Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Linux Palomuurina V235025 Anssi Hohti & Jari Ravantti.

JulkaistuKrista Mattila Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Linux Palomuurina V235025 Anssi Hohti & Jari Ravantti."— Esityksen transkriptio:

1 Linux Palomuurina V235025 Anssi Hohti & Jari Ravantti

2 Mikä on palomuuri? Palomuuri (eng. firewall) Eristävä moniosainen järjestelmä Suodattaa ja valvoo suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä Käytännössä ohjelmisto- tai laitteistopohjainen

3 Edellytykset Kaikki verkkoliikenne sisä- ja ulkoverkon välillä kulkee palomuurin läpi Päästää lävitseen vain halutun verkkoliikenteen Immuuni verkkohyökkäyksille Alustana turvallinen käyttöjärjestelmä

4 Käytännössä Tyypillisesti kytketään yritysverkon ja internetin väliin Liikenne kulkee yhden pisteen kautta Liikenne kulkee yhden pisteen kautta Liikennettä voidaan rajoittaa tehokkaasti ja keskitetysti Liikennettä voidaan rajoittaa tehokkaasti ja keskitetysti Yrityksillä yleensä Julkinen eteisverkko (demilitarisoitu alue, DMZ) Julkinen eteisverkko (demilitarisoitu alue, DMZ) Yksityinen sisäverkko Yksityinen sisäverkko Eteis- sekä sisäverkon välissä palomuuri Eteis- sekä sisäverkon välissä palomuuri

5

6 Heikkoudet Suodattaa vain lävitse kulkevaa liikennettä Vaihtoehtoiset reitit (kuten WLAN) Vaihtoehtoiset reitit (kuten WLAN) Ei suodata salattua IPSec-liikennettä Rajoittaa joidenkin palveluiden tehokasta käyttöä Ei suojaa verkon sisäpuolisilta väärinkäytöksiltä Ei suojaa viruksilta

7 Linux palomuurina TietoturvallinenVakaaIlmainenKevyt Jokaisen saatavilla Periaatteessa yksinkertainen

8 Toteutus Linuxissa Ipfwadm Ensimmäinen linux palomuuri Ensimmäinen linux palomuuri Kernel-sarjassa 2.0 Kernel-sarjassa 2.0 Vain pakettisuodatuksen perustoiminnot ja maskeeraus Vain pakettisuodatuksen perustoiminnot ja maskeerausIpchains Ipfwadm:n seuraaja Ipfwadm:n seuraaja Kernel-sarjassa 2.2 Kernel-sarjassa 2.2 Mahdollisuus porttien edelleen ohjaukseen Mahdollisuus porttien edelleen ohjaukseen

9 Toteutus Linuxissa Ipchains Tuki Linuxin QoS-ominaisuuksille (traffic control) Tuki Linuxin QoS-ominaisuuksille (traffic control) Sääntöketjut Sääntöketjut Pakettien hyväksyminen perustuu pääsylistoihin Pakettien hyväksyminen perustuu pääsylistoihin Input (vastaanotetun paketin tarkistus) Output (lähetetyn paketin tarkistus) Forward (edelleenohjatun paketin tarkistus)

10 Netfilter Pakettisuodatin Kernel sarjassa 2.4 Sijaitsee ytimessä Tarkkailee pakettien otsikkotietoja Sisältää valmiita tauluja pakettien kontrollointiin FILTER FILTER NAT NAT MANGLE MANGLE

11 FILTER Oletustaulu Oletustaulu Ilman erillistä määrittelyä muutokset kohdistuvat filter tauluun Ilman erillistä määrittelyä muutokset kohdistuvat filter tauluun Sisältää ketjut Sisältää ketjut INPUT INPUT OUTPUT OUTPUT FORWARD FORWARD

12 NAT Network Address Translation Saadaan kaikki verkkoliikenne näkymään tulevan yhdestä ip-osoitteesta Pakettien lähde- ja kohdeosoitteen muutokset Sisältää ketjut Sisältää ketjut PREROUTING PREROUTING pakettien tullessa sisään pakettien tullessa sisään POSTROUTING POSTROUTING pakettien lähtiessä ulos pakettien lähtiessä ulos OUTPUT OUTPUT paikallisesti luoduille, ennen reititystä paikallisesti luoduille, ennen reititystä

