Linux系统安全与优化(TCP/IP网络管理)
第六章 TCP/IP网络管理
概述
在服务器上安装多块网卡
网络相关的一些配置文件
用命令行手工配置TCP/IP网络
TCP/IP安全问题概述
IP数据包(packet)
IP机制
IP数据包头
TCP/IP 安全问题
安全问题的解决方案
总结
概述
网络管理涵盖了很多方面的内容:一般来说包括收集网络的统计数据和状态信息,并且在需要时采取一定的措施来解决出现的故障。最原始的网络监控技术是定期“ping”重要的主机。更复杂的网络监控则需要监视网络上的各个设备的状态和统计信息,如:各种类型的数据包(datagram)统计及各种类型的错误的统计。
这一章主要是关于联网设备,网络相关配置文件、重要的网络命令和TCP/IP安全等方面的内容。
在服务器上安装多块网卡
在使用Linux作为两个以太网之间的网关的情况下,服务器至少需要配置两块网卡。为了减少启动时可能出现的问题,Linux内核不会自动检测多个网卡。若需要在服务器上安装多块网卡,对于已经将网卡的驱动编译进内核中的系统,则需要在“/etc/lilo.conf”文件中指定各个网卡的参数信息;而对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统,应该在“conf.modules”文件中进行相应的配置。
若设备驱动被编译为模块(内核的模块):对于PCI设备,模块将自动检测到所有已经安装到系统上的设备;对于ISA卡,则需要向模块提供IO地址,以使模块知道在何处寻找该卡,这些信息在“/etc/conf.modules”中提供。
例如,我们有两块ISA总线的3c509卡,一个IO地址是0x300,另一个是0x320。编辑“conf.modules”文件如下:
alias eth0 3c509
alias eth1 3c509
options 3c509 io=0x300,0x320
这是说明3c509的驱动程序应当被eth0或eth1加载(alias eth0,eth1),并且它们应该以参数io=0x300,0x320被装载,这样驱动程序知道到哪里去寻找网卡,其中0x是不可缺少的。
对于PCI卡,仅仅需要alias命令来使ethN和适当的驱动模块名关联,PCI卡的IO地址将会被自动的检测到。对于PCI卡,编辑“conf.modules”文件如下:
alias eth0 3c509
alias eth1 3c509
若驱动已经被编译进了内核:系统启动时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到,但是在某些情况下,ISA卡仍然需要做下面的配置工作:
在“/etc/lilo.conf”中增加配置信息,其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡,编辑“lilo.conf”文件,增加如下内容:
append=\"ether=\"0,0,eht1\"
注意:先不要在“lilo.conf”中加入启动参数,测试一下你的ISA卡,若失败再使用启动参数。
如果用传递启动参数的方法,eth0和eth1将按照启动时被发现的顺序来设置。因为我们已经重新编译了内核,所以必须使用第二种方法(在lilo.conf中加入启动参数)在系统中安装我们的第二块网卡。这种方法只对ISA卡有必要,PCI卡会被自动查找到,所以没有什么必要。
和网络相关的一些配置文件
在Linux系统中,TCP/IP网络是通过若干个文本文件进行配置的,也许你需要编辑这些文件来完成联网工作。下面的部分介绍基本的 TCP/IP配置文件:
“/etc/HOSTNAME”文件:
该文件包含了系统的主机名称,包括完全的域名,如:
deep.openarch.com
“/etc/sysconfig/network-scripts/ifcfg-ethN”文件:
在RedHat6.1中,系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下,ifcfg-eth0包含第一块网卡的配置信息,ifcfg-eht1包含第二块网卡的配置信息。
下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例:
DEVICE=eth0
IPADDR=208.164.186.1
NETMASK=255.255.255.0
NETWORK=208.164.186.0
BROADCAST=208.164.186.255
ONBOOT=yes
BOOTPROTO=none
USERCTL=no
若希望手工修改网络地址或在新的接口上增加新的网络界面,可以通过修改对应的文件(ifcfg-ethN)或创建新的文件来实现。
DEVICE=name name表示物理设备的名字
IPADDR=addr addr表示赋给该卡的IP地址
NETMASK=mask mask表示网络掩码
NETWORK=addr addr表示网络地址
BROADCAST=addr addr表示广播地址
ONBOOT=yes/no 启动时是否激活该卡
BOOTPROTO=proto proto取值可以是:
l none:无须启动协议
l bootp:使用bootp协议
l dhcp:使用dhcp协议
USERCTL=yes/no 是否允许非root用户控制该设备
“/etc/resolv.conf”文件:
