Tinklo apsauga

KAUNO TECHNOLOGIJOS UNIVERSITETAS Kompiuterių tinklų katedra T120B310 Kompiuterių tinklai Laboratorinis darbas „Tinklo apsauga” KAUNAS, 2009 1. Darbo tikslas ir priemonės Išmokti naudotis „iptables“ paketų filtravimo priemone, atlikti pateiktų taisyklių analizę. Reikiamai sukonfigūruoti ugniasienę pagal dėstytojo pateiktą užduotį. Patikrinti tinklo pažeidžiamumą prieš ir po ugniasienės panaudojimo. Priemonės: • Laboratorijos kompiuteriai su Windows XP • Virtuali VMware operacinė sistema Debian LINUX, atliekanti serverio ir ugniasienės funkcijas • Programa „iptables“ LINUX aplinkoje • Programa „ZenMap“ Windows XP aplinkoje 2. Pavyzdinės taisyklės Eil.Nr. iptables konfigūracijos eilutė Atliekamos funkcijos Paskirtis 1 /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT DROP /sbin/iptables -P FORWARD DROP  Bazinė INPUT, OUTPUT, FORWARD grandies taisyklė - sustabdyti paketus.  Padidinti saugumui ir apsaugoti nuo nenumatytų situacijų. 2 /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT  Pridėti taisyklę prie grandies INPUT ir OUTPUT, kuri praleistų paketus įeinančius ir išeinančius iš ir į Loopback interfeisą. Ne tikrinti paketus be reikalo. 3 /sbin/iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP /sbin/iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP /sbin/iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP /sbin/iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP    Pridėti taisyklę prie INPUT grandies, kuri nepraleistų įeinančius paketus iš IP adresų su reikšmingų bitų skaičiumi 10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 į eth0 interfeisą  Apsisaugoti nuo vidinių apsimestinių prisijungimų iš vidinio tinklo. 4 /usr/sbin/iptables -A INPUT -i eth1 -p all -s 160.86.0.0/16 -j ACCEPT /usr/sbin/iptables -A INPUT -i eth1 -p all -j DROP  Pridėti taisyklę prie INPUT grandies, kuri leistų įeinančius paketus į eth1 interfeisą iš IP adreso su reikšmingų bitų skaičiumi 160.86.0.0/16, visus kitus atmesti.  Apsaugoti nuo pašalinių prisijungusių prie tinklo arba bandančių prisijungti iš administratoriaus nenumatytų IP adresų 5 /sbin/iptables -A INPUT -i eth0 -p icmp --icmp-type destination-unreachable -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p icmp --icmp-type time-exceeded -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT  Pridėti taisyklę prie INPUT grandies, kuri praleistų įeiančius į interfeisą eth0 šių tipų imcp protokolo paketus- destination-unreachable, time-exceeded, echo-reply, echo-request  Praleisti būtinus sklandžiam tinklo darbui interneto valdymo protokolo (ICMP) paketus 6 /usr/sbin/iptables -A INPUT -s !127.0.0.0/8 -p tcp --dport 111 -j DROP  Prideti taisyklę prie INPUT grandies, kuri neleistų TCP paketus į 111 portą išskyrus patį save  Palikti sun rpc servisą tik pačiam serveriui naudotis 7 /sbin/iptables -A INPUT -p tcp -i eth0 --dport 113 -j REJECT --reject-with tcp-reset  Pridėti taisyklę prie INPUT grandies, kuri įeinančius TCP paketus per eth0 interfeisą į 113 portą atmestų ir paketo siuntėjui išsiunčiamas TCP pranešimas.  Neišmesti paketo, bet atsiųsti paketą atgal kad paslauga netiekiama. 8 /sbin/iptables -A INPUT -p tcp -i eth0 --dport 4  -j ACCEPT  Pridėti taisyklę prie grandies INPUT, kuri TCP paketus per eth0 inetrfeisą į 4 portą praleistų.  Per eth0 interfeisą leisti naudoti AppleTalk protokolą 9 /sbin/iptables -A INPUT -p tcp -i eth0 --dport 21 -j ACCEPT /sbin/iptables -A INPUT -p udp -i eth0 --dport 21 -j ACCEPT  Pridėti taisyklę prie grandies INPUT, kuri TCP ir UPD paketus per eth0 interfeisą praleistų į 21 portą.  Leisti ftp prisijungimą iš interneto. 10 /sbin/iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT /sbin/iptables -A INPUT -p udp -i eth0 --dport 22 -j ACCEPT Pridėti taisyklę prie grandies INPUT, kuri TCP ir UPD paketus per eth0 interfeisą praleistų į 22 portą.  Leisti ssh prisijungimą iš interneto. 11 /sbin/iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT /sbin/iptables -A INPUT -p udp -i eth0 --dport 80 -j ACCEPT  Pridėti taisyklę prie grandies INPUT, kuri TCP ir UPD paketus per eth0 interfeisą praleistų į 80 portą.  Leisti prieiti prie viešo puslapio iš interneto. 12 /sbin/iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT /sbin/iptables -A INPUT -p udp -i eth0 --dport 443 -j ACCEPT  Pridėti taisyklę prie grandies INPUT, kuri TCP ir UPD paketus per eth0 interfeisą praleistų į 443 portą.  Leisti prieiti prie viešo puslapio per https. 13 /sbin/iptables -A OUTPUT -p ALL -o lo -j ACCEPT /sbin/iptables -A OUTPUT -p ALL -o eth1 -j ACCEPT /sbin/iptables -A OUTPUT -p ALL -o eth0 -j ACCEPT  Pridėti taisyklę prie grandies OUTPUT, kuri leistų išsiųsti visus paketus išeinančius iš LoopBack, eth1 ir eth0 interfeisų.  Neriboti išeinančių paketų. 3. Ugniasienės taisyklių tyrimo rezultatai Windows XP kompiuteris šiuo atveju atliks potencialaus įsilaužėlio funkcijas. Naudodamiesi ZenMap programa atliksime LINUX serverio skanavimą. Naudosime greito skanavimo funkciją „Quick Scan“ – ją pasirinkite iš „Profile“ išskleidžiamo meniu. Tada „Command“ laukelyje

Daugiau informacijos...

★ Klientai rekomenduoja

Šį rašto darbą rekomenduoja mūsų klientai. Ką tai reiškia?

Mūsų svetainėje pateikiama dešimtys tūkstančių skirtingų rašto darbų, kuriuos įkėlė daugybė moksleivių ir studentų su skirtingais gabumais. Būtent šis rašto darbas yra patikrintas specialistų ir rekomenduojamas kitų klientų, kurie po atsisiuntimo įvertino šį mokslo darbą teigiamai. Todėl galite būti tikri, kad šis pasirinkimas geriausias!