史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-12-12, 12:13 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 如何讓開放的連接阜port更安全~~~~

允許遠端訪問伺服器上的服務如SSH,同時可以維護伺服器的安全性。


所有在防火牆和路由器上開放的連接阜都是一種安全風險。這也是一種稱之為"連接阜碰撞(port knocking )"技術的價值所在。連接阜碰撞技術是一種允許訪問預先組態好"碰撞"的防火牆服務的技術。所謂的碰撞是由一個嘗試訪問系
統上關閉連接阜的序列組成。這些嘗試要麼記錄在一個日誌中,要麼儲存在一個後台工作中,通過預先組態這個日誌或者工作來監視開啟相應連接阜的序列,如果嘗試序列與預先設定的序列相符合,就可以開啟某個連接阜。

通過這種方式可以讓一個連接阜在需要的時候才開啟,從而具有一定的技術優勢。對於黑客來說,很難在遠端利用處於關閉狀態連接阜的相關服務來攻擊系統。例如,對於遠端管理來說,在一個公開的伺服器上開放SSH服務是很方便的,但是這也使得系統允許任何人都有可能嘗試訪問該系統。當然,對於這個連接阜的訪問,你可以給定一個IP位址範圍的限制,但是這樣一來,還是帶來了安全問題和訪問挑戰方面的問題。連接阜碰撞技術讓你在這兩個方面都會處理的很好:在大多數時間裡,這個連接阜都是關閉的,但是知道這種方法的可以在任何時候任何地方開啟這個連接阜。

概述
由於有些大家都很熟悉的服務存在一定的安全方面的問題,因此,大多數的的安全破壞都是從外網利用這些安全問題來實現的。FTP和SSH使用的是大家都很熟悉的連接阜,因此長期以來,這些服務一直都存在著各種各樣的攻擊方法。而在大多數情況下,這些服務都是讓內部用戶來使用的,因此內部用戶是使用連接阜碰撞技術的主要候選人。

很顯然,對於那些你需要公開的訪問服務,例如HTTP和SMTP服務,連接阜碰撞技術則不適合用於這種場合。因為網頁服務和電子郵件服務需要允許來自任何地方的連接。然而,對於所有其他的服務來說,最好的實際操作是將所有非必須的連接阜都關閉。因而,從存在安全方面的問題的角度來考慮,像SSH這樣一種非常有用的服務也常常需要處於關閉狀態。

這就是連接阜碰撞技術非常有用的地方。首先,通過探測技術是不會發現這種關於連接阜碰撞技術組態的伺服器的。防火牆軟體將會自動拒絕所有的連接阜掃瞄或者任何直接連接嘗試。並且通過選項一系列非連續的連接阜號來實現連接阜碰撞(我們將在隨後介紹),你可以減輕對安全問題的顧慮,因為一個標準的連接阜掃瞄器一般不太可能得到一個正確的碰撞序列。通過使用這種方法,在得到良好的安全性的同時,還可以實現遠端訪問。

你可能會問自己,我為什麼需要這種方法?事實上你可能用不上這種技術。這種技術只是增加當前網路的安全性,在可能存在的黑客和需要保護的服務之間新增一個不易覺察的安全層。如果遠端用戶不知道伺服器在監聽一個特定的連接阜,那麼你將大大減少通過這個連接阜危及系統的次數。更進一步地,遠端用戶不太可能確定伺服器是否使用了連接阜碰撞技術,因此也不太可能來使用暴力嘗試來猜測正確地序列。

連接阜碰撞的細節問題
可以使用不同的方法來組態連接阜碰撞。你可以使用關於靜態連接阜序列的方式來實現使用權訪問。例如,伺服器可以這樣設定,在它按順序接收到與連接阜2033、3022、6712、4998、以及4113的連接嘗試後,開啟TCP連接阜22。如果伺服器接收到一個不正確的序列則關閉該連接阜,或者使用一個定時器來關閉該連接阜。監控防火牆日誌的後台工作在截獲這些被拒絕的嘗試後,將在防火牆中增加一個新的防火牆規則來開啟必要的連接阜,使用權用戶訪問該連接阜。

