《Linux网络安全控制.ppt》由会员分享,可在线阅读,更多相关《Linux网络安全控制.ppt(36页珍藏版)》请在三一办公上搜索。
1、第九单元,Linux网络安全控制,tcp_wrapper原理,Telnet、SSH、FTP、POP和SMTP等很多网络服务都会用到TCP Wrapper,它被设计为一个介于外来服务请求和系统服务回应的中间处理软件。基本处理过程当系统接收到一个外来服务请求的时候,先由TCP Wrapper处理这个请求,TCP Wrapper根据这个请求所请求的服务和针对这个服务所定制的存取控制规则来判断对方是否有使用这个服务的权限,如果有,TCP Wrapper将该请求按照配置文件定义的规则转交给相应的守护进程去处理同时记录这个请求动作,然后自己就等待下一个请求的处理。,tcp_wrapper,基于主机与服务使
2、用简单的配置文件来设置访问限制/etc/hosts.allow/etc/hosts.deny配置一旦被改变,立刻生效,tcp_wrapper的配置,访问控制判断顺序:访问是否被明确许可否则,访问是否被明确禁止如果都没有,默认许可配置文件许可用:/etc/hosts.allow禁止用:/etc/hosts.deny基本语法:后台进程列表:客户端列表:参数(allow,deny)范例:/etc/hosts.allowvsftpd:192.168.0./etc/hosts.denyvsftpd:ALL,后台进程描述,后台进程列表应该是:服务的可执行工具名(in.telnetd NO telnetd)
3、允许指定多项服务允许使用ALL来匹配所有服务后台进程应该是服务的可执行工具名例如:telnet服务的可执行工具是in.telnetd,因此在/etc/hosts.allow及/etc/hosts.deny中应该写in.telnetd,而不是telnet或telnetd如何查看一个服务是否支持TCP-Wrapperstrings 工具路径 grep tcp_wrappers|hosts_accessldd工具路径grep libwrap,客户端列表,客户端描述可以包含:IP地址()域名或主机名(,www.wenhua.org)子网掩码(或192.168.0.)网络名(mydomain),高级语法
4、,客户端描述通配符ALL:所有LOCAL:所有主机名中不包含.的主机UNKNOWN:无法被解析的主机KNOWN:可以双向解析的主机PARANOID:正向解析与反向解析不匹配的主机EXCEPT可用于服务列表与客户端列表可以层层套用范例:/etc/hosts.deny ALL:,基于xinetd的服务,xinetd服务支持两种访问限制基于主机基于时间在xinetd与tcp_wrapper都限制的情况下:先检查tcp_wrapper如果tcp_wrapper允许,再检查xinetd是否也允许如果tcp_wrapper不允许,则不会再检查基于xinetd的服务限制。,配置xinetd访问限制,可以写在
5、/etc/xinetd.d/目录下的文件中可以使用的控制语句:only_from=客户端描述IP:网段:或 域:域名:no_access=客户端描述access_times=时间控制语句描述only_from:只有在其后描述的主机才可以使用服务。no_access:禁止在其后描述的主机使用服务access_times:客户允许使用服务的时间,防火墙的简介,通过使用防火墙可以实现以下功能:可以保护易受攻击的服务;控制内外网之间网络系统的访问;集中管理内网的安全性,降低管理成本;提高网络的保密性和私有性;记录网络的使用状态,为安全规划和网络维护提供依据。,防火墙的工作原理,防火墙技术根据防范的方式
6、和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤防火墙和代理服务器两种类型。包过滤,防火墙的工作原理,数据包从外网传送到防火墙后,防火墙抢在IP层向TCP层传送前,将数据包转发给包检查模块进行处理。首先与第一个过滤规则比较。如果与第一个模块相同,则对它进行审核,判断是否转发该数据包,这时审核结果是转发数据包,则将数据包发送到TCP层进行处理,否则就将它丢弃。如果与第一个过滤规则不同,则接着与第二个规则相比较,如果相同则对它进行审核,过程与相同。如果与第二个过滤规则不同,则继续与下一个过滤规则比较,直到与所有过滤规则比较完成。要是所有过滤规则都不满足,就将数据包丢弃。,防火墙/iptabl
