Министерство образования и науки, молодежи и спорта

ОДЕССКИЙ НАЦИОНАЛЬНЫЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

Институт радиоэлектронники и телекоммуникаций

Кафедра информационной безопасности

ПРОТОКОЛ

Лабораторной работы №1

По дисциплине «Методы и способы защиты информации»

«Изучение возможностей штатного межсетевого экрана Linux»

Выполнил студент гр. РБ-091

________________Братко Ю.С.

(подпись)

“___” ____________ 2012 р.

Проверил: ст. преп. ИБ

_______________ Венедиктов Ю.И.

(подпись)

_______________ Барабанов Н.А.

(подпись)

“___” ____________ 2012 р.

Одесса 2012

Цель работы:

Изучить основные возможности защиты сервера или рабочей станции под ОС Linux с помощью встроенного в систему межсетевого экрана (файрволла).

Порядок выполнения работы:

1. Включить ПК.

2. Перейти на первую текстовую консоль в случае загрузки в системы в графическом режиме (Ctrl+Alt+F1).

3. Зайти в систему под учётной записью root. (login: root, password: __________).

4. Произвести сброс текущих настроек файрволла и убедиться что цепочки правил iptables пусты.

5. Определить IP-адрес ПК. Записать IP-адрес ПК в протокол.

6. Установить правила iptables разрешающие входящие и исходящие подключения на все порты и по всем протоколам. Проверить то что правила добавились нормально.

(ACCEPT all -- anywhere anywhere)

7. Проверить доступность всех служб (HTTP порт 80, FTP порт 21, SMTP порт 25) запущеных на ПК с другого ПК лаборатории с помощью команды “telnet”. Занести результаты проверки в протокол.

8. Проверить ответ ПК на тестовые эхо запросы с другого ПК с помощью команды ping. Занести результаты проверки в протокол.

9. Осуществить настройку файрволла таким образом, чтобы c любого компьютера лаборатории были доступны подключения к службам HTTP и FTP, остальные службы должны быть недоступны также следует запретить ответ на тестовые эхо запросы. Проверить то что правила добавились нормально.

10. Проверить доступность служб ПК с другого ПК лаборатории с помощью telnet. При правильной настройке должен быть ответ от HTTP и FTP служб и отсутствовать ответ от SMTP службы. Занести результаты проверки в протокол.

11. Проверить ответ ПК на тестовые эхо запросы с другого ПК. При правильной настройке ответа быть не должно. Занести результаты проверки в протокол.

12. Определить IP-адрес другого ПК лаборатории. Занести в протокол IP-адрес.

13. Осуществить настройку файрволла таким образом, чтобы с IP адреса определённого в пункте 9 лаборатории было возможно подключение к SMTP службе, для других ПК доступ к SMTP должен быть закрыт. Также разрешите ПК принимать тестовые эхо запросы с любого ПК лабораторной сети.

14. Проверить доступность служб ПК с помощью “telnet” с другого ПК лаборатории, для IP-адреса которого был открыт доступ к SMTP службе на испытуемом ПК. При правильной настройке должен быть ответ от службы SMTP и отсутствовать ответ от HTTP и FTP служб. Занести результаты проверки в протокол.

15. Проверить ответ ПК на тестовые эхо запросы с другого ПК. При правильной настройке ответ должен быть. Занести результаты проверки в протокол.

16. Проверить доступность служб ПК с помощью “telnet” с третьего ПК лаборатории, для которого не был открыт доступ к SMTP службе на испытуемом ПК. При правильной настройке не должно быть ответа ни от одной службы. Занести результаты проверки в протокол.

17. Проверить ответ ПК на тестовые эхо запросы с третьего ПК. При правильной настройке ответ должен быть. Занести результаты проверки в протокол.

18. Осуществить настройку файрволла таким образом, чтобы с защищаемого ПК отсутствовала возможность подключения на 25 порт любого другого ПК кроме IP самого защищаемого ПК. Подключение с других ПК на 25 порт защищаемого ПК должны быть разрешены, ответ на тестовые эхо запросы должен быть также разрешён. Доступ к остальным службам должен быть закрыт. Проверить то что правила добавились нормально.

19. Осуществить проверку доступности служб при подключении с первого ПК ко второму ПК с помощью telnet (на втором ПК подключение должно быть открыто для всех служб). При правильной настройке должно осуществляться подключение ко всем службам кроме SMTP.

20. Проверить доступность служб ПК с помощью “telnet” с другого ПК лаборатории. При правильной настройке должен быть ответ от службы SMTP и отсутствовать ответ от HTTP и FTP служб. Занести результаты проверки в протокол.

21. Проверить ответ ПК на тестовые эхо запросы с другого ПК. При правильной настройке ответ должен быть. Занести результаты проверки в протокол.

Работа в лаборатории:

1. Включил ПК.

2. Перешёл на первую текстовую консоль.

3. Зашёл в систему под учётной записью root.

