Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Palomuuri Valtteri Virtanen. Yritysten uhkakuvia Liiketietojen menetys Kyvyttömyys taata tietojen eheys Saatavuuden takaaminen Tietotekniikkainfrastruktuurin.

JulkaistuKaija Saaristo Muutettu yli 8 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Palomuuri Valtteri Virtanen. Yritysten uhkakuvia Liiketietojen menetys Kyvyttömyys taata tietojen eheys Saatavuuden takaaminen Tietotekniikkainfrastruktuurin."— Esityksen transkriptio:

1 Palomuuri Valtteri Virtanen

2 Yritysten uhkakuvia Liiketietojen menetys Kyvyttömyys taata tietojen eheys Saatavuuden takaaminen Tietotekniikkainfrastruktuurin paljastuminen Luottamuksen menetys Ilkivalta julkiseen informaatioon

3 Linux palomuuri Pakettisuodatin –Sijaitsee kernelissä Tutkii pakettien otsikkotiedot –Protokolla, kohdeosoite, lähdeosoite, kohdeportti, lähdeportti jne… Toimii annettujen sääntöjen mukaan –Accept, drop, reject Tilallinen –Tunnistaa palaavan liikenteen

4 Iptables Pakettisuodattimen käyttöliittymä –Käytetään sääntöjen syöttämiseen ja tarkkailuun Koostuu kolmesta taulukosta –Filter –Nat –Mangle

5 Filter Iptablesin oletustaulukko Käytetään pakettien suodatukseen Koostuu kolmesta eri ketjusta –Input –Output –Forward

6 Nat Käytetään lähde ja kohde osoitteiden muuttamiseen Koostuu kolmesta eri ketjusta –Prerouting –Postrouting –Output

7 Mangle Käytetään pakettien muokkaamiseen Koostuu viidestä ketjusta –Input –Output –Postrouting –Prerouting –Forward

8

9 Ketjut Säännöt ketjuissa Edetään järjestyksessä Ensimmäinen sääntö ratkaisevin Jollei löydy sääntöä käytetään yleistä politiikka Ketjuja voi myös luoda lisää

10 Ketjujen käyttö Ketjujen tulostus iptables -t filter -L Säännön lisäys ketjuun iptables -t filter -A INPUT -p icmp -j DROP Säännön poisto ketjusta iptables -t filter -D INPUT -p icmp -j DROP Säännön lisäys ketjun tiettyyn paikkaan iptables -I FORWARD 2 -p tcp --dport 80 -j DROP Yleisen politiikan asetus iptables -P OUTPUT ACCEPT Ketjun luonti iptables –N uusiketju

11 Sääntöjen luonti Komennon rakenne iptables –t -A -j Muokattava taulukko (filter, nat tai mangle) muokattava ketju ( input, output, forward, prerouting tai postrouting) toiminto (DROP,ACCEPT,REJECT,LOG,DNAT jne)

12 Mitä voidaan tehdä Liikenteen välittämisen estäminen tiettyyn osoitteeseen iptables -A FORWARD -d 192.168.3.4 -j DROP UDP protokollan pakettien estäminen tietystä verkosta iptables -A INPUT -p udp -s 192.168.1.0/24 -j DROP SSH yhteyden estäminen koneesta ulospäin iptables -A OUTPUT -p tcp --dport 22 -j DROP NATin luominen iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE Uudelleen ohjaus iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 6666 -j DNAT --to 192.168.1.11:6666

13 Vipuja -s Määrittelee lähdeosoitteen -d Määrittelee kohdeosoitteen -i Määrittelee verkkorajapinnan josta paketti on tullut -o Määrittelee verkkorajapinnan josta paketti on menossa ulos -p Määrittelee protokollan --sportlähdeportin tunnistus --dportkohdeportin tunnistus --statekäytetään tunnistamaan yhteyden eri tiloja

14 Palomuurin toteutus –iptables -P INPUT DROP –iptables -P FORWARD DROP Input ja forward ketjujen oletuspolitiikaksi asetetaan tunnistamattomien pakettien pudotus. –iptables -P OUTPUT ACCEPT Luotamme omaan koneeseen, joten laskemme siitä kaikki yhteydet ulospäin. –iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Sallitaan koneelle vain sellainen liikenne jolle on luotu yhteys koneestamme tai yhteys liitty jo aikaisemmin avattuun yhteyteen. –iptables -A INPUT –p tcp --dport 22 -j ACCEPT –iptables -A INPUT -i eth1 –p tcp --dport 8080 - j ACCEPT Koneeseen lasketaan ssh liikenne ja DMZ:n puoleisesta verkkokortista liikenne porttiin 8080 joka on http proxya varten.

