服務(wù)器安全需要了解的123.ppt

1、服務(wù)器安全需要了解的123,1.DNS 系統(tǒng)漏洞被泄露，小心被攻擊 2.保護(hù)Win2003網(wǎng)絡(luò)服務(wù)器安全 3.網(wǎng)絡(luò)安全檢測(cè)思路與技巧,1.DNS 系統(tǒng)漏洞被泄露，小心被攻擊,盡管 Dan Kaminsky 努力掩蓋他所發(fā)現(xiàn)的 DNS 嚴(yán)重漏洞的細(xì)節(jié)，Matasano 安全公司的一個(gè)員工還是在他的博客上泄露了這些資料，雖然文章被立即刪除，但已經(jīng)有人拿到了這些資料，并發(fā)表在別的地方。Kaminsky 在他的博客上發(fā)表了一個(gè)緊急消息，趕快打補(bǔ)丁，別睡覺(jué)，使用 OpenDNS. HD Moore，Metasploit 的作者說(shuō)，黑客們正在加緊制作攻擊工具，今天的晚些時(shí)候會(huì)有攻擊出現(xiàn)。本月初，IOAct

2、ive 的 Kaminsky 公布了 DNS 系統(tǒng)的一個(gè)非常嚴(yán)重的漏洞，該漏洞會(huì)導(dǎo)致攻擊者輕松地偽造任何網(wǎng)站，銀行網(wǎng)站，Google，Gmail 以及其它 Web 郵件網(wǎng)站。,Kaminsky 是在同多個(gè) DNS 系統(tǒng)商共同開(kāi)發(fā)安全補(bǔ)丁的時(shí)候發(fā)現(xiàn)了這個(gè)漏洞。Kaminsky 在記者會(huì)宣布了這個(gè)由多家廠商共同開(kāi)發(fā)的 DNS 補(bǔ)丁，并呼吁 DNS 服務(wù)器所有者立即更新他們的系統(tǒng)。 但 Kaminsky 在宣布這個(gè)漏洞的時(shí)候，沒(méi)有透露相關(guān)技術(shù)細(xì)節(jié)，以便 DNS 系統(tǒng)管理員知道其嚴(yán)重性，Kaminsky 承諾會(huì)在下月的 Las Vegas 黑帽安全大會(huì)上透露漏洞細(xì)節(jié)，在這之前，他給 DNS 系統(tǒng)管理員

3、預(yù)留了一個(gè)月的時(shí)間升級(jí)系統(tǒng)。Kaminsky 同時(shí)懇求那些安全專(zhuān)家不要試圖猜測(cè)漏洞的細(xì)節(jié)，但很多人將他的懇求當(dāng)作一個(gè)挑戰(zhàn)。,德國(guó)的安全專(zhuān)家 Halvar Flake 最先發(fā)表了漏洞細(xì)節(jié)，Kaminsky 曾被要求私下里公布細(xì)節(jié)，幫助那些系統(tǒng)管理員升級(jí)系統(tǒng)，同時(shí)，一些系統(tǒng)管理員以及安全專(zhuān)家指責(zé) Kaminsky 是在拿那些過(guò)去的眾所周知的 DNS 漏洞炒作。 Matasano 的創(chuàng)始人Thomas Ptacek 也曾置疑過(guò) Kaminsky 的發(fā)現(xiàn)，然而當(dāng) Kaminsky 私下里向他透露過(guò)漏洞細(xì)節(jié)之后便不再出聲。Ptacek 并沒(méi)有參與漏洞細(xì)節(jié)的公布，但作為 Matasano 的創(chuàng)始人，他仍然

4、發(fā)表了一個(gè)聲明為這件事道歉。,Kaminsky 發(fā)現(xiàn)的 DNS 漏洞會(huì)讓黑客在 10 秒之內(nèi)發(fā)起一個(gè)“緩存毒藥攻擊”，使 DNS 服務(wù)器將用戶(hù)引導(dǎo)到惡意網(wǎng)站。Kaminsky 說(shuō)，這是一個(gè)非常嚴(yán)重的 Bug，會(huì)影響到任何網(wǎng)站，Kaminsky 不打算向 Matasano 追究到底細(xì)節(jié)到底是如何泄露的，但呼吁人們立即升級(jí) DNS 系統(tǒng)。,2.保護(hù)Win2003網(wǎng)絡(luò)服務(wù)器安全,一、Windows Server2003的安裝 1、安裝系統(tǒng)最少兩需要個(gè)分區(qū)，分區(qū)格式都采用NTFS格式 2、在斷開(kāi)網(wǎng)絡(luò)的情況安裝好2003系統(tǒng) 3、安裝IIS，僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP

5、 服務(wù))。默認(rèn)情況下，IIS服務(wù)沒(méi)有安裝，在添加/刪除Win組件中選擇“應(yīng)用程序服務(wù)器”，然后點(diǎn)擊“詳細(xì)信息”，雙擊Internet信息服務(wù)(iis)，勾選以下選項(xiàng)： Internet 信息服務(wù)管理器； 公用文件； 后臺(tái)智能傳輸服務(wù) (BITS) 服務(wù)器擴(kuò)展； 萬(wàn)維網(wǎng)服務(wù)。 如果你使用 FrontPage 擴(kuò)展的 Web 站點(diǎn)再勾選：FrontPage 2002 Server Extensions 4、安裝MSSQL及其它所需要的軟件然后進(jìn)行Update。 5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析計(jì)算機(jī)的

6、安全配置，并標(biāo)識(shí)缺少的修補(bǔ)程序和更新。下載地址：見(jiàn)頁(yè)末的鏈接,二、設(shè)置和管理賬戶(hù),1、系統(tǒng)管理員賬戶(hù)最好少建，更改默認(rèn)的管理員帳戶(hù)名(Administrator)和描述，密碼最好采用數(shù)字加大小寫(xiě)字母加數(shù)字的上檔鍵組合，長(zhǎng)度最好不少于14位。 2、新建一個(gè)名為Administrator的陷阱帳號(hào)，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼 3、將Guest賬戶(hù)禁用并更改名稱(chēng)和描述，然后輸入一個(gè)復(fù)雜的密碼，當(dāng)然現(xiàn)在也有一個(gè)DelGuest的工具，也許你也可以利用它來(lái)刪除Guest賬戶(hù)，但我沒(méi)有試過(guò)。 4、在運(yùn)行中輸入gpedit.msc回車(chē)，打開(kāi)組策略編輯器，選擇計(jì)算機(jī)配置-Wi

7、ndows設(shè)置-安全設(shè)置-賬戶(hù)策略-賬戶(hù)鎖定策略，將賬戶(hù)設(shè)為“三次 5、在安全設(shè)置-本地策略-安全選項(xiàng)中將“不顯示上次的用戶(hù)名”設(shè)為啟用 6、在安全設(shè)置-本地策略-用戶(hù)權(quán)利分配中將“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”中只保留Internet來(lái)賓賬戶(hù)、啟動(dòng)IIS進(jìn)程賬戶(hù)。如果你使用了A還要保留Aspnet賬戶(hù)。 7、創(chuàng)建一個(gè)User賬戶(hù)，運(yùn)行系統(tǒng)，如果要運(yùn)行特權(quán)命令使用Runas命令。,三、網(wǎng)絡(luò)服務(wù)安全管理,1、禁止C$、D$、ADMIN$一類(lèi)的缺省共享 打開(kāi)注冊(cè)表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，

8、在右邊的窗口中新建Dword值，名稱(chēng)設(shè)為AutoShareServer值設(shè)為0 2、 解除NetBios與TCP/IP協(xié)議的綁定 右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級(jí)-Wins-禁用TCP/IP上的NETBIOS 3、關(guān)閉不需要的服務(wù)，以下為建議選項(xiàng) Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新，禁用 Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用 Error reporting service：禁止發(fā)送錯(cuò)誤報(bào)告 Mic

9、rosoft Serch：提供快速的單詞搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用PrintSpooler：如果沒(méi)有打印機(jī)可禁用 Remote Registry：禁止遠(yuǎn)程修改注冊(cè)表 Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助,四、打開(kāi)相應(yīng)的審核策略,在運(yùn)行中輸入gpedit.msc回車(chē)，打開(kāi)組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項(xiàng)目時(shí)需要注意的是如果審核的項(xiàng)目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如

10、果審核的太少也會(huì)影響你發(fā)現(xiàn)嚴(yán)重的事件，你需要根據(jù)情況在這二者之間做出選擇。 推薦的要審核的項(xiàng)目是： 登錄事件 成功 失敗 賬戶(hù)登錄事件 成功 失敗 系統(tǒng)事件 成功 失敗 策略更改 成功 失敗 對(duì)象訪問(wèn) 失敗 目錄服務(wù)訪問(wèn) 失敗 特權(quán)使用 失敗next,五、其它安全相關(guān)設(shè)置,1、隱藏重要文件/目錄 可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠標(biāo)右擊“CheckedValue”，選擇修改，把數(shù)值由1改為0 2、啟動(dòng)系統(tǒng)自帶

11、的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。 3、防止SYN洪水攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為SynAttackProtect，值為2 4. 禁止響應(yīng)ICMP路由通告報(bào)文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters Interfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0 5. 防止ICMP重定向報(bào)文的攻擊

