《看防火墙是如何应对网络攻击的》由会员分享,可在线阅读,更多相关《看防火墙是如何应对网络攻击的(9页珍藏版)》请在金锄头文库上搜索。
1、前言信息和网络安全技术历经十多年的发展,无论在广度,还是在深度上,都 有了很大的进步,其中一个重要的研究趋势就是注重攻防结合,追求最大化的 动态安全。网络的攻与防,即为矛与盾。然而,与此相关的信息安全方面的文 章大多数却是从盾来入手的,也就是说从防御的角度来论述。作为网管员来说,他要学习信息安全知识的话,不仅需要了解防护方面的 技术,也需要了解检测和相应环节的技术(就是矛)。无数实践表明,最大的 不安全,恰恰就是自以为安全!因为,信息安全具有很强的对抗性,威胁时刻 存在,各种各样的安全问题常会掩盖在表面的平静之下。有太多的古训,诸如“隐患险于明火”、“知己知彼,百战不殆”对 于今天的网络信息安
2、全防御依然有借鉴意义。对于实施攻击的黑客手法的洞悉, 对于自身脆弱性的意识,都是自身安全的前提。为帮助广大网管员了解网络攻击和防火墙的方方面面,本文作者将从攻防 兼备的角度,尽可能将纷繁复杂、是似而非的攻防思路整理清晰,以飨广大网 管员。防火墙的基础知识防火墙是由楔和门两类功能部件构成,典型的防火墙包括一外一内两个楔 和夹在中间的一个门。楔通常由路由器承担,而门通常由相当简化了操作系统 的主机承担。换言之,楔强制内部网络和外部网络之间的通信通过门进行,门 则执行安全措施并代理网络服务;门与内外楔之间分别链接一个独立的子网, 其中,外楔和门之间的子 网可以有一个非军事区,这块可部署对外的网络服务
3、 如 www、ftp、dns 等等。内外楔应阻塞不希望穿越防火墙的所有网络服务的分 组,目前有两类主导性的防火墙:应用代理和分组过滤网关,这同防火墙概念 中的门和楔功能部件相对应,但实际上,完善的防火墙需要这两个部件的有机 结合,而不是孤立的发挥作用。防火墙一般有两个以上的网卡,一个连到外部(router),另一个是连到内 部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当 有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制,示意图如下: -路由器-网卡防火墙网卡-内部网络 防火墙主要通过一个访问控制表来判断的,它的形式一般是一连串的如下 规则:1 accept fro
4、m+ 源地址,端口 to+ 目的地址,端口+ 采取的动作 2 deny .(deny 是拒绝) 3 nat .(nat 是地址转换)防火墙在网络层(包括以下的链路层)接收到网络数据包后,就从上面的规 则连表一条一条地匹配,如果符合就执行预先安排的动作,如丢弃包等。矛与盾的较量几千年前的孙子兵法就写道:不知彼而知己,一胜一负;不知彼,不知己, 每战必殆。我们作为网络管理员,要做到能够检测并预防相应的攻击,就必须了解入 侵者的手段,这样,我们才能有针对性的防范。我们知道,盗窃者在开始犯罪之前,必须完成三个基本的步骤:踩点、查 点、行动。比如,有一个盗窃团伙决定抢银行的时候,他们会事先花大量时间 去
5、收集这家银行的信息,如武装押运车的路线和押送时间,摄像头的位置和范 围,出纳员人数,逃跑路线一起其他任何有助于避免发生意外情况的信息。对于网络入侵者而言,也是一样的。他要入侵某个网络,事先也必须收集 大量的信息关于该机构的网络安全情况的各个方面的信息,如果不进行踩 点就贸然攻击,这个行为简直就是愚蠢的,就好比径直走进银行开始要钱。只要想查,任何人都可以获取有关你的网络安全情况其可用信息数量 之多往往会超出你的想像!入侵防火墙的第一步就是查找和判断防火墙。然后就是进行攻击防火墙。踩点之直接扫描查找防火墙矛有些防火墙会在简单的端口扫描下原形毕露防火墙有特定端口在监听 你只需要知道哪些端口应该去扫描
6、,比如,CheckPoint 的 Firewall- 1 防 火墙在 256、257、258 号的 TCP 端口监听,Microsoft Proxy Server 2.0 防火 墙在 1080、1745 号 TCP 端口监听只要知道每个防火墙监听的缺省端口,就 可以用端口扫描软件来对特定缺省端口进行扫描来查找防火墙, 如使用 nmapS1 程序来扫描:nmap -n -vv -P0 -p256,1080,1745 10.152.1.1-60.254因为大多数防火墙不会对 ICMP 应答,所以上述命令加上了-P0 选项来禁止 ICMP ping。其他端口扫描软件要视其说明文件来设置禁止 ICMP
7、 ping。不过,如果该机构部署了入侵检测系统(IDS)的话,用这种方式对目标网 络执行大范围的扫描,显然有些愚蠢和鲁莽,所以,水平比较高的入侵者不会 这样明目张 胆的踩点,他们可能使用多种技巧以避免对方的注意,如对 Ping 探测分组、目标端口、目标地址和源端口进行随机顺序扫描,执行欺骗性源主 机执行分布式源扫 描等等。盾要彻底防止入侵者对你的网络发起端口扫描这样的探测,很难。但可以通 过将防火墙监听着的端口数缩减到正常运行必需的范围,这要查阅相应的用户 手册,也就是在防火墙前面的路由器上阻塞这些端口,若这些路由器是 ISP 管 理的话,就得同 ISP 联系以阻塞这些端口;如果路由器是自己管
8、理的话,以 Cisco 路由器为例,可以使用 ACL 规则显式地阻塞刚才提到的端口:access-list 101 deny tcp any any eq 256 log ! Block Firewall-1 scans access-list 101 deny tcp any any eq 257 log ! Block Firewall-1 scans access-list 101 deny tcp any any eq 258 log ! Block Firewall-1 scans access-list 101 deny tcp any any eq 1080 log ! Bloc
