网络安全和防火墙

网络安全和防火墙
第一章定义安全
一、安全：
1、定义：在给合法用户提供正常的访问权限的情况下，限制或禁止非法用户对资源
的访问。

由于在我们的网络中存在了复杂的技术，如LAN, WAN, Internet, VPN，所以就要求我们针对不同的技术采用不同的防护措施。

2、特点：
没有绝对的安全，仅有相对的安全
确定安全等级需要平衡
3、有效的安全性系统包括：
能够进行访问控制
易于使用
尽量降低总体拥有成本
灵活稳定
具有很好的警报和日志功能
二、需要保护的资源：
1、终端：下载软件，安装服务，恶意操作
2、网络资源：TCP/IP中没有内置安全性机制，Spoofing
3、服务资源：网络的核心服务，DNS, WINS, Web..
4、数据：file server, database server
三、黑客的类型：
1、casual attackers: script kids
2、determined attackers：hackers
3、spies: crackers
四、安全模型：
1、验证：
2、访问控制：
3、数据机密性：prevent passive threats
4、数据一致性：prevent active threats
5、抗抵赖性
第二章安全组件：
一、金字塔模型
二、联合的安全性策略：定义了网络的安全性需求和所需的安全性技术
1、系统分类：
level I：5%，不允许超过两个小时的荡机时间，对公司的正常运行具有至关重要的资源，验证、访问控制、审核、日志、病毒扫描、晋级恢复机制、入侵
检测、
level II：20%，允许不超过48小时的荡机时间，少量的审核和监视
level III: 75%, 病毒防护
2、根据资源的重要性和可靠性进行优先级的划分
3、标示入侵的可能性
4、定义可接受和不可接受的活动：
可接受：安全性高，避免出现安全漏洞
限制用户的活动
不可接受：管理的工作量小，灵活
容易出现安全漏洞
5、对不同的资源定义安全性标准：
6、对不同的用户定义不同的教育内容
三、加密：
1、功能：数据的机密性、数据的一致性，验证和抗抵赖性
2、类型：对称加密，公钥加密，散列
3、加密的强度：
影响因素：算法的强度
密钥的安全性
密钥的长度
四、身份验证：
1、作用：提供用户级的访问控制
2、方法：what you know：most common methods, password based
what you have: smart card
who you are: biometrics
where you are: location based, r* serial programs and reverse dns lookup
3、实现：
Kerberos V5
演示分别从98和2000的计算机上登录域，进行密码的捕获
过程
优点：可以提供验证、加密和一致性
不需要在网络上传输密码
加密信息
抗重演攻击
能够控制对资源的访问
缺点：仅提供了工作站级的安全性
OTP：防止snooping和password hijacking
三、访问控制：控制对于对象的访问
1、ACL：
2、ECL：调节进程的运行方式
五、审核：对所发生的事件进行记录并采取相应的措施。

1、消极的审核：仅记录
2、积极的审核：记录事件并采取相应的措施
第三章加密技术
一、基本概念：
1、rounds：数目愈大，加密越强
2、parallelization：多进程处理
3、strong encryption：密钥长度超过128位
二、类型：
1、对称加密
特点：
优点：速度快，适合加密大量数据
缺点：密钥的分发
产品：DES, 3DES, RSA
2、公钥加密：
特点：
优点：密钥分发能过确保安全，抗蛮力攻击
缺点：比对称加密慢100倍，不适合加密大量数据
应用：数据加密，数字签名
产品：DSA, Diffie-Hellman
3、散列加密：
特点：单向
优点：密钥的安全性
应用：身份验证
产品：MD5, SHA1
三、加密的实际应用：
1、对电子邮件的防护：
原理：
类型：
客户端加密：优点，不依赖于服务器产品，能够在不同厂商的服务器间发送加
密的邮件
缺点，需要较多的配置
类型：PGP, 开放的协议
S/MIME, 工业标准
服务器加密：优点，客户端不需要任何配置
缺点，依赖于服务器产品
应用：PGP
2、加密文件：
EFS:加密数据
MD5sum:签名文件，防止修改
3、加密Web交通：
类型：Secure HTTP, SSL/TLS, SET
Secure HTTP: 工作在应用层，仅能加密HTTP的交通
SSL/TLS：工作于传输层，能够加密HTTP, FTP, EMAIL的交通：
通过SSL提供WEB服务器的安全性：
原理：
实现考虑：
如果需要验证服务器，则应该在服务器上安装服务器证书；如果要验证客户机，则要安装客户机证书（需要应用程序支持）
可以实现不同级别的加密：40，56，128
采用HTTPS访问
对于内部站点，可以使用内部的CA；对于外部站点，可以使用共有CA
可以选择保护站点中的某一部分区域
实现：
设计VPN连接的安全性：
1、VPN的优点：
外包的拨号支持
减少话费指出
增高的连接速度
2、选择VPN协议：通过封装和加密两种方式进行数据的安全传颂，包括PPTP L2TP/IPSec
PPTP：采用MPPE加密数据，具有40，56，128的加密强度，应用于基于IP的网络上，支持多种协议，不进行计算机身份验证，可以通过NAT，微软的所有客户机均支持，适中等安全性
网络，不需要PKI和IPSec
L2TP：结合IPSec形成隧道，可以在任何基于点对点的网络介质形成隧道，基于IPSec进行计算机验证，支持多种协议，不能通过NAT，仅2000支持，能够提供强力安全性
实现：（可选）
实现IPSec提供数据安全性：
原理：位于网络层，通过加密和签名提供IP层端到端数据安全性，不需要应用程序支持，对上层应用是透明的。