7、es,iptables是Red Hat Linux里默认使用的防火墙iptables提供多个设定参数可以用来定义过滤规则,包括IP/MAC地址、协议、端口、子网掩码iptables支持在路由算法发生前后进行网络地址转换,iptables结构,iptables将防火墙的功能分成多个表(tables)filter:数据包过滤NAT:Network Address Translation/网络地址转换tables又包含多个chains()INPUTOUTPUTFORWARD修改完iptables后要保存/etc/init.d/iptables save(service iptables save),
8、iptables语法,iptables-t table pattern-j target命令选项包括:-A chain:在chain中增添一条规则-D chain:在chain中删除一条规则-I chain:在指定的位置插入1条规则-R chain:替换规则列表中的某条规则-L chain:列出chain中的规则-F chain:清空chain中的规则-X chain:清除预设表filter中使用者自定链中的规则-P chain:为chain指定新的默认策略,可以是:ACCEPT:未经禁止全部许可DROP:未经许可全部禁止,iptables语法,3匹配选项包括:-s:来源地址(source)-
9、d:目标地址(destination)-p:指定协议,可以是tcp/udp/icmp-dport:目标端口,需指定-p-sport:来源端口,需指定-p-i:是指进入的方向的网卡设备-o:代表出去的方向的网卡设备动作选项包括:使用j指定REJECT:拒绝DROP:忽略ACCEPT:许可,filter table,用于过滤数据包的接送chain INPUT:设定远端访问主机时的规则来源是远端访问者,目标是本地主机chain OUTPUT:设定主机访问远端主机的规则来源是本地主机,目标是远端被访问主机chain FORWARD:设定主机为其他主机转发数据包时的规则来源是请求转发的主机,目标是远端被
10、访问的主机规则配的顺序规则从上到下读取,如果规则充许访问则直接通过,如果上一个规则明确禁止访问则直接拒绝访问。当上一个规则没有定义的时候则会比较下一个规则。,filter table,默认情况下即使用filter table。故不需特别指定-t filter添加规则首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链 为了能采用远程SSH登陆,我们要开启22端口.,,,NAT的工作原理,静态网络地址转换,NAT的工作原理,在NAT服务器上建立静态NAT映射表。当内部主机(IP地址为)需要建立一条到Internet的会话连接时,首先将请求发送到NAT服
11、务器上。NAT服务器接收到请求后,会根据接收到的请求数据包检查NAT映射表。如果已为该地址配置了静态地址转换,NAT服务器就使用相对应的内部公有IP地址,并转发数据包,否则NAT服务器不对地址进行转换,直接将数据包丢弃。NAT服务器使用来替换内部私有IP()的过程如图10.13所示。Internet上的主机接收到数据包后进行应答(这时主机接收到的请求)。当NAT服务器接收到来自Internet上的主机的数据包后,检查NAT映射表。如果NAT映射表存在匹配的映射项,则使用内部私有IP替换数据包的目的IP地址,并将数据包转发给内部主机。如果不存在匹配映射项则将数据包丢弃。,NAT的工作原理,动态网
12、络地址转换,NAT的工作原理,当内部主机(IP地址为)需要建立一条到Internet的会话连接时,首先将请求发送到NAT服务器上。NAT服务器接收到请求后,根据接收到的请求数据包检查NAT映射表。如果还没有为该内部主机建立地址转换映射项,NAT服务器就会决定对该地址进行转换(建立:2320:2320的映射项,并记录会话状态)。如果已经存在该映射项,则NAT服务器使用该记录进行地址转换,并记录会话状态。然后NAT服务器利用转换后的地址发送数据包到Internet主机上。Internet主机接收到信息后,进行应答,并将应答信息回传给NAT服务器。当NAT服务器接收到应答信息后,检查NAT映射表。如
13、果NAT映射表存在匹配的映射项,则使用内部公有IP替换数据包的目的IP地址,并将数据包转发给内部主机。如果不存在匹配映射项则将数据包丢弃。,NAT table,PREROUTING可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT。(本机接收数据包时转换)POSTROUTING可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则。(本机发送数据包后转换),目的NAT,目的NAT(DNAT)DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port
