20221921 2022-2023-2 《网络攻防实践》实践五报告
1.实践内容
1.1相关知识
1.安全模型 2.网络安全防范技术与系统 3.网络检测技术与系统4.网络安全技术相应技术
1.安全模型
- 为了保障被称为信息安全“金三角”的机密性、完整性、可用性三大安全属性,信息安全领域提出了一系列的安全模型来指导信息系统安全体系建设,以增强信息系统的安全性。
- 信息安全主要用于保护那些处理和传递的秘密数据,以确保其机密性。为了保障被称为“信息安全金三角”的CIA安全属性,即机密性、完整性和可用性,信息安全领域提出了一系列的安全模型来指导信息系统安全体系建设,以增强信息系统的安全性。在理论模型方面,先后出现了专门针对机密性的BLP(Bell-La Padula)多级安全策略模型、针对完整性保护的Biba模型和Clark-Wilson模型等。
- 为了评估信息系统是否能够满足特定的安全需求和属性,1985年美国国防部国家计算机安全中心(NCSC)公布了可信任计算机系统评估准则(TCSEC),其将计算机系统的安全划分为A、B、C、D这4个等级,共7个级别,并分别定义了各个安全等级所需要实现的安全机制及安全特性。
- 之后,欧洲提出了ITSEC安全评测标准,将机密性、完整性和可用性作为评估的标准之一。之后美国又制定了国际统一的安全评估标准,即通用准则(Common Criteria),称为ISO 15408。
- 传统的安全评估和防范方法是通过对网络进行风险分析,制定相应的安全策略,然后采取一种或多种安全技术作为防护措施的。但是安全是一个相对的、动态的、不断完善的过程,需要适应变化的环境并能做出相应的调整以确保安全防护。
- 动态可适应网络安全模型基于闭环控制理论,典型模型是PDR(模型以及在其基础上提出的P2DR模型等。
- PDR安全模型是一个基于时间的动态安全模型,以经典的网络安全不等式Pt > Dt+Rt为本质基础,并提出安全性可量化和可计算的观点。如果信息系统的防御机制能够抵御入侵的时间Pt,能够超过检测机制发现入侵的时间Dt和响应机制有效应对入侵的时间Rt之和,那么这个信息系统就是安全的。
- P2DR模型
20世纪90年代末RSS公司在PDR模型的基础上进—步扩展出P2DR安全模型,基本描述为︰网络安全=根据风险分析制定安全策略(Policy)+执行安全防护策略(Protection)+实时检测(Detection)+实时响应(Response)。
2.网络安全防范技术与系统 - 防火墙技术概述
防火墙指的是置于不同的网络安全域之间,对网络流量或访问行为实施访问控制的安全组件或设备。从技术范畴上说,防火墙属于一种网络上的访问控制机制,通过在不同的网络安全域之间建立起安全控制点,对通过的网络传输数据进行检查,根据具体的安全需求和策略设置决定是否允许网络访问通过防火墙,达到保护特定网络安全域免受非法访问和破坏的安全目标。 - 防火墙的功能:
1)检查控制进出网络的网络流量
2)防止脆弱或不安全的协议和服务
3)防止内部网络信息的外泄
4)对网络存取和访问进行监控审计
5)防火墙可以强化网络安全策略并集成其他安全防御机制 - 防火墙的不足
1)来自网络内部的安全威胁
2)通过非法外联的网络攻击
3)计算机病毒传播
4)针对开放服务安全漏洞的渗透攻击
5)针对网络客户端程序的渗透攻击
6)基于隐蔽通道进行通信的特洛伊木马或僵尸网络 - 包过滤技术
- 基于状态检测的包过滤技术
- 代理技术
代理技术:也称“网络代理”。它能让客户端通过它与另一个网络服务进行非直接的连接,有利于保障网络安全,防止网络攻击。提供这项服务的设备叫做代理服务器。 - 包过滤路由器
- 双宿主堡垒主机
- 屏蔽主机
- 屏蔽子网
3.网络检测技术与系统
3.1入侵检测技术基本概念与发展过程 - 一次入侵检测可悲定义为任何尝试破坏信息资源的保密性、完整性或可用性的行为,入侵检测即为通过计算机网络或计算机系统中若干关键点信息的收集和分析,从中发现入侵行为的一种安全技术;入侵检测系统(Intrusion Detection System,IDS)则是实现入侵检测技术,专门用于入侵行为发现和处理的软件系统或硬件设备;入侵检测是防火墙之后的第二道安全屏障,能够有效的对网络进行监测,提供对外部攻击、内部攻击和误操作的实时监测与应对;
- 入侵检测技术评估指标:两个重要参数是检测率和误报率;
