因為攻擊者不希望受害者知道計算機正在被攻擊。受害機器的管理員希望最大程度地減少攻擊的可能性,因此,他們將設置防火墻和IDS / IPS系統以避免此類連接。
一個端口就是一個潛在的通信通道,也就是一個入侵通道。對目標計算機進行端口掃描,能得到許多有用的信息。進行掃描的方法很多,可以是手工進行掃描,也可以用端口掃描軟件進行掃描。在手工進行掃描時,需要熟悉各種命令。對命令執行后的輸出進行分析。用掃描軟件進行掃描時,許多掃描器軟件都有分析數據的功能。通過端口掃描,可以得到許多有用的信息,從而發現系統的安全漏洞。以上定義只針對網絡通信端口,端口掃描在某些場合還可以定義為廣泛的設備端口掃描,比如某些管理軟件可以動態掃描各種計算機外設端口的開放狀態,并進行管理和監控,這類系統常見的如USB管理系統、各種外設管理系統等。
滲透測試風險如下:
如果應用系統存在一些文件寫入方面的漏洞,測試時可能會自動寫入臨時文件進行測試但不對現有文件進行修改刪除等操作;
如果網站存在一些數據插入的功能模塊,可能在測試中插入大量測試數據;
如果網站存在一些數據刪除的功能模塊,可能在測試中提交修改和刪除的操作;
測試過程中會提交一定數量的HTTP請求,可能會引起服務器負載升高,如果服務器本身負載已經過高則會導致宕機;
某些測試工具或者設備會對服務器造成傷害。
Linux 下數據庫安全漏洞有以下這些常見類型:
網絡協議中未經驗證的漏洞:這個類別中著名的bug是NGS公司的Chris Anley在Oracle的extproc機制中發現的一個漏洞,它允許遠程的、未經驗證的緩沖區溢出。NGS公司的Mark Litchfield還在Oracle的驗證處理代碼中發現了漏洞,在這種漏洞下,超長的用戶名將觸發可利用的棧溢出(CAN-2003-0095)。David Litchfield還在DB2的JDBC AppletServer中發現了一個漏洞(沒有CVE,但bug的id號為11401),它允許遠程的、未經驗證的用戶觸發緩沖區溢出。通常,防御這類問題、保護自己的最好方法是打補丁。然后,應該努力確保只有可信任的主機才能連接到你的數據庫服務器,可以通過其他一些驗證機制,如SSL/SSH或IPSec來加強這種信任。根據你的數據庫服務器所履行的角色而定,這需要一定的技巧。另一種可行的防御辦法是實現IDS(Intrusion DetectionSystem,入侵檢測系統)或IPS(Intrusion Prevention System,入侵預防系統)。在有關安全的著作中已廣泛討論過這些系統,它們的價值具有爭議。盡管IDS能夠(有時)告知你處境危險,但它通常不會防止危險發生。當然,IDS能制止潛在的攻擊者,或者曝光那些不幸的攻擊者,倘若這些系統能對熟練的人員、好的防范以及不錯的程序進行補充(而不是替換),那么它們還是值得實現的。另一方面,IPS的確防御了部分攻擊。但是根據調查,只要做少量的工作就能繞過IPS,因此大部分情況下的安全保障,只能指望攻擊者不知道你使用了哪種商業IPS。有人可能會推薦某個IPS,說它能在一定程度上阻止所有任意代碼執行的攻擊,這確實是一件極好的事情。然而,這樣的可能性極小。
網絡協議中經過驗證的漏洞:這類漏洞比較少。這可能反映了在安全研究領域中,與未經驗證的bug相比,人們對遠程的、經過驗證的漏洞的關注程度低一些。David最近又在DB2中發現了同類型的另一個漏洞,這個漏洞是攻擊者指定的超長本地LC_TYPE的。數據庫會在用戶驗證后使用LC_TYPE,它會觸發溢出。還有其他一些bug屬于這種類型,這些bug通常是關于Web應用服務器組件的。因為我們關注的是數據庫本身,所以不會討論它們。通常,保護自己不受這類bug侵害的最好方法是仔細控制那些訪問數據庫的用戶;強健的口令策略將會有所幫助——只要你不使用明文驗證協議(稍后介紹)。審核已驗證的用戶也是好方法。如果有人嘗試強制猜出口令,而他的確成功了,這一定會使你煩惱,但至少你還知道從何處開始檢查。
