《應用服務的安全》PPT課件.ppt

介紹,信息安全技術專家崗位資格技能認證培訓 中華人民共和國勞動與社會保障部職業(yè)資格認證 國家信息安全培訓認證管理中心 主任 勞動與社會保障部國家督導、高級考評員 信息產業(yè)部 信息化與電子政務專家 盛鴻宇 副研究員 e_,第六章 應用服務的安全,應用服務的劃分,網絡安全的威脅來自多個方面，主要包括： 操作系統(tǒng)安全、應用服務安全、網絡設備安 全、網絡傳輸安全等 網絡應用服務安全，指的是主機上運行的網 絡應用服務是否能夠穩(wěn)定、持續(xù)運行，不會 受到非法的數據破壞及運行影響,網絡環(huán)境中多樣化的應用,多樣化的應用需要什么？,安全的通信、交易環(huán)境 信息安全,應用需要什么保護？,物理（硬件安全） 數據安全 系統(tǒng)安全 網絡安全 應用安全,應用安全,身份認證 數據保密 數據完整 不可否認,身份認證,通信雙方能互相驗證對方的身份，確認對方確實是他所聲明的身份。,我是田景成，你是網上銀行服務器嗎？,嗨，我是網上銀行服務器。,你真的是田景成嗎？,你真的是網上銀行服務器嗎？,業(yè)務服務器,數據保密,通信雙方傳送的信息需要保密，只有他們自己知道。他們需要說“悄悄話”。,我需要轉帳，這是我的帳號和密碼。,業(yè)務服務器,帳號：1234567890 密碼：8888888,數據完整性,通信雙方應能檢測出信息在傳輸途中是否被篡改。,轉帳200萬到關曉陽的帳號。,業(yè)務服務器,轉帳100萬到關曉陽的帳號，轉帳100萬到成景田的帳號。,篡改,不可否認性和審計,服務方應該將交易的整個步驟記錄下來，以備查詢，同時也應保證用戶不能對自己的行為進行否認和抵賴。,我的錢呢？,100萬能干什么？,轉走了！,轉哪去了？,豈有此理，我要告你們！你們沒有我的簽名。,您自己忘了！,應用服務具體劃分,Web服務 FTP服務 Mail服務 域名服務 Data服務 SMB服務 遠程登錄服務 終端服務 其他服務,Web服務,靜態(tài)腳本服務/動態(tài)腳本服務 腳本很可能就成為獲得信息的非正當的服務腳本 Web Service 微軟提出三層應用的關鍵技術，是三層結構中客戶端和系統(tǒng)服務搭建橋梁的中間層應用服務控件（中間件）,基本HTTP請求,“/files/index.html ”等價于HTTP命令“GET /files/index.html HTTP/1.0” CGI調用 “/scripts/cgi.exe?var1+var2 ”表示將var1和var2提交給cgi.exe(“+”是分隔符) ASP調用 /scripts/cgi.exe?var1=X&var2=Y 表示將X、Y分別作為兩個變量提交,HTTP文件遍歷和URL編碼,Web結構,client/server結構，屬于瘦客戶類型 Browser/Server, 客戶為瀏覽器，服務器為Web Server 通常是多層(或三層)結構中的第一層 在Web應用中，Web Server后面常常與數據庫打交道,Web結構,B/S之間的通訊協(xié)議：HTTP HTTP位于TCP之上，默認的端口為80 客戶發(fā)出對頁面的請求，服務器送回這些頁面 Web頁面的表述和交互能力 各種標記、超鏈接， 交互功能：表單、腳本 交互能力的擴展：Java Applet, ActiveX, ,Web服務安全問題歸納,服務器向公眾提供了不應該提供的服務 服務器把本應私有的數據放到了公開訪問的區(qū)域 服務器信賴了來自不可信賴數據源的數據,Web安全性,協(xié)議本身的安全性支持 實現上的安全性 服務器端安全性 Web pages的訪問控制機制 可用性：防止拒絕服務 抵御各種網絡攻擊 客戶端安全性 個人信息的保護 防止執(zhí)行惡意代碼 Web Proxy Server Man-In-The-Middle,主要漏洞,提供了不應 該提供的服務,把私有數據放到 了公開訪問區(qū)域,信賴了來自不可 信數據源的數據,Web服務器漏洞的解釋,目錄遍歷,執(zhí)行任意命令,緩沖區(qū)溢出,拒絕服務,條件競爭,物理路徑泄露,Web服務器處理用戶請求出錯導致的，或某些顯示環(huán)境變量的程序錯誤輸出,IIS二次解碼漏洞和Unicode解碼漏洞,通過解碼漏洞或SSI指令解析來執(zhí)行系統(tǒng)命令,超長URL，超長HTTP Header域，或者是其它超長的數據,Web服務器在處理特殊請求時不知所措或處理方式不當，因此出錯終止或掛起,沒有臨時文件的屬性進行檢查,IIS安全漏洞,Null.htw漏洞 MDAC執(zhí)行本地命令漏洞 “.htr”問題 IIS緩沖溢出 ISM.DLL 緩沖截斷漏洞 IIS存在的Unicode解析錯誤漏洞 ,IIS的MDAC組件,IIS的MDAC組件存在一個漏洞可以導致攻擊者遠程執(zhí)行你系統(tǒng)的命令。主要核心問題是存在于RDS Datafactory，默認情況下，它允許遠程命令發(fā)送到IIS服務器中，這命令會以設備用戶的身份運行，其一般默認情況下是SYSTEM用戶。