[SIGKOM] 3. laboratorijska vježba - 2021/2022
Daeyarn
Han probaj dodati .sh na kraj sudo ./start_fw, ne znam je li do toga ali iz ovog errora mozda?
[obrisani korisnik]
Daeyarn
[obrisani korisnik] ok wow ovo je impresivno, svaka čast😄
djeno
jel on mene samo obavjestava da imam gresaka ili ja sad to moram ispravljat
nije napisao nis u mailu osim sta mi ne valja pa sam zbunjen
netko dobio slican mail?
Jale
djeno svi smo dobili taj mail cini se, mislim da ne treba ispravljat nego da je samo informativno
djeno
ajde neka ga
Jaster111
Jel ima neka dobra duša voljna poslat kako izgledaju iptables datoteke?
FERonja
Jaster111 pogledaj si 4. srs labos
Jaster111
FERonja jel postoje negdje rješenja? vidim na materijalima nema ništa
Jaster111
S obzirom da generalno ne postoje rješenja za ovaj labos, objavit ću šta sam ja napravio iako fale neki djelovi i također je vjerojatno dio kriv iako to nemam pojma, al može poslužit kao dobar guideline za iduće generacije koje će morat rješavat ovo smeće od labosa.
Zadatak 1:
Dodavanjem naredbi u FW.sh i FW_int.sh sam postigao funkcionalnost vatrozida opisanu u tekstu ovog zadatka.
Zadatak 2:
Pokrenuo sam u terminalu sljedeće naredbe:
sudo ./start_fw
sudo ./start_http
$ ssh 198.51.100.10 -> uspješno, konfiguriran je vatrozid da propušta ssh na ssh poslužitelj
$ ssh 198.51.100.11 -> neuspješno, ima smisla jer ssh nije dozvoljen za web poslužitelj
$ ssh 192.0.2.1 -> neuspješno, također ima smisla jer je rečeno da se int1 smije spajat sa ssh na FW
$ ssh 198.51.100.2 -> neuspješno, isti razlozi kao i gore
$ sudo himage int1 ssh 10.0.0.10 -> uspješno, unutar iste lokalne mreže su
$ sudo himage int1 ssh 198.51.100.10 -> uspješno, računala iz lokalne mreže imaju neograničen pristup računalima u DMZ
$ sudo himage int1 ssh 198.51.100.11 ->
$ sudo himage int1 ssh 192.0.2.1 ->
$ sudo himage int1 ssh 198.51.100.2 ->Otvaranjem stranice http://198.51.100.11 mi se prikazuje sljedeće:
(tu mi fali slika fer test stranice koja se prikaže kada se otvori gore navedena adresa)
Na čvoru ssh sam pokrenuo praćenje dolaznih veza:sudo himage ssh watch -n 0.5 netstat -ant
Pokretanjem naredbi za detekciju verzija servisa i općeniti scan sam vidio promjene unutar terminala koji prati dolazne veze.
Nakon općenitog scana su se pojavila 4 zapisa sa TIME_WAIT state-om, što je normalno ponašanje nakon zatvaranja sjednice, a nakon detekcije verzije servisa sam vidio još jedan zapis sa state-om ESTABLISHED što znači da uistinu u tom trenutku se uspostavila komunikacija između int1 i ssh.
Zadatak 3:
Korištenjem naredbe hcp ssh_int:/etc/ssh/sshd_config sshd_config_mail sam preuzeo konfiguracijsku datoteku te u njoj izmijenio parametar za port i PermitRootLogin u yes .
Gotovo identičnu naredbu sam koristio za ssh, te obje datoteke vratio nazad na poslužitelje.
Također sam uzeo ubuntu javni ključ te ga upisao u datoteku authorized_keys na oba poslužitelja u folder root/.ssh/ I zatim pokrenuo naredbu ssh -J root@198.51.100.10 root@10.0.0.10 -p 2222
Dodatno bih uključio Kerberos, ChallengeResponseAuthentication i HostbasedAuthentication za veću sigurnost.
Sale
Jaster111 Budući da želimo da labosi budu korisni, poučni, i u neku ruku zanimljivi studentima, možete li objasniti zašto je ovaj labos “smeće” i što bi trebalo popraviti da ne bude “smeće”?
Ozbiljno pitam jer svaki feedback je dobrodošao. Bit će korisno (barem idućim generacijama) ako nešto od loših stvari uspijemo popraviti.
Rope
Ekipa koja je isla na kasniju predaju, jesu li vam odobrili labos na moodleu?
samo_vagabundo
Sale Podijelite skriptu za provjeru koliko je vatrozid ispravan. Najbolji materijal za rijesiti 1. zadatak je random web koji je kolega podijelio.
Osim toga, volim se uziviti u labos koji rijesavam, pa ubacite neke pricice stajaznam, crvenkapa mora postaviti vatrozid baki ili tako nesto.
Ovo je ovako na prvu, vjerujem da postoji niz stvari koje bi drugi kolege mogli predloziti, ovi labosi su bas tlaka jbg
Jaster111
Sale
Iptables, ukoliko nemas prethodnog iskustva s time, se svodi na trial and error. Ja sam 2 dana pokusavao uspostavit da to radi kako treba i uspio donekle, ali zbog manjka kvalitetnih resursa nikad nisam sasvim naucio kako to funkcionira skroz (a nije da ne bih htio).
Ostatak labosa je okej generalno, nista pre iznimno time-consuming.
Ali to postavljanje IPtablesa je bas hassle i bilo bi iznimno kul kada bi jedna cijela prezentacija postojala ili neki pdf na materijalima predmeta koji ima raznorazne primjere problema te njegovog rješenja putem IPtables naredbe. Tako bi studenti na ful konkretnim primjerima naucili ideju iza svakog segmenta jedne takve naredbe.
FERonja
Sale Objaviti neke primjere (obrasce pravila) s dva računala i jednim vatrozidom čisto da lakše razumijemo kako se pišu ta pravila.
I kao što je kolega rekao skriptu koja provjerava ispravnost vatrozida s detaljnim ispisom testova koji nisu prošli, nešto kao što smo dobili mail od profesora Mikuca.
I malo bolje objasniti anti-spoofing pravila.
Sinusan
Dodati skriptu za provjeru rješenja.
Ukloniti limit na broj riječi u izvještaju ili dati neki kostur izvještaja koji se mora nadopuniti na ključnim mjestima.
S trenutnim ograničenjima izvještaja se događa da značajan dio vremena otpada na uklanjanje riječi kako bi se došlo ispod nekog limita.
One pričice što je spominjao kolega osobno ne bih volio.
samo_vagabundo
Osim toga, volim se uziviti u labos koji rijesavam, pa ubacite neke pricice stajaznam, crvenkapa mora postaviti vatrozid baki ili tako nesto.
Dodali su te pricice na ZI, koliko se sjecam nije bilo na MI i zelim vjerovati da je moj komentar razlog.
Daeyarn
jel vam treci labos jos uvijek neocijenjen na moodlu?