实战:使用IPSec保护服务器安全

简介:

使用IPSec保护服务器安全

不管是在Windows XP上启用防火墙还是Windows Server上配置TCP/IP筛选,都不能严格控制出去的流量。因此如果你的服务器中了木马程序(比如中了灰鸽子木马程序),该程序会主动连接入侵者建立会话,入侵者就能监控和控制你的服务器了。

clip_image002

最大化配置服务器网络安全,你可以严格控制进出服务器的流量,比如你的服务器是Web服务器,你可以配置只允许TCP目标端口80的数据包进入服务器,TCP源端口为80的数据包离开服务器。这样即便你的服务器中了灰鸽子木马程序,也不能主动连接入侵者。这种控制方式可以通过配置服务器IPSec来实现,Windows XP,Windows Server 2003和Windows Server 2008都支持IPSec。

下面就以通过IPSec配置Web服务器安全,防止灰鸽子木马程序为例。演示入侵者制作木马程序,在Server上启用Windows防火墙,安装木马程序,在入侵者远程控制服务器。配置IPSec,如图2-143所示,只允许TCP的目标端口为80数据包进入服务器,只允许TCP的源端口为80的数据包离开服务器。验证木马程序不能连接入侵者。

入侵者的IP地址为192.168.1.121,服务器Server的IP地址为192.168.1.200。

1.制作木马程序

灰鸽子木马程序,可以在http://down.51cto.com/搜索“灰鸽子”,可以找到并下载。

中了灰鸽子木马程序,会主动连接到入侵者,入侵者就可以远程监控和操控中了木马的服务器。这就要求木马程序能够连接到入侵者,因此生成的木马程序必须指定入侵者的IP地址。

(1)如图2-144所示,在入侵者的计算机上安装并运行灰鸽子木马程序,单击“配置服务程序”按钮,提示:木马程序在中了招的计算机上是以服务的方式存在的。

(2)如图2-145所示,在出现的“服务器配置”对话框的“自动上线设置”中输入入侵者的IP地址。

clip_image003 clip_image004

▲图2-144 运行灰鸽子木马程序 ▲图2-145 “服务器配置”对话框

(3)如图2-146所示,在“安装选项”选项卡中,选中“安装成功后自动删除安装文件”复选框。木马程序一般都是在后台偷偷运行的,取消选中“程序安装成功后提示安装成功”和“程序运行时在任务栏显示图标”复选框。

(4)如图2-147所示,在“启动设置”选项卡中,选中“Win2000/XP下优先安装成服务启动”复选框,然后单击“生成服务器”按钮,这样就制作好了木马程序。

clip_image005 clip_image006

▲图2-146 “安装选项”选项卡 ▲图2-147 “服务器配置”对话框

(5)如图2-148所示,可以看到生成的木马程序“Server.exe”。

(6)如图2-149所示,将有木马程序的文件夹共享。以方便Server访问,模拟中木马的过程。

clip_image007 clip_image008

▲图2-148 生成的木马程序 ▲图2-149 共享存放木马的文件夹

2.中木马的过程

(1)如图2-150所示,在Server上,打开“本地连接 属性”对话框,单击“设置”按钮,在出现的“Windows防火墙”提示对话框中,单击“是”按钮,启用Windows防火墙服务。

(2)如图2-151所示,在出现的“Windows防火墙”对话框的“常规”选项卡中,选中“启用”单选按钮和“不允许例外”复选框。

clip_image009 clip_image010

▲图2-150 “本地连接 属性”对话框 ▲图2-151 “Windows防火墙”对话框

(3)如图2-152所示,可以看到本地连接启用了Windows防火墙的图标,加了一把锁。

(4)如图2-153所示,在Server上访问入侵者的共享文件夹,将木马程序拷贝到桌面,双击,安装木马程序。

clip_image011 clip_image012

▲图2-152 启用Windows防火墙 ▲图2-153 将木马拷贝到本地并安装

3.远程监控和控制

(1)如图2-154所示,在入侵者计算机上,可以看到中了木马的计算机自动上线,选中上线的服务器,单击“捕获屏幕”按钮。可以远程监控Server桌面。

(2)如图2-155所示,单击图中框起的鼠标和键盘图标,还可以控制远程计算机。

clip_image013 clip_image014

▲图2-154 捕获屏幕 ▲图2-155 远程控制

(3)如图2-156所示,在Server上的命令提示符下输入netstat –n,可以看到木马建立的会话。

(4)如图2-157所示,在Server上,运行msconfig,打开“系统配置实用程序”对话框,选中“隐藏所有Microsoft服务”复选框,可以看到灰鸽子木马安装的服务。

