20199326 2019-2020-2「ネットワーク攻撃と防御の練習、」仕事の6週

その他 2020-04-07 20:02:43 訪問数: null

何を練習

6.1セキュリティモデル
  • 伝統的なセキュリティ評価および予防法は、固定され、静的および脅威を目的とした保護措置、このセキュリティモデルとプロセスのような1つまたは複数のセキュリティ技術を取り、適切なセキュリティポリシーを策定、および、ネットワークのリスク分析を介して行われ環境の弱点が、ネットワークセキュリティの脅威とシステムの脆弱性は、完全な見積りを行っていない、ネットワーク・セキュリティの重要な機能を無視し、新しいセキュリティ問題の出現は、解決するには、新たなセキュリティ技術と手段を必要とし、絶対的、不変はありません安全性、セキュリティが相対、ダイナミックな、継続的な改善プロセス、環境の変化に適応し、セキュリティを確保するために適切な調整を行うことが必要です。この考えに基づき、情報セキュリティ分野では、さらに動的にネットワークのセキュリティモデルに適応のシリーズを作りました。
  • 動的閉ループ制御理論、Pは、に基づいて行われ、かつ典型的なモデルPDR(保護、検出、応答)モデルに基づいて、ネットワークのセキュリティモデルに適合2 DR(Ploicy、保護、検出、応答)モデル、等
  • PDRセキュリティモデル:P> D + R、侵入Pに抵抗することができる情報システムの防御機構は、検出メカニズムを超えることができるならば、情報システムは安全であり、時間R合計の侵入に対して有効な応答の時間Dと応答機構の侵入を発見しました。
  • 1990年代後半、Pに基づいて、PDRモデルにおける会社のISS更なる拡大2 DRのセキュリティモデル。リアルタイム監視+リアルタイム応答に基づいて、セキュリティポリシーのセキュリティポリシー= + +の実装を開発するためのネットワークセキュリティリスク分析:基本的には、と説明しました。このモデルでは、セキュリティポリシーがモデルのコアがあり、すべての保護、検出、応答がセキュリティポリシーの施行に基づいており、セキュリティポリシーは、セキュリティ管理のための経営の方向や支援ツールを提供しています。図に示すように。
  • 主検出技術は、対応措置は、緊急時、バックアップとリカバリ、災害復旧などが、侵入検知や脆弱性の評価を含みます。
6.2ネットワークセキュリティ技術とシステム

  • ネットワークの一部のファイアウォールアクセス制御メカニズムは、異なるネットワークのセキュリティドメイン間セキュリティコントロールポイントを構築することにより、ネットワーク送信データは、特定のセキュリティ要件とポリシーの設定に応じてファイアウォールを介してネットワークへのアクセスを許可するかどうかを決定するためにチェックされます、不正アクセスや損傷セキュリティ目的から特定のネットワーク・セキュリティ・ドメインを保護するために。

  • これは、パケットフィルタリング、ファイアウォール技術、回路レベルのゲートウェイおよびアプリケーションプロキシ技術に分けることができます

  • ファイアウォールの最も基本的な機能は、異なるネットワークドメイン間の信頼のコンピュータネットワーク送信レベルにおけるデータの流れを制御することです。私たちは、次の機能を提供することができます

    1. で、ネットワークのうち、制御、ネットワークトラフィックをチェック
    2. 防止、脆弱または安全ではないサービスとプロトコル
    3. 内部情報ネットワークの漏洩を防止するために、
    4. ネットワークアクセスとアクセスの監査を監視します
    5. ファイアウォールは、ネットワークのセキュリティポリシーを強化し、他のセキュリティ防御機構と統合することができます

