(1)对实验主机windows server2003的网卡进行TCP/IP属性配置
打开windows server 2003 的控制台,点击图中“Send Ctrl-Alt-Del”,点击“确定”进入虚拟机环境,如图2所示。
图2
在本实验中,由于本机连接的是宽带,所以采用自动获取IP。
配置“本地连接”网卡的TCP/IP属性设置。在本实验中,IP:192.168.1.194,子网掩码:255.255.255.0;网关:192.168.1.1;DNS:8.8.8.8,如图3所示。 配置“本地连接2”网卡的TCP/IP属性配置。本实验中,IP:192.168.2.110,子网掩码:255.255.255.0,DNS:8.8.8.8。 3、安装Windows NAT防火墙
本实验中,将通过配置并启用Windows Server 2003的路由和远程访问实现NAT防火墙,操作步骤如下。 (1)打开路由和远程访问
在虚拟主机中,依次点击“开始菜单--管理工具--路由和远程访问”,弹出如图5的所示的对话框。
(2)路由和远程访问服务器的安装向导
在“CLOUDLEB(本地)”右键选择“配置并启用路由和远程访问”,如图6,弹出如图7所示的“路由和远程访问服务器安装向导”对话框。 (3)网络地址转换 在图7中点击“下一步”,弹出如图8所示的对话框,选择“网络地址转换(NAT)”,然后点击“下一步”。 (4)NAT Internet连接
因为要使用本地连接作为连接到外网的接口,所以在该对话框中选择“本地连接”,然后点击“下一步”。 (5)结束NAT防火墙的安装向导
在弹出的“完成路由和远程 访问服务器安装向导”对话框,如图10所示。点击“完成”。结束NAT防火墙的安装。 4、配置Windows NAT防火墙
在“路由和远程访问”树形目录下点击“IP路由选择”,在右侧的“NAT/基本防火墙”节点上右键选择“属性”,如图11所示。 (1)配置NAT转换表的缓存时间
在弹出的“NAT/防火墙”属性对话框中选择“转换”标签页,如图12所示。为了提高NAT防火墙的工作效率,将默认的“TCP映射”时间改为60,点击确定。 因为在本实验中,对内网的主机网络设置采用手动方式配置,因为其他均可保持默认。
16
(2)过滤外网主机 在“路由和远程访问”的控制台下,将“IP路由选择”展开,点击其下的“NAT/防火墙”,在右侧的“本地连接”右键选择其属性。在弹出的本地连接属性对话框中选择“NAT/基本防火墙”标签页,在“接口类型”中选择“公用接口连接到Internet”,如图13所示。
在右侧的“本地连接2”右键选择其属性。在弹出的本地连接2属性对话框中选择“NAT/基本防火墙”标签页,在“接口类型”中选择“专用接口连接到专用网络”。
然后在图14中点击入站筛选器,在图15(a)中,点击“新建”,弹出图15(b)所示的对话框。在图15(b)中,将“源网络”和“目标网络”的的ip和子网掩码按图所示填写,其中“目标网络”为百度网站所对应的ip地址。点击确定,回到如图15(c)中的IP包过滤条件。在本实验中,首先选择“传输所有除符合下列条件以外的数据包”。点击“确定“,这样所有内网主机与百度网站通信的数据包将被防火墙过滤,从而使内网用户无法访问百度网站。 5、ping命令测试
这里我采用另外一台电脑pc2来进行测试,其本地连接的信息如图16所示 (1)Ping测试
a)内网主机ping外网测试 b)内网主机访问外网测试
由于pc2主机的网关为192.168.2.110,指向NAT防火墙,所以pc2主机发往外网的数据包都将通过NAT网关。以上测试结果显示pc2主机能够与外网连通。 但是由于目标地址为百度ip,所以访问百度的数据包将会被NAT防火墙过滤掉,导致不能访问。
现在在图15(b)“筛选器操作“中选择“丢弃所有的包,满足下面条件的除外”后,再次进行测试。 a)内网主机ping外网测试 b)内网主机访问外网测试
此时发现,ping外网出现请求超时;而访问出百度的外网不能访问,说明NAT服务器对数据包进行了过滤,对于发送到非百度的外网数据被防火墙过滤掉,只允许对百度进行访问。
5、 实验结果及总结
17
实验六:入侵行为检测实验
实验地点: 实验日期: 成绩:
1、 实验目的
理解入侵检测的作用和原理,掌握snort入侵检测的方法
2、 实验要求
在Windows平台建立基于Snort的IDS,进行入侵行为检测实验。
3、 实验原理
入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。入侵检测的功能主要体现在以下几个方面:1、监视并分析用户和系统的活动。 2、核查系统配置和漏洞。3、识别已知的攻击行为并报警。 4、统计分析异常行为。 5、评估系统关键资源和数据文件的完整性。6、操作系统的审计跟踪管理?并识别违反安全策略的用户行为
