20199326 2019-2020-2 "práctica ataque a la red y la defensa," la sexta semana de trabajo

Others 2020-04-07 20:03:03 views: null

practicar lo

6.1 Modelo de Seguridad
  • evaluación de la seguridad tradicional y los métodos de prevención es a través del análisis de riesgos de la red, desarrollar políticas de seguridad adecuadas, y luego tomar una o más tecnologías de seguridad como medida de protección, este modelo de seguridad y procesos dirigidos a fijo, estático y amenazas debilidades ambientales, pero ignora las características importantes de seguridad de la red, las amenazas de seguridad de red y vulnerabilidades del sistema no han hecho una estimación completa, la aparición de nuevos problemas de seguridad requieren nuevas tecnologías de seguridad y medios para resolver, no hay absoluta, inmutable la seguridad, la seguridad es un pariente, dinámico, proceso de mejora continua, necesidad de adaptarse a los cambios del entorno y hacer los ajustes necesarios para garantizar la seguridad. Sobre la base de esta consideración, el campo de seguridad de la información hizo una serie de más adaptarse dinámicamente a modelo de seguridad de la red.
  • Dinámicamente adaptarse a modelo de seguridad de red basado en la teoría de control de bucle cerrado, un modelo típico PDR (protección, detección, respuesta) modelo, y en la que se hace P sobre la base de 2 el DR (Ploicy, Protección, Detección, la respuesta) modelo, etc.
  • PDR modelo de seguridad: P> D + R, si los mecanismos de defensa de los sistemas de información capaz de resistir la invasión P, puede superar el mecanismo de detección encontraron tiempo D y mecanismo de respuesta de invasión de una respuesta eficaz a la invasión de tiempo suma R, entonces el sistema de información está segura.
  • Los finales de 1990, ISS una mayor expansión de la empresa en modelo PDR basado en la P 2 modelo de seguridad de DR. Básica descrita como: análisis de riesgos de seguridad de red para desarrollar políticas de seguridad = + + implementación de políticas de seguridad basadas en la monitorización de respuestas + en tiempo real en tiempo real. En este modelo, la política de seguridad es el núcleo del modelo, toda la protección, detección, respuesta se basan en la aplicación de políticas de seguridad, políticas de seguridad proporcionan herramientas de dirección y gestión de apoyo para la gestión de la seguridad. Como se muestra en la figura.
  • Las principales tecnologías de detección incluyen detección de intrusos y evaluación de la vulnerabilidad, medidas de respuesta de emergencia incluyen, backup y recuperación, recuperación de desastres.
la tecnología y los sistemas de seguridad de red 6.2

  • Un mecanismo de control de acceso servidor de seguridad en la parte de una red, mediante la construcción de punto de control de seguridad entre diferentes dominio de seguridad de red, los datos de transmisión de la red se comprueba para determinar si se debe permitir el acceso a la red a través del servidor de seguridad de acuerdo con los requerimientos de seguridad específico y la configuración de política , para proteger la seguridad de dominio específico de la red del acceso no autorizado y objetivos de seguridad daños.

  • Se puede dividir en el filtrado de paquetes tecnología de servidor de seguridad, puertas de enlace de nivel de circuito y la técnica proxy de aplicación

  • La función más básica de un servidor de seguridad es para controlar el flujo de datos en un nivel de transmisión de la red informática de confianza entre los diferentes dominios de red. Podemos proporcionar la siguiente funcionalidad

    1. Comprobar el tráfico de la red de control dentro y fuera de la red
    2. Evitar que los servicios y protocolos vulnerables o inseguros
    3. Para evitar las fugas de la red de información interna
    4. acceso a la red y de acceso para supervisar la auditoría
    5. Los cortafuegos pueden reforzar la política de seguridad de red e integrarse con otros mecanismos de defensa de seguridad

  • Como un servidor de seguridad de red perimetral mecanismos de protección para protegerse contra la amenaza no puede ser innata

    1. A partir de las amenazas a la seguridad de la red interna
    2. Los ataques cibernéticos por difusión ilegal
    3. propagación de virus del ordenador

  • Debido a los cuellos de botella técnicos amenaza a la seguridad no es todavía una prevención eficaz

    1. ataques de penetración de servicios abierta contra vulnerabilidades de seguridad
    2. ataques de penetración contra el programa cliente de red
    3. caballos de Troya, o bots para la comunicación de red basados ​​en canales encubiertos

  • la tecnología de servidor de seguridad:

    • El filtrado de paquetes: para extender la base función de encaminamiento, a través del examen de la capa de red y la información de cabecera de capa de transporte, de acuerdo con el conjunto de reglas de política de seguridad de usuario definido, determinar si para reenviar el paquete, algunos no cumplen con la política de seguridad del paquete de datos una barrera en el límite de la red.
    • Con base en el estado monitorizado el filtrado de paquetes de tecnología (tecnología de filtrado dinámico de paquetes): mantiene todas las conexiones a través del servidor de seguridad del registro de la red, y así determinar si el paquete pertenece a una nueva conexión, o una parte de una conexión establecida, o un paquete de forma ilegal .
    • Agente Técnico: Agente de la tecnología es un importante dispositivos de seguridad informática, permiten a los clientes a través de su conexión no directa a otro servicio de red.