還可以使用動態組態技術來開啟連接阜。首先,你需要建立一個連接阜集合,在本文的例子中,我們將使用連接阜1040到連接阜1049。通過提供一個開始序列--例如1042、1044、1043--隨後,對於你希望開啟的連接阜,你可能還需要給伺服器提供相應的接收訊息。在序列1042、1044、以及1043後,你需要讓伺服器知道你想讓它開啟連接阜443。之所以採用這種設計,是為了增加開啟不同伺服器必要連接阜的靈活性和選項而不需要採用靜態組態。

加密通信可能也可以增加額外層次的安全性。如果你擔心別人嗅探你的資料包或者擔心有人盜竊你的碰撞序列的話,採用這種加密方式將非常有益。對於連接阜碰撞來說,使用加密技術是一種最安全的方法,並且我們將在隨後的文章中看到,加密技術是在原型中經常使用的一種方法。

使用knockclient和knockdaemon
Portknocking.org公司已經用Perl語言實現了連接阜碰撞技術,現在可以從該公司的網站下載這個工具。文件portknocking-0.1.tgz中包含knockclient和knockdaemon兩個程序。該版本允許遠端用戶開啟連接阜0到255,並且自動使用Crypt::Blowfish執行加密工作。你只需要在遠端系統上使用必要的指令選項來使用knockclient程序即可。例如,要在遠端系統上開啟特定IP上的連接阜22,你可以使用這樣的指令:knockclient -client 192.168.0.1 -remote 10.1.42.1 -port 22 -time 0。

在這個例子中,我們要開啟IP位址為10.1.42.1的伺服器上的連接阜22,並且只允許IP位址為192.168.0.1d的主機與這個伺服器之間只能有一個連接。由於-time的標幟為0,因此我們要開啟的連接阜在開放時間上沒有限制。如果time的時間為255的話,那麼該指令就是要關閉這個連接阜。其他從1到254之間的time值表示連接阜開啟的時間(以分鍾計算)。在knockclient和knockdaemon之間的共享密碼用於加密碰撞序列,並且使得遠端主機和本機主機之間的訊息只有他們自己能夠理解。另外,在這種實現中,要使用遠端主機的連接阜745 到連接阜1000。伺服器的連接阜開啟之後,需要關閉遠端主機的這些連接阜,並且防火牆的日誌需要開啟。然後後台工作預設狀態下就會監聽這些連接阜的8個碰撞。Perl模式 File::Tail 用於檢測增加到防火牆日誌上的新的行訊息,並且knockdaemon將會分析這些行訊息。

雖然這僅僅是一個原型,但是卻執行的很好。很顯然,連接阜碰撞技術的核心是遠端主機發起的碰撞序列是否能夠開啟一個連接阜。寫出這樣的一個程序或者將其加入到當前可用的資源中是一件並不困難的事情,並且可以很容易的實現各個系統的設定。例如,如果訪問一個NATIP位址,你可以根據碰撞序列來組態原則,實現動態轉發對內部主機的SSH訪問。另外,根據你的組態,使用連接阜碰撞技術還可以實現制作備份或者執行其他的作業。

總結
連接阜碰撞技術對於增加一層看不見的認證來說還是非常有益處的。只有提供了正確的連接阜序號的用戶才可以有一次獲得可用服務如SSH等的機會。這使得伺服器可以具有從任意IP--如一個移動或者動態的IP--上接受連接的能力,並且可以新增一定的信任等級--這種信任關於遠端系統知道正確的碰撞序列。對於那些已經實現了比較好的安全性的伺服器來說,連接阜碰撞技術是一種最好的補充。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-02-13, 10:07 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

如何關閉連接阜防止病毒與黑客入侵
你的系統是不是XP SP1,但是安裝了2005瑞星殺毒軟體後總是提示系統有 MS-4011 Exploit 和Blaster Rpc Exploit 兩個漏洞……

  最直接的辦法,把系統不用的連接阜都關閉掉,然後從新啟動,如果瑞星還提示有漏洞攻擊,你沒法子了,注:關閉的連接阜有,135,137,138,139,445,1025,2475,3127,6129,3389,593,還有tcp.