- 入侵检测技术:入侵检测技术最核心的任务是信息分析,从中识别出攻击行为;误用检测:也称为特征检测,首先收集已知入侵行为的特征并进行描述,构成攻击特征库;然后进行特征模式匹配;所有符合特征的行为视为入侵;异常检测:使用统计分析的方法检测入侵;统计出正常模式下这些测量属性的范围轮廓;被检测的实际测量属性取值与正常模式下进行比较,超过特定阈值就认为有入侵行为;
- 入侵检测系统的分类与部署:基于主机的入侵检测系统(Host-based IDS,HIDS)和基于网络的入侵检测系统(Network-based IDS,NIDS)
- 入侵防御系统IPS:与入侵检测系统普遍采用旁路监听方式只对入侵行为进行检查与报警不同,入侵防御系统采用直接在网络边界位置内联连接的方式,并在检测到入侵行为后,直接对所关联的攻击网络连接进行阻断处理;
3.2开源网络入侵检测系统:Snort
主要是四个部分组成:
(1)数据包嗅探/解码器(sniffer):利用libpcap从网卡或离线记录中捕获数据包,然后数据包进行检查经过解码器填入链路层协议的包结构体中,以便对高层的协议进行解码,如TCP/UDP层;
(2)预处理器/插件(preprocessor):接着数据包被送到各种各样的预处理插件中,在检测引擎之前对数据包进行检查和操作。每个预处理插件检查数据包是否应该注意、报警或者修改某些东西;
(3)检测引擎/插件(detection engine):随后,包被送到检测引擎,检测引擎首先通过各种规则文件中定义的匹配字符串特征来对每个包的信息进行快速的模式匹配检测,然后由各种检测插件对包提供额外的检测功能。规则中每个关键字选项对应与检测引擎插件,能够提供不同的检测功能;
(4)输出模块/插件(output modules):对之前各个部件产生的报警/日志信息,根据用户配置,调用相应的输出插件进行发送和记录。
4.网络安全事件相应技术
网络安全事件响应是PPDR模型中响应环节的关键技术手段。事件响应是指针对网络安全事件发生后,所采取的措施和行动,旨在阻止和减小事件所带来的影响。随着安全事件本质变得越发的多样化,事件响应已经成为网络与信息安全模型的必要组成部分,成功的事件响应需要有丰富经验的人员基础,充分的组织与计划,及成熟的方法论指导。
1.2实践内容
一、防火墙配置(IP地址仅供参考,以实际为准)
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
二、动手实践:Snort
使用Snort对给定pcap文件(第4章中的解码网络扫描任一个pcap文件,之前的实践已经提供了,请在学习通中下载)进行入侵检测,并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。
Snort运行命令提示如下:
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录(或缺省log目录=/var/log/snort)
三、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
2.实践过程
一、防火墙配置(IP地址仅供参考,以实际为准)
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
在Ubuntu上ping Kali的IP地址192.168.200.5,发现可以ping通。
在Kali中输入指令sudo iptables -L,查看默认规则。
输入命令iptables -A INPUT -p icmp -j DROP使主机不接受icmp的数据包。其中-A是追加新规则于指定链的尾部,INPUT表示数据包入口,-p用于匹配协议,-j用于指定如何处理。
再次通过iptables -L查看规则,发现多了一条icmp针对任何位置不允许访问的规则。
在Ubuntu中ping Kali,发现无法ping通。
在Kali中再次执行iptables -A INPUT -p icmp -j DROP去除之前的规则。
在Ubuntu中再次ping Kali,发现可以ping通。
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