13 MANGLE Pakettien sisällön muokkaukset erikoistapauksissa Sisältää ketjut Input Input Koneelle itselleen tulevien pakettien muokkaukseen Koneelle itselleen tulevien pakettien muokkaukseen Output Output Paikallisesti luotujen ulosmenevien pakettien muokkaukseen Paikallisesti luotujen ulosmenevien pakettien muokkaukseen Postrouting Postrouting Lähtevien pakettien muokkaukseen Lähtevien pakettien muokkaukseen Prerouting Prerouting Saapuvien pakettien muokkaukseen Saapuvien pakettien muokkaukseen Forward Forward Koneen läpi menevien pakettien muokkaukseen Koneen läpi menevien pakettien muokkaukseen

14 Ketjut Koostuvat säännöistä ACCEPT ACCEPT hyväksyy paketin hyväksyy paketin DROP DROP hylätään paketti ilmoittamatta lähettäjälle hylätään paketti ilmoittamatta lähettäjälle REJECT REJECT hylätään paketti ja ilmoitetaan lähettäjälle hylätään paketti ja ilmoitetaan lähettäjälle Edetään järjestyksessä Ensimmäinen ratkaisevin Ensimmäinen ratkaisevin Jos ei sääntöä ole, käytetään yleistä politiikkaa, joka on yleensä DROP Jos ei sääntöä ole, käytetään yleistä politiikkaa, joka on yleensä DROP

15

16 Iptables Netfilteriin kiinnittyvä työkalu Netfilteriin kiinnittyvä työkalu Asetetaan Asetetaan Ylläpidetään Ylläpidetään Tarkastellaan sääntöjä Tarkastellaan sääntöjä Pystyy tekemään ns. tilallista tarkistusta Pystyy tekemään ns. tilallista tarkistusta Päättelee kuuluuko paketti jo luotuun yhteyteen vai uuteen yhteyteen Päättelee kuuluuko paketti jo luotuun yhteyteen vai uuteen yhteyteen Perustuu SYN, FIN, ACT lippuihin TCP- otsikossa Perustuu SYN, FIN, ACT lippuihin TCP- otsikossa Ei tarvitse tarkastaa jokaista pakettia erikseen Ei tarvitse tarkastaa jokaista pakettia erikseen

17 Iptables -käyttö Yleensä käytetään komentokehotteesta Myös graafisia käyttöliittymiä esim. Firestarter Myös graafisia käyttöliittymiä esim. Firestarter Komennon rakenne iptables –t -A -j iptables –t -A -j Tulevien pakettien esto iptables -s osoite -A INPUT -j DROP iptables -s osoite -A INPUT -j DROP Lähtevien pakettien esto iptables -d osoite -A OUTPUT -j DROP iptables -d osoite -A OUTPUT -j DROP

18 Iptables -käyttö Esimerkki yksinkertaisesta palomuurista # # sisään tuleva liikenne # # sallitaan liikenne loopback osoitteeseen iptables –A INPUT –i lo –j ACCEPT # sallitaan auki olevat yhteydet iptables –A INPUT –m state ESTABLISHED,RELATED –j ACCEPT #sallitaan ident kyselyt iptables –A INPUT –p tcp –dport 113 –j ACCEPT #sallitaan ssh yhteydet tietyiltä koneilta iptables –A INPUT –p tcp –s 130.234.240.0/24 –dport 22 # muut lokitetaan ja hukataan iptables –A INPUT –j LOG iptables –A INPUT –j DROP # # ulos menevä liikenne # # ei sallita smtp yhteyksiä muualle kuin omalle palvelimelle iptables –A OUTPUT –p tcp –d ! 130.231.240.13 –dport 25 –j REJECT

19 Iptables -Käskyt -A, --append chain rule-specification -A, --append chain rule-specification -D, --delete chain rule-specification -D, --delete chain rule-specification -D, --delete chain rulenum -D, --delete chain rulenum -I, --insert chain [rulenum] rule-specification -I, --insert chain [rulenum] rule-specification -R, --replace chain rulenum rule-specification -R, --replace chain rulenum rule-specification -L, --list [chain] -L, --list [chain] -F, --flush [chain] -F, --flush [chain] -Z, --zero [chain] -Z, --zero [chain] -N, --new-chain chain -N, --new-chain chain -X, --delete-chain [chain] -X, --delete-chain [chain] -P, --policy chain target -P, --policy chain target -E, --rename-chain old-chain new-chain -E, --rename-chain old-chain new-chain -h Help. -h Help.

