20212923 2021-2022-2 《網絡攻防實踐》第五次作業
實踐五:網絡安全防範技術
課程:《網絡攻防實踐》
班級: 2129
姓名: 王文彬
學號:20212923
實驗教師:王志強
實驗日期:2022年04月13日
必修/選修: 選修
一.實踐內容
1. 實踐要求介紹
- 防火牆配置
- 配置Linux操作系統平臺上的iptables,或者Windows操作系統平臺上的個人防火牆,完成如下功能,並進行測試:
- 過濾ICMP數據包,使得主機不接收Ping包;
- 只允許特定IP地址(如局域網中的Linux攻擊機192.168.200.3),訪問主機的某一網絡服務(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻擊機192. 168.200.4)無法訪問;
- 配置Linux操作系統平臺上的iptables,或者Windows操作系統平臺上的個人防火牆,完成如下功能,並進行測試:
- 動手實踐:Snort
- 使用Snort對給定pcap文件(第4章中的解碼網絡掃描任一個pcap文件,之前的實踐已經提供了,請在雲班課中下載)進行入侵檢測,並對檢測出的攻擊進行說明。在BT4 Linux攻擊機或Windows Attacker攻擊機上使用Snort,對給定的pcap文件進行入侵檢測,獲得報警日誌。
- 分析配置規則
- 分析虛擬網絡攻防環境中蜜網網關的防火牆和IDS/IPS配置規則,說明蜜網網關是如何利用防火牆和入侵檢測技術完成其攻擊數據捕獲和控制需求的。
防火牆
“防火牆”一詞起源於建築領域,用來隔離火災,阻止火勢從一個區域蔓延到另一個區域。引入到通信領域,防火牆這一具體設備通常用於兩個網絡之間有針對性的、邏輯意義上的隔離。當然,這種隔離是高明的,隔離的是“火”的蔓延,而又保證“人”的穿牆而過。這裏的“火”是指網絡中的各種攻擊,而“人”是指正常的通信報文。
用通信語言來定義,防火牆主要用於保護一個網絡區域免受來自另一個網絡區域的網絡攻擊和網絡入侵行爲。因其隔離、防守的屬性,靈活應用於網絡邊界、子網隔離等位置,具體如企業網絡出口、大型網絡內部子網隔離、數據中心邊界等等。
從實現的方式來看,防火牆可以分爲硬件防火牆和軟件防火牆。硬件防火牆是通過硬件與軟件的結合來達到隔離內外部網絡的目的,而軟件防火牆則是通過純軟件的方式來實現。
防火牆的作用:
- 防火牆能夠隔離風險區域和安全區域,但不會妨礙人們對風險區域的訪問。從總體上看,防火牆應該具有以下基本功能:
- 限制未授權用戶進入內部網絡,過濾掉不安全的服務和非法用戶;
- 防止入侵者接近內部網絡的防禦設施,對網絡攻擊進行檢測和報警;
- 限制內部用戶訪問特殊站點;
- 記錄通過防火牆的信息內容和活動。
防火牆的技術特點:
- 而一個好的防火牆系統應該具備以下特性:
- 所有在內部網絡和外部網絡之間傳輸的數據都必須經過防火牆;
- 只有被授權的合法數據即安全策略允許的數據才允許通過防火牆;
- 防火牆本身具有預防入侵的功能,不受各種攻擊的影響;
- 人機交互界面良好,用戶配置方便、易管理。
![]()
網絡防禦技術
一、網絡防禦的意義
進攻與防禦是對立統一的矛盾體。進攻常常是爲了有效的防禦,而防禦也常常是爲了更好的進攻。
在網絡空間中,如果只會進攻不懂防禦,註定不會在網絡攻防對抗中取得最終勝利。
二、網絡安全縱深防禦體系
網絡安全的縱深防禦(Defense in depth)的思想是指通過設置多重安全防禦系統,實現各防禦系統之間的相互補充,即使某一系統失效也能得到其他防禦系統的彌補或糾正。
本質上是通過增加系統的防禦屏障,既避免了對單一安全機制的依賴,也可以錯開不同防禦系統中可能存在的安全漏洞,從而提高抵禦攻擊的能力。
三、主要防禦技術
- 防火牆技術
- 虛擬局域網技術
- 虛擬局域網(Virtual Private Network, Virtual Private Network)也是一種較早使用、實用性很強的網絡安全被動防禦技術,其主要的作用是通過加密技術,在不安全的網絡中構建一個安全的傳輸通道,是加密和認證技術在網絡傳輸中的應用。
- 入侵檢測技術
- 在本課程開課的時候,老師在課上就講解過相關內容;
- 入侵檢測與防護技術屬於主動防禦技術,主要有兩種:入侵檢測系統(lntrusion Detection System,IDS)和入侵防護系統( Intrusion Prevention System,IPS)。
