企业安全丨旧瓶新酒之ngx_lua & fail2ban实现主动诱捕
服务器承担着业务运行及数据存储的重要作用,因此极易成为攻击者的首要目标。如何对业务服务器的安全进行防护,及时找出针对系统的攻击,并阻断攻击,最大程度地降低主机系统安全的风险程度,是企业安全从业人员面临…
服务器在业务运营和数据存储中发挥着重要作用,使其成为攻击者的首要任务。如何保护服务器的安全性,及时发现对系统的攻击,并阻止攻击,最大限度地降低主机系统的安全风险。这是员工面临的问题企业安全。
悬浮镜安全实验室是北京安培强大而专业的安全团队。实验室的核心成员来自北京大学信息安全实验室。它具有许多核心技能,如漏洞挖掘,安全攻击和防御以及机器学习。
这篇原创文章来自悬镜安全实验室投稿安全脉搏,主要是通过引入ngx_lua& fail2ban实现主动陷阱以实现主机保护。
使用主机层WAF的朋友应该熟悉ngxluawaf。已经完成SSH反暴力破解的学生也应该听到fail2ban。
常见的开源主机WAF有三个功能:modsecurity,naxsi和ngxluawaf。ngxlua_waf 高性能且易于使用。基本上为零配置,仅需要维护规则。可以防御常见的攻击类型。相对而言,更多的无忧选择。
同时,基于lua脚本编写模块也非常快,甚至可以实现一些复杂的业务层逻辑安全控件。当然,你可以选择Chunge的openresty。如果选择openresty,则无需单独安装lua相关组件。
这里我们[暂停镜像安全]简要介绍一下安装过程,用nginx或tengine即可,需要安装LuaJIT,操作系统需要安装zlib,zlib-devel,openssl,openssl-devel,pcre,pcre- devel的。 LuaJIT成功安装后,如下图所示。
Tengine编译参数如下:
前缀=的/usr /本地/nginx的
--with-http_lua_module
--with-luajit-LIB=的/usr /本地/luajit/LIB /
--with-luajit-INC=的/usr /本地/luajit /包含/luajit-2.0 /
--with-LD-OPT=-Wl,-rpath,在/usr /本地/luajit/lib中
下载ngxluawaf,下载地址是https://github.com/loveshell/ngxluawaf,解压缩并将其放在/usr/local/nginx/conf目录下,将其重命名为指定名称,如waf,修改ngxluawaf配置文件config.lua,路径是基于实际安装修复的。
RulePath='/usr/local/nginx/conf/waf/wafconf /'
Attacklog='on'
Logdir='/usr/local/nginx/logs/waf'
请注意,logdir指向的目录不存在,需要手动创建。创建后,您需要修改权限。否则,保护日志无权写入。
将以下内容添加到nginx主配置文件nginx.conf的http部分。
Lua_package_path'/usr/local/nginx/conf/waf/?lua';
Lua_shared_dict限制10米;
Init_by_lua_file /usr/local/nginx/conf/waf/init.lua;
Access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;
检查nginx配置/usr/local/nginx/sbin/nginx -t。如果重启nginx没有问题,它将生效。
Fail2ban安装我们不会介绍太多,安装配置比较简单,但fail2ban的经典用法基本上是用来做SSH反暴力破解,那么fail2ban和ngxluawaf之间有什么关系?
