安全評(píng)估工具及方法介紹課件

安全評(píng)估工具及方法介紹議程評(píng)估概述評(píng)估工具介紹Windows2000安全評(píng)估Unix安全評(píng)估網(wǎng)絡(luò)設(shè)備安全性評(píng)估網(wǎng)絡(luò)架構(gòu)安全評(píng)估安全風(fēng)險(xiǎn)評(píng)估三要素資產(chǎn)分類及示例分類示例數(shù)據(jù)保存在設(shè)備上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、協(xié)議包、工具軟件、各種數(shù)據(jù)庫軟件等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件，各種共享、自行或合作開發(fā)的各種軟件等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列等傳輸線路：光纖、雙絞線等保障設(shè)備：動(dòng)力保障設(shè)備（UPS、變電設(shè)備等）、消防設(shè)施等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)等業(yè)務(wù)提供服務(wù)：依賴電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)開展的各類業(yè)務(wù)等文檔紙質(zhì)的各種文件，如設(shè)計(jì)文檔、管理規(guī)定和技術(shù)要求等人員掌握重要技術(shù)的人員，如網(wǎng)絡(luò)維護(hù)人員、網(wǎng)絡(luò)或業(yè)務(wù)的研發(fā)人員等其它企業(yè)形象，客戶關(guān)系等威脅威脅是一種對資產(chǎn)構(gòu)成潛在破壞的可能性因素，是客觀存在的。威脅可以通過威脅主體、動(dòng)機(jī)、途徑等多種屬性來描述。威脅可能導(dǎo)致對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)產(chǎn)生危害的不希望事件潛在起因，它可能是人為的，也可能是非人為的；可能是無意失誤，也可能是惡意攻擊。常見的網(wǎng)絡(luò)威脅有盜取帳號(hào)密碼、冒名頂替、病毒、特洛伊木馬、錯(cuò)誤路由、火災(zāi)、水災(zāi)等。威脅賦值評(píng)估者根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來判斷威脅出現(xiàn)的頻率威脅分類及示例種類描述軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件Bug導(dǎo)致對業(yè)務(wù)高效穩(wěn)定運(yùn)行的影響物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題和自然災(zāi)害無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作、或無意地執(zhí)行了錯(cuò)誤的操作，對系統(tǒng)造成影響管理不到位安全管理無法落實(shí)、不到位，造成安全管理不規(guī)范或者管理混亂，從而破壞電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)正常有序運(yùn)行惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)構(gòu)成破壞的程序代碼越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；或者濫用自己的職權(quán)，做出破壞電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的行為黑客攻擊技術(shù)利用黑客工具和技術(shù)，例如偵察、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行攻擊和入侵物理攻擊物理接觸、物理破壞、盜竊泄密機(jī)密泄漏，機(jī)密信息泄漏給他人篡改非法修改信息抵賴不承認(rèn)收到的信息和所作的操作或交易威脅利用脆弱性示例威脅威脅子類威脅可利用的脆弱性人為威脅非故意無作為、誤操作威脅核心盤有無保護(hù)網(wǎng)管服務(wù)器及數(shù)據(jù)的備份廠家支持力度人員素質(zhì)及管理外力施工光纜鋪設(shè)合理性承載系統(tǒng)保護(hù)機(jī)制故障應(yīng)急機(jī)制有效性故意惡意代碼和病毒防惡意代碼及病毒措施網(wǎng)絡(luò)及系統(tǒng)漏洞網(wǎng)絡(luò)攻擊防網(wǎng)絡(luò)攻擊措施針對網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)脆弱性泄密、篡改、抵賴防泄密、篡改、抵賴措施保密管理的脆弱性風(fēng)險(xiǎn)值計(jì)算－相乘法風(fēng)險(xiǎn)值計(jì)算方法--相乘法風(fēng)險(xiǎn)值＝資產(chǎn)價(jià)值×威脅值×脆弱性值風(fēng)險(xiǎn)值的取值范圍為1-125，風(fēng)險(xiǎn)值等級(jí)化處理，確定風(fēng)險(xiǎn)值對應(yīng)的風(fēng)險(xiǎn)等級(jí)。