 Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai.

Esitys aiheesta: " Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai."— Esityksen transkriptio:

1

2  Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai laitteistolla

3  Ipfwadm oli Linuxin ensimmäinen palomuuritoteutus (Kernel 2.0)  Pakettisuodatus ja maskeeraus  Ipchains (Kernel 2.2)  Uutena port forwarding  Tuki Linuxin Quality of Service ominaisuuksille  Sääntöketjut  Netfilter (Kernel 2.3)  Iptables (Kernel 2.4)

4  Iptables  Tilallisuus  Pakettien hallintaan monipuolisemmat kriteerit (TTL (Time to Live), MAC-osoite)  Mahdollisuus tuoda paketteja userspacen puolelle käsiteltäväksi  Ip6tables toiminto, jolla voidaan filteröidä IPv6 liikennettä  Nftables (Kernel 3.13)

5  Linux-kernelin sisäänrakennetun palomuurin, netfilterin käyttöliittymä  Standardinomaisesti mukana kaikissa moderneissa Linux-jakeluissa  Käytetään komentoriviltä, mutta graafisia käyttöliittymiäkin on olemassa. Esim FireStarter

6  Linuxin kaikki verkkoliikenne kulkee yhden rajapinnan, Netfilterin läpi  Kaikki verkkoliikenteen suodattaminen tapahtuu tämän avulla  Verkkoliikenteen suodattamisen säännöt asetetaan Iptablesilla  Purkaa säännöt ytimestä -> muuttaa tai lisää uusia -> Pakkaa takaisin ytimeen

7  Koostuu kolmesta osasta  Käskyt(rules) – operaatiot, jotka tehdään paketille  Ketjut(chains) – Kokoelma käskyjä  Taulut(tables) – Kokoelma ketjuja  Kolme erillistä taulua  Filter, NAT ja Mangle  Lisäksi user chain ketju, joka ei kuulu mihinkään tauluun

8  Käytetään perinteisen pakettisuodatuksen toteuttamiseen  Sisältää ketjut  Input – mitkä sisäänpäin tulevat paketit pääsevät reitityksen jälkeen perille  Output – kontrolloi mitkä ulospäin lähtevistä paketeista pääsevät jatkamaan matkaansa  Forward – määrittelee mitkä paketit voivat jatkaa matkaansa verkkojen välillä

9  Keskittyy NAT:iin, paketin lähde- ja kohdeosoitteen muokkaamiseen  Sisältää ketjut  Prerouting – hoidetaan destination NAT- operaatio, muutetaan paketin kohdeosoitetta ennen sen päätymistä reititettäväksi  Postrouting – suoritetaan source NAT-operaatio, eli muutetaan paketin lähdeosoitetta  Output – paikallisesti generoidun liikenteen lähde- ja kohdeosoitteiden muuttaminen

10  Käytetään pakettien muokkaamiseen  Sisältää ketjut  Input  Output  Prerouting  Postrouting  Forward

11

12  Iptablesissa on mahdollistettu tarkkojen ns. tilallisten (stateful) palomuurien toteuttaminen.  Pidetään kirjaa muodostetuista TCP- ja UDP- yhteyksistä ja sallitaan vain yhteyteen kuuluvat paketit.

13  Esimerkki komentoja  Tämänhetkiset palomuuriasetukset  iptables -L  NAT-taulun asetukset IP-muodossa  iptables -t nat –L  Tulevien pakettien esto  iptables -s osoite -A INPUT -j DROP  Lähtevien pakettien esto  iptables -d osoite -A OUTPUT -j DROP

14  Välitys- ja välimuistipalvelu  Tukee mm http-, https- ja ftp-protokollia  Uusin julkaisu 3.4.2  Tarkoitettu käytettäväksi Unix-tyylisissä järjestelmissä.  Windows porttia ylläpidettiin versioon 2.7 saakka  Kattava työkalu liikenteen suodatukseen ja uudelleenohjaukseen iptablesin rinnalla.

15  Alun perin Duane Wesselsin kehittämä  Forkattu osasta Harvest projectia, josta myöhemmin tuli NetCache  Squidin versio 1.0.0 julkaistiin kesäkuussa 1996  Nykyään kehitys tapahtuu lähes kokonaan vapaaehtoisvoimin  Ilmainen ja julkaistu GNU GPLv2:n alaisena.

16  Välimuistilla (cache) tarkoitetaan Internetistä haettavan tiedon tallentamista paikallisesti välimuistipalvelua ajavalle palvelimelle.  Voidaan käyttää esim asiakaspäässä usein vierailtujen sivujen tallessapitämiseen nopeamman saatavuuden takaamiseksi tai sitten palvelinpäässä web-palvelujen kiihdyttäjänä.  Esim wikipedia käyttää squidia

17  Välityspalvelin toimii välittäjänä asiakaskoneen ja esimerkiksi haettavan www-sivun palvelimen välissä.  Voidaan halutessa ajaa kaikki nettiliikenne määrätyn välityspalvelimen läpi.  Tarjoaa osittaisen anonymiteetin ulkoverkkoon lähtevän liikenteen suhteen.

18  http://en.wikipedia.org/wiki/Netfilter http://en.wikipedia.org/wiki/Netfilter  http://fi.wikipedia.org/wiki/Iptables http://fi.wikipedia.org/wiki/Iptables  http://en.wikipedia.org/wiki/Iptables http://en.wikipedia.org/wiki/Iptables  http://www.linux.fi/wiki/Iptables http://www.linux.fi/wiki/Iptables  http://www.netfilter.org/ http://www.netfilter.org/  http://www.iptables.info/en/structure-of- iptables.html http://www.iptables.info/en/structure-of- iptables.html  http://www.squid-cache.org/ http://www.squid-cache.org/  http://www.linux.fi/wiki/Squid http://www.linux.fi/wiki/Squid  http://en.wikipedia.org/wiki/Squid_(software) http://en.wikipedia.org/wiki/Squid_(software)