Triple Eye Industrieel Ingenieur Informatica Algemeen Intranet Vierde jaar Beveiliging Labo's Firewalls
Beveiliging
Vierde jaar
Intranet
Deze server
Hogeschool Gent

Labo firewalls

De bedoeling van dit labo is enkele basisbegrippen over firewalls praktisch uit te werken, filterinstellingen te maken en uit te testen.
Vermits we niet over routingdevices beschikken, gebruiken we onze klaspc's in LINUX als routers.

Het labo beslaat vier sessies. In de eerste sessie (10/12/2009) leer je omgaan met iptables.
In de drie volgende sessies (17/12/2009) werk je in groep; elke groep bouwt een firewallopstelling met een DMZ.

Voorbereiding

Zorg dat je weet

  • waarvoor iptables dient en hoe het moet gebruikt worden.
  • hoe een ftp-connectie gelegd wordt (active vs. passive mode).


Sessie 1 (10/12/2009)

Iedereen schrijft afzonderlijk een verslag van deze sessie.
De naam van het verslag is iptables.txt. Als eerste regel bovenaan het verslag staat vermeld:
Achternaam Voornaam Verslag Firewalls iptables

Op het einde van dit labo plaats je dit verslag in de directory U:/beveiliging/iptables/.
Let wel, maak je verslag eerst in de lokale homedirectory van root (/root) want je zal tijdens het labo alle connecties met de buitenwereld moeten afsluiten, dus ook deze met iii.hogent.be.

Zorg dat je NIET bent ingelogd als gewone gebruiker maar als root (dus ook geen su -), zodat je geen connecties met iii.hogent.be hebt openstaan.

Implementeer volgende firewallregels met behulp van iptables. Informatie over de poorten kan je vinden in /etc/services.
Test uit op je eigen machine en ook via je buren. Vergeet niet dat je telkens de instellingen kan nakijken met de list-vlag van het iptables-commando.

Hou ook rekening met volgende opmerkingen:

  • Het is zeer handig en tijdbesparend als je alle regels opslaat in een script!! Dit laat ook toe om voor bepaalde dns-namen of ip-adressen een variabele te gebruiken die je in het begin van het script initialiseert.
  • Op het einde van het labo moet je alle regels flushen en alle policies op ACCEPT zetten, zodat de PC weer functioneert zoals vroeger! Er volgt een puntensanctie indien zou blijken dat dit niet is gebeurd.
  • Je kan in de opgestelde regels zowel ip-adressen als dns-namen gebruiken. Het gebruik van ip-adressen geniet de voorkeur, omdat op die manier je firewall blijft functioneren los van het feit of de nameserver werkt/bereikbaar is of niet.

Nmap

Om na te gaan welke poorten er op een computer open staan, kun je gebruikmaken van de Nmap-tool. Meer informatie over het gebruik van nmap kun je vinden in de man-pages.

Deel1

Bij de volgende 9 opgaven is het de bedoeling dat je de standaard ingestelde policy (ACCEPT) niet verandert.

Indien je om 12u nog niet aan opgave 10 bent gekomen, begin je op dat moment zeker bij 10 (Deel 2). Ben je klaar met de tweede reeks voor het einde van het labo, dan werk je de eerste reeks opgaven verder af.

Zorg er ook voor dat bij het toevoegen van een nieuwe regel alle tevoren ingestelde regels blijven gelden !!

1. Controleer of je een ftp-connectie kan leggen met je machine. Indien niet, voer dan het commando /etc/rc.d/init.d/vsftpd start uit.
Stel regels op die er voor zorgen dat geen enkele computer een ftp-verbinding kan maken met jouw machine.

2. Laat nadien selectief alleen ftp vanaf je eigen computer naar jezelf toe. Test zeer kritisch: gebruik zowel localhost,de naam, het ip-adres als de loopback van je machine.

