Live-Demonstration mit Iptables

#0
04.05.2009, 18:05
Member

Beiträge: 11
#1 Hallo zusammen ;)

Bin ein Student der Wirtschaftsinformatik und habe die glorreiche Aufgabe erhalten eine Präsentation über Firewalls/Iptables zu halten.

Die Präsentation an sich ist kein Problem, die Live-Demonstration mit Iptables schon. Meine Idee dazu wäre, mittels VirtualBox 2 virtuelle Maschinen(Ubuntu) zu starten und eine Datei von Ubuntu1 zu Ubuntu2 zu schicken, erstmal ohne Iptables-Einstellungen, dann mit.

Meine Fragen dazu :

Geht das überhaupt ?

Wäre es eventuell besser von Vista aus eine Datei an Ubuntu zu schicken ?

Was wäre eure Empfehlung dazu ?



Mfg

Authority
Seitenanfang Seitenende
04.05.2009, 19:27
Member

Beiträge: 896
#2 Hallo

Zitat

Meine Idee dazu wäre, mittels VirtualBox 2 virtuelle Maschinen(Ubuntu) zu starten und eine Datei von Ubuntu1 zu Ubuntu2 zu schicken, erstmal ohne Iptables-Einstellungen, dann mit.
Ich würde 2 separate "echte" Rechner nehmen, Ob auf beiden Linux, oder nur auf einem ist dabei völlig egal.
__________
Mfg
schwedenmann
Seitenanfang Seitenende
05.05.2009, 11:26
Member

Themenstarter

Beiträge: 11
#3 Würde ich sofort machen, jedoch hab ich für die Live-Demo nur ein System :
Meinen Laptop
Seitenanfang Seitenende
05.05.2009, 12:11
Moderator
Avatar joschi

Beiträge: 6466
#4

Zitat

Wäre es eventuell besser von Vista aus eine Datei an Ubuntu zu schicken ?
Das ist doch völlig ausreichend um die Funktionsweise von iptables zu demonstrieren. Wozu ein weiteres Ubuntu o.ä. ?
Allerdings erscheint es mir nicht leicht, die Funktionsweise tatsächlich sichtbar zu machen. Der Zuschauer sieht ja nur das Resultat ;).
Vorstellbar wäre zu demonstrieren, was es bedeutet Anfragen (syn) an einen Service zu blockieren/zuzulassen, oder das Umleiten von bestimmten Paketen an eine anderere Adresse/Port.

Allemal... natürlich sollte es die vorhergehende Präsentation ergänzen ;)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
05.05.2009, 16:54
Member

Themenstarter

Beiträge: 11
#5 wenn ich die Zeit habe, werde ich das auf jeden Fall noch ergänzen. Danke ;)


Jetzt komme ich zu der Frage, wie ich von Vista aus an die virtuelle Maschine(Ubuntu) eine Datei schicken kann...

Ich muss zugeben, dass ich sowas noch nie gemacht habe ;)
Seitenanfang Seitenende
05.05.2009, 17:34
Moderator
Avatar joschi

Beiträge: 6466
#6 Zuerst musst Du Dir klar darüber werden, über welchen Service die Datei übertragen werden soll. fileserver (Samba), ftp, wären hier mögliche Services, die man auf der Ubuntumaschine anbieten kann.

Die virtuelle Maschnine hat ihr virtuelles Netzwerkinterface welches im selben Netzsegment wie die physikalische NIC der Vista-Maschine. Am einfachsten beide IP-Adressen statisch vergeben. Und dann kanns auch schon losgehen.

Da Dir das Thema scheinbar auf die Nase gedrückt wurde, hier noch ein Link: http://www.pro-linux.de/t_netzwerk/iptables.html
Wikipedia hält natürlich auch einen Eintrag bereit.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
06.05.2009, 00:02
Member

Themenstarter

Beiträge: 11
#7 Vielen Dank. Langsam erkenne ich endlich, was auf mich zukommt.

Würdet ihr VmWare oder VirtualBox verwenden ?
Seitenanfang Seitenende
06.05.2009, 14:19
Moderator
Avatar joschi

Beiträge: 6466
#8 Wenngleich VirtualBox eine sehr gute aAlternative ist, würde VMWare verwenden. Erscheint mir stabiler- und das sollte es bei einer Präsentation auf jeden Fall sein.

Wenn es nicht darauf ankommt, dass Du eigenhändig ein Script entwirst, ist FirewallBuilder eine sehr gute Hilfe. Eröffnet auch dem Zuschauer verständlicher, was eine einzelne Regel aussagt, welche Prüfung ein Datenpaket durchläuft, bevor es ankommt- oder eben auch nicht ;).

Trotz allem benötigt man auch hier fundierte Kentnisse bzgl. TCP/IP, Funktionsweise eines Paketfilter....
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
06.05.2009, 23:18
Member

Themenstarter

Beiträge: 11
#9 Naja was ich bei der Präsentation zeige, ist mir eigentlich freigestellt.