,Codebrws.asp /iisamples/exa.ks/codebrws.asp,Showcode.asp /msadc/samples/winnt/win.ini Null.htw /null.htw?CiWe.HiliteType=full,以上四個漏洞均可以察看文件源代碼,IIS服務泄露源代碼,webhits.dll & .htw,ASP Dot Bug 在請求的URL結尾追加一個或者多個點導致泄露ASP源代碼。 /sample.asp.,ISM.DLL,允許攻擊者查看任意文件內容和源代碼,.idc & .ida Bugs 這個漏洞實際上類似ASP dot 漏洞，其能在IIS4.0上顯示其WEB目錄信息，很奇怪的說有些還在IIS5.0上發(fā)現過此類漏洞，通過增加?idc?或者?ida?后綴到URL會導致IIS嘗試允許通過數據庫連接程序.DLL來運行.IDC，如果.idc不存在，它就返回一些信息給客戶端。,IIS服務泄露源代碼,+.htr Bug 對有些ASA和ASP追加+.htr的URL請求就會導致文件源代碼的泄露。,IIS服務泄露源代碼,通過請求site.csc，一般保存在/adsamples/config/site.csc中，攻擊者可能獲得一些如數據庫中的DSN，UID和PASS的一些信息。,NT Site Server Adsamples,IIS4.0中包含一個有趣的特征就是允許遠程用戶攻擊WEB服務器上的用戶帳號，就是你的WEB服務器是通過NAT來轉換地址的，還可以被攻擊。,./iisadmpwd,存在OFFICE 2000和FRONTPAGE 2000Server Extensions中的WebDAV中，當有人請求一個ASP/ASA后者其他任意腳本的時候在HTTP GET加上Translate:f 后綴，并在請求文件后面加/就會顯示文件代碼，當然在沒有打WIN2K SP1補丁為前提。這個是W2K的漏洞，但由于FP2000也安裝在IIS4.0上，所以在IIS4.0上也有這個漏洞。 利用程序: trasn1.pl,trans2.pl,Translate:f Bug 泄露asp文件源代碼,IIS的Unicode問題,問題產生的要義 “%c0%af”和“%c1%9c”分別是“/”“”的unicode表示 其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等 對策 安裝MS00-086中的補丁 由于沒有實現分區(qū)跳轉功能，可以在系統(tǒng)分區(qū)之外安裝IIS 設置嚴格的NTFS權限 在服務器的Write和Excute ACL中刪除Everyone和User組,更近一步-雙解碼/二次解碼,同樣由NSFocus發(fā)布 對策：應用MS01-26給出的補丁(不包括在sp2中) 注意和Unicode的區(qū)別，包括相關日志,GET /scripts/%255c255c%winnt/system32/cmd.exe,IIs4 hack緩沖溢出,主要存在于.htr,.idc和.stm文件中，其對關于這些文件的URL請求沒有對名字進行充分的邊界檢查，導致運行攻擊者插入一些后門程序在系統(tǒng)中下載和執(zhí)行程序。,IIS溢出問題,IPP(Internet Printing Protocol)緩沖區(qū)溢出(IPP是處理.printer文件的- C:winntsystem32msw3prt.dll) 當以下調用超過420字節(jié)時，問題就會發(fā)生 對策：刪除DLL和文件擴展之間的映射,GET /NULL.printer HTTP/1.0 Host : buffer,刪除DLL和文件擴展之間的映射,IIS溢出問題,索引服務ISAPI擴展溢出(通常被稱為ida/idq溢出) 由idq.dll引起，當buffer長度超過240字節(jié)時，問題就會發(fā)生 Null.ida為文件名，無需真的存在 直至現在上沒有漏洞利用代碼 Code Red的感染途徑 對策：刪除idq.dll和文件擴展之間的映射,GET /NULL.ida? HTTP/1.1 Host : buffer,IIS溢出問題,Frontpage 2000服務擴展溢出 最早由NSFocus(中國安全研究小組)提出 FPSE在Windows 2000中的位置：C:Program filesCommom FilesMicrosoft SharedWeb Server Extensions 問題焦點是fp30reg.dll和fp4areg.dll(后者默認總是提供的) 收到超過258字節(jié)的URL請求時，問題就會出現 漏洞利用工具：fpse2000ex 對策：刪除fp30reg.dll和fp4areg.dll文件,IIS的其它問題,源代碼泄漏的危險 .htr風險 .htw/webhits風險 權限提升的問題 遠程調用RevertToself的ISAPI DLL 向LSA本地注射代碼,CGI安全問題歸納,暴露敏感或不敏感信息 缺省提供的某些正常服務未關閉 利用某些服務漏洞執(zhí)行命令 應用程序存在遠程溢出 非通用CGI程序的編程漏洞,具體的CGI安全問題,配置錯誤 邊界條件錯誤 訪問驗證錯誤 來源驗證錯誤 輸入驗證錯誤 