  • VPN utiliza una red de enlaces públicos en la red en el lugar para construir una empresa de seguridad privada Dedicado red a gran escala, las empresas interregionales a gran escala para construir escenarios comunes intranet.

  • protocolo IPsec es el protocolo de seguridad de la capa de Internet, es una serie de IP conjunto de protocolos de comunicaciones para la protección proporcionada por los problemas de integridad de datos cuando pasa a través de la red pública, la seguridad y la legalidad diseñar un conjunto de túnel, cifrado, esquema de autenticación .

  • SSL protocolo de capa de conexión está funcionando por encima del protocolo de capa de transporte en la protección de las comunicaciones seguras Web basados ​​en Internet proporcionado

6.3 Sistemas de Detección y de red
  • Dos parámetros importantes de los sistemas de detección de evaluación y de intrusos es la tasa de detección y tasa de falsas alarmas
  • La detección de intrusiones se puede dividir y NIDS basados en la red HIDS basada en el host. HIDS se utiliza generalmente para controlar la información de host, NIDS para supervisar su origen de datos de paquete de red para el análisis
    - Sistema de detección de intrusiones figura despliegue categorizados como sigue
  • Sistema de prevención de intrusiones IPS se desarrolla en el sistema de detección de intrusiones basado en. Comúnmente utilizado con el modo de detección de intrusiones de monitoreo de derivación solamente detectar alarma de intrusión con diferentes IPS empleadas directamente dentro de la red conectada en una posición límite, y al detectar la intrusión, un ataque directo a la conexión de red asociada el bloqueo del proceso.
  • netfilter / iptables firewall es una combinación de soluciones técnicas para el sistema operativo de código abierto Linux de uso común, que es el núcleo de Linux netfilter firewall para lograr módulos funcionales, iptables estado de la aplicación herramienta de gestión de servidor de seguridad. netfliter / iptables comprende tres cuadros básicos reglas, tablas de filtros para cada proceso de filtrado de paquetes, tabla nat para el proceso de traducción de direcciones de red, así como para fines especiales tabla mangle para el paquete de datos modificado. Ya contiene algunas reglas predeterminadas cadena definidos en cada tabla de reglas, y puede ser de cadena reglas definidas por el usuario

práctica

Una práctica

Iptables dispuesto en Linux Plataforma del sistema operativo, o un firewall personal en la plataforma del sistema operativo Windows, realiza las siguientes funciones, y la prueba:
1. filtrado de paquetes ICMP, por lo que el anfitrión no recibe Ping packet
2. sólo permiten ciertas direcciones IP (por ejemplo, una red de área local el avión de ataque Linux 192.168.200.3), el acceso a una gran cantidad de servicios de red (como FTP, HTTP, SMB), mientras que la otra dirección IP (por ejemplo, aviones de ataque de Windows 192.168.200.4) no puede acceder.

telar direcciones IP
TIEMPOS 192.168.200.3
UBUNTU SEED 192.168.200.5
LINUX META 192.168.200.125

La tabla anterior es el uso de las máquinas virtuales. Kali y SEED como avión de ataque, LINUX META como un avión no tripulado de destino. entorno de red con el último experimento, ya que todo es NAT. El siguiente experimento ha sido asegurar que las máquinas pueden hacer ping entre sí.

El primer experimento fue un pequeño paquetes ICMP de filtrado, de modo que el anfitrión no recibe paquetes Ping.

Principio: añadir iptables avión no tripulado cayeron reglas de filtrado de paquetes para todos los paquetes ICMP para que los atacantes no pueden `ping` normal a través de aviones no tripulados.

A continuación el detalle de que Paso
1: Introduzca los siguientes comandos en el KALI

iptables -A INPUT -p ICMP -j DROP    //-A代表增加规则,-p代表指定协议,-j代表对该规则执行的操作

2: Después de la finalización de la ejecución del comando anterior, tratar de hacer que el SEED pingKali, ha encontrado pingilógica

El segundo experimento consiste en hacer un pequeño aviones no tripulados de ataque pueden tener acceso a ciertos servicios, pero no puede acceder a otra. Aquí he elegido el servicio telnet.

Principio: reglas de filtrado de paquetes establecidos para aviones no tripulados, tienen el derecho de hacer que el acceso drone KALI telnet, SEED inaccesible. Se detalla a continuación dicha etapa inferior.

1: En primer lugar asegúrese de que Kali y la semilla puede ser un avión no tripulado normal de telnet.


