各位板大:
小弟本人想要研究防火牆在網路安全中的應用,
特別是各種防禦的手段,問題是萬事起頭難(小弟為資管系畢業),
還希望各位板大可以不吝賜教
問題如下:
環境的設置為區域網路中有一台Win Server供遠端登入:
Server(Behind Firewall)---Firewall(CISCO Router)---Attacker Host
Q1. 想利用防火牆(CISCO IOS in router)來即時封阻密碼錯誤嘗試過多的遠端登入(Win Server),小弟該具備哪些知識?? 有無推薦的好參考書目或資料?? 像是登入一些論壇,若是密碼嘗試錯誤太多,則無法繼續登入,這是如何實作的??
Q2. DoS attack, 小弟該如何製作惡意的交通流量灌入Server,使得Server無法接受來自合法使用者的連線, 有無較推薦的此類軟體?
Q3. 綜合以上兩點,有無推薦的模擬軟體?? 最好有相關的教學文件,畢竟小弟對這塊領域的知識相當薄弱...希望能先從模擬下手,再來實作.
小弟的想法是線上取得防火牆的連線表,找出某不斷輸入錯誤登入帳密的IP, 並更改防火牆規則,剔除連線. 至於DoS Attack, 如果某IP嘗試建立大量的連線, 應該也可以從連線表中得知??
以上都只是小弟的"想法",並無任何實作,還希望各位有實務經驗的版大可以提供意見,謝謝!!
A1:一般來說防火牆並不負責『密碼錯誤』『嘗試過多』這種判斷的,因為那是由伺服器的某種『服務』來決定。
一般windows作業系統而言,server的作業系統並不像XP作業系統一般,server本身是提供服務的,所以如果你去安裝windows server你會發現,他沒有XP的『內建防火牆』這玩意兒,預設安裝情況下是『全開放』,以 server 本身而言,要控管的部份就屬『windows帳號』的『權限』與『政策』這兩種。
關於你說的論壇登入次數過多的控管,並不屬於此類,它僅是由論壇的服務(例如 IIS + PHP) 裡面的程式碼來管理登入狀態,所以防火牆根本管不到,因為它不屬於網路架構中的設計,而是網頁開發的設計。
防火牆需要做的是『限制』不必要的外部請求,或是將特定請求轉往特定伺服器。
簡單的比喻:
你的伺服器提供 WEB服務(posrt:80)、FTP 服務(port:21)以及允許遠端桌面連線(port:3389)。
正常的情況下,你只允許外部使用者來存取 WEB、FTP ,遠端桌面是留給內部網路使用,此時你的對外防火牆理應只開啟port 80 和 port 21 給 outside anyone 進入,並導向該 Server 。而內部遠端桌面的部份,如前面所言只要有該 server 的帳號,你都可以由內部連上該 server 的遠端桌面。
之後,你若決定 FTP 僅能由某些 IP 由外部連入 你就必須增加 port 21 的 outside 規則,加入僅允許的來源IP。
※防火牆不僅可以規劃 『外到內』的規則,也可以設定『內到外』的規則喔。例如禁止公司內部的人上某些網站或是IM之類的。
A2:如果你要模擬 DoS Attack 的話可以建議你用 jakarta-jmeter 這套壓力測試軟體,到網路上可以找到相關文章,注意最好在封閉網路內使用,否則產生出來的封包流量會讓你的 HUB (如果有的話)承受不住的。
A3:如果你要從防火牆上的連線表來找出惡意攻擊其實也不容易,一般而言要先從 Server 上的 logger 來判斷屬於哪一類的攻擊,然後找出可疑的 IP ,再到防火牆上設定阻止 outside 的來源 IP。
不過這種方法並不算妥當,首先會做 DoS Attack 的 IP 多是殭屍電腦,所以 IP 有可能換來換去,而你的規則有可能"加"不完。所以如果防火牆有偵瞬間封包流量的功能可以將它打開,並設定時間區段和到達封包量,達到後便發通知給特定電腦作為紀錄用。在去分析其攻擊行為。
會這樣做是因為某些三層式架構的 ERP 其瞬間流量也會很高有可能會被誤判成 DoS Attack 如果未查明就直接阻斷該 IP 就會導致該 ERP 當掉喔。
小小的建議,請大大參考
1.防止遠端登入win server,不知道是不是指遠端桌面,windows 能設定登入幾次密碼錯誤就將帳戶停用,所以這是一種方法。
2.另外,能遠端登入的ip應該是要被控管的,所以在防火牆設一條 允許遠端的ip。
1+2 應該就夠應付遠端登入的問題。
至於阻斷服務,有可能是針對開放性的服務,像 web、ftp、mail 或是任何開放性的port
這樣子的測試工具在google都找的到,但請不要用大陸網站的軟體,因為很有可能會讓你還沒下載就先中毒。
以上供大大參考