网络对抗原理浅析

0x01 前言

最近在静下来学技术,翻出老师讲课的网络对抗原理课ppt。
本篇从企业和实践工程角度看待和思考相关安全问题。

0x01 浅析

入侵与入侵检测

1.渗透

之前博客相应介绍过相应过程,本节不做详细介绍:—->渗透测试
老师讲课的图
大概总结如下阶段:

  • 信息收集
  • 漏洞检测
  • 漏洞利用和权限提升
  • 后渗透阶段
  • 安全评估报告

2.入侵检测

  • 识别与发现
    • 潜在威胁
    • 实时入侵
  • 检测方式

    • 特征检测(黑名单)
    • 异常检测(白名单)
  • 部署位置

    • 流量汇聚处
    • AAA认证
    • 日志汇聚处
    • 主机
  • 实时性(权衡和妥协)

    • 实时
    • 准实时
    • 事后
  • 响应

    • 联动
    • 告警
  • 工具

    • HIDS
    • IDS
    • 蜜罐
  • 实 例:

    • snort
    • WAF-Modesecurity lua
    • Agent-OSSEC
    • 日志分析系统
  • ModSecurity(五阶段)

    • Phase Request Headers
    • Phase Request Body
    • Phase Response Headers
    • Phase Response Body
    • Phase Logging
  • 蜜罐

  • 与狭义IDS区别
  • 面临问题:部署、灵活性、响应

DDos与抗D

DDos:分布式拒绝服务攻击
攻击路径:

  • 网络层DDos
  • 应用层DDos

攻击类型:

  • 网络层
    • ICMP Flood
    • UDP Flood
    • NTP Flood
    • SYN Flood
    • DNS Query Flood
  • 应用层
    • CC 攻击
    • REDos

攻击方式:

  • 资源消耗类攻击
  • 服务器消耗量攻击
  • 反射类攻击
  • 混合型攻击

攻击源:

  • 肉鸡、僵尸
  • IOT设备(收集)
  • 专业团队机房

抗D-防御方法
流量清洗:

  • 四层清洗

    • 支持非http流量
    • 不需要SSL证书
  • 七层清洗

    • 支持防CC

总体防护:

  • 准备备用ip
  • 配置供应商高防ip和回源策略
  • 制定预案和响应策略,演练

    网络安全体系和理论

    思考安全问题

    概念(安全含义太大):
  • security VS safety
  • security VS secrecy
  • security VS audit

两个维度:

  • 弱点

    • 漏洞 — 漏洞挖掘
    • 配置不当 — SDL
    • 设计缺陷 — ACL 防篡改
  • 攻击

    • 扫描 —-入侵检测
    • 渗透 —- 应急响应
    • DDos、Anti-DDos

避免攻防误区:

  • 逆向思维
  • 攻击者的活的
  • 攻击者是死的
  • 内部人员和系统是活的

防御者角度:

  • 更全的更细致的信息
  • 更强的操控权
  • 改变系统/制定流程的资格
  • 专职的人

防御体系构建(扬长避短)

  • 让系统规范
  • 加强对信息了解
  • 安全评估
  • 入侵检测
  • 及时响应

做好安全工作

了解企业:

  • 人员角色
  • 网络架构与运维
  • 应用架构与研发过程
  • 业务 与 经营

渗透路径启示

  • 网络访问的隔离与限制
  • 漏洞的发现和利用
  • 账号与权限

技术栈:

  • 客户端安全
  • 应用于系统安全
  • 应用安全
  • 业务安全
  • 数据安全

网络安全域划分与隔离

系统与网络安全

  • 安全域隔离与划分
  • 认证、授权和审计(AAA)
  • 边界入侵检测
  • 主机安全与配置

安全域划分与隔离:

ACL与防火墙

  • 包过滤防火墙和状态防火墙
  • NAT地址转换和ALG应用层网关
  • 五元组、N元组
  • 黑名单与白名单
  • 四层均衡负载与Firewall
  • UTM 与 NGFW

端口管理

  • 规范最小权限原则
  • 端口扫描,梳理端口
  • 维护和整改

数据安全

现状:

  • 业务数据泄密

    • 投诉
    • 案件
    • 客户信息
  • 公司机密泄密

    • 员工通讯录
    • 内部邮件、论坛
    • 战略机密、高管行踪

      问题原因

  • 有什么数据
  • 数据价值意义
  • 如何保护数据
  • 安全措施和数据之间的关系
  • 必要性和代价

特点与难点

  • 大部分不是技术的对抗
  • 主要目标在内不在外
  • 建立在已有的防御体系上
  • 又独立于已有的防御体系

解决方案:

  • 防渗透
  • 加密存储
  • 增强AAA
  • 水印
  • 建立保密等级制度

怎么做:

  • 数据梳理
  • 数据定级、打标
  • 针对数据级别的安全规范矩阵
  • 推出规则,控制增量
  • 实例评估、整改,消化存量
    处置方式:
    手段:
    • 明文、加密
    • 哈希
    • 水印
    • AAA
      级别变化:
    • 打星、脱敏
    • 聚合

数据级别(抽象数据划分):

类型维度:

  • 公司数据(B)
  • 用户数据(C)

级别维度:

  • 公开(1)
  • 共享(2)
  • 秘密(3)
  • 机密(4)

数据生命周期:

  • 生成
  • 传输
  • 存储
  • 读取
  • 展示
  • 转移
  • 销毁

注意事项

  • 避免在具体细节处纠缠—-自上而下推动
  • 避免描述和现状不一致——控制权
  • 考虑现状和可行性 —-不给自己挖坑

典型场景

用户场景:

  • 用户机密数据不能存储
  • 用户机密信息采集必须加密
  • 用户秘密数据不能前台展示
  • 用户机密数据不能后台展示
  • 用户秘密数据必须通过认证和授权才能被用户自己访问
  • 用户共享的信息必须经过用户授权才能共享给指定的的经过认证的其他用户

公司场景:

  • 公司秘密必须经过认证和授权才能访问,且必须有记录
  • 公司秘密信息的转移必须经过审批
  • 公司共享信息在展示时要加水印
  • 公司秘密数据不得存储在公司以外的网络和介质中
  • 公司贡献数据必须经过审批才能对外公开

应用安全

了解开发框架

MVC:

  • View Contronller Modle

RESTful:

  • 前端渲染

J2EE:

  • 客户层
  • 表示层
  • 业务逻辑层
  • 数据层

容器与Filter:

  • http服务器-Module
    • Apache
    • Nginx
  • 容器-容器Filter
    • JBoss
    • Tomcat
    • Jetty
  • 开发框架Filter、Serclet Filter
  • web层渲染
  • Ajax请求生成、Json结果返回
  • 数据层ORM

中间件:

  • 远程同步调用
  • 异步通知、消息总线
  • 分布式缓存
  • 分布式数据库
  • 集中配置管理
  • 同意的应用日志采集方案
  • 数据分析平台

常见的框架、软件:

  • Spring struts Hibernate
  • Spring MVc
  • ASp.NET
  • Django
  • THinkPHP
  • Angular

漏洞挖掘

  • 目标系统
  • 文档
  • 代码
  • 测试环境
  • 日志
  • 攻击者提供线索

安全开发

安全框架-告诉开发该怎么做
安全编码规范-告诉开发必须这么做
白盒审计-找出不这么做

SDL软件开发周期:

  • 需求评审
  • 设计评审
  • 技术评审
  • 测试用例评审
  • 开发阶段
  • 测试阶段
  • 上线阶段
  • 运营阶段
  • 下线

    业务安全

    三个层次:
  • 军队vs 军队

    • 渗透、扫描、DDos
    • 拼技术
  • 警察 vs 犯罪

    • 盗号、欺诈、羊毛、刷榜
    • 拼规则
  • 城管 VS 小贩

    • 垃圾信息、爬虫
    • 拼运营

基于规则:

  • 账号安全
  • 资金风控
  • 搜索反作弊
  • 广告反作弊
  • 返垃圾信息

基于模型:

  • 统计分析
  • 模式识别
  • 人工智能

逃逸机制

  • 验证码
  • 提供认证级别
  • 降级降权
  • 基于时间的解禁策略

系统实现:
打点机制
规则引擎
分析引擎
处理模块
效果分析

AAA与认证

AAA

概念

  • 认证(Authentication)
  • 授权(Authorization)
  • 计费或审计(Acounting or Audit)

应用场合(登录、验证)

  • 网络准入:有线、wifi、vpn
  • 服务器访问登录、认证、操作
  • 网站登录
  • 设备使用
  • 重要操作权鉴

认证方式

  • 基于口令
  • 基于生物特征
  • 基于凭证、证书

口令(哈希形式存储)

  • 文本
  • 数据库
  • unix、windows
  • ldap
    凭证(易丢失)
  • 证书
  • token
  • 手机短信
  • 邮箱
  • IP/mac
    生物特征(难伪造,随身携带)
  • 指纹
  • 人脸
  • 虹膜

认证模式:

  • PAP
  • Chap

Kerberos认证协议

  • 认证
  • 凭据
  • 秘钥交换

PKI(身份与公钥绑定)

  • CA
  • RA
  • 证书库
  • CRL

EAP协议

  • MD5
  • TLS
  • TTLS
  • PEAP
  • LEAP

Radius协议

  • File
  • Unix
  • LDAP
  • OTP
  • EAP

双因子认证:

  • 口令+
  • 不同场合,不同的选择与组合方式
  • 与二次认证区别

认证典型场合:

  • 网络准入

    • 有线、WiFi、vpn
    • EAP
    • LDAP
    • Radius
    • AC、交换机
    • WEP/WAP/WAP2
  • SSH

    • 口令
    • PAM
    • 证书
    • GSSAPI、KERBEROS
  • 网站登录

    • 登录验证
    • openid/oauth
    • SSO
    • Session共享
  • 二次认证

    • 业务安全
    • 策越与应用场景
    • 认证技术和方案
    • 框架

口令、认证攻防:

  • 弱密码、字典爆破、刷库、钓鱼
  • 验证码(放机器人、爆破)
  • 围绕次数验证
  • 分析与检测
  • 口令存储与传输

验证码缺陷:

  • ocr
  • 熵不够
  • 触发时更新
  • 答案外泄
  • 绑定Session 与绑定事务
  • 使用错误导致验证码不起作用

本文标题:网络对抗原理浅析

文章作者:Tea_Mh

发布时间:2019年03月15日 - 15:33

最后更新:2019年04月15日 - 17:11

原始链接:blog.manhao6.cn/2019/03/15/网络对抗原理浅析/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

Tea_Mh wechat
欢迎加我微信,交流交流
-------------    本文结束  感谢您的阅读    -------------