该文件是由解析器(resolver,一个根据主机名解析IP地址的库)使用的配置文件,示例如下:
search openarch.com
nameserver 208.164.186.1
nameserver 208.164.186.2
“search domainname.com”表示当提供了一个不包括完全域名的主机名时,在该主机名后添加domainname.com的后缀;“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。
“/etc/host.conf”文件:
该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个“/etc/host.conf”的示例:
order bind,hosts
multi on
ospoof on
“order bind,hosts”指定主机名查询顺序,这里规定先使用DNS来解析域名,然后再查询“/etc/hosts”文件。
“multi on”指定是否“/etc/hosts”文件中指定的主机可以有多个地址,拥有多个IP地址的主机一般称为具有多个网络界面。
“nospoof on”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段,通过把IP地址伪装成别的计算机,来取得其它计算机的信任。
“/etc/sysconfig/network”文件
该文件用来指定服务器上的网络配置信息,下面是一个示例:
NETWORK=yes
RORWARD_IPV4=yes
HOSTNAME=deep.openarch.com
GAREWAY=0.0.0.0
GATEWAYDEV=
NETWORK=yes/no 网络是否被配置;
FORWARD_IPV4=yes/no 是否开启IP转发功能
HOSTNAME=hostname hostname表示服务器的主机名
GAREWAY=gw-ip gw-ip表示网络网关的IP地址
GAREWAYDEV=gw-dev gw-dw表示网关的设备名,如:etho等
注意:为了和老的软件相兼容,“/etc/HOSTNAME”文件应该用和HOSTNAME=hostname相同的主机名。
“/etc/hosts”文件
当机器启动时,在可以查询DNS以前,机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下,系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。
下面是一个“/etc/hosts”文件的示例:
IP Address
Hostname
Alias
127.0.0.1
Localhost
Gate.openarch.com
208.164.186.1
gate.openarch.com
Gate
208.164.186.2
forest.openarch.com
Forest
208.164.186.3
deep.openarch.com
Deep
最左边一列是主机IP信息,中间一列是主机名。任何后面的列都是该主机的别名。一旦配置完机器的网络配置文件,应该重新启动网络以使修改生效。使用下面的命令来重新启动网络:
/etc/rc.d/init.d/network restart
注意:tcpd程序是负责检测如telnet、ftp等的服务请求。
一旦有服务请求到来,inetd进程将启动tcpd进程,tcpd在日志文件中记录该请求,并且完成一些其他的检测工作。如果一切正常通过,tcpd将启动相应的服务器进程,然后自己结束。 tcpd要通过查询DNS服务器,先对该客户机的IP地址进行反向解析得到主机名,然后再解析得到该主机名对应的IP地址,接着,把得到IP地址和发出请求的客户的机器的IP地址进行比较,通过这些步骤来实现对发送请求的客户机的验证。若两者不匹配,则tcpd认为发出请求的机器在伪装成其它的机器,则拒绝请求,这就是为什么有时候telnet到Linux机器要等待那么长时间的原因,可以通过在“/etc/hosts”加入客户的机器的IP地址和主机名的匹配项,就可以减少登录等待时间。
tcpd可以设置成禁止源路径路由(source-routing)socket的连接请求。这个设置可以避免黑客用把自己的IP地址伪装成别的计算机的IP地址的方法,攻击服务器。请注意这个设置对UDP无效。当服务器试图把请求服务的客户机的IP地址反向解析成主机名的时候经常会出现超时(timeout)错误。其原因可能是DNS服务器没有配置好,或者DNS根本没有请求服务的客户端计算机的任何信息。
用命令行手工配置TCP/IP网络
ifconfig是用来设置和配置网卡的命令工行具,为了手工配置网络你需要熟悉这个命令。用该命令的好处是无须重新启动机器。
赋给eth0接口IP地址208.164.186.2,使用命令:
[root@deep]#ifconfig eth0 208.164.186.2 netmask 255.255.255.0
列出所有的网络接口,你可以使用命令:
[root@deep]# ifconfig
这个命令的输出是这样的:
eth0
Link encap:Ethernet HWaddr 00:E0:18:90:1B:56