意外情況處理失敗 策略錯誤 習慣問題 使用錯誤,CGI安全保證,保持服務器安全 正確安裝CGI程序，刪除不必要的安裝文件和臨時文件 使用安全的函數 使用安全有效的驗證用戶身份的方法 驗證用戶來源，防止用戶短時間內過多動作 推薦過濾特殊字符 處理好意外情況 實現功能時制定安全合理的策略 培養(yǎng)良好的編程習慣 避免“想當然”的錯誤 定期使用CGI漏洞檢測工具,ASP的安全性,Code.asp文件會泄漏ASP代碼 filesystemobject組件篡改下載FAT分區(qū)上的任何文件的漏洞 輸入標準的HTML語句或者JavaScript語句會改變輸出結果 Access MDB數據庫有可能被下載的漏洞 asp程序密碼驗證漏洞,(1)為你的數據庫文件名稱起個復雜的非常規(guī)的名字，并把他放在非常規(guī)目錄下。,(2)不要把數據庫名寫在程序中。,(3)使用ACCESS來為數據庫文件編碼及加密。,防止Access數據庫被下載,防止Access數據庫被下載常見措施：,配置安全的IIS運行環(huán)境,作為運行在 Windows NT操作系統(tǒng)環(huán)境下的IIS，其安全性也應建立在Windows NT安全性的基礎之上。,1.應用NTFS文件系統(tǒng),2.文件夾共享權限的修改,3.為系統(tǒng)管理員賬號更名,4.取消TCP/IP上的NetBIOS綁定,設置IIS的安全機制 一,1.安裝時應注意的安全問題,（1）避免安裝在主域控制器上,（2）避免安裝在系統(tǒng)分區(qū)上,2.用戶控制的安全性,（1）限制匿名用戶的訪問,（2）一般用戶,通過使用數字與字母（包括大小寫）結合的口令，提高修改密碼的頻率，封鎖失敗的登錄嘗試以及賬戶的生存期等對一般用戶賬戶進行管理。,3.登錄認證的安全性,IIS服務器提供對用戶三種形式的身份認證：,匿名訪問：不需要與用戶之間進行交互，允許任何人匿名訪問站點，在這三種身份認證中的安全性是最低的。 基本（Basic）驗證：在此方式下用戶輸入的用戶名和口令以明文方式在網絡上傳輸，沒有任何加密，非法用戶可以通過網上監(jiān)聽來攔截數據包，并從中獲取用戶名及密碼，安全性能一般。 Windows NT請求/響應方式：瀏覽器通過加密方式與IIS服務器進行交流，有效地防止了竊聽者，是安全性比較高的認證形式。,設置IIS的安全機制二,4.訪問權限控制,（1）文件夾和文件的訪問權限： 安放在NTFS文件系統(tǒng)上的文件夾和文件，一方面要對其權限加以控制，對不同的用戶組和用戶進行不同的權限設置；另外，還可利用NTFS的審核功能對某些特定用戶組成員讀文件的企圖等方面進行審核，有效地通過監(jiān)視如文件訪問、用戶對象的使用等發(fā)現非法用戶進行非法活動的前兆，及時加以預防制止。,（2）WWW目錄的訪問權限： 已經設置成Web目錄的文件夾，可以通過操作Web站點屬性頁實現對WWW目錄訪問權限的控制，而該目錄下的所有文件和子文件夾都將繼承這些安全性。WWW服務除了提供NTFS文件系統(tǒng)提供的權限外，還提供讀取權限，允許用戶讀取或下載WWW目錄中的文件；執(zhí)行權限，允許用戶運行WWW目錄下的程序和腳本。,設置IIS的安全機制三,5.IP地址的控制,IIS可以設置允許或拒絕從特定IP發(fā)來的服務請求，有選擇地允許特定節(jié)點的用戶訪問服務，你可以通過設置來阻止除指定IP地址外的整個網絡用戶來訪問你的Web服務器。,6.端口安全性的實現,可以通過修改端口號來提高IIS服務器的安全性，如果你修改了端口設置，只有知道端口號的用戶才可以訪問。,7.禁止IP轉發(fā)功能提高服務的安全性,8.啟用SSL安全機制加強Web服務的安全性,設置IIS的安全機制四,提高IIS的安全性和穩(wěn)定性 一,限制在web服務器開帳戶，定期刪除一些斷進程的用戶。 對在web服務器上開的帳戶，在口令長度及定期更改方面作出要求，防止被盜用。 盡量使ftp， mail等服務器與之分開，去掉ftp，mail，tftp，NIS， NFS，finger，netstat等一些無關的應用。 在web服務器上去掉一些絕對不用的shell等之類解釋器，即當在你的 cgi的程序中沒用到perl時，就盡量把perl在系統(tǒng)解釋器中刪除掉。,有些WEB服務器把WEB的文檔目錄與FTP目錄指在同一目錄時，應 該注意不要把FTP的目錄與CGI-BIN指定在一個目錄之下。,設置好web服務器上系統(tǒng)文件的權限和屬性，對可讓人訪問的文檔分配一個公用的組如：www，并只分配它只讀的權利。對于WEB的配置文件僅對WEB管理員有寫的權利。,定期查看服務器中的日志logs文件，分析一切可疑事件。,通過限制許可訪問用戶IP或DNS,提高ISS的安全性和穩(wěn)定性二,IIS服務安全配置,禁用或刪除所有的示例應用程序 示例只是示例；在默認情況下，并不安裝它們，且從不在生產服務器上安裝。請注意一些示例安裝，它們只可從 http:/localhost 或 訪問；但是，它們仍應被刪除。下面 列出一些示例的默認位置。 