如何验证主机是否按原样应用防火墙规则集？

Question

我有一项把规则集发送给一队主机的服务。每台主机都需要将其规则集应用到其防火墙(iptables)，然后将确认发送回服务。

我想知道是否有一种方法来验证主机没有“说谎”，并且它是否按原样应用了规则集。

我可以想到的一种方法是在主机上放置一个证书，并让它返回一个用证书签名的iptables日志，但是这显然不够好，因为主机可以伪造iptables日志并对其签名。

Answer 1

我同意前面的回答:一个显而易见的步骤是从防火墙的外部进行端口扫描和漏洞扫描。这样做并不是一种灵丹妙药(正如已经指出的那样，即使是技术不高的攻击者也可以设置入站流量规则，这种规则只会对来自坏人指定的ips的连接做出响应)。

除此之外，一个重要的方法是进行取样和人工检查。换句话说，在需要确保正确应用规则的主机/防火墙中，选择一个子集(最好是随机/伪随机方式)，连接到它们中，并检查规则集。(除此之外，如果攻击者已经拥有了该盒子，他/她可以隐藏恶意规则/绕过直接检查，那么您就已经处于八球的后面了。)

当然，采样不是神奇的解决方案，就像漏洞&配置扫描不是神奇的解决方案。您选中的框越多，相对于需要正确应用规则的数字，该方法就越有用。但实际上，这种情况需要多种方法来验证正确的防火墙规则是否有效。

Answer 2

如果攻击者对主机有足够的控制来操纵您的代码、感知iptables的状态，那么主机就被破坏了，您根本不能信任它！Iptable可能是为了巧妙地修补，允许攻击者绕过您的规则，但仍然响应，告诉系统中的每个人一切都很好。在这一点上Iptable是无用的:把防弹背心放在枪伤的伤口上是不会停止流血的！

我能看到的唯一真正的解决方案是使用tripwire或其他基于主机的入侵检测系统来监视主机是否有恶意更改。无论你做什么，尽管你不能100%，你的主人是不会妥协的。这是一个减轻风险的问题。

Answer 3

如果防火墙配置正确，使用Saint或Nessus这样的工具进行裸露的黑匣子扫描(从外部扫描，其间没有网络防御)将给您一个合理的想法。它将使用各种技术测试各种连接或响应的协议和端口。

Nessus还可以执行经过身份验证的扫描，这些扫描将检查主机对自己说了什么，这是不可信的，但是可以识别配置错误。

在使用这种工具进行网络扫描之前，可能需要得到网络操作员的同意。一定要先检查一下，以避免出现问题。