1 / 28

Hálózat menedzsment

Hálózat menedzsment. Óravázlat Készítette: Toldi Miklós. Alkalmazás szintű tűzfal. Az alkalmazás szintű tűzfal egy alkalmazás egy adott protokollon keresztüli forgalmát figyeli, és a forgalom tartalma alapján végzi a szűrést. Proxy. Proxy az egy olyan alkalmazás szintű tűzfal,

tao
Download Presentation

Hálózat menedzsment

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hálózat menedzsment Óravázlat Készítette: Toldi Miklós

  2. Alkalmazás szintű tűzfal Az alkalmazás szintű tűzfal egy alkalmazás egy adott protokollon keresztüli forgalmát figyeli, és a forgalom tartalma alapján végzi a szűrést.

  3. Proxy Proxy az egy olyan alkalmazás szintű tűzfal, amely a hozzá forduló kliensek helyett igényli meg a használni kívánt erőforrást, majd azt átadja a kliensnek. Anonim proxy: olyan proxy, amelynek legfőbb célja, hogy a hozzá kapcsolódó klienst minden módon azonosíthatatlanná tegye.

  4. Proxyk fajtái • transzparens proxy • nem transzparens proxy

  5. A transzparens proxy A transzparens proxy a hálózatban észrevétlenül működik, a használói nem veszik észre a működését.

  6. Nem transzparens proxy A nem transzparens proxy működése nyilvánvaló, használatához proxyzásra képes (proxy aware) szoftverekre van szükség.

  7. Általános tűzfal elv – I. Mivel az állapottartó csomagszűrők nem minden támadás elleni védekezésre megfelelőek, ezért olyan védelmet kell kialakítani, amelyben az állapottartó tűzfal és az alkalmazásszintű tűzfal, vagy proxy kombinálva van. Amit a csomagszűrő egyszerűen és könnyen meg tud oldani pl. a kliensek MAC cím alapján történő szűrését, azt végezze az állapottartó tűzfal.

  8. Általános tűzfal elv – II. Viszont a csomagszűrő által nem, vagy nehezen megoldható problémákat bízzuk a proxykra vagy az alkalmazás szintű tűzfalakra.

  9. Tartalomszűrés Az alkalmazás szintű tűzfalak legfontosabb funkciója a tartalomszűrés. Ilyenkor a tűzfal a kommunikáció során átvitt tartalmat elemzi, és a definiált szabályok alapján szári is azt.

  10. Alkalmazás tűzfalak/proxyk • HTTP, FTP: Squid • FTP: frox • SMTP: smtpprox • POP3: p3scan

  11. Squid A Squid egy nagy teljesítményű, HTTP és FTP proxy Főbb tulajdonságai: • képes http tartalmat, meta adatokat cachelni • támogatja az IPv4 és v6 protokollokat is • támogatja az SSL használatát • igen precízen szabályozható ACL -ekkel

  12. Squid alapvető opciói – I. • http_port • https_port • cache_mem • cache_dir • visible_hostname

  13. Squid alapvető opciói – II. • http_port Azt szabályozza milyen porton figyeljen a Squid. Ha normál (nem transzparens) módon használjuk ezt az opciót, akkor alapértelmezett a 3128 port lesz használva. Ha transzparens módot akarunk, akkor a port után a transparent opciót is meg kell adni. Egyéb opciók is léteznek, de ezek csak különleges esetekben kerülnek állításra. Alapértelmezés: http_port 3128

  14. Squid alapvető opciói – III. • https_port Ha a Squid fel van készítve az SSL használatára, akkor itt meg lehet adni egy olyan portot, ahol titkosított kapcsolaton keresztül érhetjük el a proxyt. Egyéb jellemzőiben megegyezik a http_port opcióval. Alapértelmezetten nincs használva.

  15. Squid alapvető opciói – IV. • cache_mem A proxy által cachelésre használható memória mennyiséget szabályozza. Alapértelmezett memória foglalás elég kicsi. Alapértelmezés: cache_mem 8 MB

  16. Squid alapvető opciói – V. • cache_dir A háttértárolón kialakítandó, cacheléshez szükséges könyvtár beállításait meghatározó opció. Részei: típus könyvtár méret L1 opció L2 opció Típus: • ufs • aufs • diskd • cross • null

  17. Squid alapvető opciói – VI. Könyvtár – annak a könyvtárnak a neve, ahol a lemez cache ki lesz alakítva. Méret – a létrehozott könyvtár maximális mérete Mb -ban. L1 opció: az egyes szinten létrehozandó könyvtárak száma. L2 opció: az egyes szinten lévő könyvtár alatt létrehozandó könyvtárak száma. Alapértelmezett: cache_dir ufs /var/spool/squid3 100 16 256

  18. Squid alapvető opciói – VII. • visible_hostname A proxy által használt, mindenhol megjelenített hosztnév. Alapértelmezés: visible_hostname localhost

  19. Squid alapvető ACL -jei – I. ACL (Acces Controll List): valamilyen hozzáférést (általánosabban erőforrást) kontrolláló szabály. A Squid működése hozzáférési szabályokkal igen részletesen szabályozható. Egy ACL beállítása több opcióval lehetséges, vagyis szükség van a hozzáférés megnevezésére, és a rá vonatkozó szabály beállítására.

  20. Squid alapvető ACL -jei – II. Alapértelmezés: acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports

  21. Squid alapvető ACL -jei – III. acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow localhost http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny all

  22. Squid alapvető ACL -jei – IV. A szükséges módosítások, hogy használható legyen a proxy egy hálózatból is. Vegyük fel azt az IP cím tartományt, ahonnan használni akarjuk a proxyt. acl localnet src 192.168.0.0/255.255.0.0 #vagy acl localnet src 192.168.0.0/255.255.0.0 #vagy acl localnet src 192.168.1.0/255.255.255.0, 192.168.2.0/255.255.255.0, 192.168.3.0/255.255.255.0

  23. Squid alapvető ACL -jei – V. Töröljük az alábbi opciót. http_access deny CONNECT !SSL_ports És helyette (de mindenképpen a http_access deny all előtt) vegyük fel az alábbi opciót. http_access allow localnet

  24. Squid loggolási opciói – I. • access_log • cache_log • cache_store_log • debug_options

  25. Squid loggolási opciói – II. • access_log A proxyhoz csatlakozó kliensek működése kerül loggolásra ebben az állományban. Ha anonim proxyt akarunk létrehozni, akkor a none opciót kell használni, egyébiránt az alapértelmezett beállítás jó. Alapértelmezés: access_log /var/log/squid3/access.log squid

  26. Squid loggolási opciói – II. • cache_log A cache működésével kapcsolatos általános információk kerülnek ide. Legtöbb esetben az alapértemlezett értéket használjuk, de none lehet állítani, ha nem akarjuk tárolni az adatokat. Alapértelmezés: cache_log /var/log/squid3/cache.log

  27. Squid loggolási opciói – III. • cache_store_log A cache tároló mechanizmusának az üzenetei kerülnek itt loggolásra. Általános használatra jó az alapértelmezett opció, de ezt is ki lehet kapcsolni a none paraméterrel. Alapértelmezés: cache_store_log /var/log/squid3/store.log

  28. Squid loggolási opciói – IV. • debug_options A logok részletességére vonatkozó beállítás. Alapértelmezetten a minden logállományban a legkevesebb adat kerül loggolásra. A loggolás szintje 1 és 9 közt állítható. Alapértelmezés: debug_options ALL,1

More Related