網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)與CERNET的行動(dòng)-課件

1、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)與CERNET的行動(dòng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景CERNET 計(jì)算機(jī)應(yīng)急響應(yīng)組(CCERT)運(yùn)行一年回顧網(wǎng)絡(luò)和系統(tǒng)安全配置建議CERNET 安全應(yīng)急響應(yīng)服務(wù)計(jì)劃參考文獻(xiàn)內(nèi)容提要Internet 的安全問(wèn)題的產(chǎn)生Internet起于研究項(xiàng)目,安全不是主要的考慮少量的用戶，多是研究人員,可信的用戶群體可靠性(可用性)、計(jì)費(fèi)、性能 、配置、安全“Security issues are not discussed in this memo”網(wǎng)絡(luò)協(xié)議的開(kāi)放性與系統(tǒng)的通用性目標(biāo)可訪問(wèn)性，行為可知性攻擊工具易用性Internet 沒(méi)有集中的管理權(quán)威和統(tǒng)一的政策安全政策、計(jì)費(fèi)政策、路由政策操

2、作系統(tǒng)漏洞統(tǒng)計(jì)securityfocus操作系統(tǒng)漏洞增長(zhǎng)趨勢(shì)兩個(gè)實(shí)驗(yàn)San Diego 超級(jí)計(jì)算中心Redhat Linux 5.2 , no patch8小時(shí)：sun rpc probe21天：20 次pop, imap, rpc, mountd使用Redhat6.X的嘗試失敗40天：利用pop 服務(wù)缺陷或的控制權(quán)系統(tǒng)日志被刪除安裝了rootkit、 sniffer清華大學(xué)校園網(wǎng)Redhat Linux 6.2 , 只開(kāi)設(shè)telnet, www服務(wù)；helpwork 所有用戶申請(qǐng)均可獲得賬號(hào)7天后358個(gè)用戶兩個(gè)用戶利用dump獲得root 控制權(quán)安全應(yīng)急響應(yīng)服務(wù)背景應(yīng)急響應(yīng)服務(wù)的誕生CER

3、T/CC1988年Morris 蠕蟲事件直接導(dǎo)致了CERT/CC的誕生CERT/CC服務(wù)的內(nèi)容安全事件響應(yīng)安全事件分析和軟件安全缺陷研究缺陷知識(shí)庫(kù)開(kāi)發(fā)信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計(jì)、補(bǔ)丁、工具教育與培訓(xùn)：CSIRT管理、CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn)指導(dǎo)其它CSIRT（也稱IRT、CERT）組織建設(shè)CERT/CC簡(jiǎn)介現(xiàn)有工作人員30多人，12年里處理了288,600 封Email, 18,300個(gè)熱線電話，其運(yùn)行模式幫助了80多個(gè)CSIRT組織的建設(shè)CERT/CC簡(jiǎn)介CMUSEINetworked Systems Survivability programSurvivable

4、Network ManagementCERT/CCSurvivable Network TechnologyIncidentHandlingVulnerabilityHandlingCSIRTDevelopmentDoD安全應(yīng)急響應(yīng)服務(wù)背景國(guó)外安全事件響應(yīng)組（CSIRT）建設(shè)情況DOE CIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT, NavyCIRT亞太地區(qū)：AusCERT、SingCERT等FIRST（1990）FIRST為IRT組織、廠商和其他安全專家提供一個(gè)論壇，討論安全缺陷、入侵者使用的方法和技巧、建議等，共同的尋找一個(gè)可接受的方案。80多個(gè)正式成員組織，覆

