Posts for: #Security

国内网络安全风险评估市场与技术操作

版本控制

v0.1 04/01/2004 文档创建,包含大量示例文件内部发布
v0.2 04/19/2004 删除部份敏感信息,增加国内市场分析、BS7799和OCTAVE概述后,对外发布

近两年网络安全风险评估渐渐为人们所重视,不少大型企业尤其是运营商、金融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价,并试图阐述作者所理解的,可裁剪、易操作的风险评估方式。由于内容与商业公司有关,因此不可避免会涉及部份商业利益,在文中作者尽量隐去可能产生直接利害关系的文字,并声明所有评价纯属个人观点,如果你有不同意见,欢迎来函探讨。

1. 什么是风险评估

说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为: 特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。

为了帮助理解,我们举一个下里巴人的例子:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。

用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:

风险 = 钱被偷走
资产 = 100块钱
影响 = 晚上没饭吃
威胁 = 小偷
弱点 = 打瞌睡

回到阳春白雪来,假设这么个案例:某证券公司的数据库服务器因为存在RPC DCOM的漏洞,遭到入侵者攻击,被迫中断3天。

让我们尝试做一道小学时常做的连线题,把左右两边相对应的内容用线段连接起来:

风险        RPC DCOM漏洞
资产        服务器遭到入侵
影响        数据库服务器
威胁        入侵者
弱点        中断三天

如果这道题对你没什么难度,那么恭喜你,你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。

2. 国内现有风险评估操作模式

2.1 评估市场和竞争分析

如果按照高、中、低端简单对国内的风险评估市场进行分类,那么我们可以很清晰地看到,几类市场的操作方式完全不同。

国内高端市场主要被如IBM(普华永道)、毕马威这样类型会计师事务所类型的公司占领,往往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全公司,其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技……低端厂商则数量庞大,往往只是通过简单的漏洞扫描、病毒查杀等方式操作。

2.2 主要中端厂商的评估模式分析

以下分析中的数据来源为笔者在从事网络安全评估实践时通过各种渠道获得。但由于信息的时效性,未能确认当前文中所进行的表述与分析就代表着各家企业的最新评估发展状态。希望读者自行鉴别。

2.2.1 启明星辰

启明星辰2002年之前始终比较低调,但风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用BS7799到采用OCTAVE方法再到最终形成自己的网络安全风险评估的方法论、操作模型,有很多专业人员付出了大量劳动。下图是启明星辰的幻灯片中摘录的,他们评估发展的历程,在每个台阶上有该阶段所经过的项目名称,出于安全原因隐去。

启明星辰评估发展历程

业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方,但从启明星辰近期在几家大型客户那里的操作来看,较受客户好评。

启明星辰有较多在风险评估中可以应用的工具:

  1. 天镜评估版:扫描器,有专门用于风险评估的版本。
  2. 天清:又名SRC,指Security Risk Manage,基于ISO17799的量化、可视化的评估工具。
  3. 信息库:名称不详,能够直接导入天镜、Nessus、ISS等扫描器的扫描结果并生成报告。据说是较好的安全评估过程辅助工具。
  4. 本地评估软件包。

我理解的启明星辰风险评估特点为:

  • 博采众长:这一方面与启明星辰参与部份安全行业国家标准的制订有关,另一方面则是他们有着较多高学历员工,对高端咨询类型的提炼、深化抓得比较好,对评估要求看得透彻,写得清楚。
  • 变化较快:这可以说既是优点,也是缺点。在每次较大的评估项目中他们一般都要求有所突破。这逼着他们去创新,但同时也导致评估的方法论很容易有变动。

2.2.2 绿盟科技

绿盟科技从最初参与中国电信评估项目开始走进安全评估领域,挟其强大的系统研究技术优势进入市场。下图是他们一份讲稿中的评估流程描述:

[阅读全文]

2002年信息安全技术焦点峰会演讲幻灯片

(inburst_at_263.net)

包含以下内容:

