【51CTO.com 独家翻译】上个月,在单数据包授权系列作品中第一部份中,我描述了叫做单数据包授权(SPA)的下一代被动认证技术的原理,本文不再谈论其原理,而是将精力集中在SPA实用应用程序fwknop和iptables,用它们来保护SSHD,抵御侦察和攻击。在Linux系统上安装后,没人能用nmap扫描后说SSHD正在监听【即用nmap扫描不到SSHD是否正在运行】,只有在经过认证的客户端才能与SSHD进行通讯。
开始之前,我们需要一些关于配置和网络结构的信息,本文假设你已经在同时运行了SSHD和iptables的系统上安装好了fwknop的最新版本(写本文时是1.0.1),你可以从http://www.cipherdyne.org/fwknop下载fwknop,也可以通过运行install.pl脚本从源代码tar包安装或通过基于RPM的Linux发行版安装RPM包。
网络结构
在图1中展示了我们安装的基本网络结构,fwknop客户端在被标记为spa_client(15.1.1.1)的主机上执行,fwknop服务器(与iptables一起)在被标记为spa_server(16.2.2.2)的系统上运行,恶意系统被标记为attacker(18.3.3.3),它可以嗅探spa_client和spa_server系统之间的所有通讯。
 |
| 图1 使用SPA保护SSH通讯的样例情景 |
iptables 默认删除策略
Spa_client系统的ip地址是15.1.1.1,spa_server系统的ip地址是16.2.2.2,在spa_server系统上,iptables被配置为为内部网络(192.168.10.0/24)提供基本的连接服务、日志记录及丢弃所有尝试从外部网络到服务的连接(通过iptables的LOG和DROP目标),这个策略相当简单,意味着防火墙没有为任何服务(包括SSHD)在nmap扫描下进行宣告,任何真实网络环境下部署将更大更复杂。不管怎样,一个重要的特征需要注意,那就是通过Netfilter提供连接跟踪工具,它在iptables策略中保留状态,最终结果是连接通过防火墙初始化(通过FORWARD链表)然后到达防火墙(通过INPUT链表)并保持打开,而不需要额外的ACCEPT规则来允许数据包保持连接的建立(如TCP确认等),iptables策略是用下面基础的firewall.sh脚本来建立的:
[spa_server]# cat firewall.sh #!/bin/sh IPTABLES=/sbin/iptables $IPTABLES -F $IPTABLES -F -t nat $IPTABLES -X $IPTABLES -A INPUT -m state --state ↪ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -m state --state ↪ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A POSTROUTING -s ↪192.168.10.0/24 -o eth0 -j MASQUERADE $IPTABLES -A INPUT -i ! lo -j LOG --log-prefix ↪"DROP " $IPTABLES -A INPUT -i ! lo -j DROP $IPTABLES -A FORWARD -i ! lo -j LOG --log-prefix ↪"DROP " $IPTABLES -A FORWARD -i ! lo -j DROP echo 1 > /proc/sys/net/ipv4/ip_forward echo "[+] iptables policy activated" exit [spa_server]# ./firewall.sh [+] iptables policy activated |
防火墙激活后,我们就可以查看远程访问的内容了,在spa_client系统上,我们使用nmap来查看在spa_server上的SSHD是否可以连接:
[spa_client]$ nmap -P0 -sT -p 22 16.2.2.2 Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2007-02-09 23:55 EST Interesting ports on 16.2.2.2: PORT STATE SERVICE 22/tcp filtered ssh Nmap finished: 1 IP address (1 host up) scanned in 12.009 seconds |
正如预料的一样,iptables阻止了所有尝试与SSHD通讯的连接,以及保留的端口(TCP和UDP端口)也类似地被iptables策略保护起来了,如果一个攻击者拥有一个对付OpenSSH特定版本的0day攻击程序,那对于部署了这个版本的spa_server系统来说有保护策略就很重要了,所有尝试与堆栈的通讯都将被iptables阻止。
| 共5页: 1 [2] [3] [4] [5] 下一页 | |||||||
|
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · VPN技术 · SQL Server 2008/2005.. · SOA 面向服务架构 · 子网掩码教程 · SQL Server 2008/2005.. · 中间件应用技术专题 · 深入了解PGP加密技术 · MySQL数据库备份 |
· 病毒查杀专题 · VPN技术 · Solaris 10 配置管理 · Linux 基础 · SSL VPN详细知识 · Linux防火墙 · Linux 集群技术专题 · 打造安全服务器 |
|||
|
||||
| · VPN技术 · SQL Server 2008/2005.. · 中间件应用技术专题 · SQL Server 2008/2005.. · SOA 面向服务架构 · 子网掩码教程 · MySQL数据库备份 · 身份认证技术 |
· 病毒查杀专题 · 清除流氓软件——51CTO.. · SSL VPN详细知识 · Sniffer安全技术从入门.. · Linux 集群技术专题 · VPN技术 · Linux 基础 · SOA 面向服务架构 |
|||
