20222937 2022-2023-4 《网络攻防实践》第五周作业

20222937 2022-2023-4 《网络攻防实践》第五周作业

0.学习总结

防火墙概述

• 防火墙（Firewall）是一种将内部网络和外部网络分开的方法，是提供信息安全服务，实现网络和信息系统安全的重要基础设施，主要用于限制被保护的内部网络与外部网络之间进行的信息存取及信息传递等操作。
• 防火墙是一个分离器，一个限制器，也是一个分析器，可有效地监控内部网络和外部网络之间的任何活动，保证内部网络的安全。
• 防火墙作用是阻断来自外部网络对内部网络的威胁和入侵，提供保护网络安全和审计的第一道关卡。
• 防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件。
• 防火墙配置在不同网络或网络安全域之间。

防火墙的功能

• 对数据和访问的控制，对网络活动的记录，是防火墙发挥作用的根本和关键。
• 无论何种防火墙都应具备五大基本功能：
  过滤进，出网络的数据。
  管理进，出网络的访问行为。
  封堵某些禁止的业务。
  记录通过防火墙的信息内容和活动。
  对网络攻击的检测和告警。

防火墙的局限性

1、网络的安全性通常是以网络服务的开放性和灵活性为代价

• 由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍。
• 由于防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。

2、防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失

• 只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力。
• 不能解决来自内部网络的攻击和安全问题。
• 不能防止受病毒感染的文件的传输。
• 不能防止策略配置不当或错误配置引起的安全威胁。
• 不能防止自然或人为的故意破坏。
• 不能防止本身安全漏洞的威胁。

静态包过滤防火墙

过滤规则

• 防火墙可根据数据包的源地址、目的地址、端口号确定是否允许和丢弃数据包；符合，则允许；不符合，丢弃。

过滤位置

• 可以在网络入口处过滤
• 也可在网络出口处过滤
• 入口和出口同时对数据包进行过滤

访问控制策略

• 网管需预先编写一访问控制列表
• 需明确规定哪些主机或服务可接受，哪些主机或服务不接受

动态包过滤防火墙

• 与普通包过滤防火墙相似，大部分工作于网络层。有些安全性高的动态包过滤防火墙，则工作于传输层。
• 动态包过滤防火墙的不同点：对外出数据包进行身份记录，便于下次让具有相同连接的数据包通过。
• 动态包过滤防火墙需要对已建连接和规则表进行动态维护，因此是动态的和有状态的。
• 典型的动态包过滤防火墙能够感觉到新建连接与已建连接之间的差别。

入侵检测

• 入侵检测可以被定义为对计算机和网络系统资源的恶意使用行为进行识别和相应处理的技术。

• 恶意行为包括系统外部的入侵和内部用户的非授权行为。入侵检测是为保证计算机系统的安全而设计与配置的、一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测系统通过执行以下任务来实现其功能：

（1）监视、分析用户及系统活动。

（2）对系统的构造和弱点进行审计。

（3）识别和反映已知进攻的活动模式，并向安全管理员报警。

（4）对系统异常行为进行统计分析。

（5）评估重要系统和数据文件的完整性。

（6）对操作系统进行审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测系统的主要功能如下：

（1）监视用户和网络信息系统的活动，查找非法用户和合法用户的越权操作。

（2）审计系统配置的正确性和安全漏洞，并提示管理员修补漏洞。

（3）对用户的非正常活动进行统计分析，发现入侵行为的规律。

（4）检查系统程序和数据的一致性与正确性。

（5）能够实时地对检测到的入侵行为进行反应。

（6）对操作系统进行审计、跟踪、管理。

1.实践内容

一、防火墙配置（IP地址仅供参考，以实际为准）

任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试:
(1)过滤ICMP数据包，使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)，访问主机的某一网络服务(如FTP、HTTP、SMB)，而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问

二、动手实践：Snort

使用Snort对给定pcap文件（第4章中的解码网络扫描任一个pcap文件，之前的实践已经提供了，请在学习通中下载）进行入侵检测，并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort，对给定的pcap文件进行入侵检测，获得报警日志。

Snort运行命令提示如下：
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录（或缺省log目录=/var/log/snort）

三、分析配置规则

分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。

2.实践过程

在终端查看个虚拟机的IP地址如下：
ipconfig命令查看XP攻击机的IP地址为：192.168.200.6
ifconfig命令查看Ubuntu 的 IP地址为：192.168.200.3
ifconfig命令查看Kali Linux攻击机的IP地址为：192.168.200.4
ifconfig命令查看Linux靶机的IP地址为：192.168.200.123

