20199121 "ataque a la red y la práctica de defensa", la sexta semana de trabajo

Others 2020-04-07 19:14:54 views: null

directorio

prefacio

problema respuesta
Esta obra pertenece al plan de estudios ataque a la red y la práctica de defensa
Cuando este requisito en el trabajo "Ataque a la red y la práctica de defensa", la sexta semana de trabajo
aprender La tecnología de seguridad de red Capítulo VI

1. cardado conocimiento y resumen

  • TCSEC estándar era la primera evaluación de la seguridad del sistema informático estándar oficial, un significado que hace época. Dinámicamente adaptarse a modelo de seguridad de red basado en la teoría de control de bucle cerrado, un modelo típico es un modelo y el modelo P2DR PDR propuesto en su base.

  • modelo de seguridad PDR es un modelo basado en el tiempo para la seguridad dinámica, seguridad de red clásico desigualdad P> D + R se basa esencialmente, y propuso cuantificable seguridad y vistas calculables. Si el mecanismo de defensa de sistemas de información capaz de resistir la invasión de tiempo P, se puede encontrar sobre mecanismos D. mecanismo de detección y tiempo de respuesta para responder eficazmente a la invasión de la invasión del tiempo R, la suma, a continuación, el sistema de información está a salvo.

  • P2DR modelo de seguridad básica se describe como: = seguridad de red basado en el análisis del riesgo de desarrollar una política de seguridad (Política) + realizar la política de seguridad (protección) + detección en tiempo real (de detección) + tiempo real correspondiente (Respuesta).

firewall

  • Tecnología de cortafuegos

    • 1) la tecnología de filtrado de paquetes: la función de encaminamiento basado en la expansión, mediante la comprobación de la capa de red y la información de cabecera de capa de transporte para determinar si el paquete debe ser enviado.
    • 2) basado en el paquete de estado detectado tecnología de filtrado (filtrado de paquetes dinámico): Además de comprobar, independientemente en cada paquete de datos, el paquete de datos va a seguir en el contexto de la conexión de red al estado de conexión de red es un criterio de coincidencia adicional para determinar si se debe permitir la comunicación.
    • 3) tecnología de Agente: proxy de aplicación (capa de aplicación), una proxies de nivel de circuito (capa de transporte), agente de NAT (capa de red).

  • métodos Firewall de despliegue: 1) la base dual anfitrión de filtrado de paquetes del router 2) bastión 3) proyectado anfitrión 4) se pasará subred

  • Firewall cuenta con: 1) Controlar el tráfico de la red de control dentro y fuera de la red 2) para evitar que los servicios y protocolos vulnerables o inseguros 3) para evitar la fuga de la red de información interna 4) para el acceso a la red y de acceso para supervisar la auditoría 5) para reforzar la política de seguridad de la red y integración con otros mecanismos de defensa de seguridad

  • firewall inadecuada

    • A medida que la red perimetral amenazas a la seguridad y los mecanismos de defensa innatos no se pueden prevenir: la red interna de amenazas a la seguridad de los ataques de red de difusión ilegales, los virus informáticos propagación
    • Debido a los cuellos de botella técnicos amenaza a la seguridad no es la prevención pero eficaz: los ataques de penetración de servicios abierta contra las vulnerabilidades de seguridad, ataques de penetración contra el programa cliente de red, un caballo de Troya en base botnet o canal comunicaciones encubiertas

Detección de Intrusos

  • Dos parámetros importantes del sistema de detección de intrusos y evaluación: tasa de detección (en comparación con la captura de la conducta agresiva y la conducta agresiva de todos), la tasa de falsos positivos (el número de falsos positivos y el número de todas proporción de alarma).

  • Clasificación de la tecnología de detección de intrusos

    • El tipo de análisis de tecnología de la información: detección de mal uso (colección intrusión conocido dispone y biblioteca de características de configuración, la información de la característica detectada coincidencia de patrones), la detección de anormalidad (establecimiento de perfil normal modo del sistema, el contorno del sistema de ensayo compara superó alarma de umbral).
    • Las fuentes de datos de detección de detección de intrusos: la detección de intrusiones basado en host, red basada en la detección de intrusos.
    • Arquitectura emplear de acuerdo con: a centralizada, jerárquica, de colaboración.