- 入侵檢測系統(IDS)注重的是網絡安全狀況的監管,通過監視網絡或系統資源,尋找違反安全策略的行爲或攻擊跡緣,併發出報警;
- 入侵防護系統(IPS)則傾向於提供主動防護,注重對入侵行爲的控制。其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失。
- 網絡蜜罐技術
- 蜜罐( Honeypot)技術也是一種主動防禦技術,是一個“誘捕”攻擊者的陷阱技術。蜜罐系統是一個包含漏洞的誘騙系統,通過模擬一個或多個易受攻擊的主機和服務,給攻擊者提供一個容易攻擊的目標。攻擊者往往在蜜罐上浪費時間,延緩對真正目標的攻擊,而且可以爲安全人員獲得入侵取證提供重要的信息和有用的線索,便於研究入侵者的攻擊行爲。
Linux中的開源防火牆
一、Netfilter
- 功能:
- 構建防火牆, NAT共享上網, 利用NAT構建透明代理, 構建QoS或策略路由器;
- 組成:
- 由一系列表(Table)組成,每個表由若干個鏈(Chain)組成,每條鏈可以由一條或若干條規則(Rule)組成。
二、iptable:
- Linux應用層的防火牆配置工具
- 表→鏈→規則的分層結構
![]()
- 表→鏈→規則的分層結構
2.實踐過程
實踐一:防火牆配置
| 機器 | IP地址 |
|---|---|
| Kali Linux | 192.168.200.69 |
| windows7 | 192.168.200.71 |
| SEED Ubuntu | 192.168.200.66 |
| MetaSploitable | 192.168.200.68 |
| windows attack | 192.168.200.65 |
(1)過濾ICMP數據包,使得主機不接收Ping包 (linux下)
-
首先我們輸入
iptables -,可以看到目前對所有的協議包都是處於ACCEPT的狀態; -
然後我們輸入命令
sudo iptables -A INPUT -p icmp -j DROP添加一條入站規則,即丟棄ICMP數據包,添加完後使用sudo iptables -L命令查看添加的規則:(https://img2022.cnblogs.com/blog/1333084/202204/1333084-20220417141114841-905594289.png) -
然後我們再用kali主機向Ubuntu發送數據包,顯示被丟棄;
![]()
-
最後使用
iptables -F刪除自定義規則。
(1*)過濾ICMP數據包,使得主機不接收Ping包 (Windows下)
-
我們使用windows 7爲規則設置主機,首先我們需要打開控制面板-->進入高級安全Windows防火牆-->進入新建規則,如下圖所示。
![]()
-
如圖,我們可以看到兩臺主機分別對Ubuntu進行數據包發送,只有kali主機可以進行發送。
-
然後我們用kali主機對該windows主機進行數據包發送,數據包丟失。
![]()
(2)只允許特定IP地址,訪問主機的某一網絡服務(如FTP、HTTP、SMB),而其他的IP地址無法訪問 (linux下)
- 首先我們使用
sudo iptables -P INPUT DROP丟棄所有與INPUT鏈中任何規則都不匹配的數據包,然後使用iptables -A INPUT -p tcp -s 192.168.200.69 -j ACCEP開啓對192.168.299.69kali主機的tcp訪問;![]()
(2*)只允許特定IP地址,訪問主機的某一網絡服務(如FTP、HTTP、SMB),而其他的IP地址無法訪問 (windows下)
-
首先我們需要對windows下進行規則設置,本實踐我們切換回WindowsAttack主機;
-
我們進入控制面板-->管理工具-->本地安全設置,設置Ubuntu禁止訪問,如下圖所示進行配置;
![]()
-
成功部署該規則;
-
緊接着我們需要對該主機的telnet服務進行啓動,進入管理工具-->服務後,我們可以對telnet服務進行開啓(這裏要注意,需要關閉該主機防火牆)
![]()
-
我們分別使用kali和Ububtu進行telnet訪問,發現kali可以訪問而Ubuntu
不可以,即可說明實踐正確。![]()
![]()
實踐二:動手實踐:Snort