示例 虛擬目錄 位置 IIS 示例 IISSamples c :inetpubiissamples IIS 文檔 IISHelp c:winnthelpiishelp 數據訪問 MSADC c:program filescommon filessystemmsadc,禁用或刪除不需要的 COM 組件 某些 COM 組件不是多數應用程序所必需的，應加以刪除。特別是，應考慮禁用文件系統(tǒng)對象組件，但要注意這將也會刪除 Dictionary 對象。切記某些程序可能需要您禁用的組件。如Site Server 3.0 使用 File System Object。以下命令將禁用 File System Object： regsvr32 scrrun.dll /u 刪除 IISADMPWD 虛擬目錄 該目錄可用于重置 Windows NT 和 Windows 2000 密碼。它主要用于 Intranet 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務器升級到 IIS 5 時，它并不刪除。如果您不使用 Intranet 或如果將服務器連接到 Web 上，則應將其刪除。,IIS服務安全配置,刪除無用的腳本映射 IIS 被預先配置為支持常用的文件名擴展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調用由 DLL 處理。如果您不使用其中的某些擴展或功能，則應刪除該映射，步驟如下： 打開 Internet 服務管理器。 右鍵單擊 Web 服務器，然后從上下文菜單中選擇“屬性”。 主目錄 | 配置 | 刪除無用的.htr .ida .idq .printer .idc .stm .shtml等,IIS服務安全配置,禁用父路徑 “父路徑”選項允許在對諸如 MapPath 函數調用中使用“”。禁用該選項的步驟如下： 右鍵單擊該 Web 站點的根，然后從上下文菜單中選擇“屬性”。 單擊“主目錄”選項卡。 單擊“配置”。 單擊“應用程序選項”選項卡。 取消選擇“啟用父路徑”復選框。 禁用-內容位置中的 IP 地址 IIS4里的“內容-位置”標頭可暴露通常在網絡地址轉換 (NAT) 防火墻或代理服務器后面隱藏或屏蔽的內部 IP 地址。,IIS服務安全配置,IIS服務安全配置,設置適當的 IIS 日志文件 ACL 確保 IIS 日志文件 (%systemroot%system32LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。 設置適當的 虛擬目錄的權限 確保 IIS 虛擬目錄如scripts等權限設置是否最小化，刪除不需要目錄。 將IIS目錄重新定向 更改系統(tǒng)默認路徑，自定義WEB主目錄路徑并作相應的權限設置。 使用專門的安全工具 微軟的IIS安全設置工具：IIS Lock Tool；是針對IIS的漏洞設計的，可以有效設置IIS安全屬性。,Web服務的用戶身份認證,Web服務器支持的驗證方式 基本驗證的具體實現方法 用IIS建立高安全性Web服務器 WEB安全性的綜合策略,協(xié)議本身的安全性支持,身份認證 Basic Authentication Digest Access Authentication 保密性 TLS(Transport Layer Security),Web認證,Basic Authentication RFC 2617 Digest Access Authentication RFC 2617 TLS，基于PKI的認證 一種雙向認證模式：單向TLS認證+客戶提供名字/口令 Microsoft passport,Basic Authentication,Web服務器,口令直接明文傳輸 隱患：sniffer、中間代理、假冒的服務器,Digest AccesAuthentication,Challenge-Response, 不傳輸口令 重放攻擊、中間人攻擊 服務器端的口令管理策略,WEB安全性的綜合策略,有些應用使用SSL/TLS，為Web Service申 請一個證書 Web Server往往是網絡攻擊的入口點 為了提供Web Service，必須要開放端口和一些目錄，還要接受各種正常的連接請求 防火墻對Web Server的保護是有限的,WEB安全性的綜合策略,及時打上Web Server軟件廠商提供的補丁程序 特別是一些主流的服務軟件，比如MS的IIS 控制目錄和文件的權限 Web應用開發(fā)人員注意 在服務端的運行代碼中，對于來自客戶端的輸入一定要進行驗證 防止緩沖區(qū)溢出,Web客戶端的安全性,客戶端安全性涉及到 Cookie的設置，保護用戶的隱私 PKI設置，確定哪些是可信任的CA 對可執(zhí)行代碼的限制，包括JavaApplet，ActiveX control 客戶瀏覽器的安全設置真的安全嗎 我們有必要了解這些安全性,FTP服務,文件傳輸協(xié)議(File Transfer Protocol，FTP) FTP服務通常被攻擊者上傳后門程序文件到主機，然后通過種種方式轉移成為激活的后門 注意：資源共享和權限控制矛盾的存在,FTP安全,FTP的一些特性 FTP的包過濾方式 