安全評(píng)估網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全物理安全各層的安全需求：1、保證本層自身的安全；2、實(shí)現(xiàn)本層對上層的安全支撐；3、增強(qiáng)對上層安全侵害的抵抗能力；4、盡可能減少本層對下層的安全依賴；5、盡可能減少本層對下層的安全侵害；風(fēng)險(xiǎn)評(píng)估規(guī)范的依據(jù)風(fēng)險(xiǎn)評(píng)估方法工具評(píng)估人工檢查資料分析訪談問卷調(diào)查滲透測試工具評(píng)估目的：以網(wǎng)絡(luò)掃描的方式，發(fā)現(xiàn)易于被攻擊者利用的安全風(fēng)險(xiǎn)；要求：盡可能和被掃描設(shè)備之間無訪問控制掃描影響：對網(wǎng)絡(luò)資源的影響在5%以下，對系統(tǒng)資源的影響在3%以下；風(fēng)險(xiǎn)規(guī)避措施評(píng)估前要求對重要系統(tǒng)進(jìn)行有效備份；掃描中不使用DoS掃描策略；對重要業(yè)務(wù)系統(tǒng)選擇業(yè)務(wù)量比較小的時(shí)間段進(jìn)行評(píng)估；雙機(jī)熱備系統(tǒng)分別掃描，確認(rèn)工作正常后再繼續(xù)掃描；發(fā)現(xiàn)問題，及時(shí)中止，確認(rèn)問題解決后再繼續(xù)掃描議程評(píng)估概述評(píng)估工具介紹Windows2000安全評(píng)估Unix安全評(píng)估網(wǎng)絡(luò)設(shè)備安全性評(píng)估網(wǎng)絡(luò)架構(gòu)安全評(píng)估什么是掃描器什么是掃描器黑客實(shí)施盜竊之前，最先進(jìn)行的工作——窺探，利用掃描器可以收集到：操作系統(tǒng)類型、開放端口、開放服務(wù)及版本號(hào)、共享目錄，…無疑掃描器成了黑客的幫兇！但掃描器無罪，關(guān)鍵看掌握在誰的手里；主流掃描器ISSSSSWebRavorLinktrustNetworkScannerXSCANSPUER-SCANNMAPNESSUS流光……X-ScanX-ScanNESSUS議程評(píng)估概述評(píng)估工具介紹Windows2000安全評(píng)估Unix安全評(píng)估網(wǎng)絡(luò)設(shè)備安全性評(píng)估網(wǎng)絡(luò)架構(gòu)安全評(píng)估用戶與口令確保禁用Guest等賬戶；檢查用戶所屬的組，關(guān)注administrators組；用戶與口令C:\winnt\repair\sam文件服務(wù)狀況“管理工具”——〉服務(wù)需要關(guān)注的服務(wù)Alerter、messenger、snmp、remoteregistryservice、routingandremoteaccess、runas、telnet、ftp、smtp、nntp、terminalservice、www其他遠(yuǎn)程服務(wù)、可疑的服務(wù)遠(yuǎn)程管理服務(wù)Terminalservice、pcanywhere、netmeeting等共享服務(wù)C:\netshare“管理工具”——〉”計(jì)算機(jī)管理”——〉”共享”注意共享訪問權(quán)限安全配置安全選項(xiàng)“管理工具”——〉“本地安全策略”——〉“安全設(shè)置/本地策略/安全選項(xiàng)”對匿名連接的額外限制；允許在未登錄前關(guān)機(jī)；是否顯示上次登錄帳號(hào)；LANManager身份驗(yàn)證級(jí)別；發(fā)送未加密的密碼以連接到第三方SMB服務(wù)器；允許彈出可移動(dòng)NTFS媒體；在斷開會(huì)話之前所需的空閑時(shí)間；如果無法記錄安全審計(jì)則立即關(guān)閉系統(tǒng)；登錄屏幕上不要顯示上次登錄的用戶名；禁用按CTRL+ALT+DEL進(jìn)行登錄的設(shè)置；在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁面交換文件；系統(tǒng)日志系統(tǒng)日志設(shè)置系統(tǒng)日志日志審核設(shè)置主要應(yīng)用軟件MSSQLServer等數(shù)據(jù)庫軟件Seru-U等ftp軟件Apache、IIS等WWW服務(wù)軟件被攻擊情況檢查查看系統(tǒng)進(jìn)程任務(wù)管理器查看系統(tǒng)開放服務(wù)查看系統(tǒng)端口和連接Netstat–an結(jié)合fport工具查看系統(tǒng)日志系統(tǒng)日志、安全日志、應(yīng)用日志、IIS等訪問日志C:\winnt\system32\logfiles\被攻擊情況檢查系統(tǒng)注冊表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce項(xiàng)下是否有異常程序菜單——〉程序——〉啟動(dòng)Txt、exe等關(guān)聯(lián)程序C:\ftypetxtfile等議程評(píng)估概述評(píng)估工具介紹Windows2000安全評(píng)估Unix安全評(píng)估網(wǎng)絡(luò)設(shè)備安全性評(píng)估網(wǎng)絡(luò)架構(gòu)安全評(píng)估主要檢查項(xiàng)系統(tǒng)基本信息root用戶安全配置系統(tǒng)服務(wù)啟動(dòng)狀況關(guān)鍵服務(wù)配置用戶與口令系統(tǒng)審計(jì)文件系統(tǒng)與文件權(quán)限其他系統(tǒng)基本信息（補(bǔ)丁）系統(tǒng)補(bǔ)丁信息使用oslevel確定系統(tǒng)版本補(bǔ)丁分為三類RecommendedMaintenancePackage(RM)CriticalFix(cfix)EmergenceFix(efix)推薦使用RPM安裝系統(tǒng)補(bǔ)丁對于最新的漏洞，需要efix系統(tǒng)基本信息（其他）系統(tǒng)基本信息

