安全審核評(píng)估和風(fēng)險(xiǎn)分析第15部分控制階段的審計(jì)審計(jì)和日志分析

第五單元

控制階段的平安審核學(xué)習(xí)目標(biāo)熟悉控制流程識(shí)別控制手段掌握記錄控制流程和手段的方法網(wǎng)絡(luò)控制攻擊者可以在效勞器和網(wǎng)絡(luò)上建立控制熟悉成功獲得網(wǎng)絡(luò)控制權(quán)的規(guī)那么、工具和手段審查典型的控制手段將有助于發(fā)現(xiàn)弱點(diǎn)和漏洞控制階段的目標(biāo)獲得root的權(quán)限創(chuàng)立額外帳號(hào)收集特定信息開(kāi)啟新的平安漏洞進(jìn)行端口重定向擦除滲透痕跡控制階段的目標(biāo)獲得root的權(quán)限Root權(quán)限是控制的前提，因?yàn)樗袡?quán)建立更多的帳號(hào)，操縱效勞和對(duì)系統(tǒng)持續(xù)進(jìn)行控制非法效勞和后門(mén)〔trapdoors〕允許攻擊者使用合法的帳號(hào)來(lái)升級(jí)訪問(wèn)權(quán)限控制階段的目標(biāo)創(chuàng)立額外帳號(hào)攻擊者在獲得root權(quán)限后創(chuàng)立額外的帳號(hào)使用批處理文件是創(chuàng)立額外帳號(hào)的一種手段審核這種控制手段的方法是查看那些沒(méi)有填寫(xiě)完整的用戶(hù)帳號(hào)控制階段的目標(biāo)獲得信息與入侵前期的掃描活動(dòng)比較類(lèi)似，但它實(shí)際上是入侵滲透的一局部信息獲取比偵查階段的更具有針對(duì)性，該信息只會(huì)導(dǎo)致重要的文件和信息的泄漏攻擊者獲得信息的一種方法是操縱遠(yuǎn)程用戶(hù)的Web瀏覽器控制階段的目標(biāo)審核UNIX文件系統(tǒng)UNIX文件系統(tǒng)的一個(gè)平安威脅是rootkitrootkit可以用各種各樣的偵查和記錄密碼的程序替代了合法的程序如ls，su和ps審核UNIX系統(tǒng)時(shí)，注意程序有無(wú)運(yùn)行異常的情況存在控制階段的目標(biāo)L0phtCrack工具L0phtCrack工具——進(jìn)行目錄攻擊和暴力攻擊十分有效的工具字典攻擊、暴力攻擊。

L0phtCrack工作方式：指定IP地址來(lái)攻擊WindowsNT系統(tǒng)對(duì)SAM數(shù)據(jù)庫(kù)文件進(jìn)行攻擊配置運(yùn)行L0pht的計(jì)算機(jī)嗅探到的密碼實(shí)驗(yàn)5-1：使用LC5破解Windows2000的SAM庫(kù)

在本試驗(yàn)中，我們將學(xué)習(xí)使用LC5來(lái)對(duì)本地系統(tǒng)的SAM庫(kù)進(jìn)行審核。控制階段的目標(biāo)UNIX系統(tǒng)密碼平安UNIX下的密碼文件通常存放于／etc／passwd下。／etc／passwd文件是冒號(hào)分隔的文本文件，例如：test：x：501：501：testuserJames：／home／test：／bin／bash用戶(hù)名：test；UID號(hào)是501；GID號(hào)是501；全名是testuserjames；宿主目錄是／home／test；和登錄shell是／bin／bash的用戶(hù)。

Password文件必須能夠被所有用戶(hù)讀取，但是不能被除root外的任何用戶(hù)寫(xiě)入，而且／etc目錄只能被root寫(xiě)入。控制階段的目標(biāo)映像密碼文件為了防止密碼文件的泄漏，UNIX系統(tǒng)采用了映像密碼〔shadowpassword〕技術(shù)。在/etc/passwd文件中存放密碼的位置只存放一個(gè)“x〞，而經(jīng)過(guò)加密的密碼存放于/etc/shadow文件中。為user用戶(hù)更改密碼，使用以下語(yǔ)法命令：host#passwduserPassword：[hidden]Re-type：[hidden]控制階段的目標(biāo)JohntheRipper和CrackJohntheRipper和Crack是在基于UNIX的操作系統(tǒng)上常見(jiàn)的暴力破解密碼的程序。JohntheRipper和Crack是最常見(jiàn)的從shadow和passwd文件中獲得密碼的程序。要使用L0pht和JohntheRipper來(lái)實(shí)施審核工作。

