制區(qū)域傳輸。 6）限制對BIND軟件的版本信息進(jìn)行查詢。,7.2 系統(tǒng)脆弱性分析,7.2.1 協(xié)議分析,2、FTP協(xié)議分析 文件傳輸協(xié)議FTP是一個(gè)被廣泛應(yīng)用的協(xié)議，它使得我們能夠在網(wǎng)絡(luò)上方便地傳輸文件。 FTP模型是典型的客戶機(jī)/服務(wù)器模型。兩個(gè)TCP連接分別是控制連接和數(shù)據(jù)連接。 FTP協(xié)議漏洞分析與防范 1）FTP反彈（FTP Bounce）。 2）有限制的訪問（Restricted Access）。 3）保護(hù)密碼（Protecting Passwords）。 4）端口盜用（Port SteaUng）。,7.2 系統(tǒng)脆弱性分析,7.2.2 應(yīng)用層的不安全調(diào)用,1、應(yīng)用安全概述 應(yīng)用層漏洞才是最直接、最致命的，因?yàn)榛ヂ?lián)網(wǎng)的應(yīng)用必須開放端口，這時(shí)防火墻等設(shè)備已無能為力；網(wǎng)絡(luò)應(yīng)用連接著單位的核心數(shù)據(jù)，漏洞直接威脅著數(shù)據(jù)庫中的數(shù)據(jù)；內(nèi)部人員通過內(nèi)網(wǎng)的應(yīng)用安全也不受防火墻控制。 基于B/S結(jié)構(gòu)應(yīng)用的普及使得應(yīng)用層安全問題越來越受到重視。 據(jù)OWASP相關(guān)資料顯示，2007年的十大應(yīng)用安全問題排名如下： （1）跨站腳本（XSS） （2）注入缺陷 （3）不安全的遠(yuǎn)程文件包含 （4）不安全的直接對象引用 （5）跨站請求偽造 （6）信息泄漏和異常錯(cuò)誤處理 （7）損壞的驗(yàn)證和會(huì)話管理 （8）不安全的加密存儲(chǔ) （9）不安全的通信 （10） URL訪問限制失敗,7.2 系統(tǒng)脆弱性分析,7.2.2 應(yīng)用層的不安全調(diào)用,2、常見Web應(yīng)用安全漏洞 常見的Web應(yīng)用安全漏洞有： SQL注入（SQL injection） 跨站腳本攻擊 惡意代碼 已知弱點(diǎn)和錯(cuò)誤配置 隱藏字段 后門和調(diào)試漏洞 參數(shù)篡改 更改cookie 輸入信息控制 緩沖區(qū)溢出 直接訪問瀏覽 攻擊者利用網(wǎng)站系統(tǒng)的代碼漏洞，精心構(gòu)造攻擊代碼，完成對網(wǎng)站系統(tǒng)的非法訪問或控制，中國、美國、德國和俄羅斯是惡意代碼最為活躍的地區(qū)。,2006年黑客利用SQL注入成功入侵中國移動(dòng)網(wǎng)站，首頁被黑,2006年底中國工商銀行遭遇“跨站腳本”攻擊,惡意代碼,應(yīng)對措施 在網(wǎng)站投入使用之前，應(yīng)該通過“應(yīng)用層安全檢測”。 目前比較常見的有“Watchfire AppScan”、 “數(shù)據(jù)庫弱點(diǎn)深度掃描器”、 “Web應(yīng)用弱點(diǎn)深度掃描”、 “網(wǎng)上木馬自動(dòng)分析溯源器”等產(chǎn)品供檢測使用。,8.1.2 漏洞的發(fā)現(xiàn),7.3 掃描技術(shù)與原理,掃描是檢測Internet上的計(jì)算機(jī)當(dāng)前是否是活動(dòng)的、提供了什么樣的服務(wù)，以及更多的相關(guān)信息，主要使用的技術(shù)有Ping掃描、端口掃描和操作系統(tǒng)識別。掃描所收集的信息主要可以分為以下幾種： 1）標(biāo)識主機(jī)上運(yùn)行的TCPUDP服務(wù)。 2）系統(tǒng)的結(jié)構(gòu)(SPARC、ALPHA、X86)。 3）經(jīng)由INTERNET可以到達(dá)主機(jī)的詳細(xì)IP地址信息。 4）操作系統(tǒng)的類型。,掃描的幾個(gè)分類,Ping掃描：ICMP,TCP掃描,UDP掃描,端口掃描,7.4 掃描器的類型和組成,掃描器的作用就是用檢測、掃描系統(tǒng)中存在的漏洞或缺陷。目前主要有兩種類型的掃描工具，即主機(jī)掃描器和網(wǎng)絡(luò)掃描器，它們在功能上各有側(cè)重。,1主機(jī)掃描器 主機(jī)掃描器又稱本地掃描器，它與待檢查系統(tǒng)運(yùn)行于同一節(jié)點(diǎn)，執(zhí)行對自身的檢查。它的主要功能為分析各種系統(tǒng)文件內(nèi)容，查找可能存在的對系統(tǒng)安全造成威脅的漏洞或配置錯(cuò)誤。