Linux操作系统的强大功能让很多人选择去应用它,这就不得不说说Linux防火墙,Linux防火墙的安全性能让很多用户所钟爱。你应用Linux防火墙可以实现不让其他主机扫描本机。
如果企业网络中有独立防火墙的话,再也可以实现类似的限制。如有些企业部署了入侵检测系统可以主动的阻止可疑的恶意行为,如NMAP扫描等等。但是NMAP命令结合一些选项使用,却可以跟Linux防火墙或者入侵检测系统躲猫猫。
虽然有的管理员质疑NMAP开发者提供这些选项的意图,这些选项容易被攻击者利用。但是工具没有好坏,就看人怎么利用了。一些系统管理员往往利用NMAP命令的这些选项来提高网络部署的安全性。如我就喜欢利用这个命令来跟防火墙等安全软件玩躲猫猫的游戏。也就是说笔者伪装成一个攻击者,来测试这些安全系统能否阻挡我的攻击或者能否在安全系统日志内留下我的踪迹。换个角度思考,或许就能够发现企业的安全漏洞。
类似的选项有很多。出于篇幅的限制,不能够过多的阐述。我就只拿一些常用的选项来进行说明。
一、把报文进行分段。
像防火墙等类似的安全设备,都可以用来过滤扫描报文。但是这个过滤的策略并不是很安全。如现在利用NMAP命令的-f选项,可以将Tcp头分段在好几个包中。如此的话,防火墙或者入侵检测系统中的包过滤器就很难过滤这个TCP包。从而可以让SNMP扫描命令跟这些安全措施玩躲猫猫的游戏。
当使用-f选项时,一个20字节的TCP头会被分割成三个包,其中两个包分别有TCP头的八个字节;另外一个包具有TCP头剩下的四个字节。通常情况下安全措施所采用的包过滤器会对所有的IP分段进行排队,而不会直接使用这些分段包。由于对报文进行了分段,那么这些过滤器就很难识别这些包的类型。然后这些包会在主机处重新进行整合,变成一个合法的TCP包。在大多数情况下这些安全措施应该禁止这些包。因为这些包会给企业的网络带来很大的性能冲击,无论是防火墙或者终端设备都会受到影响。如Linux系统的防火墙中有一个配置项,就可以通过禁止对IP分段进行排队而限制对TCP包进行分段。
可见nmap –f命令对防火墙等安全措施具有一定的欺骗性。我们刚好可以利用这个命令来测试我们所采用的安全软件是否真的安全。据我了解,虽然这个安全隐患已经出现许多年了,但是现在不是所有的安全产品都能够对此进行有效的预防。所以采用这个-f选项可以帮助系统管理员一针见血的判断所采用的安全产品能否应对这个可能的攻击。如在防火墙上设置禁止扫描,然后系统管理员再利用nmap –f命令无法得到应有的结果时,则表明防火墙策略有效。但是相反其仍然可以正常的返回结果(可能时间会长一点),则表明nmap –f命令可以成功的跟防火墙玩猫猫。系统管理员需要注意一下Linux防火墙的安全性了。