Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuKrista Mattila Muutettu yli 9 vuotta sitten
1
Linux Palomuurina V235025 Anssi Hohti & Jari Ravantti
2
Mikä on palomuuri? Palomuuri (eng. firewall) Eristävä moniosainen järjestelmä Suodattaa ja valvoo suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä Käytännössä ohjelmisto- tai laitteistopohjainen
3
Edellytykset Kaikki verkkoliikenne sisä- ja ulkoverkon välillä kulkee palomuurin läpi Päästää lävitseen vain halutun verkkoliikenteen Immuuni verkkohyökkäyksille Alustana turvallinen käyttöjärjestelmä
4
Käytännössä Tyypillisesti kytketään yritysverkon ja internetin väliin Liikenne kulkee yhden pisteen kautta Liikenne kulkee yhden pisteen kautta Liikennettä voidaan rajoittaa tehokkaasti ja keskitetysti Liikennettä voidaan rajoittaa tehokkaasti ja keskitetysti Yrityksillä yleensä Julkinen eteisverkko (demilitarisoitu alue, DMZ) Julkinen eteisverkko (demilitarisoitu alue, DMZ) Yksityinen sisäverkko Yksityinen sisäverkko Eteis- sekä sisäverkon välissä palomuuri Eteis- sekä sisäverkon välissä palomuuri
6
Heikkoudet Suodattaa vain lävitse kulkevaa liikennettä Vaihtoehtoiset reitit (kuten WLAN) Vaihtoehtoiset reitit (kuten WLAN) Ei suodata salattua IPSec-liikennettä Rajoittaa joidenkin palveluiden tehokasta käyttöä Ei suojaa verkon sisäpuolisilta väärinkäytöksiltä Ei suojaa viruksilta
7
Linux palomuurina TietoturvallinenVakaaIlmainenKevyt Jokaisen saatavilla Periaatteessa yksinkertainen
8
Toteutus Linuxissa Ipfwadm Ensimmäinen linux palomuuri Ensimmäinen linux palomuuri Kernel-sarjassa 2.0 Kernel-sarjassa 2.0 Vain pakettisuodatuksen perustoiminnot ja maskeeraus Vain pakettisuodatuksen perustoiminnot ja maskeerausIpchains Ipfwadm:n seuraaja Ipfwadm:n seuraaja Kernel-sarjassa 2.2 Kernel-sarjassa 2.2 Mahdollisuus porttien edelleen ohjaukseen Mahdollisuus porttien edelleen ohjaukseen
9
Toteutus Linuxissa Ipchains Tuki Linuxin QoS-ominaisuuksille (traffic control) Tuki Linuxin QoS-ominaisuuksille (traffic control) Sääntöketjut Sääntöketjut Pakettien hyväksyminen perustuu pääsylistoihin Pakettien hyväksyminen perustuu pääsylistoihin Input (vastaanotetun paketin tarkistus) Output (lähetetyn paketin tarkistus) Forward (edelleenohjatun paketin tarkistus)
10
Netfilter Pakettisuodatin Kernel sarjassa 2.4 Sijaitsee ytimessä Tarkkailee pakettien otsikkotietoja Sisältää valmiita tauluja pakettien kontrollointiin FILTER FILTER NAT NAT MANGLE MANGLE
11
FILTER Oletustaulu Oletustaulu Ilman erillistä määrittelyä muutokset kohdistuvat filter tauluun Ilman erillistä määrittelyä muutokset kohdistuvat filter tauluun Sisältää ketjut Sisältää ketjut INPUT INPUT OUTPUT OUTPUT FORWARD FORWARD
12
NAT Network Address Translation Saadaan kaikki verkkoliikenne näkymään tulevan yhdestä ip-osoitteesta Pakettien lähde- ja kohdeosoitteen muutokset Sisältää ketjut Sisältää ketjut PREROUTING PREROUTING pakettien tullessa sisään pakettien tullessa sisään POSTROUTING POSTROUTING pakettien lähtiessä ulos pakettien lähtiessä ulos OUTPUT OUTPUT paikallisesti luoduille, ennen reititystä paikallisesti luoduille, ennen reititystä
13
MANGLE Pakettien sisällön muokkaukset erikoistapauksissa Sisältää ketjut Input Input Koneelle itselleen tulevien pakettien muokkaukseen Koneelle itselleen tulevien pakettien muokkaukseen Output Output Paikallisesti luotujen ulosmenevien pakettien muokkaukseen Paikallisesti luotujen ulosmenevien pakettien muokkaukseen Postrouting Postrouting Lähtevien pakettien muokkaukseen Lähtevien pakettien muokkaukseen Prerouting Prerouting Saapuvien pakettien muokkaukseen Saapuvien pakettien muokkaukseen Forward Forward Koneen läpi menevien pakettien muokkaukseen Koneen läpi menevien pakettien muokkaukseen
