Lataa esitys
Esittely latautuu. Ole hyvä ja odota
1
Palomuuri Linux-harjoitustyö
Jukka Nousiainen
2
Esityksen rakenne Palomuurit Harjoitustyön verkon rakenne Iptables
Palomuurien asentaminen Nmap
3
Palomuuri Yksi tärkeimmistä tietoturvan komponenteista
Sijainti verkkojen välissä Eteisverkko Pakettisuodatus tilaton tilallinen
4
Palomuuri Heikkouksia vaihtoehtoiset reitit verkkoon IPSec
5
Harjoitustyön verkko
6
Netfilter/Iptables Iptables Netfilterin käyttöliittymä
Mukana kernelin versiosta 2.3 Edeltäjinä Ipchains ja Ipfwadm
7
Netfilter/Iptables Iptablesin toiminnot Tilaton suodattaminen
Tilallinen suodattaminen Osoitteenmuunnos Logien kirjaaminen
8
Netfilter/Iptables Taulut FILTER NAT MANGLE
9
Netfilter/Iptables
10
Filter Iptablesin oletustaulu Käytetään pakettien suodattamiseen
Koostuu kolmesta eri ketjusta Input Output Forward
11
NAT Käytetään osoite-/porttimuunnokseen Koostuu kolmesta eri ketjusta
Prerouting Postrouting Output
12
MANGLE Käytetään pakettien muokkaamiseen Koostuu viidestä eri ketjusta
Input Output Prerouting Postrouting Forward
13
Sääntöjen luominen Komennon rakenne
iptables –t <taulu> -A <ketju> <säännöt> -j <toiminto> Muokattava taulu (filter, nat tai mangle) Muokattava ketju (input, output, forward, prerouting tai postrouting) Toiminto (ACCEPT, DROP, REJECT, LOG jne.)
14
Sääntöjen luominen Ketjut muodostuvat säännöistä
Edetään järjestyksessä Jos paketille sopivaa sääntöä ei löydy, käytetään yleistä politiikkaa Mahdollista luoda omia ketjuja
15
Iptablesin käyttäminen
Ketjujen tulostaminen iptables –t filter -L Sääntöjen lisääminen iptables –t filter –A INPUT –p icmp –j DROP Säännön poistaminen iptables –t filter –D INPUT –p icmp –j DROP Yleisen politiikan asettaminen iptables –P OUTPUT ACCEPT Uuden ketjun luominen iptables –N ketju
16
Käytettäviä vipuja -i verkkorajapinta josta paketti on tullut
-o verkkorajapinta josta paketti on menossa ulos -s määrittelee lähdeosoitteen -d määrittelee kohdeosoitteen -p määrittelee protokollan --sport tunnistaa lähdeportin --dport tunnistaa kohdeportin --state tunnistaa tilan, jossa yhteys on
17
palomuurin toteuttaminen
Skripti koneen käynnistykseen /etc/init.d/firewall symbolinen linkki /etc/rcS.d/ –hakemistoon
18
Sisäverkon muuri Poistetaan kaikki aikaisemmat säännöt
iptables –flush iptables --table nat –flush iptables --delete-chain iptables --table nat --delete-chain Asetetaan oletuspolitiikat iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP
19
Sisäverkon muuri Päästetään sisäverkosta kaikki liikenne eteenpäin
iptables -A FORWARD -i $OFFICE -j ACCEPT Sallitaan loopback-liikenne iptables -A INPUT -i lo -j ACCEPT Sallitaan jo muodostettuihin yhteyksiin liittyviä paketteja iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Sallitaan ssh-yhteydet internetistä
20
Sisäverkon muuri Sallitaan sisääntuleva liikenne sisäverkosta
iptables -A INPUT -i $OFFICE -j ACCEPT Sallitaan dns-kyselyt sisäverkkoon iptables -A FORWARD -i $DMZ -p tcp –destination-port 53 -m state --state NEW -j ACCEPT iptables -A FORWARD -i $DMZ -p udp --destination-port 53 -m state --state NEW -j ACCEPT Sallitaan ssh-yhteydet toiselta palomuurikoneelta iptables -A INPUT --source p tcp --destination-port 22 -j ACCEPT Käännetään pakettien forwardointi päälle echo 1 > /proc/sys/net/ipv4/ip_forward
21
DMZ muuri hyväksytään icmp-paketit molemmista verkoista
iptables -A INPUT -p icmp -j ACCEPT hyväksytään paketit http-proxyyn iptables -A INPUT -i $DMZ -p tcp --dport j ACCEPT hyväksytään ssh-yhteydet iptables -A INPUT -p tcp --dport 22 --in-interface $WAN -j ACCEPT forwardointi ja nat iptables --table nat --append POSTROUTING --out-interface $WAN -j MASQUERADE iptables --append FORWARD --in-interface $DMZ -j ACCEPT
22
Nmap voidaan selvittää verkossa olevien järjestelmien eri porteissa olevia palveluita Useita skannausmenetelmiä SYN-skannaus Connect-skannaus FIN-skannaus yms.
23
Nmap Nmapin käyttäminen Muutamia vipuja:
nmap <skannaustyyppi> <optiot> <kohde> Muutamia vipuja: -sS/sT/sA/sW/sM TCP SYN/CONNECT/ACK/WINDOW/Maimon skannaukset -sP Online-tilassa olevien koneiden selvittäminen ICMP echo -viestien avulla. -P0 Käsittelee kaikki kohteet online-tilassa olevina - jättää tilan selvityksen väliin.
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.