next up previous contents
Next: 侵入検知システム Up: フィルタリング Previous: SSH(Secure SHell)

演習課題

演習 7.1   マスターのマシン上で手分けして、カーネルの準備、rc.confの編集を しなさい。手が空いている人は、必要なパッケージ(下に上げてあります。 package の misc,net,securityなどのカテゴリにあります)をインストール しておきなさい。マスター上にも ethereal, iplog などは導入して おきましょう。

ethereal tcpdump の GUI版のようなものです。
nmap,nmapfe port scanner です。
  nmapfe は nmap のGUIフロントエンドです。
  nmapfe を動かして、ターゲットIPを入力し、
  オプションを指定するとポートスキャンを開始します。
isc-dhcp ISC DHCP サーバです。Appendix を参照してください。
iplog パケットログのツールです。

但し、残念ながら nmapfe のみはパッケージが用意されておりません。 ports での導入も少し問題があるようです。ここでは nmapfe のバイナリ のみを用意しましたので、nmapfe のみは手で /usr/local/bin に cp し て下さい。


   ultra10:/export/data10/pub/nmapfe-FreeBSD.gz
nmapfe本体のみが入っています。

演習 7.2   spoofing,ICMP,loopback,private アドレスについてのルールを書き、 ipftestを用いてテストしなさい。但し、講座の環境では 10/8 はグローバル IPアドレスと仮定してルールを作成しなさい。

演習 7.3   作成したルールを ファイアーウォール 上で実行し、ping,traceroute などで テストをしなさい。

演習 7.4   内部と外部、及び入力と出力について、head を用いて分け、更に DNS,mail,Web などのルールを追加し、それらのテストを ipftestを 用いて行いなさい。更に、 ファイアーウォールにインストールし、外部へのDNS問い合わせ、 外部からの問い合わせ、 mailの配送(他のグループと連絡を取って)を テストしなさい。

演習 7.5   Appache を内部のマシンにインストールして、それを NAT の redirect 機能 を用いて外部に公開しなさい。当然、それが可能になるルールを考え、 テストしなさい。

演習 7.6   ログを取れるようにしなさい。更に、iplogを用いて、全てのトラフィックの ログも取りなさい。WWW 上でもiplog を用いて、ログを取りなさい。

演習 7.7   SAINTやnmapなどのツールで内部からセキュリティホールを探し、それらを 潰しなさい。同時に、外部から ファイアーウォール に対してポートスキャンを実行しなさい。ボートスキャンの防止について 考え、見付かったセキュリティホールは修正しなさい。

演習 7.8   内部から外部へのアクセスを大幅に許すルールセットを構築しなさい。 内部から外部へアクセス、あるいは外部から内部にアクセスし、その 様子を ethereal などで監視しなさい。



Noriyo Kanayama