驗證協議中的漏洞:有一些數據庫系統使用明文(plaintext)驗證協議,這種協議是指口令以明文形式或者很容易解碼的形式在線路上進行傳輸。在默認配置中(Sybase公司對此發出了警告,但我們看到它仍然被使用),Sybase以明文形式傳輸口令。在這兩種情況下,銷售商都警告說不要使用他們驗證協議中的明文版本,并且提供了配置相對簡單而強健的加密機制——但使用默認設置的情況依然存在,它們依然很危險。從歷史上看,MySQL已經在驗證協議方面產生過大量嚴重的問題。4.1版本以前的MySQL中驗證協議還存在更深層次的問題,協議僅僅測試了口令信息的相關知識,還不是口令本身。如果用戶在某種情況下能夠確定另一個用戶的口令信息,這將導致非常嚴重的問題。眾多問題中就已經存在一些可能導致這種現象的問題。
未經驗證訪問功能:有些與數據庫相關的組件允許對功能進行未經驗證的訪問,而實際上它們恰恰需要驗證。下面舉例說明:David Litchfield曾發現Oracle 8和9i TNS Listener有這樣的問題,遠程的、未經驗證的用戶能夠通過“extproc”機制(CVE-2002-0567),下載并執行任意函數。此函數可以有任意的原型,所以這種攻擊模式顯然是為了下載1ibc或msvcrt庫(依賴目標平臺),并且執行“系統”函數,以允許攻擊者能夠執行任意命令行。命令一旦被執行,就使攻擊者擁有了這樣的特權,數據庫將如同UNIX系統上的“Oracle”一樣運行,或者使攻擊者成為相當于Windows系統下的本地系統用戶。目前,David Litch field揭示了這樣一個問題,即在Oracle作為安全背景來運行系統的情況下,能夠允許任一本地用戶執行命令(CAN.2004-1365)。這個問題與先前列出各問題的運行機制幾乎完全相同(CVE-2002.0567),不同之處在于,這種錯誤利用了extproc在本地主機上設置的隱式信任機制。Oracle并不認為這是個問題,但必須警告你,千萬不要忘了考慮安全隱患,而允許用戶掌控Oracle服務器的shell。很明顯,允許用戶掌控數據庫服務器shell無論如何都是危險的,但如果存在一種已知的、被引證的向量,它用來應對銷售商無法修復攻擊的情況,那么這就是特例了。
硬件木馬可以分為以下類型:
組合型木馬:是指當電路的某個內部信號或節點出現特殊條件時才激活的組合電路;
時序型木馬:是指當有限狀態機(FMS)檢測到某些內部電路信號狀態出現特殊的序列時才激活的時序電路;
觸發型木馬:觸發部分就是激活木馬的機制,木馬一觸發就會發送一個或多個信號給木馬有效載荷部分;
有效載荷型木馬:有效載荷部分就是觸發后木馬發揮功能的電路,木馬有效載荷部分就會工作,發生作用,從而破壞芯片或改變其功能;
外部激活型木馬:外部激活,如通過天線或傳感器與外界相互影響;
永久激活型木馬:永久是指木馬一直都處于激活狀態,可以在任何時候破壞芯片;
條件型激活木馬:是指只有符合特定的條件時才被激活的木馬;
活動特性型木馬:活動特性是指木馬植入電路之中可能發生的作用;
修改功能型木馬:修改功能型是指通過增加邏輯,或者刪除或繞過現有的邏輯來改變芯片功能的木馬;
修改規格型木馬:修改規格型是指以修改芯片的性能參數作為攻擊重點的木馬,如攻擊者修改設計中的連線和晶體管的幾何布局而改變延遲;
發送信息型木馬:發送信息型是指發送關鍵信息給攻擊者的木馬;
常用查找漏洞方法如下:
信息收集過程中查找漏洞:在信息收集的根本上找到目標軟件系統的系統漏洞,通過信息收集過程中收集一些已經暴露在公網上的某些服務器漏洞或者系統漏洞;
通過漏洞掃描查找漏洞:通過掃描已經授權的網站或者服務器,對比漏洞庫來發現漏洞甚至可以發現零日漏洞;
通過登錄等表單查找漏洞:很多客戶網站并沒有對用戶前端輸入框也就是表單的參數值進行安全過濾,導致賬戶名字與密碼里可以插入惡意的參數值,導致SQL注入漏洞的發生,再一個就是使用萬能的密碼進行登錄,可以繞過數據庫,直接登錄網站。
目前有以下幾種基本的方法保護緩沖區免受緩沖區溢出的攻擊和影響:1.