2: Conjunto de reglas no recibe ningún paquete en meta Linux. Comando es la siguiente. En este punto dos a telnet avión de ataque de avión no tripulado se ha encontrado en estado tratando.

iptables -P INPUT DROP  //-P代表设置缺省目标操作

3: Ubicado en Kali Linux meta sólo aceptan la directiva de solicitud de telnet. Como se muestra a continuación

iptables -A INPUT -s 192.168.200.3 -p tcp -j ACCEPT    //-s指代源地址


Kali puede ver el avión no tripulado telnet normales

4: Por último, un conjunto claro de reglas antes

iptables -F    //F代表flush,清楚规则
iptables -P INPUT ACCEPT

la práctica de dos

Tarea: archivos pcap Uso de Snort para una detección de intrusos dado, y detectar ataques se describirán
utilizando Snort en BT4 Linux o aviones de ataque de los aviones de ataque de Windows atacante, dada la detección de intrusos archivo pcap, el acceso al registro de alarmas.
Snort ejecutar el símbolo del sistema de la siguiente manera:

  • datos de registro de red leen desde el archivo de origen en línea PCAP
  • la salida de texto sin formato en el archivo de registro de alarmas snort.conf
  • Alarma directorio de registro de registro especificado (o de registro predeterminado directorio = / var / log / snort).

1. Intrusión listen.pcap detección de archivos resoplido de Kali. Entre el siguiente mandato

snort -r listen.pcap -c /etc/snort/snort.conf -K ascii    //-r代表读取,-c代表指定规则文件 -K代表指定输出log的编码格式为ascii,默认是binary


2. El paquete de datos puede ver la información detectada con TCP, ARP, TCP, principalmente

3. vim /var/log/snort/alertSe puede ver el archivo de registro de alarmas. documento muestra que el ataque fue lanzado nmap

La práctica de los Treinta

Análisis de red virtual ofensivo y defensivo entornos de puerta de enlace cortafuegos y IDS / IPS configuración reglas densa red, y los informes analíticos sobre cómo densa pasarela de red es el uso de cortafuegos y la tecnología de detección de intrusiones para completar sus requerimientos de captura y control de datos ataque.
El análisis detallado de la configuración de reglas de archivo y los elementos de inicio, incluyendo:

  • Firewall (netfilter + IPTables): / etc / init.d / rc.firewall;
  • sistema de detección de intrusiones (Snort): / etc / init.d / hflow-resoplido y /etc/snort/snort.conf;
  • Sistema de prevención de intrusiones (Snort_inline): / etc / init.d / hflow-snort_inline y /etc/snort_inline/snort_inline.conf;

script anterior es cómo lograr mecanismos de captura de datos y de control Honeywall datos?
Captura de datos: los registros del firewall, el flujo de la red de Snort
de control de datos:
Ver archivo rc.firewall, salto a create_chain esta línea, se puede ver que hay una solución, hay algo de datos define la lógica de control. Crear una lista negra, lista blanca, y el manejo de varios protocolos
y así sucesivamente.

Obtener una lista de las reglas de iptables reales, y la ejecución real de parámetros Snort Snort_inline
de entrada iptables -t filter -Lse puede ver la lista real de reglas, como se muestra a continuación. Usted puede ver que hay un montón de reglas.



Por vim /etc/init.d/snortdarchivo de guión Snort abierto, se puede ver la tarjeta de almacenamiento y la posición del monitor perfil.

Por vim /etc/init.d/hw-snort_inlinearchivo de guión snort_inline abierta, se puede ver los parámetros de la ejecución real.

Después del arranque Honeywall, cortafuegos, NIDS, PELLIZCOS es cómo empezar?

Utilice el chkconfig -listcomando para consultar el servicio que se ejecuta en Linux, se puede encontrar el NIDS 0-6 están fuera, explique la necesidad de iniciar manualmente, pero no todos los servidores de seguridad, como los PIN fuera, que es seguir se inicia el sistema.

Bono: Snort gobierna Honeywall es cómo actualizar de forma automática?
reglas de Snort actualizar Oinkmaster. Es en el /etcdirectorio, puede ver directamente.

Esto se encuentra en la definición de snort.conf, debe ser que a través de esta actualización

Sentimientos y experiencias de aprendizaje

La sensación general de aprendizaje de una gran prueba de dominio del Inglés. Los extranjeros que escriben el código, llorando también leer ah. Si el código es el chino lo bueno, las personas aprenden a reducir los costos. Pero el hábito de escribir código extranjero bastante bueno, hay comentarios, y no confundido. Con este estudio en profundidad de los conceptos básicos de firewall, detección de intrusos, prevención de intrusiones, y el uso de resoplido y iptables.

Aprender problemas encontrados y las soluciones

Pregunta: herramientas utilizadas vim menos calificados, muchos comandos no están

Los experimentos necesitan para localizar rápidamente una fila, poseen un /内容dominio de

referencias

índice de representación de reducción del precio
de Snort: Cómo actualizar automáticamente Snort gobierna
Yang Lei nuevos estudiantes blog en
la solución del blog estudiantes fundadores

Supongo que te gusta

Origin www.cnblogs.com/funmary/p/12649672.html
Recomendado
Clasificación
Diario
Más
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(1)
2024-05-25(0)
2024-05-24(13)
2024-05-23(34)
2024-05-22(10)
2024-05-21(34)
2024-05-20(5)

Code World

© 2018 codetd.com