用SYN包特性增強網絡安全

考慮下面的情形:
內部網為198.199.1.0,用linux作路由器兼防火墻連接到Internet。在防火墻上，eth0接外網，eth1接內網。

針對www服務的安全性，設置如下一組ipchains 規則:
ipchains -A input -p tcp -s 198.199.1.0/24 :1024 -d 0.0.0.0/0 www -i eth1 -j ACCEPT
ipchains -A input -p tcp -s 0.0.0.0/0 www -d 198.199.1.0/24 1024: -i eth0 -j ACCEPT
在以上的設置中，只允許內部用戶用1024（非定義端口）以上的端口訪問Internet中的www主機；換句話說，允許內部網主機上大于1024的端口和Internet上的80端口建立連接。試想一下，這將允許Internet上的主機用80端口連接到你內部網主機的一個大于1024的端口上，由此我們看到，系統存在安全隱患，因為有好多服務的服務端口是大于1024的。那么，怎么樣來克服這一隱患呢，我們可以用SYN包的特性來消除這一隱患。

先讓我們來看一看TCP數據段頭的標志位。TCP共有六位標志位，分別是：URG、ACK、PSH、RST、SYN和FIN。我們著重來看一下其中的ACK、SYN和FIN標志位。
ACK：表示確認號是否合法，1表示合法，0表示確認號無效。確認號指的是希望收到的下一個字節而不是前面已經收到的字節。由此可見，發起建立連接請求的包（即第一個保）的ACK為總是置0的，其后的包則總是置1。
SYN：用來建立連接。在連接請求中，SYN=1，連接請求確認中，SYN=1。因此，SYN表示CONNECTION REQUEST和CONNECTION ACCEPTED。在其后的TCP包中，SYN總是被置成0。
FIN：用于撤銷連接。

以上可以用下表來加以總結：

ACK標志位 SYN標志位 該TCP包的含義
0 1 連接請求
1 1 連接請求確認（接受連接請求）
1 0 確認連接請求確認
1 0 數據包
... ... ...

我們所謂的SYN包，就是連接請求包。如上所示，SYN包具有如下特點：SYN=1，ACK=0，FIN=0。所以，為了過濾連接請求包，只要將SYN包過濾掉即可。

在ipchains中，我們可以這樣來指定SYN包：
-p tcp -s x.x.x.x/x -y
如可以這樣定義所有來自192.168.1.0的SYN包:
-p tcp -s 192.168.1.0/24 -y
我們也可以在-y前面加上!來定義所有非SYN包:
-P tcp -s x.x.x.x/x ! -y

所以,在上面的例子中,我們可以這樣來增強網絡的安全性:

ipchains -A input -p tcp -s 198.199.1.0/24 :1024 -d 0.0.0.0/0 www -i eth1 -j ACCEPT
ipchains -A input -p tcp ! -y -s 0.0.0.0/0 www -d 198.199.1.0/24 1024: -i eth0 -j ACCEPT

這將禁止Internet上的主機用80端口連接到你內部網主機的一個大于1024的端口,從而達到增強網絡安全性的目的。

參考資料：
1.IPCHANIS-HOWTO
2.Internet 防火墻域網絡安全
3.計算機網絡

原文轉自：http://www.kjueaiud.com