實(shí)驗(yàn)5-2：使用JohntheRipper破解Linux密碼在本試驗(yàn)中，我們將學(xué)習(xí)JohntheRipper的安裝、配置、它的用法及參數(shù)意義。控制階段的目標(biāo)信息重定向攻擊者控制系統(tǒng)后進(jìn)行程序和端口轉(zhuǎn)向。禁止FTP的效勞，然后把FTP的端口指向另一臺(tái)計(jì)算機(jī)。重定向SMTP端口，可以獲得所有使用SMTP來(lái)傳送E-mail帳號(hào)的電子商務(wù)效勞器的信息。控制階段的目標(biāo)創(chuàng)立新的訪問(wèn)點(diǎn)如果系統(tǒng)管理員關(guān)閉了系統(tǒng)默認(rèn)的一些訪問(wèn)點(diǎn)，那么黑客就會(huì)通過(guò)安裝后門(mén)的方法來(lái)開(kāi)啟另外的一些訪問(wèn)點(diǎn)。通常開(kāi)啟后門(mén)的方法在系統(tǒng)上安裝木馬程序?？刂齐A段的目標(biāo)自動(dòng)創(chuàng)立帳號(hào)和使用木馬黑客通常都是利用已有的帳號(hào)進(jìn)入系統(tǒng)的。使用方案任務(wù)來(lái)自動(dòng)創(chuàng)立帳號(hào)或更改用戶(hù)訪問(wèn)權(quán)限。cron和at來(lái)添加帳號(hào)或更改系統(tǒng)配置NetBus和BackOrifice2000后門(mén)程序控制階段的目標(biāo)去除入侵痕跡破壞系統(tǒng)日志是去除入侵痕跡的最好方法常見(jiàn)日志文件在Windows2000系統(tǒng)中日志文件防止刪除系統(tǒng)日志的最好方法是做好系統(tǒng)日志的備份，將日志存儲(chǔ)到遠(yuǎn)程系統(tǒng)上控制階段的目標(biāo)并發(fā)連接和端口重定向使用并發(fā)的Telnet或FTP會(huì)話(huà)來(lái)隱藏活動(dòng)痕跡。建立的連接鏈路越多，追蹤花費(fèi)的時(shí)間越多要正確的追蹤到使用端口重定向進(jìn)行連接的黑客是非常困難的控制方法系統(tǒng)的升級(jí)不可防止的會(huì)開(kāi)啟新的平安漏洞黑客不斷開(kāi)發(fā)出新的工具控制方法系統(tǒng)缺省設(shè)置缺省設(shè)置是指計(jì)算機(jī)軟硬件“Out-of-the-box〞的配置，便于廠商技術(shù)支持。攻擊者可以缺省攻擊設(shè)置來(lái)完全控制系統(tǒng)。改變?nèi)笔≡O(shè)置可以極大地增強(qiáng)操作系統(tǒng)的平安性?？刂品椒ê戏ㄐ冢刈o(hù)進(jìn)程和可裝載模塊

以下守護(hù)進(jìn)程可以被用來(lái)破壞操作系統(tǒng)的平安架構(gòu)：Windows2000運(yùn)行效勞UNIX運(yùn)行守護(hù)進(jìn)程N(yùn)ovell操作系統(tǒng)運(yùn)行可裝載的模塊控制方法非法效勞，守護(hù)進(jìn)程和可裝載模塊建立破壞平安的守護(hù)進(jìn)程捕獲密碼，通過(guò)郵件發(fā)送給遠(yuǎn)方攻擊者rootkits繞過(guò)平安帳號(hào)數(shù)據(jù)庫(kù)，進(jìn)而完全控制系統(tǒng)兩個(gè)經(jīng)典工具NetBus和BackOrifice絕大多數(shù)流行的反病毒程序都可以檢測(cè)出所有版本的NetBusNetBus的功能：運(yùn)行程序注銷(xiāo)用戶(hù)，強(qiáng)迫重啟系統(tǒng)控制Web瀏覽器，包括指向特定的URL對(duì)應(yīng)用程序進(jìn)行遠(yuǎn)程控制捕捉擊鍵記錄……