2. Práctica

Manos: Configuración del cortafuegos

Título: iptables dispuestos en la plataforma Linux, completa:
1) el filtrado de paquetes ICMP, por lo que el anfitrión no recibe un paquete ping
2) sólo permite una dirección IP específica del acceso al servicio de red al host, la dirección IP no puede acceder a otra

Introducción iptables

El valor por defecto iptables reglas / pulsera de la siguiente

Formato del comando iptables es el siguiente

iptables [-t 表] -命令 匹配 操作

(1) Mesa de -t
opción de tabla para especificar qué iptables comando se aplica a una tabla incorporada.
(2) de comando
Opciones de comando para realizar el iptables forma de realización especifica, las reglas, incluida la inserción, deleción regla y la adición de reglas, como se muestra

-P  --policy        <链名>  定义默认策略
-L  --list          <链名>  查看iptables规则列表
-A  --append        <链名>  在规则列表的最后增加1条规则
-I  --insert        <链名>  在指定的位置插入1条规则
-D  --delete        <链名>  从规则列表中删除1条规则
-R  --replace       <链名>  替换规则列表中的某条规则
-F  --flush         <链名>  删除表中所有规则
-Z  --zero          <链名>  将表中数据包计数器和流量计数器归零
-X  --delete-chain  <链名>  删除自定义链
-v  --verbose       <链名>  与-L他命令一起使用显示更多更详细的信息

(3) acorde con regla
opciones de concordancia especifican el paquete coincide con la regla tiene las características, incluyendo una dirección de origen, dirección de destino, protocolo de transporte y número de puerto, como se muestra en la figura.

-i --in-interface    网络接口名>     指定数据包从哪个网络接口进入,
-o --out-interface   网络接口名>     指定数据包从哪个网络接口输出
-p ---proto          协议类型        指定数据包匹配的协议,如TCP、UDP和ICMP等
-s --source          源地址或子网>   指定数据包匹配的源地址
   --sport           源端口号>       指定数据包匹配的源端口号
   --dport           目的端口号>     指定数据包匹配的目的端口号
-m --match           匹配的模块      指定数据包规则所使用的过滤模块

De acción (4) reglas de iptables

  • RECHAZAR
    bloquear el paquete, y notificar a los demás paquetes de retorno, los paquetes pueden ser devueltos Hay varias opciones: ICMP de puerto inalcanzable, eco ICMP -reply o tcp-reset (estos datos solicitará que la bolsa off-line), por después de esta operación de procesamiento, aparte de las reglas filtrará no directamente de interrupción.

  • DROP
    Después de desechar paquetes no procesados, terminó Esta operación de procesamiento será más largo que para otras reglas, filtro de interrupción directa no.

  • REDIRECT
    Después de redirigir el paquete a otro puerto (PNAT), para la finalización de esta operación de procesamiento continuará durante otras reglas. Esta función se puede utilizar para implementar un proxy transparente o para proteger el servidor web.

  • REGISTRO
    tras el registro de información del paquete de datos en / var / log, la ubicación detallada consulte el fichero de configuración /etc/syslog.conf, completa el procesamiento de realizar esta operación, seguirá comparar otras reglas.

consejos: Si no lo hace guardar la configuración de iptables, a continuación, después del reinicio restaurará la configuración por defecto, usted no tiene que restaurar manualmente!

práctica

Descripción: Ubuntu [dirección IP 192.168.0.11], kali [dirección IP 192.168.0.16], WinXP [dirección IP 192.168.0.13]

1) ubuntu regla de filtrado iptables -A INPUT -p icmp -j DROPes decir, cadena INPUT (para procesar el paquete de datos a la unidad) para añadir reglas de descartar un paquetes ICMP, antes y después del comando de filtro iptables -Lpara ver la lista de reglas iptables

Puede hacer ping antes de usar kali de ping Ubuntu, cambiar las reglas después de la modificación no puede hacer ping.

