20199118 2019-2020-2 《网络攻防实践》第六周作业

学号：20199118《网络攻防实践》第六周作业

1.知识点梳理与总结

在第六章的课程中学习了网络安全防范技术的重要内容：

① 安全模型

静态安全模型：对网络进行风险分析，制定相应的安全策略，然后采取安全技术作为防护措施，主要针对固定、静态的威胁和环境弱点。
PDR安全模型：基于闭环控制理论的时间动态可适应网络安全模型，以经典的网络安全不等式P>D+R（保护、检测、响应）为本质基础，并提出安全性可量化和可计算的观点。
P2DR安全模型：基于PDR安全模型提出，增加了Policy分析制定安全策略，并以此为核心，所有的防护、检测、响应都是依据安全策略实施的。

②网络安全防范技术与系统

防火墙定义：
防火墙指的是置于不同的网络安全域之间，对网络流量或访问行为实施访问控制的安全组件或设备，达到保护特定网络安全域免受非法访问和破坏的安全目标。
防火墙功能：
①检查控制进出网络的流量。
②防止脆弱或不安全的协议和服务。
③防止内部网络信息的外泄。
④对网络存取和访问进行监控审计。
⑤强化网络安全策略并集成其他安全防御机制。
防火墙先天不足：
无法防范包括来自网络内部的安全威胁、通过非法外联的网络攻击和计算机病毒传播的传播。
防火墙技术不足：
无法防范包括针对开放服务安全漏洞的渗透攻击、针对网络客户端程序的渗透攻击和隐蔽通道进行通信的特洛伊木马或僵尸网络。
防火墙技术：
①包过滤技术：在路由功能基础上进行扩展，通过对网络层和传输层包头信息的检查，根据用户定义的安全策略规则集，确定是否应该转发该数据包（简单、安全功能有限）。
②基于状态检测的包过滤技术：也称动态包过滤。除了使用静态规则进行安全进行安全策略匹配，还进行数据包的网络连接的上下文关系探测，来确定是否允许通信。这种技术相比较传统的包过滤技术安全性更高，数据合法性得到了更有效的保障（对网络性能有一定的影响）。
③代理技术：允许客户端通过代理与网络服务进行非直接的连接，也称“网络代理”。主要是客户端与代理服务器连接，代理服务器再与目标服务器连接。代理技术包括应用层代理（工作在应用层）、电路级代理（工作在传输层）和NAT代理（工作在网络层）等。
防火墙产品：
①集成包过滤功能的路由器
②基于操作系统的软件
③基于安全操作系统的防火墙：防火墙厂商会自行研发一些安全专用的操作系统。
防火墙部署方法：
①包过滤路由器：将带有包过滤防火墙功能的路由器安装在内部网络和外部网络的唯一连接点上。