uname-a系統(tǒng)網(wǎng)卡信息

ifconfig-a系統(tǒng)路由信息

netstat-nr網(wǎng)絡(luò)連接信息

netstat-na系統(tǒng)進(jìn)程信息

ps-efroot用戶安全配置是否允許root用戶遠(yuǎn)程登錄在/etc/security/user文件中設(shè)定使用lsuser可以查看使用chuser更改root用戶的環(huán)境變量/etc/environment是全局的環(huán)境變量/etc/security/environ中可以設(shè)定單個(gè)用戶的環(huán)境變量也可以通過啟動(dòng)文件設(shè)定環(huán)境變量系統(tǒng)服務(wù)啟動(dòng)狀況初始的啟動(dòng)文件/etc/inittabpiobeqdaemonwritesrvhttpdlite通常服務(wù)在/etc/rc.*文件中啟動(dòng)rc.nfsrc.tcpiprc.d/inetd的啟動(dòng)文件/etc/inetd.conf關(guān)鍵服務(wù)配置R命令（rlogin,rsh）的配置情況CDE（dtlogin）是否設(shè)置訪問控制Ftp服務(wù)是否限制系統(tǒng)用戶訪問（/etc/）Cron服務(wù)NFS服務(wù)SNMP服務(wù)Sendmail服務(wù)DNS服務(wù)用戶與口令刪除無用用戶查看是否存在空/弱口令口令策略設(shè)定在/etc/security/user文件中設(shè)定使用lsuser/chuser查看與修改登錄策略設(shè)定在/etc/security/login.cfg文件中設(shè)定通用用戶的環(huán)境變量設(shè)定在/etc/environment文件中設(shè)定系統(tǒng)審計(jì)syslog日志的配置狀況記錄失敗登錄：/etc/security/failedlogin使用who查看：who/etc/security/failedlogin記錄最新登錄：/etc/security/lastlog文本文件，使用more查看記錄su的使用：/var/adm/sulog文本文件，使用more查看文件系統(tǒng)與文件權(quán)限以安全模式加載文件系統(tǒng)文件基本權(quán)限查找setuid,setgid與全局可寫的文件find/-perm-4000-ls查找所有setuid的文件find/-perm-2000-ls查找所有setgid的文件find/-perm-0004-ls查找所有全局可寫的文件和目錄