4、 实验步骤
1、打开虚拟机控制台,在D\\tools下找到上述相关安装程序。
18
2、安装WinPcap_4_1_2.exe(按照向导提示安装即可) 3、安装Snort_2_9_1_2_Installer.exe(默认安装即可)
4、安装完成后单击“开始”“运行”,输入“cmd”,打开命令行,如下图所示:
5、使用下面命令检测安装是否成功: cd C:\\snort\\bin (回车) Snort –W
如果出现小猪的形状就说明安装成功了。
6、将snortrules-snapshot-2903.tar.gz解压,并将文件夹拷贝覆盖到c:\\Snort下,修改snort配置文件 etc里面的snort.conf文件。
原: var RULE_PATH ../rules
改为: var RULE_PATH C:\\Snort\\rules
原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
改为:dynamicpreprocessor directory C:\\Snort\\lib\\snort_dynamicpreprocessor(后面一定不要有/)
原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so 改为:dynamicengine C:\\Snort\\lib\\snort_dynamicengine\\sf_engine.dll 原:dynamicdetection directory /usr/local/lib/snort_dynamicrules
19
改为:dynamicdetection directory C:\\Snort\\lib\\snort_dynamicrules
然后将C:\\Snort\\so_rules\\precompiled\\FC-9\\i386\\2.9.0.1里的所有文件拷贝到C:\\Snort\\lib\\snort_dynamicrules (snort_dynamicrules 文件夹需要新建) 原: include classification.config
改为: include C:\\Snort\\etc\\classification.config 原: include reference.config
改为: include C:\\Snort\\etc\\reference.config 原: # include threshold.conf
改为: include C:\\Snort\\etc\\threshold.conf 原:#Does nothing in IDS mode preprocessor normalize_ip4
preprocessor normalize_tcp: ips ecn stream preprocessor normalize_icmp4 preprocessor normalize_ip6 preprocessor normalize_icmp6 在之前加上#,注释掉。
原:preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535
改为:preprocessor http_inspect: global iis_unicode_map C:\\Snort\\etc\%unicode.map 1252 compress_depth 65535 decompress_depth 65535(因为在windows下unicode.map这个文件在etc文件夹下。将compress_depth 和decompress_depth 设置compress_depth 65535 decompress_depth 65535) 将所有的ipvar修改为var
将#include $RULE_PATH/web-misc.rules注释掉。
进入dos,在snort\\bin目录用snort -W查看系统可用网络接口。记住需要监视的网卡的编号,比如为1,那么在以后的使用中,用-i 1就可以选择对应的网卡。 7、运行命令snort –i 1 -c \,此时为攻击检测模式。
8、ctrl+c停止检测后,到c:\\snort\\log目录下可以查看日志报告。名为alert的文件即为检测报告(可用记事本打开)。 9、分析生成的检测报告。
5、 实验结果及总结
20