inet addr:208.164.186.2 Bcast:208.164.186.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1295 errors:0 dropped:0 overruns:0 frame:0
TX packets:1163 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:11 Base address:0xa800
lo
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:139 errors:0 dropped:0 overruns:0 frame:0
TX packets:139 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
若运行不带任何参数的ifconfig命令,这个命令将显示机器所有激活的接口的信息。带有-a 参数的该命令则显示所有的接口的信息,包括没有激活的接口,例如:
[root@deep]# ifconfig -a
这个命令的输出是这样的:
eth0
Link encap:Ethernet HWaddr 00:E0:18:90:1B:56
inet addr:208.164.186.2 Bcast:208.164.186.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1295 errors:0 dropped:0 overruns:0 frame:0
TX packets:1163 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:11 Base address:0xa800
eth1
Link encap:Ethernet HWaddr 00:E0:18:90:1B:56
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1295 errors:0 dropped:0 overruns:0 frame:0
TX packets:1163 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:5 Base address:0xa320
lo
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:139 errors:0 dropped:0 overruns:0 frame:0
TX packets:139 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
注意:用ifconfig命令配置的网络设备参数,在重新启动以后,这些参数设置将会丢失。
给208.164.186.1配置缺省网关,使用命令:
[root@deep]# route add default gw 208.164.186.1
在这个例子中,缺省网关设置为208.164.186.1。
然后,测试一下是否可以连通本网段的机器,从网络上随便选一台主机测试一下,比如选择208.164.186.1。
用下面的命令测试一下能否连通这台计算机:
[root@deep]# ping 208.164.186.1
输出会是这样的:
PING 208.164.186.1 (208.164.186.1) from 208.164.186.2 : 56 data bytes
64 bytes from 208.164.186.2: icmp_seq=0 ttl=128 time=1.0 ms
64 bytes from 208.164.186.2: icmp_seq=1 ttl=128 time=1.0 ms
64 bytes from 208.164.186.2: icmp_seq=2 ttl=128 time=1.0 ms
64 bytes from 208.164.186.2: icmp_seq=3 ttl=128 time=1.0 ms
--- 208.164.186.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 1.0/1.0/1.0 ms
现在可以使用route命令输出路由表信息来查看。
用下面的命令显示路由信息:
[root@deep]# route -n
输出是这样的:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
208.164.186.2 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
208.164.186.0 208.164.186.2 255.255.255.0 UG 0 0 0 eth0
208.164.186.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
为了快速检查接口状态信息,使用netstat -i命令:
[root@deep]# netstat -i
输出是这样的:
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500 0 4236 0 0 0 3700 0 0 0 BRU
lo 3924 0 13300 0 0 0 13300 0 0 0 LRU
