Skanowanie portow
Transkrypt
Skanowanie portow
Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak Skanowanie portów Ćwiczenie 1 – Skanowanie TCP 1. Używając programu nmap sprawdzić otwarte porty w dostępnych w pracowni komputerach. Należy wykorzystać przede wszystkim skanowania TCP connect, TCP SYN, TCP ACK, TCP FIN, TCP XMAS, TCP NULL oraz bardziej rozbudowanych profili skanowania dostępnych w programie nmap. o Skanowanie portów komputera działającego pod kontrolą systemu Windows należy wykonać z komputera z zainstalowanym systemem Linux używając konsoli. o Skanowanie portów komputera działającego pod kontrolą systemu Linux należy wykonać z komputera z zainstalowanym systemem Windows używając interfejsu graficznego. 2. Jakich informacji o skanowanych komputerach dostarczyły nam wyniki skanowania? Ćwiczenie 2 – Wykrywanie skanowania portów z wykorzystaniem IDS snort 1. Skopiować domyślną konfigurację programu snort /etc/snort/snort.conf do pliku /etc/snort/snort1.conf. Zmiany w konfiguracji należy dokonywać w pliku snort1.conf. 2. Wyłączyć zapisywanie logów w formacie binarnym poprzez wstawienie znaku # przed następującymi liniami w pliku z konfiguracją: #output alert_unified: filename snort.alert, limit 128 #output log_unified: filename snort.log, limit 128 3. Wyłączyć domyślne reguły programu snort poprzez wstawienie znaku # przed następującymi liniami w pliku z konfiguracją: #include $RULE_PATH/scan.rules 4. Wskazać plik z regułami poprzez dopisanie do pliku z konfiguracją linii include /etc/snort/rules/scan1.rules 5. Ogólny schemat reguł programu snort wygląda następująco: akcja protokół adres_źródłowy/maska port_źródłowy kierunek adres_docelowy/maska port_docelowy (definicja_reguły) Należy utworzyć plik scan1.rules i dopisać do niego regułę wykrywania skanowania TCP FIN (jako NR_IP należy podać nr IP komputera z zainstalowanym programem snort): alert tcp any any -> NR_IP any (msg:„Wykryto skanowanie TCP FIN”; flags:F,12; flow:stateless; sid:900;) 6. Włączyć program snort z wykorzystaniem zmodyfikowanego pliku z konfiguracją (w zależności od konfiguracji komputera może być konieczne podać inny interfejs): snort –c /etc/snort/snort1.conf –i eth1 7. Przeprowadzić skanowanie TCP FIN komputera z włączonym programem snort. Czy w pliku /var/log/snort/alert pojawiły się jakieś wpisy? Które porty były skanowane? 8. Dopisz reguły wykrywania skanowania SYN, ACK, XMAS, NULL i sprawdź ich działanie. 1 Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak Ćwiczenie 3 – Blokowanie skanowania portów z wykorzystanie iptables 1. Zapoznać się z dokumentacją iptables, w szczególności z tabelami i łańcuchami wbudowanymi. 2. Włączyć logowanie pakietów odpowiadających atakowi TCP FIN: iptables –A INPUT –m conntrack –-ctstate NEW –p tcp -–tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN –j LOG –-log-level info -–log-prefix ”Skanowanie TCP FIN” 3. Włączyć blokowanie pakietów odpowiadających atakowi TCP FIN: iptables –A INPUT –m conntrack –-ctstate NEW –p tcp -–tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN –j DROP 4. Przeprowadzić skanowanie TCP FIN. Czy udało się uzyskać odpowiedź? Czy w pliku /var/log/messages został ślad po skanowaniu? 5. Dlaczego reguła dotycząca logowania została dodana przed regułą odrzucającą pakiet? 6. Dopisz reguły logowania i blokowania skanowania SYN, ACK, XMAS, NULL i sprawdź ich działanie. 2