概要と実践学習コンテンツ
ファイアウォールの概要
異なるセキュリティドメイン、ネットワーク・トラフィックのアクセスの動作やセキュリティアクセス制御コンポーネントまたはデバイスの実装にネットワークの間にファイアウォールを指します。
技術分野、ネットワークの一部のファイアウォールのアクセス制御機構からは、異なるネットワークのセキュリティドメイン間のセキュリティコントロールポイントを構築することにより、ネットワークを介してデータを送信するためにチェックされている、特定のセキュリティ要件とポリシーの設定に応じて不正なアクセスや破壊からセキュリティ目標に特定のネットワーク・セキュリティ・ドメインを保護するために、ファイアウォールを介してネットワークアクセスを許可するかどうか。
ファイアウォール機能
- ネットワークへの制御ネットワークのトラフィックを確認してください。
- 脆弱または危険な予防するためのプロトコルとサービス。
- 内部ネットワーク情報の防止漏れ;
- ネットワークアクセスおよび監査を監視するためのアクセス。
- ファイアウォールは、ネットワークのセキュリティポリシーを強化し、他のセキュリティ防御と統合することができます。
ファイアウォール技術
- パケットフィルタリング技術:標準ベースのプロトコルの特定、そのポートルータとパケットの機能を識別することができるがバグフィルタ(パケットフィルタリング)と呼ばれるパッケージを制限します。IPルータは、個々のヘッダ情報の見直し、または廃棄されたとのマッチング決定ルールをフィルタリングし、パケットを送信する不審物のゴミに到達するためにパケットを転送していることを技術的な原則。
- エージェント技術:プロキシ(プロキシ)技術としても知られているクライアントは、他のネットワークサービスと非ストレートプレスを介して接続することができ、重要なコンピュータのセキュリティ機能、である「ネットワークエージェント。」
ファイアウォール製品
- ルータの機能をフィルタリング統合パケット。
- 一般的なオペレーティングシステムのファイアウォールのソフトウェア製品に基づきます。
- 安全なオペレーティングシステムのファイアウォールに基づいて、
- ハードウェアファイアウォールデバイス。
Linuxのオープンソースのファイアウォール:netfilterの/ iptablesの
netfilter / iptablesのファイアウォール機能モジュールを実現するためのLinuxで一般的に使用されるLinuxのオープンソースのオペレーティングシステムのための技術的ソリューションを組み合わせ、カーネルのnetfilterファイアウォール、iptablesのファイアウォール管理ツールアプリケーションの状態です。
netfilterのフレームワークは、Linuxカーネルによって提供され、それがカスタムネットワーク関連の操作の様々なことができます。
例えば:
- ステートレスパケットフィルタリング(IPv4およびIPv6)
- ステートフルパケットフィルタリング(IPv4およびIPv6)
- ネットワークアドレス変換(NAT / NAPT)
netfilterのフックのシリーズとしてLinuxカーネル性能、およびネットワークパケットのコールバック関数演算を介してのLinuxカーネルモジュール、Linuxカーネルモジュールは、コールバック関数として登録されることができます。
手:ファイアウォールの設定
実践:設定は、プラットフォーム上でLinuxオペレーティングシステムプラットフォーム、オペレーティングシステム、またはWindowsパーソナルファイアウォール上でiptablesの以下の機能とテストを実行します。
- ICMPパケットのフィルタリングは、そのホストはpingのパケットを受信しないこと。
- (例えば、Windowsの攻撃機192.168.200.4など)他のIPアドレスがアクセスすることはできませんが、(例えばFTP、HTTP、SMBなど)のネットワークサービスのホストにアクセスするために(たとえば、LAN、Linuxの攻撃機192.168.200.3など)特定のIPアドレスのみを許可します。
実験環境:
名前 | IP |
---|---|
クライ | 192.168.1.7 |
Linuxの | 192.168.1.8 |
シード | 192.168.1.9 |
練習
まず、SEEDのデフォルトのルールを表示します。
sudo iptables -L
実行:
sudo iptables -A INPUT -p icmp -j DROP
だから、ホストは、ICMPパケットを受け入れないこと。
このとき、カーリーあなたはSEEDをpingすることはできません。
SEEDは、新しく追加されたルールで見ることができます。
最後に、あなたはこれらの新しく追加されたカスタムルールを削除することができます。
sudo iptables -F
削除した後、あなたは、デフォルトのルールを見ることができます:
練習2
まずカーリーLinuxのことを確認し、SEEDのtelnetサービスに接続することができます。
次に、SEEDで以下のコマンドを実行し、すべての着信パケットを拒否します:
sudo iptables -P INPUT DROP
そして、カーリーLinuxはSEEDに接続できません。
説明書を使用します
sudo iptables -A INPUT -p tcp -s 192.168.1.7 -j ACCEPT
SEEDとビュールールにオープン192.168.1.7(カーリー)TCPサービス:
カーリーは、SEEDに接続することができます。
Linuxの接続をテストし:
実験の最後に、デフォルトのルールを復元するには、次のコマンドを実行します。
sudo iptables -F
sudo iptables -P INPUT ACCEPT
他のネットワーク防衛技術
- VPN;
- ネットワークセキュリティ管理;
- コンテンツ・セキュリティ・マネジメントSCM。
- 統合脅威管理。
侵入検知システム
侵入検知は以下のように定義された「行動に入手可能な情報に動作し、セキュリティログや監査データまたは他のネットワークは、システムや侵入に侵入しようとして検出されました。」侵入検知は、コンピュータの誤用の規律を抑止、検出、応答、損害評価、攻撃予測と検察サポートなど、その役割を、検出して応答することです。
侵入検知システム(IDS)は、コンピュータとネットワークリソースの悪意ある行為と対応するシステム識別プロセスの使用として定義することができます。システムは、コンピュータ・システムの設計および検出する能力のある構成とレポートシステム技術の不正または異常現象のセキュリティを確保するために、検出するのに使用されるコンピュータネットワークであるが、外部の侵入や不正行為の内部ユーザーを含んでいます違反したセキュリティポリシーの動作技術。
侵入検知技術は、コンピュータシステムの設計および検出する能力のある構成とレポートシステム技術の不正または異常現象のセキュリティを確保することである、それはセキュリティポリシーの動作に違反するためのコンピュータネットワーク技術を検出することです。ソフトウェアとハードウェアの組み合わせは、侵入検知侵入検知システム(IDSと呼ぶIntrusionDetectionSystem、)です。
オープンソースのネットワーク侵入検知システム:Snortの
1998年に、マーティン・ローズチはC言語オープンソース(オープンソース)侵入検知システムSnortのを使用して開発しました。今日でも、Snortのは、マルチプラットフォーム(マルチプラットフォーム)、リアルタイム(実時間)トラフィック分析に強力なネットワーク侵入検知特性(ポケット)を開発しましたネットワーク侵入検知(IPパケット網/防止システムを記録/防御システム)、すなわちNIDS / NIPS。一般公衆利用許諾契約書(GPL - GNU一般恥毛ライセンス)に沿って、Snortのは、Snortが無料ダウンロードすることで、オンラインで得た、とだけインストールして使用を開始するまでに数分かかることができます。
手:Snortの
タスク:使用特定のSnortのpcapファイル(PCAPファイルのいずれかに第4章ネットワークスキャンをデコード)侵入検知、および攻撃の検出について説明します。
PCAPファイル侵入検知、アラームログへのアクセス与え、BT LinuxまたはWindowsAttacker攻撃機攻撃機Snortのに使用されます。
次のようにSnortがpromptコマンドを実行します。
- ネットワークログデータは、ソース・ファイルのオフラインのpcapから読み取ります。
- アラームログファイルsnort.confにプレーンテキスト出力。
- アラームログログディレクトリ指定(またはデフォルトのログディレクトリ=は/ var / log /鼻息)。
侵入検知分析によって提供教師のためのpcapパケット内のカーリーには:
sudo snort -r listen.pcap -c /etc/snort/snort.conf -K ascii
検出結果から、パケットのTCPの大規模な数を見ることができます。
ファイルを見つけるためには/ var / log / snortの/アラートのディレクトリでは、ログファイルが出力されます。:vimのオープンを使用した後、あなたは、これはnmapの攻撃で見ることができます
ネットワークセキュリティインシデント対応組織や機関
コンピュータセキュリティインシデント対応チーム(コンピュータセキュリティインシデント対応チーム、CSIRTは)専門家のネットワークセキュリティインシデントハンドリングと緊急対応チームです。CSIRT組織機能は、一般的に、次のとおり、技術的な宣伝するためのサポートや指導、セキュリティ上の脆弱性や露出情報を扱うコンピュータシステムやネットワークのセキュリティインシデントを提供する分析、イベント、イベント処理、およびセキュリティ関連のトレーニングの統計分析。