ppp0 1500 0 14 1 0 0 16 0 0 0 PRU
netstat命令的另外一个有用处的选项是-t,其将显示所有的激活的TCP连接:
[root@deep]# netstat -t
输出是这样的:
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
Tcp 0 0 deep.openar:netbios-ssn gate.openarch.com:1045 ESTABLISHED
Tcp 0 0 localhost:1032 localhost:1033 ESTABLISHED
Tcp 0 0 localhost:1033 localhost:1032 ESTABLISHED
Tcp 0 0 localhost:1030 localhost:1034 ESTABLISHED
Tcp 0 0 localhost:1031 localhost:1030 ESTABLISHED
Tcp 0 0 localhost:1028 localhost:1029 ESTABLISHED
Tcp 0 0 localhost:1029 localhost:1028 ESTABLISHED
Tcp 0 0 localhost:1026 localhost:1027 ESTABLISHED
Tcp 0 0 localhost:1027 localhost:1026 ESTABLISHED
Tcp 0 0 localhost:1024 localhost:1025 ESTABLISHED
Tcp 0 0 localhost:1025 localhost:1024 ESTABLISHED
显示所有的活动的和被监听的TCP连接,使用命令:
[root@deep]# netstat -vat
输出是这样的:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 deep.openarch.co:domain *:* LISTEN
tcp 0 0 localhost:domain *:* LISTEN
tcp 0 0 deep.openarch.com:ssh gate.openarch.com:1682 ESTABLISHED
tcp 0 0 *:webcache *:* LISTEN
tcp 0 0 deep.openar:netbios-ssn *:* LISTEN
tcp 0 0 localhost:netbios-ssn *:* LISTEN
tcp 0 0 localhost:1032 localhost:1033 ESTABLISHED
tcp 0 0 localhost:1033 localhost:1032 ESTABLISHED
tcp 0 0 localhost:1030 localhost:1031 ESTABLISHED
tcp 0 0 localhost:1031 localhost:1030 ESTABLISHED
tcp 0 0 localhost:1028 localhost:1029 ESTABLISHED
tcp 0 0 localhost:1029 localhost:1028 ESTABLISHED
tcp 0 0 localhost:1026 localhost:1027 ESTABLISHED
tcp 0 0 localhost:1027 localhost:1026 ESTABLISHED
tcp 0 0 localhost:1024 localhost:1025 ESTABLISHED
tcp 0 0 localhost:1025 localhost:1024 ESTABLISHED
tcp 0 0 deep.openarch.com:www *:* LISTEN
tcp 0 0 deep.openarch.com:https *:* LISTEN
tcp 0 0 *:389 *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
使系统中所有的网络接口停止工作,用命令:
[root@deep]# /etc/rc.d/init.d/network stop
启动系统中所有的网络接口,用命令:
[root@deep]# /etc/rc.d/init.d/network start
TCP/IP安全问题概述
下面的内容要求读者知道TCP/IP协议的基本原理,例如:IP和TCP头的各个字段的功能以及连接的建立过程。这里先简单地介绍一下TCP/IP协议。
IP数据包(packet)
数据包这个术语指的是IP协议消息。消息分为消息头和消息体,消息头是IP协议使用的各种参数信息,如:源、目的地址等等。消息体是上层协议—TCP协议的数据内容。
IP机制
Linux支持三种IP消息类型:ICMP、UDP和TCP。一个ICMP数据报是网络级的IP控制和状态消息。ICMP消息控制两台端主机之间的与通信相关信息。UDP 类型的IP包在网络应用程序之间传送数据,但是不保证传送质量和数据包的传送顺序。UDP数据的传送类似邮局的明信片发送方式。TCP类型的IP包同样在网络应用程序之间传送数据,但是TCP数据包头包含了更多的信息,从而保证了可靠有序的数据传输。传送TCP数据类似通过电话系统交谈的过程:数据可靠而且保证传送顺序。大多数Internet应用程序都使用TCP协议,用UDP的比较少。也就是说绝大多数的Internet服务都倾向于在客户程序和服务器程序之间建立双向的数据传送通道(用TCP),而不是单向的数据传送通道(用UDP)。
