实验五:网络安全防范技术
实验要求
一、防火墙配置
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
二、动手实践:Snort
使用Snort对给定pcap文件(第4章中的解码网络扫描任一个pcap文件,之前的实践已经提供了,请在云班课中下载)进行入侵检测,并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。
Snort运行命令提示如下:
从离线的pcap文件读取网络日志数据源
在snort.conf中配置明文输出报警日志文件
指定报警日志log目录(或缺省log目录=/var/log/snort)
实验内容
(1) ICMP包过滤
虚拟机 | IP地址 |
---|---|
Kali-Linux(攻击机) | 192.168.200.4 |
Metasploitable(靶机) | 192.168.200.7 |
首先在Kali上安装iptables
sudo apt-get install iptables
安装完成以后需要退出root模式再输入以下命令才能打开iptables(比较神奇),查看
sudo iptables -L
可以看到目前iptables中已存在的一些链规则
首先是靶机Metasploitable和攻击机Kali的互ping
可以发现是能够连通的,
在kali机器中输入命令,过滤ICMP包
sudo iptables -A INPUT -p icmp -j DROP
再在Metasploitable机器中对kali进行ping
发现已经无法ping通了
(2) 特定IP地址访问
虚拟机 | IP地址 |
---|---|
Kali-Linux(攻击机) | 192.168.200.4 |
Metasploitable(靶机) | 192.168.200.7 |
WinXP(靶机) | 192.168.200.5 |
在主机上进行配置网络配置,使得某一或某些特定IP地址网络设备可以访问主机接口,其他则无法访问
首先在Kali机器上安装Telnet服务
sudo apt-get update
sudo apt-get install xinetd telnetd
输入以下命令将telnet进行启动
/etc/init.d/xinetd start
/etc/init.d/xinetd status
下载FTP服务
sudo apt-get install vsftpd
sudo mkdir /home/ftpuser //创建一个ftp用户文件夹
sudo useradd -d /home/ftpuser -s /bin/bash ftpuser
sudo passwd ftpuser //设置用户密码
sudo chown ftpuser:ftpuser /home/ftpuser //设置ftp目录用户权限
启动FTP服务
/etc/init.d/vsftpd start
/etc/init.d/vsftpd status
在Metasploitable上用ftp协议访问,成功
ftp 192.168.200.4
在WinXP上访问,成功
ftp 192.168.200.4
输入以下代码,对Metasploitable进行授权,只允许其访问主机服务
sudo iptables -A INPUT -p tcp -s 192.168.200.7 --dport 21 -j ACCEPT
sudo iptables -P INPUT DROP
再次在WinXP和Metasploitable上分别访问,可以发现WinXP已经无法访问了,Metasploitable还可以正常访问
(3) 用防火墙拦截ICMP包
虚拟机 | IP地址 |
---|---|
Kali-Linux(攻击机) | 192.168.200.4 |
WinXP(靶机) | 192.168.200.5 |
首先在开始前验证Linux和WinXP的连通性
在防火墙设置中关闭ICMP的回显
控制面板-管理工具-本地安全策略,创建IP安全策略
设置筛选器操作为阻止
可以看到Kali无法PING通了,但是Metasploitable仍然可以
(4) Snort分析
在kali上分析listen.pcap文件
sudo snort -c /etc/snort/snort.conf -r listen.pcap -K ascii
分析完毕以后输入命令查看分析记录
cd /var/log/snort
cat alert
可以看到相应的靶机端口、IP地址等等信息,在截图中可以看到检测到nmap扫描行为
(5) 分析配置规则
在HoneyWall这台机子上登录后,输入指令找到配置文件,切记要sudo模式打开
vim /etc/init.d/rc.firewall
查看iptables的规则
su -
iptables -L
2、查看snort规则文件
vim /etc/rc.d/init.d/snortd
可以看到配置网卡的信息
查看snort配置文件
vim /etc/snort/snort.conf
vim /etc/init.d/hw-snort_inline
可以看到一些路径信息等等
查看服务情况
chkconfig --list | grep iptables
chkconfig --list | grep snort
级别具体说明:
0: 系统停机(关机)模式,系统默认运行级别不能设置为0,否则不能正常启动,一开机就自动关机。
1:单用户模式,root权限,用于系统维护,禁止远程登陆,就像Windows下的安全模式登录。
2:多用户模式,没有NFS网络支持。
3:完整的多用户文本模式,有NFS,登陆后进入控制台命令行模式。
4:系统未使用,保留一般不用,在一些特殊情况下可以用它来做一些事情。例如在笔记本电脑的电池用尽时,可以切换到这个模式来做一些设置。
5:图形化模式,登陆后进入图形GUI模式或GNOME、KDE图形化界面,如X Window系统。
6:重启模式,默认运行级别不能设为6,否则不能正常启动,就会一直开机重启开机重启。
遇到的问题
问题1:HoneyWall无法找到iptables命令
答案1:要从su -模式进去而不是su,两者有区别