分别使用xp系统和kali系统使用telnet远程连接seedlinux,结果如下所示成功。
使用命令 iptables -P INPUT DROP指令拒绝一切的数据包流入,此时应该两台电脑都无法进行访问。
使用命令 iptables -A INPUT -p tcp -s 192.168.200.5 -j ACCEPT 开启Kali的tcp服务。使用iptables -L查看。
使用winxp telnet Ubuntu 结果如下图所示。
发现无法连接,而使用kali telnet Ubuntu结果如下图所示。
连接成功,执行iptables -F指令删除自定义规则。
对于Kali,tcp服务成功。
对于Ubuntu,连接不成功。
二、动手实践:Snort
使用Snort对给定pcap文件(第4章中的解码网络扫描任一个pcap文件,之前的实践已经提供了,请在学习通中下载)进行入侵检测,并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。
Snort运行命令提示如下:
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录(或缺省log目录=/var/log/snort)
输入snort -r listen.pcap -c /etc/snort/snort.conf -K ascii指令对listen.pcap进行入侵检测
-r 从pcap格式的文件中读取数据包。
-c 使用配置文件,这会使得snort进入IDS模式,并从中读取运行的配置信息。
-K ascii主要是为了指定输出log文件的编码为ASCII。
可以看到,大部分数据为tcp包。输入指令cd /var/log/snort/,再输入vim alert查看alert文件,发现这个攻击是由nmap发起的。
三、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
数据捕获是蜜网的一个重要目的,包括三个层次,分别是防火墙的日志记录、eth1上的嗅探器记录的网络流和Seek捕获的系统活动;记录的内容主要包括:数据包通过时间、包协议类型、进出的网络接口、源地址、目的地址、源端口、目的端口、包长度等。
Roo的数据控制包含两方面,一是防火墙Iptables对连出的连接数的控制,另一个是网络信息防御系统Snort_inline对连出异常数据的限制,还增加了黑名单、白名单、防护名单的功能。
防火墙对源地址或者目的地址属于黑名单的主机,丢弃所有包。
对于属于白名单的主机,接受且不记录。
对于属于防护名单内的主机,禁止访问某些不希望被访问到的主机。
打开蜜网网关,输入vim /etc/init.d/rc.firewall查看防火墙的文件
输入指令vim /etc/honeywall.conf打开配置文件。
输入指令vim /etc/init.d/snortd 打开Snort,可以看到一些参数的选项和实际运行时候的参数。
输入指令vim /etc/init.d/hw-snort_inline 可以看到Snort_inline运行时参数。
3.学习中遇到的问题及解决
问题1:使用netstat -a | grep telnet发现kali的telnet服务没有被打开,此时telnet连接不上。
问题1解决方案: 使用指令sudo apt-get install openbsd-inetd安装telnet服务器端的应用程序以及指令sudo apt-get install telnetd,修改配置文件,在kali命令行键入 vim /etc/inetd.conf ,添加内容telnet stream tcp nowait telnetd /usr/sbin/tcpd /usr/sbin/in.telnetd,重启telnet服务,/etc/init.d/openbsd-inetd restart, 查看telnet服务是否开启,netstat -a | grep telnet。
4.实践总结
通过本次实验,完成了防火墙的配置,以及动手实践了snort,对蜜网网关的安全防护的功能和实现有了初步的了解。
参考资料
- 博客园
- 《网络攻防技术与实践》
855
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