5、蓋18個(gè)國(guó)家和地區(qū)從FIRST中獲益的比例與IRT愿意提供的貢獻(xiàn)成比例兩個(gè)正式成員的推薦國(guó)內(nèi)安全事件響應(yīng)組織建設(shè)情況計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)嚴(yán)重依賴國(guó)外；由于地理、語(yǔ)言、政治等多種因素，安全服務(wù)不可能依賴國(guó)外的組織國(guó)內(nèi)的應(yīng)急響應(yīng)服務(wù)還處在起步階段CCERT（2019年5月），中國(guó)第一個(gè)安全事件響應(yīng)組織NJCERT（2019年10月）中國(guó)電信ChinaNet安全小組解放軍，公安部安全救援服務(wù)公司中國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)組/協(xié)調(diào)中心CNCERT/CC信息產(chǎn)業(yè)部安全管理中心 ，2000年3月，北京安全應(yīng)急響應(yīng)組的分類國(guó)際間的協(xié)調(diào)組織國(guó)內(nèi)的協(xié)調(diào)組織國(guó)內(nèi)的協(xié)調(diào)組織愿意付費(fèi)的任何用戶產(chǎn)品用戶網(wǎng)絡(luò)接入用戶企業(yè)部門、

6、用戶商業(yè)IRT網(wǎng)絡(luò)服務(wù)提供商 IRT廠商 IRT企業(yè) /政府 IRT如：安全服務(wù)公司如：CCERT如：cisco, IBM如：中國(guó)銀行、 公安部如CERT/CC, FIRST如CNCERT/CC安全應(yīng)急響應(yīng)服務(wù)組織的服務(wù)內(nèi)容CSIRT的服務(wù)內(nèi)容應(yīng)急響應(yīng)安全公告咨詢風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)教育與培訓(xùn)追蹤與恢復(fù)安全應(yīng)急響應(yīng)服務(wù)的特點(diǎn)技術(shù)復(fù)雜性與專業(yè)性各種硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件；知識(shí)經(jīng)驗(yàn)的依賴性由IRT中的人提供服務(wù)，而不是一個(gè)硬件或軟件產(chǎn)品； 突發(fā)性強(qiáng)需要廣泛的協(xié)調(diào)與合作網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景CCERT運(yùn)行一年回顧網(wǎng)絡(luò)和系統(tǒng)安全配置建議CERNET 安全應(yīng)急響應(yīng)服務(wù)計(jì)劃參考文獻(xiàn)內(nèi)容提要CERNE

7、T在應(yīng)急響應(yīng)中的優(yōu)勢(shì)高速的、大規(guī)模的網(wǎng)絡(luò)環(huán)境10M/ 100M/ 1000M的用戶接入活躍的攻擊者和安全服務(wù)提供者BBS、各種俱樂(lè)部75410M+45M+45M155M(即將2.5G)2000.1-2000.10580近10M2M+2M2019.7-2019.12507近10M2M+2M2019.1-2019.064092M+4M2M2019.1-2019.12278128K64K/128K2019.1-2019.12聯(lián)網(wǎng)用戶數(shù)目國(guó)際出口帶寬國(guó)內(nèi)主干帶寬時(shí) 間CERNET、 Internet2、IPv6 實(shí)驗(yàn)床CERNET在應(yīng)急響應(yīng)中的優(yōu)勢(shì)CERNET在應(yīng)急響應(yīng)中的優(yōu)勢(shì)運(yùn)行網(wǎng)絡(luò)和實(shí)驗(yàn)網(wǎng)絡(luò), 可

8、進(jìn)行各種實(shí)驗(yàn)IPv6實(shí)驗(yàn)床、Internet2 的國(guó)際接入可控的網(wǎng)絡(luò)基礎(chǔ)設(shè)施路由系統(tǒng)、域名系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、電子郵件系統(tǒng)主干網(wǎng)擴(kuò)大到省級(jí)節(jié)點(diǎn)，便于集中控制以CERNET為依托的科研項(xiàng)目九五攻關(guān)項(xiàng)目：網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、安全路由器高速IP網(wǎng)絡(luò)安全運(yùn)行監(jiān)控系統(tǒng)100M 流量分析與協(xié)同分布式入侵檢測(cè)多種角色：高校、NSP/ISP便于國(guó)際交流、更加了解用戶需求CERNET 計(jì)算機(jī)安全應(yīng)急響應(yīng)組（CCERT）CERNET華東（北）地區(qū)網(wǎng)網(wǎng)絡(luò)安全事件響應(yīng)組(NJCERT)/njcert/index.html研發(fā)部運(yùn)行部CCERT 事件處理CCERTNICNOC 地區(qū)網(wǎng)絡(luò)中心 校園網(wǎng)絡(luò)中心Internet