4. Произвёл сброс текущих настроек файрволла и убедился что цепочки правил iptables пусты:

[iiatpuot@yura ~]$ sudo iptables -F

Password:

[iiatpuot@yura ~]$ sudo iptables -X

[iiatpuot@yura ~]$ sudo iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

5. Определил IP-адрес ПК:

[iiatpuot@yura ~]$ ifconfig -a

eth0 Link encap:Ethernet HWaddr 00:26:18:3C:49:88

inet addr:192.168.1.100 Bcast:255.255.255.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:576 Metric:1

RX packets:6227 errors:0 dropped:0 overruns:0 frame:0

TX packets:5836 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:2091278 (1.9 Mb) TX bytes:731033 (713.8 Kb)

Interrupt:43 Base address:0xe000

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

inet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:16436 Metric:1

RX packets:78 errors:0 dropped:0 overruns:0 frame:0

TX packets:78 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:4511 (4.4 Kb) TX bytes:4511 (4.4 Kb)

Таким образом IP-адрес "192.168.0.100"

6. Установить правила iptables разрешающие входящие и исходящие подключения на все порты и по всем протоколам. Проверить то, что правила добавились нормально.

[iiatpuot@yura ~]$ sudo iptables -P INPUT DROP

Password:

[iiatpuot@yura ~]$ sudo iptables -P OUTPUT DROP

[iiatpuot@yura ~]$ sudo iptables -P FORWARD DROP

[iiatpuot@yura ~]$ sudo iptables -A INPUT -j ACCEPT

[iiatpuot@yura ~]$ sudo iptables -A OUTPUT -j ACCEPT

[iiatpuot@yura ~]$ sudo iptables -L

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT all -- anywhere anywhere

Chain FORWARD (policy DROP)

target prot opt source destination

Chain OUTPUT (policy DROP)

target prot opt source destination

ACCEPT all -- anywhere anywhere

7. Проверить доступность всех служб (http порт 80, ftp порт 21, smtp порт 25) запущеных на пк с другого пк лаборатории с помощью команды “telnet”. Занести результаты проверки в протокол.

[chacha@hostel ~]% telnet 192.168.0.2 80

Trying 192.168.0.100...

Connected to 192.168.0.100.

Escape character is '^]'.

^]

telnet> Connection closed.

8. Таким образом на тестируемой системе открыт "80" порт, однако для наглядности в дальнейшем будем использовать утилиту "nmap"

[chacha@hostel ~]% nmap 192.168.0.100 -p 21,25,80

Nmap scan report for 192.168.0.100

Host is up.

PORT STATE SERVICE

21/tcp open ftp

25/tcp open smtp

80/tcp open http

Из чего следует, что "21", "25" и "80" порты открыты.

9. Проверить ответ пк на тестовые эхо запросы с другого пк с помощью команды ping. Занести результаты проверки в протокол.

[chacha@hostel ~]% ping -c 3 192.168.0.100

PING 192.168.0.100 (192.168.0.100) 56(84) bytes of data.

64 bytes from 192.168.0.2: icmp_req=1 ttl=64 time=0.214 ms

64 bytes from 192.168.0.2: icmp_req=2 ttl=64 time=0.182 ms

64 bytes from 192.168.0.2: icmp_req=3 ttl=64 time=0.195 ms

--- 192.168.0.100 ping statistics ---

3 packets transmitted, 3 received, 0% packet loss, time 1999ms

rtt min/avg/max/mdev = 0.182/0.197/0.214/0.013 ms

10. Осуществить настройку файрволла таким образом, чтобы c любого компьютера лаборатории были доступны подключения к службам HTTP и FTP, остальные службы должны быть недоступны также следует запретить ответ на тестовые эхо запросы. Проверить то что правила добавились нормально.

[iiatpuot@yura ~]$ sudo iptables -F

[iiatpuot@yura ~]$ sudo iptables -A OUTPUT -j ACCEPT

[iiatpuot@yura ~]$ sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT

[iiatpuot@yura ~]$ sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

[iiatpuot@yura ~]$ sudo iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT \ --reject-with icmp-host-unreachable

Bad argument ` --reject-with'

Try `iptables -h' or 'iptables --help' for more information.

[iiatpuot@yura ~]$ sudo iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable

[iiatpuot@yura ~]$ sudo iptables -A INPUT -p icmp -j ACCEPT

[iiatpuot@yura ~]$ sudo iptables -L

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT tcp -- anywhere anywhere tcp dpt:ftp

ACCEPT tcp -- anywhere anywhere tcp dpt:http

REJECT icmp -- anywhere anywhere icmp echo-request reject-with icmp-host-unreachable

ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)

target prot opt source destination

Chain OUTPUT (policy DROP)

target prot opt source destination

ACCEPT all -- anywhere anywhere

11. Проверить доступность служб ПК с другого ПК лаборатории с помощью telnet. При правильной настройке должен быть ответ от HTTP и FTP служб и отсутствовать ответ от SMTP службы. Занести результаты проверки в протокол.

[chacha@hostel ~]% telnet 192.168.0.100 25

Trying 192.168.0.100...

telnet: Unable to connect to remote host: Connection refused

[chacha@hostel ~]% nmap 192.168.0.100 -p 21,25,80

Nmap scan report for 192.168.0.100

Host is up.

PORT STATE SERVICE

21/tcp open ftp

25/tcp filtered smtp

80/tcp open http