vyuka:cviceni:y36sps:zadani-firewalling

Firewalling laborka

  1. Nakonfigurujte paketový filtr iptables tak, aby:
    • POVOLOVAL ESTABLISHED a RELATED TCP SPOJENÍ, jinak vám nebude chodit na TCP vůbec nic
    • (n) byly povoleny odchozí spojení ze všech (imaginárních) strojů (za vašim PC-routrem) na port 80 do internetu
    • (n) byly povoleny odchozí spojení na porty 0-1024 do internetu pro váš počítač (router)
    • (y) uživatel www-data nemohl iniciovat žádné odchozí spojení mimo loopback interface
    • (n) uživatel tvrdik měl povoleno iniciovat pouze spojení na port 80 a 443 do internetu
      • (y) pokud si to chcete zkusit, povolte to na lokální (localhost) port 631
    • (y) bylo povoleno spojení na port 22 z vámi zvoleného počítače, nejvýše však 2 za minutu
    • (n) fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu
      • (y) šlo by ověřit z lokální sítě
    • (y) logovaly se odchozí spojení na port 12345
    • (y) logovaly se příchozí spojení na port 54321 z počítače vašeho kamaráda v místní síti
    • (y blbě, ale šlo by) alespoň triviálním způsobem bránil SYN floodu
    • (n) fungoval překlad adres do světa (NAT)
  2. Výchozí politika: co není povoleno, je zakázáno.
  3. Vymyslete, jak spolehlivě otestovat funkčnost filtru.
  4. internetem se rozumí rozsah 0/0
  • pravidla označené (y) se dají ověřit přímo v laborce
  • pravidla označené (n) se nedají ověřit přímo v laborce
  • cvičící si nepotrpí na konkrétní hodnoty, tzn. pokud místo 80 záměrně povolíte 3128 aby vám to fungovalo, jen do toho
  • odevzdáváte funkční pravidla ve firewallu (iptables -L -n)
  • 1 bod za každé funkční pravidlo na konci cvičení (mimo established a related)
  • 0 bodů celkově, pokud nebudete mít správně výchozí politiku
  • 2 bonusové body, pokud to stihnete do 30 minut od začátku práce na laborce
  • 1 bonusový bod, pokud to stihnete do 45 minut od začátku práce na laborce
  • 0 bonusových bodů jinak

FTP démon nainstalujete příkazem apt-get install proftpd. Chodí out-of-box. Uživatele přidáte do systému příkazem adduser.

  • Příkaz telnet
    • Tento příklad demonstruje úspěšné otevření TCP spojení na port 3128
      student@student-desktop:~$ telnet 192.168.9.2 3128
      Trying 192.168.9.2...
      Connected to 192.168.9.2.
      Escape character is '^]'.
      ^]quit
      
      telnet> quit
      Connection closed.
    • Tento příkaz demonstruje neúspěšný pokus o spojení na port 3123 (timeout):
      student@student-desktop:~$ telnet 192.168.9.2 3123
      Trying 192.168.9.2...
      telnet: Unable to connect to remote host: Connection timed out
    • Tento příkaz demonstruje pokus o otevření TCP spojení na zavřený port:
      student@student-desktop:~$ telnet localhost 23
      Trying 127.0.0.1...
      telnet: Unable to connect to remote host: Connection refused
  • Webový prohlížeč

~~DISCUSSION~~

  • vyuka/cviceni/y36sps/zadani-firewalling.txt
  • Last modified: 2020/05/10 18:08
  • by kubr