9、k Socks scans access-list 101 deny tcp any any eq 1745 log ! Block Winsock scans请参考所使用的路由器的文档,以达到阻塞针对这些特定端口的扫描。踩点之路径追踪查找防火墙矛上面已经说过,对目标网络执行大范围的扫描是愚蠢和鲁莽的做法,高明 的入侵者经常会采用 Traceroute路径追踪。我们知道,在网络中,信息的传送是通过网中许多段的传输介质和设备 (路由器,交换机,服务器,网关等等)从一端到达另一端。每一个连接在 Internet 上的设备,如主机、路由器、接入服务器等一般情况下都会有一个独 立的 IP 地址。通过
10、Traceroute 我们可以知道信息从你的计算机到互联网另一 端的主机 是走的什么路径。当然每次数据包由某一同样的出发点到达某一同样 的目的地走的路径可能会不一样,但基本上来说大部分时候所走的路由是相同 的。 Traceroute 通过发送小的数据包到目的设备直到其返回,来测量其需要 多长时间。一条路径上的每个设备 Traceroute 要测 3 次。输出结果中包括每次 测试的时间(ms)和设备的名称(如有的话)及其 IP 地址。Traceroute 在 UNIX/Linux 中为 traceroute,而在 Windows 则为 tracert。例如在 Linux 中:lzyLiuzhiy
11、ong:$ sudo traceroute -I traceroute to (10.1.28.4), 30 hops max, 40 byte packets 1 10.152.16.3 (10.152.16.3) 0.345 ms 0.338 ms * 2 10.152.1.1 (10.152.1.1) 5.801 ms 5.668 ms 5.106 ms 12 (10.0.202.1 ) 42.439 ms * * 13 10.1.28.4 (10.1.28.4) 106.813 ms * *我们从中可以推测,达到 前最后一跳(10.0.202.1)是 防火墙的可能性非常大。但事
12、实是否如此,还需要进一步判断。如果本地计算机到目标服务器之间的路由器对 TTL 已过期分组做出响应, 那么刚才的例子是没有问题的,但如果路由器和防火墙设置成不返回 ICMP TTL 已过期分组,那么,做出上述的结论就不够科学,这时能做的就是运行 traceroute,查看最后响应的是哪一跳,由此推断是否真正的防火墙,或者至 少是路径上开始阻塞路径追踪分组的第一个路由器。例如:1 10.152.16.3 (10.152.16.3) 0.345 ms 0.338 ms * 2 10.152.1.1 (10.152.1.1) 5.801 ms 5.668 ms 5.106 ms 17 (10.50
13、.2.1) 205.006 ms 391.682 ms 18 (10.50.2.5) 226.669 ms 366.211 ms 19 client- (10.50.3.250) 266.223 ms !X * * 在上述例子中,我们可以看出,ICMP 探测分组被阻塞到达目的地之前, client- 之后没有响应,就可以知道结论。盾知道了路径追踪是怎么回事后,自然就知道这个盾如何打造:限制尽可能 多的防火墙和路由器对 TTL 已过期分组做出响应,但是,通常有一些路由器是 由你的 ISP 控制,你需要跟他们联系。将边界路由器配置成接受到 TTL 值为 0 或 1 的分组时,不响应以 TTL E
14、XPIRED 的 ICMP 消息。当然,也可以在边界路由 器上阻塞所有不必要的 UDP 分组。例如,在 Cisco 路由器上可以应用如下 ACL 规策:access-list 101 deny icmp any any 11 0 ! ttl-exceeded查点之攫取旗标查找防火墙矛旗标就是显示应用程序名和版本号,用来宣告自身的存在,防火墙也与此 类似。攫取旗标的思路很有用,因为大多数防火墙并不像 CheckPoint 那样在缺 省的端口监听,这时,攫取旗标就可以检测出防火墙。这里有一个例子:C:Documents and SettingsAdministratorncS2 -v -n 10.
15、152.4.12 21 (UNKNOWN) 10.152.4.12 21 (?) open 220 Secure Gateway FTP server ready.看到什么了?嗯,再链接到 23 号端口看看:C:Documents and SettingsAdministratornc -v -n 10.152.4.12 23 (UNKNOWN) 10.152.4.12 21 (?) open Eagle Secure Gateway. Hostname:还不太肯定这是防火墙吗?那我们继续链接到 25 号端口看看:C:Documents and SettingsAdministratornc -v -n 10.152.4.12 25 (UNKNOWN) 10.152.4.12 21 (?) open 421 Sorry, the firewall does not provide mail service ti you.至此,获取的信息还不够多吗?由此可见,攫取旗标可以查找出代理性质 的防火墙,很多流行的防火墙只要被连接就会声明自己的存在,甚至包括自己 的类型和版本,这恰恰对入侵者提供了有价值的信息,依靠这些信息,入侵者 就可以找到网上已公开的薄弱点或者常见的错误配置从而