9、用戶IPv6網(wǎng)管高速網(wǎng)：系統(tǒng)管理員CERNET 計(jì)算機(jī)安全應(yīng)急響應(yīng)組（CCERT）主要客戶群是CERNET 會(huì)員，但也有受理其他網(wǎng)絡(luò)的報(bào)告和投訴目前主要從事以下服務(wù)和研究：事件響應(yīng)：入侵、垃圾郵件以及郵件炸彈、惡意掃描和DoS事件處理給站點(diǎn)管理員提供安全建議提供安全信息公告和安全資源反垃圾郵件、禁止掃描的公告操作系統(tǒng)補(bǔ)丁、工具軟件網(wǎng)絡(luò)安全領(lǐng)域的研究,包括安全管理、入侵檢測(cè)、安全體系結(jié)構(gòu)、PKICCERT一年來(lái)回顧所處理的事件可分為四類：垃圾郵件和郵件炸彈掃描入侵 DOS 攻擊至2000年9月，處理了 2000 多份報(bào)告，其中包括1800多起垃圾郵件和郵件炸彈報(bào)告;110 起掃描與 DOS 攻擊

10、報(bào)告; 50 起入侵報(bào)告常見(jiàn)安全事件報(bào)告與處理垃圾郵件轉(zhuǎn)發(fā)90左右的報(bào)告與垃圾郵件有關(guān)國(guó)外的投訴國(guó)內(nèi)的報(bào)告郵件服務(wù)器配置不當(dāng)，為第三方中轉(zhuǎn)郵件危害：流量盜用 費(fèi)用增加可能導(dǎo)致郵件服務(wù)器的所有通信被受害者封鎖；spamcop對(duì)國(guó)家和社會(huì)安全的影響解決方法：relay-test scan重新配置、升級(jí)郵件系統(tǒng)封鎖國(guó)外轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)垃圾郵件的站點(diǎn)垃圾郵件的報(bào)告已逐漸減少常見(jiàn)安全事件報(bào)告與處理掃描，入侵的前兆服務(wù)發(fā)現(xiàn)掃描，如 proxy hunter（ 80, 8080,1080）缺陷掃描，如SATAN 等工具ftp, telnet ,ssh, pop2, pop3, sunrpc, netbios, im

11、ap, klogind, socks,入侵多數(shù)入侵由于眾所周知的缺陷，解決方法已有：Solaris rpc.statd, rpc.ttdbserver, Linux imapd, wu_ftp freeBSD pop3dWin2k Terminal Server, 很多案例由外部的報(bào)告發(fā)現(xiàn)，管理員并不知道典型的入侵案例缺陷掃描Root compromise: pop3d停止 syslogd , 修改/etc/inetd.conf, 激活 telnet, ftp, 甚至替換以下程序/bin/login 、/bin/ps 、/usr/bin/du 、/bin/ls 、/bin/netstat安裝竊

12、聽(tīng)程序 sniffer : /usr/.sniffit重新啟動(dòng) syslogd ,關(guān)閉pop3d刪除日志記錄 wtmp、wtp、message、syslog一般入侵步驟拒絕服務(wù)攻擊DoS 攻擊land , teardrop, SYN floodICMP : smurfRouter: remote reset , UDP port 7, Windows: Port 135, 137,139(OOB), terminal serverSolaris :Linux:其他. SYN FloodSend SYN (seq=100 ctl=SYN)SYN receivedSend SYN (seq=300

