实验题目
主动防御安全网关的架设
实验任务
实验目的
本实验的出发点源于对一个实际的网络安全问题的思考:如何在没有主流网络安全设备(或设备缺乏相应功能)的情况下,利用Internet中提供的开放资源,实现在不同的网络间搭建一个安全的网关。
本实验注重锻炼实验者的问题分析能力,网络安全信息检索能力以及对资源的整合运用能力。实验强调应用创新,但并不强调实验者的程序开发能力。
实验需求
图2-1
如图2-1所示,网段I、II为两个拥有不同网络地址的独立网段,网段中主机通过网关G实现跨网段访问。同时,管理主机M可实现对网关G进行远程管理。 基于上述网络环境,设计和部署网关G及配套设施,满足如下需求:
(1)网关G可直接或间接探测网段I、II中网络行为,并能够发现异常的网络行为; (2)对发生异常网络行为的主机,网关G能够阻止其进行跨网段访问;
(3)除管理主机M外,网段I、II中任何主机不可对网关G进行本地(进程)访问; (4)网关G禁止主动转发网段I、II到管理主机M的数据流; (5)管理主机M能够通过远程管理手段对网关G进行管理。
实验学时
4×5学时
实验要求
(1)网关G是一台安装有Linux kernel 2.4/6操作系统的主机,并配有三块100/1000M网卡,分别定义为eth0,eth1和eth2。网络连接如下: 网关接口 eth0 eth1 eth2 连接网段/主机 管理主机M 网段I 网段II
除上表描述网段/主机外,网关各接口不再连接其它网络/主机。 (2)管理主机M访问网关G不受限。
(3)填写实验报告,提交实验报告及相关实验设计文档。
实验指导
设计思想
图2-2
核心思想:通过Snort、SnortSam与iptables联动,实现安全网关的架设。
如图2-2所示,架设方案如下: (1)开启网关G的网络接口转发功能。
(2)在网络段I、II中部署Snort入侵检测器,用于检测所在网段中的异常网络事件,在产生报警的同时,能够向网关G发送阻塞请求。阻塞请求的主要内容为产生异常网络事件的源,即威胁源。
(3)在网关G上部署SnortSam代理,允许其接受来自多个入侵检测器发出的阻塞请求。由SnortSam实时控制本地防火墙iptables,禁止来自威胁源的任何数据通过防火墙。
(4)在网关G上安装Webmin系统管理工具,管理主机M以http方式远程访问。同样,在入侵检测器上安装Webmin和snort-webmin插件,能够实现对Snort进行远程管理,如入侵规则管理等。
(5)设置网关G防火墙规则,仅允许阻塞请求和eth0数据访问本地SnortSam、Webmin等进程,其它禁止。
(6)管理主机通过Web方式查看入侵检测器的报警日志。
技术分析
Snort是一款开源的、基于网络的入侵检测系统(NIDS,Network Based Intrusion Detection System)。NIDS的名称来自于它的工作模式——监视整个网络。更精确地说,它监视整个网络的一部分。正常情况下,计算机的网卡(NIC)工作在非混杂模式,在这种模式中,只有数据包的目的地址是网卡的MAC地址时网卡才会接收这个数据包并处理。NIDS在混杂模式下监视不流向自己的MAC地址的网络流量。在混杂模式中,NIDS可以得
到所有网络中的数据包。
SnortSam是Snort的入侵防范插件,可以说是基于Snort和iptables的主动防御手段。它由插件和代理两部分组成,支持SnortSam插件的Snort,会将报警信息输出给插件,然后由插件向代理发送阻塞请求。SnortSam代理根据报警信息控制防火墙的过滤规则。
Webmin是一款开源的、基于Web的Unix/Linux系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。通过Webmin能够在远程使用HTTPS(SSL上的HTTP)协议的Web浏览器通过Web界面管理主机,在保证了安全性的前提下提供了简单深入的远程管理。另外,Webmin的模块化架构允许编写第三方配置模块。 snort-1.0.wbm是基于Webmin模块化架构的用于管理Snort系统的配置模块,可以对Snort进行远程管理。
SnortSnarf是一款用于对Snort日志文件进行分析的工具,通过分析生成一套静态结果页面。它可以根据签名、IP地址对日志进行分组,也提供了Web链接以便获得已探测到的攻击的相关信息资源。SnortSnarf可以作为一个cron任务定期地执行,也可以随时手工执行。
参考资源
知识 资源 iptables及其应用 知识体系|实验27|练习二 iptables应用 Snort及其应用 知识体系|实验28|练习一 基于网络入侵检测系统 snortsam及其应用 知识体系|实验28|练习二 NIDS与防火墙联动