Skanowanie portow

Projektowanie Bezpieczeństwa Sieci
Bartosz Matusiak
Skanowanie portów
Ćwiczenie 1 – Skanowanie TCP
1. Używając programu nmap sprawdzić otwarte porty w dostępnych w pracowni komputerach.
Należy wykorzystać przede wszystkim skanowania TCP connect, TCP SYN, TCP ACK, TCP FIN, TCP
XMAS, TCP NULL oraz bardziej rozbudowanych profili skanowania dostępnych w programie
nmap.
o
Skanowanie portów komputera działającego pod kontrolą systemu Windows należy
wykonać z komputera z zainstalowanym systemem Linux używając konsoli.
o
Skanowanie portów komputera działającego pod kontrolą systemu Linux należy wykonać
z komputera z zainstalowanym systemem Windows używając interfejsu graficznego.
2. Jakich informacji o skanowanych komputerach dostarczyły nam wyniki skanowania?
Ćwiczenie 2 – Wykrywanie skanowania portów z wykorzystaniem IDS snort
1. Skopiować domyślną konfigurację programu snort /etc/snort/snort.conf do pliku
/etc/snort/snort1.conf. Zmiany w konfiguracji należy dokonywać w pliku snort1.conf.
2. Wyłączyć zapisywanie logów w formacie binarnym poprzez wstawienie znaku # przed
następującymi liniami w pliku z konfiguracją:
#output alert_unified: filename snort.alert, limit 128
#output log_unified: filename snort.log, limit 128
3. Wyłączyć domyślne reguły programu snort poprzez wstawienie znaku # przed następującymi
liniami w pliku z konfiguracją:
#include $RULE_PATH/scan.rules
4. Wskazać plik z regułami poprzez dopisanie do pliku z konfiguracją linii
include /etc/snort/rules/scan1.rules
5. Ogólny schemat reguł programu snort wygląda następująco:
akcja protokół adres_źródłowy/maska port_źródłowy kierunek
adres_docelowy/maska port_docelowy (definicja_reguły)
Należy utworzyć plik scan1.rules i dopisać do niego regułę wykrywania skanowania TCP FIN
(jako NR_IP należy podać nr IP komputera z zainstalowanym programem snort):
alert tcp any any -> NR_IP any (msg:„Wykryto skanowanie TCP FIN”;
flags:F,12; flow:stateless; sid:900;)
6. Włączyć program snort z wykorzystaniem zmodyfikowanego pliku z konfiguracją (w zależności od
konfiguracji komputera może być konieczne podać inny interfejs):
snort –c /etc/snort/snort1.conf –i eth1
7. Przeprowadzić skanowanie TCP FIN komputera z włączonym programem snort. Czy w pliku
/var/log/snort/alert pojawiły się jakieś wpisy? Które porty były skanowane?
8. Dopisz reguły wykrywania skanowania SYN, ACK, XMAS, NULL i sprawdź ich działanie.
1
Projektowanie Bezpieczeństwa Sieci
Bartosz Matusiak
Ćwiczenie 3 – Blokowanie skanowania portów z wykorzystanie iptables
1. Zapoznać się z dokumentacją iptables, w szczególności z tabelami i łańcuchami wbudowanymi.
2. Włączyć logowanie pakietów odpowiadających atakowi TCP FIN:
iptables –A INPUT –m conntrack –-ctstate NEW –p tcp -–tcp-flags
SYN,RST,ACK,FIN,URG,PSH FIN –j LOG –-log-level info -–log-prefix
”Skanowanie TCP FIN”
3. Włączyć blokowanie pakietów odpowiadających atakowi TCP FIN:
iptables –A INPUT –m conntrack –-ctstate NEW –p tcp -–tcp-flags
SYN,RST,ACK,FIN,URG,PSH FIN –j DROP
4. Przeprowadzić skanowanie TCP FIN. Czy udało się uzyskać odpowiedź? Czy w pliku
/var/log/messages został ślad po skanowaniu?
5. Dlaczego reguła dotycząca logowania została dodana przed regułą odrzucającą pakiet?
6. Dopisz reguły logowania i blokowania skanowania SYN, ACK, XMAS, NULL i sprawdź ich działanie.
2