FTP服務形態(tài) FTP服務的安全性 FTP服務器的安全配置,FTP的特性與目標,促進文件（程序或數據）的共享 支持間接或隱式地使用遠程計算機 幫助用戶避開主機上不同的 可靠并有效地傳輸數據,FTP的包過濾方式,FTP使用兩個獨立的TCP連接 一個在服務器和客戶程序之間傳遞命令和結果（通常稱為命令通道） 另一個用來傳送真實的文件和目錄列表（通常稱為數據通道） 多數FTP服務器和客戶程序都支持 “反向方式”或“PASV方式”,FTP服務形態(tài),匿名服務（Anonymous Service） FTP代理：允許第三方文件傳輸,針對FTP的攻擊,FTP跳轉攻擊 無訪問控制 密碼截獲 端口盜用,一、取消匿名訪問功能,二、啟用日志記錄,FTP服務器日志記錄著所有用戶的訪問信息，如訪問時間、客戶機IP地址、使用的登錄賬號等，這些信息對于FTP服務器的穩(wěn)定運行具有很重要的意義，一旦服務器出現問題，就可以查看FTP日志，找到故障所在，及時排除。因此一定要啟用FTP日志記錄。,普通FTP服務器的安全配置一,三、正確設置用戶訪問權限,四、啟用磁盤配額，限制FTP存儲空間,五、TCP/IP訪問限制，拒絕或只允許某些IP地址的訪問。,六、合理設置組策略,1. 審核賬戶登錄事件,2. 增強賬號密碼的復雜性,3. 賬號登錄限制,普通FTP服務器的安全配置二,一、對“本地服務器”進行設置,1. 選中“攔截攻擊和”,的安全性設置,當使用協(xié)議進行文件傳輸時，客戶端首先向服務器發(fā)出一個“”命令，該命令中包含此用戶的地址和將被用來進行數據傳輸的端口號，服務器收到后，利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下，上述過程不會出現任何問題，但當客戶端是一名惡意用戶時，可能會通過在命令中加入特定的地址信息，使服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器，但是如果服務器有權訪問該機器的話，那么惡意用戶就可以通過服務器作為中介，仍然能夠最終實現與目標服務器的連接。這就是，也稱跨服務器攻擊。選中后就可以防止發(fā)生此種情況。,在“高級”選項卡中，檢查“加密密碼”和“啟用安全”是否被選中，如果沒有，選擇它們?！凹用苊艽a”使用單向函數（）加密用戶口令，加密后的口令保存在或是注冊表中。如果不選擇此項，用戶口令將以明文形式保存在文件中；“啟用安全”將啟動服務器的安全成功。,2. 檢查“加密密碼”和“啟用安全”是否被選中。,二、對域中的服務器進行設置,對每個賬戶的密碼都提供了以下三種安全類型：規(guī)則密碼、 和 。不同的類型對傳輸的加密方式也不同，以規(guī)則密碼安全性最低。進入擁有一定管理權限的賬戶的設置中，在“常規(guī)”選項卡的下方找到“密碼類型”下拉列表框，選中第二或第三種類型，保存即可。 注意，當用戶憑此賬戶登錄服務器時，需要客戶端軟件支持此密碼類型，如 等，輸入密碼時選擇相應的密碼類型方可通過服務器驗證。,1.選擇合適的密碼類型,的安全性設置二,2.謹慎設置主目錄及其權限,凡是沒必要賦予寫入等能修改服務器文件或目錄權限的，盡量不要賦予。,3.開啟日志，并經常檢查,在“日志”選項卡中將“啟用記錄到文件”選中，并設置好日志文件名及保存路徑、記錄參數等，以方便隨時查詢服務器異常原因。,Solaris 操作系統(tǒng)FTP漏洞,該方法利用了Solaris 操作系統(tǒng)中FTPD的一個BUG，使得用戶可以獲得該機的口令文件。具體過程如下： 1.通過 ftp 正常登錄到目的主機上 2.輸入如下命令序列： ftp user root wrongpasswd ftp quote pasv 3.這時，ftpd會報錯退出，同時會在當前目錄下生成一個core，口令文件就包含在這個core中。 4.再次進入FTP get core,Mail服務,SMTP和POP、IMAP都存在一定的問題 從兩方面理解：協(xié)議和服務端程序 尤其以SMTP為討論重點 Mail服務是一種不安全的服務，因為它必須接受來自Internet的幾乎所有數據,走進MS客戶端-客戶端風險評估,惡意電子郵件-MIME擴展 Outlook緩沖區(qū)溢出 Media Play緩沖區(qū)溢出 VBS地址簿蠕蟲,惡意郵件實例,Helo Mail froam: Rcpt to: Data Sublect:Read me Importance:high MIME-Version:1.0 Content-type:text/html;charset=us-ascii Content-Transfer-Encoding:7bit Hi! . quit,通過下列命令執(zhí)行： Type mail.txt | telnet IP 25,Outlook溢出,起源于vCard(一種電子名片) Outlook直接打開并運行附件中的vCards而不提示用戶 vCards存儲于.vcf文件中，也是沒有提示而直接運行的 當vCards的生日字段(BDAY)超過55字符時，就會出現溢出 對策：應用IE 5.5 sp2,媒體元文件,垃圾郵件泛濫成災！