12、,3.網(wǎng)絡(luò)安全檢測(cè)思路與技巧,對(duì)于主機(jī)的安全檢測(cè)，我們通常直接采用nmap或者類(lèi)似軟件進(jìn)行掃描，然后針對(duì)主機(jī)操作系統(tǒng)及其開(kāi)放端口判斷主機(jī)的安全程度，這當(dāng)然是一種方法，但這種方法往往失之粗糙，我仔細(xì)考慮了一下，覺(jué)得按下面的流程進(jìn)行判別是比較完整的。 1、通過(guò)DNS查詢(xún)得到目標(biāo)的網(wǎng)絡(luò)拓?fù)浠厩闆r，比如有幾臺(tái)主機(jī)，各自起的服務(wù)是什么等等。這是必要的步驟因?yàn)槲覀儥z測(cè)應(yīng)該針對(duì)網(wǎng)絡(luò)，而不是單一主機(jī)。,2、用nmap進(jìn)行端口掃描，判斷操作系統(tǒng)，結(jié)合自己的一些經(jīng)驗(yàn)，必要的時(shí)候抓banner，判斷出目標(biāo)主機(jī)的操作系統(tǒng)類(lèi)型。 3、用nessus進(jìn)行普通漏洞的掃描,得到一個(gè)大致的報(bào)告。對(duì)報(bào)告進(jìn)行分析。nessus的

13、報(bào)告有些地方并不準(zhǔn)確，而且有漏掃或誤報(bào)的情況，比如嚴(yán)重的unicode漏洞機(jī)器明明有,它卻會(huì)掃不到，對(duì)這種情況我們必須有人工的判斷。,4、cgi漏洞也必須有專(zhuān)門(mén)的掃描器進(jìn)行，可以結(jié)合whisker或者twwwscan或者xscan，自己判斷需要增加哪些危險(xiǎn)cgi的檢測(cè)。 上面只是最簡(jiǎn)單的，任何一個(gè)初學(xué)電腦的人可能都能夠較好完成的工作流程，但是如果在上面的各種掃描方式得到的信息無(wú)法分析出目標(biāo)操作系統(tǒng)的情況甚至系統(tǒng)類(lèi)型的時(shí)候，應(yīng)該怎么辦呢？這種事情現(xiàn)在經(jīng)常遇到，因?yàn)榇蠖鄶?shù)防火墻或者入侵檢測(cè)系統(tǒng)現(xiàn)在都具備了動(dòng)態(tài)地將tcp/ip協(xié)議棧如TTL、TOS、DF、滑動(dòng)窗口大小等修改或者屏蔽，使掃描工具無(wú)法得

14、出正確結(jié)果的功能?；ヂ?lián)網(wǎng)上也有許多免費(fèi)工具可以達(dá)到這一效果。,因此下面要談到其它檢查方式,1、在有防火墻的情況下：建議可以使用如hping、firewalk之類(lèi)的工具，更加靈活地探測(cè)目標(biāo)主機(jī)的情況，根據(jù)數(shù)據(jù)包的返回做更進(jìn)一步的判斷。這需要操作者掌握TCP/IP基本知識(shí)，并能靈活運(yùn)用判斷。 2、對(duì)主頁(yè)程序的檢測(cè)，雖然我們只能在外面做些基本的輸入驗(yàn)證檢測(cè)。但按照現(xiàn)在常見(jiàn)的web錯(cuò)誤，我們可以從下面幾個(gè)方面著手分析： a、特殊字符的過(guò)濾: &;*?()$nr 這些字符由于在不同的系統(tǒng)或運(yùn)行環(huán)境中會(huì)具有特殊意義，如變量定義/賦值/取值、非顯示字符、運(yùn)行外部程序等，而被列為危險(xiǎn)字符但在許多編程語(yǔ)言、開(kāi)發(fā)軟件工具、數(shù)據(jù)庫(kù)甚至操作系統(tǒng)中遺漏其中某些特殊字符的情況時(shí)常出現(xiàn)，從而導(dǎo)致出現(xiàn)帶有普遍性的安全問(wèn)題。當(dāng)有需要web用戶(hù)輸入的時(shí)候，根據(jù)不同的數(shù)據(jù)庫(kù)系統(tǒng)、編程語(yǔ)言提交帶不同參數(shù)變量的url，很可能造成服務(wù)器端資料泄露甚至可執(zhí)行系統(tǒng)命令。,b、WEB服務(wù)器的錯(cuò)誤編碼或解碼可能會(huì)導(dǎo)致服務(wù)器信息的泄露、可執(zhí)行命令、源代碼泄露等錯(cuò)誤。比較典型的應(yīng)該是unicode漏洞