實戰:使用IPSec保護伺服器安全
使用IPSec保護伺服器安全
不管是在Windows XP上啟用防火牆還是Windows Server上配置TCP/IP篩選,都不能嚴格控制出去的流量。因此如果你的伺服器中了木馬程式(比如中了灰鴿子木馬程式),該程式會主動連線入侵者建立會話,入侵者就能監控和控制你的伺服器了。
最大化配置伺服器網路安全,你可以嚴格控制進出伺服器的流量,比如你的伺服器是Web伺服器,你可以配置只允許TCP目標埠80的資料包進入伺服器,TCP源埠為80的資料包離開伺服器。這樣即便你的伺服器中了灰鴿子木馬程式,也不能主動連線入侵者。這種控制方式可以通過配置伺服器IPSec來實現,Windows XP,Windows Server 2003和Windows Server 2008都支援IPSec。
下面就以通過IPSec配置Web伺服器安全,防止灰鴿子木馬程式為例。演示入侵者製作木馬程式,在Server上啟用Windows防火牆,安裝木馬程式,在入侵者遠端控制伺服器。配置IPSec,如圖2-143所示,只允許TCP的目標埠為80資料包進入伺服器,只允許TCP的源埠為80的資料包離開伺服器。驗證木馬程式不能連線入侵者。
入侵者的IP地址為192.168.1.121,伺服器Server的IP地址為192.168.1.200。
1.製作木馬程式
灰鴿子木馬程式,可以在http://down.51cto.com/搜尋“灰鴿子”,可以找到並下載。
中了灰鴿子木馬程式,會主動連線到入侵者,入侵者就可以遠端監控和操控中了木馬的伺服器。這就要求木馬程式能夠連線到入侵者,因此生成的木馬程式必須指定入侵者的IP地址。
(1)如圖2-144所示,在入侵者的計算機上安裝並執行灰鴿子木馬程式,單擊“配置服務程式”按鈕,提示:木馬程式在中了招的計算機上是以服務的方式存在的。
(2)如圖2-145所示,在出現的“伺服器配置”對話方塊的“自動上線設定”中輸入入侵者的IP地址。
▲圖2-144 執行灰鴿子木馬程式 ▲圖2-145 “伺服器配置”對話方塊
(3)如圖2-146所示,在“安裝選項”選項卡中,選中“安裝成功後自動刪除安裝檔案”核取方塊。木馬程式一般都是在後臺偷偷執行的,取消選中“程式安裝成功後提示安裝成功”和“程式執行時在工作列顯示圖示”核取方塊。
(4)如圖2-147所示,在“啟動設定”選項卡中,選中“Win2000/XP下優先安裝成服務啟動”核取方塊,然後單擊“生成伺服器”按鈕,這樣就製作好了木馬程式。
▲圖2-146 “安裝選項”選項卡 ▲圖2-147 “伺服器配置”對話方塊
(5)如圖2-148所示,可以看到生成的木馬程式“Server.exe”。
(6)如圖2-149所示,將有木馬程式的資料夾共享。以方便Server訪問,模擬中木馬的過程。
▲圖2-148 生成的木馬程式 ▲圖2-149 共享存放木馬的資料夾
2.中木馬的過程
(1)如圖2-150所示,在Server上,開啟“本地連線 屬性”對話方塊,單擊“設定”按鈕,在出現的“Windows防火牆”提示對話方塊中,單擊“是”按鈕,啟用Windows防火牆服務。
(2)如圖2-151所示,在出現的“Windows防火牆”對話方塊的“常規”選項卡中,選中“啟用”單選按鈕和“不允許例外”核取方塊。
▲圖2-150 “本地連線 屬性”對話方塊 ▲圖2-151 “Windows防火牆”對話方塊
(3)如圖2-152所示,可以看到本地連線啟用了Windows防火牆的圖示,加了一把鎖。
(4)如圖2-153所示,在Server上訪問入侵者的共享資料夾,將木馬程式拷貝到桌面,雙擊,安裝木馬程式。
▲圖2-152 啟用Windows防火牆 ▲圖2-153 將木馬拷貝到本地並安裝
3.遠端監控和控制
(1)如圖2-154所示,在入侵者計算機上,可以看到中了木馬的計算機自動上線,選中上線的伺服器,單擊“捕獲螢幕”按鈕。可以遠端監控Server桌面。
(2)如圖2-155所示,單擊圖中框起的滑鼠和鍵盤圖示,還可以控制遠端計算機。
▲圖2-154 捕獲螢幕 ▲圖2-155 遠端控制
(3)如圖2-156所示,在Server上的命令提示符下輸入netstat –n,可以看到木馬建立的會話。
