palomuuri linux-harjoitustyö
DESCRIPTION
Palomuuri Linux-harjoitustyö. 0238428 Jukka Nousiainen. Esityksen rakenne. Palomuurit Harjoitustyön verkon rakenne Iptables Palomuurien asentaminen Nmap. Palomuuri. Yksi tärkeimmistä tietoturvan komponenteista Sijainti verkkojen välissä Eteisverkko Pakettisuodatus tilaton tilallinen. - PowerPoint PPT PresentationTRANSCRIPT
PalomuuriLinux-harjoitustyö
0238428 Jukka Nousiainen
Esityksen rakenne
• Palomuurit
• Harjoitustyön verkon rakenne
• Iptables
• Palomuurien asentaminen
• Nmap
Palomuuri
• Yksi tärkeimmistä tietoturvan komponenteista
• Sijainti verkkojen välissä
• Eteisverkko
• Pakettisuodatus– tilaton– tilallinen
Palomuuri
• Heikkouksia– vaihtoehtoiset reitit verkkoon– IPSec
Harjoitustyön verkko
Netfilter/Iptables
• Iptables Netfilterin käyttöliittymä
• Mukana kernelin versiosta 2.3
• Edeltäjinä Ipchains ja Ipfwadm
Netfilter/Iptables
• Iptablesin toiminnot– Tilaton suodattaminen– Tilallinen suodattaminen– Osoitteenmuunnos– Logien kirjaaminen
Netfilter/Iptables
• Taulut– FILTER– NAT– MANGLE
Netfilter/Iptables
Filter
• Iptablesin oletustaulu
• Käytetään pakettien suodattamiseen
• Koostuu kolmesta eri ketjusta– Input– Output– Forward
NAT
• Käytetään osoite-/porttimuunnokseen
• Koostuu kolmesta eri ketjusta– Prerouting– Postrouting– Output
MANGLE
• Käytetään pakettien muokkaamiseen
• Koostuu viidestä eri ketjusta– Input– Output– Prerouting– Postrouting– Forward
Sääntöjen luominen
• Komennon rakenneiptables –t <taulu> -A <ketju> <säännöt> -j <toiminto>
• Muokattava taulu (filter, nat tai mangle)
• Muokattava ketju (input, output, forward, prerouting tai postrouting)
• Toiminto (ACCEPT, DROP, REJECT, LOG jne.)
Sääntöjen luominen
• Ketjut muodostuvat säännöistä
• Edetään järjestyksessä
• Jos paketille sopivaa sääntöä ei löydy, käytetään yleistä politiikkaa
• Mahdollista luoda omia ketjuja
Iptablesin käyttäminen
• Ketjujen tulostamineniptables –t filter -L
• Sääntöjen lisäämineniptables –t filter –A INPUT –p icmp –j DROP
• Säännön poistamineniptables –t filter –D INPUT –p icmp –j DROP
• Yleisen politiikan asettamineniptables –P OUTPUT ACCEPT
• Uuden ketjun luomineniptables –N ketju
Käytettäviä vipuja
-i verkkorajapinta josta paketti on tullut-o verkkorajapinta josta paketti on
menossa ulos-s määrittelee lähdeosoitteen-d määrittelee kohdeosoitteen-p määrittelee protokollan--sport tunnistaa lähdeportin--dport tunnistaa kohdeportin--state tunnistaa tilan, jossa yhteys on
palomuurin toteuttaminen
• Skripti koneen käynnistykseen– /etc/init.d/firewall– symbolinen linkki /etc/rcS.d/ –hakemistoon
Sisäverkon muuri
• Poistetaan kaikki aikaisemmat säännötiptables –flush
iptables --table nat –flush
iptables --delete-chain
iptables --table nat --delete-chain
• Asetetaan oletuspolitiikatiptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
Sisäverkon muuri
• Päästetään sisäverkosta kaikki liikenne eteenpäiniptables -A FORWARD -i $OFFICE -j ACCEPT
• Sallitaan loopback-liikenneiptables -A INPUT -i lo -j ACCEPT
• Sallitaan jo muodostettuihin yhteyksiin liittyviä pakettejaiptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
• Sallitaan ssh-yhteydet internetistä
Sisäverkon muuri
• Sallitaan sisääntuleva liikenne sisäverkostaiptables -A INPUT -i $OFFICE -j ACCEPT
• Sallitaan dns-kyselyt sisäverkkooniptables -A FORWARD -i $DMZ -p tcp –destination-port 53 -m state --state NEW -j ACCEPTiptables -A FORWARD -i $DMZ -p udp --destination-port 53 -m state --state NEW -j ACCEPT
• Sallitaan ssh-yhteydet toiselta palomuurikoneeltaiptables -A INPUT --source 192.168.1.1 -p tcp --destination-port 22 -j ACCEPT
• Käännetään pakettien forwardointi päälleecho 1 > /proc/sys/net/ipv4/ip_forward
DMZ muuri
• hyväksytään icmp-paketit molemmista verkoistaiptables -A INPUT -p icmp -j ACCEPT
• hyväksytään paketit http-proxyyniptables -A INPUT -i $DMZ -p tcp --dport 8080 -j ACCEPT
• hyväksytään ssh-yhteydetiptables -A INPUT -p tcp --dport 22 --in-interface $WAN -j ACCEPT
• forwardointi ja natiptables --table nat --append POSTROUTING --out-interface $WAN -j MASQUERADE
iptables --append FORWARD --in-interface $DMZ -j ACCEPT
Nmap
• voidaan selvittää verkossa olevien järjestelmien eri porteissa olevia palveluita
• Useita skannausmenetelmiä– SYN-skannaus– Connect-skannaus– FIN-skannaus– yms.
Nmap
• Nmapin käyttäminen– nmap <skannaustyyppi> <optiot> <kohde>
• Muutamia vipuja:– -sS/sT/sA/sW/sM TCP SYN/CONNECT/ACK/WINDOW/Maimon
skannaukset
– -sP Online-tilassa olevien koneiden selvittäminen ICMP echo -viestien avulla.
– -P0 Käsittelee kaikki kohteet online-tilassa olevina - jättää tilan selvityksen väliin.