主动防御安全网关的架设.doc

实验题目主动防御安全网关的架设实验任务实验目的 本实验的出发点源于对一个实际的网络安全问题的思考：如何在没有主流网络安全设备（或设备缺乏相应功能）的情况下，利用Internet中提供的开放资源，实现在不同的网络间搭建一个安全的网关。 本实验注重锻炼实验者的问题分析能力，网络安全信息检索能力以及对资源的整合运用能力。实验强调应用创新，但并不强调实验者的程序开发能力。实验需求图2-1 如图2-1所示，网段I、II为两个拥有不同网络地址的独立网段，网段中主机通过网关G实现跨网段访问。同时，管理主机M可实现对网关G进行远程管理。 基于上述网络环境，设计和部署网关G及配套设施，满足如下需求： （1）网关G可直接或间接探测网段I、II中网络行为，并能够发现异常的网络行为； （2）对发生异常网络行为的主机，网关G能够阻止其进行跨网段访问； （3）除管理主机M外，网段I、II中任何主机不可对网关G进行本地（进程）访问； （4）网关G禁止主动转发网段I、II到管理主机M的数据流； （5）管理主机M能够通过远程管理手段对网关G进行管理。实验学时45学时实验要求 （1）网关G是一台安装有Linux kernel 2.4/6操作系统的主机，并配有三块100/1000M网卡，分别定义为eth0，eth1和eth2。网络连接如下：网关接口连接网段/主机eth0管理主机Meth1网段Ieth2网段II 除上表描述网段/主机外，网关各接口不再连接其它网络/主机。 （2）管理主机M访问网关G不受限。 （3）填写实验报告，提交实验报告及相关实验设计文档。实验指导设计思想图2-2 核心思想：通过Snort、SnortSam与iptables联动，实现安全网关的架设。 如图2-2所示，架设方案如下： （1）开启网关G的网络接口转发功能。 （2）在网络段I、II中部署Snort入侵检测器，用于检测所在网段中的异常网络事件，在产生报警的同时，能够向网关G发送阻塞请求。阻塞请求的主要内容为产生异常网络事件的源，即威胁源。 （3）在网关G上部署SnortSam代理，允许其接受来自多个入侵检测器发出的阻塞请求。由SnortSam实时控制本地防火墙iptables，禁止来自威胁源的任何数据通过防火墙。 （4）在网关G上安装Webmin系统管理工具，管理主机M以http方式远程访问。同样，在入侵检测器上安装Webmin和snort-webmin插件，能够实现对Snort进行远程管理，如入侵规则管理等。 （5）设置网关G防火墙规则，仅允许阻塞请求和eth0数据访问本地SnortSam、Webmin等进程，其它禁止。 （6）管理主机通过Web方式查看入侵检测器的报警日志。技术分析 Snort是一款开源的、基于网络的入侵检测系统（NIDS，Network Based Intrusion Detection System）。NIDS的名称来自于它的工作模式监视整个网络。更精确地说，它监视整个网络的一部分。正常情况下，计算机的网卡（NIC）工作在非混杂模式，在这种模式中，只有数据包的目的地址是网卡的MAC地址时网卡才会接收这个数据包并处理。NIDS在混杂模式下监视不流向自己的MAC地址的网络流量。在混杂模式中，NIDS可以得到所有网络中的数据包。 SnortSam是Snort的入侵防范插件，可以说是基于Snort和iptables的主动防御手段。它由插件和代理两部分组成，支持SnortSam插件的Snort，会将报警信息输出给插件，然后由插件向代理发送阻塞请求。SnortSam代理根据报警信息控制防火墙的过滤规则。 Webmin是一款开源的、基于Web的Unix/Linux系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。通过Webmin能够在远程使用HTTPS（SSL上的HTTP）协议的Web浏览器通过Web界面管理主机，在保证了安全性的前提下提供了简单深入的远程管理。另外，Webmin的模块化架构允许编写第三方配置模块。 snort-1.0.wbm是基于Webmin模块化架构的用于管理Snort系统的配置模块，可以对Snort进行远程管理。 SnortSnarf是一款用于对Snort日志文件进行分析的工具，通过分析生成一套静态结果页面。