但仅有2000支持。

AH
Figure 8.1 Authentication Header
Next Header Identifies the next header that uses the IP protocol ID. For example, the value might be “6” to indicate TCP.
Length Indicates the length of the AH header.
Security Parameters Index (SPI) Used in combination with the destination address and the security protocol (AH or ESP) to identify the correct security association for the communication. (For more information, see the “Internet Key Exchange” section later in
this chapter.) The receiver uses this value to determine with which security association
this packet is identified.
Sequence Number Provides anti-replay protection for the SA. It is 32-bit, incrementally increasing number (starting from 1) that is never allowed to cycle and that indicates the packet number sent over the security association for the communication. The receiver
checks this field to verify that a packet for a security association with this number has not been received already. If one has been received, the packet is rejected.
Authentication Data Contains the Integrity Check Value (ICV) that is used to verify the integrity of the message. The receiver calculates the hash value and checks it against
this value (calculated by the sender) to verify integrity.
Figure 8.2 AH Integrity Signature
ESP
Figure 8.3 ESP
The ESP header contains the following fields:
Security Parameters Index Identifies, when used in combination with the destination address and the security protocol (AH or ESP), the correct security association for the communication. The receiver uses this value to determine the security association with
which this packet should be identified.
Sequence Number Provides anti-replay protection for the SA. It is 32-bit, incrementally increasing number (starting from 1) that indicates the packet number sent over the
security association for the communication. The sequence number is never allowed to cycle. The receiver checks this field to verify that a packet for a security association with
this number has not been received already. If one has been received, the packet is
rejected.
The ESP trailer contains the following fields:
Padding 0 to 255 bytes is used for 32-bit alignment and with the block size of the block cipher.
Padding Length Indicates the length of the Padding field in bytes. This field is used by the receiver to discard the Padding field.
Next Header Identifies the nature of the payload, such as TCP or UDP.
The ESP Authentication Trailer contains the following field:
Authentication Data Contains the Integrity Check Value (ICV), and a message authentication code that is used to verify the sender’s identity and message integrity. The ICV is calculated over the ESP header, the payload data and the ESP trailer.
Figure 8.4 ESP: Signature and Encryption
工作过程：
Figure 8.5 IPSec Policy Agent
Figure 8.7 IPSec Driver Services
实现：
选择验证模式：
Kerveros V5：需要活动目录，属于同一个域
基于证书：验证外部用户或结合L2TP使用
预定义的密钥：易于实现
选择模式：
传输模式，
隧道模式，
使用缺省的策略：
客户机：在域级设置
服务器：请求安全，混合网络
安全服务器：需要安全，须制定信息类型
自定义策略：
自动进行证书发放：证书模板，发放机构
域控制器：自动接受证书
客户寄：从本地CA请求证书
利用组策略进行设置：
利用OU组织局相同目的的计算机
在域级配置Client以响应安全通信
每台计算机同时只能有一个生效
验证：
PING
IPSec monitor
Network monitor: capture ISAKMP AH ESP
事件查看器：启用安全审核
启用Oakley Logs: HKLM\SYSTEM\CurrentControlSet\Services\Policyagent\Oakley=1
练习：使用PGP, SSL, IPSec
第四章常见攻击类型
一、蛮力攻击和字典攻击：
Gain access as a legitimate user through guess password or using dictionary Common tools: John the Ripper for UNIX
Novell PassCrack
Solution: auditing account logon failure
enable account lockout
练习使用NAT
二、系统漏洞和后门：
an unintentional flaw in a program that creates an inadvertent opening
Back door: an undocumented opening in an operating system or program
Common type:
buffer overflow:
Theory
Damage:copy password database to a world-readable place
