主动防御安全网关的架设.docVIP

实验题目 主动防御安全网关的架设 实验任务 实验目的 ? ??? 本实验的出发点源于对一个实际的网络安全问题的思考：如何在没有主流网络安全设备（或设备缺乏相应功能）的情况下，利用Internet中提供的开放资源，实现在不同的网络间搭建一个安全的网关。??? 本实验注重锻炼实验者的问题分析能力，网络安全信息检索能力以及对资源的整合运用能力。实验强调应用创新，但并不强调实验者的程序开发能力。 实验需求 ? 图2-1 ??? 如图2-1所示，网段I、II为两个拥有不同网络地址的独立网段，网段中主机通过网关G实现跨网段访问。同时，管理主机M可实现对网关G进行远程管理。??? 基于上述网络环境，设计和部署网关G及配套设施，满足如下需求：??? （1）网关G可直接或间接探测网段I、II中网络行为，并能够发现异常的网络行为；??? （2）对发生异常网络行为的主机，网关G能够阻止其进行跨网段访问；??? （3）除管理主机M外，网段I、II中任何主机不可对网关G进行本地（进程）访问；??? （4）网关G禁止主动转发网段I、II到管理主机M的数据流；??? （5）管理主机M能够通过远程管理手段对网关G进行管理。 实验学时 ? 4×5学时 实验要求 ? ??? （1）网关G是一台安装有Linux kernel 2.4/6操作系统的主机，并配有三块100/1000M网卡，分别定义为eth0，eth1和eth2。网络连接如下： 网关接口 连接网段/主机 eth0 管理主机M eth1 网段I eth2 网段II ? ??? 除上表描述网段/主机外，网关各接口不再连接其它网络/主机。??? （2）管理主机M访问网关G不受限。??? （3）填写实验报告，提交实验报告及相关实验设计文档。 设计思想 ? 图2-2 ??? 核心思想：通过Snort、SnortSam与iptables联动，实现安全网关的架设。??? 如图2-2所示，架设方案如下：??? （1）开启网关G的网络接口转发功能。??? （2）在网络段I、II中部署Snort入侵检测器，用于检测所在网段中的异常网络事件，在产生报警的同时，能够向网关G发送阻塞请求。阻塞请求的主要内容为产生异常网络事件的源，即威胁源。??? （3）在网关G上部署SnortSam代理，允许其接受来自多个入侵检测器发出的阻塞请求。由SnortSam实时控制本地防火墙iptables，禁止来自威胁源的任何数据通过防火墙。??? （4）在网关G上安装Webmin系统管理工具，管理主机M以http方式远程访问。同样，在入侵检测器上安装Webmin和snort-webmin插件，能够实现对Snort进行远程管理，如入侵规则管理等。??? （5）设置网关G防火墙规则，仅允许阻塞请求和eth0数据访问本地SnortSam、Webmin等进程，其它禁止。??? （6）管理主机通过Web方式查看入侵检测器的报警日志。 技术分析 ? ??? Snort是一款开源的、基于网络的入侵检测系统（NIDS，Network Based Intrusion Detection System）。NIDS的名称来自于它的工作模式——监视整个网络。更精确地说，它监视整个网络的一部分。正常情况下，计算机的网卡（NIC）工作在非混杂模式，在这种模式中，只有数据包的目的地址是网卡的MAC地址时网卡才会接收这个数据包并处理。NIDS在混杂模式下监视不流向自己的MAC地址的网络流量。在混杂模式中，NIDS可以得到所有网络中的数据包。??? SnortSam是Snort的入侵防范插件，可以说是基于Snort和iptables的主动防御手段。它由插件和代理两部分组成，支持SnortSam插件的Snort，会将报警信息输出给插件，然后由插件向代理发送阻塞请求。SnortSam代理根据报警信息控制防火墙的过滤规则。??? Webmin是一款开源的、基于Web的Unix/Linux系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。通过Webmin能够在远程使用HTTPS（SSL上的HTTP）协议的Web浏览器通过Web界面管理主机，在保证了安全性的前提下提供了简单深入的远程管理。另外，Webmin的模块化架构允许编写第三方配置模块。??? snort-1.0.wbm是基于Webmin模块化架构的用于管理Snort系统的配置模块，可以对Snort进行远程管理。??? SnortSnarf是一款用于对Snort日志文件进行分析的工具，通过分析生成一套静态结果页面。它可以根据签名、IP地址对日志进行分组，也提供了Web链接以便获得已探测到的攻击的相关信息资源。SnortSnarf可以作为一个cron任务定期地