1.实践内容
一、防火墙配置(IP地址仅供参考,以实际为准)
任务要求:配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)过滤ICMP数据包,使得主机不接收Ping包;
(2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3),访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址(如Windows攻击机192. 168.200.4)无法访问
二、动手实践:Snort
使用Snort对给定pcap文件(第4章中的解码网络扫描任一个pcap文件,之前的实践已经提供了,请在学习通中下载)进行入侵检测,并对检测出的攻击进行说明。在BT4 Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。
Snort运行命令提示如下:
①从离线的pcap文件读取网络日志数据源
②在snort.conf中配置明文输出报警日志文件
③指定报警日志log目录(或缺省log目录=/var/log/snort)
三、分析配置规则
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
2.实践过程
2.1 实验环境
本次实验使用的主要主机如下:
| 主机名称 | 系统类型 | 作用 | IP地址 |
|---|---|---|---|
| Kali Linux | Linux | 攻击机/实验机 | 192.168.200.66 |
| WinXPattacker | Windows XP | 攻击机/实验机 | 192.168.200.65 |
| Metasploitable | Linux | 靶机/实验机 | 192.168.200.130 |
| Honeywall | Linux | 蜜网网关 | 192.168.200.8 |
本次实验中,主要在Kali上完成防火墙配置和Snort检测,Windows与Metasploitable用于访问测试,Honeywall用于规则分析。
2.2 防火墙配置
2.2.1 过滤ICMP数据包,使主机不接收Ping包
首先,在Kali中查看当前防火墙规则,并查看本机IP地址。然后在Windows攻击机中对Kali发起Ping测试,确认在未配置规则前Kali可以被正常Ping通。
iptables -L
ifconfig
ping 192.168.200.66
查看规则
查看IP
Ping成功截图
配置前Kali可被Ping通,接着,在Kali中输入如下命令,阻止主机接收ICMP数据包:
iptables -A INPUT -p icmp -j DROP
说明是需要权限的,输入sudo su开启权限,然后再次输入指令
配置完成后,再次查看当前规则:
sudo iptables -L
添加ICMP规则和查看规则截图
此时再次在Windows攻击机中对Kali主机执行Ping操作,发现已经无法Ping通,说明规则生效。
ping 192.168.200.66
配置后Ping失败截图
配置后Kali无法被Ping通,实验结束后,输入以下命令删除规则并再次查看,确认已清除:
sudo iptables -F
清除规则截图
2.2.2 只允许特定IP地址访问主机的某一网络服务,而其他的IP地址无法访问
首先查看Metasploitable的ip地址,输入指令ifconfig
分别在Kali和Windows上输入指令
telnet 192.168.200.130
如下图所示,Kali(192.168.200.66)能成功连接上 Metasploitable。
如下图所示,Windows(192.168.200.65)能成功连接上Metasploitable。
然后在Metasploitable上输入指令
sudo iptables -A INPUT -p tcp -s 192.168.200.66 -j ACCEPT
sudo iptables -A INPUT -p tcp -j DROP
实现仅允许特定IP地址(192.168.200.66)通过TCP协议访问本机任何端口,而拒绝其他所有IP的TCP连接。
(iptables规则是按顺序从上到下匹配的,注意指令顺序)
之后可以通过指令sudo iptables -L INPUT -n -v查看规则。
iptables规则配置截图
此时在Windows(192.168.200.65)上输入指令telnet 192.168.200.130,已无法连接Metasploitable。
Windows无法连接192.168.200.130的截图
kali可以连接192.168.200.130的截图
实验2.2结束后,在Metasploitable上输入
