Securitatea sistemelor de calcul - Laborator 7

Se va lucra în perechi de câte două stații. Rulați în permanență Wireshark și urmăriți cum circulă pachetele pe cele două stații.

1) Configurați sistemul astfel încât să nu mai răspundă la ping, dar să poată da ping și să primească răspuns. Restul de protocoale nu vor fi afectate în nici un fel (spre exemplu sistemul trebuie să poată accepta conexiuni prin ssh).

2) Configurați sistemul astfel încât să nu mai accepte nici un fel de conexiuni, dar să poată iniția conexiuni (să se poată rula o sesiune ssh inițiată de pe sistem). Verificați dacă această configurație acoperă și protocolul ICMP de la punctul 1. Dacă da, explicați de ce? Dacă nu, explicați de ce și găsiți o soluție care să acopere și punctul 1.

3) Configurați sistemul astfel încât să nu mai poată primi sau trimite pachete decât către rețeaua locală (172.16.3.x). Verificați prin inițierea unei conexiuni ssh către o altă stație din laborator (ar trebui să meargă) și prin conectarea la un site web (ar trebui să nu meargă). Modificați regula astfel încât să se permită comunicarea cu IP-uri 172.16.x.x, care includ și proxy-ul web. Verificați dacă acum merge conexiunea către site-uri web.

4) Configurați sistemul astfel încât să accepte cel mult o conexiune ssh la un moment dat.

5) Configurați sistemul astfel încât să nu permită deschiderea de conexiuni către domeniul googleusercontent.com . Testați accesând pagina http://www.cs.upt.ro/~rogojan, care conține imagini de pe acest domeniu. Imaginile respective ar trebui să nu se încarce.

6) Configurați sistemul astfel încât toate pachetele care pleacă spre o anumită stație din rețea să aibă IP-ul sursă setat pe o adresă invalidă. Încercați apoi să stabiliți o conexiune ssh cu stația respectivă. Urmăriți pachetele care circulă pe cele două stații.

Liste comentate de reguli frecvent folosite aici și aici. Un fisier combinand reguli tipice.


Marius Minea
Last modified: Sat Nov 3 21:00:00 EET 2012