 |
|
Оформление контрольной работы
Отчет готовится на стандартных листах формата А4 и включает в себя титул (см. Приложение 3) и решения всех задач и заданий варианта. Решение каждого задания оформляется на отдельном листе и должно включать следующие компоненты: фамилию, номер группы, номер варианта, номер темы, номер задачи и номер задания. Например:
Иванов Д.А, ЗКТ-311с, вар. 33, тема 4, задача 2, задание – 3
Под этой строкой должен быть текст самой задачи, а затем собственно ход решения и листинг работающей программы (там, где необходимо составить программу).
Приложение 1
Таблица вариантов контрольной работы
| Номера тем | ||||||
| 1. | 2. | 3. | 4. | 5. | ||
| Номера вариантов | 0. | |||||
| 1. | ||||||
| 2. | ||||||
| 3. | ||||||
| 4. | ||||||
| 5. | ||||||
| 6. | ||||||
| 7. | ||||||
| 8. | ||||||
| 9. | ||||||
| 10. | ||||||
| 11. | ||||||
| 12. | ||||||
| 13. | ||||||
| 14. | ||||||
| 15. | ||||||
| 16. | ||||||
| 17. | ||||||
| 18. | ||||||
| 19. | ||||||
| 20. | ||||||
| 21. | ||||||
| 22. | ||||||
| 23. | ||||||
| 24. | ||||||
| 25. | ||||||
| 26. | ||||||
| 27. | ||||||
| 28. | ||||||
| Номера вариантов | 29. | |||||
| 30. | ||||||
| 31. | ||||||
| 32. | ||||||
| 33. | ||||||
| 34. | ||||||
| 35. | ||||||
| 36. | ||||||
| 37. | ||||||
| 38. | ||||||
| 39. | ||||||
| 40. | ||||||
| 41. | ||||||
| 42. | ||||||
| 43. | ||||||
| 44. | ||||||
| 45. | ||||||
| 46. | ||||||
| 47. | ||||||
| 48. | ||||||
| 49. |
Приложение 2
КОНТРОЛЬНЫЕ ЗАДАНИЯ
1.Анализ сетевого трафика
Задача 1
1. Составить правила фильтра пакетов проходящих из сети 10.1.1.0/24 в сеть 10.1.0.0/24.
2. Составить правила фильтра пакетов идущих c хостa 10.1.1.1 по протоколу udp на 53 порт любого хоста.
3. Отфильтровать весь мультикастовый трафик.
4. Объясните смысл такого фильтра: ether[0] & 1 != 0.
5. Составить правило для фильтрации трафика между хостом HELIOS и хостами HOT и ACE.
Задача 2
1. Составить правила фильтра пакетов идущих с хоста www.badcite.com в сеть 192.168.24.64/28.
2. Составить правила фильтра пакетов идущих c хостa OMICRON по протоколу tcp на 8080 порт хоста PROXY.
3. Отфильтровать все начальные и конечные TCP пакеты (SYN и FIN), не предназначенные локальному хосту и не исходящие от него.
4. Прокомментируйте данный фрагмент сессии:
rtsg.1023 > csam.login: S 768512:768512(0) win 4096 <mss 1024>
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096 <mss 1024>
rtsg.1023 > csam.login: . ack 1 win 4096
rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096
rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1
5. Составьте фильтр для обнаружения Quake-игроков в сети RSVPU (игра Quake использует udp пакеты и порт 27500).
Задача3
1. Поясните смысл данного фрагмента сессии: src > dst: id op rcode flags a/n/au type class data (len) helios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)
2. Отфильтровать трафик, исходящий НЕ от локального хоста и НЕ входящего на него.
3. Объясните смысл такого фильтра: tcpdump 'tcp[13] & 3 != 0 and not src and dst net localnet'.
4. Составьте фильтр IP пакетов, имеющих размер более 400 байт.
5. Отфильтруйте все ICMP пакеты, посланные командой ping (не являющимися icmp requests\replies).
Задача4
1. Составить правило для фильтрации трафика всех фрагментированных пакетов, идущих к хосту SERVER.
2. Составить фильтр трафика www сессий с хоста HELIOS.