2) ubuntu primero despeja el reglas de cadena INPUT, para re-establecer las reglas de filtrado iptables -A INPUT -p tcp -s 192.168.0.16 -j ACCEPTque la cadena INPUT (para procesar el paquete de datos a la unidad) para añadir una regla permitiendo que sólo los paquetes TCP kali192.168.0.16 la LAN, antes y después del comando de filtro iptables -Lpara ver una lista de reglas de iptables

Ubuntu puede haber una conexión telnet con kali-192.168.0.16, la falla de conexión WinXP.

Manos: resoplido

Título: El uso de resoplido (listen.pcap cuarta semana de funcionamiento utilizado) dada la detección de intrusos archivo pcap, el acceso a los registros de alarmas y detección de ataques se explicará.

arquitectura resoplido

  • resoplido estructura consta de cuatro módulos de software de gran tamaño
    • Analizador de paquetes / decodificador: es responsable de la supervisión de los paquetes de datos de red, la red se divide;
    • Preprocesador / widget de: un widget correspondiente a la inspección original paquete de datos, y se encontró "comportamiento" de los datos originales, después de pasar a través del motor de pre-detección;
    • Detección del motor / enchufe: Este módulo es el módulo de núcleo Snort. Cuando el paquete de datos enviado desde el pre-procesador, el motor de reglas basado en controles de inspección de paquetes de preajuste, una vez que el paquete de contenido y un partidos regla encontraron, módulo de alarma de notificación;
    • Los módulos de salida / enchufe: en algunas necesidades manera de ser la salida por los datos de Snort inspección del motor de detección.

práctica

El listen.pcap en la carpeta de resoplido a archivos de vista en el directorio con el comando ls, se puede ver snort.conf y listen.pcap
utilizar el comando snort -r listen.pcap -c snort.conf -K asciide detección de intrusos y ver la salida, ascii -K principalmente para especificar la codificación para el archivo de registro de salida ASCII

Utilice el comando cd /var/log/snortpara cambiar al directorio de archivo de registro (el directorio predeterminado es el archivo de directorio de alarma, también puede especificar el directorio snort.conf) de comandos vi alertarchivos de alarmas detalle que se encuentra mediante el escaneo de Nmap iniciado

trabajo Práctica: análisis Honeywall cortafuegos y IDS / IPS es

Título: Análisis Honeywall ROO cortafuegos y IDS / IPS configuración reglas, normas y análisis específico de inicio de entrada del archivo de configuración es como sigue:
el servidor de seguridad (netfilter + IPTables): / etc / init.d / rc.firewall
detección de intrusiones sistema (Snort): /etc/init.d/hflow-snort, /etc/snort/snort.conf
sistema de prevención de intrusiones (snort_inline): / etc / init.d / hw-snort_inline, / etc / snort_inline / snort_inline.conf
contenido análisis:
1) script anterior es cómo lograr la captura de datos y datos de control Honeywall mecanismos?
2) Obtener el IPTables lista real de reglas de Snort, y la aplicación práctica de los parámetros Snort_inline
después de 3) de arranque Honeywall, cortafuegos, NIDS, PELLIZCOS es cómo empezar?
4) Snort gobierna Honeywall es cómo actualizar de forma automática?

práctica

  • Honeypot es la tecnología de la base de captura de datos, control de datos, análisis de datos.

    • Control de datos: sistema honeypot es necesario limitar el sistema de tráfico de salida, sino también para interactuar con el atacante una cierta libertad de movimiento y la trampa de la red. Para todos los sistemas de trampa registro de conexión entrante, el sistema honeypot están autorizados a entrar, mientras que las conexiones salientes a haber restricciones apropiadas, o modificar la dirección de destino del paquete de datos de las conexiones salientes, redirigido al host especificado, causando también la red para el atacante ilusión de paquetes se ha emitido correctamente.
    • Captura de datos: registro del sistema honeypot Collect de dos maneras: en base a la recopilación de información y red de recogida de información basado en host.
    • Análisis de los datos: el sistema honeypot capturado análisis registro de datos y el procesamiento para extraer la invasión de reglas, que analiza si un nuevo firmas de intrusión.