使用Telnet確定系統(tǒng)中是否有Netbus非法效勞存在控制方法BackOrifice和BackOrifice2000獲取系統(tǒng)信息收集用戶(hù)名和密碼和用戶(hù)緩存的密碼獲得文件的完全訪問(wèn)權(quán)限；寫(xiě)入注冊(cè)表的權(quán)限；列出可訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限；列出、建立和刪除網(wǎng)絡(luò)連接的權(quán)限；列出所有共享的資源和密碼；建立和刪除共享。實(shí)施端口和程序的重定向通過(guò)HTTP從瀏覽器上傳和下載文件控制方法擊鍵記錄器keyloggers作為一個(gè)應(yīng)用程序安裝在受害者的計(jì)算機(jī)上，并且在用戶(hù)完全不知情的前提下駐留在系統(tǒng)內(nèi)存中。收集用戶(hù)所有的擊鍵信息并將其保存在一個(gè)文件中，目的就是為了捕獲諸如用戶(hù)密碼之類(lèi)的機(jī)密數(shù)據(jù)。keyloggers獲得的數(shù)據(jù)將通過(guò)FTP、e-mail或是隱秘的共享傳遞給安裝keyloggers程序的人。滲透到其他系統(tǒng)

以滲透的系統(tǒng)為跳板繼續(xù)滲透其他的系統(tǒng)在20世紀(jì)70年美國(guó)聯(lián)邦政府制定了第一個(gè)平安標(biāo)準(zhǔn)——美國(guó)國(guó)防部彩虹系列(RainbowSeries)該系列標(biāo)準(zhǔn)幫助政府確定哪些網(wǎng)絡(luò)系統(tǒng)能夠平安的與政府網(wǎng)絡(luò)系統(tǒng)連接。最常被使用的是DepartmentofDefenseTrustedComputerSystemEvaluationCriteria，被成為“桔皮書(shū)(OrangeBook)〞。

“彩虹系列〞叢書(shū)：“彩虹系列〞叢書(shū)是信息系統(tǒng)平安事業(yè)的里程碑，對(duì)信息系統(tǒng)平安領(lǐng)域具有深遠(yuǎn)的影響。它不但建立了一個(gè)標(biāo)準(zhǔn)，更建立了一套體系。該叢書(shū)以美國(guó)國(guó)防部?可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)〔TCSEC〕?為核心，對(duì)評(píng)測(cè)標(biāo)準(zhǔn)進(jìn)行擴(kuò)充、提供了關(guān)鍵的背景知識(shí)、對(duì)關(guān)鍵的概念進(jìn)行深入解釋和分析，并且提出了具體的實(shí)現(xiàn)方法和措施。該叢書(shū)共三十多冊(cè)。控制階段的審核

審核人員應(yīng)熟練地運(yùn)用掃描程序，日志文件和其它工具。審核人員必須懂得什么是可疑的流量。審核人員和攻擊者最主要的不同點(diǎn)是審核人員從不真正進(jìn)入控制階段。

控制階段的審核報(bào)告潛在控制問(wèn)題的方法：列出通過(guò)自動(dòng)執(zhí)行的掃描程序(如NetRecon，ISSInternetScanner或eTrustIntrusionDetection)獲得的信息。產(chǎn)生流量記錄在日志中，記錄時(shí)間，用日志來(lái)證明你的活動(dòng)。顯示捕獲的報(bào)文，這些包包括端口，IP地址和其它信息。顯示你滲透的屏幕快照。

實(shí)驗(yàn)5-3：使用NetBUS進(jìn)行主機(jī)控制在本實(shí)驗(yàn)中，我們將利用NetBusl.7的界面所對(duì)應(yīng)的功能，在NetBus中遠(yuǎn)程控制目標(biāo)系統(tǒng)的文件系統(tǒng)。實(shí)驗(yàn)5-4：分析NetBus會(huì)話(huà)端口在本實(shí)驗(yàn)中，我們將學(xué)習(xí)如何分析NetBus會(huì)話(huà)端口，以進(jìn)一步學(xué)習(xí)掌握NetBus的控制原理。實(shí)驗(yàn)5-5：使用NetBus進(jìn)行遠(yuǎn)程控制在本實(shí)驗(yàn)中，我們將使用NetBus進(jìn)行遠(yuǎn)程控制。

第六單元

審核和日志分析學(xué)習(xí)目標(biāo)為用戶(hù)的活動(dòng)建立基線(xiàn)實(shí)施日志分析過(guò)濾Windows2000和Linux系統(tǒng)的日志審核用戶(hù)登錄、系統(tǒng)重啟和特殊資源的使用日志分析在審核過(guò)程中，需要投入大量的時(shí)間分析日志文件。日志分析為你提供了確定何時(shí)產(chǎn)生缺陷及如何產(chǎn)生缺陷的方法。注意把握日志記錄的分寸。建立基線(xiàn)建立基線(xiàn)是進(jìn)行日志分析的開(kāi)始?；€(xiàn)是網(wǎng)絡(luò)活動(dòng)的參考標(biāo)準(zhǔn)。在建立基線(xiàn)的過(guò)程中，應(yīng)根據(jù)用戶(hù)的活動(dòng)傾向?qū)θ罩具M(jìn)行檢查。

