一、实践内容
1、防火墙配置(IP地址仅供参考,以实际为准)
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
2、动手实践:Snort
使用Snort对给定pcap文件(第4章中的解码网络扫描任一个pcap文件,之前的实践已经提供了,请在学习通中下载)进行入侵检测,并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。
Snort运行命令提示如下:
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录(或缺省log目录=/var/log/snort)
3、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
二、实践过程
1、防火墙配置
首先打开kali虚拟机,输入iptables -L查看规则,可以看到当前没有任何规则
打开WinXP攻击机,使用ping命令检查雨kali的连通性
(1)过滤ICMP数据包,使得主机不接收Ping包
在kali机上输入sudo iptables -A INPUT -p ICMP -j DROP配置防火墙,把ICMP包过滤掉,再使用iptables -L查看规则
再在WinXP虚拟机上ping kali主机,发现无法ping通
在kali虚拟机上输入sudo iptables -D INPUT -p icmp -j DROP删去过滤icmp包,发现winXP能够再次ping通kali主机
(2)只允许特定IP地址,访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址无法访问
打开metasploitable,查看其ip地址,为192.168.200.123
winXP和kali都能通过telnet与metaploitable连接
在metasploitable中输入iptables -P INPUT DROP来禁止所有输入数据包
发现winXP和kali都无法访问metaploitable
回到metasploitable通过命令iptables -A INPUT -p tcp -s 192.168.200.4 -j ACCEPT来开启kali虚拟机tcp服务,可以使用iptables -L查看
此时kali能访问metapliotable,而winXP不能访问
最后,在Ubuntu中输入命令 iptables -F 和 iptables -P INPUT ACCEPT,恢复最初的状态。
此时winXP也能访问metaploitable了
2、动手实践:Snort
使用Snort对给定pcap文件进行入侵检测,并对检测出的攻击进行说明。打开kali,运行sudo snort -c /etc/snort/snort.conf -r listen.pcap -K ascii,这里ascii是用来指定输出日志文件的为ASCII编码。
斜体样式
可以看到绝大多数的数据包都是tcp包,还有一部分的arp,报警数据有10条,被日志记录。
所有的流量统计有6万多条,其中大部分是TCP会话。
输入入cd /var/log/snort命令进入报警日志目录, vim alert查看日志文件
发现记录了报警数据10条的入侵检测信息,可以看到本次攻击主要是主机172.31.4.178对主机172.31.4.188的主机进行的nmap扫描
3、分析配置规则
具体分析配置规则:
防火墙(nefilter+IlPTables) : /etc/init.d/rc.firewall、入侵检测系统(Snort) : /etc/init.d/hflow_snort 与/etc/snort/snort.conf、入侵防御系统(Snort_ inline) : /etc/init./hflow-snort. inline 与/etc/snot._inline/snort_inline.conf。
打开蜜网网关虚拟机,使用命令vim /etc/init.d/rc.firewall,可以看到黑名单、白名单和防护名单三个链
使用命令iptables -t filter -L | more来查看规则列表。
使用chkconfig --list | grep [服务] 来查看服务开启,0~6分别表示关机、单用户模式、无网络连接的多用户命令行模式、有网络连接的多用户命令行模式、不可用、带图形界面的多用户模式、重新启动。
三、学习中遇到的问题及解决
问题1:在kali上无法使用snort
解决方案:在seedUbuntu上安装snort,可以继续后面的实验
四、实验总结
通过这次实验学习到了防火墙的配置,使用snort从pcap文件读取网络日志数据源以及虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,这次实验出现了一些问题,这也表明我的实践能力还有待加强。