  • mecanismo de control de datos mecanismo (parte superior) de captura de datos (parte inferior)

Utilice el comando vim /etc/init.d/rc.firewallpara ver el archivo servidor de seguridad, se puede ver para crear una lista negra, lista blanca, y el paquete de protocolo cadena de reglas de procesamiento. Vale la pena decir que el sistema honeypot puede identificar sólo cuatro protocolos: TCP, UDP, ICMP, otra. Cuando el control de datos, para establecer el límite superior dentro de cada uno de los paquetes de protocolo de transmisión por unidad de tiempo, por la forma de transmisión más allá del límite superior, hay tres procesamiento de paquetes: Gota, Rechazar y reemplazar.

  • IPTables obtener la lista real de reglas

Utilice el comando iptables -t filter -Lpara ver la lista de reglas, más contenido utilizando la página shift + arriba / abajo la página

  • Los parámetros de ejecución reales de Snort y Snort_inline

Utilice el comando vim /etc/init.d/snortd para abrir archivo de script Snort, se pueden ver algunas opciones de parámetros.

Utilice el comando `vim / etc / init.d / HW-snort_inline` archivo de script snort_inline abierta, se puede ver algunas opciones de parámetros. [Comandos de entrada directa y aquí no he encontrado este archivo, por lo que el primero en entrar en la carpeta de archivos de comando cd /etc/init.d y luego abrir el archivo con el comando vim, en cuanto a por qué el primero no puede, no sé]

-D representa modo demonio, -c lee el archivo de configuración indica, el modo de indicación -Q COLA, directorio -l indica la salida del archivo de registro, -t cambiar la ejecución del programa indica la raíz de la posición de referencia.

  • Cómo cortafuegos, NIDS, PELLIZCOS empezar

Utilice el comando chkconfig --listpara consultar el servicio, si es de 0 a 6 están todos fuera, no se inicia automáticamente. Se puede encontrar NIDS necesidad de iniciar manualmente el servidor de seguridad, PELLIZCOS es seguir se inicia el sistema.

  • Cómo Snort gobierna Honeywall actualización automática

Utilice el comando vim /etc/honeywall.confpara abrir el archivo de configuración, encontrar las variables de actualización, se puede ver su valor no es, que no se actualiza automáticamente.

Utilice Oinkmaster reglas de actualización de Snort. En primer lugar obtener el código oink en snort.org cuenta registrada.

Utilice el comando vi /etc/oinkmaster.confde vista Oinkmaster fichero de configuración, busque Ejemplo de Snort 2.4, eliminar el mensaje, Modificar URL = http: //www.snort.org/pub-bin/oinkmaster.cgi/ su código oink / snortrules-instantánea-2.4.tar .gz

Utilice el comando oinkmaster -C /etc/oinkmaster.conf -o /etc/snort/rulespara actualizar las reglas a la última versión

3. Los problemas y las soluciones encontradas en el estudio

  • Pregunta: página honeypot
  • 解决: shift + página arriba / abajo

4. sentimientos y experiencias de aprendizaje

Este capítulo no es mucho, y no implica alguna en el estudio anterior, la práctica es más relajado. Para el análisis de la última pregunta, o en algunos lugares que no entendemos, la información se puede encontrar es muy limitado, esperamos tener la oportunidad de profundizar en la comprensión del proceso de aprendizaje aquí después.

material de referencia

Supongo que te gusta

Origin www.cnblogs.com/poziiey/p/12622523.html
Recomendado
Clasificación
Diario
Más
2024-07-25(0)
2024-07-24(0)
2024-07-23(0)
2024-07-22(0)
2024-07-21(0)
2024-07-20(0)
2024-07-19(0)
2024-07-18(0)
2024-07-17(0)
2024-07-16(0)

Code World

© 2018 codetd.com