网络安全基础
安全的定义:
1)一种能够识别和消除不安全因素的能力;
2)安全是一个持续的过程
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。
网络安全的特征
1.从内容上来看,大致分为4个方面:
网络实体安全,软件安全,数据安全,安全管理
2.从特征上来看,包含5个基本要素:
机密性,完整性,可用性,可控性,可审查性
网络安全的模型
通信双方想要传递某个信息,需建立一个逻辑上的信息通道。
1.通信主体可以采取恰当的安全机制,包括一下两个部分:
防护,检测,响应
文件上传漏洞及防护
文件上传漏洞:在动态网站或WEB应用系统中,动态脚本没有对用户上传的文件类型进行检查和验证使非法用户提交危险内容或恶意代码到服务器,进而危害服务器数据和信息的安全的软件漏洞。
文件上传漏洞的危害:1.可能造成非授权用户访问系统;2.造成重要信息的泄露;3.可以为其他攻击打下基础。
形成漏洞的要素:1.WEB系统具备文件上传的功能;2.程序未对用户上传的文件进行合法性检查;3.非法文件被当作合法文件解析执行。
漏洞防护方法:1.关闭不必要的文件上传功能;2.加强文件合法性检查;3.阻止上传文件执行。
简单知识:
1.只要文件合法性检查的强度足够,就能防护文件上传漏洞。 (√ )
2.扩展名检查是防护文件上传漏洞的一种有效方法。 (× )
3.可以通过文件类型(mimetype)检查防护文件上传漏洞,而且安全性很高。 (× )
4.在文件上传后,给文件分配一个比较复杂的名字,并且把文件的访问路径隐藏起来,可以一定程度上防护文件上传漏洞。 (√ )
5.设置Apache,让用户上传的文件仅当做资源和数据,而不能当作代码执行,可以从根本上防护文件上传漏洞。 (√ )
6.向用户提供的功能越多,Web应用受到攻击的风险和机会就越大。 (√ )
文件包含漏洞及防护
文件包含漏洞:程序使用用户数据作为文件包含的路径参数,但是没有对用户数据做出足够的检查,导致入侵者可以执行非法操作的漏洞。
文件包含漏洞出现的原因是:未对用户的文件参数做有效检查和过滤;
文件包含漏洞产生条件:1.include()等函数的文件参数是动态输入的;2.该动态变量的过滤不严格。(不包含程序部署在非server版操作系统中,程序中使用了文件操作功能)
文件包含漏**洞的危害:**1.能够让入侵者执行任意的远程代码;2.能够让入侵者访问服务器上的敏感文件;3.可能访问入侵者部署在外的攻击文件。
防护文件包含漏洞的主要方法:1.尽量不适用包含功能;2.尽量不允许用户修改文件包含的参数;3.对用户能够控制的参数进行严格检查。(当前防护文件包含漏洞的主要方法是进行严格的参数检查)
简单知识:
1.PHP更容易产生文件漏洞。 (×)
2.在windows操作系统中更容易出现文件包含漏洞。 (×)
3.PHP包含文件函数: 普通文件 -; 块设备文件 b; 管道文件p; 目录文件d
XSS跨站脚本攻击及防护
跨站脚本攻击(Cross Site Script),简称XSS,是一种在客户端利用JavaScripts脚本获取敏感信息的攻击行为。
XSS的分类:
存储型XSS:
能够永久存储在目标服务器数据库或者文件中,多见于论坛、博客等web站点。任何用户、任何时间都可能会受到XSS攻击,影响面积最广,危害性最大。
反射型XSS:
是一种 非持久性的XSS,攻击脚本一般是跟随者某一个特定的URL连接发送给受害者。这种攻击仅对接收连接的单个目标有效。
DOM型XSS:
此XSS在注入代码时,利用JavaScript在页面中生成自己的DOM对象,而不是利用原有文档的DOM对象。
被动防御技术:在服务器端动态脚本中,设置HttpOnly属性,JavaScripts就不能读取浏览器的cookie数据了,可以保障Cookie信息的安全。
简单知识:
1.XSS攻击是持久性的。 (×)
2.
