<!DOCTYPE html PUBLIC "-//w3c//dtd html 4.0 transitional//en"><html><head>   <meta http-equiv="Content-Type" content="text/html; ">   <meta name="Author" content="VBird">   <meta name="GENERATOR" content="Mozilla/4.5 [zh-TW] (WinNT; I) [Netscape]">   <meta name="Description" content="認識 iptables 與 TCP_Wrappers 的概念！">   <title>鳥哥的 Linux 私房菜 -- Network Secure -- iptables and TCP_Wrappers</title><!-- saved from url=(0022)http://internet.e-mail --><style>   <!--   body{background-image=url(http://linux.vbird.org/VBirdLinux.jpg);background-ATTACHMENT=FIXED}   --></style></head><body nosave="" background="0240network-secure-1_files/VBirdLinux.jpg"><center><center><b><font size="+2" color="#3333ff"><font face="SimSun">鳥哥的</font><font face="Times New Roman,Times"> Linux </font><font face="SimSun">與</font><font face="Times New Roman,Times"> ADSL </font><font face="SimSun">私房菜</font></font></b><br><a href="http://linux.vbird.org/" target="_top"><img src="0240network-secure-1_files/VBirdTitle2.jpg" nosave="" border="0" height="25" width="90"></a><a href="http://linux.vbird.org/linux_basic"><img src="0240network-secure-1_files/icon_system.gif" nosave="" border="0" height="25" width="90"></a><a href="http://linux.vbird.org/linux_server"><img src="0240network-secure-1_files/icon_server.gif" nosave="" border="0" height="25" width="90"></a><a href="http://linux.vbird.org/linux_security"><img src="0240network-secure-1_files/icon_security.jpg" nosave="" border="0" height="25" width="90"></a><a href="http://phorum.vbird.org/" target="_blank"><img src="0240network-secure-1_files/icon_forums.gif" nosave="" border="0" height="25" width="90"></a><a href="http://linux.vbird.org/adsl"><img src="0240network-secure-1_files/icon_adsl.gif" nosave="" border="0" height="25" width="90"></a><br><hr width="100%"></center><font size="+2" color="#3333ff" face="SimSun"><a href="http://linux.vbird.org/linux_server/0240network-secure-1.php" target="_self">認識網絡安全</a></font></center><div align="right"><font size="-1" color="#3333ff" face="SimSun">最近更新日期：2003/08/23</font></div><font size="-2" color="#3333ff" face="SimSun">　</font><table bgcolor="#ffcccc" border="1" cols="1" width="100%"><tbody><tr><td><font size="-1" color="#000099">在介紹了『<a href="http://linux.vbird.org/linux_server/0110network_basic.php">網絡基礎</a>』、『<a href="http://linux.vbird.org/linux_server/0210port_limit.php">限制聯機port number </a>』、『<a href="http://linux.vbird.org/linux_server/0220upgrade.php">網絡升級套件</a>』之后，再來準備要上Internet 了嗎？！如果只是想要上 Internet 去瀏覽，那么自然沒有問題，如果是想要對Internet 開放網絡服務，那么最好還是先認識一下網絡安全會比較好一些。什么？套件也更新了，port 也關閉了，還需要認識什么網絡安全啊？！呵呵！當然啦！因為難保我們的主機不會被新的套件漏洞以及阻斷式攻擊(DoS)所困擾啊！在這個章節里面，我們會稍微介紹一些基礎的網絡防護觀念，尤其是系統管理員應該要做的事情吶！