,2003年及2004年垃圾郵件異常猖狂 垃圾郵件層出不窮 形如用特殊字符分隔單詞 將文字保存在圖片里 html格式等 反垃圾郵件軟件依然不足 人工智能算法/DNA算法實現依然復雜 目前識別技術無法與人腦相比 基于內容過濾的算法（如Bayes）對中文的處理能力依然薄弱。,垃圾郵件大量充斥著郵件隊列！ 通信中斷！損失大量合作機會！ 耗費大量網絡資源，年損失幾百億美元！ 我們需要便宜、有效的手段遏止Spam!,NO SPAM！,什么技術可以勝任？,成本低,部署易,效能好,APF can!,APF 定義,APF=Antispam Policy Framework 是一種利用綜合策略分析SMTP信息，主要用于對付垃圾郵件的一套框架。 APS=APF Service/System 主要以Client/Server模式對外提供APF完整支持的服務體系，模式類似于RBL/DNS。,為什么設計APF?,RBL命中率不足，誤判，即時性不夠 SPF依然是Draft，國內推廣困難 現有技術/框架使用部署成本很高 內容過濾技術仍不足，有待改進 分析發(fā)現SMTP階段就可識別UCE,RBL的不足,RBL屬于被動還擊類技術 99%的RBL都是國外組織維護 中國IP被封殺嚴重 準確率不夠，易誤殺 面臨IPV6問題,SPF的不足,SPF依然是草案(Draft) 用戶對SPF認知極其有限 SPF涉及DNS修改，部署起來工程浩大 國內絕大部分域名一定時期內都無法實施SPF 域名注冊/管理商不提供SPF支持,反垃圾郵件部署成本高,企業(yè)自力開發(fā)/實施 技術人員AntiSpam經驗豐富 綜合利用多種技術 管控整個團隊，耗時耗力,購買軟/硬件部署 專用商業(yè)軟/硬件非常昂貴! 使用復雜且定制困難,內容過濾技術仍需改進,Bayes算法 基于規(guī)則匹配 加權類 DNA遺傳算法,分析發(fā)現SMTP階段就可識別UCE,垃圾郵件樣本分析 結果：基于SMTP特征的準確率較內容過濾（使用Spam Assassin及自定義的規(guī)則）要高。 特征例子 偽造來信人(Sender) 來自Open-relay主機 正文變化多端，但都來自同一個ip地址 某個時段發(fā)送大量郵件 信頭缺失或不符合RFC,統(tǒng)計分析結果(3-10月),UCE的SMTP特征,缺乏必需信頭的信件(Header-lacking) 不符合RFC中關于電子郵件規(guī)定的信件（RFC-ignorant） 錯誤的信件標記信息（Header-forgery） 同樣內容發(fā)送頻率（Abnormal-rate）過高的信件。,APF設計宗旨,APF在設計過程中遵循了如下原則: 集中/半集中式C/S數據交換結構 難度適中的實現技術+良好的構思 使用20%的精力去對付80%的Spam 盡量使用現成的優(yōu)秀自由軟件方案/技術 降低使用難度，提供盡可能高的靈活性,APF基本原理(1),三大部分構成 MTA APF客戶端 APF服務端 (淺蘭色標記） 典型的Client/ Server結構,主要運算/處理負載交給APF服務端 客戶端非常簡單,APF 基本原理(2),V1.0 APF服務端 軟件流水線 串行工作 任一異常即跳出 缺點： 只獲得某個模塊的判決結果 不能綜合判斷,APF 基本原理(2),V2.0 APF服務端 改進 模塊處理相互獨立 處理結果最后匯總 相互結果不影響 優(yōu)點 可進行加權 用戶高度定制結果 便于綜合分析,APF 基本原理(3),V1.0協(xié)議,APF 基本原理(3),V2.0 協(xié)議 增補了一些新的屬性名及策略調整,其他變化 未來考慮增加諸如信件MD5，更細化的特征傳遞等,module1=fail/ok, reason string moduleN=fail/ok, reason string ,( v2.0結果格式 ),APF 基本原理(4),判決結果 V1.0 V2.0,action=4xx/5xx reason text link status,badhelo=DUNNO whitelist=OK dnsbl=fail, blocked by bl.domain.tld, reason: ip4 addr string mspf=fail, domain.tld was not designate ip4 addr fakehelo=fail, reason: fqdn may be forgery for ip4 addr ,應用APF的典型例子,S: log show: client connected C: Helo S: 220 ESMTP (No Spam) C: mail from: S: 250 Ok C: rcpt to: S: 554 Forgery sender address! sender mx does not match your ip address,504 Helo command rejected: helo name does not match your ip address,client_address,helo_name,sender,recipient,( APF v1.0 ),APF的優(yōu)勢,綜合成本低 結構簡單 部署簡便 能靈活定制 功能強大,域名服務,DNS服務是Internet上其它服務的基礎 DNS服務存在的主要安全問題 名字欺騙 信息隱藏,名字欺騙,D,B,A（提供rlogin服務）,DNS服務器,Internet,主機B IPB,主機C IPC,解決域名服務安全性的辦法,直接利用DNS軟件本身具備的安全特性來實現 以防火墻/NAT為基礎，并運用私有地址和注冊地址的概念,DATA服務,DATA服務器主要是存放數據庫 兩個方面（以SQL Server為例） IDC的安全性 使用NTFS分區(qū) 給予用戶執(zhí)行日常任務所必需的最低等級的訪問許可權 強制執(zhí)行口令和登錄策略 TCP/IP過濾 防火墻及代理服務器 SQL本身的安全性問題,SQL Server安全規(guī)劃,驗證方法選擇 SQL Server的驗證是把一組帳戶、密碼與Master數據庫Sysxlogins表中的一個清單進行匹配 訪問標記是在驗證過程中構造出來的一個特殊列表，其中包含了用戶的SID（安全標識號）以及一系列用戶所在組的SID,1 Web環(huán)境中的驗證,第一種方法是為每一個網站和每一個虛擬目錄創(chuàng)建一個匿名用戶的NT帳戶 第二種方法是讓所有網站使用Basic驗證 第三種驗證方法是在客戶端只使用IE 5.0、IE 4.0、IE 3.0瀏覽器的情況下，在Web網站上和虛擬目錄上都啟用NT驗證 第四種驗證方法是如果用戶都有個人數字證書，你可以把那些證書映射到本地域的NT帳戶上,2 設置全局組,控制數據訪問權限最簡單的方法是，對于每一組用戶，分別地為它創(chuàng)建一個滿足該組用戶權限要求的、域內全局有效的組。 除了面向特定應用程序的組之外，我們還需要幾個基本組。基本組的成員負責管理服務器。 創(chuàng)建了全局組之后，接下來我們可以授予它們訪問SQL Server的權限,3 數據庫訪問控制,在數據庫內部，與迄今為止我們對登錄驗證的處理方式不同，我們可以把權限分配給角色而不是直接把它們分配給全局組。這種能力使得我們能夠輕松地在安全策略中使用SQL Server驗證的登錄。,4 分配權限,實施安全策略的最后一個步驟是創(chuàng)建用戶定義的數據庫角色，然后分配權限。完成這個步驟最簡單的方法是創(chuàng)建一些名字與全局組名字配套的角色 創(chuàng)建好角色之后就可以分配權限。在這個過程中，我們只需用到標準的GRANT、REVOKE和DENY命令,5 簡化安全管理,首選的方法應該是使用NT驗證的登錄，然后通過 一些精心選擇的全局組和數據庫角色管理數據庫訪問 簡化安全策略的經驗規(guī)則： 用戶通過SQL Server Users組獲得服務器訪問，通過DB_Name Users組獲得數據庫訪問 用戶通過加入全局組獲得權限，而全局組通過加入角色獲得權限，角色直接擁有數據庫里的權限 需要多種權限的用戶通過加入多個全局組的方式獲得權限。,首先你必須對操作系統(tǒng)進行安全配置，保證你的操作系統(tǒng)處于安全狀態(tài) 然后對你要使用的操作數據庫軟件（程序）進行必要的安全審核，比如對ASP、PHP等腳本 最后安裝SQL Server2000后請打上補丁SP以及最新的SP2,6 SQL安全配置,7 SQL安全配置續(xù)（1）,使用安全的密碼策略 使用安全的帳號策略 加強數據庫日志的記錄 管理擴展存儲過程 使用協(xié)議加密,7 SQL安全配置續(xù)（2）,不要讓人隨便探測到你的TCP/IP端口 修改TCP/IP使用的端口 拒絕來自1434端口的探測 對網絡連接進行IP限制,Oracle數據庫安全策略,數據庫備份所使用的結構 Oracle數據庫使用幾種結構來保護數據：書庫后備、日志、回滾段和控制文件 在線日志 一個Oracle數據庫的每一實例有一個相關聯的在線日志。一個在線日志有多個在線日志文件組成 歸檔日志 Oracle要將填滿的在線日志文件組歸檔時，則要建立歸檔日志。,Oracle數據庫安全策略續(xù)（1）,Oracle的數據安全 邏輯備份 數據庫的邏輯備份包含讀一個數據庫記錄集和將記錄集寫入文件 物理備份 物理備份包含拷貝構成數據庫的文件而不管其邏輯內容.它分為脫機備份（offline backup）和聯機備份（online backup）,Oracle數據庫安全策略續(xù)（2）,Oracle數據庫的角色管理 通過驗證用戶名稱和口令，防止非Oracle用戶注冊到Oracle數據庫，對數據庫進行非法存取操作 授予用戶一定的權限，限制用戶操縱數據庫的權力 授予用戶對數據庫實體的存取執(zhí)行權限，阻止用戶訪問非授權數據 提供數據庫實體存取審計機制，使數據庫管理員可以監(jiān)視數據庫中數據的存取情況和系統(tǒng)資源的使用情況 采用視圖機制，限制存取基表的行和列集合,Oracle數據庫安全策略續(xù)（3）,用戶角色管理 對所有客戶端按工作性質分類，分別授予不同的用戶角色 對不同的用戶角色，根據其使用的數據源，分別授予不同的數據庫對象存取權限,遠程登錄服務,遠程登錄服務是指通過某種端口協(xié)議為遠程客戶端提供執(zhí)行系統(tǒng)命令的服務 