ネットワークセキュリティインシデント対応方法および技術概要
セキュリティインシデント対応だけで技術的な問題ではありません、それは政策、組織構造、リソース、プロセス、対人コミュニケーションや交流、技術基盤を必要とする、など多くの要因に、成功したインシデントレスポンスは、推定関心から、組織と計画の多くを必要とセキュリティポリシーは、ポリシーで、計画と組織のほかにも、必要なインシデント対応構造設計の合理的な、良い計画リソースなど、いくつかの他の必要な要素が含まれ、この政策を実施してきました、使用することを計画技術、インシデント対応手順の作成、適切な対策の指標を設計する他のグループや団体とのパートナーシップ。
実用的な割り当て
攻撃と守備の仮想ネットワーク環境HoneywallのファイアウォールやIDS / IPS構成ルールの分析、およびのHoneywallはその攻撃データの取り込みや制御の要件を完了するためのファイアウォールや侵入検知技術の使用がどのように分析レポート。
具体的な構成は、以下を含むファイルやスタートアップ項目をルール:
- ファイアウォール(netfilterの+のIPTables):/etc/init.d/rc.firewall。
- 侵入検知システム(Snortの)/etc/init.cl/hflow-snortと/etc/snort/snort.conf。
- 侵入防止システム(Snort_inline):/etc/init.cl/hflow-snort_inlineと/ etc / snort_inline / snort_ inline.conf。
分析は次の通り:- 上記のスクリプトは、Honeywallのデータキャプチャおよびデータ制御メカニズムを実現する方法ですか?
- iptablesのは、実際のルール、実際の実装パラメータとのSnortのSnort_inlineのリストを取得します。
- ブートネットワークゲートウェイの後、ファイアウォール、NIDS、NIPSは起動する方法ですか?
- ボーナス:SnortがのHoneywallが自動的にアップグレードする方法であるルール?
オープンHoneywallのは、ファイアウォールの構成規則を表示します。
su -
vim /etc/init.d/rc.firewall
典型的には、制御データは、典型的には二つの側面、制御データのファイアウォールのいずれかを含む、IPS限界は、二つの異常値(snort_inline)です。
次のコードは、それぞれブラックリスト、ホワイトリスト、保護リスト(FenceList)。実現:
- ファイアウォールの送信元または宛先アドレスは、すべてのパケットを破棄し、ホストのブラックリストに属します。
- ホストのためにホワイトリストに属し、レコードを受け入れません。
- 保護リスト内のホスト秋のために、あなたはアクセスする特定のホストへのアクセスを禁止する必要はありません。
データ・キャプチャは、次のとおりです。
- このような宛先アドレス/ポート、送信元アドレス/ポート、プロトコル、および長さとして単に記録情報:ファイアウォールをロギング。
- Snortのネットワークフローレコード。
次のコマンドでルールのリストを表示するには:
iptables -t filter -L
見つけるのは難しいことではありません、OUTPUT、INPUTへのデフォルトのルールでは、FORWARD閉じて(もルールテーブルに反映される設定Rooの前にいくつかのパラメータを含む)いくつかの自己定義されたルールに置き換えられています。
Snortのは、スクリプトファイルを開きます。
vim /etc/init.d/snortd
次のようにいくつかの実装プロセスの動作パラメータは以下のとおりです。
コマンドによって:
chkconfig --list | grep [服务]
現在のサービスを照会するにはオンになっています。
次の図は、ファイアウォール、およびNIPS(snort_inlineは)単にスクリプトファイルに自動的に構成し、システムの起動とブートに従うことです。NIDSは、手動で作動されます。
実行:
vim /etc/honeywall.conf
オープンのHoneywallプロファイル。
入力モードのコマンドでは/update
、一致する文字列を検索します。
自動更新は、デフォルトではオフになっています。
遭遇した問題と解決策を学びます
Q:ログファイルにメッセージが表示されたら、ビューのSnortへのアクセス許可がありません
Aを:上昇特権:sudoの秀
Qは:Vimのエディタを使用しません
、ハンズオン練習を情報検索:Aを。
概要
実際、いくつかのより多くのコンフィギュレーション・ファイルの内容を中心に部分的分析で、これらのツールを言わなければならないが、開発者にひざまずく強すぎます。プログラマはIT業界のための彼らの知恵を貢献ありがとうございます。