</font></td></tr></tbody></table><font size="-2" color="#000099">　</font><br><font color="#000099"><font size="+1"><a href="#TCP_IP">TCP/IP 封包進入主機的基本流程</a></font>：</font><br><font color="#000099">　　：<a href="#TCP_IP_TCP">認識 TCP/IP</a></font><br><font color="#000099">　　：<a href="#TCP_IP_fllow">TCP 進入本機簡易流程</a></font><br><font color="#000099"><font size="+1"><a href="#attack">一些常見的攻擊手法</a></font>：</font><br><font color="#000099"><font size="+1"><a href="#secure_basic">主機防護計劃</a></font>：</font><br><font color="#000099"><font size="+1"><a href="#admin">網管人員的技能</a></font>：</font><br><font color="#000099"><font size="+1"><a href="#repaire">被入侵后的修復工作</a></font>：</font><br><font color="#000099"><font size="+1"><a href="#review">重點回顧</a></font>：</font><br><font color="#000099"><font size="+1"><a href="#reference">參考數據</a></font>：</font><br><font color="#000099"><font size="+1"><a href="#ex">課后練習</a></font>：</font><br><hr width="100%"><a name="TCP_IP"></a><font size="+1" color="#000099">TCP/IP封包進入主機的基本流程：</font><ul>這一章的主要內容是在介紹網絡安全與基礎防護方面的觀念與建議，既然是與網絡安全有關，那么主要用在網絡傳輸時的TCP 封包就不能不知道咯。這里就要來討論一下，當有一個 TCP/IP 的封包要進入您的主機系統時，那個TCP 封包應該會經過哪些關卡呢！？知道這些關卡之后，才會知道有哪些入侵的管道呀！然后才能知道如何去防御他！OK！那么首先自然就要來了解一下，什么是TCP/IP 啰！<br>　<br><hr width="100%"><a name="TCP_IP_TCP"></a><font color="#000099">認識 TCP/IP：</font><br>　<br>由 <a href="http://linux.vbird.org/linux_server/0110network_basic.php">網絡基礎</a> 里頭我們可以知道目前的網絡聯機協議以<a href="http://linux.vbird.org/linux_server/0110network_basic.php#packet_tcp">TCP/IP</a>為主要的架構，而其中相當重要的則是 TCP 封包，詳細的 <a href="http://linux.vbird.org/linux_server/0110network_basic.php#packet_tcp">TCP封包</a>請再回到網絡基礎篇去看個仔細，我們這里再來簡單的復習一下：<br>　<ul><li><font color="#000066">主機的 IP 可以想成是地址；</font></li><li><font color="#000066">而主機啟動的 port 可以想成是窗口或樓層；</font></li><li><font color="#000066">至于在兩個 IP 之間傳送數據的 TCP 封包則可以被想成是包裹</font>。</li></ul>　<br>好了，既然 TCP 是個包裹，那么想當然爾，真正的數據是在包裹里面的 Messages/Data，但是由于要將包裹傳送到正確的地點去，所以就有個表頭 (Header)，亦即在包裹不是都需要有填寫數據的那一面嗎？在這一面上面必須要填寫正確的來源與目的之地址以及該地址的樓層，才能夠正確的將這個包裹傳送到正確的地方！當然啰，由于可能會收到回信，所以自然那個包裹上面，寄信的地址與樓層也需要填寫正確啰！^_^。所以呢，您可以簡單的將TCP 封包想成有兩個主要的部分，一個是放置資料的 Messages/Data ，另一個則是表頭(Header )數據填寫區，在這個 Header 區域中，有相當多的數據，您可以回到網絡基礎去瞧一瞧<a href="http://linux.vbird.org/linux_server/0110network_basic.php#packet_tcp">TCP封包的完整格式</a>，我們這里將 TCP 封包的 Header 簡化成為來源與目的之 IP及傳送的 port ！所以基本的 TCP 封包可以由下圖來表示啰：<br>　<center><img src="0240network-secure-1_files/0240network-secure-1.jpg" nosave="" height="184" width="153"></center>　<br>由上圖我們可以清楚的發現到，您的主機能不能接收這個 TCP 封包，就需要合乎TCP 封包的 IP 與 port 的規定啰！<br>　<br><hr width="100%"><a name="TCP_IP_fllow"></a><font color="#000099">簡易TCP 封包進入主機之流程：</font><br>　<br>好了，現在我們知道主機收不收的到數據跟 TCP 上面的表頭數據( Header )是有關系的！那么假如有個TCP 封包要進入到您的主機時，他會經過哪些步驟呢？基本上會有底下這些手續的啦：<br>　<center><img src="0240network-secure-1_files/0240network-secure-2.jpg" nosave="" height="88" width="467"><br><font color="#000066">圖一、TCP 封包進入本機要通過的管制步驟</font><br>&nbsp;</center><ol><li>首先， TCP 封包會先經過所謂的<font color="#000066">封包過濾機制 ( IP Filtering或稱為 NetFilter </font>)，這是 Linux 提供的第一層保護。IP Filter 可以將TCP 封包進行分析，并依據您所訂定的過濾規則來將該封包進行處理。舉例來說，我們知道TCP 封包的表頭有 Port 與 IP 的信息，假如您知道有個黑客網站，因為惡名昭彰所以您不想要允許該網站的任何數據進入到主機的話，可以透過設定IP Filter 的機制，命令 IP Filter 只要分析到 TCP 封包是來自該黑客網站的IP 時，就將該 TCP 封包丟棄 (Drop) ！