文档介绍:网络安全建设
中国教育和科研计算机网应急响应组CCERT
清华大学信息网络工程研究中心
张千里
编辑ppt
目录
网络安全简介
垃圾邮件的预防
如何防止扫描和DOS攻击
系统安全管理和入侵的防范
网络安全常用工具
CCERP mail
编辑ppt
配置Exchange关闭转发(二)
填入所服务的域
点击Routing Restrictions
编辑ppt
如何防止DOS和扫描
扫描简介
拒绝服务攻击简介
分布式拒绝服务攻击
DOS和扫描的防范
攻击取证和报告
编辑ppt
扫描简介
缺陷扫描
目的是发现可用的缺陷
Satan、SSCAN
Nmap -O
服务扫描
目的是为了发现可用的服务
WWW scan
ftp scan
Proxy scan
编辑ppt
拒绝服务攻击简介
洪水式DOS攻击
SYN flood
Smurf
利用系统或路由器缺陷DoS 攻击
Windows: IGMP fragmentation, OOB…
Linux: teardrop
Solaris: ping of death
分布式拒绝服务攻击
往往既利用系统或者路由器的缺陷产生大规模的洪水式攻击
两方面的危害:被攻击者和被利用者
编辑ppt
分布式拒绝服务(DDOS)
以破坏系统或网络的可用性为目标
常用的工具:
Trin00
TFN/TFN2K
Stacheldraht
很难防范
伪造源地址,流量加密,因此很难跟踪
client
target
handler
...
agent
...
DoS
ICMP Flood / SYN Flood / UDP Flood
编辑ppt
DOS和扫描的防范(一)�路由器
访问控制链表
基于源地址/目标地址/协议端口号
路径的完整性
防止IP假冒和拒绝服务(Anti-spoofing/DDOS)
检查源地址: ip verify unicast reverse-path
过滤RFC1918 地址空间的所有IP包;
路由协议的过滤与认证
Flood 管理—利用QoS的特征防止Flood
interface xyz
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
编辑ppt
DOS和扫描的防范(二)�入侵检测和防火墙
入侵检测工具
了解情况
提供报告依据
指导应对政策
防火墙
建立访问控制
个人防火墙
编辑ppt
攻击取证和报告
系统取证
Syslog系统日志
Netstat连接情况
CPU、Mem使用情况
网络取证
Tcpdump
路由器、防火墙纪录
入侵检测系统
报告责任方
对方CERT或本辖区CERT
对方责任人whois
编辑ppt
系统安全管理和入侵防范
Windows系统安全管理
UNIX系统安全管理
路由器安全管理
如何检验入侵
蠕虫的危害及防范
编辑ppt
Windows安全管理(一)
操作系统更新政策
安装最新版本的补丁Service Pack;
安装相应版本所有的 hotfixes
跟踪最新的SP 和 hotfix
病毒防范
安装防病毒软件,及时更新特征库
政策与用户的教育:如何处理邮件附件、如何使用下载软件等
账号和口令管理
口令安全策略:有效期、最小长度、字符选择
账号登录失败n次锁定
关闭缺省账号,guest, Administrator
编辑ppt
Windows安全管理(二)
Windows服务管理
Terminal Server
中文输入法缺陷
网络共享
Nimda等一些蠕虫和和病毒
IIS
UNICODE (nimda、Code Blue…)
Index Service ( CR I、CR II)
编辑ppt
Windows安全管理(三)
操作系统更新
局域网防火墙
配置防火墙/路由器,封锁不必要的端口:TCP port 135, 137, 139 and UDP port 138.
基于主机的访问控制
Windows 2000自带
个人防火墙
编辑ppt
Unix安全管理(一)
相应版本的所有补丁
账号与口令
关闭缺省账号和口令:lp, shutdown等
shadow passwd
用crack /john等***工具猜测口令
(配置一次性口令)
网络服务的配置: /etc/in