3. Отфильтровать исходящий ftp и www трафик с машины JANA.
4. Объясните смысл такого фильтра: tcpdump 'icmp[0] != 8 and icmp[0] != 0'.
5. Составьте фильтр для arp/rarp трафика .
Задача5
1. Составить правило для фильтрации пакетов из сети 10.13.200.32/28 в сеть 10.13.200.64/28, идущих на 135-139 порты.
2. Отфильтровать smtp и pop3 трафик, идущий из сети HELIOS.
3. Отфильтровать весь DNS трафик.
4. Составить фильтр трафика фрагментированных tcp пакетов, идущих из сети NEBULA.
5. Отфильтровать весь трафик с размером пакетов больше 1Кб.
2.Правила FireWall
Задача1
1. Какую функцию выполняет данный участок правил:
100 pass all from any to any via lo0
200 deny all from any to 127.0.0.0/8
300 deny ip from 127.0.0.0/8 to any
2. Составьте правило для разрешения опроса DNS серверов из сети HELIOS.
3. Задайте правила для разрешения трафика из и в сеть HELIOS.
4. Разрешите прохождение TCP, если сессия была успешно установлена.
5. Разрешите прохождение фрагментированных IP пакетов.
Задача2
1. Разрешите прохождение почты внутрь сети HELIOS.
2. Разрешите установление только исходящих TCP соединений, и запретите установку всех прочих.
3. Разрешите NTP запросы во внешние сети.
4. Запретите прохождение пакетов из частных сетей (rfc1918).
5. Запретите прохождение MULTICAST и DHCP в другие сети из сети HELIOS.
Задача3
1. Разрешите прохождение пакетов на внутренние www и ftp сервера.
2. Добавьте правило, запрещающее установку входящих соединений из внешних сетей и ведущее журналирование данного события.
3. Перенаправьте все пакеты, идущие на 80 порт локального хоста на хост HELIOS. А на последнем все приходящие пакеты на 80 порт-на локальный порт 8080.
4. Запретите все типы входящих ICMP пакетов.
5. Установите счетчик IP пакетов, имеющих длину 1Кб.
Задача4
1. Запретите прохождение IP пакетов в сеть JOOLIO с TTL равным 128.
2. Запретите прохождение IPv6 трафика в сеть HELIOS.
3. Ограничить пятью соединениями все сессии, идущие из сети STRICT.
4. Разрешить прохождение пакетов на локальный порт 22 только с ARP-адреса 20:10:30:40:50:60.
5. Поясните смысл данных правил:
ipfw add pipe 1 ip from any to any out
ipfw add pipe 2 ip from any to any in
ipfw pipe 1 config delay 250ms bw 1Mbit/s
ipfw pipe 2 config delay 250ms bw 1Mbit/s
Задача5
1. Составить правилa для закрытого firewall так,чтобы исходящий из закрытой сети пакет с флагом SYN устанавливал бы динамическое правило, временно открывающее канал на время сессии с удаленным хостом.
2. Поясните смысл данного участка правил:
ipfw add check-state
ipfw add allow udp from my-subnet to any
ipfw add deny udp from any to any
3. Составьте правило для пропускания пакетов, идущих в сеть EVILNET с вероятностью в 5%.
4. Составьте правило искусственного ограничения канала на 10Kb/s пакетов, идущих в сеть HELIOS.
5. Разрешить прохождение на хост HELIOS TCP пакетов, предназначенных пользователю print.
3.Обнаружение следов атак
Задача1
1. Перечислите как можно больше объектов ОС windowsNT, из которых могут автоматически запускаться программы.
2. Составьте запрос поиска всех системных файлов, изменявшихся за последнюю неделю.
3. Прокомментируйте часть файла журнала sendmail:
Mar 23 08:43:58 fi sendmail[7569]: h2N3hpsc007569: ruleset=check_rcpt, arg1=<china9988@21cn.com>, relay=[211.194.117.174], reject=550 5.7.1 <china9988@21cn.com>... Relaying denied. IP name lookup failed [211.194.117.174]
4. Прокомментируйте часть файла журнала httpd:
66.26.27.172 - - [17/Feb/2003:23:17:44 +0500] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 320
5. Прокомментируйте данное сообщение от ядра:
Jan 14 13:10:37 fi /kernel: arp: 192.168.3.100 is on ed0 but got reply from 00:60:08:81:0d:c4 on ed1
Задача2
1. Составить запрос поиска всех служебных файлов, конфигурация которых мененялась за последние 24часа.
