#1
配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙,完成如下功能,并进行测试:
(1)不允许其他网络使用本机的Telnet服务;
(2)只允许特定IP地址,访问主机的某一网络服务(如FTP、HTTP、SMB),而其他的IP地址无法访问。
| ホストコンピューター | IPアドレス |
|---|---|
| 時間 | 192.168.92.2 |
| LinuxのMetaSploitable | 192.168.92.5 |
| SEEDのUbuntu | 192.168.92.4 |
(1)は、他のネットワークは、マシンのTelnetサービスを使用することはできません。
入力のtelnet 192.168.92.4はカーリー種で表示してもよい
シードコマンドラインで須藤のiptables -A INPUT -p TCP -j DROPの
場合カリTelnetの種子はできません
最後に実行しますそして、iptables -F iptablesの-P INPUT前の状態には2を復元するためのコマンドをACCEPT
他のIPアドレスがアクセスすることはできませんが(2)は、(例えばFTP、HTTP、SMBなど)のネットワーク・アクセス・サービスのホスト、特定のIPアドレスのみを許可します。
カリは、シードとのtelnet接続は、ここに接続することができる使用して実行
入力:(最初の言及におけるシード右)須藤SUは、
すべての着信パケットを拒否-P INPUT#がDROP iptablesの
-A INPUT -p TCP -s 192.168.92.2をiptablesの- jはカリからパケットを受信する#をACCEPT
このとき、カーリーや種子は、ないのtelnet接続は、種子に対してメタのtelnet接続をすることができますすることができます
正常に設定
iptablesの-F iptablesの-P INPUT前の状態を実行し、最後の2つの命令を受け入れ、復元します。
#2
使用Snort对给定的pcap文件进行入侵检测,并对检测出的攻击进行说明
デスクトップカーリーにドラッグ&ドロップファイルlisten.pcap用いた実験の前に、次のコマンドを入力します。
snort -r listen.pacp -c /etc/snort/snort.conf -K ascii #对listen.pacp进行入侵检测
参照は、パケットTcpのパケットほとんど検出された
付加的な情報をたくさん得ることが、オープン時には/ var / log / snortの/警告ディレクトリのファイルを
、またはコマンドラインを:VIMは/ var / log / snortの /警告
#3分析蜜网网关的防火墙和IDS/IPS配置规则。
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,并撰写分析报告,说明蜜网网头是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。具体分析配贺规则与启动项文件包括:
(1)防火墙(netfilter+IPTables) : /etc/init.d/rc.firewall;
(2)入侵检测系统(Snort) : /etc/init.cl/hflow-snort与/etc/snort/snort.conf;
(3)入侵防御系统(Snort_inline) : /etc/init.cl/hflow-snort_inline与/etc/snort_inline/snort_ inline.conf。
分析内容如下:
(1)上述脚本是如何实现蜜网网关的数据捕获和数据控制机制?
(2)获取IPTables的实际规则列表、Snort和Snort_inline的实际执行参数。
(3)蜜网网关开机之后,防火墙、NIDS、NIPS是如何启动的?
(4)Bonus: 蜜网网关中的Snort规则是如何自动升级的?
実用的な操作
蜂蜜で次の選択ネットワークのジョブ要件に応じて。
(1)については、次のとおり
データ制御は、一般的にファイヤウォール制御データと異常データが最初にSUを使用して、限界(snort_inline)を含むIPS - 3 VIM /etc/init.d/rc.firewallを表示し、右側に置くことチェーン:ブラックリスト、ホワイトリストおよび保護リスト(FenceList)。
上記の特徴には、プラス:
ファイアウォールの送信元または宛先アドレスは、すべてのパケットを破棄し、ホストのブラックリストに属します。
ホストのためにホワイトリストに属し、レコードを受け入れません。
保護リスト内のホスト秋のために、あなたはアクセスする特定のホストへのアクセスを禁止する必要はありません。
(2)に関しては、そこにある:
ファイアウォールのログとSnortのネットワークフローレコードを含むデータキャプチャ:(I)iptablesの実際のルールのリスト。iptablesの-tフィルタ-Lによってルールのリストを表示するには。見つけるのは難しいことではありません、OUTPUT、INPUTへのデフォルトのルールでは、FORWARD閉じて(もルールテーブルに反映される設定Rooの前にいくつかのパラメータを含む)いくつかの自己定義されたルールに置き換えられています。
(II)Snortの実際の実行パラメータ:vimのSnortのスクリプトファイルで開か/etc/init.d/snortd、あなたはスタートがいくつかのパラメータのためのオプション、実際の走行時間のパラメータに対応する第2のマップで見ることができる最初のグラフを観察しました。ネットワークインターフェイスを指定した後、他のパラメータ場合は、デフォルトパラメータを実行します。たとえば、デフォルトではオープン-Aモード、デフォルトの使用/etc/snort/snort.conf(デフォルトディレクトリの設定ファイル)は、eth0、ログファイルを保存するにはバイナリモードではありません。
(III)Snort_inline実際の実装パラメータ:オープンSnort_inlineスクリプトファイルVimの/etc/init.d/hw-snort_inlineは、実際の動作パラメータ、及び前に定義されたパラメータを観察することができます。
(III)Snort_inline実際の実装パラメータ:オープンSnort_inlineスクリプトファイルVimの/etc/init.d/hw-snort_inlineは、実際の動作パラメータ、及び前に定義されたパラメータを観察することができます。
(3)については、以下のとおりです。
コマンドのchkconfig --listによって|現在のサービスを照会することはありませんオープンgrepの[サービス]です。chkconfigコマンドは、システムの様々なサービスを確認するために使用されます。私たちは、ファイアウォールやNIPS(snort_inlineが)ただ、スクリプトファイルに自動的に構成し、システムの起動とブートに従うことであることがわかりました。NIDSは、手動で作動されます。
(4)については、以下のとおりです。
あなたはこのようなものをたくさん見ることができるオープンHoneywallの設定ファイル/etc/honeywall.conf使用VIM、:インストール構成の前にするときカンガルーのIPアドレス、場所、ホワイトリスト、ブラックリスト、Snortルールの更新など。我々は、クエリで、これは本当に自動的に更新されているソフトウェアをOinkmaster単語を見ることができます。観察を通して、私たちは、自動更新は、デフォルトではオフになっていることが判明
し、我々のオープンoinkmaster.confファイルが現在のディレクトリに、あなたはファイルがより詳細なコメントが見ることができます。