clip_image015 clip_image016

▲图2-156 灰鸽子建立的会话 ▲图2-157 安装的灰鸽子木马

4.配置IPSec保护Web服务器

(1)如图2-158所示,在Server上禁用Windows防火墙。现在使用IPSec严格控制出入流量。

(2)如图2-159所示,选择“开始”→“程序”→“管理工具”→“本地安全策略”命令。

clip_image017 clip_image018

▲图2-158 关闭Windows防火墙 ▲图2-159 选择“本地安全策略”命令

(3)如图2-160所示,在打开的“本地安全设置”窗口中,右击“IP安全策略,在本地计算机”节点,在弹出的快捷菜单中选择“创建IP安全策略”命令。

(4)在出现的“欢迎使用IP安全策略向导”对话框中,单击“下一步”按钮。

(5)如图2-161所示,在出现的“IP安全策略名称”设置界面中,输入名称和描述信息,单击“下一步”按钮。

clip_image019 clip_image020

▲图2-160 “本地安全设置”窗口 ▲图2-161 “IP安全策略名称”设置界面

(6)如图2-162所示,在出现的“安全通讯请求”设置界面中,取消选中“激活默认响应规则”复选框,单击“下一步”按钮。

(7)如图2-163所示,在出现的“正在完成IP安全策略向导”设置界面中,单击“完成”按钮。

clip_image021 clip_image022

▲图2-162 “安全通讯请求”设置界面 ▲图2-163 “正在完成IP安全策略向导”设置界面

(8)如图2-164所示,在出现的“WebServerIPSec属性”对话框中,取消选中“使用‘添加向导’”复选框,单击“添加”按钮。

(9)如图2-165所示,在出现的“新规则 属性”对话框中,选中“所有IP通讯”单选按钮,单击“筛选器操作”标签。

clip_image023 clip_image024

▲图2-164 “WebServerIPSec属性”对话框 ▲图2-165 “新规则 属性”对话框

(10)如图2-166所示,在“筛选器操作”选项卡中,没有拒绝的动作,取消选中“使用‘添加向导’”复选框,单击“添加”按钮。

(11)如图2-167所示,在出现的“新筛选器操作 属性”对话框的“安全措施”选项卡中,选中“阻止”单选按钮,单击“常规”标签。

clip_image025 clip_image026

▲图2-166 添加筛选器的操作 ▲图2-167 选择阻止

(12)如图2-168所示,在“常规”选项卡中,输入名称,单击“确定”按钮。

(13)如图2-169所示,在“新规则 属性”对话框中,选择刚刚创建的操作“拒绝通信”,单击“应用”按钮。

clip_image027 clip_image028

▲图2-168 指定操作名称 ▲图2-169 选择操作

(14)如图2-170所示,单击“确定”按钮。

(15)如图2-171所示,这样就添加了拒绝所有通信,相当于拔了网线。然后添加规则允许访问Web站点的流量出入。

clip_image029 clip_image030

▲图2-170 完成添加规则 ▲图2-171 添加允许访问Web服务的规则

(16)如图2-172所示,在“新规则 属性”对话框中,单击“添加”按钮。

(17)如图2-173所示,在出现的“IP筛选器列表”对话框中,输入规则名称,取消选中“使用添加向导”复选框,单击“添加”按钮。

clip_image031 clip_image032

▲图2-172 添加筛选器列表 ▲图2-173 添加筛选器

(18)如图2-174所示,在出现的“IP筛选器 属性”对话框中,可以看到源地址和目标地址,一定要选中“镜像,与源地址和目标地址正好相反的数据包相匹配”复选框。

(19)如图2-175所示,在“协议”选项卡中,协议选择TCP,“设置IP协议端口”选项组中,选中“从此端口”和“到任意端口”单选按钮,单击“确定”按钮。

clip_image033 clip_image034

▲图2-174 配置筛选器 ▲图2-175 指定协议和端口

(20)如图2-176所示,单击“确定”按钮。当然,如果还希望别人访问FTP站点,你还可以继续单击“添加”按钮,添加相应的筛选器。筛选器列表中可以包括多个筛选器。

(21)如图2-177所示,在“新规则 属性”对话框中,选中“允许访问Web服务”单选按钮,单击“筛选器操作”标签。

clip_image035 clip_image036

▲图2-176 完成筛选器列表 ▲图2-177 选择筛选器规则

(22)如图2-178所示,在“筛选器操作”选项卡中,选中“许可”单选按钮,单击“应用”按钮。

(23)如图2-179所示,单击“确定”按钮。

clip_image037 clip_image038

▲图2-178 “筛选器操作”选项卡 ▲图2-179 单击“确定”按钮

(24)如图2-180所示,到目前为止已经创建了两个规则,一个是拒绝所有通信,一个是允许访问Web服务器的流量,多个规则以最佳匹配为准。也就意味着不是访问Web站点的流量就应用所有IP通信的规则。