| 機器 | IP地址 |
|---|---|
| Kali Linux | 192.168.200.69 |
-
使用
snort -c /etc/snort/snort.conf -r /listen.pcap -K ascii命令,從離線的pcap文件讀取網絡日誌數據源: -
我們可以看到各個數據包的佔比,該pcap包中,tcp數據包占大多數
![]()
-
我們進入/var/log/snort/目錄下,輸入命令
vi alert可以看到本次攻擊發起的方式及其攻擊機地址、靶機地址、端口號等信息。![]()
實踐三:分析蜜網網關的防火牆和IDS/IPS配置規則
| 機器 | IP地址 |
|---|---|
| honeywall | 192.168.200.69 |
| 蜜罐技術中主要由以下幾個部分構成: |
- 邏輯模塊
- 數據控制:數據控制技術是控制攻擊者出入蜜網主機的活動,使其不會以蜜網主機爲跳板攻擊和危害互聯網上其它的主機;
- 數據捕獲:數據捕獲技術包括網絡流量數據捕獲以及主機上系統行爲的捕獲。網絡流量數據的捕獲結合網絡入侵檢測系統,配置相關敏感信息的檢測規則,觸發入侵檢測規則時立即記錄網絡流量;
- 數據分析:數據分析技術基於數據捕獲技術之上,把收集到的網絡數據、主機行爲數據保存於數據庫當中。分析技術需要信息安全網絡攻防研究基礎、數據庫設計基礎。
- 功能模塊
- 主機監控:進程監控、文件監控、註冊表監控、網絡監控等,監控黑客入侵蜜罐系統後的一切操作,瞭解黑客入侵的目的;
- 入侵檢測:蜜罐系統的入侵檢測模塊可以準確的檢測出黑客入侵蜜罐的攻擊手段,對黑客的入侵過程進行詳細的記錄;
- 攻擊分析:分析主機監控以及入侵檢測兩個模塊獲得的數據。
(1)數據控制
通常數據控制一般包括兩個方面,一個是防火牆對數據的控制,還有一個是IPS對異常數據的限制(snort_inline)。
- 我們輸入命令
vi /etc/init.d/rc.firewall可以看到開機時配置防火牆階段的初始化操作;
create_chains():定義了包括blackList等各種鏈的規則。其中它們分別用來存儲原地址以及目標地址的黑名單等,我們從之前的實踐可以瞭解到,防火牆對於輸入黑名單的地址會丟棄所有的包,屬於白名單的主機接受但不記錄,對於那些防護名單內的主機屬於不希望被訪問到的主機。
接下來的幾個Policy創建了不同情況下不同的轉發模式
(2)數據捕獲
數據捕獲通常包括兩個方面:
-
防火牆的日誌記錄:如目的地址、端口、協議等簡單的信息;
-
Snort記錄的網絡流
-
我們可以用過查看iptables進行了解規則列表,如下圖。
![]()
-
我們可以通過相關命令,如第一個實踐限制某些條件進行規則限定。
(3)Snort實際執行參數
通過命令vi /etc/snort/snort.conf可以查看snort的相關配置參數及其方法,如下圖。
(4)Snort_inline實際執行參數
我們打開處於/etc/init.d/hw-snort_inline文件,向下查看可以看到註釋中對於snort中各個參數的介紹,其中
- -D表示Daemon模式;
- -c表示讀取config文件;
- -Q表示使用QUEUE模式;
- -l表示輸出log文件的目錄;
- -t表示改變程序執行時所參考的根目錄位置。
![]()
(5)防火牆相關服務啓動
我們可以通過命令chkconfig --list | grep [服務]來查看當前服務是否開啓,如下圖,我們發現防火牆和NIPS(snort_inline)是跟隨系統啓動的,並且開機自動配置剛纔的腳本文件。NIDS是需要手動啓動的。
(6)Snort自動升級
我們可以使用命令vi /etc/honeywall.conf打開文件,在快速篩選後找到update的位置,可以看到其值被設置爲“no”,即不自動更新。
二、 實驗過程中遇到的問題和解決過程
1. 忘記蜜罐root用戶密碼
- 一方面經過資料查詢,我們在重啓服務器後,在系統引導界面點按上下鍵進入系統引導界面,在kernel選項中點擊“e“進入編輯模式,輸入/single,進入單用戶模式,在命令行中輸入
sudo passwd進行密碼修改。 - 另一方面可以直接輸入
su -直接輸入密碼進入。
三、感想
在此次實踐中,我們能夠充分了解相關工具的使用機理,從linux系統和windows不同系統角度去觀察學習防火牆的作用。