sudo iptables -F INPUT
清空Metasploitable所有INPUT规则。
清除后,Windows上输入指令telnet 192.168.200.130,可以连接Metasploitable
2.3 动手实践:Snort
在Kali中使用Snort对给定的pcap文件进行离线检测,输入以下命令对listen.pcap进行入侵检测:
sudo snort -r /home/kali/Desktop/listen.pcap -c /etc/snort/snort.lua -A full -l /var/log/snort
Snort执行检测截图
根据检测结果可以看出,该流量中存在明显的扫描与异常探测行为。主要是主机172.31.4.178对172.31.4.188实施TCP端口扫描;大量发送异常TCP报文;存在ARP扫描或可疑ARP欺骗行为;短时间内建立大量TCP会话,具有明显暴力扫描特征。
通过本次实验,可以看出Snort能够较好地识别离线抓包中的恶意行为,并为后续分析提供依据。
2.4 分析配置规则
为了进一步了解蜜网网关中的安全配置,本实验对Honeywall中的相关规则和配置文件进行了查看,由于截图有限,仅截图配置文件的第一页。
首先查看蜜罐防火墙规则:
iptables -t filter -L
Honeywall防火墙规则
接着查看Snort主配置文件:
vim /etc/snort/snort.conf
Snort主配置文件
然后查看蜜网网关防火墙核心脚本:
vim /etc/init.d/rc.firewall
Honeywall防火墙核心脚本
最后查看Snort的规则目录:
ls -l /etc/snort/rules/
Snort规则目录
通过以上分析可以看出,Honeywall通过防火墙规则和Snort配置,对网络中的通信流量进行检查、记录和控制,从而在蜜网环境中实现攻击流量捕获和安全监控的作用。
3.学习中遇到的问题及解决
-
问题1:配置好Metasploitable上的
iptables规则后,Kali一开始仍然无法按预期连接。 -
问题1解决方案:通过抓包与规则计数分析发现,问题并不在规则本身,而是在开启Honeywall的情况下,Metasploitable实际看到的源地址被转换成了Honeywall的地址,而不是Kali的真实地址,导致白名单规则无法正确匹配。后来关闭蜜网环境后重新测试,才恢复为正常的源地址识别。这让我理解到,蜜网网关会影响数据包的源地址显示,因此在基于源地址做访问控制实验时,需要特别注意网络路径的影响。
-
问题2:在Honeywall上查看防火墙规则时,输入
iptables -t filter -L提示command not found。 -
问题2解决方案:后续通过
whereis iptables发现该系统中的iptables实际位于/sbin/iptables,是由于当前环境变量中没有包含/sbin路径,导致命令不能直接识别。之后通过补充PATH,或者直接使用/sbin/iptables -t filter -L的方式,成功查看到规则内容。这个问题说明在一些老旧Linux系统中,命令存在但不一定能直接调用,需要注意环境变量配置。 -
问题3:在Honeywall中即使找到
iptables命令,执行时又提示权限不足。 -
问题3解决方案:开始时虽然登录了系统,但当前用户并不是真正的root权限,因此执行查看规则命令时提示
Permission denied (you must be root)。后续切换到root用户后重新执行命令,才成功查看防火墙配置。通过这个问题我意识到,很多安全相关配置文件和规则表都必须在root权限下才能查看和操作。 -
问题4:使用
vim查看Honeywall配置文件时,不熟悉退出方式,导致操作一度卡住。 -
问题4解决方案:后来查清楚
vim的基本操作方式,在只查看不修改的情况下,按Esc后输入:q!即可退出;若需要保存退出,则使用:wq。虽然这是一个小问题,但也提醒我在实验中不仅要会执行安全命令,也要掌握基本的Linux文本编辑工具操作。
4.实践总结
本次实验围绕iptables防火墙配置与Snort入侵检测展开,完成了ICMP数据包过滤、特定IP访问控制以及Snort流量检测等操作,基本掌握了相关工具的基础使用方法,也理解了防火墙与入侵检测协同工作的作用。
在实验过程中,通过实际配置规则和进行访问测试,我对防火墙的访问控制原理有了更直观的认识;通过使用Snort检测离线流量,也进一步理解了网络扫描、异常报文和可疑探测行为的特征。同时,通过查看Honeywall中的规则和配置文件,我认识到蜜网网关不仅用于连接网络,更能够承担监控和记录攻击行为的重要作用。
总体来说,这次实验让我对网络安全防范技术有了更清晰的理解,也提升了我对实际网络攻防实验环境的操作熟练度。