2. Прокомментируйте часть файла журнала sendmail:
Mar 25 02:41:29 fi sendmail[11585]: h2OLfTsb011585: ruleset=check_mail, arg1=<root@server214.usvpu.ru>, relay=srvSIS.usvpu.ru [194.226.238.67], reject=501 5.1.8 Domain of sender address root@server214.usvpu.ru does not exist
3. Составить запрос <cmp> для обнаружения изменения версий системных файлов по отношению с эталонными.
4. Прокомментируйте часть файла журнала httpd:
194.226.55.18 - - [27/Jan/2003:19:30:15 +0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317
5. Прокомментируйте часть файла журнала bind:
Mar 19 17:17:06 fi named[116]: Response from unexpected source ([152.163.159.225].53) for query "twdns-02.ns.aol.com IN A6"
Mar 19 17:17:10 fi named[116]: Response from unexpected source ([205.188.157.225].52) for query "twdns-04.ns.aol.com IN AAAA"
Задача3
1. Прокомментируйте часть файла журнала sendmail:
Oct 2 20:28:37 homer sendmail [5453]:NOQUE: foo@moo.com[205.22.55.22]: expn root [rejected].
2. Прокомментируйте данное сообщение от ядра:
Mar 11 13:21:30 fi /kernel: Limiting icmp unreach response from 284 to 200 packets per second.
3. Прокомментируйте часть файла журнала pop3:
Mar 19 09:37:54 fi popper[76455]: antony@srvSIS.usvpu.ru: -ERR Password supplied for "antony" is incorrect.
4. Прокомментируйте кусок лога ssh2:
Apr 12 16:09:11 ps sshd[16914]: auth_set_user: illegal user gru
Apr 12 16:09:11 ps sshd[16914]: Failed password for gru from 192.168.3.2 port 2413 ssh2.
5. Расскажите о технологии обнаружения «троянских коней» в ОС windows.
Задача4
1. Прокомментируйте часть файла журнала httpd:
[Wed Feb 19 18:57:55 2003] [error] [client 200.31.148.157] File does not exist: /usr/local/apache/htdocs/scripts/..+ ../winnt/system32/cmd.exe
2. Прокомментируйте данное сообщение от ядра:
Jan 27 13:49:02 fi /kernel: Limiting closed port RST response from 294 to 200 packets per second.
3. Составьте скрипт на языке sh для поиска новых файлов с установленным suid-битом. Подразумевается, что у вас есть некая база данных системных файлов с установленным битом suid.
4. Расскажите о возможных причинах появления данного сообщения в регистрационном файле messages:
arp 12:22:34:00:66:33 is on ed1 but got reply from 11:22:33:44:55:11.
5. Какие ключевые слова нужно искать в файлах регистрации для выявления ложного DNS-сервера?
Задача5
1. Прокомментируйте часть файла журнала httpd:
[Thu Feb 20 05:45:09 2003] [error] [client 194.226.124.206] File does not exist: /usr/local/apache/htdocs/MSADC/root.exe
2. Прокомментируйте часть файла журнала ftpd:
Feb 18 00:21:29 fi proftpd[45297]: fi.usvpu.ru (217.84.227.252
[217.84.227.252]) - SECURITY VIOLTION: root login attempted.
3. Прокомментируйте сообщения от ftp сервера:
Jan 28 22:32:39 fi proftpd[72624]: fi.usvpu.ru (155.223.1.8[155.223.1.8]) - SECURITY VIOLATION: root login attempted.
4. Прокомментируйте часть файла журнала sendmail:
Feb 6 18:38:31 fi sendmail[16953]: h16DcP4V016952: Truncated MIME Content-Type header due to field size (length = 182) (possible attack).
5. Какие ключевые слова нужно искать в файлах регистрации для выявления ложного ARP-сервера?
