Mese: Aprile 2012

Controllo dell’accesso in base all’indirizzo MAC

Lascia un commento

Si desidera che solo una macchina particolare, identificata dal suo indirizzo MAC, può accedere al tuo sistema.

# iptables -F INPUT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m mac --mac-source 12:34:56:89:90:ab -j ACCEPT
# iptables -A INPUT -j REJECT

ipchains non supporta questa funzionalità.

Questa tecnica funziona solo all’interno della vostra sottorete locale. Se si riceve un pacchetto da una macchina di fuori della subnet, conterrà l’indirizzo MAC del gateway, non quella della macchina originale.

Gli indirizzi MAC possono essere contraffatti. Supponiamo di avere una macchina chiamata pippo il cui indirizzo MAC è considerato attendibile dal vostro firewall. Se un intruso scopre questo fatto, e pippo è giù, l’intruso potrebbe prendere l’indirizzo mac di pippo e il vostro firewall non saprebbe nulla. D’altra parte, se è pippo durante lo spoofing è acceso, il suo kernel inizieràurlare” (via syslog) che il suo indirizzo mac è stato duplicato.

Esercizi sulle access-list di cisco

Lascia un commento

A)Permettere all’host 192.168.1.17 l’accesso al Server 192.168.250.1 per ogni tipo di traffico (TCP, UDP) e negare tutto il resto
B)Permettere all’host 192.168.1.17 l’accesso al Server 192.168.250.1 solo per il servizio TFTP e negare tutto il resto
C)Negare alla seconda metà degli host della sottorete 172.20.160.0/20 qualsiasi tipo di traffico verso qualsiasi tipo di destinazione e permettere tutto il resto
D)Negare all’host 172.16.3.10 l’accesso in FTP verso tutti i 254 server della network 172.16.1.0/24 e permettere tutto il resto
E)Data la rete 192.168.10.0 permettere solo agli host dal .32 al .47 il traffico http verso il mondo esterno negando tutto il resto
G)Data la sottorete 172.16.192.0/23 permettere alla metà superiore degli host tutto il traffico tcp eccetto il servizio SMTP (porta 25) e negare il resto
H)Permettere all’host 192.168.1.1 il traffico telnet verso il server 172.16.1.1, permettere allo stesso host il traffico http verso il server 172.16.1.2 e negare tutto il resto
J)Data la sottorete 172.18.128.0/17, considerare la metà superiore degli host e negare agli host di tale metà superiore tutto il traffico IP verso chiunque e permettere tutto il resto
K) Permettere all’host 199.1.10.68 tutto il traffico verso il server 200.200.200.38 garantendogli anche la funzionalità del ping
A2)Permettere agli host 192.168.1.24 e 192.168.1.25 l’accesso al Server 192.168.240.1 per ogni tipo di traffico (TCP,UDP) e negare il resto
B2)Permettere agli host 192.168.1.25 e 192.168.1.26 l’accesso al Server 192.168.240.1 per ogni tipo di traffico (TCP,UDP) e negare il resto
C2)Data la rete 192.168.10.0 permettere solo agli host dal .15 al .31 il traffico http verso il mondo esterno negando tutto il resto
D2)Data la sottorete 172.16.64.0/18, considerare la metà superiore degli host e negare agli host PARI di tale metà superiore tutto il traffico IP verso chiunque e permettere tutto il resto
E2)Data la nostra rete 170.1.17.0/28 e la rete esterna 200.3.23.0/25 permettere il solo traffico ftp in uscita dei propri host pari verso gli host dispari dell’altra e in ingresso degli host pari dell’altra verso i nostri host dispari.