它可以根据签名、IP地址对日志进行分组，也提供了Web链接以便获得已探测到的攻击的相关信息资源。SnortSnarf可以作为一个cron任务定期地执行，也可以随时手工执行。参考资源知识资源iptables及其应用知识体系|实验27|练习二 iptables应用Snort及其应用知识体系|实验28|练习一 基于网络入侵检测系统snortsam及其应用知识体系|实验28|练习二 NIDS与防火墙联动SSL安全套接层协议知识体系|实验18|练习二 SSL安全套接层协议Webmin的安装、配置及应用应用服务器web-source/index.html检索基于Webmin管理snort应用服务器web-source/index.html检索Snortsnarf安装、配置与应用应用服务器web-source/index.html检索实验步骤 说明 http:/应用服务器IP/web-source/index.html提供实验所需软件工具及相关参考资源。一搭建网络环境 使用主机AF搭建实验网络环境，如图2-3所示。 图2-3 实验主机角色及系统环境要求如下表。实验主机实验角色系统环境主机A网段I内工作主机Windows主机B网段I入侵检测器Linux主机C网关GLinux主机D管理主机MWindows主机E网段II内工作主机Linux主机F网段II入侵检测器Linux1主机C网关环境配置 主机C添加两块以太网卡（共三块），为三块网卡静态分配IP地址，并开启IPv4数据包转发功能（静态IP如下）。2其它主机网络环境配置 主机A、B、D、E、F静态分配IP地址，设置默认网关，并在本机ARP缓冲表中绑定网关IP/MAC地址对。二软件安装与配置 注 对系统环境已安装软件，实验期间允许对其进行覆盖安装。1主机C（网关G）软件安装与配置 （1）主机C安装SnortSam代理，并配置snortsam.conf文件。要求如下： SnortSam代理监听端口为30898； 接收网段I、II内检测器发出的阻塞请求； 将管理主机加入白名单列表； 后台运行SnortSam代理 （2）设置snortsam代理开机自启。 （3）安装Webmin，确保管理主机能够对主机C进行远程管理。Webmin登录界面如图2-4所示：图2-42主机B、F（检测器）软件安装与配置 （1）安装支持SnortSam输出插件的Snort入侵检测系统，并配置snort.conf文件。要求如下： 将配置文件snort.conf与规则文件*.rules放入同级目录中； 指定报警输出插件为alert_fwsam； 利用Snort安装源中的S99snort启动脚本，实现Snort作为服务启动、停止和重新启动； 设置Snort开机自启。 （2）安装Webmin及Snort扩展模块，并修改Snort IDS Admin配置信息，要求如下： （3）安装SnortSnarf，编写执行脚本snortsnarf.sh。每隔30分钟执行一次snortsnarf.sh脚本。由SnortSnarf生成的静态Web页面如图2-5所示：图2-5三软件安装与配置1.主机C（网关G）防火墙设置 主机C修改/etc/sysconfig/iptables文件，重新配置缺省的防火墙规则，规则实现访问控制如下： 设置filter表INPUT规则链默认DROP策略； 允许接收内部回环数据（lo网络接口）； 允许接收eth0网络数据（管理主机所在网络）；） 允许源53（网段I入侵检测器）访问网关30898/tcp服务（SnortSam代理服务端口）； 允许源53（网段II入侵检测器）访问网关30898/tcp服务器； 设置filter表FORWARD规则链默认DROP策略； 允许对eth1eth2数据流进行转发； 允许对eth0-eth1的网络会话进行转发； 允许对eth0-eth2的网络会话进行转发。2.主机B、F（检测器）防火墙设置 主机B、F修改/etc/sysconfig/iptables文件，重新配置缺省的防火墙规则，规则实现访问控制如下： 设置filter表INPUT规则链默认DROP策略； 允许源0（管理主机）访问检测器10000/tcp（Webmin）、80/tcp服务； 允许检测器访问网关30898/tcp服务。四