2015中国电信网络通信安全管理员技能鉴定考试-操作复习

安全的影响因素：人、硬件、软件

网络安全要求和目标:

•可靠性–网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。

•可用性–网络信息可被授权实体访问并按需求使用的特性。

•保密性–网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。

•完整性–网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

•不可抵赖性–网络信息系统的信息交互过程中,确信参与者的真实同一性。

•可控性–可控性是对网络信息的传播及内容具有控制能力的特性。

什么是渗透测试？渗透测试是受信任的第三方进行的一种评估网络安全的活动,它通过对企业网络进行各种手段的攻击来找出系统存在的漏洞,从而给出网络系统存在安全风险的一种实践活动。通过模拟现实的网络攻击,渗透测试证实恶意攻击者有可能获取或破坏企业的数据资产。

渗透测试与黑客入侵的区别：渗透测试为模拟黑客攻击测试,但两者也有区别,渗透测试是“面”的测试,黑客攻击是“深度”测试。前者讲究广泛度,后者讲究破坏性。

渗透测试必要性:

1、发现企业的安全缺陷,协助企业有效的了解目前降低风险的初始任务。

2、一份齐全有效的测试报告可以协助IT管理者了解目前的安全现状,增强信息安全的认知度,提高安全意识。

3、信息安全是一个整体工程,渗透测试有助于组织中所有成员安全意识加强,有助于内部安全提升。

渗透测试方法分类:

1、黑盒测试(Black-box):渗透测试人员不具备公司网络的任何信息。

2、白盒测试(White-box):渗透测试人员已经具备内部网络完整信息。

3、灰盒测试(Gray-box):测试人员模拟内部雇员,有一个内部网络的账户,并拥有了访问网络的标准方法。

渗透测试的五个阶段:

1、侦察:收集目标网络信息的最初阶段;

2、扫描:查询活动系统,抓取网络共享、用户、用户组及特定应用程序信息;

3、获取访问:实际渗透过程;

4、维持访问:系统口令截获及破解,后门程序放置到目标系统中,方便以后使用;

5、擦除日志:删除日志文件、系统后门、提权工具等,恢复渗透之前的系统状态。

DDOS之虚假源地址攻击

特点:

1. 攻击隐蔽性:由于攻击报文中没有包含攻击者的真实地址,黑客可以有效的躲避追查。

2. 攻击便宜性:黑客只需利用少数甚至单台服务器,就可以伪造出数以百万计的攻击IP地址,达到大规模DDoS 攻击的效果。由于攻击IP的数量巨大且为随机构造,导致针对攻击源IP的防护手段失去效果。

3. 攻击流量巨大:黑客利用少数放置在IDC机房的肉鸡服务器,利用IDC高带宽资源,发动大流量的DDoS攻击。

4.攻击可控性:发起DDoS攻击的服务器大多是黑客自己的服务器或者租用IDC机房服务器,完全受黑客控制,黑客可以随时根据被攻击目标的防护手段变换攻击方式以及攻击流量。

DDOS之虚假源地址攻击，整治策略:根本是使虚假源地址流量在源头无法发出。目前主要采用的防范策略包括URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)和ACL(Access Control List,访问控制列表) DDOS之虚假源地址攻击URPF:

1.URPF通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的记录。

2.若报文的源地址在转发表中:

•对于严格型检查,反向查找(以报文源地址为目的地址查找)报文出接口,若至少有一个出接口和报文入接口相匹配,则报文通过检查;否则被拒绝;

•对于松散型检查,报文被正常转发。

3.若报文的源地址不在转发表中,则检查缺省路由和URPF的allow-default-route参数。

URPF的优点:可以有效阻断该路由器网内发出的虚假源地址流量;可以自适应路由表的变化,不需要人工维护。URPF的缺点:需要设备支持;对于骨干路由器,严格型的URPF可能影响正常业务。

ACL的优点:配置更灵活,也无需设备支持。

ACL的缺点:因为根据内网地址进行配置,一旦网络发生变化,需及时调整指令列表,维护压力较大。

DOS之smurf攻击：攻击者使用广播地址发送大量的欺骗icmpecho请求,如果路由器执行了三层广播到二层广播转换(定向广播),那么,同一ip网段的大量主机会向该欺骗地址发送icmp echo 应答,导致某一主机(具有欺骗地址)收到大量的流量,从而导致了DoS攻击。

ARP攻击原理：伪造IP地址和MAC地址进行ARP欺骗,在局域网络中产生大量的ARP通信量使

网络阻塞。如果持续不断的发出伪造的ARP响应包,则能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

ARP攻击之中间人攻击：攻击者向目标主机和网关同时主动发起ARP回应,告诉对方自己是对方的目标MAC,从而让被欺骗主机和网关发送给对方的数据都在攻击主机处进行一个跳转,使其完成窃取信息的目的。

ARP攻击之中断攻击：攻击着向被攻击主机主动发起ARP回应,告知对方错误的网关MAC,从而让对方的数据发往错误甚至是不存在的MAC地址处,从而造成网络中断。如果同时对网络中的所有主机进行攻击,则会导致整个局域网全部断网。

TCP syn flood攻击：攻击者使用虚假地址在短时间内向目标主机发送大量的tcp syn连接请求,目标主机无法完成tcp三次握手,导致目标主机的连接队列被充满,最终造成目标主机拒绝为合法用户提供tcp服务。