  • 脅威から保護するための保護メカニズム、境界ネットワークファイアウォールとして生得することはできません

    1. 内部ネットワークのセキュリティの脅威から
    2. 違法な働きかけにより、サイバー攻撃
    3. コンピュータウイルスの広がり

  • 技術的なボトルネックにセキュリティ上の脅威は、まだ効果的な予防ではありません

    1. セキュリティの脆弱性に対するオープンサービス侵入攻撃
    2. ネットワーククライアントプログラムに対する侵入攻撃
    3. 隠れチャネルに基づいてネットワーク通信のためのトロイの木馬、またはボット

  • ファイアウォールテクノロジー:

    • パケットフィルタリング:ルーティング機能の基礎を拡張するために、ネットワーク層とトランスポート層ヘッダ情報の検査を通して、パケットを転送するかどうかを決定する、ユーザ定義のセキュリティポリシールールセットに従って、いくつかのデータ・パケットのセキュリティポリシーを満たしていませんネットワークの境界での障壁。
    • 監視対象の状態のパケットフィルタリング技術(ダイナミックパケットフィルタリング技術)に基づく:ネットワークレコードのファイアウォールを通過するすべての接続を維持し、そのパケットは、新しい接続、または確立された接続の一部、または不法パケットに属しているかどうかを判断します。
    • 技術的なエージェント:エージェント・テクノロジーは、別のネットワークサービスへの非直接接続を介してクライアントを許可し、重要なコンピュータのセキュリティ機能です。

  • VPNは、一般的なシナリオのイントラネットを構築するために大規模なエンタープライズ専用のプライベートネットワークセキュリティ、地域横断的な大規模な企業を構築する場所で、ネットワーク上の公衆ネットワークリンクを使用しています。

  • IPsecプロトコルは、インターネット層のセキュリティプロトコルである、それは公衆ネットワークを通過し、セキュリティと合法性は、トンネルのセットを設計する際、データの整合性の問題のために提供された保護のためのIP通信プロトコル・スイート、暗号化、認証方式のシリーズです。

  • SSLソケットレイヤプロトコルを提供するインターネットベースのセキュアなWeb通信の保護にトランスポート層プロトコルの上で動作しています

6.3検出およびネットワークシステム
  • 評価と侵入検知システムの2つの重要なパラメータの検出率と誤警報率であります
  • 侵入検知は、ネットワークベースのNIDSを分割し、HIDSホストベースすることができます。HIDSは、一般NIDSは、分析のために、そのネットワークのパケット・データ・ソースを監視するために、ホスト情報を監視するために使用されている
    -以下のように侵入検知システム図の展開は、分類します
  • 侵入防止システムIPSは、上ベースの侵入検知システムで開発されています。一般のみ、境界位置に接続されたネットワーク内で、侵入を検出すると、直接使用、異なるIPSに関連付けられたネットワーク接続に直接攻撃を侵入警報を検出する侵入検知モードを監視バイパスと共に使用プロセスをブロック。
  • netfilter / iptablesのファイアウォールが機能モジュールを実現するためのLinuxで一般的に使用されるLinuxのオープンソースのオペレーティングシステムのための技術的ソリューションを組み合わせ、カーネルのnetfilterファイアウォールで、ファイアウォール管理ツールアプリケーションの状態をiptablesの。netfliter / iptablesのは、変更されたデータパケットのための3つの基本的なルールテーブル、フィルタテーブルの各パケットフィルタリングプロセスのために、ネットワークアドレス変換処理のためのNATテーブル、ならびに特殊目的マングルテーブルを含みます。すでに各ルールテーブルにチェーンを定義されたいくつかのデフォルトルールが含まれ、ユーザー定義のルールチェーンすることができ

練習

練習

:iptablesはLinuxオペレーティングシステムのプラットフォーム、またはWindowsオペレーティング・システム・プラットフォーム上のパーソナルファイアウォール、実行する以下の機能、およびテストに配置された
ホストがpingパケット受信しないように、1フィルタリングICMPパケット
2をのみ、特定のIPアドレス(例えば、ローカルエリアネットワークを許可しますLinuxの攻撃機192.168.200.3)は、そのようなFTP、HTTP、SMBなどのネットワークサービス()のホストへのアクセスなど、Windowsの攻撃機192.168.200.4などの他のIPアドレスは、()にアクセスすることはできませんが。