Colorazione della sintassi in Nano

Lascia un commento

 

Un’opzione carina da vedere e configurare è quella della colorazione della sintassi attraverso il nostro editor nano.Io ho aggiunto questa nuova riga per vedere colorato il file di configurazione di apache2:

/etc/nanorc
## Apache2 files
include "/usr/share/nano/apacheconf.nanorc"

aggiungo il nuovo file apacheconf.nanorc con la seguente configurazione:

## Apache httpd.conf highlighting

##

#how to add sites-enabled files? "default" is too generic to keep in here I think

syntax "Apache2" "apache2.conf$"

color brightwhite "(ServerRoot|LoadModule|(Lock|Pid)File|Timeout|(Max)?KeepAlive(Requests|Timeout)?)"

color brightwhite "(User|Group|LogFormat|ErrorLog|Include|(Script)?Alias)"

color brightwhite "(ErrorDocument|AccessFileName|UseCanonicalName|TypesConfig|DefaultType)"

color brightwhite "(HostnameLookups|IndexOptions|(Readme|Header)Name|LanguagePriority)"

color brightwhite "(AddIcon(ByEncoding|ByType)?|DefaultIcon|IndexIgnore|BrowserMatch)"

color brightwhite "(Add(Encoding|Language|(Default)?Charset|Type|Handler)|DirectoryIndex)"

color brightwhite "(DocumentRoot|Server(Admin|Signature)|LogLevel|CustomLog)"

color brightwhite "((Force)?LanguagePriority|NameVirtualHost)"

color brightyellow "(SetHandler|Order|Deny|Allow|SetOutputFilter)"

color yellow "(AllowOverride|FileInfo|AuthConfig|Limit)"

color yellow "([^A-Z0-9a-z]Options|Indexes|(\+|\-)?SymLinksIfOwnerMatch)"

color yellow "(Includes(NoExec)?|(\+|\-)?MultiViews)"

color yellow "(None|allow,deny|deny,allow|(allow)? from (all)?|Prefer|Fallback)"

color yellow "(Add(Handler|OutputFilter)|NumServers|AcceptMutex)"

color yellow "((Min|Max)Spare(Threads|Servers|Processors)|Start(Threads|Servers))"

color yellow "(MaxClients|(Min|Max)?ThreadsPerChild|MaxRequestsPerChild)"

color yellow "(FancyIndexing|VersionSort|ExecCGI|FollowSymLinks|(Min|Max)Processors)"

color yellow "hostmaster@[A-Za-z0-9\.]*"

color brightred "(On|Off)[[:space:]]*$"

color brightred "[[:space:]]+(debug|info|notice|warn|error|crit|alert|emerg)[[:space:]]*$"

color brightred "[[:space:]]+(combined|common|referer|agent)[[:space:]]*$"

color brightred "[[:space:]]+(redirect\-carefully|nokeepalive)[[:space:]]*"

color brightred "[[:space:]]+(force\-response\-1\.0)[[:space:]]*"

color brightred "[[:space:]]+(downgrade\-1\.0)[[:space:]]*"

color brightred "[[:space:]]+application/[a-zA-Z\-]+[[:space:]]*"

color brightred "[[:space:]]+type-map[[:space:]]*"

color magenta "[[:space:]]+[0-9]+[[:space:]]*"

color magenta "(/)?(2[0-5]{2}|1[0-9]{2}|[1-9][0-9]|[1-9])(\.(2[0-5]{2}|1[0-9]{2}|[1-9][0-9]|[0-9])){3}([[:space:]]+::(2[0-5]{2}|1[0-9]{2}|[1-9][0-9]|[0-9])/(2[0-5]{2}|1[0-9]{2}|[1-9][0-9]|[0-9]))?"

color brightcyan start="<" end=">"

color white ""(\\.|[^\"])*""

# Unix-based paths

# can't use \] in the regex for some reason?!? Maybe a bug?

# this is preventing a 100% "to the end of the line" match for a few

# lines (the trailing characters from ] to the EOL are not highlighted.

# if anyone knows how to make it work, let me know.. ;)

color white "[[:space:]]+(/[/\[\^#A-Za-z0-9\.\*\_\-]+)+"

color green "^[[:space:]]*#.*"

color cyan "\<(ServerName|Serveralias|DocumentRoot|DirectoryIndex|ErrorLog|CustomLog)\>"

 

1 2 3 4