大多數(shù)公司網(wǎng)絡(luò)活動(dòng)最頻繁的時(shí)間段出現(xiàn)在清晨上班、午餐期間和下班時(shí)期，然而活動(dòng)圖樣會(huì)有所不同。

防火墻路由器日志在分析防火墻和路由器日志時(shí)，集中完成以下任務(wù)：識(shí)別源和目的端口找到源主機(jī)和目的主機(jī)跟蹤使用跡象協(xié)議的使用搜索可疑端口的連接操作系統(tǒng)日志UNIX系統(tǒng)日志Syslogd是記錄Linux和UNIX系統(tǒng)日志的效勞UNIX系統(tǒng)分析工具lastlastblastlog一些常見(jiàn)的日志如下access-logacet/pacct操作系統(tǒng)日志W(wǎng)indows2000系統(tǒng)日志W(wǎng)indows2000將它的日志分為以下四個(gè)類(lèi)別：

系統(tǒng)日志平安性日志應(yīng)用程序日志DNS效勞日志開(kāi)啟Windows2000的審核功能審核是Windows2000中本地平安策略的一局部，它是一個(gè)維護(hù)系統(tǒng)平安性的工具。通過(guò)審核，我們可以記錄以下信息：哪些用戶(hù)企圖登錄到系統(tǒng)中或從系統(tǒng)中注銷(xiāo)、登錄以及注銷(xiāo)的日期和時(shí)間，是否成功等哪些用戶(hù)對(duì)指定的文件、文件夾或打印機(jī)進(jìn)行哪種類(lèi)型的訪問(wèn)系統(tǒng)的平安選項(xiàng)進(jìn)行了哪些更改用戶(hù)帳戶(hù)進(jìn)行了哪些更改，是否增加或刪除了用戶(hù)等等根據(jù)監(jiān)控審核結(jié)果，可以將計(jì)算機(jī)資源的非法使用消除或減到最小通過(guò)查看審核信息，能夠及時(shí)發(fā)現(xiàn)系統(tǒng)存在的平安隱患，通過(guò)了解指定資源的使用情況來(lái)指定資源使用方案審核功能在管理工具中的本地平安策略工具進(jìn)行設(shè)置開(kāi)啟Windows2000的審核功能Windows2000系統(tǒng)的重要事件事件號(hào)描述529登錄失敗的事件編號(hào)(在安全日志中)6005WindowsNT/2000重新啟動(dòng)的事件編號(hào)(在系統(tǒng)日志中)6006系統(tǒng)正常關(guān)機(jī)的事件編號(hào)(在系統(tǒng)日志中)6007因?yàn)闄?quán)限不夠的不正常的關(guān)機(jī)請(qǐng)求(在系統(tǒng)日志中)6008“不正常關(guān)機(jī)”事件：當(dāng)Windows

NT/2000系統(tǒng)被不正常關(guān)機(jī)時(shí)，該操作被記錄下來(lái)。6009記錄工作系統(tǒng)的版本號(hào)，修建號(hào)，補(bǔ)丁號(hào)和系統(tǒng)處理器的相關(guān)信息。(在系統(tǒng)日志中)實(shí)驗(yàn)6-1：Windows2000系統(tǒng)登錄事件審核

在本實(shí)驗(yàn)中，我們將學(xué)習(xí)如何審核Windows2000系統(tǒng)中“失敗登錄〞事件。開(kāi)啟Windows2000的審核功能確定Windows2000系統(tǒng)的補(bǔ)丁等級(jí)可以使用事件查看器來(lái)確定在你系統(tǒng)中安裝的補(bǔ)丁使用winver工具，可以在“開(kāi)始—運(yùn)行〞中，輸入winver命令使用該工具開(kāi)啟Windows2000的審核功能確定Windows2000系統(tǒng)的啟動(dòng)時(shí)間使用uptime.exe工具快速確定系統(tǒng)啟動(dòng)了多長(zhǎng)時(shí)間獲得遠(yuǎn)程Windows系統(tǒng)的啟動(dòng)時(shí)間使用uptime/?命令可以獲得更多的關(guān)于uptime工具的使用說(shuō)明日志過(guò)濾