Forensic Investigation-benhung

linux系统下端口复用技术-noble_shi

信息安全中的密码-sunrui

后门实现及检测-jbtzhm

基于网络流和包的病毒检测-seak

犯罪取证-funiandong

Adhoc安全防护-benjurry

DDOS攻防与追踪-refdom

HP-UX溢出程序编写点滴-watercloud

Linux kernel exploit研究和探索-alert7+e4gle

溢出植入型木马-flashsky

2002年信息安全技术焦点峰会演讲幻灯片之一

2002年信息安全技术焦点峰会演讲幻灯片之二

以上pps文件请用office XP打开

2002年信息安全技术焦点峰会演讲幻灯片pdf文件

关于安全焦点

一、这个鬼地方

1、定位

全方位、非商业而且有自己独特风格的黑客及安全站点。

2、目的

a、整理和发掘网络安全、黑客方面技术文献及工具、代码。

b、发布我们——包括任何一个对安全有想法的朋友——的想法和发现,为大家提供发布文章及安全、黑客相关工具的园地。

c、结识更多有共同志向的朋友,共同研究、讨论网络安全的方方面面。

3、历史

1999年8月,个人主页安全焦点由xundi发起建立。以这个站点为中心,几个对网络安全有一定兴趣的朋友便聚到了一起。聊天、学习,并且把自己的心得体会告诉大家。

2000年1月1日,站点改版。风格简单得不能再简单,实用——这是大家都欣赏的。

2001年1月1日,站点改版,加入了漏洞利用程序的搜索引擎,整个主页由perl驱动。

2001年3月17日,站点改版,由php+mysql驱动。加入论坛、CVS项目、IRC、知识问答等,并把漏洞利用程序搜索引擎替换为在功能定义上更为完善的漏洞数据库。这次改版从形式到内容,都将是一个比较大的飞跃,站点有了很强的可扩展性。与国内同类网站相比,我们希望有更好的文档和工具分类,更深入的归纳整理,更强大的检索功能,成为文档和工具中心可能是我们的发展方向之一。在这些方面应该说我们做了一些不错的工作;而且我们希望在CVS项目上能够带起一个学习、研究系统、网络的风气,更希望这能促进国内的网络安全事业朝更健康的方向发展。

4、结构

a、安全及黑客文献

提供安全及黑客相关的文档资料,包括原文,译著和自创文章,数量尽可能多,覆盖面尽可能广。现分为以下几类:

  • 黑客教学: 比如samsa的黑客教学文章,invisable evil的黑客教学等一些入门读物。
  • 漏洞测试: 比如wuftp260,rpcstatd,bind这类漏洞的分析及exploit的使用。
  • 安全配置: 在这可以放上诸如linuxsos-1.1.pdf之类的文章
  • 专题文章: 与安全相关的技术性专题文章,比如buffer overflow,format bug,lkm之类的文章
  • 编程技术: 与安全相关的编程技术文献,比如rpc,tcp/ip编程方面的资料
  • 火墙技术: 与防火墙应用相关的文档
  • 入侵检测: 被黑后的补课学习 :)
  • 工具介绍: 各种安全及黑客工具的使用介绍
  • 破解专题: Crack!破解与黑客从来就是密不可分的

b、安全及黑客工具

提供安全及黑客方面的工具,与安全文档一样,分成了以下几类:

  • 扫描器(scanner): 如nessus,nmap,sscan,satan等等
  • 拒绝服务工具(DoS): 如synk4,targa,tfn等等
  • 嗅探器(sniffer): 如sniffit,sunsniff等
  • 木马(trojan): 比如冰河 :)
  • 口令破解器(password cracker): 如John
  • 后门程序(backdoor): 如cd00r.c
  • 防火墙(firewall): 如天网,its
  • 入侵检测(ids): 如portsentry,watch.c等
  • 完整性检测: 如tripwire
  • 网络工具: 如putty等功能强大的辅助性工具
  • 加密解密: 如PGP等加解密算法的工具

c、漏洞引擎

对漏洞的种类和形成原因进行分析之后,搜集整理形成的一个数据库,从整体思想上来说,应该比国内同类引擎更加先进,只是数据资料还需要不断地增补录入,才能满足分类、研究的目的。感兴趣的同志可以参见站内文章《计算机网络系统安全漏洞分类研究》,欢迎就此进行探讨。

d、自由项目

希望能够有一些Free的project,我们自身的技术水平得到提高,并去掉一些浮燥的想法和行为,更踏实的做事。

e、安全论坛

论坛家家都有,但做得如何,就需要各显神通了,我们会尽力做的更好。

二、这帮兄弟们

alert7 生活和技术都挺扎实的家伙。

[阅读全文]

建立virtual honeynet

(quack_at_xfocus.org)

建立virtual honeynet

作者:Etsh911[email protected]

整理:quack

日期:2002-06-19

☆ 介绍

    Virtual Honeynet所需要的费用较低,但功能强大、易于管理。这篇文档将尽量清晰地对建立Virtual Honeynet的过程进行描述,在开始之前,我们需要了解下面一些内容:

  ★ 何谓DCAP与DCON

    DCAP(Data CAPture–数据搜集)工具是指我们用来捕获网络中的数据流或者主机上的动作的系列工具。这些工具可能放置在Honeynet中的任何地方,用来搜集攻击者的所有举动。