其他修改banner信息在/etc/security/login.cfg中修改herald參數(shù)對網(wǎng)絡(luò)連接設(shè)置訪問控制服務(wù)安全管理盡可能少泄露系統(tǒng)信息更改telnetd\ftpd\bind\sendmail等的banner信息編寫安全的用戶程序注意避免自己編寫的用戶程序中常見的安全漏洞，它們往往成為黑客攻擊的突破口。主要應(yīng)用軟件安全性服務(wù)的安全補(bǔ)丁除了操作系統(tǒng)的安全補(bǔ)丁外，各廠商的應(yīng)用服務(wù)，也需要安裝相應(yīng)的安全補(bǔ)丁。比如sendmail、Bind、Apache、WUFTP、數(shù)據(jù)庫、網(wǎng)管系統(tǒng)等等，都會(huì)不定期出現(xiàn)嚴(yán)重的安全漏洞，需要單獨(dú)安裝其安全補(bǔ)丁。主要應(yīng)用軟件安全性對服務(wù)的安全配置對主要的服務(wù)，比如snmpd、sendmail、bind、apache、NFS等，如果必須開放的話，也應(yīng)該進(jìn)行相應(yīng)的安全配置。

入侵檢查基本理念了解后門的形式會(huì)有助于對攻擊者入侵行為和后門的檢查系統(tǒng)是否可信系統(tǒng)已經(jīng)或者有可能受到攻擊，那么許多信息已經(jīng)不再完全可信通過ls\netstat\ps\find等獲得的信息不再可信，因?yàn)檫@些應(yīng)用程序本身可能已經(jīng)被入侵者篡改；syslog日志可能已經(jīng)被刪除或者篡改；文件或者目錄的大小屬性、時(shí)間戳等都可能被偽造。入侵痕跡入侵者往往會(huì)由于技術(shù)或者非技術(shù)的原因留下蛛絲馬跡當(dāng)攻擊者多次登錄、或者多臺(tái)機(jī)器被入侵時(shí)，由于疏忽的原因，留下痕跡的可能性會(huì)更大入侵檢查使用基本的系統(tǒng)命令ls命令：注意查看文件的ACLTime時(shí)間戳、權(quán)限位、大小、屬主等；find命令：可以根據(jù)文件的ACLtime時(shí)間戳、權(quán)限、大小、屬主、類型等特性進(jìn)行查找；ps–eaf或者/bin/ucb/ps–aux查看進(jìn)程信息；ldd查看命令所調(diào)用的動(dòng)態(tài)庫netstat–an命令查看端口鏈接信息；lsof查看進(jìn)程打開的端口、打開的文件等屬性；strings和file命令查看文件信息；入侵檢查使用基本的系統(tǒng)日志查看系統(tǒng)本身的相關(guān)日志，但它們被篡改的可能性較大；查看網(wǎng)絡(luò)日志服務(wù)器的日志或者查看IDS系統(tǒng)日志等它們一般比較可靠，被篡改的可能性相對較小。使用其它工具（chkrootkit）常見的后門形式suid后門把重要的文件cp到隱藏的目錄下，設(shè)置suid位，比如：cp/bin/ksh/tmp/.aachownroot:root.aachmod4755.aa常見的后門形式inetd后門選擇一個(gè)不常被使用的服務(wù)，用可以產(chǎn)生某種后門的守護(hù)進(jìn)程代替原先的守護(hù)進(jìn)程,比如：將用于提供日期時(shí)間的服務(wù)daytime替換為能夠產(chǎn)生一個(gè)suidroot的shellvi/etc/inetd.confdaytimestreamtcpnowait/bin/shsh-i.常見的后門形式rc等啟動(dòng)腳本后門在rc啟動(dòng)腳本中運(yùn)行后門服務(wù)，比如在/sbin/rc3或者/etc/rc2.d/S69inet中增加：nc–l–p9999–e/bin/sh&將會(huì)在tcp9999端口監(jiān)聽。常見的后門形式更改/etc/passwd和/etc/shadow文件echo‘footq:x:0:0::/export/home/footq:/bin/sh’>>/etc/passwdecho‘footq::::::::’>>/etc/shadow常見的后門形式攻擊者可能在crontab或者at中增加定期運(yùn)行的后門Crontab的語法為：幾分 幾點(diǎn) 幾號(hào) 幾月 周幾 命令103**0/usr/lib/newsyslogcrontab–l>aaa 將當(dāng)前用戶的crontab內(nèi)容導(dǎo)入到aaa文件crontabbbb 將編輯好的crontab文件bbb加載到當(dāng)前用戶的crontab中，使之生效crontab–e 編輯當(dāng)前的crontab文件常見的后門形式rootkit黑客的后門工具箱，比如lrk5、ark等，包括以下功能：自動(dòng)清除日志中的登錄記錄的工具，比如wipe、zap2等；隱藏攻擊者目錄和文件、進(jìn)程等的工具，如替換的netstat、ps、ls、ifconfig等；木馬，比如替換的login、su等；后門程序，比如nc，或者其他的BindShell等；以太網(wǎng)的sniffer；它能偽裝被替換文件的sum校驗(yàn)和，更改時(shí)間·戳等，由于許多命令被替換更改，所以許多東西不再可信，比較難于檢查，但是：往往也會(huì)存在紕漏和蛛絲馬跡，能夠被人工發(fā)現(xiàn)；tripwire等文件系統(tǒng)完整性檢查工具、chkrootkit可以發(fā)現(xiàn)它。議程評(píng)估概述評(píng)估工具介紹Windows2000安全評(píng)估Unix安全評(píng)估網(wǎng)絡(luò)設(shè)備安全性評(píng)估網(wǎng)絡(luò)架構(gòu)安全評(píng)估主要檢查項(xiàng)設(shè)備負(fù)載訪問安全賬號(hào)和口令認(rèn)證banner服務(wù)管理logacl防范DOS攻擊功能路由器負(fù)載路由器的負(fù)載通常取決于下列因素:

路由器在網(wǎng)絡(luò)中所處的層次核心層,匯聚層,或者接入層路由器執(zhí)行的軟件功能NAT,policy-route,加密等等都會(huì)加重設(shè)備負(fù)擔(dān)命令showprocessmemshowprocesscpuIOS版本有無漏洞

系統(tǒng)漏洞,在非人為條件下,系統(tǒng)在特定網(wǎng)絡(luò)環(huán)境中出現(xiàn)異常;安全性漏洞,破壞者借此控制設(shè)備或者造成設(shè)備運(yùn)行異常;網(wǎng)絡(luò)設(shè)備運(yùn)行中斷或者異常即可造成經(jīng)濟(jì)損失檢測方式網(wǎng)絡(luò)掃描工具如LinkTrustNetworkScanner

檢查版本號(hào),版本過低即可能有漏洞命令showversion訪問安全

Console訪問安全

auxiliary訪問安全

vtyvty訪問安全vty訪問安全Privilege從0—15默認(rèn)是：1（exec）15（enable）可以自定義其他級(jí)別訪問安全訪問安全賬號(hào)和口令應(yīng)按照用戶分配賬號(hào)

Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernameruser1password3d-zirc0niaRouter(config)#usernameruser1privilege1Router(config)#usernameruser2password2B-or-3BRouter(config)#usernameruser2privilege1Router(config)#end

賬號(hào)和口令Type7Cisco的算法很容易被破解enablepasswordusername***password***servicepassword-encryption（可以保證不在屏幕上直接顯示）Type5MD5算法安全enablesecret賬號(hào)和口令Enablepassword和enablesecret同時(shí)存在時(shí)，只有enablesecret起作用應(yīng)該禁止enablepassword，尤其注意二者不能相同

認(rèn)證認(rèn)證系統(tǒng)聯(lián)動(dòng)Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swDRouter(config)#end

有些時(shí)候，

缺省BANNER信息會(huì)為黑客提供入侵線索；

UserAccessVerificationPassword:如上信息意味著該設(shè)備是Cisco設(shè)備。Router(config)#bannerlogin^Thisissecureddevice.Unauthorizeduseisprohibitedbylaw.^修改缺省bannerHTTP管理模式

HTTP管理模式可以使用戶以WEB方式管理路由器，但是也帶來安全隱患。router(config)#noiphttpserver關(guān)閉HTTP模式router(config)#iphttpaccess-classaccess-list

用ACL限制可以訪問的地址router(config)#iphttpauthentication<local,radius>

驗(yàn)證方式：本機(jī)或者radius服務(wù)器

Router(config)#noaccess-list11Router(config)#access-list11permithostRouter(config)#access-list11denyanyRouter(config)#iphttpaccess-class11Router(config)#iphttpauthenticationlocalRouter(config)#iphttpserverHTTP管理模式