13、 ack=101 ctl=syn,ack)Established(seq=101 ack=301 ctl=ack)attackertargetEstablished(seq=301 ack=301 ctl=ack Data)1234SYN received正常的TCP 連接建立過(guò)程 - 三次握手ICMP SmurfattackerICMP echo req Src: targetdst: xxx.xxx.xxx.255Echo replyEcho replyEcho replytarget分布式拒絕服務(wù)（DDOS）以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標(biāo)常用的工具：Trin00, TFN/TFN2K,

14、Stacheldraht很難防范偽造源地址，流量加密，因此很難跟蹤clienttargethandler.agent.DoSICMP Flood / SYN Flood / UDP FloodDDOS攻擊方法及防范攻擊的兩階段：第一階段控制大量主機(jī)利用系統(tǒng)的漏洞獲得大量主機(jī)系統(tǒng)的控制權(quán)，并安裝DDoS 工具；Linux imapd, Solaris rpc 、rstatd, Windows；第二個(gè)階段，發(fā)起攻擊：向目標(biāo)發(fā)送大量的TCP/UDP/ICMP包，導(dǎo)致系統(tǒng)資源耗盡或網(wǎng)絡(luò)擁塞，從而使目標(biāo)系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)正常的請(qǐng)求。DDOS防范：網(wǎng)絡(luò)中所有的系統(tǒng)都要安全的配置，不使之成為DDOS的源；路

15、由器/防火墻配置：過(guò)濾偽造源地址的IP 包檢測(cè)工具：find_ddosv31、ddos_scan、rid掃描事件報(bào)告統(tǒng)計(jì)增長(zhǎng)趨勢(shì)常見(jiàn)問(wèn)題管理問(wèn)題：資產(chǎn)、策略、負(fù)責(zé)人, 沒(méi)有明確的安全管理策略操作系統(tǒng)安裝后使用缺省配置，不打補(bǔ)丁，運(yùn)行許多不必要的服務(wù)；99%以上的入侵是可以通過(guò)系統(tǒng)配置來(lái)防范的；常用的攻擊方法常見(jiàn)問(wèn)題多種服務(wù)安裝在同一服務(wù)器上，DNS/Mail/Web/ FTP公用服務(wù)器用戶口令過(guò)于簡(jiǎn)單，uid: stud? / Pwd:123456審計(jì)功能沒(méi)有激活，或管理員根本不檢查審計(jì)日志沒(méi)有備份，系統(tǒng)在被入侵后很難恢復(fù)事件處理的困難服務(wù)本身缺乏項(xiàng)目和資金的支持；人力資源與知識(shí)經(jīng)驗(yàn)的不足；缺

16、乏迅速的聯(lián)系渠道過(guò)時(shí)的 whois 數(shù)據(jù)庫(kù)，聯(lián)系信息數(shù)據(jù)庫(kù)不準(zhǔn)確 ；來(lái)自國(guó)外的投訴較多，國(guó)內(nèi)的用戶還沒(méi)有足夠的自我保護(hù)意識(shí)和能力網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景CCERT 運(yùn)行一年來(lái)的回顧網(wǎng)絡(luò)和系統(tǒng)安全配置建議CERNET安全應(yīng)急響應(yīng)服務(wù)建設(shè)計(jì)劃參考文獻(xiàn)內(nèi)容提要NT 安全配置檢查表安裝不要同時(shí)安裝其他操作系統(tǒng)，以防止越權(quán)訪問(wèn)和數(shù)據(jù)破壞所有分區(qū)都選擇NTFS格式，以支持訪問(wèn)控制選擇9個(gè)字符以上、不易猜測(cè)的口令創(chuàng)建修復(fù)盤補(bǔ)丁安裝最新版本的補(bǔ)丁Service Pack;安裝相應(yīng)版本所有的 hotfixes跟蹤最新的SP 和 hotfixNT 安全配置檢查表病毒防范安裝防病毒軟件，及時(shí)更新特征庫(kù)政策與用戶的