織機 IPアドレス
TIMES 192.168.200.3
SEED UBUNTU 192.168.200.5
LINUX META 192.168.200.125

上記の表には、仮想マシンの使用です。KALIとターゲットドローンなどの攻撃機、LINUX METAとしてSEED。最後の実験とネットワーク環境、すべてがNATであるとして。以下の実験ではマシンがお互いにpingを実行できることを確認することでした。

最初の実験では、ホストがpingパケットを受信しないように、小さなフィルタリングICMPパケットました。

原則:iptablesのドローンを追加するので、攻撃者がドローン通じない `通常のping`ことができ、すべてのICMPパケットのパケットフィルタリングルールを落としました。

以下はその詳細な手順
1:KALI上で次のコマンドを入力します。

iptables -A INPUT -p ICMP -j DROP    //-A代表增加规则,-p代表指定协议,-j代表对该规则执行的操作

2:上記のコマンドの実装が完了した後、SEED作ってみるpingカーリーは、発見したping非論理的

第二の実験は、小さなアタックドローンは、特定のサービスにアクセスできるようにすることですが、他にアクセスすることはできません。ここで私は、telnetサービスを選択しました。

原則:ドローンに設定パケットフィルタリングルール、KALIのtelnetアクセスドローン、SEEDのアクセス不能にする権利を持っています。以下の詳細な下位ステップは述べています。

1:最初に必ずカーリーを作り、種子は、通常のtelnetドローンすることができます。


2:ルールの設定は、Linuxのメタ上の任意のパケットを受信しません。次のようにコマンドがあります。この時点でのtelnetドローン攻撃機に二人はしようとした状態で発見されました。

iptables -P INPUT DROP  //-P代表设置缺省目标操作

3:カーリーlinuxのメタのみ受け入れるのtelnet要求ポリシーで設定します。下記に示すように、

iptables -A INPUT -s 192.168.200.3 -p tcp -j ACCEPT    //-s指代源地址


カーリーは、通常のtelnetドローンを見ることができます

4:最後に、ルールの明確なセットの前に

iptables -F    //F代表flush,清楚规则
iptables -P INPUT ACCEPT

練習2

タスク:与えられた侵入検知のための使用SnortのPCAPファイル、および検出攻撃は説明する
のpcapファイル侵入検知、アラームログへのアクセス与え、BT4 LinuxまたはWindowsの攻撃攻撃機の攻撃機にSnortのを使用します。
次のようにプロンプトのコマンドを実行します鼻息:

  • ネットワークログデータは、ソース・ファイルのオフラインPCAPから読み取ります
  • アラームログファイルsnort.confにプレーンテキスト出力
  • アラームログログディレクトリ指定(またはデフォルトのログディレクトリ=は/ var / log /鼻息)。

カーリー上のファイル鼻息listen.pcap 1.侵入検知。次のコマンドを入力します。

snort -r listen.pcap -c /etc/snort/snort.conf -K ascii    //-r代表读取,-c代表指定规则文件 -K代表指定输出log的编码格式为ascii,默认是binary


情報を見ることができます。2.データパケットがTCP、ARP、TCPを用いて検出し、主

3. vim /var/log/snort/alertあなたは、アラーム・ログ・ファイルを表示することができます。ドキュメントのショーは攻撃がnmapの進水しました

三十の実践

攻撃と守備の仮想ネットワーク環境密なネットワークのゲートウェイファイアウォールやIDS / IPS構成ルール、およびゲートウェイがその攻撃データの取り込みや制御の要件を完了するためのファイアウォールや侵入検知技術の使用がどのように密なネットワーク上の分析レポートの分析。
コンフィギュレーションの詳細な分析は、ファイルを含むスタートアップ項目をルール:

