20221909 2022-2023-2 《网络攻防实践》第5周作业
一.实验内容
1.防火墙分类及功能
-
防火墙的分类方法,主要有以下6种:
- 软、硬件形式分类:软件防火墙、硬件防火墙、芯片级防火墙。
- 防火墙技术分类:包过滤型防火墙、应用代理型防火墙 。
- 防火墙结构分类:单一主机防火墙、路由器集成式防火墙、分布式防火墙。
- 防火墙的应用部署位置分类:边界防火墙、个人防火墙、混合防火墙。
- 防火墙性能分类:百兆级防火墙、千兆级防火墙。
- 防火墙使用方法分类:网络层防火墙、物理层防火墙、链路层防火墙。
-
防火墙本身具有较强的安全性主要表现在以下几个方面:
- 防止来自被保护区域外部的攻击:在需要被保护的网络边界上设置防火墙,可以保护易受攻击的网络服务资源和客户资源。
- 防止信息外泄和屏蔽有害信息:防火墙可以有效地控制被保护网络与外部网络间的联系,隔离不同网络,限制安全问题扩散。在区域边界上,防火墙能够执行安全检查,严格控制进出网络的数据,过滤和屏蔽有害信息,防止信息外泄。
- 集中安全管理:通过配置,防火墙可以强化网络安全策略,将局域网的安全管理集中在一起,便于统一管理和执行安全政策。
- 安全审计和告警:防火墙能够对网络存取访问进行监控审计,能够及时有效地记录由防火墙控制的网络活动,并能及时发现问题和及时报警。
- 增强保密性和强化私有权。
- 访问控制和其他安全作用等:防火墙是一种非常有效的网络访问控制设备,能够提供很强的网络访问控制功能。防火墙还可以充当 IPSec 平台、安全服务器、网络地址转换器、协议转换器、信息加密和身份认证设备等。
2.linux平台的防火墙:netfilter/iptables
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中。Netfilter与IP协议栈是无缝契合,并允许对数据报进行过滤、地址转换、处理等操作。常用的用户空间工具有nftables、iptables、firewalld。
3.Snort
- Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
- Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。
- Snort有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合,功能扩展方便。例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。
4.安全策略
- 安全策略:是指在某个安全区域内(一个安全区域,通常是指属于某个组织的一系列处理和通信资源),用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的,并由安全控制机构来描述、实施或实现的。
- 按照授权的性质,安全策略分为如下几个方面:
(1)基于身份的安全策略
(2)基于规则的安全策略
(3)基于角色的安全策略 - 实施原则
- 最小特权原则:最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权利
- 最小泄露原则:最小泄露原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权利
- 多级安全策略:多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密(TS)、机密(C)、秘密(S)、限制(RS)和无级别(U)5级来划分。
5.本节实践内容
一、防火墙配置
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务 (如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
二、动手实践:Snort
使用Snort对给定pcap文件(第4章中的解码网络扫描任一个pcap文件,之前的实践已经提供了,请在云班课中下载)进行入侵检测,并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。
Snort运行命令提示如下:
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录(或缺省log目录=/var/log/snort)
三、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
二.实验过程
本次实验使用以下虚拟机:
| 主机 | ip |
|---|---|
| kali | 192.168.200.11 |
| seedUbuntu | 192.168.200.21 |
| honeywall | 192.168.200.8 |
| winXP | 192.168.200.3 |
1.防火墙配置
任务要求:配置Linux操作系统平台上的iptables和Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问。
先进行linux下的实验
(1)过滤ICMP数据包,使得主机不接收Ping包
首先在seedubuntu上,使用命令iptables -V,如果显示出版本号表示已经安装。
然后使用命令sudo iptables -L查看当前防火墙配置信息,对iptables的操作都必须有root权限。可以看到图中均显示policy ACCEPT,即都有root权限。
接着使用命令sudo iptables -A INPUT -p icmp -j DROP添加规则,然后使用sudo iptables -L查看当前防火墙配置信息,添加成功。
在kali虚拟机上,使用命令ping 192.168.200.21,发现无法ping通
在seedubuntu上,使用命令iptables -F删除自定义规则,在kali虚拟机上,再次使用命令ping 192.168.200.21,发现ping通了。
(2)接着实践只允许特定IP访问主机网络服务的问题:
netstat -a | grep telnet查看kali虚拟机上的telnet服务是否已经打开。发现没有telnet。
安装telnetd
安装xinetd
启动xinetd
更改配置,重启服务
使用telnet 127.0.0.1测试本地回环是否能够登陆上去,发现登陆成功。
再次查看kali虚拟机上的telnet服务是否已经打开
分别测试seedubuntu和winXP是否可以进行telnet登录kali虚拟机
telnet 192.168.200.11(其中用户名:root,密码:toor)