17、教育：如何處理郵件附件、如何使用下載軟件等網(wǎng)絡(luò)配置關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)配置防火墻/路由器，封鎖不必要的端口：TCP port 135, 137, 139 and UDP port 138. NT 安全配置檢查表賬號(hào)與口令策略設(shè)置口令安全策略:有效期、最小長(zhǎng)度、字符選擇賬號(hào)登錄失敗n次鎖定關(guān)閉缺省賬號(hào)，guest, Administrator文件系統(tǒng)與共享系統(tǒng)分區(qū)的權(quán)限設(shè)置如果不想提供共享服務(wù)，關(guān)閉Server 、computer browser 服務(wù)確保共享的目錄分配了合適的訪問(wèn)權(quán)限重要文件的備份NT 安全配置檢查表注冊(cè)表安全不顯示上次登錄的用戶名對(duì)普通用戶隱藏shutdown 按鈕限制遠(yuǎn)程注

18、冊(cè)表瀏覽限制軟驅(qū)和光驅(qū)的遠(yuǎn)程訪問(wèn)審計(jì)功能三個(gè)方面的操作審計(jì)，缺省是關(guān)閉的用戶：logon /log off, restart , shutdown文件和目錄：讀、寫、執(zhí)行、刪除、改變權(quán)限注冊(cè)表的修改Unix安全 配置檢查表相應(yīng)版本的所有補(bǔ)丁賬號(hào)與口令關(guān)閉缺省賬號(hào)和口令：lp, shutdown等shadow passwd用crack /john等密碼破解工具猜測(cè)口令（配置一次性口令）網(wǎng)絡(luò)服務(wù)的配置： /etc/inetd.conf, /etc/rc.d/*TFTP 服務(wù) get /etc/passwd匿名ftp的配置關(guān)閉rsh/rlogin/rexec 服務(wù)關(guān)閉不必要的 rpc 服務(wù)安裝ssh

19、d， 關(guān)閉telnet 。NFS export Unix安全 配置檢查表環(huán)境設(shè)置路徑，掩碼（ umask）審計(jì)與記賬功能有效的工具tripwareCOPStcpwrappersatan路由器安全配置檢查表認(rèn)證口令管理使用enable secret , 而不用enable passwordTACACS/TACACS+, RADIUS, Kerberos 認(rèn)證控制交互式訪問(wèn)控制臺(tái)的訪問(wèn)：可以越過(guò)口令限制；遠(yuǎn)程訪問(wèn)telnet, rlogin, ssh, LAT, MOP, X.29, Modem虛擬終端口令保護(hù)：vty, tty ：login ， no password 只接收特定協(xié)議的訪問(wèn)，如t

20、ransport input ssh設(shè)置允許訪問(wèn)的地址：ip access-class 超時(shí)退出：exec-timeout 登錄提示：banner login路由器安全配置檢查表網(wǎng)絡(luò)管理SNMPv1:修改缺省的community name community name, snmp-server community SNMPv2 :基于Keyed-MD5的認(rèn)證方式snmp-server party Digest AuthenticationHTTP: 限制管理站點(diǎn)地址、配置認(rèn)證方式ip http access-class , ip http authentication , TACACS/RAD

21、IUS防止竊聽(tīng)加密管理協(xié)議：ssh 登錄, SNMPv2的管理協(xié)議一次性口令（OTP）： SecureID/Token, S/KeyIPSec 封裝所有管理協(xié)議: telnet , SNMP，HTTP路由器安全配置檢查表關(guān)閉沒(méi)有必要的服務(wù)small TCPno service tcp-small-servers: echo / chargen / discardfinger, ntp 鄰機(jī)發(fā)現(xiàn)服務(wù)（cdp） 審計(jì)SNMP 認(rèn)證失敗信息，與路由器連接信息： Trap系統(tǒng)操作日志：system logging: console, Unix syslogd, 違反訪問(wèn)控制鏈表的流量操作系統(tǒng)更新路由器

