AT的簡(jiǎn)單介紹,可以參考我前面的一個(gè)文章:“NAT在華為路由器中的運(yùn)用”。這一篇來(lái)介紹一下,NAT技術(shù)不光在路由器上可以使用,也可以在華為防火墻上進(jìn)行使用。
在華為防火墻中的簡(jiǎn)單應(yīng)用之一:NO-PAT技術(shù),NO-PAT是指只轉(zhuǎn)換報(bào)文的IP地址,不轉(zhuǎn)換端口。這種適合內(nèi)網(wǎng)的主機(jī)上網(wǎng)數(shù)量較少,外網(wǎng)IP比較充足的情況。
拓?fù)鋱D如下
IP地址參考拓?fù)鋱D
配置如下
防火墻配置安全策略
[FW1]policy interzone trust untrust outbound
[FW1-policy-interzone-trust-untrust-outbound]policy 0
[FW1-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 0.0.0.255
[FW1-policy-interzone-trust-untrust-outbound-0]action permit
[FW1-policy-interzone-trust-untrust-outbound-0]quit
[FW1-policy-interzone-trust-untrust-outbound]quit
[FW1]nat address-group 0 200.1.1.10 200.1.1.20 //先定義一個(gè)地址池
配置NAT策略
[FW1]nat-policy interzone trust untrust outbound
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 0
[FW1-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 0.0.0.255
[FW1-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
[FW1-nat-policy-interzone-trust-untrust-outbound-0]address-group 0 no-pat
[FW1-nat-policy-interzone-trust-untrust-outbound-0]quit
測(cè)試一下如下圖,讓PC1去ping主機(jī)Internet-PC2就可以訪問(wèn)了。
如果我們把NAT去掉,看還通嗎
進(jìn)入NAT策略,把引用地址池的那個(gè)命令刪除掉。此時(shí)再讓PC1去ping主機(jī)Internet-PC2的時(shí)候就不通了。
[FW1-nat-policy-interzone-trust-untrust-outbound-0]undo address-group //刪除NAT策略里面的引用地址池0的命令。也就是取消了NAT動(dòng)作。
小酌之余,僅供參考與學(xué)習(xí)交流,喜歡的請(qǐng)點(diǎn)個(gè)贊哈,謝謝!
Win10作為微軟推出的最新Windows系統(tǒng),相對(duì)于Win7/8/8.1等版本加入了許多新功能,比如Cortana小娜、Windows Hello等,整體功能有所加強(qiáng)。然而,這些新功能的體驗(yàn)需要用戶個(gè)人數(shù)據(jù)的支撐,收集的數(shù)據(jù)越全面,用戶體驗(yàn)就越好。
事物都有兩面性,在擁有好的體驗(yàn)的同時(shí),數(shù)據(jù)的收集與泄露風(fēng)險(xiǎn)也將隨之而來(lái)。微軟官方曾發(fā)出隱私聲明,聲明中明確說(shuō)明了會(huì)收集用戶信息,可能包括姓名和聯(lián)系人數(shù)據(jù)、憑據(jù)(如密碼)、統(tǒng)計(jì)數(shù)據(jù)(如年齡、性別、所在國(guó)家地區(qū))、付款信息、設(shè)備和使用情況信息、興趣愛(ài)好、與聯(lián)系人的關(guān)系(如Outlook.com管理聯(lián)系人)、位置數(shù)據(jù)、通信內(nèi)容(如Skpye傳輸?shù)奈募ㄐ艃?nèi)容)。
本期,ISEC實(shí)驗(yàn)室的老師為我們帶來(lái)Win10收集用戶信息的抓包分析,以及不同應(yīng)對(duì)措施下的分析比對(duì)和總結(jié)。
Win10收集用戶信息抓包分析
Wireshark抓包分析
環(huán)境:上網(wǎng)機(jī)安裝VMware workstations 12,然后創(chuàng)建Win10虛擬機(jī)(Win10企業(yè)版),Win10虛擬機(jī)上安裝wireshark,設(shè)置Nat模式共享主機(jī)網(wǎng)絡(luò),選擇好抓取網(wǎng)絡(luò)(Ethernet0),啟動(dòng)wireshark進(jìn)行長(zhǎng)時(shí)間(1~2天)分多包抓取。命令行模式抓包,如下圖:
我們先選取沒(méi)有中斷的包分析(如時(shí)間段2017.10.18_16:23 ~ 2017.10.19_09:25),在wireshark統(tǒng)計(jì)一欄查看IP地址使用頻率:
然后連接的目的地址使用頻率:
查詢IP得知,連接地址主要是Microsoft公司和Akamai Tecknologies公司,后者是云服務(wù)提供商。通過(guò)wireshark過(guò)濾(ip過(guò)濾和dns過(guò)濾),條件為本地源地址和上述目的地址,如:ip.src==192.168.137.94 and ip.dst==23.45.232.42,如下圖:
此連接(目的IP:23.45.232.42,微軟布于Akamai網(wǎng)絡(luò)的服務(wù)器IP,域名為:img-prod-cms-rt-microsoft-com.akamaized.net)有TCP傳輸,并且經(jīng)過(guò)TLS1.2協(xié)議加密處理,這段時(shí)間系統(tǒng)間斷性地向微軟上傳數(shù)據(jù),并下載圖片文件(如Microsoft Store或Inbox MSN Apps啟動(dòng)時(shí))。
進(jìn)一步分析18號(hào)9:00到14:05,即白天更新前的抓包數(shù)據(jù),9:00抓包前特意注冊(cè)了Microsoft賬號(hào),并用此賬號(hào)登錄計(jì)算機(jī),然后激活了Cortana(小娜語(yǔ)音助手)應(yīng)用。由于凌晨的更新重啟,抓包中斷,使得再次運(yùn)行時(shí)虛擬機(jī)的本地IP有變動(dòng)(本地IP:192.168.137.2)。
解析到微軟服務(wù)器的IP為:157.55.109.226(域名為:storage.live.com),我們有針對(duì)性地過(guò)濾此IP,得到與本地IP的互動(dòng)也是TLS1.2加密過(guò)的。
傳輸中有如下記錄:
注冊(cè)Microsoft賬號(hào)與及激活小娜助手后,這邊多出了與Windows.live web服務(wù)平臺(tái)相關(guān)的內(nèi)容,如msn、郵箱、電話、Skype登入Windows live。注冊(cè)Microsoft賬號(hào)并登入后,個(gè)人的賬戶信息以及其它連帶的信息微軟都能夠收集到。
18號(hào)凌晨1點(diǎn)更新時(shí)做了什么?
能夠解析到的IP只有兩個(gè):106.122.253.191及111.221.29.254,更新前服務(wù)器(如106.122.253.191)那邊會(huì)收集用戶信息(如系統(tǒng)信息):
然后本機(jī)向au.b1.download.windowsupdate.com發(fā)出GET請(qǐng)求(如下圖)以便獲取操作系統(tǒng)補(bǔ)丁和更新包:
111.221.29.254對(duì)應(yīng)域名:v10.vortex-win.data.microsoft.com,用于Connected User Experiences(互聯(lián)用戶體驗(yàn))/Telemetry component(遙測(cè)組件)和連接到Microsoft Data Management service(微軟數(shù)據(jù)管理服務(wù)),幫助微軟找到和修復(fù)問(wèn)題,提升產(chǎn)品和服務(wù)。
