实战：使用IPSec保护服务器安全

使用IPSec保护服务器安全

不管是在Windows XP上启用防火墙还是Windows Server上配置TCP/IP筛选，都不能严格控制出去的流量。因此如果你的服务器中了木马程序（比如中了灰鸽子木马程序），该程序会主动连接入侵者建立会话，入侵者就能监控和控制你的服务器了。

最大化配置服务器网络安全，你可以严格控制进出服务器的流量，比如你的服务器是Web服务器，你可以配置只允许TCP目标端口80的数据包进入服务器，TCP源端口为80的数据包离开服务器。这样即便你的服务器中了灰鸽子木马程序，也不能主动连接入侵者。这种控制方式可以通过配置服务器IPSec来实现，Windows XP，Windows Server 2003和Windows Server 2008都支持IPSec。

下面就以通过IPSec配置Web服务器安全，防止灰鸽子木马程序为例。演示入侵者制作木马程序，在Server上启用Windows防火墙，安装木马程序，在入侵者远程控制服务器。配置IPSec，如图2-143所示，只允许TCP的目标端口为80数据包进入服务器，只允许TCP的源端口为80的数据包离开服务器。验证木马程序不能连接入侵者。

入侵者的IP地址为192.168.1.121，服务器Server的IP地址为192.168.1.200。

1．制作木马程序

灰鸽子木马程序，可以在http://down.51cto.com/搜索“灰鸽子”，可以找到并下载。

中了灰鸽子木马程序，会主动连接到入侵者，入侵者就可以远程监控和操控中了木马的服务器。这就要求木马程序能够连接到入侵者，因此生成的木马程序必须指定入侵者的IP地址。

（1）如图2-144所示，在入侵者的计算机上安装并运行灰鸽子木马程序，单击“配置服务程序”按钮，提示：木马程序在中了招的计算机上是以服务的方式存在的。

（2）如图2-145所示，在出现的“服务器配置”对话框的“自动上线设置”中输入入侵者的IP地址。

▲图2-144 运行灰鸽子木马程序 ▲图2-145 “服务器配置”对话框

（3）如图2-146所示，在“安装选项”选项卡中，选中“安装成功后自动删除安装文件”复选框。木马程序一般都是在后台偷偷运行的，取消选中“程序安装成功后提示安装成功”和“程序运行时在任务栏显示图标”复选框。

（4）如图2-147所示，在“启动设置”选项卡中，选中“Win2000/XP下优先安装成服务启动”复选框，然后单击“生成服务器”按钮，这样就制作好了木马程序。

▲图2-146 “安装选项”选项卡 ▲图2-147 “服务器配置”对话框

（5）如图2-148所示，可以看到生成的木马程序“Server.exe”。

（6）如图2-149所示，将有木马程序的文件夹共享。以方便Server访问，模拟中木马的过程。

▲图2-148 生成的木马程序 ▲图2-149 共享存放木马的文件夹

2．中木马的过程

（1）如图2-150所示，在Server上，打开“本地连接 属性”对话框，单击“设置”按钮，在出现的“Windows防火墙”提示对话框中，单击“是”按钮，启用Windows防火墙服务。

（2）如图2-151所示，在出现的“Windows防火墙”对话框的“常规”选项卡中，选中“启用”单选按钮和“不允许例外”复选框。

▲图2-150 “本地连接 属性”对话框 ▲图2-151 “Windows防火墙”对话框

（3）如图2-152所示，可以看到本地连接启用了Windows防火墙的图标，加了一把锁。

（4）如图2-153所示，在Server上访问入侵者的共享文件夹，将木马程序拷贝到桌面，双击，安装木马程序。

▲图2-152 启用Windows防火墙 ▲图2-153 将木马拷贝到本地并安装

3．远程监控和控制

（1）如图2-154所示，在入侵者计算机上，可以看到中了木马的计算机自动上线，选中上线的服务器，单击“捕获屏幕”按钮。可以远程监控Server桌面。

（2）如图2-155所示，单击图中框起的鼠标和键盘图标，还可以控制远程计算机。

▲图2-154 捕获屏幕 ▲图2-155 远程控制

（3）如图2-156所示，在Server上的命令提示符下输入netstat –n，可以看到木马建立的会话。

（4）如图2-157所示，在Server上，运行msconfig，打开“系统配置实用程序”对话框，选中“隐藏所有Microsoft服务”复选框，可以看到灰鸽子木马安装的服务。

