Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Palomuuri Linux-harjoitustyö

JulkaistuPauli Koskinen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Palomuuri Linux-harjoitustyö"— Esityksen transkriptio:

1 Palomuuri Linux-harjoitustyö
Jukka Nousiainen

2 Esityksen rakenne Palomuurit Harjoitustyön verkon rakenne Iptables
Palomuurien asentaminen Nmap

3 Palomuuri Yksi tärkeimmistä tietoturvan komponenteista
Sijainti verkkojen välissä Eteisverkko Pakettisuodatus tilaton tilallinen

4 Palomuuri Heikkouksia vaihtoehtoiset reitit verkkoon IPSec

5 Harjoitustyön verkko

6 Netfilter/Iptables Iptables Netfilterin käyttöliittymä
Mukana kernelin versiosta 2.3 Edeltäjinä Ipchains ja Ipfwadm

7 Netfilter/Iptables Iptablesin toiminnot Tilaton suodattaminen
Tilallinen suodattaminen Osoitteenmuunnos Logien kirjaaminen

8 Netfilter/Iptables Taulut FILTER NAT MANGLE

9 Netfilter/Iptables

10 Filter Iptablesin oletustaulu Käytetään pakettien suodattamiseen
Koostuu kolmesta eri ketjusta Input Output Forward

11 NAT Käytetään osoite-/porttimuunnokseen Koostuu kolmesta eri ketjusta
Prerouting Postrouting Output

12 MANGLE Käytetään pakettien muokkaamiseen Koostuu viidestä eri ketjusta
Input Output Prerouting Postrouting Forward

13 Sääntöjen luominen Komennon rakenne
iptables –t <taulu> -A <ketju> <säännöt> -j <toiminto> Muokattava taulu (filter, nat tai mangle) Muokattava ketju (input, output, forward, prerouting tai postrouting) Toiminto (ACCEPT, DROP, REJECT, LOG jne.)

14 Sääntöjen luominen Ketjut muodostuvat säännöistä
Edetään järjestyksessä Jos paketille sopivaa sääntöä ei löydy, käytetään yleistä politiikkaa Mahdollista luoda omia ketjuja

15 Iptablesin käyttäminen
Ketjujen tulostaminen iptables –t filter -L Sääntöjen lisääminen iptables –t filter –A INPUT –p icmp –j DROP Säännön poistaminen iptables –t filter –D INPUT –p icmp –j DROP Yleisen politiikan asettaminen iptables –P OUTPUT ACCEPT Uuden ketjun luominen iptables –N ketju

16 Käytettäviä vipuja -i verkkorajapinta josta paketti on tullut
-o verkkorajapinta josta paketti on menossa ulos -s määrittelee lähdeosoitteen -d määrittelee kohdeosoitteen -p määrittelee protokollan --sport tunnistaa lähdeportin --dport tunnistaa kohdeportin --state tunnistaa tilan, jossa yhteys on

17 palomuurin toteuttaminen
Skripti koneen käynnistykseen /etc/init.d/firewall symbolinen linkki /etc/rcS.d/ –hakemistoon

18 Sisäverkon muuri Poistetaan kaikki aikaisemmat säännöt
iptables –flush iptables --table nat –flush iptables --delete-chain iptables --table nat --delete-chain Asetetaan oletuspolitiikat iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP

19 Sisäverkon muuri Päästetään sisäverkosta kaikki liikenne eteenpäin
iptables -A FORWARD -i $OFFICE -j ACCEPT Sallitaan loopback-liikenne iptables -A INPUT -i lo -j ACCEPT Sallitaan jo muodostettuihin yhteyksiin liittyviä paketteja iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Sallitaan ssh-yhteydet internetistä

20 Sisäverkon muuri Sallitaan sisääntuleva liikenne sisäverkosta
iptables -A INPUT -i $OFFICE -j ACCEPT Sallitaan dns-kyselyt sisäverkkoon iptables -A FORWARD -i $DMZ -p tcp –destination-port 53 -m state --state NEW -j ACCEPT iptables -A FORWARD -i $DMZ -p udp --destination-port 53 -m state --state NEW -j ACCEPT Sallitaan ssh-yhteydet toiselta palomuurikoneelta iptables -A INPUT --source p tcp --destination-port 22 -j ACCEPT Käännetään pakettien forwardointi päälle echo 1 > /proc/sys/net/ipv4/ip_forward

21 DMZ muuri hyväksytään icmp-paketit molemmista verkoista
iptables -A INPUT -p icmp -j ACCEPT hyväksytään paketit http-proxyyn iptables -A INPUT -i $DMZ -p tcp --dport j ACCEPT hyväksytään ssh-yhteydet iptables -A INPUT -p tcp --dport 22 --in-interface $WAN -j ACCEPT forwardointi ja nat iptables --table nat --append POSTROUTING --out-interface $WAN -j MASQUERADE iptables --append FORWARD --in-interface $DMZ -j ACCEPT

22 Nmap voidaan selvittää verkossa olevien järjestelmien eri porteissa olevia palveluita Useita skannausmenetelmiä SYN-skannaus Connect-skannaus FIN-skannaus yms.

