附:写此文原因是因为最近实验在WIN2000下配置SNORT,本来是使用防火墙与SNORT的,不过出现了些问题:
防火墙在低层包过滤时已经把不合付规则的IP包或TCP包过滤掉,那SNORT又如何能得到那些‘问题’包的数据呢?
经过朋友的介绍决定使用系统本身的保护能力保护系统,配合SNORT作监视与分析。这就不会产生SNORT与防火墙的
冲突了。
防火墙在低层包过滤时已经把不合付规则的IP包或TCP包过滤掉,那SNORT又如何能得到那些‘问题’包的数据呢?
经过朋友的介绍决定使用系统本身的保护能力保护系统,配合SNORT作监视与分析。这就不会产生SNORT与防火墙的
冲突了。
以下结论的实验环境:
两台装有WIN2000 ADVANCE SERVER的主机以桥式连接起来(简单的实验方法:在WIN2000 ADVANCE SERVER
上安装VMWARE,安装GUEST OS为WIN2000 ADVANCE SERVER,把GUEST OS的网卡设置为'Bridged'),就
可以开始实验了。
首先解释一下一些基本概念(高手可略:P)。
==========================================================================================
==========================================================================================
端口:sockets实用程序使用一个协议端口号来标明自己应用的唯一性。端口可以使用0到65536 之间
的任何数字。在服务请求时,操作系统动态地为客户端的应用程序分配端口号。
的任何数字。在服务请求时,操作系统动态地为客户端的应用程序分配端口号。
查看端口的方法:1)使用系统自带的netstat命令('netstat -an')就可以看到各TCP、UDP的端口监听
情况 2)使用第三方工具,如fport.exe、Active Ports等等,推崇Active Ports(
又是Active Ports?!),它不但是GUI Software,而且能很实时的看清每个端口的
‘走势’(状态等等)。
==========================================================================================
1)关闭相应的服务
每一个端口都对应着相应的服务,例如HTTP为TCP80、TELNET为TCP23、SMTP为TCP25等等,既然如此,
那么关闭相对应的服务就能关闭其相对应的端口了。此方法最为有效,但也有某些局限性,只有一部
分的端口可以用此方式关闭。但如TCP135端口等就无法使用此方法关闭了。
说说实际操作吧!:)
①关闭tcp/udp7、tcp/udp9、tcp/udp13、tcp/udp17、tcp/udp19端口,只需要打开“控制面板”
->“管理工具”->“服务”,停止Simple TCP/IP Service(前提是您必须安装了此服务)。
它们所支持的 TCP/IP 服务分别是:ECHO、 Discard、DAYTIME、Quote of the Day, 以及 Character
Generator。
②需要关闭TCP80口(HTTP服务),只需在“控制面板”->“管理工具”->“服务” 停止WEB发布服务("World
Wide Web Publishing Service")。或是通过 Internet 信息服务(IIS)的管理单元把'默认WEB站点'
停止也可以关闭TCP80端口的服务。
③关掉TCP25端口(SMTP服务),在“控制面板”->“管理工具”->“服务” 中停止"Simple Mail Transport
Protocol (SMTP)"服务;或是在IIS中停止'默认SMTP虚拟服务器'也可以。
④关掉TCP21(FTP服务器)端口:在“控制面板”->“管理工具”->“服务” 中停止FTP Publishing Service;
或在IIS中停止'默认FTP站点'。
⑤关掉TCP23(telnet server)端口:在“控制面板”->“管理工具”->“服务” 中停止'Telnet'服务。
⑥server服务:此服务提供 RPC 支持、文件、打印以及命名管道共享。停止它就关掉了win2k的默认共享,
比如ipc$、c$等默认共享,此服务关闭不影响您的其它操作。
⑦TCP139端口:NetBIOS Session端口,一个用作共享的端口。打开“网络和拨号连接”->“本地连接”
右键属性-> “Internet协议(TCP/IP)”->“属性”->“高级...”->“WINS”->“禁用TCP/IP上的NETBIOS”,
选择此项便能停止TCP139的监听。
⑧TCP445端口(Microsoft-DS),除TCP139以外的另一个能用来作共享入侵的端口。关闭它的方法:
打开注册表[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NETBT\PARAMETERS]新建一DWORD键值,
名为"SMBDeviceEnabled",其值为0。
->“管理工具”->“服务”,停止Simple TCP/IP Service(前提是您必须安装了此服务)。
它们所支持的 TCP/IP 服务分别是:ECHO、 Discard、DAYTIME、Quote of the Day, 以及 Character
Generator。
②需要关闭TCP80口(HTTP服务),只需在“控制面板”->“管理工具”->“服务” 停止WEB发布服务("World
Wide Web Publishing Service")。或是通过 Internet 信息服务(IIS)的管理单元把'默认WEB站点'
停止也可以关闭TCP80端口的服务。
③关掉TCP25端口(SMTP服务),在“控制面板”->“管理工具”->“服务” 中停止"Simple Mail Transport
Protocol (SMTP)"服务;或是在IIS中停止'默认SMTP虚拟服务器'也可以。
④关掉TCP21(FTP服务器)端口:在“控制面板”->“管理工具”->“服务” 中停止FTP Publishing Service;
或在IIS中停止'默认FTP站点'。
⑤关掉TCP23(telnet server)端口:在“控制面板”->“管理工具”->“服务” 中停止'Telnet'服务。
⑥server服务:此服务提供 RPC 支持、文件、打印以及命名管道共享。停止它就关掉了win2k的默认共享,
比如ipc$、c$等默认共享,此服务关闭不影响您的其它操作。
⑦TCP139端口:NetBIOS Session端口,一个用作共享的端口。打开“网络和拨号连接”->“本地连接”
右键属性-> “Internet协议(TCP/IP)”->“属性”->“高级...”->“WINS”->“禁用TCP/IP上的NETBIOS”,
选择此项便能停止TCP139的监听。
⑧TCP445端口(Microsoft-DS),除TCP139以外的另一个能用来作共享入侵的端口。关闭它的方法:
打开注册表[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NETBT\PARAMETERS]新建一DWORD键值,
名为"SMBDeviceEnabled",其值为0。
附:以上但凡要到“控制面板”->“管理工具”->“服务” 作处理的工作,在重新开机后这些服务又会再启动,
要使它不再启动必须在‘停止’它以后‘禁用’它。
要使它不再启动必须在‘停止’它以后‘禁用’它。
以上为比较典型的例子,其他端口的服务就不一一举例了。
2)使用TCP/IP端口筛选
进入‘网络和拨号连接’->在您所使用的连接上按右键->‘属性’->‘常规’->‘Internet协议(TCP/IP)’->‘属性’
->‘高级...’->‘选项’->‘TCP/IP筛选’->‘属性’。
在弹出的“TCP/IP筛选”窗口中选择“启用TCP/IP筛选”的复选项,然后选择“TCP端口”为“只允许”就可以添加您
想打开的端口了,至于没有打开的端口远程IP主机就无法访问了。
->‘高级...’->‘选项’->‘TCP/IP筛选’->‘属性’。
在弹出的“TCP/IP筛选”窗口中选择“启用TCP/IP筛选”的复选项,然后选择“TCP端口”为“只允许”就可以添加您
想打开的端口了,至于没有打开的端口远程IP主机就无法访问了。
附:使用TCP/IP端口筛选需要重启机器,比较麻烦,但此方法的操作最为简单。
3)使用IPSEC安全策略
IPSEC安全策略被誉为是WIN2000自带的‘防火墙’,偶觉的这比喻挺贴切的,不过它的RULE(规则)不是很直观罢了。
每一个RULE由两部分组成,“条件”与“行为”,思路就是:当满足某个“条件”时就执行某个“行为”。建立一个
RULE一共需要四个步骤:建立“条件”、建立“行为”、建立策略(RULE群,把“条件”与“行为”连起来)、击活策略。
每一个RULE由两部分组成,“条件”与“行为”,思路就是:当满足某个“条件”时就执行某个“行为”。建立一个
RULE一共需要四个步骤:建立“条件”、建立“行为”、建立策略(RULE群,把“条件”与“行为”连起来)、击活策略。
建立RULE(规则)示例,以TCP445为例:
打开‘本地安全策略’->点击‘IP安全策略,在本地机器’并按右键->‘管理IP筛选器表和筛选器操作’->
‘管理IP筛选器列表’->‘添加’->随便写个‘名称’与‘描述’,自己看得明白就行了....什么都可以,
就写“禁止TCP445”吧,然后‘下一步’->‘添加’->‘下一步’->‘源地址’选‘任何IP地址’,
‘下一步’->‘目标地址’选‘我的IP地址’,‘下一步’->‘选择协议类型’里有很多选择,
我们通常用的有ICMP、TCP、UDP等,这里就选‘TCP’吧,‘下一步’->选择‘从任意端口’‘到此端口’,
‘到此端口’的空白栏填‘445’,‘下一步’->‘完成’(您可以把‘编辑属性’栏钩上再按‘完成’,
在跳出的窗体中您可以选择是否‘镜象’,此选项会把此规则用到源地址与目标地址相反的条件上去)。