▲图2-156 灰鸽子建立的会话 ▲图2-157 安装的灰鸽子木马

4．配置IPSec保护Web服务器

（1）如图2-158所示，在Server上禁用Windows防火墙。现在使用IPSec严格控制出入流量。

（2）如图2-159所示，选择“开始”→“程序”→“管理工具”→“本地安全策略”命令。

▲图2-158 关闭Windows防火墙 ▲图2-159 选择“本地安全策略”命令

（3）如图2-160所示，在打开的“本地安全设置”窗口中，右击“IP安全策略，在本地计算机”节点，在弹出的快捷菜单中选择“创建IP安全策略”命令。

（4）在出现的“欢迎使用IP安全策略向导”对话框中，单击“下一步”按钮。

（5）如图2-161所示，在出现的“IP安全策略名称”设置界面中，输入名称和描述信息，单击“下一步”按钮。

▲图2-160 “本地安全设置”窗口 ▲图2-161 “IP安全策略名称”设置界面

（6）如图2-162所示，在出现的“安全通讯请求”设置界面中，取消选中“激活默认响应规则”复选框，单击“下一步”按钮。

（7）如图2-163所示，在出现的“正在完成IP安全策略向导”设置界面中，单击“完成”按钮。

▲图2-162 “安全通讯请求”设置界面 ▲图2-163 “正在完成IP安全策略向导”设置界面

（8）如图2-164所示，在出现的“WebServerIPSec属性”对话框中，取消选中“使用‘添加向导’”复选框，单击“添加”按钮。

（9）如图2-165所示，在出现的“新规则 属性”对话框中，选中“所有IP通讯”单选按钮，单击“筛选器操作”标签。

▲图2-164 “WebServerIPSec属性”对话框 ▲图2-165 “新规则 属性”对话框

（10）如图2-166所示，在“筛选器操作”选项卡中，没有拒绝的动作，取消选中“使用‘添加向导’”复选框，单击“添加”按钮。

（11）如图2-167所示，在出现的“新筛选器操作 属性”对话框的“安全措施”选项卡中，选中“阻止”单选按钮，单击“常规”标签。

▲图2-166 添加筛选器的操作 ▲图2-167 选择阻止

（12）如图2-168所示，在“常规”选项卡中，输入名称，单击“确定”按钮。

（13）如图2-169所示，在“新规则 属性”对话框中，选择刚刚创建的操作“拒绝通信”，单击“应用”按钮。

▲图2-168 指定操作名称 ▲图2-169 选择操作

（14）如图2-170所示，单击“确定”按钮。

（15）如图2-171所示，这样就添加了拒绝所有通信，相当于拔了网线。然后添加规则允许访问Web站点的流量出入。

▲图2-170 完成添加规则 ▲图2-171 添加允许访问Web服务的规则

（16）如图2-172所示，在“新规则 属性”对话框中，单击“添加”按钮。

（17）如图2-173所示，在出现的“IP筛选器列表”对话框中，输入规则名称，取消选中“使用添加向导”复选框，单击“添加”按钮。

▲图2-172 添加筛选器列表 ▲图2-173 添加筛选器

（18）如图2-174所示，在出现的“IP筛选器 属性”对话框中，可以看到源地址和目标地址，一定要选中“镜像，与源地址和目标地址正好相反的数据包相匹配”复选框。

（19）如图2-175所示，在“协议”选项卡中，协议选择TCP，“设置IP协议端口”选项组中，选中“从此端口”和“到任意端口”单选按钮，单击“确定”按钮。

▲图2-174 配置筛选器 ▲图2-175 指定协议和端口

（20）如图2-176所示，单击“确定”按钮。当然，如果还希望别人访问FTP站点，你还可以继续单击“添加”按钮，添加相应的筛选器。筛选器列表中可以包括多个筛选器。

（21）如图2-177所示，在“新规则 属性”对话框中，选中“允许访问Web服务”单选按钮，单击“筛选器操作”标签。

▲图2-176 完成筛选器列表 ▲图2-177 选择筛选器规则

（22）如图2-178所示，在“筛选器操作”选项卡中，选中“许可”单选按钮，单击“应用”按钮。

（23）如图2-179所示，单击“确定”按钮。

▲图2-178 “筛选器操作”选项卡 ▲图2-179 单击“确定”按钮

（24）如图2-180所示，到目前为止已经创建了两个规则，一个是拒绝所有通信，一个是允许访问Web服务器的流量，多个规则以最佳匹配为准。也就意味着不是访问Web站点的流量就应用所有IP通信的规则。

（25）如图2-181所示，右击刚才创建的WebServerIPSec策略，在弹出的快捷菜单中选择“指派”命令，该策略生效。

▲图2-180 创建的两个规则 ▲图2-181 指派IP策略

（26）如图2-182所示，在Server上运行netstat –n命令，可以看到木马程序不能和入侵者的计算机建立会话，这样木马就成了“卧槽马”，不会为你的Server造成多大危害。

（27）如图2-182所示，ping 入侵者的IP地址，出现Destination host unreachable。因为IPSec没有允许此类通信出入。

（28）如图2-183所示，在入侵者计算机上，你也看不到自动上线的主机，就没办法监控和控制中了木马的服务器。

▲图2-182 查看会话测试网络 ▲图2-183 灰鸽子不能上线了

（29）如图2-184所示，可以看到，在入侵者计算机访问Server的Web站点还是可以的。

▲图2-184 能够访问Web站点

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1135840，如需转载请自行联系原作者