20222808郭锦城 2022-2023-2 《网络攻防实践》第5次作业

本文链接：https://blog.csdn.net/qq_43988581/article/details/129842736

2022-2023-2 《网络攻防实践》第5次作业

1. 实验内容

1.1 几种常用的安全模型

1.1.1 IATF

IATF 是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架，它提出了信息保障时代信息基础设施的全套安全需求。IATF创造性的地方在于，它首次提出了信息保障依赖于人、技术和操作来共同实现组织职能/业务运作的思想，对技术/信息基础设施的管理也离不开这三个要素。
IATF规划的信息保障体系包含三个要素：
·人（People）：人是信息体系的主体，是信息系统的拥有者、管理者和使用者。
·技术（Technology）：技术是实现信息保障的重要手段，信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。
·操作（Operation）：或者叫运行，它构成了安全保障的主动防御体系。

1.1.2 PPDR

功能特性：
·Policy（安全策略） :PPDR安全模型的核心，描述系统哪些资源需要保护，如何实现保护。
·Protection（防护） :加密机制、数字签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
·Detection（检测） :入侵检测、系统脆弱性机制、数据完整性机制、攻击性检测等。
·Response（响应） :应急策略、应急机制、应急手段、入侵过程分析、安全状态评估等。
时间特性：
·攻击时间Pt ：黑客从开始入侵到侵入系统的时间（对系统是保护时间）。高水平入侵和安全薄弱系统使Pt缩短。
·检测时间Dt ：黑客发动入侵到系统能够检测到入侵行为所花费的时间。适当的防护措施可以缩短Dt。
·响应时间Rt ：从检测到系统漏洞或监控到非法攻击到系统做出响应（如切换、报警、跟踪、反击等）的时间。
·系统暴露时间Et=Dt+Rt-Pt ：系统处于不安全状态的时间。系统的检测时间和响应时间越长，或系统的保护时间越短，则系统暴露时间越长，就越不安全。如果Et小于等于0，那么基于PPDR模型，认为系统安全。要达到安全的目标需要尽可能增大保护时间，尽量减少检测时间和响应时间。

1.1.3 OODA

OODA循环又被称包以德循环，包以德循环的发明人是美国空军上校约翰·博依德（John Boyd），又被称为“疯狂的博依德”，凭借他战斗机飞行员的经验和对能量机动性的研究，发明了这一理论。尽管博依德循环的发明纯粹是军事目的，但是这一理论同样能够应用于残酷的商战。最初，他运用OODA循环来阐述的是空战中克敌制胜的战术，但是，在他职业生涯的最后几年，他把OODA循环阐发为一种战略，一种让敌人心理瘫痪的战略。
OODA循环分为观察Observe-调整Orient-决策Decide-行动Act四个阶段，我们按这四个阶段来描述它在网络安全运营平台建设中的具体应用。
·观察Observe阶段 : 在网络安全中，对自己的观察包括资产管理、漏洞管理，对敌人的观察包括各种威胁分析与检测技术应用，对环境的观察包括整体网络安全态势感知与可视化。
·调整Orient阶段 : 对应到网络安全中，战斗策略的调整是事前防御措施，包括定时漏洞扫描、打补丁、安全配置基线、黑白名单调整等；后方情报中心相当于威胁情报平台（TIP），包括多源威胁情报数据聚合、威胁情报多系统共享、威胁情报数据更新、威胁情报预警等；后方指挥中心相当于优化实时安全分析引擎（雷达），包括新增安全分析场景、调整安全规则与机器学习算法等。
·决策Decide阶段 : 战斗中的决策包括敌我识别、智能决策，对应网络安全的安全调查分析、安全处置建议。安全调查分析包括事件分析与回溯、攻击链还原、攻击溯源场景化；安全处置建议包括告警/风险优先级、攻击行为预测、解决方案建议等。
·行动Act阶段 : 在网络安全中，火力控制系统是指安全设备联动，如SIEM与FW、IPS联动；信息通讯系统是指安全预警通报系统，包括信息预警通报（短信、邮件等）、安全运营平台与工单系统对接等。协同作战是指安全应急处置，包括应急处理、系统恢复等。