日志記錄文件會(huì)變得很大過(guò)大的日志記錄浪費(fèi)磁盤(pán)空間不易查找日志記錄對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)呐渲靡垣@得重要事件的日志日志過(guò)濾Windows2000系統(tǒng)日志過(guò)濾使用“篩選器〞進(jìn)行日志的過(guò)濾要非常謹(jǐn)慎地選擇過(guò)濾規(guī)那么符合你所設(shè)置的過(guò)濾規(guī)那么的事件才會(huì)被記錄，而其他不符合規(guī)那么的活動(dòng)都不會(huì)被記錄日志過(guò)濾Linux系統(tǒng)日志過(guò)濾使用不帶參數(shù)的last和lastlog命令會(huì)提供太多的信息，要帶參數(shù)使用

last-x：只顯示與系統(tǒng)關(guān)閉和重啟有關(guān)的事件last-a：將所有主機(jī)信息列在最后一列l(wèi)ast-d：顯示所有遠(yuǎn)程登錄信息……日志過(guò)濾可以合并命令last-ad將顯示遠(yuǎn)程登錄的IP和主機(jī)名將last命令與|grep結(jié)合起來(lái)縮小查找范圍例如，last–x∣grepWed∣grepftp將只顯示發(fā)生在星期三的有關(guān)FTP的事件。lastlog–tnumber_of_days：顯示指定天數(shù)內(nèi)的記錄。例如，lastlog–t2將列出最近兩天內(nèi)的登錄情況。lastlog–ulogin-name：顯示指定用戶(hù)的最后一次登錄記錄。日志過(guò)濾操作系統(tǒng)附件和第三方日志記錄工具操作系統(tǒng)附件：EnterpriseReportingServerWebTrendsforFirewallsandVPNs第三方日志記錄工具：SymantecIBM第三方日志記錄工具的優(yōu)缺點(diǎn)：黑客很難篡改日志記錄文件，而且對(duì)事件的反響速度很快缺點(diǎn)是需要額外費(fèi)用和人員培訓(xùn)實(shí)驗(yàn)6-2：使用eEyeRetina軟件獲得一份系統(tǒng)平安報(bào)告在本實(shí)驗(yàn)中，我們將學(xué)習(xí)如何使用eEyeRetina軟件來(lái)獲得一份系統(tǒng)審核報(bào)告。審核可疑活動(dòng)

“可疑的活動(dòng)〞一個(gè)用戶(hù)兩周以來(lái)每天半夜二點(diǎn)嘗試登錄系統(tǒng)，并且沒(méi)有登錄成功主效勞器每天早晨自動(dòng)地重新啟動(dòng)在一天中的特定時(shí)間段內(nèi)系統(tǒng)的性能突然下降仔細(xì)對(duì)以下現(xiàn)象進(jìn)行檢查：異常時(shí)段內(nèi)的合法活動(dòng)或任何不在基線(xiàn)范圍內(nèi)的用戶(hù)舉動(dòng)任何失敗其他類(lèi)型的日志

事件日志不僅僅包括路由器、防火墻和操作系統(tǒng)的日志，通常還包括以下一些日志記錄：入侵檢測(cè)系統(tǒng)日志連接〔包括語(yǔ)音郵件日志〕日志ISDN或幀中繼連接〔framerelay〕日志職員訪問(wèn)日志日志的存儲(chǔ)

有效地保護(hù)日志記錄不受破壞利用不同的機(jī)器存放日志將日志記錄刻成光碟保存使用磁盤(pán)備份設(shè)備審核對(duì)系統(tǒng)性能的影響

審核會(huì)對(duì)系統(tǒng)的性能造成一些影響。影響系統(tǒng)性能的因素包括以下幾個(gè)方面：網(wǎng)絡(luò)請(qǐng)求的數(shù)量，日志對(duì)這些請(qǐng)求的記錄會(huì)造成效勞器對(duì)請(qǐng)求的響應(yīng)變慢審核系統(tǒng)中需要審核的事件的數(shù)量硬盤(pán)的容量大小硬件總線(xiàn)接口的類(lèi)型〔SCSI/IDE〕CPU的工作頻率第七單元

