学号 2019-2020-2 《网络攻防实践》第X周作业
1.实践内容
安全模型
20世纪90年代末RSS 公司在PDR模型
基础上进 一步扩展出P2DR 安全模型, 基本描述为: 网络安全=根据风险分 析制定安全策略(Policy)+执行安全防护策略(Protection)+实时检测(Detection)+实时响应(Response)。
网络安全防范技术与系统
防火墙技术概述
防火墙属于一种网络上的访问控制机制, 通过在不同的网络安全域之间建立起安全控制点, 对通过的网络传输数据进行检查, 根据具体的安全需求和策略设眢决定是否允许网络访问通过防火墙, 达到保护特定网络安全域免受非法访问和破坏的安全目标。
- 防火墙的功能:防火墙可以在网络协议栈的各个层次上实施网络访问控制机制, 对网络流量和访问进行检查和控制。防火墙最基本的功能就是控制在计算机网络中不同信任程度网络域之间传送的数据流
- 防火墙的不足:作为网络边界防护机制而先天无法防范的安全威胁:(l) 来自网络内部的安全威胁。(2) 通过非法外联的网络攻击。(3) 计算机病毒传播
防火墙技术和产品
- 包过滤技术、基千状态检测的包过滤技术、代理技术
- 防火墙产品:其成包过滤功能的路由器、基千通用操作系统的防火墙软件产品、基千安全操作系统的防火墙、硬件防火墙设备
- 防火墙部署方法:(1)包过滤路由器:将带有包过滤防火墙功能的路由器。(2)双宿主堡垒主机:使用应用代理网关作为双宿主堡垒主机, 代替了包过滤路由器。(3) 屏蔽主机:实际上是包过滤防火墙和应用代理技术的集成部署。(4) 屏蔽子网:它与屏蔽主机模式的区别在于在应用代理及对外服务器所构成网段和内部主机之间安装了第二个包过滤防火墙,应用代理及对外服务器所处的网段也被称为 DMZ(非军事区)。
Linux开源防火墙: netfilter/iptables
- netfilter/iptables开源防火墙工作原理:在netfilter/iptables防火墙系统中,netfilter组件位于Linux的内核空间中,实现了静态-包过滤和状态报文检查(即动态包过滤)基本 防火墙功能, 此外也支持 个灵活可扩展的框架,支持NAT 网络地址转换等其他额外功能,并提供了多层API接口以支持第三方扩展, netfilter具备构建防火墙 NAT共享上网、 利用NAT构建透明代理, 以及构建QoS或策略路巾器等安全功能。lptables则是工作在Linux用户窄间中的防火墙配控工具,通过命令行 力式允许用户为netfilter配置各种防火墙过滤和管理规则。
- netfilter/iptables的NAT机制:etfilter/iptables对NAT网络地址转换技术的支待非常全面, 包括lP伪装、 透明代理、 端口转发和其他形式的网络 地址转换技术等。
其他网络防御技术
除了防火墙之外, 安全业界在多年技术发展中也提出了多种其他的网络防御技术, 主 要包括VPN 、 内网安全管理、 内容安全管理、 统一威胁管理等, 也形成了多样化的网络防御产品和设备, 同防火墙一起 , 共同维护网络层面的安全性。
网络检测技术与系统
入侵检测技术评估指标
评估入侵检测技术和系统的两个重要参数是检测率和误报率
- 入侵检测技术:(I) 误用检测(2) 异常检测
- 入侵检测系统的分类与部署:从入侵检测系统的检测数据来源,可以将入侵检测系统分为基千主机的入侵检测系统和尪千网络的入侵检测系统两大类
- 入侵防御系统 IPS:在入侵检测系统基础之上发展出来的一种网络安全技术和产品形态, 有时也被称为内嵌式 IDS。
2.实践过程
防火墙配置
①过滤icmp数据包,不接收ping包
首先测试连通性:
可以连通,接下来在input链条中添加规则,丢弃所有icmp的数据报全部丢弃
再ping发现不通
删除添加的规则
再次ping
②只允许特定的IP地址访问主机的某一服务,其他主机不允许访问。
首先先测试一下最初能不能使用telnet
然后在被访问的机器上将满足条件的报文全部丢弃
再次连接telnet
然后添加一条规则,只接受kali的报文
再次telnet连接
xp进行telnet连接
删除之前的规则
Snort
任务:使用Snort对给定的pcap文件进行入侵检测,并对检测出的攻击进行说明
使用之前实验的 listen.pcap
首先利用指令 snort -r /home/kali/listen.pcap -c /etc/snort/snort.conf -K ascii 对 listen.pacp 进行入侵检测, 其中 -c 表示选择snort配置文件, -r 表示从pcap格式的文件中读取数据包, -K ascii 是用来指定输出日志文件的为ASCII编码。可以查看输出里检测出的数据包,可以看到大部分数据流为tcp会话
可以看到日志文件,可以看出很多信息。
分析蜜网网关的防火墙和IDS/IPS配置规则
任务说明:分析蜜网网关中的snort和iptanles是如何联动进行防御的
- 上述脚本是如何实现蜜网的数据捕获和数据控制?
- 获取IPTables的实际规则列表、Snort和Snort_inline的实际执行参数。
- 蜜网网关开机之后,防火墙、NIDS、NIPS是如何启动的?
- Snort规则是如何自动升级的?
数据捕获机制:iptables可以通过记录日志的形式来捕获网络连接信息,包括源地址,目的地址,使用的端口和进行连接的协议、长度等等;Snort对符合入侵检测特征的攻击数据包发出响应的报警信息,从而标识网络流中存在的攻击事件。
查看防火墙的文件 vim /etc/init.d/rc.firewall
获取IPTables的实际规则列表、Snort和Snort_inline的实际执行参数
获取IPTables的实际规则列表:通过 iptables -t filter -L 来查看规则列表。可以看到默认的规则INPUT、FORWARD、OUTPUT都已经被关闭了。
获取Snort实际执行参数:通过 vim /etc/init.d/snortd 打开Snort脚本文件。
获取Snort_inline实际执行参数:执行命令 vim /etc/init.d/hw-snort_inline 打开snort_inline的脚本文件,可以看到到实际执行的参数。
密网网关开机之后,防火墙、NIDS、NIPS是如何启动的?
使用 chkconfig -list 命令来对linux上运行的服务进行查询,可以发现NIDS的0~6都是off,说明是需要手动启动的,而防火墙和NIPS不全是off,是跟随系统启动的。
Snort规则是如何自动升级的?
然后使用vim /etc/honeywall.conf来查看配置文件,在这里可以找到snort,发现自动更新已经关闭
3.学习中遇到的问题及解决
- 问题1:kali的snort包无法定位
- 问题1解决方案:太难受了,中间经历了各种update、upgrade、换源、重装,最后下了同学的kali最后解决了,为此买了百度会员。。。。
4.实践总结
有些环境问题真的好难解决呀。。。