第一天
上午的课程是加密和一般攻击方法的介绍,下午进行上机实践。上午的课程由于比较专业,也比较枯燥,难免的,由绿盟的工程师进行授课,他是左*,我记得他是UNIX的专家。
今天下午做实验
1、使用NetBus木马
2、更改Linux密码
3、PGP和MD5加密
4、暴力破解密码
5、发匿名邮件
6、SMTP的安全
7、Linux的一些漏洞
第二天
今天上午讲了OSI七层模型的各层的攻击的手段和防范的办法,以及防火墙的种类和配置,其中有一个例子很好,说出来和大家分享:
现在要配置一条防火墙的规则,让A能够访问FTP,以下是配置:
原IP目标IP源端口目标端口协议
Allow A* * 21TCP
Block *A 20 <1024TCP
Allow *A 20* TCP ACK=1
1、比较简单,让A可以连接21端口
2、不允许用20端口连接A小于1024的端口,这是由于为了防止黑客伪造20端口,直接连接A的保留端口。
3、验证是否为主动连接,这条和地二条功能类似。
这是由于FTP协议的连接是由源地址连目标地址的21端口,目标地址的20端口回连源地址的数据端口,黑客可能直接伪造20端口,直接连接源地址的保留端口,这样就能充分保证FTP的安全性!这里的第三条涉及到TCP连接的建立问题。
下午首先介绍了防火墙的设计,然后介绍了NC、HappyBwoser、端口监听、扫描Winrote等软件,还有就是IIS的WWW和FTP服务器的安全配置。简单说一下:
1、防火墙的设计包括四种:屏蔽路由器、单宿主屏蔽主机、双宿主屏蔽主机、屏蔽子网,以最后一项最为安全,实际上现在的防火墙一般为3个端口,分别连接Internet、DMZ、Intarnet。
2、根据使用的软件不一样,使用方法也不一样,这里介绍的是一些不是很新,也不是功能最强大,但是很实用、有名的软件。
3、Web和FTP的安全,首先不要和系统装在同一目录下,另外可以改变目录的名称,禁止匿名、限制IP规则。
第三天
上午的课程是系统安全,有绿盟的陈**主讲。
主要包括:
安全标准
1、ITSEC:欧洲信息技术安全标准
2、TCSEC(Truste Computer Systems Evaluation Criteria),这个我们常见,
分为七个等级: D-C1-C2-B1-B2-B3-A1,其中A1最高,一般NT和Unix都能够达
到C2级。
3、Common Criteria;较新
NT的安全隐患及解决:
1、缺省设置信息资源暴露
2、缺省访问控制
3、弱口令加密
4、弱审核机制
解决的方法除了口令加密都可以在NT里解决,口令加密提供了第三方的接口。可以
更改管理员帐号;修改应用策略,比如限制和锁定;修改一个强壮的口令。
另外还可以修改注册表,给注册表设权限和进行审核。
Unix的安全隐患及解决:
1、主要安全漏洞
2、缓冲区溢出
解决的办法:1、给时间加限制 2、系统帐号限制使用 3、对未成功事件的审核 4、
搜索路径 5、限制Root Login 6、限制Shell 7、Time Out Idle User 8、监视用户
9、系统日志。
由于内容较多,我把一些内容结合了起来。
再附赠大家一个小知识:
SID的产生:计算机名+当前时间+当前用户线程所耗费CPU的时间进行运算出的128位唯一的编码。
下午做实验。一方面是NT方面的,有RedButton-扫工享;Nat-暴力破解;Key Loger:击键记录;WsPing:扫描软件;Shadow Scan:扫描软件;NT系统的安全策略,比如帐号锁定、帐号过期、修改注册表等等。NTFS权限的设置,这个就比较简单了!还有就是Resource Kit里面的一些工具,如SC、C2config。
第四天
上午的课程是安全审计的第一天,有绿盟的刘**主讲。
主要有以下几个问题:
一、安全审计:介绍了一些概念性的知识。
二、Discovery Methods:
(一)扫描步骤:1、了解网络情况
2、使用扫描程序(一般用Perl、C、C++、Java等编写)
3、扫描主机或者是网络
4、获得信息
(二)安全扫描:1.Whois
2.Nslookup
3.Host Command
4.Traceroute/Tracert
5.Ping Scanning
6.Share Scans
7.Port Scan
8.Stack FingerPrinting(堆栈指纹识别)
9.Telnet
10.Default Configuration&Path Level Scans
11.Snmp
12.TCP/IP服务
以上都有较详细的描述,这些大家日常都会用过一些,不过很少看到总结的这么详细的。
(三)要获得的信息:
网络级:拓扑、路由、防火墙、IP服务、Modem池
主机级:端口、数据库、服务器
三、审计Server、渗透测试和攻击
(一)攻击手段:1、字典攻击
2、中间人攻击
3、Hijacking attacks
4、病毒
5、伪造Server
6、DOS
(二)目标:1、路由器
2、数据库
3、Web Server
4、Mail Server
5、DNS
6、WINS
(三)审计:1、Bug
2、Trap Doors & Root Kits
3、DOS
4、Buffer overflow
5、非法Server、木马、蠕虫
第四天下午:安全审计(一)试验:
主要介绍了Port Scan、Ping Scan、Ping Propack以及Sniffer Pro软件的使用,前面几个软件是一些比较老的软件,功能上也没有特殊的。到是Sniffer Pro,Sniffer Pro软件从前也使用过,只是监控一些网络流量、故障点等等。今天用大量的时间介绍了如何捕捉各种协议、端口的报文,觉得把这个软件运用到实际工作当中是很有用的,你想捕捉别人的ICQ信息吗?或者是...总之是功能强大,据说有该公司有专门的课程,还需自己好好的研究、开发一下!
第五天
(四)、安全设计和流量控制
1、控制步骤:获得Root权限
搜索信息
开放新的安全问题
清除痕迹
展开到别的系统
2、口令:Unix:Locate of shadow-John the Ripper
NT:Loacte of sam._ -L0Phtcrack
3、擦日志:Web Server
FireWall
Smtp、Ftp Server Log
Database
Event Log
Applications Logs
Security Logs
(五)、入侵监测
1、定义:实时、被动、抓包
2、功能:流量管理、扫描、跟踪监测
3、分类:网络IDS、主机IDS、管理控制台
4、规则:主机范围、生效时间、描述、响应动作
5、主要产品:Axent Intrude alert、Cisco netanger、ISS realsecure、Etrust Instrusion Detection、NFR、NAI Cybercop monitor
(六)、审计和日志分析
1、防火墙和路由器日志:时间、来源&目标IP、来源&目标端口、协议类型、报文长度、状态等等。
2、系统: Unix: syslogd /etc/syslog.conf
Last /varlog/lastlog
...
NT:system
security
application
(七)、审计结果
提升路由器安全:1、物理
2、获得最新IOS
3、是否抵抗DOS
4、配置过滤规则
下午的实验要做Etrust、AntiSniffer、SSH等,由于时间关系就不介绍了。
|