4.Сетевые сканеры безопасности
Задача1
1. Составьте строку запуска nmap для определения всех www узлов в сети HELIOS.
2. С помощью nmap выясните количество рабочих станций в сети MAHOON под управлением windowsNT/2k.
3. Составьте скриптовый файл на cmd для сканирования сети HELIOS на предмет отсутствия критических обновлений, загрузку этих обновлений и их установку.
4. С помощью любого скриптового языка составьте скрипт для обнаружения серверов DNS, разрешающих удаленное обновление зон непривелигированным клиентам.
5. Составьте строку запуска nmap для обнаружения всех unix и windows серверов, обеспечивающих доступ к оболочке операционной системы.
Задача2
1. Составьте строку запуска nmap для определения всех ftp узлов в сети HELIOS.
2. Используя любой удобный для вас язык программирования, напишите сканер сети на предмет открытых для записи сетевых реестров в сети HELIOS.
3. Составьте сигнатуру для сканера nessus для определения переполнения буфера в службе ntp версии 1.2
4. С помощью любого скриптового языка напишите скрипт для обнаружения в сети всех серверов sendmail, разрешающих запрос expn.
5. Напишите программу на любом языке для тестирования хостов сети на переполнение буфера заголовков sendmail.
Задача3
1. Составьте строку запуска nmap для определения всех pop3 узлов в сети HELIOS.
2. Используя любой удобный для вас язык программирвоания, напишите программу для обнаружения в сети NFS ресурсов, доступных для записи анонимным пользователем.
3. Составьте на любом скриптовом языке программу для обнаружения всех уязвимых bind серверов в сети (используя номера версий).
4. С помощью любого языка напишите программу для обнаружения всех DNS серверов, разрешающих передачу своих зон неавторитарным клиентам.
5. Используя сигнатуры сетевого сканера ISS, определите в сети все хосты с уязвимостью в RPC.
Задача4
1. Составьте строку запуска nmap для определения всех smtp узлов в сети HELIOS.
2. Составьте на удобном для вас языке сканер для обнаружения уязвимых версий sendmail.
3. Используя любой скриптовый язык, просканируйте сеть на наличие FTP серверов, разрешающих запись в каталоги анонимным пользователям.
4. Используя удобный для вас язык программирования, напишите программу, обнаруживающиую административные учетные записи с паролями из мировых списков.
5. С помощью сигнатур retina network scaner определите в сети все хосты с уязвимостью в windows help.
Задача5
1. Составьте строку запуска nmap для определения всех dns узлов в сети HELIOS.
2. Составьте на любом удобном для вас скприптовом языке программу для обнаружения десяти популярных windows-backdoor программ.
3. Используя удобный для вас язык программирования напишите программу для обнаружения всех уязвимых версий httpd серверов.
4. Составьте на любом языке программу для обнаружения IIS серверов с ошибками в обработке unicode.
5. С помощью любого языка программирования составьте программу для обнаружения всех уязвимых sshd серверов в сети.
5.Сенсоры систем обнаружения атак
Задача1
1. Используя MS NetworkMonitor, cоздайте фильтр обнаружения неудавшихся попыток доступа по nebios.
2. Используя любой удобный для вас язык программирования, составьте программу для обнаружения попыток доступа к привилегированным портам.
3. Составьте скриптовый файл на cmd для монитроинга сетевых подключений и вывода предупреждающего сообщения в случае соединения по netbios хоста HELIOS.
4. С помощью любого скриптового языка составьте скрипт для обнаружения запросов обновления зон dns.
5. Используя MS NetworkMonitor, cоздайте фильтр обнаружения всех попыток доступа к ssh и telnet серверам.
Задача2
1. Используя MS NetworkMonitor, cоздайте фильтр обнаружения попыток присвоения чужого IP-адреса.
2. Используя любой удобный для вас язык программирования, напишите программу для обнаружения попыток доступа к сетевым реестрам.
3. Составьте сигнатуру для сенсора snort для определения попыток реализации переполнения буфера в службе ftpd версии 2.3
4. С помощью любого скриптового языка напишите скрипт для обнаружения попыток запроса expn в сервере sendmail.
5. Напишите программу на любом языке для обнаружения попыток взлома sendmail через уязвимость в переполнении буфера заголовка письма.