常見的遠程登陸服務包括 Telnet 終端服務 PcAnywhere rlogin SSH 協(xié)議漏洞、服務程序漏洞等問題,Windows 2000終端服務,TS(Terminal Service)工作于3389端口 TS基于RDP(Remote Desktop Protocol)實現 終端服務不是使用HTTP或HTTPS的，而是通過RDP通道實現 TS監(jiān)聽端口可以自己指定 HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 值-PortNumber REG_WORD 3389(默認),終端服務安全,輸入法漏洞造成的威脅,net user abc 123 /add net localgroup administrators abc /add 注冊表 DontDisplayLastUserName 1,針對TS的攻擊,密碼猜測攻擊風險(TSGrinder) 權限提升風險(PipeUpAdmin、GetAdmin) IME攻擊風險 RDP DoS攻擊風險,SMB服務-連接與驗證過程,隨機生成一把加密密鑰key(8或16字節(jié)),采用DES的變形算法，使用key對密碼散列進行加密,SMB提供的服務,SMB會話服務 TCP 139和TCP 443端口 SMB數據報支持服務 UDP 138和UDP 445端口 SMB名稱支持服務 UDP 137端口 SMB通用命令支持服務,開放SMB服務的危險,SMB名稱類型列表(1),SMB名稱類型列表(2),強化SMB會話安全,強制的顯式權限許可：限制匿名訪問 控制LAN Manager驗證 使用SMB的簽名 服務端和客戶端都需要配置注冊表,Netbios的安全設置,取消綁定文件和共享綁定 打開 控制面板網絡高級高級設置 選擇網卡并將Microsoft 網絡的文件和打印共享的復選框取消，禁止了139端口。 注冊表修改HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0 禁止445端口。,禁止匿名連接列舉帳戶名需要對注冊表做以下修改。 注：不正確地修改注冊表會導致嚴重的系統(tǒng)錯誤，請慎重行事！ 1運行注冊表編輯器（Regedt32.exe）。 2定位在注冊表中的下列鍵上： HKEY_LOCAL_MACHINESystemtCurrentControlLSA 3在編輯菜單欄中選取加一個鍵值： Value Name:RestrictAnonymous Data Type:REG_DWORD Value:1（Windows2000下為2） 4退出注冊表編輯器并重啟計算機，使改動生效。,Netbios的安全設置,Win2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項，提供三個值可選 0：None. Rely on default permissions（無，取決于默認的權限） 1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享） 2：No access without explicit anonymous permissions（沒有顯式匿名權限就不允許訪問）,Netbios的安全設置,其他服務-Windows 2000打印驅動,以full control權限運行在OS級別 面臨的主要威脅-默認情況下任何人都可以安裝打印驅動 通過配置組策略或直接修改注冊表 攻擊者可能會使用木馬替換打印驅動,禁止和刪除服務,通過services.msc禁止服務 使用Resource Kit徹底刪除服務 Sc命令行工具 Instsrv工具 舉例 OS/2和Posix系統(tǒng)僅僅為了向后兼容 Server服務僅僅為了接受netbios請求,服務和端口限制,限制對外開放的端口: 在TCP/IP的高級設置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設置。 禁用snmp服務 或者更改默認的社區(qū)名稱和權限 禁用terminal server服務 將不必要的服務設置為手動 Alerter ClipBook Computer Browser ,Linux服務,Internet網絡服務的安全性 FTP、WWW、MAIL等 系統(tǒng)本身的安全性 TCPWrapper、inetd、Xinetd等 Intranet服務的安全性 NFS、NIS等,Linux網絡配置(1),Linux用daemon程序來提供網絡服務 有些服務直接由daemon程序一直運行 有些服務通過inetd提供 Inetd 它的職責是監(jiān)聽大范圍內的網絡端口，根據進來的請求動態(tài)啟動相應的服務daemon節(jié)約資源 在Linux上，其實大多數inetd服務并不是必需的，雖然，這些服務本身有一定的安全認證能力，但是為了安全起見，應該關閉這些服務,Linux網絡配置(2),配置xinetd 編輯xinetd.conf 每行格式： 通過/etc/service