LX-04  ĆWICZENIA DO SZKOLENIA  BEZPIECZEC
STWO SYSTEMU LINUX  EDUKACJA.ABCDATA.PL
Ćwiczenie.
Tworzenie mostów. Ataki na tablicę CAM. Zabezpieczenie tablicy CAM. Zastosowanie mostów.
Przygotowanie laboratorium.
Skonfiguruj następującą sieć (VMware).
HOST1-------VMNET3----------
HOST3-------VMNET5------HOST4-------LAN
HOST2-------VMNET4----------
HOST 3  bridge sieciowy.
Jak wygląda tablica ARP na 1,J,k,4y
Instalacja ntop.
Instalacja Snort i Snort Inline.
Przegląd budowy Snorta.
Marcin Josef (marcin.kubiak@abcdata.pl) 1
LX-04  ĆWICZENIA DO SZKOLENIA  BEZPIECZEC
STWO SYSTEMU LINUX  EDUKACJA.ABCDATA.PL
Ćwiczenie.
Podział ruchu. Routing. Oddzielenie domen rozgłoszeniowych.
Przygotowanie laboratorium.
Skonfiguruj następującą sieć (VMware).
HOST1-------VMNET3----------
HOST3-------VMNET5------HOST4-------LAN
HOST2-------VMNET4----------
HOSTk  router sieciowy.
HOST4  router sieciowy.
Skonfigurowanie systemów resolvera DNS na klientach.
Marcin Josef (marcin.kubiak@abcdata.pl) J
LX-04  ĆWICZENIA DO SZKOLENIA  BEZPIECZEC
STWO SYSTEMU LINUX  EDUKACJA.ABCDATA.PL
Ćwiczenia z reguł firewalla.
Wykonaj sprawdzenie reakcji na następujące reguły firewalla.
1.
Iptables  P INPUT DROP
Iptables  P OUTPUT DROP
Iptables  P FORWARD DROP
Iptables  A INPUT  p tcp  dport J5  j ACCEPT
J. Ściana ogniowa z trzema interfejsami zawierająca strefę DMZ. Analiza reguł.
Iptables  F INPUT
Iptables  F OUTPUT
Iptables  F FORWARD
Iptables  P FORWARD DROP
Iptables  A INPUT  I eth0  j DROP
Iptables  A OUTPUT  o eth0  j DROP
Iptables  A FORWARD  f  j ACCEPT
Iptables  A FORWARD  m state  p tcp  state ESTABLISHED,RELATED  j ACCEPT
Iptables  A FORWARD  p tcp  I eth0  d 80.1.1.1  dport J5  j ACCEPT
Iptables  A FORWARD  p tcp  I eth0  s 8k.1k.J.19k/J9  d 80.1.1.1  dport www  j ACCEPT
Iptables  A FORWARD  p tcp  i eth1,ethJ  j ACCEPT
Iptables  A FORWARD  p udp  I eth1,ethJ  j ACCEPT
Obrona przed atakami:
Smurf:
Iptables  A FORWARD  p icmp  d internar_broadcast_address  j DENY
Marcin Josef (marcin.kubiak@abcdata.pl) k
LX-04  ĆWICZENIA DO SZKOLENIA  BEZPIECZEC
STWO SYSTEMU LINUX  EDUKACJA.ABCDATA.PL
Sys-flood:
Iptables  A FORWARD  p tcp  syn  m limit  limit 1/s  j ACCEPT
RST  1/s
Iptables  A FORWARD  p tcp  tcp-flags SYN,ACK,FIN,RST RST  m limit  limit 1/s  j ACCEPT
Ping of death.
Iptables  A FORWARD  p icmp  icmp-type echo-request  m limit  limit 1/s  j ACCEPT
Skanowanie portów.
Iptables  t nat  A PREROUTING  I eth-zew  d IP_ZEW  m psd  j DROP
Odrzucenie pakietów z ponad 10 aktywnymi połączeniami.
Iptables  t Nat  A PREROUTING  j $ejt_iface  p tcp  syn  d $DEST_IP  m iplimit  iplimit-above 10 
j DROP
Odfiltrowanie zawartosci.
Iptables  t filter  A FORWARD  p tcp  dport http  m string  string  /default.iday  j DROP
Marcin Josef (marcin.kubiak@abcdata.pl) 4
LX-04  ĆWICZENIA DO SZKOLENIA  BEZPIECZEC
STWO SYSTEMU LINUX  EDUKACJA.ABCDATA.PL
Ćwiczenie.
Zastosowanie NAT.
Skonfiguruj system NAT na HOSTk.
Skonfiguruj przekierowanie portu 80 z HOSTk na HOST1.
Skonfiguruj przekierowanie portu JJ z HOSTk na HOST1.
Sprawdz
numery portów z
ródłowych i docelowych w odpowiednich pakietach.
Przygotowanie laboratorium.
Skonfiguruj następującą sieć (VMware).
HOST1-------VMNET3----------
HOST3-------VMNET5------HOST4-------LAN
HOST2-------VMNET4----------
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -m mac --mac-source 00:0C:29:80:86:46 -i eth1 -j ACCEPT
iptables -F -t nat
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp -s 0/0 -d 192.168.2.1 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.2.106 --dport 80 -j DNAT --to-destination 10.0.0.2:80
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
Marcin Josef (marcin.kubiak@abcdata.pl) 5
LX-04  ĆWICZENIA DO SZKOLENIA  BEZPIECZEC
STWO SYSTEMU LINUX  EDUKACJA.ABCDATA.PL
Zadanie.
Jakie są zadania tego firewallay
Chain INPUT (policy DROP) num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:0C:29:80:86:47
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:0C:29:80:86:46
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
Chain FORWARD (policy DROP) num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
4 ACCEPT tcp -- 0.0.0.0/0 192.168.2.1
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0
6 DROP tcp -- 0.0.0.0/0 0.0.0.0/0
7 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
Chain OUTPUT (policy DROP) num target prot opt source destination
1 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
Marcin Josef (marcin.kubiak@abcdata.pl) 6
LX-04  ĆWICZENIA DO SZKOLENIA  BEZPIECZEC
STWO SYSTEMU LINUX  EDUKACJA.ABCDATA.PL
Ćwiczenie.
Ręczna budowa firewalla.
SKONFIGURUJ SIEĆ.
192.168.1.2-----------192.168.1.1.A.192.168.3.1------- 192.168.3.2
- SKONFIGURUJ ROUTING.
- ZBUDUJ FIREWALLA SPEA
NIAJ
CEGO OKREŚLONE WARUNKI (R CZNIE):
a) tylko tcp/80 w obie strony
b) tylko tcp/80 w jedną stronę
c) icmp w obie strony
d) icmp ograniczone w czasie
e) pakiety SYN do serwera http tylko 10/min
f) pakiety z robakiem - blokowanie
g) określony MAC SOURCE może wysyłać wszystko
h) maskarada na interfejsie eth1 A tylko dla jednego hosta
h) maskarada na interfejsie eth1 A tylko dla jednej sieci
i) maskarada na interfejsie eth1 A tylko dla wszystkich
j) przekazywanie portów
- Zainstaluj program natdet.
Marcin Josef (marcin.kubiak@abcdata.pl) 7
LX-04  ĆWICZENIA DO SZKOLENIA  BEZPIECZEC
STWO SYSTEMU LINUX  EDUKACJA.ABCDATA.PL
Ćwiczenie.
Budowa firewalla ze strefą DMZ w systemie SuSE Enterprise Server  Yast2.
Marcin Josef (marcin.kubiak@abcdata.pl) 8