15 –iptables -A INPUT -p icmp -j ACCEPT ICMP paketit hyväksytään kummastakin verkosta koneelle. –iptables -A FORAWARD -i eth1 -j ACCEPT DMZ verkosta välitetään kaikki liikenne Internettiin. –iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT Internetistä välitetään DMZ verkkoon vain sellainen liikenne jolle on luotu yhteys koneestamme tai yhteys liitty jo aikaisemmin avattuun yhteyteen. –iptables -A FORWARD -m limit -j LOG --limit 1/s --log-prefix "dropped:" –iptables -A INPUT -m limit -j LOG –-limit 1/s --log-prefix "dropped:" Kerää logitietoa pudotetuista paketeista. Logeja kerätään vain yksi sekunnissa. Logit löytyvät tiedostosta /var/log/kern.log

16 Kokeiltavaa iptables -t filter -A INPUT -p icmp -j DROP ping 127.0.0.1 iptables -t filter -D INPUT -p icmp -j DROP ping 127.0.0.1

Lataa ppt "Palomuuri Valtteri Virtanen. Yritysten uhkakuvia Liiketietojen menetys Kyvyttömyys taata tietojen eheys Saatavuuden takaaminen Tietotekniikkainfrastruktuurin."

Samankaltaiset esitykset

TIES322 Tietoliikenneprotokollat 2

TIES322 Tietoliikenneprotokollat 2
Cruiser 100 Teknisiä neuvoja Rami Rajala EP-Engineering Oy 23.2.2000.

Cruiser 100 Teknisiä neuvoja Rami Rajala EP-Engineering Oy
Tietokone Koostuu keskusyksiköstä, näytöstä, näppäimistöstä, hiirestä sekä muista mahdollisista lisälaitteista. Pöytäkoneiden lisäksi löytyy myös kannettavia.

Tietokone Koostuu keskusyksiköstä, näytöstä, näppäimistöstä, hiirestä sekä muista mahdollisista lisälaitteista. Pöytäkoneiden lisäksi löytyy myös kannettavia.
Turvallinen etäyhteys – ratkaisuna: VPN (Virtual Private Network)

Turvallinen etäyhteys – ratkaisuna: VPN (Virtual Private Network)
Synkroniset tilakoneet

Synkroniset tilakoneet
Cruiser 75/150 Teknisiä neuvoja Rami Rajala EP-Engineering Oy 23.2.2000.

Cruiser 75/150 Teknisiä neuvoja Rami Rajala EP-Engineering Oy
Kiintolevyn osiointi.

Kiintolevyn osiointi.
Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010

Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010
Samba seminaari. Historiaa  Ensimmäinen versio 1992  Kehittäjä Andrew TridgellAndrew Tridgell.

Samba seminaari. Historiaa  Ensimmäinen versio 1992  Kehittäjä Andrew TridgellAndrew Tridgell.
2.8.3 Abstraktit tietotyypit

2.8.3 Abstraktit tietotyypit
Linux palomuurina (iptables) sekä squid-proxy

Linux palomuurina (iptables) sekä squid-proxy
Konvergenssin haasteita Internetin Quality of Service (QoS) –QoS hallinta, tarvitaanko montaa palveluluokkaa? –QoS monitorointi (mittaukset) Kapasiteetin.

Konvergenssin haasteita Internetin Quality of Service (QoS) –QoS hallinta, tarvitaanko montaa palveluluokkaa? –QoS monitorointi (mittaukset) Kapasiteetin.
A B&J Production :: Verkkolaitteet Click to start.

A B&J Production :: Verkkolaitteet Click to start.
1 IP-puhe_kertaus.ppt 1497D4 IP-puheen käyttötarkoitus Mitkä olisivat omassa organisaatiossasi tärkeimmät syyt siirtyä IP-puheeseen?

1 IP-puhe_kertaus.ppt 1497D4 IP-puheen käyttötarkoitus Mitkä olisivat omassa organisaatiossasi tärkeimmät syyt siirtyä IP-puheeseen?
PiccSIM – TrueTime –integrointi Henri Öhman AS-0.3200 Automaatio- ja systeemitekniikan projektityöt9.5.2012.

PiccSIM – TrueTime –integrointi Henri Öhman AS Automaatio- ja systeemitekniikan projektityöt
@ Leena Lahtinen 10.1.2006 OHJELMAN OSITTAMINEN LUOKKA ATTRIBUUTIT METODIT.

@ Leena Lahtinen OHJELMAN OSITTAMINEN LUOKKA ATTRIBUUTIT METODIT.
Vesa Lappalainen. Tavoitteena interaktio massaluennoilla Tuloksena esimerkki projektista, mistä kaikki sanovat että hieno idea, mutta kukaan ei halua.

Vesa Lappalainen. Tavoitteena interaktio massaluennoilla Tuloksena esimerkki projektista, mistä kaikki sanovat että hieno idea, mutta kukaan ei halua.
Murphy ja TLT eli mitä kaikkea voi mennä pieleen tiedonsiirron eri vaiheissa?

Murphy ja TLT eli mitä kaikkea voi mennä pieleen tiedonsiirron eri vaiheissa?
Verkkopalvelu. Verkon rajapinta 1 DATA XXX a DATA CONTROL DTMF.

Verkkopalvelu. Verkon rajapinta 1 DATA XXX a DATA CONTROL DTMF.
The Virtual Cell Software: solun toiminnan mallintamista Liisa-Ida Sorsa S-114.500 Solubiosysteemien perusteet 13.11.2002.

The Virtual Cell Software: solun toiminnan mallintamista Liisa-Ida Sorsa S Solubiosysteemien perusteet

Samankaltaiset esitykset

Iklan oleh Google