②双宿主堡垒主机：与包过滤路由器的部署方法类似，但是用堡垒主机来代替包过滤路由器。

③屏蔽主机：相当于包过滤路由器和堡垒主机的集成，所有的访问数据都要经过两者。

④屏蔽子网：在屏蔽主机模式的基础上，在内部主机之前又加了第二个包过滤防火墙。

③Linux开源防火墙netfilter/iptables介绍

iptables是运行在用户空间的防火墙配置工具，通过控制运行在Linux内核空间的netfilter模块，来管理网络数据包的处理和转发。其中规则是用户预定义的，也是我们常说的防火墙规则，配置防火墙的主要工作就是添加、修改和删除这些规则。
工作原理iptables中有三个基本规则表：
①处理包过滤的filter：
（1）INPUT（发往本地）
（2）OUTPUT（本地发出）
（3）FORWARD（经过本主机的转发的数据包处理）
②网络地址转换nat：
（1）PREROUTING（对未经路由选择的数据包转换IP地址和目标端口）
（2）POSTROUTING（对已经经过陆幽轩的数据包进行转换IP地址和目标端口）
（3）OUTPUT（对本地数据包的IP地址和端口转换。）三条规则链。
③特殊目的包修改的mangle。
iptables的指令:
iptables -t [table] command [match] [target] -t指定规则所在的表，缺省表包括gilter、nat、mangle、raw。cammand就是告诉iptables要做什么，比如-A就是在链表之后插入规则。match则是规则，满足规则的数据包才会被采取措施。target是满足规则之后要做什么，比如放行数据包ACCEPT。
netfilter/iptables的NAT机制:
①IP伪装：在内部网络使用私有IP，而通过防火墙可以绑定一个外部IP，对数据包进行源IP伪装。
②SNAT机制：SNAT记住可以按照用户制定的规则，将源IP灵活的变成各种IP，IP伪装是一种SNAT机制。值得注意，SNAT机制需要在POSTOUTING链中完成，这样才能让路由、包过滤在源IP改变之前做完。
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.254.2的意思是将发出的源IP改为192.168.254.2
③DNAT机制：DNAT在PREROUTING链中完成，需要用到-i
iptables -t nat -A PEROUTING -i eth1 -j DNAT --to 192.168.254.128将目的地址转换为192.168.254.128

④网络检测技术与系统

入侵检测技术：
①评估指标：检测率（系统捕获到的攻击行为与全部攻击行为比值）和误报率（对正常行为的误报数与全部报警数的比值）。
②技术类型：特征检测（匹配特征库）、异常检测（检测与正常用户在统计方面的差别）。二者通常结合使用，提高入侵检测系统的整体检测性能。同时，基于这两种技术，也可以对入侵检测系统进行分类。
③入侵防御系统：也叫内嵌式入侵检测，即对检测到的异常行为或者与特征库匹配的行为直接进行阻断，断开访问。
snort基本介绍
①简介：Snort是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力，能够进行协议分析，对网络数据包内容进行搜索/匹配，可以检测各种不同的攻击方式，对攻击进行实时报警等。
②四大模块：数据包嗅探模块、预处理模块（用相应的插件来检查原始数据包）、检测模块（检测引擎依据预先设置的规则检查数据包）、报警/日志模块（经检测引擎检查后的Snort数据输出）。
③三种工作模式：嗅探模式（从网络上读取数据包，常用命令snort -dev）、数据包记录模式（把数据包记录到硬盘上，常用命令snort -b）、网络入侵检测模式（载入规则库才能工作，Snort并不记录所有捕获的包，而是将包与规则对比，仅当包与某个规则匹配的时候，才会记录日志或产生报警）。

2.实践过程

实践一：配置Linux平台上的iptables，完成如下功能并测试：
①过滤ICMP数据包，使主机不接受ping包。
②只允许特定IP地址访问主机的某一网络服务，而其他IP地址无法访问

我们以SEED Ubuntu作为服务器，利用Kali访问SEED Ubuntu，Kali作为信任主机，Linux MetaSploitable作为不可信任主机。

虚拟机	IP
Kali-Linux	192.168.237.129
MetaSploitable-Linux	172.16.8.128
SEEDUbuntu	172.16.8.128

过滤ICMP数据包，使主机不接受ping包。

首先在SEED Ubuntu上通过iptables -L查看规则，发现都是默认规则。
通过指令iptables -A INPUT -p icmp -j DROP指令使得主机不接受icmp的数据包。指令详解：-A是追加一条规则，INPUT表示数据包入口（规则），-p用于匹配协议，-j用于指定如何处理（ACTION）。更多的指令参照上面理论部分给的链接。

此时通过Kali ping SEEDUbuntu

4.再通过iptables -L查看规则

最后别忘了使用iptables -F删除自定义规则。至此过滤ICMP数据包实践完成。

只允许Kali访问SEED Ubuntu的telnet服务。

确定两台机器都可以进行telnet登陆。
接下来使用iptables -P INPUT DROP指令拒绝一切的数据包流入（修改的是默认规则-P），此时应该两台电脑都无法进行访问。
使用指令iptables -A INPUT -p tcp -s 192.168.237.129 -j ACCEPT开启192.168.237.129对本机的tcp服务。并用iptables -L查看规则。