Ajar anda cara menggunakan tembok api Linux untuk mengasingkan alamat palsu tempatan!

Cara menggunakan firewall iptables untuk melindungi rangkaian anda daripada penggodam.

Walaupun dalam rangkaian jauh yang dilindungi oleh sistem pengesanan pencerobohan dan pengasingan, penggodam masih mencari pelbagai cara canggih untuk menceroboh. IDS/IPS tidak boleh menghentikan atau mengurangkan serangan oleh penggodam yang ingin mengambil alih kawalan rangkaian anda. Konfigurasi yang tidak betul membolehkan penyerang memintas semua langkah keselamatan yang digunakan.

Dalam artikel ini, saya akan menerangkan cara jurutera keselamatan atau pentadbir sistem boleh mengelakkan serangan ini.

Hampir semua pengedaran Linux disertakan dengan tembok api terbina dalam untuk melindungi proses dan aplikasi yang dijalankan pada hos Linux. Kebanyakan tembok api direka bentuk sebagai penyelesaian IDS/IPS Tujuan utama reka bentuk sedemikian adalah untuk mengesan dan menghalang paket berniat jahat daripada mendapat kemasukan ke dalam rangkaian.

Tembok api Linux biasanya mempunyai dua antara muka: program iptables dan ipchains (terjemahan LCTT: pada sistem yang menyokong systemd, firewalld antara muka yang lebih baharu digunakan). Kebanyakan orang merujuk kepada antara muka ini sebagai iptables firewall atau ipchains firewall. Kedua-dua antara muka direka sebagai penapis paket. iptables ialah tembok api stateful yang membuat keputusan berdasarkan paket sebelumnya. ipchains tidak membuat keputusan berdasarkan paket sebelumnya, ia direka untuk menjadi tembok api tanpa negara.

Dalam artikel ini, kami akan menumpukan pada firewall iptables yang muncul selepas kernel 2.4.

Dengan firewall iptables, anda boleh membuat dasar atau set peraturan tertib yang memberitahu kernel cara merawat paket tertentu. Dalam kernel adalah rangka kerja Netfilter. Netfilter ialah kedua-dua rangka kerja dan nama projek tembok api iptables. Sebagai rangka kerja, Netfilter membenarkan cangkuk iptables direka bentuk untuk memanipulasi fungsi paket. Secara ringkasnya, iptables bergantung pada rangka kerja Netfilter untuk membina fungsi seperti menapis data paket.

Setiap peraturan iptables digunakan pada rantai dalam jadual. Rantaian iptables ialah satu set peraturan yang membandingkan pakej untuk ciri yang serupa. Jadual (seperti nat atau mangle) menerangkan direktori fungsi yang berbeza. Sebagai contoh, jadual mangle digunakan untuk mengubah suai data pakej. Oleh itu, peraturan khusus untuk mengubah suai data paket digunakan di sini dan peraturan penapisan digunakan pada jadual penapis kerana jadual penapis menapis data paket.

Peraturan iptables mempunyai set padanan dan sasaran seperti Drop atau Deny, yang memberitahu iptables perkara yang perlu dilakukan dengan paket untuk mematuhi peraturan. Oleh itu, tanpa sasaran dan set padanan, iptables tidak dapat memproses paket dengan cekap. Jika paket sepadan dengan peraturan, sasaran menunjukkan tindakan tertentu yang akan diambil. Sebaliknya, untuk membolehkan iptables memprosesnya, setiap paket mesti sepadan sebelum ia boleh diproses.

Sekarang kita tahu cara tembok api iptables berfungsi, mari lihat cara menggunakan tembok api iptables untuk mengesan dan menolak atau menggugurkan alamat palsu.

Hidupkan pengesahan alamat sumber

Sebagai jurutera keselamatan, apabila berurusan dengan alamat palsu jauh, langkah pertama yang saya ambil ialah menghidupkan pengesahan alamat sumber dalam kernel.

Pengesahan alamat sumber ialah ciri peringkat kernel yang menggugurkan paket yang berpura-pura datang dari rangkaian anda. Ciri ini menggunakan kaedah penapis laluan terbalik untuk menyemak sama ada alamat sumber paket yang diterima boleh dicapai melalui antara muka yang paket tiba. (Anotasi terjemahan LCTT: Alamat sumber paket yang tiba harus boleh dicapai dalam arah songsang daripada antara muka rangkaian yang digunakannya. Kesan ini boleh dicapai dengan hanya membalikkan alamat sumber dan alamat destinasi)

Gunakan skrip mudah berikut untuk menghidupkan pengesahan alamat sumber tanpa operasi manual:

#!/bin/sh 
#作者: Michael K Aboagye 
#程序目标: 打开反向路径过滤 
#日期: 7/02/18 
#在屏幕上显示 “enabling source address verification” 
echo -n "Enabling source address verification…" 
#将值0覆盖为1来打开源地址验证 
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter 
echo "completed" 

Apabila skrip di atas dilaksanakan, ia hanya memaparkan mesej Mendayakan pengesahan alamat sumber dan tidak membalut baris. Nilai penapisan laluan songsang lalai ialah 0, yang bermaksud tiada pengesahan sumber. Oleh itu, baris kedua hanya mengatasi nilai lalai 0 hingga 1. 1 bermakna kernel akan mengesahkan alamat sumber dengan mengesahkan laluan terbalik.

Akhir sekali, anda boleh menggunakan arahan berikut untuk menggugurkan atau menolak alamat palsu daripada hos jauh dengan memilih salah satu sasaran DROP atau REJECT. Walau bagaimanapun, atas sebab keselamatan, saya mengesyorkan menggunakan sasaran DROP.

Ganti pemegang tempat alamat IP dengan alamat IP anda sendiri seperti di bawah. Selain itu, anda mesti memilih untuk menggunakan sama ada REJECT atau DROP, bukan kedua-duanya pada masa yang sama.

iptables -A INPUT -i internal_interface -s IP_address -j REJECT / DROP   
iptables -A INPUT -i internal_interface -s 192.168.0.0/16  -j REJECT / DROP

Artikel ini hanya memberikan pengetahuan asas tentang cara menggunakan firewall iptables untuk mengelakkan serangan spoofing jauh.

Atas ialah kandungan terperinci Ajar anda cara menggunakan tembok api Linux untuk mengasingkan alamat palsu tempatan!. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!