14
Ketjut Koostuvat säännöistä ACCEPT ACCEPT hyväksyy paketin hyväksyy paketin DROP DROP hylätään paketti ilmoittamatta lähettäjälle hylätään paketti ilmoittamatta lähettäjälle REJECT REJECT hylätään paketti ja ilmoitetaan lähettäjälle hylätään paketti ja ilmoitetaan lähettäjälle Edetään järjestyksessä Ensimmäinen ratkaisevin Ensimmäinen ratkaisevin Jos ei sääntöä ole, käytetään yleistä politiikkaa, joka on yleensä DROP Jos ei sääntöä ole, käytetään yleistä politiikkaa, joka on yleensä DROP
16
Iptables Netfilteriin kiinnittyvä työkalu Netfilteriin kiinnittyvä työkalu Asetetaan Asetetaan Ylläpidetään Ylläpidetään Tarkastellaan sääntöjä Tarkastellaan sääntöjä Pystyy tekemään ns. tilallista tarkistusta Pystyy tekemään ns. tilallista tarkistusta Päättelee kuuluuko paketti jo luotuun yhteyteen vai uuteen yhteyteen Päättelee kuuluuko paketti jo luotuun yhteyteen vai uuteen yhteyteen Perustuu SYN, FIN, ACT lippuihin TCP- otsikossa Perustuu SYN, FIN, ACT lippuihin TCP- otsikossa Ei tarvitse tarkastaa jokaista pakettia erikseen Ei tarvitse tarkastaa jokaista pakettia erikseen
17
Iptables -käyttö Yleensä käytetään komentokehotteesta Myös graafisia käyttöliittymiä esim. Firestarter Myös graafisia käyttöliittymiä esim. Firestarter Komennon rakenne iptables –t -A -j iptables –t -A -j Tulevien pakettien esto iptables -s osoite -A INPUT -j DROP iptables -s osoite -A INPUT -j DROP Lähtevien pakettien esto iptables -d osoite -A OUTPUT -j DROP iptables -d osoite -A OUTPUT -j DROP
18
Iptables -käyttö Esimerkki yksinkertaisesta palomuurista # # sisään tuleva liikenne # # sallitaan liikenne loopback osoitteeseen iptables –A INPUT –i lo –j ACCEPT # sallitaan auki olevat yhteydet iptables –A INPUT –m state ESTABLISHED,RELATED –j ACCEPT #sallitaan ident kyselyt iptables –A INPUT –p tcp –dport 113 –j ACCEPT #sallitaan ssh yhteydet tietyiltä koneilta iptables –A INPUT –p tcp –s 130.234.240.0/24 –dport 22 # muut lokitetaan ja hukataan iptables –A INPUT –j LOG iptables –A INPUT –j DROP # # ulos menevä liikenne # # ei sallita smtp yhteyksiä muualle kuin omalle palvelimelle iptables –A OUTPUT –p tcp –d ! 130.231.240.13 –dport 25 –j REJECT
19
Iptables -Käskyt -A, --append chain rule-specification -A, --append chain rule-specification -D, --delete chain rule-specification -D, --delete chain rule-specification -D, --delete chain rulenum -D, --delete chain rulenum -I, --insert chain [rulenum] rule-specification -I, --insert chain [rulenum] rule-specification -R, --replace chain rulenum rule-specification -R, --replace chain rulenum rule-specification -L, --list [chain] -L, --list [chain] -F, --flush [chain] -F, --flush [chain] -Z, --zero [chain] -Z, --zero [chain] -N, --new-chain chain -N, --new-chain chain -X, --delete-chain [chain] -X, --delete-chain [chain] -P, --policy chain target -P, --policy chain target -E, --rename-chain old-chain new-chain -E, --rename-chain old-chain new-chain -h Help. -h Help.
20
Iptables -parametrit -p, --protocol [!] protocol -s, --source [!] address[/mask] -d, --destination [!] address[/mask] -j, --jump target -g, --goto chain -i, --in-interface [!] name -o, --out-interface [!] name [!] -f, --fragment -c, --set-counters PKTS BYTES
21
Lähteet http://fi.wikipedia.org/ http://linux.fi/ Valtteri Virtanen – Harjoitustyö Palomuuri LTY Mikko Väisänen, Ville Pirhonen – Linux Seminaarityö http://linux.tlt.kyamk.fi Marko Oras – Reititin / Palomuuri http://www.faqs.org/docs/iptables/traversingoftab les.html
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.