編寫正確的代碼:編寫正確的代碼是防止緩沖區溢出攻擊最直接最有效的方法,也是一件非常有意義的工作,特別是編寫像C語言那種具有容易出錯傾向的程序更顯得很有意義。然而,盡管花了很長的時間使得人們知道了如何編寫安全的程序組,但是具有安全漏洞的程序依舊出現。為此,人們又開發了一些工具和技術來幫助經驗不足的程序員編寫安全正確的程序代碼。最簡單的方法就是用grep來搜索源代碼中容易產生漏洞的庫的調用,然而依然有漏網之魚存在。為了應對這些問題,人們又開發了一些高級的查錯工具,如faultinjection等。這些工具的目的在于通過人為隨機地產生一些緩沖區溢出來尋找代碼的安全漏洞,還有一些靜態分析工具,用于偵測緩沖區溢出的存在。
非執行的緩沖區:通過使被攻擊程序的數據段地址空間不可執行,從而使得攻擊者不可能執行被植入被攻擊程序輸入緩沖區的代碼,這種技術被稱為非執行的緩沖區技術。事實上,很多舊的UNIX系統都是這樣設計的,但是近來的UNIX和Windows系統為實現更好的性能和功能,往往在數據段中動態地放入可執行的代碼,所以,為了保持程序的兼容性,不可能使得所有程序的數據段不可執行。針對這一問題,用戶可以設定堆棧數據段不可執行,這樣就可以最大限度地保證了程序的兼容性。Linux和Windows都發布了有關這方面的內核補丁,因為幾乎沒有任何合法的程序會在堆棧中存放代碼,這種做法幾乎不產生任何兼容性問題,但是在Linux中的兩個特例中,可執行的代碼必須被放入堆棧中,因此這個方法雖好,但還是不能完全地杜絕所有的緩沖區溢出漏洞的攻擊。
數組邊界檢查:數組邊界檢查能防止所有的緩沖區溢出的產生和攻擊。這是因為只要數組不能被溢出,也就是說,如果數據不允許超過長度,溢出攻擊也就無從談起。為了實現數組邊界檢查,就需要把所有對數組的讀寫操作都檢查一遍,以確保對數組的操作在正確的范圍。最直接的方法是檢查所有的數組操作,但是通常可以來用一些優化的技術來減少檢查的次數。
程序指針完整性檢查:程序指針完整性檢查和邊界檢查有略微的不同。與防止程序指針被改變不同,程序指針完整性檢查在程序指針被引用之前檢測到它的改變。因此,即便一個攻擊者成功地改變程序的指針,由于系統事先檢測到了指針的改變,因此這個指針將不會被使用。與數組邊界檢查相比,這種方法不能解決所有的緩沖區溢出問題;采用其他的緩沖區溢出方法就可以避免這種檢測。但是這種方法在性能上有很大的優勢,而且兼容性也很好。
從技術上來說入侵檢測系統分為以下三種:
基于知識的模式識別:這種技術是通過事先定義好的模式數據庫實現的,首先把各種可能的入侵活動均用某種模式表示出來,并建立模式數據庫,然后監視主體的一舉一動,當檢測到主體活動違反了事先定義的模式規則時,根據模式匹配原則判別是否發生了攻擊行為。模式識別的關鍵是建立入侵模式的表示形式,同時,要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為,屬已知類型,對新類型的入侵是無能為力的,仍需改進。
基于知識的異常識別:這種技術是通過事先建立正常行為檔案庫實現的,首先把主體的各種正常活動用某種形式描述出來,并建立“正常活動檔案”,當某種活動與所描述的正常活動存在差異時,就認為是“入侵”行為,進而被檢測識別。異常識別的關鍵是描述正常活動和構建正常活動檔案庫。利用行為進行識別時,存在四種可能:一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據異常識別思想,把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為,并具有簡單的學習功能。
協議分析:這種檢測方法是根據針對協議的攻擊行為實現的,首先把各種可能針對協議的攻擊行為描述出來,其次建立用于分析的規則庫,最后利用傳感器檢查協議中的有效荷載,并詳細解析,從而實現入侵檢測。這種檢測技術能檢測出更為廣泛的攻擊,包括已知的和未知的攻擊行為。
無線局域網安全防護策略如下:
靜態IP與MAC地址綁定:無線路由器或AP在分配IP地址時,通常是默認使用DHCP即動態IP地址分配,這對無線網絡來說是有安全隱患的,“不法”分子只要找到了無線網絡,很容易就可以通過DHCP而得到一個合法的IP地址,由此就進入了局域網絡中。因此,建議關閉DHCP服務,為家里的每臺電腦分配固定的靜態IP地址,然后再把這個IP地址與該電腦網卡的MAC地址進行綁定,這樣就能大大提升網絡的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因為還要驗證綁定的MAC地址,相當于兩重關卡。
