Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally.

Podobné prezentace


Prezentace na téma: "Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally."— Transkript prezentace:

1 Firewall na Linuxu Vypracoval: Petr Toman

2 Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally filtrující pakety – výběrově přijímají nebo odmítají pakety podle stanovených pravidel. Obvykle nerozumí vyšším protokolům, takže nekontrolují jejich obsah.

3 Co potřebujeme v linuxu: dvě nebo tři síťová rozhraní, iptables (mechanismus netfilter), jádro podporující filtrování paketů, nastaveno IP přeposílání (echo 1 > /proc/sys/net/ipv4/ip_forward), znalost protokolu TCP/IP, znalost hackerských technik.

4

5

6 Podle čeho filtrujeme: podle IP adres, podle protokolů (tcp, udp, icmp), podle čísel portů, podle příznaků.

7

8 Základní syntaxe iptables iptables příkaz specifikace pravidel rozšíření Příkazy: -A třída Přidává na konec jedno nebo více pravidel. -D třída Vymaže ze třídy jedno nebo více pravidel odpovídající specifikaci. -L [třída] Vypíše pravidla dané třídy. -F [třída] Vymaže pravidla dané třídy. -P třída politika Nastavuje politiku dané třídy.

9 Specifikace pravidel -p [!] protokol Udává protokol, který pravidlu vyhovuje (tcp, udp, icmp). -s [!] adresa [/maska ] Udává zdrojovou adresu datagramu. -d [!] adresa [/maska] Udává cílovou adresu datagramu. -j cíl Definuje akci, která se má provést (ACCEPT, DROP QUEUE, RETURN). --sport [!] Definuje zdrojový port datagramu. -- dport [!] Definuje cílový port datagramu.

10 -i [!] název_rozhraní Definuje rozhraní, na něž je datagram přijat. -o [!] název_rozhraní Definuje rozhraní, na něž je datagram poslán. --icmp-type [!] typ Udává typ icmp zprávy, které budou pravidla vyhovovat. -N třídaVytvoří uživatelem definovanou třídu. -L Vypíše definovaná pravidla. -v Výřečný režim výpisu.

11 Zpracování datagramu mechanismem netfilter

12 Firewally tvoříme na základě pravidla: „Co není výslovně povoleno mělo by být zakázáno.“ Firewall povolující určité služby iptables -A INPUT -i eth0 -j DROP iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -i eth0 -d tux.penguin.net \ -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i eth0 -d tux.penguin.net \ -p tcp --dport ftp -j ACCEPT iptables -A FORWARD -i eth0 -s root.linux.net \ -d tux.penguin.net --dport ssh -j ACCEPT

13 Zabránění ICMP záplavám Zabránění pingu smrti (ping of death) iptables -A INPUT -s 0/0 -p icmp --icmp-type echo-request \ -j DROP Nebo iptables -A INPUT-s 0/0 -p icmp --icmp-type echo-request \ -m limit --limit 1/s --limit-burst 5 -j ACCEPT

14 Zabránění SYN záplavám iptables -N syn_flood (vytvoření nové třídy) iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 \ -j RETURN iptables -A syn_flood -j DROP

15 Zabránění falšování IP adres (IP SPOOFING) iptables -N spoofing iptables -A spoofing -s /16 -j DROP iptables -A spoofing -s /12 -j DROP iptables -A spoofing -s /8 -j DROP iptables -A spoofing -s /8 -j DROP iptables –A spoofing -s “naše síť“ -j DROP iptables -A INPUT -i eth0 -j spoofing iptables -A FORWARD -i eth0 -j spoofing

16 IP Maškaráda (Masquerade)

17 iptables -t nat -P POSTROUTING DROP iptables -t nat -A POSTROUTING -o ppp0 –j MASQUERADE

18


Stáhnout ppt "Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally."

Podobné prezentace


Reklamy Google