14、 对应的范围,进行完此处理动作后,将会直接跳往下一个规则链(filter:input 或 filter:forward)。范例如下:#iptables-t nat-A PREROUTING-i eth1-p tcp-dport 80-j DNAT-to-destination 192.168.0.254:80,源NAT,源NAT(SNAT)改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则链(mangle:postrouting)。范例如下:iptables-t nat-A POSTROUTING-o eth1-j MA
15、SQUERADE,用NAT table完成IP伪装,对于负责内部子网的路由器,需要为保留地址进行IP伪装使用IP伪装功能需要打开本机上的IP转发功能范例:iptables t nat A POSTROUTING-o ppp0 j MASQUERADE,Iptables 执行顺序,Iptables 执行顺序,当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POS
16、TROUTING链输出。如果数据包是要转发出去的,且内核允许转发,数据包就会如图10-4所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。,案例,禁止客户机访问不健康网站禁止某些客户机上网禁止客户机访问某些服务强制访问指定的站点禁止使用ICMP协议发布内部网络服务器智能DNS服务,禁止客户机访问不健康网站,【例1】添加iptables规则禁止用户访问域名为的网站。iptables-I FORWARD-d-j DROP【例2】添加iptables规则禁止用户访问IP地址为的网站。iptables-I FORWARD-d 202.17.61.4-j DROP,禁止某些客户机
17、上网,【例1】添加iptables规则禁止IP地址为的客户机上网。iptables-I FORWARD-s 192.168.0.20-j DROP【例2】添加iptables规则禁止子网里所有的客户机上网。,禁止客户机访问某些服务,【例1】禁止子网里所有的客户机使用FTP协议下载(即封闭TCP协议的21端口)。【例2】禁止子网里所有的客户机使用Telnet协议连接远程计算机(即封闭TCP协议的23端口)。,强制访问指定的站点,【例】强制所有的客户机访问这台Web服务器。iptables-t nat-A PREROUTING-i eth0-p tcp-dport 80-j DNAT-to 210
18、.21.118.68:80,禁止使用ICMP协议,【例】禁止Internet上的计算机通过ICMP协议ping到NAT服务器的ppp0接口,但允许内网的客户机通过ICMP协议ping的计算机。iptables-I INPUT-i ppp0-p icmp-j DROP,发布内部网络服务器,【例1】发布内网主机的Web服务,Internet用户通过访问ppp0的IP地址即可访问该主机的Web服务。iptables-t nat-I PREROUTING-i ppp0-p tcp-dport 80-j DNAT-to-destination 192.168.0.20:80【例2】发布内网主机的终端服务
19、(使用的是TCP协议的3389端口),Internet用户通过访问ppp0的IP地址访问该机的终端服务。iptables-t nat-I PREROUTING-i ppp0-p tcp-dport 3389-j DNAT-to-destination 192.168.0.10:3389,练习题,【练习1】使用iptables作防火墙,设置以下规则。(1)禁止IP地址从eth0访问本机。(2)禁止子网从eth0访问本机的Web服务。(3)禁止IP地址从eth0访问本机的FTP服务。【练习2】在Linux服务器上建立ADSL连接。【练习3】使用iptables实现NAT服务,并设置以下规则。(1)禁止所有的客户机使用QQ。(2)禁止Internet上的计算机通过ICMP协议ping到Linux服务器的ppp0接口。(3)发布内网主机的Web服务到Internet。(4)禁止用户访问域名为的网站。(5)在Linux服务器上实现智能的DNS服务。,