如图,seedubuntu和winXP都可以登录kali虚拟机。
在kali虚拟机使用iptables -P INPUT DROP指令拒绝一切的数据包流入(修改的是默认规则-P),此时发现两台机器都无法进行telnet访问
在kali虚拟机上使用指令iptables -A INPUT -p tcp -s 192.168.200.21 -j ACCEPT开启seedubuntu对kali的tcp服务。并用iptables -L查看规则。
这时发现seedubuntu是可以正常访问telnet服务的,但是winXP是无法访问的
最后执行iptables -F删除自定义规则,iptables -P INPUT ACCEPT把没有规定的数据包都接收,恢复之前的状态
再进行window下的实验
(1)过滤ICMP数据包,使得主机不接收Ping包
将防火墙配置还原
将允许传入回显请求 取消勾选,此时就无法kali就ping不通winXP了
(2)接着实践只允许特定IP访问主机网络服务的问题:
在WinXPattacker上显示Telnet命令是禁止的,需要启动才能进行下一步实验。
回到防火墙,在高级设置网络连接设置中添加Telnet服务器。
kali和SEEDUbuntu均能通过telnet服务登录到winXP
设置WinXPattacker限制kali的IP访问。创建安全策略:控制面板–管理工具–本地安全策略–IP安全策略右键–创建IP安全策略,进入设置向导,设置IP安全策略名称为“限制固定IP远程访问”,在警告提示框选择“是”,其他均保持默认点击下一步,如图。
如下图,创建一个IP筛选器。
添加阻止特定IP访问的筛选器。点击添加–进入安全规则向导一直保持默认设置点击下一步–遇到警告点击“是”。
源地址选择“一个特定的IP地址”,输入kali的IP :192.168.200.11
进入下一步,目标地址选我的IP地址,类型为TCP,设置IP协议端口“从任意端口”到23端口,如下图所示。
在筛选器可看到添加的信息,点击确定。
并且在防火墙的telnet服务器中,选择编辑,可查看端口号为23。
配置IP筛选器阻止的动作:在点确定后–选择配置的“阻止所有IP远程访问”,点击下一步,如图。
点击添加–选择阻止–确定,得到下图“新筛选操作”,代表的是阻止。
然后选中“新筛选操作”,点击下一步–完成,至此我们添加好了阻止特定IP访问的筛选器。
之后再添加允许特定IP访问的筛选器,与添加阻止特定IP访问的筛选器步骤类似。
点击下一步–源地址选择“一个特定的IP地址(SEEDUbuntu:192.168.200.21)”
下一步–目标地址选择“我的IP地址”–选择协议类型“TCP”–下一步–设置IP协议端口“从任意端口”“到此端口”–下一步–完成。完成后,会在IP筛选列表看到添加的信息,如下图,再点击确定。
配置IP筛选器允许的动作:在点确定后–选择配置的“允许所有IP远程访问”,点击下一步。
点击添加(不使用添加向导)–选择许可–确定,得到下图“新筛选操作(1)”,代表的是允许。
选择新筛选器操作(1),点击下一步,完成添加允许特定IP访问的筛选器。
应用我们刚刚配置的两个IP安全规则(允许特定IP远程访问和阻止特定IP远程访问)
指派此安全规则:右键“新IP安全策略”——选择“指派”,至此所有工作配置完成,如图。
如图,kali虚拟机无法登录到winXP,但是seedubuntu可以成功登录。
2.动手实践:Snort
使用Snort对给定pcap文件(第4章中的解码网络扫描任一个pcap文件,之前的实践已经提供了,请在云班课中下载)进行入侵检测,并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。
Snort运行命令提示如下:
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录(或缺省log目录=/var/log/snort)
在kali上在root下用snort对listen.pcap文件进行入侵检测。输入snort -c /etc/snort/snort.conf -r listen.pcap -K ascii,可以看到检测到的数据包信息,有TCP,ARP,主要是TCP。
运行命令vim /var/log/snort/snort.alert.fast进入/var/log/snort目录打开其中alert文件,可以发现其中包含多种攻击由nmap发起,可以从中找到SCAN nmap XMAS的关于nmap的报警信息。如DDOS中,其中源ip为172.31.4.178,目的ip为172.31.4.188。当然还有很多其他的信息:源地址、目的地址等。
3.分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
我们先使用su -提权转为root,输入vim /etc/init.d/rc.firewall去查看文件,如下图所示可以看到create_chains函数定义了3个链,白名单、黑名单和防护名单。
白名单是设置能通过的用户,白名单以外的用户都不能通过,黑名单是设置不能通过的用户,防护名单是部分包能通过。
为获取IPTables的实际规则列表、snort和snort_line的实际执行参数,输入iptables -t filter -L查看。
输入vim /etc/rc.d/init.d/snortd打开Snort脚本文件,可以看到监听网卡和存储配置文件的位置。
输入vim /etc/init.d/hw-snort_inline可以看到Snort_inline运行时参数,-D表示Daemon模式,-c表示读取config文件,-Q表示使用QUEUE模式,-l表示输出log文件的目录,-t表示改变程序执行时所参考的根目录位置。
为回答防火墙、NIDS、NIPS是如何启动,使用chkconfig --list|grep snort命令来对linux上运行的服务进行查询,可以发现NIDS的0~6都是off,说明是需要手动启动的,而防火墙和NIPS不全是off,是跟随系统启动的。
为回答蜜网网关中的Snort规则是如何升级,使用命令vim /etc/honeywall.conf打开配置文件,找到update variables,可以看到其值为no,不自动更新。
三.学习中遇到的问题及解决
- 问题1:telnet未开启
- 问题1解决方案:安装telnetd和xinetd,并修改配置文件
四.学习感想和体会
通过本次实验,对防火墙和一些安全策略有了更深刻的理解,同时也了解了一些规则的配置,接下来会继续努力,加深印象。
783
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