SNMP是否有安全隱患盡可能禁用SNMP，如確實(shí)需要使用SNMP，必須：確保使用SNMP版本3，因?yàn)镾NMPV3使用了較強(qiáng)的MD5認(rèn)證技術(shù)

必須確保MIB庫的讀／寫密碼（CommunityStringPassword）必須設(shè)定為非缺省值（PublicandPrivate）

CommunityStringPassword必須為健壯口令，并定期更換；

確保授權(quán)使用SNMP進(jìn)行管理的主機(jī)限定在指定網(wǎng)段范圍內(nèi)（ACL）Router(config)#nosnmpcommunitypublicRouter(config)#nosnmpcommunityprivateRouter(config)#access-list8permitRouter(config)#access-list8permit0Router(config)#access-list8denyanyRouter(config)#!makeSNMPread-onlyandsubjecttoaccesslistRouter(config)#snmp-servercommunityhello!@#ro8Router(config)#snmp-serverhost8maddogRouter(config)#snmp-servertrap-sourceloopback0Router(config)#snmp-serverenabletrapssnmpSNMP是否有安全隱患關(guān)閉無用服務(wù)很多服務(wù)目前Internet上已經(jīng)很少使用，而且這類服務(wù)服務(wù)往往存在可供黑客利用的缺陷。Smallservices(echo,discard,chargen,etc.):Router(config)#noservicetcp-small-serversRouter(config)#noserviceudp-small-servers

BOOTP:Router(config)#noipbootpserverFingerRouter(config)#noipfingerRouter(config)#noservicefingerCDP是否構(gòu)成隱患？

無必要時(shí)，

關(guān)閉CDP協(xié)議，

黑客通?？梢越柚鶦DP更快地了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

XXXX-NMSW-1#showcdpneiCapabilityCodes:R-Router,T-TransBridge,B-SourceRouteBridgeS-Switch,H-Host,I-IGMP,r-RepeaterDeviceIDLocalIntrfceHoldtmeCapabilityPlatformPortIDJAB032008YP(XXXX-Gig4155TSWS-C40032/2JAB032008YP(XXXX-Gig3155TSWS-C40032/1LOGLog類型ConsoleloggingTerminallineloggingBufferedlogging空間有限SyslogloggingSNMPtraplogging

LOGLOGLOGLOG日志是否開啟

確保路由器開啟日志功能。若路由器沒有足夠的空間，需要將日志傳送到日志服務(wù)器上保存；若邊界路由器未配合防火墻、IDS、Sniffer等技術(shù)使用，必須支持詳盡的日志信息；在日志文件中需要記錄登錄過該設(shè)備的用戶名、時(shí)間和所作的命令操作等詳細(xì)信息，為發(fā)現(xiàn)潛在攻擊者的不良行為提供有力依據(jù)；Router(config)#loggingonRouter(config)#logging00Router(config)#loggingbuffered16000informationRouter(config)#loggingconsolecriticalRouter(config)#loggingtrapdebugging日志是否開啟

SNMPSNMP訪問控制列表

標(biāo)準(zhǔn)ACLInterface#access-grouplist-numberin(out)訪問控制列表

擴(kuò)展ACLInterface#access-grouplist-numberin(out)訪問控制列表

基于name的擴(kuò)展ACLInterface#access-grouplist-numberin(out)訪問控制列表

ACL匹配順序默認(rèn)是deny最少一個(gè)permit只是單向訪問控制是否需要和合理利用RPF功能？

RPF可以有效地防止基于地址欺騙的攻擊手段，提供全網(wǎng)的抗攻擊能力，ＲＰＦ的使用基于以下原則：路由器必須可以開啟ＣＥＦ交換模式

如果路由器從某接口接收到的任何ＩＰ包，其回應(yīng)包必定從該接口返回，則可以在該接口上使用RPF功能；ＲＰＦ盡可能在靠近接入用戶的網(wǎng)絡(luò)設(shè)備上使用；

Router(config)#ipcefRouter(config)#intere0/0Router(config-if)#ipverifyunicastreverse-path