破解无线接入口令：WEP口令破解、WPA/WPA2口令破解、PIN码破解（穷举PIN码、计算某些存在缺陷的设备的PIN码）、认证绕过方式（3A+portal认证绕过、设备登录认证绕过）

加固之DOS攻击

•在路由器和防火墙部署防ip源地址欺骗

•在路由器和防火墙启用防御DoS安全特性（路由器tcp拦截、常用ACL策略、防火墙tcp连接监控）

•部署网络和主机IDS/IPS检测和防御DoS攻击

加固之smurf攻击：关闭路由器或三层交换机的定向广播功能。

加固之ARP攻击：终端和网关双绑定、安装使用ARP防火墙、划分VLAN和交换机端口绑定

加固之无线安全•关闭DHCP服务–在无线网络中,很多情况下,开启了DHCP服务,任何用户均可以获取到合法的IP地址。关闭DHCP服务,设置本网段的IP地址为非常用IP段,这样可以让非法接入的无线用户无法获取到正确的IP地址,从而无法正常使用网络资源。

•隐藏服务集标识符(SSID)–如果配置AP向外广播其SSID,则所有客户端均可以搜寻到该接入点。通过对无线接入点AP(AccessPoint)设置隐藏SSID,并要求接入方设置正确的SSID才能连接无线网络,此时可以认为SSID 是一个简单的口令,从而提供一定的安全。

•修改默认SSID或设置中文SSID–在无线网络中,很多情况下,无线网络管理员开启无线网络后不会修改默认SSID。虽然看上去没有什么安全威胁,但是默认SSID为攻击者提供了很多方面的便利,例如,获知设备的型号,针对无线网络接入口令的破解。

•MAC地址过滤–由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方法的劣势是AP 中的MAC地址列表必需随时更新,可扩展性差。而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。

物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模

IDS的部署方式

–共享模式和交换模式:从HUB上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。

–隐蔽模式:在其他模式的基础上将探测器的探测口IP地址去除,使得IDS在对外界不可见的情况下正常工作。–Tap模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息,使得与防火墙联动或发送Reset包更加容易。

–In-line模式:直接将IDS串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。

–混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。

入侵检测系统与防火墙的区别

•所在的位置不同

–防火墙是安装在网关上,将可信任区域和非可信任区域分开,对进出网络的数据包进行检测,实现访问控制。一个网段只需要部署一个防火墙。

–而NIDS是可以装在局域网内的任何机器上,一个网段内可以装上数台NIDS引擎,由一个总控中心来控制。•防范的方向不同

–防火墙主要是实现对外部网络和内部网络通讯的访问控制,防止外部网络对内部网络的可能存在的攻击。

–网络入侵检测系统在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护,防止内外部的恶意攻击和网络资源滥用。

•检测的细粒度不同

–防火墙为了实现快速的网络包转换,故只能对网络包的IP和端口进行一些防黑检测,比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网络入侵,防火墙是毫无办法。

–而网络入侵检测系统则可以拥有更多特征的入侵数据特征库,可以对整个网络包进行检查过滤。

举例:飞客病毒(conficker or kido)

“飞客”是一种针对Windows操作系统的蠕虫病毒,最早在2008年11月21日出现。“飞客”利用Windows PRC 远程连接调用服务存在的高危漏洞(MS08-067)入侵互联网上未进行有效防护的主机,通过局域网、U盘等方式快速传播,并且会停用感染主机的一系列Windows服务,包括WindowsAutomatic Update、Windows Security Center、Windows Defener及Windows Error Reporting。

经过长达4年的传播,“飞客”病毒衍生了多个变种,构建了一个包含数千万被控主机的攻击平台,不仅能够被利用用于大范围的网络欺诈和信息窃取,而且能够被利用发动无法阻挡的大规模拒绝服务攻击,甚至可能成为有力的网络战工具。

2012年,全球互联网月均有超过2800万个主机IP感染飞客病毒,其中中国占14.3%,为349万个。

感染飞客病毒以后的症状:

•禁用部分系统服务,如windows系统更新,windows安全中心、windows Defender、后台智能传输服务(BITS)和windows错误报告。

•病毒体驻留windows活动进程中,如svchost.exe,explorer.exe和services.exe。

•创建一个Http服务器并打开一个1024到10000之间的随机端口,用于向其他被感染主机提供病毒副本下载服务。

•被感染主机帐户锁定政策被自动复位。

•系统网络变得异常缓慢,可以从检测的网络流量图和windows任务管理器中看出

•和杀毒软件、Windows系统更新有关的网站无法访问

防火墙的局限性

•防火墙不能抵抗最新的未设置策略的攻击漏洞。

•防火墙的并发连接数限制容易导致拥塞或者溢出。

•防火墙对服务器合法开放的端口的攻击大多无法阻止。

•防火墙对待内部主动发起连接的攻击一般无法阻止。

•防火墙本身也会出现问题和受到攻击。

WEB应用防火墙

当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。

企业等用户一般采用防火墙作为安全保障体系的第一道防线。但其天生的缺陷并不能满足用户的要求,由此产生了WAF(Web应用防护系统)。Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF 工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。

WEB应用防火墙的功能

Web应用防火墙的具有以下四大个方面的功能:

•审计设备:用来截获所有HTTP数据或者仅仅满足某些规则的会话。

•访问控制设备:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。

•架构/网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。

•WEB应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且能够保护WEB应用编程错误导致的安全隐患。