start/stop services or daemons
open additional port then upload bad applications
write any information
Root kit is a collection of Trojans designed to compromise the system
Damages:replace or modify some system elements
(/bin/login, /bin/ps, /bin/ls, /bin/su)
create hidden directories
install loadable kernel modules
launch hidden processes
Avoid the attack:
Reconfigure Linux kernel as a “monolithic kernel”
Install Tripwire or the WFP application
Use antivirus applications
三、社交攻击：
Use tricks and disinformation to gain access sensitive information(such as password)
Common form:
Call and ask for the password
Fake e-mail
练习使用fake email
四、拒绝服务：
Prevent legitimate user from accessing a service and crash remote system DOS: SYN flood
DDOS: 消耗带宽
Ping of death
Recovering:
DOS:simple reboot
DDOS: reprogram switch and router to drop bad packet
win2k IPSec
Ipchains(2.2 and earlier) Iptables (2.3 and later)
五、Spoof：进行地址伪装，以击败基于地址的验证
类型：包括IP spoofing, ARP spoofing, router spoofing and DNS spoofing
ip spoofing:
攻击对象：运行由tcp/ip的计算机
任何使用了sun RPC调用的计算机
任何利用IP地址认证的网络服务
MIT的X Window系统
R服务
过程：
确定目标主机
序列号取样和猜测
对原主机执行拒绝服务攻击
对目的主机进行地址欺骗
防范：
放弃以地址进行验证
利用路由器进行包过滤，确认只有内部具有信任关系
在通信时使用加密和验证
六、中间人攻击
第五章通用安全性要素
物理安全性：实验
第六章 TCP/IP协议栈和相关安全性
一、概述：在开发的初期没有考虑安全性，没有内置相关的安全性机制
二、各层的功能及安全性考虑：
1、物理层：定义了介质的类型、信号和网络拓扑
威胁：缺少安全性机制
网络监听
安全措施：加密、数据标记和填充
2、网络层：寻址和路由选择，没有提供任何的安全防护和流控机制，能够
高效地进行数据传递
组件：IP, ICMP, IGMP, ARP
威胁：spoofing, ARP spoofing, IP spoofing
ICMP: smurf, network topologies scan, DOS
防护：防火墙过滤
3、传输层：实现端到端的传输
Port: 唯一标示一个应用
Well-known：default,0~1023
Assigned by os: 1024~65536
威胁：端口扫描
组件：TCP, UDP
TCP:
TCP header: SYN,同步序列号
FIN,连接的终结
ACK,期待下一个接受的数据包的序列号
连接的建立
连接的终止
威胁：DOS, SYN flood
TCP connection hijacking
UDP:
Applications:TFTP, DNS, video and audio broadcast
威胁：DOS
4、应用层：最难于防护
SMTP:
Common attacks:
Fake mail
Flood SMTP server
Transfer viruses and Trojan horses
Protection:
Disable forward
user authentication
Use proxy server scan all messages
FTP: TCP 20/21
Common attacks:
Buffer overflow
Fill disk space to prevent system or FTP service logging
Transfer password with plaintext
Protection:
Allow anonymous connection and disable upload
Distribute log file and ftp directory in differ partition Use encryption protocol to encrypt traffic
HTTP: TCP 80
Common attacks:
Buffer overflow
Bad codes:CGI, ASP, Java program
Protection:
Attend to patch and fix that has been published
Avoid use too much program
Telnet: TCP 23
Common attacks:
Transmit data and account information using plaintext
Port redirect
Prevention:
Replace telnet with SSH
Use encryption protocol to encrypt traffic
SNMP: UDP 161/162
Common attacks:
Authentication
Transmit data using plaintext
Prevention:
Avoid using the protocol in public network
Filter all SNMP traffic at the firewall
DNS: UDP/TCP 53
Common attacks:
DNS poisoning
Obtaining illicit zone transfers
Prevention:
Secure zone transfers
Zone signing and public-key encryption
实验：
1、利用sniffer捕获telnet的密码
2、利用NC入侵Windows NT
3、锁定端口
第七章保护资源
一、安全实现模型：
1、分类资源和需求：根据所使用的硬件、系统、协议及对公司运营的重要性对资源
进行分类，同时进行归档
2、定义并发布安全性策略：
3、保护每种服务和资源
4、记录、测试和评估
5、重复以上过程
二、保护资源和服务：
1、Protect against profiling
2、Coordinate methods and techniques
3、Change default settings
4、Remove unnecessary services：利用C2删除OS/2
5、Specialized accounts：防止buffer overflow
web server:
原则：1、进行分区放置：将OS, web application, html files, script放在不同的分区里，赋予不同的权限。

2、确保cgi脚本的安全性：泄露系统信息
执行命令
实例：
1．版本的选择：WIN2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，在语言不成为障碍的情况下，请一定使用英文版。

2．组件的定制：根据安全原则，最少的服务+最小的权限=最大的安全。

典型的WEB 服务器需要的最小组件选择是：只安装IIS的Com Files，IIS Snap-In，WWW Server 组件。

如果你确实需要安装其他组件，请慎重，特别是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。

正确安装WIN2000 SERVER
1．分区和逻辑盘的分配，有一些人为了省事，将硬盘仅仅分为一个逻辑盘，所有的软件都装在C驱上，这是很不好的，建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。

推荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。

要知道，IIS和FTP是对外服务的，比较容易出问题。

而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。

2．安装顺序的选择：
首先，何时接入网络：Win2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好win2000 SERVER之前，一定不要把主机接入网络。

其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安装
三、IIS：
首先，把C盘Inetpub目录彻底删掉，在D盘建一个Inetpub，在IIS管理器中将主目录指向D:\Inetpub；
其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除/scripts/..%c1%1c../winnt/system32/cmd.exe了？设置必要的权限，（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给）
第三，应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指的是ASP, ASA和其他你确实需要用到的文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有一个凄惨的故事：htw, htr, idq, ida……在IIS管理器中右击主机->属性->WWW服务编辑->主目录配置->应用程序映射，然后就开始一个个删吧。

接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想ASP出错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。

为了对付日益增多的cgi漏洞扫描器，还有一个小技巧可以参考，在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件，可以让目前绝大多数CGI漏洞扫描器失灵。

其实原因很简单，大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ 漏洞一般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200，90%的CGI 扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手。

最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。

还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。

四、基于80端口入侵的检测
WWW服务大概是最常见的服务之一了，而且由于这个服务面对广大用户，服务的流量和复杂度都很高，所以针对这个服务的漏洞和入侵技巧也最多。

IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置。

假设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已经小心地配置了IIS，使用W3C扩展的日志格式，并至少记录了时间（Time）、客户端IP（Client IP）、方法（Method）、URI资源(URI Stem)、URI查询(URI Query)，协议状态（Protocol Status)，我们用最近比较流行的Unicode漏洞来进行分析：打开IE的窗口，在地址栏输入：127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默认的情况下你可以看到目录列表（什么？你已经做过安全配置了，看不到？恢复默认安装，我们要做个实验），让我们来看看IIS的日志都记录了些什么，打开Ex010318.log（Ex 代表W3C扩展格式，后面的一串数字代表日志的记录日期）：07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:42:58（就是北京时间23:42:58），有一个家伙（入侵者）从127.0.0.1的IP在你的机器上利用Unicode漏洞（%c1%1c被解码为"\"，实际的情况会因为Windows语言版本的不同而有略微的差别）运行了cmd.exe，参数是/c dir，运行结果成功（HTTP 200代表正确返回）。

大多数情况下，IIS的日志会忠实地记录它接收到的任何请求（也有特殊的不被IIS记录的攻击，这个我们以后再讨论），所以，一个优秀的系统管理员应该擅长利用这点来发现入侵的企图，从而保护自己的系统。

但是，IIS的日志动辄数十兆、流量大的网站甚至数十G，人工检查几乎没有可能，唯一的选择就是使用日志分析软件，用任何语言编写一个日志分析软件（其实就是文本过滤器）都非常简单，不过考虑到一些实际情况
（比如管理员不会写程序，或者服务器上一时找不到日志分析软件），我可以告诉大家一个简单的方法，比方说你想知道有没有人从80端口上试图取得你的Global.asa文件，可以使用以下的CMD命令：find "Global.asa" ex010318.log /i这个命令使用的是NT自带的find.exe工具（所以不怕紧急情况找不着），可以轻松的从文本文件中找到你想过滤的字符串，"Global.asa"是需要查询的字符串，ex010318.log是待过滤的文本文件，/i 代表忽略大小写。

FTP server:
Place FTP,OS on different partitions
Set appropriate permissions
Disable upload and allow read-only permission
Change default directory
SMTP server:
Scan e-mail attachments
Forbid relaying to unauthoried users
Reduce the size of e-mail attachments
Change default directory
三、测试和评估：
四、实施新的系统：
使用相同的策略
在不同的子网上
在此子网上模拟相同的环境
使用黑客工具进行测试
五、安全测试软件：
优点：自动，易于使用
缺点：时效性强
类型：
网络扫描软件：
操作系统插件：
日志和分析工具：
第八章防火墙
概述：防火墙的作用
常用术语
不同类型防火墙的功能
一、防火墙的作用：
1、实现安全性策略
2、创建一个阻塞点，再次位置上对网络进行控制和监视
3、具有完善的日志功能
4、能够屏蔽内网结构
二、常用术语：
1、gateway：在两个设备之间提供中继服务的系统，如：router, CGI, proxy
2、包过滤器：工作在internet layer，基于ip address, port number and
protocol type进行流量控制
3、电路级网关：工作在transport layer, 功能类似于包过滤器，能够提供网络地址
转换
4、应用级网关：工作在4~7层，可以给予数据的内容对数据进行过滤
5、代理服务器：泛指上述类型的网关
6、网络地址转换：。