有效隔離:在WLAN中,可以利用虛擬局域網把一個局域網從邏輯上分成幾個獨立的廣播域。網絡將根據無線客戶端的身份,而不是它的物理位置分配和執行 WLAN 策略。根據不同的身份為每個VLAN分配不同的SSID,當 WLAN與某個特定的VLAN關聯時,用戶通過SSID可以獲得對該VLAN上的網絡資源的訪問權限。同時若將AP安裝在像防火墻這樣的網絡安全設備的外面,可以阻止流量監聽和流量分析等攻擊手段。此外,通過對無線網絡設備的設定,建立基于MAC地址的訪問控制列表,AP將對收到的每個數據包的源地址做出過濾,只有在訪問控制列表中的地址才能被轉發,否則將會被丟棄或攔阻。
加強WLAN的身份認證:身份認證是防護網絡安全的前提,一般家庭用戶可以啟用預共享密鑰PSK來進行用戶的身份認證,但如果對安全要求較高的企業和政府部門的WLAN系統必須使用增強的企業級安全認證方案 802.1x/EAP。
監測非法無線局域網設備:無線局域網環境下的設備安全狀況可以借助監控裝置捕獲到的結果來進行分析評估,首先對捕獲設備部署數據幀以作為數據采集點。采集點設備的性能越高,則無線環境信息采集的精確度越高,同時部署的密度越高,信息采集的覆蓋率越高。然后通過監測捕獲無線環境下的數據幀,獲取到各種 AP與無線終端設備的相關信息,再通過分析采集到的終端設備和AP發送信息,可以繪制出無線局域網拓撲結構,檢測出釣魚接入點、 違規外聯內網終端與 Ad-Hoc(點對點)無線直連模式,進而評估整個無線局域網環境下的設備安全狀況,除此之外,對于設備的嚴格控制,可以通過設置黑白名單實時對非授權設備進行報警。
部署無線入侵防御系統(WIPS):WIPS可以對有惡意的用戶攻擊和入侵行為進行早期檢測,保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。WIPS可以在不影響網絡性能的情況下對無線網絡進行監測,從而提供對各種攻擊的實時防范。可以進行對非法 AP及非法的客戶端進行檢測,防御DOS攻擊及進行無線網絡的接入控制。
改變服務集標識符并且禁止SSID廣播:SSID是無線接人的身份標識符,用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備制造商設置的,并且每個廠商都用自己的缺省值。需要給你的每個無線接入點設置一個唯一并且難以推測的SSID。如果可能的話。還應該禁止你的SSID向外廣播。這樣,你的無線網絡就不能夠通過廣播的方式來吸納更多用戶。當然這并不是說你的網絡不可用.只是不會出現在可使用網絡名單中。
制定網絡安全審查辦法的目的是:
產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;
產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
產品和服務提供者遵守中國法律、行政法規、部門規章情況;
其他可能危害關鍵信息基礎設施安全和國家安全的因素。
信息系統安全等級保護分為五級,一級防護水平最低,最高等保為五級。
第一級(自主保護級):一般適用于小型私營、個體企業、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息統信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級(指導保護級):一般適用于縣級其些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級(監督保護級):一般適用于地市級以上國家機關、企業、事業單位內部重要的信息系統,例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統。跨省或全國聯網運行的用于生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省(區、市)門戶網站和重要網站;跨省連接的網絡系統等。信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級(強制保護級):一般適用于國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級(專控保護級):一般適用于國家重要領域、重要部門中的極端重要系統。信息系統受到破壞后,會對國家安全造成特別嚴重損害。
威脅情報是基于證據的知識,包括上下文、機制、指標、隱含和可操作的建議,針對一個現存的或新興的威脅,可用于做出相應決定的知識。威脅情報就是能幫助你識別安全威脅并做出明智決定的知識。企業需要威脅情報威脅情報是可以解決以下問題:
針對大量的安全威脅信息,包括網絡威脅者、威脅方式、漏洞、目標等等,如何跟上時代的步伐?
如何主動獲取關于未來安全威脅的信息?
如何通知領導關于特定安全威脅的危險和所帶來的后果?