審核結(jié)果學(xué)習(xí)目標(biāo)提供針對(duì)特殊網(wǎng)絡(luò)問(wèn)題的解決方案建立審核步驟平安策略的建議方法創(chuàng)立一份評(píng)估報(bào)告實(shí)施積極主動(dòng)的檢測(cè)效勞修復(fù)和“去除〞被損壞的系統(tǒng)實(shí)施本機(jī)審核安裝必要的操作系統(tǒng)平安附件，如單機(jī)版防火墻使用SSH替換Telnet、rlogin和rsh建立審核報(bào)告平安審核報(bào)告中應(yīng)包含以下元素：對(duì)現(xiàn)在的平安等級(jí)進(jìn)行總體評(píng)價(jià)對(duì)偶然的、有經(jīng)驗(yàn)的和專(zhuān)家級(jí)的黑客入侵系統(tǒng)分別做出時(shí)間上的估計(jì)簡(jiǎn)要總結(jié)出最重要的建議，并提供相應(yīng)的支撐材料詳細(xì)描述審核過(guò)程的步驟對(duì)各種網(wǎng)絡(luò)元素提出整改建議對(duì)物理平安提出建議對(duì)平安審核領(lǐng)域內(nèi)使用的術(shù)語(yǔ)進(jìn)行解釋詳細(xì)解釋系統(tǒng)可能出現(xiàn)的問(wèn)題的報(bào)告方法收集客戶(hù)意見(jiàn)在審核報(bào)告中我們要充分考慮客戶(hù)的意見(jiàn)審核報(bào)告的內(nèi)容與客戶(hù)進(jìn)行溝通制定詳細(xì)審核報(bào)告

依據(jù)審核的結(jié)果，以及相應(yīng)的審核標(biāo)準(zhǔn)并結(jié)合客戶(hù)的意見(jiàn)，制定詳細(xì)的審核報(bào)告。形成審核報(bào)告流程

推薦的審核方案三個(gè)角度來(lái)提出為了能夠有效地確定平安策略和實(shí)施情況的差距，建議采用一些特殊方法繼續(xù)進(jìn)行有效的審核抵御和去除病毒、蠕蟲(chóng)和木馬，修補(bǔ)系統(tǒng)漏洞建議完善和增強(qiáng)的內(nèi)容

網(wǎng)絡(luò)審核范圍

網(wǎng)絡(luò)審核范圍的改善建議

分類(lèi)改善防火墻保證防火墻安全規(guī)則的正確設(shè)置以及對(duì)DMZ區(qū)域內(nèi)有問(wèn)題的主機(jī)的有效監(jiān)控。入侵檢測(cè)升級(jí)入侵監(jiān)測(cè)系統(tǒng)規(guī)則,識(shí)別需要監(jiān)測(cè)的新內(nèi)容主機(jī)和個(gè)人安全實(shí)施用戶(hù)級(jí)別的加密,在終端上安裝“個(gè)人防火墻”來(lái)控制端口和減小風(fēng)險(xiǎn)強(qiáng)制策略安裝監(jiān)視軟件，如使用Axent的企業(yè)級(jí)安全管理系統(tǒng)對(duì)物理安全進(jìn)行有效的審核增強(qiáng)一致性

加強(qiáng)平安和持續(xù)審核的步驟：定義平安策略建立對(duì)特定任務(wù)負(fù)責(zé)的內(nèi)部團(tuán)隊(duì)對(duì)網(wǎng)絡(luò)資源進(jìn)行分類(lèi)為雇員建立平安指導(dǎo)確保終端和網(wǎng)絡(luò)系統(tǒng)的物理平安保障網(wǎng)絡(luò)主機(jī)的效勞和操作系統(tǒng)平安增強(qiáng)訪問(wèn)控制機(jī)制建立和維護(hù)系統(tǒng)確保網(wǎng)絡(luò)滿(mǎn)足商業(yè)目標(biāo)保持平安策略的一致性許多國(guó)際性的公司都要求符合這些需求平安審核和平安標(biāo)準(zhǔn)ISO7498-2國(guó)際標(biāo)準(zhǔn)組織〔ISO〕建立了7498系列標(biāo)準(zhǔn)來(lái)幫助網(wǎng)絡(luò)實(shí)施標(biāo)準(zhǔn)化7498-2描述了如何確保站點(diǎn)平安和實(shí)施有效的審核方案文件的標(biāo)題?InformationProcessingSystems，OpenSystemInterconnection，BasicReferenceModel,Part2：securityArchitecture?論述如何系統(tǒng)地實(shí)現(xiàn)網(wǎng)絡(luò)平安平安審核和平安標(biāo)準(zhǔn)英國(guó)標(biāo)準(zhǔn)BS7799文檔標(biāo)題?ACodeofPracticeForInformationSecurityManagement?論述了如何確保網(wǎng)絡(luò)系統(tǒng)平安BS7799系列與ISO9000系列的文檔有關(guān)，這些標(biāo)準(zhǔn)保證了公司之間平安的協(xié)作實(shí)施信息平安管理系統(tǒng)〔ISMS〕的目的是確保公司使用的信息盡可能的平安完善ISMS時(shí)，應(yīng)遵循以下步驟：定義平安策略為目標(biāo)信息平安管理系統(tǒng)〔ISMS〕定義范圍風(fēng)險(xiǎn)評(píng)估對(duì)的風(fēng)險(xiǎn)進(jìn)行排序和管理平安審核和平安標(biāo)準(zhǔn)CommonCriteria〔CC〕公共標(biāo)準(zhǔn)〔CommonCriteria〕提供了有助于你選擇和開(kāi)展網(wǎng)絡(luò)平安解決方案的全球統(tǒng)一標(biāo)準(zhǔn)。CC的目的是統(tǒng)一ITSEC和TCSEC，但它們還是用來(lái)取代“OrangeBook〞標(biāo)準(zhǔn)CommonCriteria被稱(chēng)為ISO國(guó)際標(biāo)準(zhǔn)15408〔IS15408〕，CommonCriteria2.1等同于IS15408平安審核和平安標(biāo)準(zhǔn)CC文件由三個(gè)局部組成Evaluationassurancelevels〔EAL〕提供了描述和預(yù)測(cè)特別的操作系統(tǒng)和網(wǎng)絡(luò)的平安行為的通用方法等級(jí)數(shù)越高，那么要求得越嚴(yán)格EAL1需要由TOE廠商做出聲明的證明，EAL7需要核實(shí)和記錄下實(shí)施過(guò)程的每一個(gè)步驟EAL1只要求檢查產(chǎn)品的文件，而EAL7要求對(duì)系統(tǒng)進(jìn)行完全的記錄完整的獨(dú)立的分析EAL1需要產(chǎn)品至少聲明能夠提供對(duì)攻擊的有效防范；而EAL7需要操作系統(tǒng)能夠抵御復(fù)雜的破壞數(shù)據(jù)機(jī)密性和拒絕效勞式的攻擊