1.2 防火墙技术

1.2.1 信息技术中防火墙的定义

指置于不同网络安全域之间，对网络流量和访问行为实施访问控制的一种安全设备或者软件。

1.2.2 防火墙分类

软件防火墙、硬件防火墙。
无论是软件防火墙还是硬件防火墙，共同点都是必须在网络安全域外界流量到达内部之前进行管控，即必须把防火墙部署在进入核心网络的入口。

1.2.3 防火墙的功能

防火墙可以在网络协议栈的各个协议层次实施网络访问控制，根据其工作的网络协议栈层次，可分为包过滤（网络层）、电路级网关（传输层）和应用层代理技术（应用层）。
·检查控制进出网络的数据流量：根据管理者预设的网络安全策略来决定对哪些数据包进行放行，哪些进行丢弃。
·防止脆弱或不安全的协议和服务
·防止内部网络信息的泄露
·对网络存取和访问进行监控审计
·防火墙可以强化网络安全策略并集成其他安全防御机制
2.4.防火墙的缺陷
·防火墙并不能防范来自网络内部的威胁
·防火墙不能清除病毒
·防火墙本身的安全问题容易被攻击者利用
·防火墙对于无线网络攻击防范无力

1.3 VPN技术

VPN即虚拟专用网，指利用大规模公共网络搭建虚拟链路来代替物理链路进行私密通信的技术，VPN主要采用隧道技术、加密技术、密钥管理和交换技术、身份认证技术等。常见的VPN分类有：IPSec VPN；SSL VPN；MPLS VPN

1.4 入侵检测技术与系统IDS

1.4.1 入侵检测的概念

入侵检测就是对入侵行为的检测与发现，入侵检测技术是网络防护体系中的重要一环，已成为防火墙技术的补充。

1.4.2 入侵者分类

·外部渗透者
·假冒者
·违法者
·秘密用户

1.4.3 入侵检测系统的性能指标

·检测率：指入侵检测系统捕获的攻击行为数目和全部攻击数目之比。
·误报率：指入侵检测系统对正常行为的误报数目与入侵检测系统输出的全部报警数目之比。

1.4.4 入侵检测技术

·误用检测
·异常检测

1.5 入侵防御系统IPS

入侵防御系统是在入侵检测系统的基础上发展而来的，与入侵检测系统采用旁路监听的方式只对入侵行为进行检测的方式不同，入侵防御系统采用直接在网络边界位置内联连接的方式，并在检测到入侵行为后采取阻断措施，侧重于极低的误报率和更高的处理性能。减小对正常访问的性能影响。
在这里插入图片描述

2. 实验过程

2.1 配置防火墙

任务：配置Linux平台上的iptables，完成如下功能并测试
·过滤ICMP数据包，使主机不接受ping包。
·只允许特定IP地址访问主机的某一网络服务，而其他IP地址无法访问。
过程
首先我们以SEED Ubuntu作为服务器，利用Kali访问SEED Ubuntu，Kali作为信任主机，Linux MetaSploitable作为不可信任主机。IP地址如下。
在这里插入图片描述
首先在SEED Ubuntu上通过iptables -L查看规则，发现都是默认规则。接着通过指令iptables -A INPUT -p icmp -j DROP指令使得主机不接受icmp的数据包（-A是追加一条规则，INPUT表示数据包入口（规则），-p用于匹配协议，-j用于指定如何处理（ACTION））。
在这里插入图片描述

此时通过Kali ping SEED Ubuntu，发现是ping不通的，并且可以查看规则，发现多了一条icmp针对任何位置不允许访问的规则。
在这里插入图片描述

最后使用iptables -F删除自定义规则。任务一过滤ICMP数据包实践完成。
任务二选择只允许Kali访问SEED Ubuntu的telnet服务。
首先确定两台机器都可以进行telnet登陆。

接下来使用iptables -P INPUT DROP指令拒绝一切的数据包流入（修改的是默认规则-P），此时应该两台电脑都无法进行访问。使用指令iptables -A INPUT -p tcp -s 192.168.11.165 -j ACCEPT开启192.168.11.165对本机的tcp服务。并用iptables -L查看规则。
在这里插入图片描述
此时尝试分别使用两台主机访问SEED Ubuntu的telnet服务，发现只有Kali可以正常访问

