$ /etc/init.d/portsentry stop $ /etc/init.d/snort stopdocumentaţie nmap
1) Folosiţi nmap pentru a determina ce staţii sunt pornite în reţeaua locală (172.16.3.x). Urmăriţi în Wireshark ce pachete se trimit.
2) Folosiţi nmap pe staţia A pentru a scana porturile staţiei B. Rulaţi întâi nmap pe staţia A folosind contul student, apoi folosind contul root. Urmăriţi în wireshark pachetele care circulă între cele două staţii. Explicaţi diferenţa. Ce posibilităţi sunt de a ocoli restricţiile care apar implicit la folosirea contului student?
3) Încercaţi diferite tipuri de scanare de porturi cu nmap (null, xmas, etc.)
Pagina de manual portsentry:
$ man portsentry $ man portsentry.conf4) Scanaţi de pe staţia A porturile staţiei B, întâi cu portsentry pornit (pe staţia B), apoi cu portsentry oprit. Observaţi diferenţa dintre cele două scanări. Urmăriţi mesajele scrise de portsentry în /var/log/syslog. Porniţi portsentry în diferite moduri şi urmăriţi diferenţele (spre exemplu la detecţia scanărilor stealth).
5) Configuraţi portsentry în aşa fel încât să puteţi rula următorul scenariu: staţia A scanează porturile de pe staţia B folosind ip-ul staţiei C; în urma atacului staţia C nu mai poate comunica în vreun fel cu staţia B. Verificaţi cum s-a realizat pe staţia C blocarea accesului de pe staţia B. Readuceţi staţia C în starea initială, astfel încât staţia B să se poată conecta din nou (spre exemplu prin ssh).
6) Porniţi snort pe staţia B. Asiguraţi-vă că HOME_NET e bine configurat. Scanaţi de pe staţia A porturile staţiei B. Urmăriţi conţinutul log-urilor generate de snort pe staţia B. Încercaţi diferite tipuri de scanări de pe staţia A.
7) Scrieţi o regulă snort care să lase în log o alertă atunci când cineva iniţiază o conexiune web de pe staţia locală.
8) Scrieţi o regulă snort care să lase în log o alertă atunci când cineva navighează pe web şi trimite request-uri care conţin cuvântul "virus".
9) Stergeţi regulile snort pe care le-aţi definit.