平安審核人員有關(guān)的概念和術(shù)語(yǔ)術(shù)語(yǔ)描述ProtectionProfile（PP）需要的網(wǎng)絡(luò)服務(wù)和元素的詳細(xì)列表，包括安全目標(biāo)。SecurityObjectives列出如何提出特別的弱點(diǎn)的書(shū)面敘述，這是一種總體的陳述。SecurityTarget（ST）由生產(chǎn)廠商提供的描述安全工具的用處的一組聲明，與安全目標(biāo)和安全需求不同。TargetofEvaluation(TOE)將要審核的某個(gè)操作系統(tǒng)，網(wǎng)絡(luò)，分布式的程序或軟件。Packages任何允許IT專(zhuān)家達(dá)到安全目標(biāo)和要求的可以重復(fù)使用的內(nèi)容。EvaluationAssuranceLevel(EAL)七個(gè)事先定義好的packages，用來(lái)幫助IT專(zhuān)家評(píng)價(jià)規(guī)劃的和已經(jīng)存在的網(wǎng)絡(luò)和系統(tǒng)。

EAL的七個(gè)類(lèi)別

類(lèi)別描述1功能上的測(cè)試：分析產(chǎn)品的聲明，和實(shí)施TOE的基本測(cè)試。2結(jié)構(gòu)上的測(cè)試：需要選擇TOE的重要元素來(lái)經(jīng)受具有權(quán)威資格的測(cè)試，例如程序開(kāi)發(fā)者。3系統(tǒng)的測(cè)試和檢查：進(jìn)行測(cè)試的要求非常嚴(yán)格，在有限的基礎(chǔ)上，操作系統(tǒng)的所有元素都必須獨(dú)立地檢驗(yàn)。4系統(tǒng)地設(shè)計(jì)，測(cè)試和回顧：這一級(jí)別的保證是允許已經(jīng)完成的程序和以前實(shí)施的系統(tǒng)進(jìn)行更改的最高保證。這一級(jí)別還需要操作系統(tǒng)通過(guò)抵御低級(jí)別的攻擊的測(cè)試。5半正式的設(shè)計(jì)和測(cè)試：操作系統(tǒng)必須可以經(jīng)受適度的，比較復(fù)雜的攻擊。6半正式地驗(yàn)證設(shè)計(jì)和測(cè)試：與EAL5相同，但是需要第三方的TOE設(shè)計(jì)核實(shí)。7操作系統(tǒng)必須經(jīng)完整地回顧和被證明能夠抵御靈活的攻擊。增強(qiáng)路由器平安增強(qiáng)路由器平安的一般方法包括：嚴(yán)格控制路由器的物理訪問(wèn)權(quán)限及時(shí)獲取最新的操作系統(tǒng)〔包括NT系統(tǒng)做路由和專(zhuān)門(mén)的路由器操作系統(tǒng)，例如CiscoIOS〕確保路由器不受拒絕效勞攻擊的影響確保不讓路由器在不知情的情況下成為拒絕效勞攻擊的幫兇