  • ファイアウォール(netfilterの+のIPTables):の/ etc / init.dの/のrc.firewall。
  • 侵入検知システム(Snortの):の/ etc / init.dディレクトリ/ hflow-のSnortと/etc/snort/snort.conf。
  • 侵入防止システム(Snort_inline):の/ etc / init.dディレクトリ/ hflow-snort_inlineと/etc/snort_inline/snort_inline.conf。

上記のスクリプトは、Honeywallのデータキャプチャおよびデータ制御メカニズムを実現する方法ですか?
データキャプチャ:ファイアウォールのログ、Snortののネットワークフロー
データ制御:
この行をCREATE_CHAINするビューのrc.firewallファイル、ジャンプ、あなたは解決策があると見ることができ、論理制御は、いくつかのデータ定義にあります。ブラックリストを作成し、ホワイトリスト、およびさまざまなプロトコルの取り扱い
とになります。

実際のiptablesのルールのリストを取得し、SnortのSnort_inline実際の実行パラメータの
入力はiptables -t filter -L以下に示すように、ルールの実際のリストを見ることができます。あなたはルールがたくさんある見ることができます。



vim /etc/init.d/snortdオープンSnortのスクリプトファイルには、位置カードとモニタのストレージプロファイルを見ることができます。オープンsnort_inlineスクリプトファイルには、実際の実行のパラメータを見ることができます。

vim /etc/init.d/hw-snort_inline

Honeywallのブート後、ファイアウォール、NIDS、NIPSは起動する方法ですか?

使用chkconfig -listLinux上で実行されているサービスを照会するコマンドを、あなたは手動で開始する必要性を説明し、オフになっているNIDS 0-6を見つけることではなく、すべてのファイアウォール、およびオフNIPSことができ、それは、システムが起動に従うことです。

ボーナス:SnortがのHoneywallが自動的にアップグレードする方法であるルール?
SnortルールはOinkmasterをアップグレードします。それはである/etcディレクトリ、あなたが直接見ることができます。

これはsnort.confの定義に発見され、それがこのアップグレードを通じてでなければなりません

感情や学習体験

英語能力の偉大な学習テストの全体的な感じ。外国人もああ読んで泣いて、コードを記述します。コードが中国人である場合はどのように良い、人々は、コストを削減することを学びます。しかし、かなり良い外国人のコードを書く習慣は、そこにコメントしている、と困惑しません。ファイアウォール、侵入検知、侵入防止、および鼻息とiptablesの使用の基本的な概念のこの徹底的な研究と。

遭遇した問題と解決策を学びます

質問:vimのツールはあまり熟練した、多くのコマンドがありません使用

実験は、彼らが持っている、すぐに行を検索する必要がある/内容のコマンドを

リファレンス

値下げ表現インデックス
のSnort:更新Snortのルールはどのように自動的に
ヤンレイ新しい学生がブログ
建国の学生のブログのソリューションを

おすすめ

転載: www.cnblogs.com/funmary/p/12649672.html
おすすめ
ランキング
1028リストの並べ替え(25分)
pom.xml ファイルがアイデアによって認識されません
単一テーブルのデータのSQLクエリ組み合わせ(C)
gitのinitとgitの初期化-bare違いやソースファイルなしで問題を解決するには、WWWで見ることができません
BULLETエンジンスターター - コンパイル(cmakeのとPreMake)
vue-crossドメインの問題
ThingsBoard フロントエンド プロジェクトの組み込みコンポーネント開発
単元の学習過程での難しい問題とその解決策 -----(1)
MongoDBのデータは、クライアントで表示することができますが、作業はコマンドラインでlinuxでありません
How to check your PYTHONPATH environment variable
アーカイブ
もっと
2024-06-02(0)
2024-06-01(1)
2024-05-31(1)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(0)
2024-05-25(1)
2024-05-24(11)

コードワールド

© 2018 codetd.com