(25)如图2-181所示,右击刚才创建的WebServerIPSec策略,在弹出的快捷菜单中选择“指派”命令,该策略生效。

clip_image039 clip_image040

▲图2-180 创建的两个规则 ▲图2-181 指派IP策略

(26)如图2-182所示,在Server上运行netstat –n命令,可以看到木马程序不能和入侵者的计算机建立会话,这样木马就成了“卧槽马”,不会为你的Server造成多大危害。

(27)如图2-182所示,ping 入侵者的IP地址,出现Destination host unreachable。因为IPSec没有允许此类通信出入。

(28)如图2-183所示,在入侵者计算机上,你也看不到自动上线的主机,就没办法监控和控制中了木马的服务器。

clip_image041 clip_image042

▲图2-182 查看会话测试网络 ▲图2-183 灰鸽子不能上线了

(29)如图2-184所示,可以看到,在入侵者计算机访问Server的Web站点还是可以的。

clip_image043

▲图2-184 能够访问Web站点

结论

Windows防火墙能够禁止主动入侵,但是对木马没有防护作用。Windows的TCP/IP筛选和Windows防火墙类似,能够禁止主动入侵,但是对木马没有防护作用。要想使用严格控制出入服务器的流量策略,可以使用IPSec实现。


本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1135840,如需转载请自行联系原作者

相关文章
|
30天前
Netty实战: HTTP文件列表服务器
Netty实战: HTTP文件列表服务器
26 0
|
7月前
|
存储 缓存 安全
高并发内存池实战:用C++构建高性能服务器(下)
高并发内存池实战:用C++构建高性能服务器
高并发内存池实战:用C++构建高性能服务器(下)
|
8月前
|
Linux
生产环境Linux服务器磁盘分区、无损扩容根分区以及挂载磁盘到目录实战
生产环境Linux服务器磁盘分区、无损扩容根分区以及挂载磁盘到目录实战
269 0
|
8月前
|
人工智能 机器人 网络架构
企业实战(1) 服务器断电重启业务异常随笔
企业实战(1) 服务器断电重启业务异常随笔
|
9月前
|
安全 Windows
一次简单的服务器 cpu 占用率高的快速排查实战
一次简单的服务器 cpu 占用率高的快速排查实战
|
7天前
|
缓存 JavaScript 前端开发
Nuxt.js实战:Vue.js的服务器端渲染框架
Nuxt.js提供了开发、构建和部署的完整工作流。使用nuxt命令启动开发服务器,nuxt build进行生产构建,nuxt start启动生产服务器
16 0
|
20天前
|
弹性计算 监控 数据库
【阿里云弹性计算】企业级应用上云实战:基于阿里云 ECS 的 ERP 系统迁移案例
【5月更文挑战第25天】制造企业将面临资源不足、维护成本高和数据安全问题的ERP系统迁移到阿里云ECS,实现业务上云。通过数据迁移、应用部署、网络配置和性能优化等步骤,企业享受到弹性计算资源、高可靠性和数据安全优势,降低维护成本。阿里云提供24小时支持,助力企业数字化转型。此案例展示企业级应用上云的可行性,鼓励更多企业借助云计算实现创新发展。
36 0
|
21天前
|
弹性计算 缓存 负载均衡
【阿里云弹性计算】游戏服务器部署实战:利用阿里云ECS打造低延迟游戏环境
【5月更文挑战第24天】使用阿里云ECS打造低延迟游戏环境的实战指南,包括选择高性能处理器和SSD存储的实例,规划架构,选择近玩家的地域和可用区,部署软件,优化性能及监控。通过负载均衡、自动扩展和数据缓存提升体验,同时关注数据安全与网络安全。
198 4
|
23天前
|
弹性计算 监控 负载均衡
【阿里云弹性计算】ECS实例迁移实战:无缝迁移到阿里云的步骤与技巧
【5月更文挑战第22天】阿里云ECS实例迁移实战详解,涵盖无缝迁移步骤与技巧:选择合适迁移方案,如VPC或使用阿里云工具;创建目标环境,数据迁移及配置同步;测试验证功能正常,流量切换;选择低峰期,保证数据一致,实时监控,提升迁移成功率。本文为云平台迁移提供实用指南。
60 2
|
24天前
|
存储 弹性计算 监控
【阿里云弹性计算】成本优化实战:利用阿里云 ECS 抢占式实例节省云支出
【5月更文挑战第21天】阿里云ECS的抢占式实例提供了一种成本优化策略,适合对中断容忍度较高的业务。通过创建和管理抢占式实例,结合API查询价格信息,企业能节省大量成本。使用时注意业务容错性,设置监控系统应对中断,结合其他成本优化措施,如存储类型选择和网络配置优化。确保业务可恢复性,关注阿里云政策,并根据业务变化调整策略,以实现成本与效益的最佳平衡。
64 3