Es soll nur zeigen, dass ich meine Iptables-Kommandos anwenden kann. Gibt es vielleicht ein Programm das einen Angriff simuliert und ich damit Iptables testen könnte ? Das würde für die Demonstration schon reichen, vorallem weil ich eh nur 10 Minuten Zeit habe.
Seitenanfang Seitenende
06.05.2009, 23:52
Moderator
Avatar joschi

Beiträge: 6466
#10

Zitat

vorallem weil ich eh nur 10 Minuten Zeit habe.
...also nur eine oberflächliche Abhandlung ;).
Puh...10 Minuten sind knapp. Wie wäre es mit einem einfachen Echo request/reply ? ;)
Für Programme, die Angriffe "fahren" oder auch nur simulieren eignet sich als Gegenmaßnahme eher ein IDS. Iptables erscheint mir hier nicht als erste Wahl.

Eine simple Demo wäre, dass Du den Zugriff auf einen web-Server der Ubuntu-
Maschine für die IP-Adresse der Vistamaschine zulässt. Ergebnis: Zugriff ok, eine kleine Webseite, die Du hinterlegt hast, erscheint.
Als Fortsetzung fügst Du oberhalb dieser Regel eine ein, die besagt, dass alle Syn-Anfrage auf den Webserver-port unterbunden werden.
Ergebnis: Alle Anfragen, egal welcher IP-Adresse werden blockiert.

Das zeigt
a) die Reheinfolge der einzelnen Regeln spielt eine maßgebliche Rolle.
b) Iptables kann zustandsorientiert filtern.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
07.05.2009, 11:33
Member

Themenstarter

Beiträge: 11
#11 Das ist eine sehr gute Idee.

Um dieses Unterfangen zu realisieren, müsste ich dann folgende Schritte erledigen :

- VmWare/VirtualBox herunterladen
- Ubuntu 9.04 herunterladen
- Über VmWare/VirtualBox Ubuntu 9.04 installieren
- Webserver herunterladen(Apache?)
- Webserver unter Ubuntu einrichten
- Kleine leere Webseite bauen(ohne Inhalt)
- Vista eine feste IP zuweisen(irgendwelche Bedingungen ?)
- Ubuntu eine feste IP zuweisen
- Zugriff über Vista auf Webseite mittels Browser(adresse wäre dann ip-Adresse der Ubuntu-Maschine/name der seite ?)
- Nach gelungenem Zugriff, mittels Iptables den Zugriff auf die Webseite verhindern ?

Würde das in etwa so passen ? ;)

Gibts bei der Einrichtung des Webservers unter Ubuntu irgendetwas zu beachten ?

Muss leider zugeben, dass ich ein totaler Anfänger in diesem Bereich bin. ;)
Seitenanfang Seitenende
07.05.2009, 17:36
Member

Beiträge: 896
#12 Hallo

Zitat

Gibts bei der Einrichtung des Webservers unter Ubuntu irgendetwas zu beachten
Eigentlich nciht, es sollte der Apache2 in eienr lauffähigen grundinstalltion installiert werden.

Nach der Installation ev. ein /etc/init.d/apache2 start eingeben

Dann im Browser http:/localhost eintippen, wenn alles korrekt installiert wurde und der Apache2 läuft, dann solte

a. leere Seite mit dem text "it works"
oder
b. eine html-Seite mit kurzem Text und dem Apache logo

erscheinen.
__________
Mfg
schwedenmann
Seitenanfang Seitenende
07.05.2009, 22:07
Member

Themenstarter

Beiträge: 11
#13 So.

Mal ein kurzer Lagebericht :

VmWare installiert
Ubuntu über VmWare installiert
Apache2 für ubuntu installiert
webseite erstellt, aufgerufen, klappt(http://ip-adresse/test1.html)

Auch von Vista aus.

Und nun Iptables so einstellen, dass ich von Vista aus nicht mehr auf die Webseite zugreifen kann ?
Seitenanfang Seitenende
12.05.2009, 18:23
Member

Beiträge: 214
#14

Zitat

Authority postete
Bin ein Student der Wirtschaftsinformatik
Ok - und Du bist auf fremde Hilfe angewiesen, um diese vollkommen simple Aufgabenstellung zu "meistern"?

Alter Vatter, was lernt Ihr denn?!
__________
the power to serve
Seitenanfang Seitenende
12.05.2009, 18:55
Member
Avatar Xeper

Beiträge: 5291
#15

Zitat

dash postete

Zitat

Authority postete
Bin ein Student der Wirtschaftsinformatik
Ok - und Du bist auf fremde Hilfe angewiesen, um diese vollkommen simple Aufgabenstellung zu "meistern"?

Alter Vatter, was lernt Ihr denn?!
Dem kann ich nur zustimmen, ich denke auch nicht das dieses Forum die Aufgabe hat dich durch Info Studium zu schleifen.
Du solltest dir mal eher viel mehr Mühe geben, evntl. ist Informatik ja auch gar nicht für jeden etwas.

Du wirst denen jawohl noch demonstrieren wie da ein paar Pakete angeflogen kommen und wenn du die entsprechenden Regeln setzt, diese dann eben nicht mehr ankommen eg. geblockt werden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: