tryhackme-预安全-网络基础知识-网络扩展-08
tryhackme-Pre Security-Network Fundamentals-Extending Your Network
房间地址:https://tryhackme.com/room/extendingyournetwork
这是网络安全入门的基础模块的计算机科学基础知识:Extending Your Network(扩展你的网络),序号 01 表示第一篇文章,当你不知道从哪里开始的时候,你可以按照数字顺序来进行参考即可。
Extending Your Network
Task 1 Introduction to Port Forwarding
端口转发是将应用程序和服务连接到互联网的重要组成部分。如果没有端口转发,应用程序和服务(例如 Web 服务器)只能供同一直连网络内的设备使用。
以下图所示的网络为例。在该网络中,IP 地址为“192.168.1.10”的服务器在端口 80 上运行 Web 服务器。只有该网络中的另外两台计算机能够访问该服务器(这称为内联网)。
如果管理员希望公众可以访问该网站(通过互联网),他们就必须实施端口转发,如下图所示:
通过此设计,网络 2 现在可以使用网络 1 的公网 IP 地址 (82.62.51.70) 访问网络 1 上运行的 Web 服务器。
端口转发很容易与防火墙的行为混淆(我们将在后续任务中讨论这项技术)。不过,目前只需理解端口转发会打开特定端口(回想一下数据包的工作原理)。相比之下,防火墙会判断流量是否可以通过这些端口(即使这些端口已通过端口转发打开)。
端口转发是在网络的路由器上配置的。
Task 2 Firewalls 101
防火墙是网络中负责确定哪些流量可以进出的设备。防火墙可以被视为网络的边界安全。管理员可以根据多种因素配置防火墙,允许或拒绝流量进出网络,例如:
流量来自哪里?(防火墙是否已被告知接受/拒绝来自特定网络的流量?)
流量要去往哪里?(防火墙是否已被告知接受/拒绝发往特定网络的流量?)
流量发往哪个端口?(防火墙是否已被告知仅接受/拒绝发往端口 80 的流量?)
流量使用什么协议?(防火墙是否已被告知接受/拒绝 UDP、TCP 或两者兼有的流量?)
防火墙执行数据包检查来确定这些问题的答案。
防火墙的形状和大小各有不同。从能够处理海量数据的专用硬件(通常用于企业等大型网络),到家用路由器(例如您家里的路由器!)或 Snort(https://www.snort.org/) 等软件,防火墙可以分为 2 到 5 类。
我们将在下表中介绍两种主要类别的防火墙:
有状态的:这种类型的防火墙使用来自连接的全部信息;它不是检查单个数据包,而是根据整个连接来确定设备的行为。与无状态防火墙相比,这种类型的防火墙消耗大量资源,因为其决策是动态的。例如,防火墙可能会允许 TCP 握手的最初部分,但之后可能会失败。如果来自主机的连接不良,它将阻止整个设备。
无状态的:这种防火墙使用一组静态规则来判断单个数据包是否可接受。例如,设备发送恶意数据包并不一定意味着整个设备都会被阻止。虽然这类防火墙比其他防火墙占用的资源少得多,但它们的“笨”程度要高得多。例如,这类防火墙只有在其内部定义的规则有效时才有效。如果规则不完全匹配,它实际上就毫无用处。然而,这类防火墙在接收来自一组主机的大量流量(例如分布式拒绝服务攻击)时非常有效。
防火墙工作在OSI模型中的网络层与传输层(3到4层)
Task 3 Practical - Firewall
部署此任务附带的静态站点。
红色数据包表示恶意流量。绿色数据包表示合法流量。您需要阻止的协议是端口 80。配置防火墙以阻止恶意数据包到达 Web 服务器 203.0.110.1。
经典封IP
Task 4 VPN Basics
虚拟专用网络(简称 V皮N)是一种技术,它允许不同网络上的设备通过互联网创建一条专用路径(称为隧道),从而实现安全通信。连接在此隧道内的设备构成各自的专用网络。
例如,只有同一网络(例如同一企业内部)内的设备才能直接通信。而 V皮N 允许两个办公室之间连接。以下图为例,其中有三个网络:
网络#3 上连接的设备仍然是网络#1 和网络#2 的一部分,但也共同形成一个私有网络(网络#3),只有通过此 V皮N 连接的设备才能通过该网络进行通信。
下表介绍了 V皮N 提供的一些其他好处:
TryHackMe 使用 V皮N 将您连接到我们存在漏洞的机器,而不会让它们直接在互联网上被访问!这意味着:
您可以安全地与我们的机器交互
互联网服务提供商(ISP)不会认为您正在攻击互联网上的其他机器(这可能违反服务条款)
V皮N 为 TryHackMe 提供了安全保障,因为存在漏洞的机器无法通过互联网访问。
多年来,V皮N 技术一直在不断改进。下面让我们来探讨一些现有的 V皮N 技术:
PPP:PPTP(下文将解释)使用此技术进行身份验证并提供数据加密。VPN 通过使用私钥和公共证书(类似于 SSH)来工作。私钥和证书必须匹配才能连接。此技术无法自行脱离网络(不可路由)。
PPTP:点对点隧道协议 (PPTP) 是一种允许数据从 PPP 传输到网络的技术。PPTP 设置非常简单,并且大多数设备都支持。然而,与其他协议相比,它的加密程度较低。
IPSec:互联网协议安全 (IPsec) 使用现有的互联网协议 (IP) 框架加密数据。与其他方案相比,IPSec 的设置难度较大;然而,如果设置成功,它拥有强大的加密功能,并且在许多设备上都受支持。
Task 5 LAN Networking Devices
- 什么是路由器?
路由器的作用是连接网络并在网络之间传递数据。它通过路由来实现这一点(因此得名路由器!)。
路由是指数据在网络中传输的过程。路由涉及在网络之间创建路径,以便数据能够成功传输。路由器运行在 OSI 模型的第 3 层。它们通常具有交互式界面(例如网站或控制台),允许管理员配置各种规则,例如端口转发或防火墙。
当设备通过多条路径连接时,路由非常有用,例如在下图中,系统会选择最优路径:
路由器是专用设备,其功能与交换机不同。
我们可以看到,计算机 A 的网络通过中间的两个路由器连接到计算机 B 的网络。问题是:应该采用哪条路径?不同的协议会决定应该采用哪条路径,但需要考虑的因素包括:
- 哪条路径最短?
- 哪条路径最可靠?
- 哪条路径的介质速度更快(例如铜缆还是光纤)?
- 什么是交换机?
交换机是一种专用网络设备,负责提供连接多台设备的途径。交换机可以通过以太网电缆连接多台设备(从 3 到 63 台)。
交换机可以在 OSI 模型的第 2 层和第 3 层运行。然而,它们是互斥的,因为第 2 层交换机不能在第 3 层运行。
例如,下图中的第 2 层交换机。这些交换机将使用 MAC 地址将帧(请记住,原始 IP 数据包封装在帧中)转发到连接的设备上。
这些交换机仅负责将帧发送到正确的设备。
现在,让我们来看看三层交换机。这些交换机比二层交换机更复杂,因为它们可以执行路由器的部分职责。也就是说,这些交换机会像二层交换机一样将帧发送到设备,并使用 IP 协议将数据包路由到其他设备。
我们来看看下图中三层交换机的工作原理。我们可以看到有两个 IP 地址:
192.168.1.1
192.168.2.1
V皮N(虚拟局域网)技术允许将网络中的特定设备虚拟地隔离。这种隔离意味着它们都可以从诸如互联网连接之类的服务中受益,但会被单独处理。这种网络隔离提供了安全性,因为它意味着现有的规则决定了特定设备之间的通信方式。下图展示了这种隔离:
在上图的上下文中,“销售部”和“会计部”将能够访问互联网,但不能相互通信(尽管它们连接到同一个交换机)。
Task 6 Practical - Network Simulator
部署本任务附带的静态站点。并使用网络模拟器进行实验。模拟器将分解数据包从点 a 到点 b 所需的每个步骤。尝试从计算机 1 向计算机 3 发送一个 TCP 数据包,以显示一个标志。
注意:请使用 Chrome 或 Firefox 浏览器完成此实践练习。
在发送数据时,交换机与路由器都会产生网络日志:以后可用于OSINT APT
握手:计算机 1 和计算机 3 之间开始 TCP/IP 握手
握手:计算机 1 向计算机 3 发送 SYN 数据包
路由:计算机 1 表示计算机 3 不在我的本地网络中,并向网关:路由器发送数据
ARP 请求:路由器告诉计算机 1 的地址
ARP 响应:嘿,计算机 1,我是路由器
ARP 请求:计算机 3 告诉路由器的地址
ARP 响应:嘿,路由器,我是计算机 3
握手:计算机 3 收到来自计算机 1 的 SYN 数据包,并向计算机 1 发送 SYN/ACK 数据包
握手:计算机 1 收到来自计算机 3 的 SYN/ACK 数据包,并向计算机 3 发送 ACK 数据包
握手:计算机 3 收到来自计算机 1 的 ACK 数据包,握手完成
TCP:计算机 1 向计算机 3 发送 TCP 数据包
TCP:计算机 3 收到来自计算机 1 的 TCP 数据包,并向计算机 1 发送 ACK 数据包
浙公网安备 33010602011771号