,2網(wǎng)絡(luò)掃描器 網(wǎng)絡(luò)掃描器又稱遠(yuǎn)程掃描器，一般它和待檢查系統(tǒng)運(yùn)行于不同的節(jié)點(diǎn)上，通過網(wǎng)絡(luò)遠(yuǎn)程探測目標(biāo)節(jié)點(diǎn)，檢查安全漏洞。遠(yuǎn)程掃描器檢查網(wǎng)絡(luò)和分布式系統(tǒng)的安全漏洞。,7.4 掃描器的類型和組成,掃描器的組成,一般說來，掃描器由以下幾個(gè)模塊組成：用戶界面、掃描引擎、掃描方法集、漏洞數(shù)據(jù)庫、掃描輸出報(bào)告等。整個(gè)掃描過程是由用戶界面驅(qū)動(dòng)的，首先由用戶建立新會(huì)話，選定掃描策略后，啟動(dòng)掃描引擎，根據(jù)用戶制訂的掃描策略，掃描引擎開始調(diào)度掃描方法，掃描方法將檢查到的漏洞填入數(shù)據(jù)庫，最后由報(bào)告模塊根據(jù)數(shù)據(jù)庫內(nèi)容組織掃描輸出結(jié)果。,7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),天鏡漏洞掃描系統(tǒng)分單機(jī)、便攜和分布式三種版本，分布式產(chǎn)品組成包含幾個(gè)部分： 1）管理控制中心。負(fù)責(zé)添加、修改掃描引擎的屬性，進(jìn)行策略編輯和掃描任務(wù)制定和下發(fā)執(zhí)行，完成漏洞庫和掃描方法的升級，同時(shí)支持主、子控設(shè)置。 2）綜合顯示中心。實(shí)時(shí)顯示掃描的結(jié)果信息?？梢赃M(jìn)行樹形分類察看和分窗口信息察看，顯示掃描進(jìn)度，提供漏洞解釋的詳細(xì)幫助。 3）日志分析報(bào)表。查詢歷史掃描結(jié)果，提供多種報(bào)表模版，形成圖、表結(jié)合的豐富報(bào)表，以多種文件格式輸出。 4）掃描引擎軟件。執(zhí)行管理控制中心發(fā)來的掃描任務(wù)，返回掃描結(jié)果到綜合顯示中心顯示并存入數(shù)據(jù)庫中。 5）掃描對象授權(quán)。通過授權(quán)許可具體的掃描引擎軟件可掃描對象，包括同時(shí)掃描的數(shù)量，也可以指定那些目標(biāo)可以掃描或禁止掃描。 6）數(shù)據(jù)庫。 產(chǎn)品缺省提供MSDE 的桌面數(shù)據(jù)庫安裝包，用戶可以根據(jù)掃描規(guī)模的大小選用MSDE 或者SQL Server 作為使用數(shù)據(jù)庫。,7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),圖8-3 單中心分布式部署,7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),漸進(jìn)式掃描：根據(jù)被掃描主機(jī)的操作系統(tǒng)和主機(jī)應(yīng)用等信息智能確定進(jìn)一步的掃描流程； 授權(quán)掃描：系統(tǒng)支持用戶提供被掃描主機(jī)的權(quán)限信息，以獲取更深入、更全面的漏洞信息； 系統(tǒng)穩(wěn)定性高：掃描過程實(shí)時(shí)正確處理各種意外情況：如網(wǎng)卡故障、資源耗盡等； 掃描系統(tǒng)資源占用少、速度快、誤報(bào)低、漏報(bào)低、穩(wěn)定性高。,天鏡掃描技術(shù)特點(diǎn),7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),支持掃描的主流操作系統(tǒng)：Windows 9x/2000/2003/NT/XP、Sun Solaris、HP UNIX、IBM AIX、IRIX、Linux、BSD等。 天鏡可以掃描的對象包括各種服務(wù)器、工作站、網(wǎng)絡(luò)打印機(jī)以及相應(yīng)的網(wǎng)絡(luò)設(shè)備如：3Com交換機(jī)、CISCO 路由器、Checkpoint Firewall、HP 打印機(jī)、Cisco PIX Firewall 等。 天鏡可以提供掃描對象的賬戶信息，便于檢查是否異常賬戶出現(xiàn)。 掃描漏洞分類：Windows 系統(tǒng)漏洞、WEB 應(yīng)用漏洞、CGI 應(yīng)用漏洞、FTP 類漏洞、DNS、后門類、網(wǎng)絡(luò)設(shè)備漏洞類、緩沖區(qū)溢出、信息泄漏、MAIL 類、RPC、 NFS、NIS、 SNMP、守護(hù)進(jìn)程、PROXY強(qiáng)力攻擊等1000 種以上。支持對MS SQLServer、Oracle、Sybase、DB2 數(shù)據(jù)庫的掃描功能。 自由定制掃描策略 漏洞信息規(guī)范全面符合CNCVE 標(biāo)準(zhǔn)，兼容國際CVE 標(biāo)準(zhǔn)與BUGT