確保路由器不受拒絕效勞攻擊過(guò)程描述入口和出口過(guò)濾配置你的路由器只對(duì)那些具有合法的內(nèi)部IP地址的數(shù)據(jù)包進(jìn)行路由。你的路由器應(yīng)當(dāng)丟棄任何不具有合法的內(nèi)部IP地址的包。這些設(shè)置有助于網(wǎng)絡(luò)不成為發(fā)送虛假I(mǎi)P包的源頭。要獲得更多的信息請(qǐng)查看InternetDraftietf-grip-isp-07（ISP的安全展望）禁止廣播過(guò)濾許多拒絕服務(wù)攻擊，包括Smurf攻擊，都是攻擊者利用路由器在配置上允許直接廣播的漏洞。最簡(jiǎn)單的確定路由器是否配置成回應(yīng)這些地址的方法是ping該網(wǎng)絡(luò)地址（例如）或該網(wǎng)絡(luò)廣播地址（例如55）

入口和出口過(guò)濾中應(yīng)當(dāng)考慮的IP地址分類(lèi)地址HistoricalLowEndBroadcast/8Limitedbroadcast55/32RFC1918私有網(wǎng)絡(luò)/8RFC1918私有網(wǎng)絡(luò)/12RFC1918私有網(wǎng)絡(luò)/16本機(jī)回環(huán)地址/8連接本地網(wǎng)絡(luò)/16D類(lèi)地址/4E類(lèi)保留地址/5未分配地址/5實(shí)施主動(dòng)檢測(cè)

主動(dòng)檢測(cè)是指使用黑客的策略和手法來(lái)對(duì)付黑客，而不是簡(jiǎn)單地停止攻擊一個(gè)有效的檢測(cè)策略通常包括審核實(shí)施主動(dòng)檢測(cè)掃描檢測(cè)、蜜罐和網(wǎng)絡(luò)陷阱用于還擊的系統(tǒng)通常包括建立一臺(tái)效勞器作為目標(biāo)，同時(shí)也還可以包括以下內(nèi)容：混雜模式掃描虛假的數(shù)據(jù)庫(kù)虛假的帳號(hào)文件虛擬文件虛假的管理員帳號(hào)自動(dòng)將攻擊者引入虛擬網(wǎng)絡(luò)中的防火墻配置報(bào)警或懲罰黑客行為的Tripwire帳號(hào)物理線(xiàn)路追蹤〔試圖確定黑客使用的端口或線(xiàn)路〕數(shù)據(jù)包追蹤〔試圖了解包的起源〕實(shí)施主動(dòng)檢測(cè)檢測(cè)工作在混雜模式的網(wǎng)卡檢測(cè)網(wǎng)卡是否工作于混雜模式：檢測(cè)網(wǎng)卡電子方面的變化來(lái)確定網(wǎng)卡的工作模式發(fā)送各種包〔ARP請(qǐng)求，ICMP包，DNS請(qǐng)求，TCPSYNfloods，等等〕將錯(cuò)誤的ICMP請(qǐng)求包含在無(wú)效的以太網(wǎng)地址里，所有沒(méi)有工作在混雜模式的系統(tǒng)將忽略這些請(qǐng)求，而那些回復(fù)錯(cuò)誤的ICMP請(qǐng)求的主機(jī)將有可能出于混雜模式主機(jī)審核解決方案在對(duì)主機(jī)進(jìn)行審核時(shí)，針對(duì)不同的商業(yè)目的需要提供不同的解決方案。實(shí)施本機(jī)審核安裝監(jiān)視軟件去除安裝工作中的臨時(shí)文件修復(fù)和清理被損壞的系統(tǒng)替代效勞安裝操作系統(tǒng)附件主機(jī)審核解決方案去除“感染〞使用TCP/IP排錯(cuò)工具，例如netstat系列命令使用Telnet命令對(duì)疑心的端口進(jìn)行連接測(cè)試運(yùn)行反病毒程序和升級(jí)病毒庫(kù)實(shí)驗(yàn)7-1：修復(fù)被NetBus感染的系統(tǒng)在本實(shí)驗(yàn)中，你將學(xué)會(huì)從系統(tǒng)中去除NetBus的方法。主機(jī)審核解決方案?jìng)€(gè)人防火墻軟件可以提供以下四個(gè)主要功能：端口阻塞連接追蹤，鎖定特殊的IP地址報(bào)警提示信息電子郵件掃描主機(jī)審核解決方案流行的個(gè)人防火墻軟件包括：Netwo