LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL
Marcin Josef (
marcin.kubiak@abcdata.pl
)
1
Ćwiczenie.
Tworzenie mostów. Ataki na tablicę CAM. Zabezpieczenie tablicy CAM. Zastosowanie mostów.
Przygotowanie laboratorium.
Skonfiguruj następującą sieć (VMware).
HOST1-------VMNET3----------
HOST3-------VMNET5------HOST4-------LAN
HOST2-------VMNET4----------
HOST 3 – bridge sieciowy.
Jak wygląda tablica ARP na 1,J,k,4y
Instalacja ntop.
Instalacja Snort i Snort Inline.
Przegląd budowy Snorta.
LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL
Marcin Josef (
marcin.kubiak@abcdata.pl
)
J
Ćwiczenie.
Podział ruchu. Routing. Oddzielenie domen rozgłoszeniowych.
Przygotowanie laboratorium.
Skonfiguruj następującą sieć (VMware).
HOST1-------VMNET3----------
HOST3-------VMNET5------HOST4-------LAN
HOST2-------VMNET4----------
HOSTk – router sieciowy.
HOST4 – router sieciowy.
Skonfigurowanie systemów resolvera DNS na klientach.
LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL
Marcin Josef (
marcin.kubiak@abcdata.pl
)
k
Ćwiczenia z reguł firewalla.
Wykonaj sprawdzenie reakcji na następujące reguły firewalla.
1.
Iptables –P INPUT DROP
Iptables –P OUTPUT DROP
Iptables –P FORWARD DROP
Iptables –A INPUT –p tcp –dport J5 –j ACCEPT
J. Ściana ogniowa z trzema interfejsami zawierająca strefę DMZ. Analiza reguł.
Iptables –F INPUT
Iptables –F OUTPUT
Iptables –F FORWARD
Iptables –P FORWARD DROP
Iptables –A INPUT –I eth0 –j DROP
Iptables –A OUTPUT –o eth0 –j DROP
Iptables –A FORWARD –f –j ACCEPT
Iptables –A FORWARD –m state –p tcp –state ESTABLISHED,RELATED –j ACCEPT
Iptables –A FORWARD –p tcp –I eth0 –d 80.1.1.1 –dport J5 –j ACCEPT
Iptables –A FORWARD –p tcp –I eth0 –s 8k.1k.J.19k/J9 –d 80.1.1.1 –dport www –j ACCEPT
Iptables –A FORWARD –p tcp –i eth1,ethJ –j ACCEPT
Iptables –A FORWARD –p udp –I eth1,ethJ –j ACCEPT
Obrona przed atakami:
Smurf:
Iptables –A FORWARD –p icmp –d internar_broadcast_address –j DENY
LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL
Marcin Josef (
marcin.kubiak@abcdata.pl
)
4
Sys-flood:
Iptables –A FORWARD –p tcp –syn –m limit –limit 1/s –j ACCEPT
RST – 1/s
Iptables –A FORWARD –p tcp –tcp-flags SYN,ACK,FIN,RST RST –m limit –limit 1/s –j ACCEPT
Ping of death.
Iptables –A FORWARD –p icmp –icmp-type echo-request –m limit –limit 1/s –j ACCEPT
Skanowanie portów.
Iptables –t nat –A PREROUTING –I eth-zew –d IP_ZEW –m psd –j DROP
Odrzucenie pakietów z ponad 10 aktywnymi połączeniami.
Iptables –t Nat –A PREROUTING –j $ejt_iface –p tcp –syn –d $DEST_IP –m iplimit –iplimit-above 10 –
j DROP
Odfiltrowanie zawartosci.
Iptables –t filter –A FORWARD –p tcp –dport http –m string –string “/default.iday” –j DROP
LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL
Marcin Josef (
marcin.kubiak@abcdata.pl
)
5
Ćwiczenie.
Zastosowanie NAT.
Skonfiguruj system NAT na HOSTk.
Skonfiguruj przekierowanie portu 80 z HOSTk na HOST1.
Skonfiguruj przekierowanie portu JJ z HOSTk na HOST1.
Sprawdź numery portów źródłowych i docelowych w odpowiednich pakietach.
Przygotowanie laboratorium.
Skonfiguruj następującą sieć (VMware).
HOST1-------VMNET3----------
HOST3-------VMNET5------HOST4-------LAN
HOST2-------VMNET4----------
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -m mac --mac-source 00:0C:29:80:86:46 -i eth1 -j ACCEPT
iptables -F -t nat
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp -s 0/0 -d 192.168.2.1 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.2.106 --dport 80 -j DNAT --to-destination 10.0.0.2:80
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL
Marcin Josef (
marcin.kubiak@abcdata.pl
)
6
Zadanie.
Jakie są zadania tego firewallay
Chain INPUT (policy DROP) num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:0C:29:80:86:47
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:0C:29:80:86:46
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
Chain FORWARD (policy DROP) num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
4 ACCEPT tcp -- 0.0.0.0/0 192.168.2.1
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0
6 DROP tcp -- 0.0.0.0/0 0.0.0.0/0
7 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
Chain OUTPUT (policy DROP) num target prot opt source destination
1 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL
Marcin Josef (
marcin.kubiak@abcdata.pl
)
7
Ćwiczenie.
Ręczna budowa firewalla.
SKONFIGURUJ SIEĆ.
192.168.1.2-----------192.168.1.1.A.192.168.3.1------- 192.168.3.2
- SKONFIGURUJ ROUTING.
- ZBUDUJ FIREWALLA SPEŁNIAJĄCEGO OKREŚLONE WARUNKI (R CZNIE):
a) tylko tcp/80 w obie strony
b) tylko tcp/80 w jedną stronę
c) icmp w obie strony
d) icmp ograniczone w czasie
e) pakiety SYN do serwera http tylko 10/min
f) pakiety z robakiem - blokowanie
g) określony MAC SOURCE może wysyłać wszystko
h) maskarada na interfejsie eth1 A tylko dla jednego hosta
h) maskarada na interfejsie eth1 A tylko dla jednej sieci
i) maskarada na interfejsie eth1 A tylko dla wszystkich
j) przekazywanie portów
- Zainstaluj program natdet.
LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL
Marcin Josef (
marcin.kubiak@abcdata.pl
)
8
Ćwiczenie.
Budowa firewalla ze strefą DMZ w systemie SuSE Enterprise Server – Yast2.