Asiguraţi-vă că portsentry şi snort sunt oprite pentru început:
$ /etc/init.d/portsentry stop
$ /etc/init.d/snort stop
documentaţie nmap

1) Folosiţi nmap pentru a determina ce staţii sunt pornite în reţeaua locală (172.16.3.x). Urmăriţi în Wireshark ce pachete se trimit.

2) Folosiţi nmap pe staţia A pentru a scana porturile staţiei B. Rulaţi întâi nmap pe staţia A folosind contul student, apoi folosind contul root. Urmăriţi în wireshark pachetele care circulă între cele două staţii. Explicaţi diferenţa. Ce posibilităţi sunt de a ocoli restricţiile care apar implicit la folosirea contului student?

3) Încercaţi diferite tipuri de scanare de porturi cu nmap (null, xmas, etc.)

Pagina de manual portsentry:

 $ man portsentry
 $ man portsentry.conf
4) Scanaţi de pe staţia A porturile staţiei B, întâi cu portsentry pornit (pe staţia B), apoi cu portsentry oprit. Observaţi diferenţa dintre cele două scanări. Urmăriţi mesajele scrise de portsentry în /var/log/syslog. Porniţi portsentry în diferite moduri şi urmăriţi diferenţele (spre exemplu la detecţia scanărilor stealth).

5) Configuraţi portsentry în aşa fel încât să puteţi rula următorul scenariu: staţia A scanează porturile de pe staţia B folosind ip-ul staţiei C; în urma atacului staţia C nu mai poate comunica în vreun fel cu staţia B. Verificaţi cum s-a realizat pe staţia C blocarea accesului de pe staţia B. Readuceţi staţia C în starea initială, astfel încât staţia B să se poată conecta din nou (spre exemplu prin ssh).

documentaţie snort

6) Porniţi snort pe staţia B. Asiguraţi-vă că HOME_NET e bine configurat. Scanaţi de pe staţia A porturile staţiei B. Urmăriţi conţinutul log-urilor generate de snort pe staţia B. Încercaţi diferite tipuri de scanări de pe staţia A.

7) Scrieţi o regulă snort care să lase în log o alertă atunci când cineva iniţiază o conexiune web de pe staţia locală.

8) Scrieţi o regulă snort care să lase în log o alertă atunci când cineva navighează pe web şi trimite request-uri care conţin cuvântul "virus".

9) Stergeţi regulile snort pe care le-aţi definit.


Gabriel Erzse