最后执行iptables -F和iptables -P INPUT ACCEPT两条指令恢复之前的状态。

2.2 动手实践Snort

任务：使用Snort对给定的pcap文件进行入侵检测，并对检测出的攻击进行说明
过程
首先利用指令snort -r listen.pacp -c /etc/snort/snort.conf -K ascii对listen.pcap进行入侵检测（-K ascii主要是为了指定输出log文件的编码为ASCII（默认为binary））。可以看到检测出的数据包大部分为TCP数据包。
在这里插入图片描述
在/var/log/snort/目录下可以查找到alert文件，这个文件即输出的日志文件，通过vim打开可以发现这个攻击是nmap发起的，当然还有很多其他的信息，譬如源地址、目的地址等等。

2.3 分析配置规则

任务：分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则，说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
过程

2.3.1 数据控制

通常数据控制一般包括两个方面，一个是防火墙对数据的控制，还有一个是IPS对异常数据的限制（snort_inline）。我们稍微看一下其防火墙的文件rc.firewall。我们可以看下如下的创建了三个链，分别是黑名单、白名单、防护名单（FenceList）。所以，大致在上面的功能之上，增加了：
·防火墙对源地址或者目的地址属于黑名单的主机，丢弃所有包。
·对于属于白名单的主机，接受且不记录。
·对于属于防护名单内的主机，禁止访问某些不希望被访问到的主机。
在这里插入图片描述

2.3.2 数据捕获

数据捕获主要包括：
·防火墙的日志记录：记录的只是简单的信息如目的地址/端口、源地址/端口、协议、长度等。
·Snort记录的网络流。

2.3.3 IPTables的实际规则列表

通过指令iptables -t filter -L来查看规则列表。不难发现，默认的规则入OUTPUT、INPUT、FORWARD都已经被关闭了，取而代之的是一些自定义的规则（包括之前配置Roo的一些参数也反映在规则表上）。
在这里插入图片描述

2.3.4 Snort实际执行参数

通过vim snortd（/etc/init.d）打开Snort脚本文件，观察第一张图可以看到一开始是一些参数的选项。第二张图对应的就是实际运行时候的参数了。简单分析，譬如在指定网卡接口后，如果没有其他的参数，将按照默认参数运行。如默认不开启-A模式，使用默认目录的config文件（/etc/snort/snort.conf），默认使用eth0、使用二进制模式保存log文件等。
在这里插入图片描述

2.3.5 Snort_inline实际执行参数

通过vim hw-snort_inline打开Snort_inline脚本文件，可以观察到实际运行的参数，以及在最前面定义的参数。我们将前面的变量带入这个运行指令应该为(-D表示Daemon模式，-c表示读取config文件，-Q表示使用QUEUE模式，-l表示输出log文件的目录，-t表示改变程序执行时所参考的根目录位置)：snort-inline -D -c /etc/snort_inline/snort_inline.conf -Q -l [系统时间命名] -t [目录]
在这里插入图片描述

2.3.6 防火墙、NIDS、NIPS启动

通过指令chkconfig --list | grep [服务]来查询当前服务是不是开启的。chkconfig命令主要用于检查，设置系统的各种服务。我们发现防火墙和NIPS（snort_inline）是跟随系统启动的，并且开机自动配置刚才的脚本文件。NIDS是需要手动启动的。
在这里插入图片描述

2.3.7 Snort规则如何自动升级

在/etc目录下使用指令vim honeywall.conf打开honeywall配置文件，这个里面可以看到很多东西，譬如我们之前安装roo时配置的IP地址、譬如白名单黑名单的位置等。同样我们可以找到snort规则更新的地方。默认是不自动更新的。我们可以看到Oinkmaster字样，一查，这个果然是个自动更新的软件。打开Oinkmaster.conf可以看到更新文件。
在这里插入图片描述

3. 学习中遇到的问题及解决

Q1：Linux MetaSploitable 的ip地址又变成了192.168.200.xxx
A1：重启网络服务后变回上次作业中修改过的静态ip
Q2：无法访问snort.conf
A2：使用chmod指令修改读写权限
Q3：打开rc.firewall后发现是空白的
A3：先提权
Q4：使用很多指令时提示bash:xxx command not found
A4：首先修改sudoers，添加roo，接着修改环境变量，添加/sbin