2.1防火墙配置

2.1.1 IPTables规则列表的显示
在Kali Linux攻击机中，用sudo su切换到root，运行命令iptables -L，查看防火墙的配置情况。

可见，Kali Linux靶机没有任何的防火墙措施。

2.1.2 过滤ICMP数据包
在xp攻击机中ping一下kali（地址为192.168.200.4），能够正常ping通。

在Kali Linux攻击机中添加过滤icmp数据包的规则。
iptables -A INPUT -p icmp -j DROP
再次输入iptables -L查看防火墙的配置。

可以看到多出了一条icmp的规则。
再次尝试ping一下Kali ，发现不能ping通了。

在Kali Linux攻击机中运行命令iptables -D INPUT -p icmp -j DROP，删除这条规则。
再次输入iptables -L查看防火墙的配置。

删除后重新Ping通了。

2.1.3 特定IP地址访问主机
在XP攻击机中远程连接linux靶机
输入telnet 192.168.200.123（Linux靶机的IP地址）
输入账户和密码后成功连接

在Kali Linux攻击机输入telnet 192.168.200.123（Linux靶机的IP地址）
输入账户和密码后成功连接

此时XP攻击机和Kali都可以访问linux靶机
在linux靶机中输入iptables -P INPUT DROP

再次在XP攻击机和Kali Linux攻击机输入telnet 192.168.200.123（Linux靶机的IP地址）


此时XP攻击机和Kali Linux攻击机都无法访问linux靶机

然后在linux靶机中输入iptables -A INPUT -p tcp -s 192.168.200.4 -j ACCEPT
（允许IP地址为192.168.200.4也就是Kali Linux攻击机的IP地址对目标主机发送TCP数据包）
然后输入iptables -L

然后在Kali Linux攻击机中输入telnet 192.168.200.123

此时Kali是可以连接的。
在XP攻击机中输入telnet 192.168.200.123，发现XP仍不能连接。

2.1.4 静态包过滤与报文状态检查（动态包过滤）
静态包过滤
允许链接目标地址为192.168.200.7，当前状态为NEW的网络可以通过防火墙转发。
在kali攻击机中输入iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT （当数据包源IP地址属于192.168.0.0/24 - C类网段，执行目标操作ACCEPT）
输入iptables -L查看结果：

动态包过滤
允许连接目标地址为192.168.200.7，当前状态为NEW的网络连接可通过防火墙转发。
在kali攻击机中输入iptables -t filter -A FORWARD -d 192.168.200.7 -m state --state NEW -j ACCEPT （192.168.200.9 是Ubuntu的IP地址）
输入iptables -L查看结果：

允许已建立网络连接和相关网络连接通过防火墙。
iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
输入iptables -L查看结果：

2.1.5 SNAT机制与DNAT机制的实现
将通过路由转发的网络连接的源IP地址修改为1.2.3.4
输入iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
将通过路由转发的网络连接的目的地址修改为1.2.3.4
输入iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 1.2.3.4

2.2 Snort入侵检测

在kali中进入桌面路径：输入cd Desktop
然后运行listen.pcap：
输入命令snort -r listen.pcap -c /etc/snort/snort.conf -K ascii,可以看到检测到的数据包信息，有TCP，ARP，主要是TCP。

运行命令通过vim /var/log/snort 命令打开snort日志
点击选择alert
可以发现这个攻击是nmap发起的，当然还有很多其他的信息：源地址、目的地址等。可以从中找到SCAN nmap XMAS的关于nmap的报警信息。

2.3分析配置规则

先使用su -提权，然后输入vim /etc/init.d/rc.firewall去查看文件
create_chains函数定义了3个链，白名单、黑名单和防护名单，白名单是设置能通过的用户，白名单以外的用户都不能通过，黑名单是设置不能通过的用户，防护名单是部分包能通过。

输入iptables -L来查看规则列表

通过 vim /etc/init.d/snortd 打开Snort脚本文件，可以看到监听网卡和存储配置文件的位置

输入vim /etc/init.d/hw-snort_inline可以看到Snort_inline运行时参数：

使用chkconfig --list|grep snort命令来对linux上运行的服务进行查询，可以发现NIDS的0~6都是off，说明是需要手动启动的，而防火墙和NIPS不全是off，是跟随系统启动的。

使用命令vim /etc/honeywall.conf打开配置文件,找到update variables，可以看到其值为no，不自动更新

3.学习中遇到的问题及解决

• 问题1：不熟悉snort相关命令
• 问题1解决方案：查阅snort命令指南

4.学习感悟、思考等）

本次实验进行了防火墙配置，知道了如何创建并利用防火墙中的安全规则，还动手实践了snort，分析了配置规则，进一步熟悉网络攻防知识与技能。

参考资料

• 《网络攻防技术与实践》——诸葛建伟
• 「干货」Snort使用手册「详细版」