使用IPSec保护服务器安全
不管是在Windows XP上启用防火墙还是Windows Server上配置TCP/IP筛选,都不能严格控制出去的流量。因此如果你的服务器中了木马程序(比如中了灰鸽子木马程序),该程序会主动连接入侵者建立会话,入侵者就能监控和控制你的服务器了。
最大化配置服务器网络安全,你可以严格控制进出服务器的流量,比如你的服务器是Web服务器,你可以配置只允许TCP目标端口80的数据包进入服务器,TCP源端口为80的数据包离开服务器。这样即便你的服务器中了灰鸽子木马程序,也不能主动连接入侵者。这种控制方式可以通过配置服务器IPSec来实现,Windows XP,Windows Server 2003和Windows Server 2008都支持IPSec。
下面就以通过IPSec配置Web服务器安全,防止灰鸽子木马程序为例。演示入侵者制作木马程序,在Server上启用Windows防火墙,安装木马程序,在入侵者远程控制服务器。配置IPSec,如图2-143所示,只允许TCP的目标端口为80数据包进入服务器,只允许TCP的源端口为80的数据包离开服务器。验证木马程序不能连接入侵者。
入侵者的IP地址为192.168.1.121,服务器Server的IP地址为192.168.1.200。
1.制作木马程序
灰鸽子木马程序,可以在http://down.51cto.com/搜索“灰鸽子”,可以找到并下载。
中了灰鸽子木马程序,会主动连接到入侵者,入侵者就可以远程监控和操控中了木马的服务器。这就要求木马程序能够连接到入侵者,因此生成的木马程序必须指定入侵者的IP地址。
(1)如图2-144所示,在入侵者的计算机上安装并运行灰鸽子木马程序,单击“配置服务程序”按钮,提示:木马程序在中了招的计算机上是以服务的方式存在的。
(2)如图2-145所示,在出现的“服务器配置”对话框的“自动上线设置”中输入入侵者的IP地址。
▲图2-144 运行灰鸽子木马程序 ▲图2-145 “服务器配置”对话框
(3)如图2-146所示,在“安装选项”选项卡中,选中“安装成功后自动删除安装文件”复选框。木马程序一般都是在后台偷偷运行的,取消选中“程序安装成功后提示安装成功”和“程序运行时在任务栏显示图标”复选框。
(4)如图2-147所示,在“启动设置”选项卡中,选中“Win2000/XP下优先安装成服务启动”复选框,然后单击“生成服务器”按钮,这样就制作好了木马程序。
▲图2-146 “安装选项”选项卡 ▲图2-147 “服务器配置”对话框
(5)如图2-148所示,可以看到生成的木马程序“Server.exe”。
(6)如图2-149所示,将有木马程序的文件夹共享。以方便Server访问,模拟中木马的过程。
▲图2-148 生成的木马程序 ▲图2-149 共享存放木马的文件夹
2.中木马的过程
(1)如图2-150所示,在Server上,打开“本地连接 属性”对话框,单击“设置”按钮,在出现的“Windows防火墙”提示对话框中,单击“是”按钮,启用Windows防火墙服务。
(2)如图2-151所示,在出现的“Windows防火墙”对话框的“常规”选项卡中,选中“启用”单选按钮和“不允许例外”复选框。
▲图2-150 “本地连接 属性”对话框 ▲图2-151 “Windows防火墙”对话框
(3)如图2-152所示,可以看到本地连接启用了Windows防火墙的图标,加了一把锁。
(4)如图2-153所示,在Server*问入侵者的共享文件夹,将木马程序拷贝到桌面,双击,安装木马程序。
▲图2-152 启用Windows防火墙 ▲图2-153 将木马拷贝到本地并安装
3.远程监控和控制
(1)如图2-154所示,在入侵者计算机上,可以看到中了木马的计算机自动上线,选中上线的服务器,单击“捕获屏幕”按钮。可以远程监控Server桌面。
(2)如图2-155所示,单击图中框起的鼠标和键盘图标,还可以控制远程计算机。
▲图2-154 捕获屏幕 ▲图2-155 远程控制
(3)如图2-156所示,在Server上的命令提示符下输入netstat –n,可以看到木马建立的会话。
(4)如图2-157所示,在Server上,运行msconfig,打开“系统配置实用程序”对话框,选中“隐藏所有Microsoft服务”复选框,可以看到灰鸽子木马安装的服务。
▲图2-156 灰鸽子建立的会话 ▲图2-157 安装的灰鸽子木马
4.配置IPSec保护Web服务器
(1)如图2-158所示,在Server上禁用Windows防火墙。现在使用IPSec严格控制出入流量。
(2)如图2-159所示,选择“开始”→“程序”→“管理工具”→“本地安全策略”命令。
▲图2-158 关闭Windows防火墙 ▲图2-159 选择“本地安全策略”命令
(3)如图2-160所示,在打开的“本地安全设置”窗口中,右击“IP安全策略,在本地计算机”节点,在弹出的快捷菜单中选择“创建IP安全策略”命令。
(4)在出现的“欢迎使用IP安全策略向导”对话框中,单击“下一步”按钮。
(5)如图2-161所示,在出现的“IP安全策略名称”设置界面中,输入名称和描述信息,单击“下一步”按钮。
▲图2-160 “本地安全设置”窗口 ▲图2-161 “IP安全策略名称”设置界面
(6)如图2-162所示,在出现的“安全通讯请求”设置界面中,取消选中“激活默认响应规则”复选框,单击“下一步”按钮。
(7)如图2-163所示,在出现的“正在完成IP安全策略向导”设置界面中,单击“完成”按钮。
▲图2-162 “安全通讯请求”设置界面 ▲图2-163 “正在完成IP安全策略向导”设置界面
(8)如图2-164所示,在出现的“WebServerIPSec属性”对话框中,取消选中“使用‘添加向导’”复选框,单击“添加”按钮。
(9)如图2-165所示,在出现的“新规则 属性”对话框中,选中“所有IP通讯”单选按钮,单击“筛选器操作”标签。
▲图2-164 “WebServerIPSec属性”对话框 ▲图2-165 “新规则 属性”对话框
(10)如图2-166所示,在“筛选器操作”选项卡中,没有拒绝的动作,取消选中“使用‘添加向导’”复选框,单击“添加”按钮。
(11)如图2-167所示,在出现的“新筛选器操作 属性”对话框的“安全措施”选项卡中,选中“阻止”单选按钮,单击“常规”标签。
▲图2-166 添加筛选器的操作 ▲图2-167 选择阻止
(12)如图2-168所示,在“常规”选项卡中,输入名称,单击“确定”按钮。
(13)如图2-169所示,在“新规则 属性”对话框中,选择刚刚创建的操作“拒绝通信”,单击“应用”按钮。
▲图2-168 指定操作名称 ▲图2-169 选择操作
(14)如图2-170所示,单击“确定”按钮。
(15)如图2-171所示,这样就添加了拒绝所有通信,相当于拔了网线。然后添加规则允许访问Web站点的流量出入。
▲图2-170 完成添加规则 ▲图2-171 添加允许访问Web服务的规则
(16)如图2-172所示,在“新规则 属性”对话框中,单击“添加”按钮。
(17)如图2-173所示,在出现的“IP筛选器列表”对话框中,输入规则名称,取消选中“使用添加向导”复选框,单击“添加”按钮。
▲图2-172 添加筛选器列表 ▲图2-173 添加筛选器
(18)如图2-174所示,在出现的“IP筛选器 属性”对话框中,可以看到源地址和目标地址,一定要选中“镜像,与源地址和目标地址正好相反的数据包相匹配”复选框。
(19)如图2-175所示,在“协议”选项卡中,协议选择TCP,“设置IP协议端口”选项组中,选中“从此端口”和“到任意端口”单选按钮,单击“确定”按钮。
▲图2-174 配置筛选器 ▲图2-175 指定协议和端口
(20)如图2-176所示,单击“确定”按钮。当然,如果还希望别人访问FTP站点,你还可以继续单击“添加”按钮,添加相应的筛选器。筛选器列表中可以包括多个筛选器。
(21)如图2-177所示,在“新规则 属性”对话框中,选中“允许访问Web服务”单选按钮,单击“筛选器操作”标签。
▲图2-176 完成筛选器列表 ▲图2-177 选择筛选器规则
(22)如图2-178所示,在“筛选器操作”选项卡中,选中“许可”单选按钮,单击“应用”按钮。
(23)如图2-179所示,单击“确定”按钮。
▲图2-178 “筛选器操作”选项卡 ▲图2-179 单击“确定”按钮
(24)如图2-180所示,到目前为止已经创建了两个规则,一个是拒绝所有通信,一个是允许访问Web服务器的流量,多个规则以最佳匹配为准。也就意味着不是访问Web站点的流量就应用所有IP通信的规则。
(25)如图2-181所示,右击刚才创建的WebServerIPSec策略,在弹出的快捷菜单中选择“指派”命令,该策略生效。
▲图2-180 创建的两个规则 ▲图2-181 指派IP策略
(26)如图2-182所示,在Server上运行netstat –n命令,可以看到木马程序不能和入侵者的计算机建立会话,这样木马就成了“卧槽马”,不会为你的Server造成多大危害。
(27)如图2-182所示,ping 入侵者的IP地址,出现Destination host unreachable。因为IPSec没有允许此类通信出入。
(28)如图2-183所示,在入侵者计算机上,你也看不到自动上线的主机,就没办法监控和控制中了木马的服务器。
▲图2-182 查看会话测试网络 ▲图2-183 灰鸽子不能上线了
(29)如图2-184所示,可以看到,在入侵者计算机访问Server的Web站点还是可以的。
▲图2-184 能够访问Web站点
结论 |
Windows防火墙能够禁止主动入侵,但是对木马没有防护作用。Windows的TCP/IP筛选和Windows防火墙类似,能够禁止主动入侵,但是对木马没有防护作用。要想使用严格控制出入服务器的流量策略,可以使用IPSec实现。 |
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1135840,如需转载请自行联系原作者