好了,以上您已经完成了建立“条件”的工作了,接下来就是“行为”。
‘管理IP筛选器列表’->‘添加’->随便写个‘名称’与‘描述’,自己看得明白就行了....什么都可以,
就写“禁止TCP445”吧,然后‘下一步’->‘添加’->‘下一步’->‘源地址’选‘任何IP地址’,
‘下一步’->‘目标地址’选‘我的IP地址’,‘下一步’->‘选择协议类型’里有很多选择,
我们通常用的有ICMP、TCP、UDP等,这里就选‘TCP’吧,‘下一步’->选择‘从任意端口’‘到此端口’,
‘到此端口’的空白栏填‘445’,‘下一步’->‘完成’(您可以把‘编辑属性’栏钩上再按‘完成’,
在跳出的窗体中您可以选择是否‘镜象’,此选项会把此规则用到源地址与目标地址相反的条件上去)。
好了,以上您已经完成了建立“条件”的工作了,接下来就是“行为”。
回到楼上的第三步‘管理IP筛选器表和筛选器操作’-> ‘管理筛选器操作’->‘添加’ ->‘下一步’->添写
‘名称’与‘描述’,我这里都写“阻止”,‘下一步’->选择‘阻止’,‘下一步’->‘完成’(这里也有
‘编辑属性’,不过没什么用的,建议不要选)。添加“行为”完成了。
‘名称’与‘描述’,我这里都写“阻止”,‘下一步’->选择‘阻止’,‘下一步’->‘完成’(这里也有
‘编辑属性’,不过没什么用的,建议不要选)。添加“行为”完成了。
建立RULE:回到‘本地安全策略’->点击‘IP安全策略,在本地机器’并按右键->‘创建IP安全策略’->‘下一步’
->填写‘名称’与‘描述’,我在这地方都写上“我的防火墙”,‘下一步’->把‘击活默认响应规则’选项前的小勾
去掉,‘下一步’->钩上‘编辑属性’,‘完成’->在跳出的属性窗体中的‘规则’栏中点击‘添加’->‘下一步’->
‘下一步’->‘下一步’->到‘身份验证方法’中,您可以选择使用WINDOWS 2000默认值(第一项)、也可以选择使用自己
定义的字符串(第三项),‘下一步’->出现一个列表,在里面选择原来建立的“禁止TCP445”吧,‘下一步’->
到选择行为了,选择原来建立好的“阻止”,‘下一步’->‘完成’(如果您有什么不放心可以在勾上‘编辑属性’,
再看一次,不过大多也没什么问题的了)。按‘确定’关闭属性窗口就可以了。如果您还有其他RULE的话,可以双击
原来建立好的‘我的防火墙’策略,然后‘添加’重复上面的操作步骤再建立其他的RULE。
->填写‘名称’与‘描述’,我在这地方都写上“我的防火墙”,‘下一步’->把‘击活默认响应规则’选项前的小勾
去掉,‘下一步’->钩上‘编辑属性’,‘完成’->在跳出的属性窗体中的‘规则’栏中点击‘添加’->‘下一步’->
‘下一步’->‘下一步’->到‘身份验证方法’中,您可以选择使用WINDOWS 2000默认值(第一项)、也可以选择使用自己
定义的字符串(第三项),‘下一步’->出现一个列表,在里面选择原来建立的“禁止TCP445”吧,‘下一步’->
到选择行为了,选择原来建立好的“阻止”,‘下一步’->‘完成’(如果您有什么不放心可以在勾上‘编辑属性’,
再看一次,不过大多也没什么问题的了)。按‘确定’关闭属性窗口就可以了。如果您还有其他RULE的话,可以双击
原来建立好的‘我的防火墙’策略,然后‘添加’重复上面的操作步骤再建立其他的RULE。
剩下就是把策略击活了...在‘本地安全策略’->点击‘IP安全策略,在本地机器’->在右面的窗口用右键单击‘我的
防火墙’->点击‘指派’就OK了。现在其他IP是无法访问得到您的TCP445端口的了。
防火墙’->点击‘指派’就OK了。现在其他IP是无法访问得到您的TCP445端口的了。
附:此方法最为好用,在不阻碍用户正常使用的情况下又可以阻止骇客的入侵;只是操作起来有点烦琐(像机械运动一样),
个人推崇此方法。
个人推崇此方法。
实验所得:使用IPSEC安全策略与TCP/IP端口筛选可以禁止其他IP访问特定的端口或协议等,但不能停止端口的监听,
所以如果您使用netstat命令或ACTIVE PORTS查看时仍能看到这些端口在监听,不过在其他IP的机子的确访问不到这些端口,
但如果您用环回地址[127.0.0.1]就会有异常现象出现,不过不用担心,其他的IP是无法访问到的。
==========================================================================================
题外话:
除了利用以上三种方法外还可以使用其他有效的第三方工具(如:防火墙、Active Ports等等)作
关闭端口用。
关闭端口用。
防火墙通过通过在操作系统低层的包过滤功能对数据包进行高层‘分配’,您只要添加与修改规则
就能按您的意愿去处理了。
就能按您的意愿去处理了。
Active Ports是个不错的工具,其中比较好的功能就是它能对处与不同状态的端口进行强行关闭
操作,只要您按一个按钮就可以了。
操作,只要您按一个按钮就可以了。
还有很多其他工具可以做到以上的效果,不过就要各位多多摸索了。:P
评论