(4)如圖2-157所示,在Server上,執行msconfig,開啟“系統配置實用程式”對話方塊,選中“隱藏所有Microsoft服務”核取方塊,可以看到灰鴿子木馬安裝的服務。
▲圖2-156 灰鴿子建立的會話 ▲圖2-157 安裝的灰鴿子木馬
4.配置IPSec保護Web伺服器
(1)如圖2-158所示,在Server上禁用Windows防火牆。現在使用IPSec嚴格控制出入流量。
(2)如圖2-159所示,選擇“開始”→“程式”→“管理工具”→“本地安全策略”命令。
▲圖2-158 關閉Windows防火牆 ▲圖2-159 選擇“本地安全策略”命令
(3)如圖2-160所示,在開啟的“本地安全設定”視窗中,右擊“IP安全策略,在本地計算機”節點,在彈出的快捷選單中選擇“建立IP安全策略”命令。
(4)在出現的“歡迎使用IP安全策略嚮導”對話方塊中,單擊“下一步”按鈕。
(5)如圖2-161所示,在出現的“IP安全策略名稱”設定介面中,輸入名稱和描述資訊,單擊“下一步”按鈕。
▲圖2-160 “本地安全設定”視窗 ▲圖2-161 “IP安全策略名稱”設定介面
(6)如圖2-162所示,在出現的“安全通訊請求”設定介面中,取消選中“啟用預設響應規則”核取方塊,單擊“下一步”按鈕。
(7)如圖2-163所示,在出現的“正在完成IP安全策略嚮導”設定介面中,單擊“完成”按鈕。
▲圖2-162 “安全通訊請求”設定介面 ▲圖2-163 “正在完成IP安全策略嚮導”設定介面
(8)如圖2-164所示,在出現的“WebServerIPSec屬性”對話方塊中,取消選中“使用‘新增嚮導’”核取方塊,單擊“新增”按鈕。
(9)如圖2-165所示,在出現的“新規則 屬性”對話方塊中,選中“所有IP通訊”單選按鈕,單擊“篩選器操作”標籤。
▲圖2-164 “WebServerIPSec屬性”對話方塊 ▲圖2-165 “新規則 屬性”對話方塊
(10)如圖2-166所示,在“篩選器操作”選項卡中,沒有拒絕的動作,取消選中“使用‘新增嚮導’”核取方塊,單擊“新增”按鈕。
(11)如圖2-167所示,在出現的“新篩選器操作 屬性”對話方塊的“安全措施”選項卡中,選中“阻止”單選按鈕,單擊“常規”標籤。
▲圖2-166 新增篩選器的操作 ▲圖2-167 選擇阻止
(12)如圖2-168所示,在“常規”選項卡中,輸入名稱,單擊“確定”按鈕。
(13)如圖2-169所示,在“新規則 屬性”對話方塊中,選擇剛剛建立的操作“拒絕通訊”,單擊“應用”按鈕。
▲圖2-168 指定操作名稱 ▲圖2-169 選擇操作
(14)如圖2-170所示,單擊“確定”按鈕。
(15)如圖2-171所示,這樣就新增了拒絕所有通訊,相當於拔了網線。然後新增規則允許訪問Web站點的流量出入。
▲圖2-170 完成新增規則 ▲圖2-171 新增允許訪問Web服務的規則
(16)如圖2-172所示,在“新規則 屬性”對話方塊中,單擊“新增”按鈕。
(17)如圖2-173所示,在出現的“IP篩選器列表”對話方塊中,輸入規則名稱,取消選中“使用新增嚮導”核取方塊,單擊“新增”按鈕。
▲圖2-172 新增篩選器列表 ▲圖2-173 新增篩選器
(18)如圖2-174所示,在出現的“IP篩選器 屬性”對話方塊中,可以看到源地址和目標地址,一定要選中“映象,與源地址和目標地址正好相反的資料包相匹配”核取方塊。
(19)如圖2-175所示,在“協議”選項卡中,協議選擇TCP,“設定IP協議埠”選項組中,選中“從此埠”和“到任意埠”單選按鈕,單擊“確定”按鈕。
▲圖2-174 配置篩選器 ▲圖2-175 指定協議和埠
(20)如圖2-176所示,單擊“確定”按鈕。當然,如果還希望別人訪問FTP站點,你還可以繼續單擊“新增”按鈕,新增相應的篩選器。篩選器列表中可以包括多個篩選器。
(21)如圖2-177所示,在“新規則 屬性”對話方塊中,選中“允許訪問Web服務”單選按鈕,單擊“篩選器操作”標籤。
▲圖2-176 完成篩選器列表 ▲圖2-177 選擇篩選器規則
(22)如圖2-178所示,在“篩選器操作”選項卡中,選中“許可”單選按鈕,單擊“應用”按鈕。