這也是 Linux 本機的最外部的防火墻啰。任何TCP 封包要能進入到本機，就得先經過 IP Filter 這一關，如果能夠通過您所設定的機制之后，TCP封包就會進入到下一關；</li><br>　<li>通過 IP Filter 之后，TCP 封包會開始接受 Super daemons 及 TCP_Wrappers 的檢驗，那個是什么呢？呵呵！說穿了就是/etc/hosts.allow 與 /etc/hosts.deny 的設定文件功能啰。這個功能也是針對 TCP的 Header 進行再次的分析，同樣您可以設定一些機制來抵制某些 IP 或 Port ，好讓來源端的封包被丟棄或通過檢驗；</li><br>　<li>經過了上兩道基本的防火設施之后，再接下來則是每一項服務的個別設定功能！舉例來說，如果是以FTP 聯機的話，那么在 ftp 的設定檔案當中，可能會經由 PAM 模塊( 未來在網絡安全當中會提及)來抵擋特殊的users ，當然也會以特別的設定來抵擋某些 TCP 封包！另外，以 WWW 服務器的設定來看，在WWW 的設定檔 httpd.conf 里頭也有類似的 deny 功能呦！不過要注意的是，當TCP 到達這個步驟時，其實已經算是進入到本機的服務范圍內了，所以，<font color="#000066">要小心您的套件是否有漏洞啊</font>！</li><br>　<li>假使上面的幾道火墻都通過了，那么才能進入主機來登入！此時，一經登入就會被系統記錄在『登錄文件』當中，藉以了解主機的歷史歷程！</li></ol>　<br>注意一下，上面的步驟是 Linux 預設具有的防備功能，當然您還可以在 IPFilter 之前外加硬件防火墻設備！不過，在這里我們主要以 Linux 系統本身具有的功能來進行說明喔！好了，那么如何利用Linux 所提供的這些功能來防備我們的主機呢？您可以嘗試這樣做：<br>　<ul><li><font color="#000099">封包過濾( IP Filter )：</font></li><br>封包過濾是 Linux 提供的第一道防火墻呦！但是不同的核心版本會有不一樣的封包過濾機制！<font color="#000066">以2.2.xx 為核心的 Linux 主要以 ipchains 作為過濾機制，至于目前新版的 2.4.xx則以 iptables 為機制</font>！OK！既然我們的新版 Linux&#160; 為 kernel 2.4.xx，所以自然以 iptables 來進行 IP 抵擋的工作啦！那么由于 TCP 封包里頭有 IP及 port 嘛！所以要抵擋來源 IP 或者是自身的 port ，嘿嘿！自然就很容易來進行啦！您目前只要曉得，iptables 可以經由 TCP 的封包 Header 資料來進行分析的工作，并設定『特殊動作』，例如：符合我們iptables 的設定規則，就讓他可以經過防火墻，若是該 TCP 封包在我們的不歡迎IP 的行列，那就將他丟棄，他就沒有辦法進入 Linux 主機啦！<br>　<li><font color="#000099">Super daemons 與 TCP_Wrappers：</font></li><br>目前新推出的 Linux 所使用的 super daemons 是以 xinet 為主，至于抵擋封包的工作則可以讓TCP_Wrappers 來進行！Wrappers 是包裹的意思，那么 TCP_Wrappers 自然就是要對TCP 這個包裹進行解析的工具啦！嘿嘿！沒錯，他可以再次的分析 TCP 的封包啊！利用每個服務的特色，來將TCP 封包抵擋，這個 TCP_Wrappers 主要以『 服務 , services』為主的抵擋方針，例如FTP, Telnet, SSH 都可以經由他來進行 IP 分析的動作呦！<br>　<li><font color="#000099">服務過濾：</font></li><br>每個服務還有特別的自訂的防火機制，例如 Apache 這個 WWW 的套件里頭，就含有『deny from IP 』來抵擋某些不受歡迎的 IP 機制，而 ssh 也可以在設定檔里頭決定是否要開放root 的登入權限！FTP 當然也可以制定一些規則來擋掉不受歡迎的 IP 啦！不過，到這一步時，該封包已經進入主機的服務之內啰，是經由服務來關閉該IP 的聯機的呦！而由于某些服務天生就有些小漏洞，呵呵， Cracker 相當的容易利用這些漏洞來進行破壞的行為！<font color="#000066">由于該封包已經進入主機了，萬一服務真的有漏洞，那可就慘了</font>......所以，雖然我們可以利用每個服務器軟件來設定抵擋的功能，但是如果該服務器軟件本身就有漏洞的話，那么這一步就會行不通啰！<br>　<li><font color="#000099">登入主機：</font></li><br>上面提到的大多是在某些服務里頭來取用我們主機系統的資源，那么如果該封包是想要直接登入我們的主機呢(login )？這個時候就需要取得我們主機的『<font color="#000066">賬號與密碼,ID &amp; PasswdWord</font>』的權限啦！如果通過 <font color="#000066">ID&amp; pass word</font> 的驗證之后，就可以進入我們的主機啦！最常見的就是SSH 或者是 telnet 以及 FTP 等軟件了，這些軟件在 Client 端的封包數據經過上面數道手續而進入后，再來就會要求client 端的使用者輸入賬號與密碼，藉以分析對方的身份來開放權限給 Client的使用者登入。所以啦，在這個手續里面，最重要的就是密碼啦！如果您的密碼設定的太簡單，或者是為了方便您的使用者，而讓他們可以將密碼設定的相當的簡易，例如密碼設定為123 之類的，那么您的系統的密碼就很容易被猜出來！很危險吶！<br>　<li><font color="#000099">登錄文件記錄：</font></li><br>『為了防止世界的破壞.....』喔！不！那個是皮卡丘的里頭壞人的臺詞....這里要談的是，『為了防止主機的破壞....可愛又迷人的角色...』那就是<font color="#000066">登錄檔</font>啦！為了記錄歷史歷程，以方便管理者在未來的錯誤查詢與入侵偵測，<font color="#000066">良好的分析登錄檔</font>的習慣是一定要建立的，尤其是<b><font color="#000066">/var/log/messages</font></b>與 <b><font color="#000066">/var/log/secure</font></b> 這些個檔案！雖然各大主要Linux distribution 大多有推出適合他們自己的登錄檔分析套件，例如 Red hat