  具體操作如下:預設情況下,Windows有很多連接阜是開放的,在你上網的時候,網路病毒和黑客可以通過這些連接阜連上你的電腦。

  為了讓你的系統變為銅牆鐵壁,應該封閉這些連接阜,主要有:TCP 135、139、445、593、1025 連接阜和 UDP 135、137、138、445 連接阜,一些流行病毒的後門連接阜(如 TCP 2745、3127、6129 連接阜),以及遠端服務訪問連接阜3389。下面介紹如何在WinXP/2000/2003下關閉這些網路連接阜:

  第一步,點擊「開始」功能表/設定/控制台/系統管理工具,雙按開啟「本機安全原則」,選「IP 安全原則,在本機電腦」,在右邊視窗的空白位置右擊滑鼠,彈出快捷功能表,選項「新增 IP 安全原則」,於是彈出一個嚮導。在嚮導中點擊「下一步」按鈕,為新的安全原則命名;再按「下一步」,則顯示「安全通信請求」畫面,在畫面上把「啟動預設相應規則」左邊的鉤去掉,點擊「完成」按鈕就新增了一個新的IP 安全原則。

  第二步,右擊該IP安全原則,在「內容」對話視窗中,把「使用增加嚮導」左邊的鉤去掉,然後按下「增加」按鈕增加新的規則,隨後彈出「新規則內容」對話視窗,在畫面上點擊「增加」按鈕,彈出IP篩選器列表視窗;在列表中,首先把「使用增加嚮導」左邊的鉤去掉,然後再點擊右邊的「增加」按鈕增加新的篩選器。

  第三步,進入「篩選器內容」對話視窗,首先看到的是尋址,源位址選「任何 IP 位址」,目標位址選「我的 IP 位址」;點擊「傳輸協定」選擇項,在「選項傳輸協定檔案類型」的下拉列表中選項「TCP」,然後在「到此連接阜」下的文本項中輸入「135」,點擊「確定」按鈕,這樣就增加了一個遮閉 TCP 135(RPC)連接阜的篩選器,它可以防止外界通過135連接阜連上你的電腦。

  點擊「確定」後回到篩選器列表的對話視窗,可以看到已經增加了一條原則,重複以上步驟繼續增加 TCP 137、139、445、593 連接阜和 UDP 135、139、445 連接阜,為它們建立相應的篩選器。

  重複以上步驟增加TCP 1025、2745、3127、6129、3389 連接阜的遮閉原則,建立好上述連接阜的篩選器,最後點擊「確定」按鈕。

  第四步,在「新規則內容」對話視窗中,選項「新 IP 篩選器列表」,然後點擊其左邊的圓圈上加一個點,表示已經啟動,最後點擊「篩選器操作」選擇項。在「篩選器操作」選擇項中,把「使用增加嚮導」左邊的鉤去掉,點擊「增加」按鈕,增加「阻止」操作:在「新篩選器操作內容」的「安全措施」選擇項中,選項「阻止」,然後點擊「確定」按鈕。

  第五步、進入「新規則內容」對話視窗,點擊「新篩選器操作」,其左邊的圓圈會加了一個點,表示已經啟動,點擊「關閉」按鈕,關閉對話視窗;最後回到「新IP安全原則內容」對話視窗,在「新的IP篩選器列表」左邊打鉤,按「確定」按鈕關閉對話視窗。在「本機安全原則」視窗,用滑鼠右擊新增加的 IP 安全原則,然後選項「指派」。

  於是重新啟動後,電腦中上述網路連接阜就被關閉了,病毒和黑客再也不能連上這些連接阜,從而保護了你的電腦。目前還沒聽說有修正檔下載。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 11:02 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1