Fiddler抓包分析
Fiddler抓包的優(yōu)點(diǎn)是可以抓取TLS包里的傳輸內(nèi)容,并直觀地查看。
此次Fiddler抓包時(shí)間段為:2017.10.18 18:20-2017.10.19 10:00。在此過(guò)程除了wireshark命令行同時(shí)抓包,不開啟其它運(yùn)用,不做任何其它操作,Windows的網(wǎng)絡(luò)行為同樣豐富,如本機(jī)向應(yīng)用商城的自動(dòng)請(qǐng)求、天氣獲取、更新桌面圖片應(yīng)用(如下圖)、livetileedge活動(dòng)貼片瀏覽應(yīng)用相關(guān)網(wǎng)站GET請(qǐng)求、甚至Facebook訪問(wèn)。
桌面圖片更新請(qǐng)求:
不做其他操作,同樣能捕捉到系統(tǒng)的傳輸行為,重點(diǎn)的POST報(bào)文(上傳動(dòng)作)涉及的域名如:arc.msn.com、cn.bing.com、musicdelivery-ssl.xboxlive.com、m.hotmail.com、v10.vortex-win.data.microsoft.com。
向arc.msn.com上傳數(shù)據(jù):
POST內(nèi)容解密后為:
這邊涉及到很多內(nèi)容和參數(shù)(如各種ID、國(guó)家、HTTPS=1、時(shí)間等),僅看后面著色部分可知,它至少上傳了計(jì)算機(jī)參數(shù),如X64代表系統(tǒng)是64位的、ENTERPRISE代表系統(tǒng)為企業(yè)版、然后是VMWARE VIRTUAL PLATFORM代表運(yùn)行在VMware虛擬機(jī)平臺(tái)上。
向musicdelivery-ssl.xboxlive.com上傳音頻:
有音頻的ID,名稱,類型,版本:
上傳數(shù)據(jù)到m.hotmail.com:
所謂的內(nèi)容類型為應(yīng)用同步,具體內(nèi)容是加密的,但cookie中出現(xiàn)了默認(rèn)的授權(quán)郵箱是24xxxxxx9@qq.com,這是用來(lái)注冊(cè)Microsoft賬戶的郵箱,注冊(cè)發(fā)生在fiddler抓包前兩小時(shí),上傳內(nèi)容包括Windows版本號(hào),看服務(wù)器應(yīng)答時(shí)間是2017.10.18 23:39:03,然后回復(fù)內(nèi)容包含Outlook的相關(guān)內(nèi)容,且又出現(xiàn)了qq郵箱,只要和Microsoft服務(wù)掛鉤上的信息,微軟就能用上了。
可見(jiàn),Win10系統(tǒng)與微軟的數(shù)據(jù)交互頻繁,涉及用戶的賬戶信息、設(shè)備系統(tǒng)信息等等,雖不能一一舉證,正如其官方的隱私聲明:只要涉及微軟產(chǎn)品的各項(xiàng)服務(wù)的提升,就會(huì)收集用戶的“必要”信息。可以初步證實(shí)Win10系統(tǒng)下,本測(cè)試開始提出的微軟可能收集的具體用戶信息都有可能被上傳。
API Monitor 監(jiān)測(cè)輔助分析
利用API Monitor跟蹤網(wǎng)絡(luò)連接時(shí)API調(diào)用,過(guò)濾條件及監(jiān)測(cè)進(jìn)程如下圖:
這邊微軟用到了WinHttp這一系列API進(jìn)行連接,經(jīng)分析捕捉到的主要進(jìn)程、域名信息如下圖:
服務(wù)進(jìn)程將主機(jī)名—DESKTOP-74UHBQJ作為DNS名進(jìn)行詢問(wèn)
發(fā)送請(qǐng)求:
查看其中的xml內(nèi)容發(fā)現(xiàn)開始內(nèi)容為:
后邊又出現(xiàn)了“apimonitor-x64、Process Monitor、Procmon.exe”字眼,Process Monitor應(yīng)用是為監(jiān)測(cè)進(jìn)程手動(dòng)開啟,這邊顯然是受到Windows Defender的監(jiān)測(cè)。
下面設(shè)備數(shù)據(jù)元檢索發(fā)送的xml包含了語(yǔ)言國(guó)家地理等信息:
附:本次Wireshark/Fiddler抓包ip、域名、目的情況表
應(yīng)對(duì)策略
利用ShutUp10關(guān)閉win10自動(dòng)上傳功能
利用ShutUp10(安全軟件公司O&O專門針對(duì)win10開發(fā)的反監(jiān)測(cè)工具)關(guān)閉相應(yīng)功能或服務(wù),如隱私(個(gè)人/APP相關(guān))、安全、網(wǎng)頁(yè)瀏覽相關(guān)(特別是Edge瀏覽)、windows設(shè)置同步、Cortana語(yǔ)音個(gè)人助手、地理位置服務(wù)、用戶個(gè)人習(xí)慣、Windows更新、Windows資源管理器設(shè)置、Windows防御和微軟局域網(wǎng)抓包、鎖屏相關(guān)等,部分停用選項(xiàng)如下圖:
關(guān)閉前后對(duì)比如下:
關(guān)閉相關(guān)功能后,抓包的量比之前少了很多,回連上傳的IP地址或域名也相應(yīng)減少。
在ShutUp10關(guān)閉自動(dòng)上傳功能的基礎(chǔ)上,利用DWS_lite強(qiáng)力反監(jiān)測(cè)
在DWS_lite(全稱Destroy Windows Spying,GitHub上的開源程序,功能是破壞Windows 7/8/8.1/10 上的監(jiān)測(cè)功能)程序操作的大多數(shù)部分是不可逆的,甚至系統(tǒng)還原也不能回退更改。比ShutUp10更為強(qiáng)力與徹底,選擇摧毀之前要先設(shè)置摧毀選項(xiàng),其主界面和小工具如下:
設(shè)置后回到主界面點(diǎn)擊Destroy Windows10 Spying框進(jìn)行監(jiān)測(cè)的刪除,如下圖:
成功后需要重啟,以便禁用監(jiān)測(cè)軟件:
應(yīng)用后的Fiddler及wireshark抓包情況如下:
Put方法上傳到cs.dds.microsoft.com的更新數(shù)據(jù)有:設(shè)備信息(如可否更新、系統(tǒng)平臺(tái)及其系列號(hào)(此處為VM)、系統(tǒng)類型、版本及版本號(hào)、所處地),用戶信息(如此處列出了默認(rèn)的瀏覽器為微軟的Edge瀏覽器)。具體見(jiàn)下圖:
Wireshark抓包:
雖然在DWS_lite設(shè)置中勾選了刪除相應(yīng)應(yīng)用的選項(xiàng)框,但是Film_TV、groove music、OneNote、Phone comanion(手機(jī)助手)、相冊(cè)、Skype、solitaire collection(紙牌游戲)、地圖、天氣、Xbox、資訊等應(yīng)用并沒(méi)有刪除,所有的應(yīng)用都能正常使用,在一切沒(méi)有改變的表象之下,抓包量與上傳量明顯比之前僅用ShutUp工具時(shí)要少。
利用DWS_lite完全刪除Win10 metro應(yīng)用
這次是在ShutUp10以及DWS_litew完全應(yīng)用(即勾上了Win10 metro應(yīng)用刪除選項(xiàng)框)的終極情況,其中刪除應(yīng)用后的界面如下:
與沒(méi)刪之前(下圖)的對(duì)比明顯,但還是殘留有Cortana(小娜語(yǔ)音助手)、微軟商城、OneDrive等。
抓包結(jié)果:
根據(jù)需求,使用不同版本的Win10
Windows 10家庭版擁有Windows全部核心功能。系統(tǒng)將會(huì)自動(dòng)安裝任何安全補(bǔ)丁,不再向用戶詢問(wèn)。
Windows 10專業(yè)版對(duì)比家庭版主要增加了一些安全類及辦公類功能。
Windows 10企業(yè)版功能最全,是針對(duì)企業(yè)用戶提供的版本,相比于家庭版本,企業(yè)版提供了專為企業(yè)用戶設(shè)計(jì)的強(qiáng)大功能。新增了Long Term Servicing Branches的服務(wù),可讓企業(yè)拒絕功能性升級(jí)而只獲得安全相關(guān)的升級(jí)。