3.实施XSS攻击的条件包括:1.web程序中未对用户输入的数据进行过滤;2.受害者访问了带有XSS攻击程序的页面。
4.在浏览器中禁用JavaScript,可以防御XSS攻击。 (√)
5.获取用户的Cookies信息是XSS攻击的最终目的。 (×)
sql注入漏洞及防护
- 非法用户(黑客)提交特殊的数据,使得服务器动态脚本构造了对系统有害的SQL语句,进而实现了对Web系统的攻击(数据泄露,非法提权等),这种过程叫做 SQL注入。
- SQL注入的原理:
1)验证性的程序,可以通过构造恒真的SQL语句实现非法登录;
2)查询性的程序,可在参数中添加额外的SQL脚本实现非法操作。 - SQL注入的特点:
1)SQL注入使用 系统正常服务,隐蔽性强;
2)SQL注入执行步骤少,入侵过程时间短;
3)SQL 注入操作难度低,有很多的自动化工具。
5. PDO技术: 全称叫做PHP数据对象(Php Data Object),是PH为了轻量化访问数据库而定义的接口,利用这个接口不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。PDO提供了sql语句的预处理功能。
1)PDO技术的优势:
a. SQL语句仅编译一次,但可执行多次,运行得更快;
b. 驱动程序会自动处理参数的引号问题;
c. 用户提交的数据不参加编译,解决了用户数据过滤的问题。
计算机病毒
- 计算机病毒的定义:
计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。 - 计算机病毒的特性:
1)隐藏性:病毒程序代码驻留在磁盘等媒体上,无法以操作系统提供的文件管理方法观察到;
2)传染性:当用户利用磁盘片、网络等载体交换信息时,病毒程序趁机以用户不能察觉的方式随之传播,病毒程序也能在磁盘上的不同区域之间传播,附着到多个文件上;
3)潜伏性:病毒程序感染正常的计算机之后,一般不会立即发作,而是潜伏下来,等到激发条件(如日期、时间、特定的字符串等)满足时才产生破坏作用;
4)破坏性:当病毒程序发作时,通常会在屏幕上输出一些不正常的信息,同时破坏磁盘上的数据文件和程序;
5)繁殖性:计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行时,它也进行自身复制,是否具有繁殖、感染的特征时判断某段程序为计算机病毒的首要条件。 - 计算机分类
(1)按照计算机病毒攻击的系统分类:
攻击DOS系统的病毒
攻击Windows系统的病毒
攻击UNIX系统的病毒
(2)按照计算机病毒的链接方式分类:
源码型病毒
嵌入型病毒
外壳型病毒
操作系统型病毒
(3)按照计算机病毒的破坏情况分类:
良性计算机病毒
恶性计算机病毒
(4)按照计算机病毒传染方式分类:
磁盘引导区传染的计算机病毒
操作系统传染的计算机病毒 - 计算机病毒的危害
(1)病毒激发对计算机数据信息有直接破坏作用;
(2)占用磁盘空间和对信息的破坏;
(3)抢占系统资源;
(4)影响计算机运行速度;
(5)计算机病毒的兼容性对系统运行的影响。
计算机病毒与木马
四类计算机病毒: 引导型病毒;脚本病毒;宏病毒;蠕虫病毒。
一. 引导型病毒:主引导区病毒、引导区病毒
二.脚本病毒
顾名思义,就是用脚本编写的病毒并且具有传播快、破坏力大的特点。
特点: 1)编写简单;2)破坏力大;3)感染力强,病毒变种多;4)病毒生产机实现容易。
VBS病毒:
三.宏病毒
特性:1)传播容易;2)多平台交叉感染;3)制作、变种方便;4)破坏性大。
四.蠕虫病毒
蠕虫程序的工作流程: 漏洞扫描、攻击、传染、现场处理四个阶段。
行为特征: 1)自我繁殖;
2)利用软件漏洞
3)造成网络堵塞
4)消耗系统资源
5)留下安全隐患
木马攻击和防御技术
- 木马的概念:
在计算机中被植入、人为编写的程序,目的是通过网络远程控制其他用户的计算机、窃取信息资料并可恶意破坏计算机的程序。 - 木马的危害: 试图访问未授权的资源;试图阻止访问;试图更改或破坏数据和系统。
- 木马的原理:
主要是C/S程序组合而成。
- 木马进行攻击的步骤:
Linux系统安全
一. Lynis安全漏洞扫描工具
Lynis:一款Unix系统的安全审计以及加固工具,能够进行深层次的安全扫描,其目的是检测潜在的危险并对系统加固提供建议
安全扫描后,会生成审计报告:使用grep命令可以查看日志文件中的警告信息及建议
二. Linux系统口令安全- 安全口令规则
- 安全防护
三. Linux用户网络访问权限的控制
NFS网络文件系统:是一种用于Linux系统之间进行资源共享的网络访问协议。
Samba服务: 主要用于Linux和Windows系统之间进行资源共享的网络访问协议。
四. Linux文件系统的安全
Linux漏洞扫描
常见的Linux漏洞: RPC漏洞、账户漏洞、缓冲区溢出漏洞、拒绝服务漏洞
一. RPC的原理:
RPC是一种协议,程序可使用这种协议向网络中的另一台计算机 上的程序请求服务。由于使用RPC的程序不必了解通信的网络协议的情况,因此RPC提高了程序的互操作性。
RPC攻击:处理TCP/IP的消息交换时存在漏洞,错误地处理格式不正确的信息造成的。发送格式不正确的RPC消息,使RPC服务出现问题任意代码得以执行,能够对系统执行任何操作,包括安装程序,查看、更改或删除数据等等。
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
二.