23 Nmap Nmapin käyttäminen Muutamia vipuja:
nmap <skannaustyyppi> <optiot> <kohde> Muutamia vipuja: -sS/sT/sA/sW/sM TCP SYN/CONNECT/ACK/WINDOW/Maimon skannaukset -sP Online-tilassa olevien koneiden selvittäminen ICMP echo -viestien avulla. -P0 Käsittelee kaikki kohteet online-tilassa olevina - jättää tilan selvityksen väliin.

Lataa ppt "Palomuuri Linux-harjoitustyö"

Samankaltaiset esitykset

TIES322 Tietoliikenneprotokollat 2

TIES322 Tietoliikenneprotokollat 2
Ti LÄHIVERKOT -ERIKOISTYÖKURSSI

Ti LÄHIVERKOT -ERIKOISTYÖKURSSI
TOSIBOX LOCK Turvallisuusasetukset

TOSIBOX LOCK Turvallisuusasetukset
1 1.

1 1.
Cruiser 100 Teknisiä neuvoja Rami Rajala EP-Engineering Oy 23.2.2000.

Cruiser 100 Teknisiä neuvoja Rami Rajala EP-Engineering Oy
IBM WebSphere Application Server Mediatekniikan Seminaari Mikko Matilainen.

IBM WebSphere Application Server Mediatekniikan Seminaari Mikko Matilainen.
Oman kodin tietotekniikka CT30A2002 Tietoliikennetekniikan perusteet, harjoitustyö 1.

Oman kodin tietotekniikka CT30A2002 Tietoliikennetekniikan perusteet, harjoitustyö 1.
NAT NAT – Network Address Translation PAT – Port Address Translation NAPT – Network Address and Port Transalation.

NAT NAT – Network Address Translation PAT – Port Address Translation NAPT – Network Address and Port Transalation.
Cruiser 75/150 Teknisiä neuvoja Rami Rajala EP-Engineering Oy 23.2.2000.

Cruiser 75/150 Teknisiä neuvoja Rami Rajala EP-Engineering Oy
Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010

Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010
Linux palomuurina (iptables) sekä squid-proxy

Linux palomuurina (iptables) sekä squid-proxy
1 1.

1 1.
1 IP-puhe_kertaus.ppt 1497D4 IP-puheen käyttötarkoitus Mitkä olisivat omassa organisaatiossasi tärkeimmät syyt siirtyä IP-puheeseen?

1 IP-puhe_kertaus.ppt 1497D4 IP-puheen käyttötarkoitus Mitkä olisivat omassa organisaatiossasi tärkeimmät syyt siirtyä IP-puheeseen?
YASA Simple Library Ahmed Alkaleedy & Yll Syla.

YASA Simple Library Ahmed Alkaleedy & Yll Syla.
Vesa Lappalainen. Tavoitteena interaktio massaluennoilla Tuloksena esimerkki projektista, mistä kaikki sanovat että hieno idea, mutta kukaan ei halua.

Vesa Lappalainen. Tavoitteena interaktio massaluennoilla Tuloksena esimerkki projektista, mistä kaikki sanovat että hieno idea, mutta kukaan ei halua.
Murphy ja TLT eli mitä kaikkea voi mennä pieleen tiedonsiirron eri vaiheissa?

Murphy ja TLT eli mitä kaikkea voi mennä pieleen tiedonsiirron eri vaiheissa?
Verkkopalvelu. Verkon rajapinta 1 DATA XXX a DATA CONTROL DTMF.

Verkkopalvelu. Verkon rajapinta 1 DATA XXX a DATA CONTROL DTMF.
 Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai.

 Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai.
Ennen asentamista  Autentikointilähde LDAP, SQL-tietokanta…  Autentikointimetodi Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) Uusi autentikointijärjestelmä.

Ennen asentamista  Autentikointilähde LDAP, SQL-tietokanta…  Autentikointimetodi Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) Uusi autentikointijärjestelmä.
Diplomityöesitelmä Ari Lappeteläinen Työn valvoja: prof Raimo Kantola

Diplomityöesitelmä Ari Lappeteläinen Työn valvoja: prof Raimo Kantola

Samankaltaiset esitykset

Iklan oleh Google