訪問控制列表

訪問控制列表

訪問控制列表

訪問控制列表

議程評(píng)估概述評(píng)估工具介紹Windows2000安全評(píng)估Unix安全評(píng)估網(wǎng)絡(luò)設(shè)備安全性評(píng)估網(wǎng)絡(luò)架構(gòu)安全評(píng)估網(wǎng)絡(luò)架構(gòu)安全評(píng)估安全域劃分邊界防護(hù)網(wǎng)絡(luò)安全管理冗余、備份與恢復(fù)IP地址規(guī)劃安全域劃分（1）為什么要?jiǎng)澐职踩颍拷M網(wǎng)方式隨意性強(qiáng)，缺乏統(tǒng)一規(guī)劃網(wǎng)絡(luò)區(qū)域之間邊界不清晰，互連互通沒有統(tǒng)一控制規(guī)范安全防護(hù)手段部署原則不明確擴(kuò)展性差無法有效隔離不同業(yè)務(wù)領(lǐng)域，跨業(yè)務(wù)領(lǐng)域的非授權(quán)互訪難于發(fā)現(xiàn)和控制無法有效控制網(wǎng)絡(luò)病毒的發(fā)作區(qū)域和影響不能及時(shí)的發(fā)現(xiàn)安全事件和響應(yīng)第三方維護(hù)人員缺乏訪問控制和授權(quán)管理員密碼和權(quán)限的難以管理關(guān)鍵服務(wù)器、信息資產(chǎn)的缺乏重點(diǎn)防護(hù)安全域劃分（2）安全域劃分的根本目的是把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的簡單系統(tǒng)的安全保護(hù)問題。這也是實(shí)現(xiàn)大規(guī)模復(fù)雜信息的系統(tǒng)安全分等級(jí)保護(hù)的有效方法。安全域是指具有相同或近似安全保護(hù)需求的一系列IT要素的邏輯集合。這些要素主要包括：業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)區(qū)域主機(jī)/系統(tǒng)組織人員物理環(huán)境主體、性質(zhì)、安全目標(biāo)和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。安全域劃分安全域劃分（3）安全域劃分的基本步驟作為實(shí)現(xiàn)信息系統(tǒng)安全等級(jí)保護(hù)的前提，首先應(yīng)提出各信息系統(tǒng)組網(wǎng)、設(shè)備部署的基本原則，即進(jìn)行安全域劃分的原則。在明確安全域劃分基本原則基礎(chǔ)上，根據(jù)不同信息系統(tǒng)的價(jià)值和安全風(fēng)險(xiǎn)等級(jí)，確定各安全域不同的保護(hù)等級(jí)。結(jié)合冗余備份、提高數(shù)據(jù)傳輸效率等原則，明確組網(wǎng)的基本要求，并據(jù)此進(jìn)行邊界保護(hù)和基本安全防護(hù)手段的建設(shè)工作。

安全域劃分（4）安全域劃分的原則業(yè)務(wù)保障原則：安全域劃分的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。結(jié)構(gòu)簡化原則：安全域劃分的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。等級(jí)保護(hù)原則：安全域的劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等。生命周期原則：對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化；在安全域的建設(shè)和調(diào)整過程中要考慮工程化的管理。