22、IOS 與其他操作系統(tǒng)一樣也有BUG利用路由器保護(hù)網(wǎng)絡(luò)安全訪問(wèn)控制鏈表基于源地址/目標(biāo)地址/協(xié)議端口號(hào)路徑的完整性防止IP假冒和拒絕服務(wù)（Anti-spoofing/DDOS）檢查源地址： ip verify unicast reverse-path 過(guò)濾RFC1918 地址空間的所有IP包；關(guān)閉源路由： no ip source-route路由協(xié)議的過(guò)濾與認(rèn)證Flood 管理利用QoS的特征防止Floodinterface xyz rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit

23、 exceed-action drop access-list 2020 permit icmp any any echo-reply利用路由器防止DoS的攻擊Stub ADTransit AD/16eth0eth1access-list 101 permit ip 55 any access-list 101 deny ip any anyinterface eth0ip access-group 101 inaccess-list 110 deny ip 55 any access-list 110 deny ip 55 any access-list 110 deny ip 55 any

24、access-list 110 permit ip any anyinterface ether 1ip access-group 110 inip verify unicast reverse-pathTransit ADeth0access-list 101 deny ip 55 anyaccess-list 101 permit ip any anyaccess-list 102 permit ip 55 anyaccess-list 102 deny ip any anyinterface eth0ip access-group 101 inip access-group 102 ou

25、t怎樣檢測(cè)系統(tǒng)入侵察看登錄用戶和活動(dòng)進(jìn)程w, who, finger ,last 命令ps , crash尋找入侵的痕跡last, lastcomm, netstat, lsof,/var/log/syslog，/var/adm/messages, /.history查找最近被修改的文件 ：find檢測(cè)sniffer 程序ifconfig, cpm有用的工具 tripware,cops, cpm, tcpdump,怎樣從被攻破的系統(tǒng)中恢復(fù)重新獲得控制權(quán)從網(wǎng)絡(luò)中斷開(kāi)備份被攻破的系統(tǒng)鏡像分析入侵尋找被修改的程序或配置文件# find / ( -perm -004000 -o -perm -0020

26、00 ) -type f -print尋找被修改的數(shù)據(jù)，如web pages, 尋找入侵者留下的工具和數(shù)據(jù)sniffer, Trojan Horses, backdoor檢查日志文件 messages, xferlog,utmp,wtmp, /.history 怎樣從被攻破的系統(tǒng)中恢復(fù)尋找sniffer: cpm, ifstatus/advisories/CA-94.01.ongoingwork.monitoring.attacks.html 檢查其他的系統(tǒng)是否也被入侵與相關(guān)的IRT聯(lián)系報(bào)告, 申請(qǐng)?jiān)?、調(diào)查通知相關(guān)站點(diǎn)恢復(fù)安裝一份干凈的操作系統(tǒng)關(guān)掉所有不必要的服務(wù)安裝所有的補(bǔ)丁怎樣從被攻破的

27、系統(tǒng)中恢復(fù)查閱IRT相關(guān)的公告謹(jǐn)慎使用數(shù)據(jù)備份修改所有用戶口令提高系統(tǒng)的安全性根據(jù)UNIX / NT的安全配置指南文件檢查系統(tǒng)安全性/tech_tips/unix_configuration_guidelines.html.au/Information/Auscert_info/Papers/win_configuration_guidelines.html檢查工具與文檔安裝安全工具激活記賬功能配置防火墻怎樣從被攻破的系統(tǒng)中恢復(fù)重新連接到INTERNET更新你的安全政策記錄從事件中吸取的教訓(xùn)計(jì)算損失修改安全策略網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景CCERT 運(yùn)行一年來(lái)的回顧網(wǎng)絡(luò)和系統(tǒng)安全配置建議CCERT建設(shè)計(jì)劃及展望參考文獻(xiàn)內(nèi)容提要CERNET 安全 建設(shè)計(jì)劃安全事件診斷系統(tǒng)分布式入侵檢測(cè)系統(tǒng)CERNET-CERT 安全服務(wù)CERNET 會(huì)員安全事件處理系統(tǒng)研究與開(kāi)發(fā)脆弱性特征庫(kù)安