《网络信息安全》.ppt

蜜罐位置 蜜罐并不需要一个特定的支撑环境，它可以放置在一个标准服务器能够放置的任何地方。当然，根据所需要的服务，某些位置可能比其他位置更好一些。 通常放置的三个位置： 1.在防火墙前面； 2.DMZ中； 3.在防火墙后面。 5入侵响应技术 主动响应：入侵检测系统在检测到入侵后能够阻断攻击、影响进而改变攻击的进程。 形式：由用户驱动；系统本身自动执行 基本手段：①对入侵者采取反击行动（严厉方式；温和方式；介于严厉和温和之间的方式） ②修正系统环境 ③收集额外信息 被动响应：入侵检测系统仅仅简单地报告和记录所检测出的问题。 形式：只向用户提供信息而依靠用户去采取下一步行动的响应。 基本手段：①告警和通知 ②SNMP（简单网络管理协议），结合网络管理工具使用。 经过精心配置的Windows 2000 Server可以防御90%以上的入侵和渗透，但是，系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着，因此，做好Windows 2000 Server入侵检测工作非常必要。 下面介绍利用Windows 2000 Server自身的功能。 3 Windows 2000 Server入侵检测 1. 基于Web服务端口入侵的检测 大多数情况下，IIS的日志会记录它接收到的任何请求，所以系统管理员可以利用这点来发现入侵的企图，从而保护自己的系统。但是，IIS的日志往往很大，人工检查几乎不可能实现，可以使用日志分析软件。在进行日志分析时，建立一张敏感字符串列表，包含已有的IIS漏洞以及会调用的资源(如Global.asa、cmd.exe)，通过过滤这张不断更新的字符串表，可以了解入侵者的行动。使用日志分析软件会占用一定的系统资源，建议放在夜里空闲时使其自动执行。 3Windows 2000 Server入侵检测 2. 基于安全日志的检测 Windows 2000自带了安全日志系统，从用户登录到特权的使用都有非常详细的记录，但默认安装下安全审核是关闭的。 首先是在管理工具—本地安全策略—本地策略—审核策略中打开必要的审核。一般情况下，登录事件、账户管理、成功和失败审核非常必要，然后配置安全日志的大小及覆盖方式，如果配置不当入侵者就能够通过洪水般的伪造入侵请求覆盖掉真正的行踪。通常情况下，将安全日志的大小指定为50 MB并且只允许覆盖七天前的日志可以避免上述情况的出现。此外，要制定安全日志的检查机制，作为安全日志，推荐的检查时间是每天上午，这是因为，入侵者喜欢夜间行动。 3Windows 2000 Server入侵检测 3Windows 2000 Server入侵检测 除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，入侵者除了在安全日志中留下痕迹，在系统和应用程序日志中也会留下蛛丝马迹。 3. 文件访问日志与关键文件保护 对于关键的文件，要加设文件访问日志，记录对这些文件的访问。文件访问有很多的选项，如访问、修改、执行、新建和属性更改等。关注访问和修改就能起到很大的监视作用，如监视系统目录的修改、创建，部分重要文件的访问(如cmd.exe，system32目录等)，那么，入侵者就很难安放后门，但监视的关键文件和项目不能太多，否则会增加系统负担，扰乱日常的日志监测工作。 3Windows 2000 Server入侵检测 4. 进程监控 进程监控技术是追踪木马后门的有力武器，?90%以上的木马和后门是以进程的形式存在的。做一份服务器运行进程的列表，能帮助管理员迅速发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，DLL也是危险的东西，例如把原本是exe类型的木马改写为dll后用rundll32运行。 5. 注册表校验 一般木马或者后门都会利用注册表来再次运行自己，所以校验注册表来发现入侵也是常用的手法之一。应对的方法是运行监控注册表的软件监控注册表的任何改动，并定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。 3Windows 2000 Server入侵检测 6. 端口监控 对于用户来说，了解自己服务器上开放的端口非常重要，可以及时发现并记录是否被攻击。利用Windows 2000自带的netstat命令就可以实现这个功能。 首先建立一个批处理文件(如文件名为netlog.bat)，文件内容如下： time /tnetstat.log netstat -n -p tcp 10netstat.log 第一行是记录时间，time /t的意思是直接返回系统时间，用追加符号“”把这个时间记入netstat.log作为日志的时间字段。 3Windows 2000 Server入侵检测 第二行是每10秒钟自动查看一次TCP的连接