Задача3
1. Используя удобный для вас скриптовый язык напишите программу для обнаружения всех попыток обновить зонные файлы вашего DNS на основе анализа файлов журналов.
2. Используя любой удобный для вас язык программирования, напишите программу для обнаружения попыток доступа анонимных пользователей к NFS ресурсам.
3. Составьте на любом скриптовом языке программу для обнаружения всех попыток взлома bind серверов с помощью переполнения буфера.
4. С помощью любого языка, напишите программу для обнаружения всех попыток запроса передачи зон локального DNS сервера.
5. Используя сигнатуры сетевого сенсора snort, определите все попытки доступа к хостам с уязвимостью в RPC.
Задача4
1. Используя MS NetworkMonitor, cоздайте фильтр обнаружения попыток доступа к серверам smtp в сети HELIOS.
2. Составьте на удобном для вас языке сенсор для обнаружения попыток доступа к уязвимым версиям sendmail.
3. Используя любой скриптовый язык, напишите сенсор сети, обнаруживающий все попытки доступа анонимных пользователей к FTP серверам.
4. Используя удобный для вас язык программирования, напишите программу для обнаружения попыток подбора паролей к административным учетным записям.
5. С помощью сигнатур snort определите в сети все попытки несанкционированного доступа через уязвимость в windows help.
Задача5
1. Используя MS NetworkMonitor, cоздайте фильтр обнаружения сканирования портов.
2. Составьте на любом удобном для вас скриптовом языке программу для обнаружения попыток доступа к портам распространенных windows-backdoor программ.
3. Используя удобный для вас язык программирования, напишите сенсор для обнаружения попыток реализации атак через уязвимости в httpd.
4. Составьте на любом языке сенсор для обнаружения попыток реализации атак на IIS сервера через ошибки в обработке unicode.
5. С помощью любого языка программирования, составьте сенсор для выявления хоста-источника шторма пакетов на 80 порт.
Приложение 3
Министерство образования Российской Федерации
Российский государственный профессионально-педагогический университет
Кафедра сетевых информационных систем
Контрольная работа по дисциплине
Защита сетевых информационных систем
Вариант №
| |
| Дата сдачи работы: «___»_________200 г. Работу принял: __________/ ___________ (подпись) (расшифровка) | Работу выполнил: ФИО студент группы [буквы + номер] Работу проверил: __________/ ___________ (подпись) (расшифровка) |
| Екатеринбург |
Литература
1. Винтер П. В. Теория и практика обеспечения информационной безопасности. - СПб.:Питер, - 1998. - 320 с.
2. Джоан Рэй. Системное администрирование UNIX: Пер. с англ.: Уч. пос. – М. : Издательский дом «Вильямс», 2000. – 608 с.
Дополнительная литература
1. Барсуков В. С., Дворянкин С. В., Шеремет И. А. Безопасность связи в каналах телекоммуникаций. –М.: Россия, 1996. –124 с.
2. Зегжда П. Г. “Теория и практика обеспечения информационной безопасноти”. –М.: Изд. Яхтсмен, 1996. –158 с.
3. Мафтик С.М. Механизмы защиты в сетях ЭВМ. - М.: Мир, 1993. – 256 с.
4. Мельников В.. ”Защита информации в компьютерных системах”. -М.: ”Финансы и статистика”. 1997. – 433 с.
5. Медведовский И. «Атака через интернет»: – М.: НПО «Мир и семья-95», 1997. –240 с.
6. Эви Немет, Гарт Снайдер, Скотт Сибасс, Трент Р.Хейн UNIX: руководство системного администратора:Пер. с англ. - К.:BHV, 1997. - 832 c.
Есарев Дмитрий Александрович
Методические указания к выполнению контрольных работ по дисциплине
ЗАЩИТА СЕТЕВЫХ ИНФОРМАЦИОННЫХ СИСТЕМ
(ГОСТ-2000)
Подписано в печать_11.04.2003. Формат 60х84/16. Бумага для множительных аппаратов. Печать плоская. Усл. Печ1,3. Уч.-изд. л.1,39. Тираж 300 экз. Заказ № 201.