(23)如圖2-179所示,單擊“確定”按鈕。
▲圖2-178 “篩選器操作”選項卡 ▲圖2-179 單擊“確定”按鈕
(24)如圖2-180所示,到目前為止已經建立了兩個規則,一個是拒絕所有通訊,一個是允許訪問Web伺服器的流量,多個規則以最佳匹配為準。也就意味著不是訪問Web站點的流量就應用所有IP通訊的規則。
(25)如圖2-181所示,右擊剛才建立的WebServerIPSec策略,在彈出的快捷選單中選擇“指派”命令,該策略生效。
▲圖2-180 建立的兩個規則 ▲圖2-181 指派IP策略
(26)如圖2-182所示,在Server上執行netstat –n命令,可以看到木馬程式不能和入侵者的計算機建立會話,這樣木馬就成了“臥槽馬”,不會為你的Server造成多大危害。
(27)如圖2-182所示,ping 入侵者的IP地址,出現Destination host unreachable。因為IPSec沒有允許此類通訊出入。
(28)如圖2-183所示,在入侵者計算機上,你也看不到自動上線的主機,就沒辦法監控和控制中了木馬的伺服器。
▲圖2-182 檢視會話測試網路 ▲圖2-183 灰鴿子不能上線了
(29)如圖2-184所示,可以看到,在入侵者計算機訪問Server的Web站點還是可以的。
▲圖2-184 能夠訪問Web站點
結論 |
Windows防火牆能夠禁止主動入侵,但是對木馬沒有防護作用。Windows的TCP/IP篩選和Windows防火牆類似,能夠禁止主動入侵,但是對木馬沒有防護作用。要想使用嚴格控制出入伺服器的流量策略,可以使用IPSec實現。 |
本文轉自 onesthan 51CTO部落格,原文連結:http://blog.51cto.com/91xueit/1135840,如需轉載請自行聯絡原作者
相關文章
- 程式碼伺服器安全保護(二)伺服器
- Spring Boot安全保護使用教程Spring Boot
- 過載保護原理與實戰
- 代理伺服器可以保護資料安全嗎?伺服器
- 保護Linux伺服器安全的四個要點!Linux伺服器
- 代理伺服器是如何保護網路安全的?伺服器
- 保護網站安全網站
- 微服務過載保護原理與實戰微服務
- SpringCloud Alibaba實戰(9:Hystrix容錯保護)SpringGCCloud
- 恆訊科技分析:保護雲伺服器安全有哪些措施?伺服器
- 保護物聯網安全有哪些實用方法呢?
- 四個保護資料安全的技術實踐
- DNS伺服器保護方法:幾點保護DNS伺服器的有效方法小結DNS伺服器
- 伺服器在使用過程中如何保護資料伺服器
- 網路安全和伺服器安全有什麼區別?如何保護您的網路伺服器伺服器
- 企業檔案加密:資料保護的實戰策略加密
- java synchronized 保護執行緒安全Javasynchronized執行緒
- 資料安全與PostgreSQL:保護策略SQL
- 如何保護電子郵件安全
- 網路安全協議之IPsec協議
- w10安全保護怎麼取消_win10自動取消安全保護操作方法Win10
- 打造全場景、可信任、實戰化的安全架構,智慧安全3.0為智慧城市保駕護航架構
- 24-工控安全需求分析與安全保護工程
- 如何保護好資料伺服器伺服器
- NetCore專案實戰篇07---服務保護之pollyNetCore
- 保護你微服務架構安全的三個最佳實踐微服務架構
- 19-作業系統安全保護作業系統
- 只需5項,教你保護資料安全!
- 保護主機安全,我來buff加成
- 大資料安全與隱私保護大資料
- CRM如何保護客戶資料安全?
- 微服務架構 | 7. 安全保護微服務架構
- Flutter 保護你的APP資料安全FlutterAPP
- CRM如何保護企業資料安全?
- 保護MacBook安全,分享5個物理技巧Mac
- 如何保護PostgreSQL資料庫安全? | goteleportSQL資料庫Go
- [譯] 通過安全瀏覽保護 WebViewWebView
- 華納雲:網路安全和伺服器安全有什麼區別?如何保護您的網路伺服器伺服器
- 網際網路協議安全IPSec協議