三.
四.
五.
用户密码猜测:利用用户贪图方便设置弱口令漏洞,对邮箱账户密码进行破解。
垃圾病毒邮件:被病毒邮件感染,造成账号密码曝光、机密邮件失窃、大量转发垃圾邮件。
网络嗅探防御技术
***嗅探器***是一种监视网络数据运行的软件设备,协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性,这是因为它实质上不能进行探测行为且容易随处插入,所以网络黑客常将它作为攻击武器。
局域网传输技术: 广播式、点对点式
网络嗅探的原理:
1)把网卡置于混杂模式;
2)捕获数据包
3)分析数据包
嗅探工具:
网络嗅探的危害:
1)网络嗅探容易造成敏感信息泄露,危害数据和企业信息安全;
2)网络嗅探是一种被动攻击技术,因此非常难以被发现。
共享式网络下的嗅探与防御
局域网的分类:
共享式网络——广播式——集线器
共享式网络下工作:
共享式以太网的典型代表是使用10Base2/10Base5的总线型网络和以集线器(集线 器)为核心的星型网络。在使用集线器的以太网中,集线器将很多以太网设备集中 到一台中心设备上,这些设备都连接到集线器中的同一物理总线结构中。
ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。
共享式嗅探防御技术:
交换式网络下的嗅探与防御
交换式网络——交换机——点对点传输
交换式网络嗅探防御:
蜜罐系统
互联网安全现状: 1)安全基础薄弱
2)任何主机都是攻击目标
3)攻击者不需要太多技术
- 蜜罐概念:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。其初期用于杀毒软件厂商利用这些蜜罐来收集病毒样本。
- 蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
- 蜜罐技术:蜜场、蜜网
- 蜜罐通常伪装成看似有利用价值的网络、数据、电脑系统。
部署蜜罐的基本流程
交互度反应了黑客在蜜罐上进行攻击活动的自由度。
建立在反向防火墙后面的蜜罐的目的不是防止入站连接;所有流入、流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
IDS系统
- 入侵检测系统
是用来发现内部攻击 、外部攻击和误操作的一种方法。是一种动态的网络安全技术,利用不同的引擎实时或定期地对数据源进行分析,并将其中的威胁部分提取出来,触发响应机制。 
- 入侵检测系统的结构:事件发生器、事件分析器、响应单元、事件数据库
- 入侵检测系统的功能
1)检测和分析用户与系统的活动;
2)审计系统配置和漏洞;
3)评估系统关键资源和数据文件的完整性;
4)识别已知攻击;
5)统计分析异常行为;
6)操作系统的审计、跟踪、管理,并识别违反安全策略的用户活动。 - 入侵检测系统的分类
- 入侵检测系统的选型和部署
- 典型产品介绍
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵检测系统根据工作方式分为在线检测系统和离线检测系统;
入侵检测系统是进行入侵检测的软件与硬件的组合。
防火墙
防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。
在网络中,防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。目的是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
防火墙能够提高主机群、网络及应用系统的安全性,以下是主要的功能:
网络安全的屏障
强化网络安全的策略
对网络存取和访问进行监控和审计
防止内部信息的外涉
实现VPN的连接
防火墙能够对网络安全威胁进行极好的防范,但是,它不能解决所有的网络安全问题,某些威胁是防火墙力所不及的,例如以下几个方面:
不能防御内部攻击
不能防御绕过防火墙的攻击
不能防御完全新的威胁
不能防止传送已感染病毒的软件或文件
影响网络性能
防火墙的分类
防火墙的选择
选择的防火墙的一个前提条件是明确用户的具体需求:考虑网络结构;考虑用户及通信流量规模方面的需求;考虑到业务应用系统的需求。
防火墙的体系结构
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法。通常防火墙在Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。仅仅安装防火墙硬件是远远不够的,要想防护内网的安全,我们还需要对防火墙进行相应的软件(策略)配置。