    DCON(Data CONtrol–数据控制)工具是指我们用来限制网络资源活动的设备、系统或程序。譬如一个防火墙可以限制主机外发连接的数量,这就是数据控制。

    在本文档中,象SNARE就是作为数据搜集工具工作的,而fwbuilder,则是数据控制工具。

  ★ 什么是IDS

    IDS(Intrusion Detection Systems–入侵检测系统)是用来发现并且减少风险的工具。

Danny Rozenblum有一篇关于IDS的经典文档<Understanding Intrusion Detection Syste

ms>,可以参见http://www.sans.org/infosecFAQ/intrusion/understand.htm

    

  ★ Honeynet及其与Honeypot的区别

    Honeynet模拟出一个真实的网络环境来捕获并且研究入侵者的行为。而Honeypot只是一台运行着模拟和记录程序的一台单独设备(例如一台服务器上运行着嗅探器、键盘记录工具并且伪装出部份存在脆弱性的服务),Lance Spitzner[email protected]对此有一些深入的分析,可以参见http://www.enteract.com/~lspitz/honeypot.html

  ★ OpenSSH

    OpenSSH是SSH的自由软件版本,用于替代互联网上以明文方式进行连接管理的telnet、rlogin、rsh、ftp等程序的,它对包括密码在内的所有的通信进行加密,可以消除网络中嗅探、连接劫持的危险。

  ★ User-Mode-Linux

    User-Mode-Linux是一种相当于在安全模式下(用户空间)运行Linux应用程序的工具,在测试有bug的程序、测试新内核或者在你的Linux中瞎折腾时,可以使用它以保护你系统的软、硬件不受损坏。

    可以从http://sourceforge.net/projects/user-mode-linux/或者http://www3.informatik.unierlangen.de/Research/Projects/UMLinux/umlinux.html获得User-Mode-Linux的最新版本进行测试。在Linux Magazine有一篇介绍性文字,可以参见http://www.linux-mag.com/2001-04/user_mode_01.html

  ★ Honeynet的优缺点

    优点在于:

    如果你的Honeynet存在于你真实的生产环境中,那么多数攻击者在入侵到你的真实系统前,会被Honeynet所吸引。

    通过一段时期的监控,能够帮助建立更为准确有效的安全策略。

    Honeynet有助于学习应急响应的技能。当一台Honeynet的机器被入侵后,你必须从中找出入侵者留下的痕迹,而所有这一切技能都不可能靠凭空想象得来的。

    许多攻击者把入侵行为当成一种挑战,所以你可以将你的真实网络环境另外镜像一份放到防火墙之外供人攻击,以此来考验你的网络配置的坚固程度。

    或者,你也可以把Honeynet当成学习入侵者的攻击策略、方法、技能和工具的一种手段。

    缺点在于:

    你必须将你的Honeynet的管理员权限拱手让给入侵者,最危险的事情在于,入侵者有可能会将你的Honeynet作为攻击他人的跳板,从而给Honeynet带来麻烦。

    你必须小心谨慎地配置你的网络,以避免在你Honeynet主机上取得最高权限的入侵者,通过一些配置或者程序上的漏洞突破Honeynet进入生产网络。

    Honeynet有可能使你获得一些错误的信息,反而危害你系统的安全。(比如通过对Honynet的研究你认识到telnet明文传输通信是不安全的,决定用ssh来替代它,但你安装了ssh1服务――但某些版本的ssh1存在严重安全漏洞可能导致最高权限的丧失)

  ★ Honeynet的类型

    Honeynet可以分为多种类型,由于篇幅所限,这里仅讨论主要的两种:

    传统的Honeynet:

    传统的Honeynet中的每个点采用的都是真实的主机系统,但这种方式由于费用高昂和管理困难这两个弱点,现在不被推荐使用。很多这种类型的Honeynet都是由于费用和管理上的问题,在开始一段时间后无力维持而夭折了。

    虚拟Honeynet:

    虚拟Honeynet则是采用虚拟环境(由各种虚拟机之类的工具)构造出一个模拟真实生产状态下的网络,这样可以在不丧失传统Honeynet优势的基础上使配置、管理和费用下降

。Honeynet Project<http://project.honeynet.org/>的成员MikeClark<mike@honeynet

.org>有一篇很好的关于虚拟Honeynet的文档,可以参见http://www.securityfocus.com/

infocus/1506

  ★ 注意要点

    Honeynet中的系统必须是基本的、尽量少修改的环境(至少不能让入侵者察觉这是一个陷阱)

    如前面所说的,Honeynet的一个危险之处是必须防止入侵者利用它攻击第三方,这可能有很多种实现方式,比如你可以简单限制从Honeynet系统外发的连接数量。

    你的Honeynet最好要遵守由honeynet research alliance(Honeynet研究联盟)在文章http://project.honeynet.org/alliance/requirements.html里所涉及的一些定义、需求和标准。

[阅读全文]