IP数据包头
所有的IP数据包(ICMP、UDP或TCP)都要包含源、目的的IP地址和IP包的上层协议的类型,如:ICMP, UDP或TCP。根据不同的协议类型,IP数据包头还包含其它不同的字段。ICMP类型的IP数据包包含一个标识是控制或状态消息的类型字段,以及一个进一步指示是何种类型的控制或状态消息类型的字段。对于UDP和TCP类型还包含两个分别标识源和目的端口号的字段。TCP数据报头还包含区分每个数据报的标识符及保证连接状态的信息的字段。
TCP/IP 安全问题
TCP/IP协议本身有不少的缺陷,允许攻击者利用隐藏通道的方式在看上去正常的数据包中秘密地传输数据。下面我们就通过理论结合例子来对这些缺陷进行进一步说明:
一个隐藏通道指:任何被进程用来进行可能对系统安全策略造成威胁的数据传输的通道。TCP/IP的设计本身并不想有什么隐藏通道,但是设计上的缺陷导致了用来非法传输信息的隐藏通道的存在。
在TCP/IP环境下,有若干可以用来建立隐藏通道,在主机之间实现非法通信的方法,例如:
l 旁路包过滤器,网络探测器(sniffer)和“不洁词”(dirty word)搜索引擎。
l 以在正常的信息包中封装经过加密的或没有经过加密的信息的方式,通过网络秘密传输信息。
l 通过将封装有非法信息的伪装包在Internet上的某一个站点上\"中转\"一次来隐藏被传输的数据的源发送位置。
众所周知,TCP是面向连接的可靠的协议。简单的说,TCP协议采取一定的措施保证到达远端机器的数据没有被篡改。实现这个特性依赖于TCP的三次握手建链机制:
第一步:发送一个带有ISN(Initial Sequence Number,序列号)的同步数据包-SYN。
主机A希望同主机B建立连接。主机A发送一个数据包,该数据包的SYN位被置位,表示希望建立一个新的连接,并且该数据包带有一个ISN号,来识别主机之间发送的不同的数据包。
Host A ------ SYN(ISN) ------> Host B
第二步:远程机器响应一个确认包ACK。
主机B通过发送一个SYN位和ACK位被置位的数据包来响应该主机A的连接请求。这个响应包中不但包含了主机B的ISN,而且包含了主机A的ISN+1表示刚才的连接请求数据包被正确的接收,等待接收SN为ISN+1的数据包。
Host A <------ SYN(ISN+1)/ACK ------ Host B
第三步:主机A通过再发送一个确认包ACK给主机B来完成连接的建立。
Host A ------ ACK ------> Host B
整个连接过程在几个毫秒内完成。握手协议确保在主机之间建立一个可靠的链接。这就是为什么TCP被看作是面向连接的协议。而UDP协议并没有这样的建立连接的协商过程,所以UDP被看作是不可靠的协议。
IP包头:
0
4
8
12
16 19
20
24
28 31
32
VERS
HLEN
Service Type
Total Length
Identification
Flags
Fragment Offset
Source IP Address
Destination IP Address
IP Options
Padding
Data
TCP包头:
0
4
8
12
16
20
24
28 31
Source Port
Destination Port
Sequence Number
Acknowledgement Number
HLEN
Reserved
Code Bits
Window
Checksum
Urgent Pointer
Options
Padding
Data
在两种数据包头内,都有多个字段不是进行正常数据传输所必须的,这些选项字段是由发送者根据需要来决定是否使用的。通过对这些选项字段的分析可以发现有很多种可能来存储和传输数据。利用这些字段的基础是对取值0-255的ASCII字符进行编码。使用这个方法,可以通过在主机之间传送看似正常的数据包如:建立连接请求、正常的数据传输等,来秘密的传输数据。这些数据报包可以在上层协议数据字段中不包含任何数据或者包含一些无用的数据信息。这些数据包甚至可以包含伪装的目的、源地址和端口号,来实现穿越包过滤防火墙。另外,伪装的数据报还可以估计经过网络上一个无关站点的中转(bounce)来逃避追踪。
安全问题的解决方案
下面的协议和系统通常被用来在计算机网络中解决和提供不同程度的安全服务。
l 包过滤
l 网络地址转换(NAT)
l IP安全体系结构(IPSec)
l SOCKS
l 安全套接字层(SSL)
l 应用级代理
l 防火墙
l Kerberos和其它认证系统
l 安全电子传输(SET)
下面这个图解释了这些安全解决方案的在TCP/IP层中的实现:
总结
通过学习和阅读本章,应该掌握如下内容:
应该学会编辑如下的文件来配置Linux系统的网络:“/etc/hosts”、“/etc/host.conf”、“/etc/resolv.conf”、“/etc/HOSTNAME”、“/etc/sysconfig/network”和在“/etc/sysconfig/network-scripts”目录下面的脚本文件。
发布人:netbull 来自:LinuxAid