3. Controleer of je een telnet-connectie kan leggen met je machine. Indien dit niet het geval is, doe dan de nodige aanpassingen aan de configuratie van xinetd.
Wanneer telnet niet voorkomt in de /etc/xinetd.d/ directory, voer dan yum install telnet-server uit.
Indien er op jouw computer geen webserver draait, kan je hem starten als root met het commando /etc/rc.d/init.d/httpd start.
Stel nadien dezelfde twee regels in (cfr. 1 en 2) voor de protocols www en telnet.

4. Maak nu gebruik van de optie multiport om al de vorige regels te groeperen.

5. Ga voor het telnet-protocol na wat de effectverschillen zijn tussen DROP en REJECT.
Bij REJECT kan je ook zelf kiezen uit een aantal icmp-type 3 foutboodschappen. Test uit.

6. Stel in dat er vanop je computer geen enkele connectie naar gonzo.iii.hogent.be kan gelegd worden. Zorg er wel voor dat je vooraf test welke soorten verbindingen er wel kunnen gemaakt worden.

7. Nadien laat je enkel toe dat je de webpagina's op gonzo.iii.hogent.be kan bekijken. Test ook of de andere verbindingen effectief niet mogelijk zijn.

8. Zorg ervoor dat er op geen enkele poort boven 1024 kan gestuurd worden naar venus.iii.hogent.be.
Test bijvoorbeeld dat ping wel werkt, maar dat de tomcat-server op poort 8080 niet te bereiken is.

9. Maak dat je eigen machine niet kan gepingd worden. Dit kan je verwezenlijken op verschillende manieren: langs ingangszijde geen aanvragen toelaten, langs uitgangszijde geen antwoord sturen.Probeer beide mogelijkheden uit.

Deel2

Start hier ten laatste om 12u00. Het oplossen van deze reeks opgaven is belangrijk als voorbereiding voor de volgende sessie van het labo firewalls.

Bij de volgende opgaven is het de bedoeling dat je de standaard ingestelde policy verandert in DROP.

Controleer op meerdere manieren of dit het gewenste effect heeft !!
Vergeet niet in je verslag te vemelden hoe je dit controleert.

10. Zorg er in eerste instantie voor dat je eigen machine in staat is om DNS-namen op te vragen. Controleer met nslookup.

11.Natuurlijk moet je van op je eigen computer ook nog de webpagina's van gonzo.iii.hogent.be kunnen opvragen.

12. Stel nu een regel op die het mogelijk maakt om je eigen machine als webserver te gebruiken. Laat dit controleren door een van je buren.

13a. Als voorbereiding om een ftp-connectie te kunnen laten testen uitgaande van bij je buur, maak je een lokale gebruiker gast aan.

13b. Stel nu regels op die het mogelijk maken om je eigen machine als FTP-server te kunnen laten gebruiken: je computer moet door een ftp-client bij je buur kunnen gebruikt worden om er bestanden van op te halen en er op te plaatsen.
In welke mode moet het ftp-commando een connectie leggen opdat de firewallinstellingen zouden effect hebben?
Ga na dat je effectief ook bestanden kan uitwisselen.

14. Tracht de regels die je hebt ingesteld in de twee vorige punten 12 en 13b (normaal 6 regels) te combineren tot twee regels.

15. Vanuit je machine moet je in staat zijn om naar andere computers te pingen. Denk even na over hoe je dit kan uittesten.

16. Extra's
A: Probeer van op je eigen computer ook nog de webpagina's van gonzo.hogent.be op te vragen.
B: Probeer ook de webpagina's van gonzo.hogent.be/intranet op te vragen.

Voorbereiding volgende sessies (17/12/09, 8u15-17u45)

Je doet er goed aan je kennis op te frissen in verband met
  • iptables (zie hiervoor)
  • firewalls
  • netwerkinstellingen in linux
  • routing en hoe je routes instelt
  • DNS en hoe je een DNS-server instelt en configureert
  • cursus netwerkbeheer 3de jaar (meebrengen)
G. Van hoogenbemt 11/12/2008
Welkom | Hogeschool Gent | INWE | Studentenserver | Docentenserver | Intranet