Windows 10教育版最強(qiáng)大,專為大型學(xué)術(shù)機(jī)構(gòu)設(shè)計(jì)的版本,具備企業(yè)版中的安全、管理及連接功能。除了更新選項(xiàng)方面的差異之外,與Windows企業(yè)版功能沒(méi)有區(qū)別。
本測(cè)試僅對(duì)Win10企業(yè)版做了長(zhǎng)時(shí)間的跟蹤抓包與分析,按照官方聲明,所受的服務(wù)越多,相應(yīng)的用戶體驗(yàn)更佳,收集的信息應(yīng)該是會(huì)更多的,所以可以推測(cè)教育版與企業(yè)版收集的信息會(huì)更多。我們可以選擇諸如Win10中國(guó)定制版、企業(yè)長(zhǎng)期服務(wù)支持版等相對(duì)比較純凈或精簡(jiǎn)的版本。
Win10企業(yè)版64位2016長(zhǎng)期服務(wù)版相對(duì)來(lái)說(shuō)比之前的其他版本要純凈得多(如下面開機(jī)界面),沒(méi)有了Cortana(小娜語(yǔ)音助手)、微軟商城和各種Win10 metro應(yīng)用,僅僅殘留有OneDrive,為此我們可以利用ShutUp10和DWS_lite關(guān)閉或屏蔽OneDrive功能以及自動(dòng)更新,使用第三方軟件管理更新,上傳的數(shù)據(jù)量也大大減少,好幾天的抓包量是之前Win10企業(yè)版64位(10.0,版本15063)系統(tǒng)一天的抓包量,但仍然是會(huì)有不可免的信息上傳。相比較而言使用此版本是較為放心與安全的。
注:Win10 LTSB(長(zhǎng)期服務(wù))版開機(jī)后界面
總結(jié)
Win10系統(tǒng)與微軟的數(shù)據(jù)交互頻繁,本測(cè)試能捕捉的上傳證據(jù)涉及方位(國(guó)家城市,由天氣應(yīng)用上傳可知)、用戶的賬戶信息、設(shè)備系統(tǒng)信息、音頻、安全證書授權(quán)相關(guān)信息、同步的用戶所有的信息、網(wǎng)頁(yè)瀏覽相關(guān)、用戶設(shè)置、應(yīng)用商城相關(guān)信息等等,雖不能一一舉證,正如其官方模糊的隱私聲明:只要涉及微軟產(chǎn)品的各項(xiàng)服務(wù)的提升,就會(huì)收集用戶“必要”信息。
在利用了ShutUp10和DWS_lite關(guān)閉或刪除部分功能后,仍然殘留有Cortana(小娜語(yǔ)音助手)、微軟商城、OneDrive等,但Win10上傳的動(dòng)作顯然大大減少,能夠有效的阻止大部分Win10系統(tǒng)下微軟對(duì)我們的監(jiān)測(cè),特別是最后測(cè)試刪除了Win10 metro應(yīng)用后效果最為明顯,刪除了metro應(yīng)用就不能使用其相應(yīng)的服務(wù)功能了(此步不可還原,根據(jù)需求操作),但是不影響我們正常的日常辦公、開發(fā)工作。
需要注意的是Windows更新關(guān)閉后,Windows 漏洞或服務(wù)更新需要我們用第三方軟件進(jìn)行管理更新,此時(shí)也能得到及時(shí)全面的維護(hù)。所以,想要減少數(shù)據(jù)被上傳就應(yīng)減少Win10中不必要的應(yīng)用與服務(wù),可選擇類似ShutUp10及DWS_lite反監(jiān)測(cè)工具進(jìn)行減少Win10與微軟的數(shù)據(jù)交互,能大大減少數(shù)據(jù)的上傳,但還不是很徹底,如殘留的Cortana(小娜語(yǔ)音助手)、微軟商城、OneDrive等。
針對(duì)不同目的,我們可以選擇不同的版本,為減少監(jiān)測(cè)可以選諸如Win10中國(guó)定制版、企業(yè)長(zhǎng)期服務(wù)支持版等相對(duì)比較純凈或精簡(jiǎn)的版本,也可利用ShutUp10和DWS_lite關(guān)閉或刪除部分功能以減少監(jiān)測(cè)。
總之,對(duì)應(yīng)的策略可最終歸納為以下兩點(diǎn):
● 利用系統(tǒng)功能關(guān)閉工具反監(jiān)測(cè),例如:ShutUp10和DWS_lite
● 使用Windows 10 純凈或精簡(jiǎn)版,如:Win10企業(yè) LTSB(企業(yè)長(zhǎng)期服務(wù))版、Win10中國(guó)定制版。