1 / 23

Palomuuri Linux-harjoitustyö

Palomuuri Linux-harjoitustyö. 0238428 Jukka Nousiainen. Esityksen rakenne. Palomuurit Harjoitustyön verkon rakenne Iptables Palomuurien asentaminen Nmap. Palomuuri. Yksi tärkeimmistä tietoturvan komponenteista Sijainti verkkojen välissä Eteisverkko Pakettisuodatus tilaton tilallinen.

mufutau-kane
Download Presentation

Palomuuri Linux-harjoitustyö

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PalomuuriLinux-harjoitustyö 0238428 Jukka Nousiainen

  2. Esityksen rakenne • Palomuurit • Harjoitustyön verkon rakenne • Iptables • Palomuurien asentaminen • Nmap

  3. Palomuuri • Yksi tärkeimmistä tietoturvan komponenteista • Sijainti verkkojen välissä • Eteisverkko • Pakettisuodatus • tilaton • tilallinen

  4. Palomuuri • Heikkouksia • vaihtoehtoiset reitit verkkoon • IPSec

  5. Harjoitustyön verkko

  6. Netfilter/Iptables • Iptables Netfilterin käyttöliittymä • Mukana kernelin versiosta 2.3 • Edeltäjinä Ipchains ja Ipfwadm

  7. Netfilter/Iptables • Iptablesin toiminnot • Tilaton suodattaminen • Tilallinen suodattaminen • Osoitteenmuunnos • Logien kirjaaminen

  8. Netfilter/Iptables • Taulut • FILTER • NAT • MANGLE

  9. Netfilter/Iptables

  10. Filter • Iptablesin oletustaulu • Käytetään pakettien suodattamiseen • Koostuu kolmesta eri ketjusta • Input • Output • Forward

  11. NAT • Käytetään osoite-/porttimuunnokseen • Koostuu kolmesta eri ketjusta • Prerouting • Postrouting • Output

  12. MANGLE • Käytetään pakettien muokkaamiseen • Koostuu viidestä eri ketjusta • Input • Output • Prerouting • Postrouting • Forward

  13. Sääntöjen luominen • Komennon rakenne iptables –t <taulu> -A <ketju> <säännöt> -j <toiminto> • Muokattava taulu (filter, nat tai mangle) • Muokattava ketju (input, output, forward, prerouting tai postrouting) • Toiminto (ACCEPT, DROP, REJECT, LOG jne.)

  14. Sääntöjen luominen • Ketjut muodostuvat säännöistä • Edetään järjestyksessä • Jos paketille sopivaa sääntöä ei löydy, käytetään yleistä politiikkaa • Mahdollista luoda omia ketjuja

  15. Iptablesin käyttäminen • Ketjujen tulostaminen iptables –t filter -L • Sääntöjen lisääminen iptables –t filter –A INPUT –p icmp –j DROP • Säännön poistaminen iptables –t filter –D INPUT –p icmp –j DROP • Yleisen politiikan asettaminen iptables –P OUTPUT ACCEPT • Uuden ketjun luominen iptables –N ketju

  16. Käytettäviä vipuja -i verkkorajapinta josta paketti on tullut -o verkkorajapinta josta paketti on menossa ulos -s määrittelee lähdeosoitteen -d määrittelee kohdeosoitteen -p määrittelee protokollan --sport tunnistaa lähdeportin --dport tunnistaa kohdeportin --state tunnistaa tilan, jossa yhteys on

  17. palomuurin toteuttaminen • Skripti koneen käynnistykseen • /etc/init.d/firewall • symbolinen linkki /etc/rcS.d/ –hakemistoon

  18. Sisäverkon muuri • Poistetaan kaikki aikaisemmat säännöt iptables –flush iptables --table nat –flush iptables --delete-chain iptables --table nat --delete-chain • Asetetaan oletuspolitiikat iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP

  19. Sisäverkon muuri • Päästetään sisäverkosta kaikki liikenne eteenpäin iptables -A FORWARD -i $OFFICE -j ACCEPT • Sallitaan loopback-liikenne iptables -A INPUT -i lo -j ACCEPT • Sallitaan jo muodostettuihin yhteyksiin liittyviä paketteja iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT • Sallitaan ssh-yhteydet internetistä

  20. Sisäverkon muuri • Sallitaan sisääntuleva liikenne sisäverkosta iptables -A INPUT -i $OFFICE -j ACCEPT • Sallitaan dns-kyselyt sisäverkkoon iptables -A FORWARD -i $DMZ -p tcp –destination-port 53 -m state --state NEW -j ACCEPT iptables -A FORWARD -i $DMZ -p udp --destination-port 53 -m state --state NEW -j ACCEPT • Sallitaan ssh-yhteydet toiselta palomuurikoneelta iptables -A INPUT --source 192.168.1.1 -p tcp --destination-port 22 -j ACCEPT • Käännetään pakettien forwardointi päälle echo 1 > /proc/sys/net/ipv4/ip_forward

  21. DMZ muuri • hyväksytään icmp-paketit molemmista verkoista iptables -A INPUT -p icmp -j ACCEPT • hyväksytään paketit http-proxyyn iptables -A INPUT -i $DMZ -p tcp --dport 8080 -j ACCEPT • hyväksytään ssh-yhteydet iptables -A INPUT -p tcp --dport 22 --in-interface $WAN -j ACCEPT • forwardointi ja nat iptables --table nat --append POSTROUTING --out-interface $WAN -j MASQUERADE iptables --append FORWARD --in-interface $DMZ -j ACCEPT

  22. Nmap • voidaan selvittää verkossa olevien järjestelmien eri porteissa olevia palveluita • Useita skannausmenetelmiä • SYN-skannaus • Connect-skannaus • FIN-skannaus • yms.

  23. Nmap • Nmapin käyttäminen • nmap <skannaustyyppi> <optiot> <kohde> • Muutamia vipuja: • -sS/sT/sA/sW/sM TCP SYN/CONNECT/ACK/WINDOW/Maimon skannaukset • -sP Online-tilassa olevien koneiden selvittäminen ICMP echo -viestien avulla. • -P0 Käsittelee kaikki kohteet online-tilassa olevina - jättää tilan selvityksen väliin.

More Related