TIES478 Demo6

Alla jälleen tunnus tarkoittaa omaa tunnustasi.

  1. Asenna tunnus2 -koneeseesi iptables niin, että kaikki tarpeelliset yhteydet on sallittu ja mitään muuta ei. Sisäänpäin tarpeelliseksi katsotaan tässä vaiheessa ssh, http ja ping - harkitse itse (ja dokumentoi!) miten laajasti haluat ne sallia. Sulje kustakin ainakin jokin osoite, josta voit testata että sääntö toimii (ja testaa myös, sekä kokeilemalla että katsomalla mitä lokiin tulee - laita sääntöihin sopiva lokitus). Ulospäin salli mitä tarvitaan (dokumentoi - perustelu myös). Varmista, että säännöt säilyvät bootin ylikin.

  2. Lisää edellä tekemiisi iptables-sääntöihin jonkinlaiset antispoofing- ja yleisten hyökkäysten torjuntasäännöt (NEW-not-SYN, Xmas, Bad NULL, Fragment, INVALID).

  3. Asenna tunnus1 -koneeseesi vsftpd niin, että vain anonymous download on sallittu, kaikki tiedonsiirrot lokitetaan ja passiivinen ftp toimii käyttäen portteja 50000-50099 (optiot pasv_enable, pasv_min_port, pasv_max_port ja pasv_address). Laita sen alle jakoon tekstitiedosto, jonka sisällöstä tunnistat koneesi. Testaa sekä koneesta itsestään, lonka6:sta että labraverkon ulkopuolelta (esim. suoraan työasemasta). Toimiiko sekä aktiivinen että passiivinen ftp kaikkialta? Ellei, miksei? (Vihje: Komentorivi-ftp-clienttia käytettäessä anonyymi ftp toimii käyttäjätunnuksella "anonymous" tai lyhyemmin "ftp", salasanaksi kelpaa tyhjä tai mitä vain, ja sen voi pakottaa käyttämään passiivista ftp:tä optiolla -p. Datasiirron toimivuuden testaamiseen riittää komento "dir".)

  4. Muuta tunnus2:n palomuuria niin, että se sallii ftp:n ulospäin kaikkialle. Testaa toimivuus tunnus1:n ja jonkin ulkopuolisen ftp-sivuston kanssa (esim. ftp.stak.tk).

  5. Asenna tunnus1 -koneeseesi iptables samalla tavalla kuin tunnus2 edellä muuten, mutta salli lisäksi sisääntuleva ftp JY:n alueelta ja lähtevä ftp kaikkialle.

  6. Edellä tekemäsi palomuurisäännöt rikkoivat NFS-mountit ao. koneissa. Korjaa asia.

  7. Asenna kaikkiin muihinkin koneisiisi iptables niin, että tarpeettomat yhteydet on blokattu ja spoof estetty jne. Käytä harkintaasi tarpeellisuuden suhteen, mutta dokumentoi ratkaisusi. (Vihje: tee palomuuriskripti tai sääntötiedosto, jonka voi kopioida kaikkiin koneisiin mahdollisimman pienin muutoksin.)