安全域劃分（5）安全域劃分方法安全域的劃分除了遵循上述根本原則外，安全域的劃分還應(yīng)考慮如下兩個(gè)重要特征：安全域內(nèi)的系統(tǒng)應(yīng)具有相同或者相近的保護(hù)等級(jí)；屬于同一安全域內(nèi)的系統(tǒng)應(yīng)互相信任，也就是說即使保護(hù)需求相同，如果屬于不同的系統(tǒng)而且互不信任，也不應(yīng)該納入同一安全域進(jìn)行保護(hù)，“信任”是一個(gè)相對的概念。應(yīng)當(dāng)根據(jù)業(yè)務(wù)邏輯、地域與管理模式、業(yè)務(wù)特點(diǎn)劃分安全域、安全子域、安全區(qū)域。在安全域內(nèi)部進(jìn)一步劃分安全區(qū)域時(shí)，如核心生產(chǎn)區(qū)、日常工作區(qū)、漫游區(qū)、DMZ區(qū)、第三方互聯(lián)區(qū)等等，重點(diǎn)參考了IATF計(jì)算區(qū)域劃分的理論，并考慮了不同區(qū)域和不同的威脅。邊界防護(hù)（1）根據(jù)IATF等安全理論，安全域劃分的原則明確以后，安全域的邊界訪問控制是關(guān)注的重點(diǎn)。安全域邊界的保護(hù)原則是：應(yīng)以通為主，以隔為輔，即在保證業(yè)務(wù)系統(tǒng)連通需求的前提下，根據(jù)各安全域的威脅等級(jí)、保護(hù)等級(jí)，部署支撐系統(tǒng)的保護(hù)方式。邊界防護(hù)（2）安全域邊界的保護(hù)方式在邊界整合基礎(chǔ)上，結(jié)合安全域的威脅等級(jí)和保護(hù)等級(jí)，采用“重點(diǎn)防護(hù)、重兵把守”的原則，建立安全域互聯(lián)邊界的防護(hù)措施，以實(shí)施安全域互訪的原則。目前的互聯(lián)與保護(hù)方式主要有：單層防火墻控制下的直接互聯(lián)雙重異構(gòu)防火墻控制下的直接互聯(lián)接口服務(wù)器（如PORTAL）方式實(shí)現(xiàn)的服務(wù)器－服務(wù)器的互聯(lián)接口服務(wù)器結(jié)合物理隔離的互聯(lián)等。確定防護(hù)方式主要考慮以下因素：技術(shù)安全性實(shí)施難度投資角度安全域的保護(hù)等級(jí)、威脅等級(jí)，邊界防護(hù)（3）安全域邊界的安全部署在進(jìn)行安全域邊界部分、尤其是漫游區(qū)接入的安全部署時(shí)，除了采用上述的保護(hù)方式外，還要綜合考慮病毒自動(dòng)查殺的病毒墻、補(bǔ)丁管理、漏洞掃描、入侵檢測、訪問控制、雙因素認(rèn)證、信息加密等安全技術(shù)的統(tǒng)一部署，并實(shí)施集中的實(shí)時(shí)監(jiān)控。除了實(shí)施必要的安全保障措施控制外，加強(qiáng)安全管理也是不可或缺的一個(gè)重要環(huán)節(jié)。網(wǎng)絡(luò)安全管理（1）使用了何種網(wǎng)管系統(tǒng)？OpenView、Tivoli等使用了何種管理協(xié)議？telnet、snmp、http等是采用帶內(nèi)管理還是帶外管理？帶外管理，是否注意隔離？是否采用了WindowsDomain或UnixNIS管理？網(wǎng)絡(luò)安全管理（2）使用流量分析工具進(jìn)行正常情況下的網(wǎng)絡(luò)流量進(jìn)行分析和建模，出現(xiàn)異常流量時(shí)立即觸發(fā)告警并啟動(dòng)相關(guān)工單和響應(yīng)流程；使用各類安全手段的集中管控系統(tǒng)（OMC），如防火墻的控制端、防病毒系統(tǒng)的集中控制端、IDS的集中日志分析系統(tǒng)等，進(jìn)行較為集中的安全監(jiān)控；利用部分網(wǎng)管系統(tǒng)，如IP數(shù)據(jù)網(wǎng)管，對各業(yè)務(wù)系統(tǒng)工作狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，出現(xiàn)安全相關(guān)異常時(shí)立即觸發(fā)安全告警并啟動(dòng)相關(guān)工單和響應(yīng)流程；建設(shè)安全運(yùn)營中心（SOC），實(shí)現(xiàn)安全事件進(jìn)行全局監(jiān)控預(yù)警和響應(yīng)。網(wǎng)絡(luò)安全管理（3）對于安全告警監(jiān)控的技術(shù)手段上，主要存在兩種情況。第一、部署了多種專業(yè)安全技術(shù)手段，但并沒有部署統(tǒng)一安全管理監(jiān)控平臺(tái)的情況，按照專業(yè)安全系統(tǒng)的分類，開展相對集中的安全監(jiān)控工作。第二、已經(jīng)部署了統(tǒng)一安全管理監(jiān)控平臺(tái)的情況，安全監(jiān)控工作可以圍繞安全管理平臺(tái)進(jìn)行，將各個(gè)專業(yè)安全系統(tǒng)的監(jiān)控手段作為輔助手