攻擊可以大致歸類為基于用戶的、基于應用程序的和基于基礎設施的威脅。一些最常見的威脅是SQL注入、DDoS、Web應用程序攻擊和網絡釣魚。擁有一個IT安全解決方案是非常重要的,因為它能夠提供威脅情報的能力,并通過主動式和響應式地來管理這些攻擊。攻擊者在不斷改變他們的方法來挑戰安全系統。因此,企業機構就不可避免地從各種源頭獲取到威脅情報。
遵循合法、正當、必要的原則,相關要求如下:
權責一致。采取技術和其他必要的措施保障客戶信息的安全,對于客戶信息處理活動對客戶合法權益造成的損害承擔責任。
目的明確。具有明確、清晰、具體的客戶信息處理目的。
選擇同意。向客戶明示信息處理目的、方式、范圍等規則,征求其授權同意。
最小必要。只處理滿足客戶授權同意的目的所需的最少客戶信息類型和數量。目的達成后,要及時刪除客戶信息。
圖片
公開透明。以明確、易懂和合理的方式公開處理客戶信息的范圍、目的、規則等,并接受外部監督。
確保安全。具備與所面臨的安全風險相匹配的安全能力,并采取足夠的管理措施和技術手段,保護客戶信息的保密性、完整性、可用性。
主體參與。向客戶提供能夠查詢、更正、刪除其客戶信息,以及撤回授權同意、注銷賬戶、投訴等方法。
入侵檢測系統的主要任務是監測和幫助系統對付網絡攻擊,同時擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性,是對防火墻的一種合理補充,它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。
入侵檢測系統包括以下部分組成:
系統異常檢測:計算機網絡入侵檢測系統的異常檢測主要作用就是針對網絡的上行與下載的數據流量進行實時的監測與分析。網絡的流量使用情況具有著突發性的特點,對于系統的異常檢測也有著不穩定性的特點。通過對網絡流量的使用情況進行分析,結合系統的使用強度之間存在的關系,對實際網絡流量進行具體的分析。一旦在計算機系統的休眠時間,發生了異常的網絡流量與數據傳輸,發出安全警報,對計算機的信息進行防護,從而實現了對系統異常的監測。
系統分析檢測:計算機網絡入侵檢測系統的分析檢測主要是對具體的模塊以及系統網絡協議進行解碼。實現網絡端口與具體的 IP 地址進行解碼,通過解碼進行轉變,滿足入侵檢測的數據接口進行實時防護。加強對具體的網絡協議端口的監測。分析檢測通過對協議端口的分析以及網絡協議的順序進行逐級防護,對不同的協議端口的特點進行分析,實現不同特點防御與檢測。
系統響應檢測:計算機網絡入侵檢測系統的響應檢測分為被動檢測與主動檢測兩個不同的方式。被動檢測所指的是在計算機網絡入侵檢測系統發現了入侵行為以后直接進行防御與反擊的行為動作。主動響應是進行自動攻擊、主動防御。可以根據用戶對系統的具體設置進行及時的防御。被動響應根據大數據的分析對可能產生的網絡攻擊及時的反饋給用戶,讓用戶進行甄別是否需要進行安全防御與檢測。這兩種方式都有著不同的缺點,首先,被動防護由于防御與檢測的最終權限在用戶的手中,由于用戶的疏忽很容易造成系統被破壞,信息被竊取。而主動防護雖然實現了主動出擊對計算機網絡進行防御與檢測,但也容易造成判斷失誤而對系統中的重要信息內容的誤判而影響計算機信息的完整性。
主動掃描檢測:計算機網絡入侵檢測系統的主動掃描檢測就是我們日常中打開一些殺毒軟件進行系統漏洞的掃描與插件缺失的掃描。在具體的設計中很難實現對計算機網絡整體的安全掃描有效的實現網絡安全防護工作。系統漏洞的掃描是通過大數據的系統安全防護與用戶使用系統進行對比判斷,如果在掃描與比對過程中發現了不同之處則讓用戶進行重點排查與判斷,是否存在系統安全隱患問題,讓用戶可以有選擇性的進行修復。
大多數防火墻規則中的處理方式主要包括以下幾種:
Accept: 允許數據包或信息通過。
Reject: 拒絕數據包或信息通過,并且通知信息源該信息被禁止。
Drop: 直接將數據包或信息丟棄,并且不通知信息源。
缺省規則有兩種選擇:默認拒絕或者默認允許。
滲透測試尋找切入點方法如下:
使用漏洞掃描器:使用漏洞掃描器對要滲透的服務器或者網站做相應的漏洞掃描,通過掃描出的漏洞來作為滲透測試的切入點,這種辦法最為簡單且成功率較高;
選擇相應端口:這種方法就是先借助一些端口識別工具發現服務器開放了什么端口,在根據所開放的端口查找相對應的服務,然后查找這些服務的漏洞來作為切入點;
web網站:先查找是否有web服務,然后通過對這些web服務所對應的網站進行一些xss、SQL注入的簡單測試來以此為切入點;
中間件:查找使用的什么類型的中間件,找出中間件的版本然后去網站搜索相應版本的中間件有什么公共漏洞以此為切入點。