实际上,看一下fail2ban的原理,通过规律性地匹配SSH日志中的关键字,根据定义的触发规则的数量,调用iptables来攻击IP禁令一段时间。
我相信每个人都想到了它,因为它可以匹配SSH日志,也可以匹配web日志,只是为了定义相关的匹配规则,fail2ban本身也支持apache和vsftp。
其他应用系统也是如此。分析场景并编写规则。
话虽如此,这是我们关注的焦点。我们的目标是积极捕获有针对性的攻击。主动诱捕与传统蜜罐相关。传统的蜜罐被动地诱使攻击者访问并随后对其采取行动。做一个记录。
主动陷阱是指将目标攻击主动转移到蜜罐网络,这对攻击者几乎是透明的,并且无意中进入我们的蜜罐网络。为什么要使用主动陷阱来抵御它?每个人都可能有这种经历。我们的应用系统每天都会受到多次攻击,但99%可能是盲扫扫描,不到1%可能是目标。性攻击以及我们真正关心的实际上是这种1%针对性的攻击。 99%的垃圾数据覆盖了1%的有效数据,对分析造成了很大的干扰。为了使主动陷阱真正起作用,我们必须首先整理业务场景,并整理出场景真正具有威胁性的攻击。根据实际情况编写规则。当攻击行为触发规则时,过滤掉攻击IP并调用iptables。转发到蜜罐网络。
蜜罐网根据不同的需求,可以跟踪和分析KILLCHAIN,并可以根据服务分析攻击行为,然后调整整体安全策略,实现有效的防御。
当然,蜜罐网应该是孤立的,否则会造成很大的安全隐患。这项技术也是一把双刃剑。 iptables可以将攻击IP流量转发到蜜罐网络。我相信每个人都会考虑使用iptables来实现端口多路复用。绕过一些端口访问控制。因此,为了获得更好的防御,您必须比攻击者更好地了解您的系统。
[本文由悬浮安全实验室提交。请注明“从安全脉冲转移”并附上链接https://www.com/archives/59444.html。 】
同时,基于lua脚本编写模块也非常快,甚至可以实现一些复杂的业务层逻辑安全控件。当然,你可以选择Chunge的openresty。如果选择openresty,则无需单独安装lua相关组件。
这里我们[暂停镜像安全]简要介绍一下安装过程,用nginx或tengine即可,需要安装LuaJIT,操作系统需要安装zlib,zlib-devel,openssl,openssl-devel,pcre,pcre- devel的。 LuaJIT成功安装后,如下图所示。
Tengine编译参数如下:
前缀=的/usr /本地/nginx的
--with-http_lua_module
--with-luajit-LIB=的/usr /本地/luajit/LIB /
--with-luajit-INC=的/usr /本地/luajit /包含/luajit-2.0 /
--with-LD-OPT=-Wl,-rpath,在/usr /本地/luajit/lib中
下载ngxluawaf,下载地址是https://github.com/loveshell/ngxluawaf,解压缩并将其放在/usr/local/nginx/conf目录下,将其重命名为指定名称,如waf,修改ngxluawaf配置文件config.lua,路径是基于实际安装修复的。
RulePath='/usr/local/nginx/conf/waf/wafconf /'
Attacklog='on'
Logdir='/usr/local/nginx/logs/waf'
请注意,logdir指向的目录不存在,需要手动创建。创建后,您需要修改权限。否则,保护日志无权写入。
将以下内容添加到nginx主配置文件nginx.conf的http部分。
Lua_package_path'/usr/local/nginx/conf/waf/?lua';
Lua_shared_dict限制10米;
Init_by_lua_file /usr/local/nginx/conf/waf/init.lua;
Access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;
检查nginx配置/usr/local/nginx/sbin/nginx -t。如果重启nginx没有问题,它将生效。
Fail2ban安装我们不会介绍太多,安装配置比较简单,但fail2ban的经典用法基本上是用来做SSH反暴力破解,那么fail2ban和ngxluawaf之间有什么关系?
实际上,看一下fail2ban的原理,通过规律性地匹配SSH日志中的关键字,根据定义的触发规则的数量,调用iptables来攻击IP禁令一段时间。
我相信每个人都想到了它,因为它可以匹配SSH日志,也可以匹配web日志,只是为了定义相关的匹配规则,fail2ban本身也支持apache和vsftp。
其他应用系统也是如此。分析场景并编写规则。
话虽如此,这是我们关注的焦点。我们的目标是积极捕获有针对性的攻击。主动诱捕与传统蜜罐相关。传统的蜜罐被动地诱使攻击者访问并随后对其采取行动。做一个记录。
主动陷阱是指将目标攻击主动转移到蜜罐网络,这对攻击者几乎是透明的,并且无意中进入我们的蜜罐网络。为什么要使用主动陷阱来抵御它?每个人都可能有这种经历。我们的应用系统每天都会受到多次攻击,但99%可能是盲扫扫描,不到1%可能是目标。性攻击以及我们真正关心的实际上是这种1%针对性的攻击。 99%的垃圾数据覆盖了1%的有效数据,对分析造成了很大的干扰。为了使主动陷阱真正起作用,我们必须首先整理业务场景,并整理出场景真正具有威胁性的攻击。根据实际情况编写规则。当攻击行为触发规则时,过滤掉攻击IP并调用iptables。转发到蜜罐网络。
蜜罐网根据不同的需求,可以跟踪和分析KILLCHAIN,并可以根据服务分析攻击行为,然后调整整体安全策略,实现有效的防御。
当然,蜜罐网应该是孤立的,否则会造成很大的安全隐患。这项技术也是一把双刃剑。 iptables可以将攻击IP流量转发到蜜罐网络。我相信每个人都会考虑使用iptables来实现端口多路复用。绕过一些端口访问控制。因此,为了获得更好的防御,您必须比攻击者更好地了解您的系统。
[本文由悬浮安全实验室提交。请注明“从安全脉冲转移”并附上链接https://www.com/archives/59444.html。 】
- 发表于 2017-07-25 08:00
- 阅读 ( 590 )
- 分类:黑客技术