20 Iptables -parametrit -p, --protocol [!] protocol -s, --source [!] address[/mask] -d, --destination [!] address[/mask] -j, --jump target -g, --goto chain -i, --in-interface [!] name -o, --out-interface [!] name [!] -f, --fragment -c, --set-counters PKTS BYTES

21 Lähteet http://fi.wikipedia.org/ http://linux.fi/ Valtteri Virtanen – Harjoitustyö Palomuuri LTY Mikko Väisänen, Ville Pirhonen – Linux Seminaarityö http://linux.tlt.kyamk.fi Marko Oras – Reititin / Palomuuri http://www.faqs.org/docs/iptables/traversingoftab les.html

Lataa ppt "Linux Palomuurina V235025 Anssi Hohti & Jari Ravantti."

Samankaltaiset esitykset

Tietokannat: MySQL ja PostgreSQL. Yleistä • Relaatiotietokantaohjelmisto, jolla voidaan luoda, ylläpitää ja muuttaa ja hallinnoida tietokantoja • Avoin.

Tietokannat: MySQL ja PostgreSQL. Yleistä • Relaatiotietokantaohjelmisto, jolla voidaan luoda, ylläpitää ja muuttaa ja hallinnoida tietokantoja • Avoin.
Tietokoneen käyttöjärjestelmä

Tietokoneen käyttöjärjestelmä
TOSIBOX LOCK Turvallisuusasetukset

TOSIBOX LOCK Turvallisuusasetukset
1 1.

1 1.
IBM WebSphere Application Server Mediatekniikan Seminaari Mikko Matilainen.

IBM WebSphere Application Server Mediatekniikan Seminaari Mikko Matilainen.
Turvallinen etäyhteys – ratkaisuna: VPN (Virtual Private Network)

Turvallinen etäyhteys – ratkaisuna: VPN (Virtual Private Network)
NAT NAT – Network Address Translation PAT – Port Address Translation NAPT – Network Address and Port Transalation.

NAT NAT – Network Address Translation PAT – Port Address Translation NAPT – Network Address and Port Transalation.
Linuxin rakenne ja ominaisuudet

Linuxin rakenne ja ominaisuudet
Seminaari Lähiverkot -erikoistyökurssi

Seminaari Lähiverkot -erikoistyökurssi
Novell-kuulumiset Pekka Lindqvist

Novell-kuulumiset Pekka Lindqvist
Tietokoneen suojaaminen Juuso Juntunen Myllytulli Mytlpt09e 2010.

Tietokoneen suojaaminen Juuso Juntunen Myllytulli Mytlpt09e 2010.
Samba seminaari. Historiaa  Ensimmäinen versio 1992  Kehittäjä Andrew TridgellAndrew Tridgell.

Samba seminaari. Historiaa  Ensimmäinen versio 1992  Kehittäjä Andrew TridgellAndrew Tridgell.
2.8.3 Abstraktit tietotyypit

2.8.3 Abstraktit tietotyypit
Linux palomuurina (iptables) sekä squid-proxy

Linux palomuurina (iptables) sekä squid-proxy
Verkkosivut opettajan apuna

Verkkosivut opettajan apuna
Toimisto-ohjelmat Linuxissa

Toimisto-ohjelmat Linuxissa
JYVÄSKYLÄN YLIOPISTO 2006 Bluetooth-kirjautumismenetelmiä InSitu-järjestelmässä Tietotekniikan kandidaattiseminaari Tuukka Puranen 8.3.2006.

JYVÄSKYLÄN YLIOPISTO 2006 Bluetooth-kirjautumismenetelmiä InSitu-järjestelmässä Tietotekniikan kandidaattiseminaari Tuukka Puranen
Murphy ja TLT eli mitä kaikkea voi mennä pieleen tiedonsiirron eri vaiheissa?

Murphy ja TLT eli mitä kaikkea voi mennä pieleen tiedonsiirron eri vaiheissa?
Verkkopalvelu. Verkon rajapinta 1 DATA XXX a DATA CONTROL DTMF.

Verkkopalvelu. Verkon rajapinta 1 DATA XXX a DATA CONTROL DTMF.
 Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai.

 Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai.

Samankaltaiset esitykset

Iklan oleh Google