防火墙的关键术语:
堡垒主机是一种配置了较为全面安全防范措施的网络上的计算机;
双重宿主机是指通过不同的网络接口连入多个网络的主机系统,它是网络互连的关键设备;
周边网络是指内部网络和外部网络之间的一个网络,通常讲提供各种服务的服务器放置在该区域,又称为DMZ非军事区。
防火墙分类:
双宿/多宿主机防火墙(Dual-Homed/Multi-Homed Firewall),是一种拥有两个或多个连接到不同网络上的网络接口的防火墙;
屏蔽主机防火墙(Screened Host Firewall)由包过滤路由器和堡垒主机组成。实现了网络层和应用层的安全;
屏蔽子网防火墙(Screened Subnet Mode Firewall)的配置,采用了两个包过滤路由器和一个堡垒主机。
防火墙的工作模式
工作模式:路由工作模式、透明工作模式、NAT工作模式。
传统防火墙一般工作于路由模式,防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信。
路由模式下的防火墙,存在两个局限:
1.当防火墙的不同端口所接的局域网都位于同一个网段时,路由模式的防火墙无法完成这种方式的包转发。
2.当网络中引入的防火墙工作在路由模式时,被保护网络原来的路由器应该修改路由表以便转发防火墙的IP报文。如果用户的网络非常复杂,就会给防火墙用户带来设置上的麻烦。
工作于透明模式下的防火墙可以实现透明接入。工作于透明模式的防火墙相当于二层交换机,防火墙的网口不设地址
工作于NAT模式的防火墙是用于内网中存在一般用户区域和DMZ区域,在DMZ区域中存在对外可以访问的服务器,同时该服务器具备经InterNIC注册过的IP地址。
防火墙的配置规则
从安全实用的角度考虑,防火墙的配置过程中需要坚持三个基本原则:简单实用、全面深入、内外兼顾
防火墙的设置过程中还应注意以下几点:
建立规则文件
注重网络地址转换
路由的合理设置
合理地规则次序
注意管理文件的更新
加强审计
PIX防火墙(思科产品)
PIX防火墙是Cisco端到端安全解决方案中的一个关键组件,是基于专用的硬件和软件的安全解决方案,在不影响网络性能的情况下,提供了高级安全保障。PIX防火墙使用了包括数据包过滤、代理过滤以及状态检测包过滤在内的混合技术,同时也提高了应用代理的功能,因此被认为是一种混合系统。
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。 PIX有很多型号,并发连接数是PIX防火墙的重要参数。
PIX防火墙具有如下的技术特点:
1. 非通用、安全实时和嵌入式系统;
2.自适应性安全算法(ASA)
3.基于状态的包过滤,直通型代理
4.高可靠性
PIX具体可以实现的功能:
1.启动PIX防火墙接口、为接口分配地址
2.配置主机名和密码
3.配置地址转换NAT、PPPoE、简单的VPN、DHCP
4.配置自动更新
PIX防火墙的核心是ASA(自适应性安全算法),此算法维护着防火墙控制下的网络的边界安全。
思科PIX防火墙自适应性安全算法可以跟踪源地址、目的地址,传输协议的序列号、端口号和每个数据包的附加标志
自适应性安全算法(ASA)的特点:
1.提供了“基于状态的”连接安全;
2.通信默认允许从高到低
3.通信默认拒绝从高到低
4.支持认证、授权和记账(AAA)
(详解)
PIX防火墙通过采取安全级别方式,来表明一个接口相对另一个接口是可信的(较高的安全级别)还是不可信的(较低的安全级别)
安全级别的基本规则是:具有较高安全级别的接口可以访问具有较低安全级别的接口。反过来,在没有设置管道(conduit)和访问控制列表(ACL)的情况下,具有较低安全级别的接口不能访问具有较高安全级别的接口。
PIX管理访问四种模式:非特权模式、特权模式、配置模式、监控模式
思科防火墙系列产品介绍
ASA防火墙的功能:
基础防火墙功能
入侵防御(IPS)功能
防病毒功能
高可用性(HA)
动态路由功能
扩展的VPN功能
内容过滤
反垃圾邮件
负载分担功能
ASA的特点:整合所带来的成本降低;降低信息安全工作强度;较低技术 复杂度
ASA的缺点:存在网关防御的弊端;存在过度集成带来的风险;性能和稳定性需要进一步的加强
下一代产品:
NDFW的功能和特点:
基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合
PIX防火墙的基本使用
PIX防火墙的高级配置与防护
PIX支持两种地址转换:动态地址翻译、静态地址翻译
944
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
