1 inet6-adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0.

Slides:



Advertisements
Podobné prezentace
SÍŤOVÉ PROTOKOLY.
Advertisements

Brána firewall a její využití
SÍŤOVÉ SLUŽBY DNS SYSTÉM
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Softwarové zabezpečení serveru
Firewally a NAT Informační technologie - praxe SPŠE V úžlabině
Aplikační proxy Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
Seminář 8 VLAN routing Srovnání směrování tradičního a VLAN routingu
Protokol TCP/IP a OSI model
Internet.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Protokoly a adresy na internetu
2 Ing. Jan Keprt Centrální správa uživatelů 3 Jak to bylo dosud Bylo třeba nastavení uživatelů provést zvlášť, v každém modulu samostatně. Uživatel si.
Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Firewall.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
STRUKTURA POČÍTAČOVÝCH SÍTÍ. Co to je PC síť  PC síť - propojení dvou a více PC za účelem sdílení dat nebo komunikace.
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public 1 Application Layer Functionality and Protocols Network Fundamentals – Chapter 3.
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
Datové sítě Ing. Petr Vodička.
Firewally Network Adress Translation (NAT) Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
Základy informatiky část 6
Vybudujte si svůj vlastní internetovský ochranný val
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Internet.
Firewall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Seminář
Seminář 12 Obsah cvičení Transportní služby Utilita nestat
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
Seminář - routing Směrování Pojmy IP adresa
Principy fungování sítě Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských.
Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally.
Internet protocol Počítačové sítě Ing. Jiří Ledvina, CSc.
1 Seminář 6 Routing – směrování –Směrování přímé – v rámci jedné IP sítě/subsítě (dále je „sítě“) – na známou MAC adresu. –Směrování nepřímé – mezi sítěmi.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
Program pro detekci síťových útoků Marek Lapák. Úvod Rozmach počítačových sítí – Internetu  Stále více činností se uskutečňuje prostřednictvím počítačů.
E- MAIL Ing. Jiří Šilhán. E LEKTRONICKÁ POŠTA NEBOLI vývoj od počátku sítí – původní návrh pouze pro přenos krátkých textových zpráv (ASCII) základní.
Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.
1 inet6-adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
UNIX 13. Síťová komunikace © Milan Keršlágerhttp:// Obsah: ● TCP/IP, RFC, BSD socket.
Kvíz 5. – 6. hodina. Co nepatří mezi komponenty sítě Síťová zařízení Přenosová média MS Office Protokoly.
 = jedná se o vzájemné propojení lokálních počítačových sítí pomocí vysokorychlostních datových spojů  vznikl spojením mnoha menších sítí  v každé.
1 inet6-adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0.
Unix a Internet 9. Samba © Milan Keršlágerhttp:// Obsah: ●
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
1 inet6-adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0.
1 inet6-adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Audit a řešení problémů v počítačové síti. Rozdělení údržby 1. Vzdálený dohled a monitoring celé sítě 2. Pravidelné prohlídky jedním přiděleným servisním.
1 inet6-adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
Paměti PC HDD, CD/DVD, USB Flash RAM a ROM Vnější paměť Disková paměť
Administrace Unixu a sítí
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Seminář 11 DHCP + HTTP + IPTABLES
Unix a Internet 5. Firewall
Unix a Internet 5. Firewall
Seminář 8 VLAN routing Srovnání směrování tradičního a VLAN routingu
UNIX 13. Síťová komunikace
Administrace Unixu a sítí
Propojování sítí (1) Propojování sítí je možné realizovat, např. pomocí: Repeater: zesilovač, který předává veškeré informace z jedno-ho síťového segmentu.
Příklad topologie sítě Adresace v internetu MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu.
Počítačové sítě IP vrstva
Application Layer Functionality and Protocols
Transkript prezentace:

1 inet6-adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 kolizí:0 délka odchozí fronty:0 RX bytes: (20.4 MiB) TX bytes: (10.0 MiB) bug:/home/qiq# getent passwd|grep 10 uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh Debian-exim:x:102:102::/var/spool/exim4:/bin/false qiq:x:1000:1000:Miroslav Spousta,,,:/home/qiq:/bin/bash sshd:x:100:65534::/var/run/sshd:/bin/false identd:x:101:65534::/var/run/identd:/bin/false messagebus:x:103:104::/var/run/dbus:/bin/false gdm:x:104:105:Gnome Display Manager:/var/lib/gdm:/bin/false hal:x:106:106:Hardware abstraction layer,,,:/var/run/hal:/bin/false saned:x:109:109::/home/saned:/bin/false bind:x:105:110::/var/cache/bind:/bin/false smmta:x:107:111:Mail Transfer Agent,,,:/var/lib/sendmail:/bin/false smmsp:x:108:112:Mail Submission Program,,,:/var/lib/sendmail:/bin/false test:x:1001:1001:Test User,,,:/home/test:/bin/bash postfix:x:110:115::/var/spool/postfix:/bin/false Administrace Unixu a sítí Miroslav Spousta 7. Zabezpečení služeb, firewall

2 Xen virtuální servery ( budete mít rootovská oprávnění ve virtuálním serveru přístup je po dobu výuky OS: Debian 3.1 RAM: 32 MB, swap: 128 MB (/dev/sda2), root: 512 MB (/dev/sda1) několik síťových karet (eth0, eth1,...) Síťové karty jsou propojeny virtuálními přepínači Přístup k virtuálním serveru: ● ssh ● xencons localhost 90xx ● xx je číslo serveru (login: root, heslo: žádné)

3 Zabezpečení služeb síťově dostupné služby mohou být snadno zneužity – někým z vnitřní (lokální) sítě i z Internetu některé služby nabízejí ověření uživatele, jiné nikoliv je možné uhodnout jméno a heslo k účtu na nějakém stroji obecné pravidlo říká, že služby by měly být povoleny pouze pro ty uživatele/počítače/sítě, které je budou využívat v Unixech je možné nastavovat přístup ke službám na různých úrovních – konfigurací služby (na kterých interface a adresách bude naslouchat) – pomocí TCP wrappers (knihovna, kterou používají některé programy) – firewallem – univerzální a velmi flexibilní řešení je vhodné kombinovat několik těchto metod dohromady

4 TCP/UDP porty každý uzel v síti má TCP portů UDP portů na portu může čekat (naslouchat) server pro nějakou službu – neboli port je otevřený – server bude odpovídat na požadavky o spojení nebo je port neobsazený – neboli zavřený – TCP stack vrátí na požadavek RST 0 – 1023 jsou privilegované porty (může je obsadit jen root) – tyto porty patří mezi tzv. dobře známé porty, na kterých běží většina služeb Internetu (např. HTTP: 80, SMTP: 25, SSH: 21) – přiřazení portů ke službám můžete najít v /etc/services komunikovat se serverem můžeme pomocí programu telnet nebo netcat vm1:~# netcat localhost 22 SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4

5 nmap chceme-li zjistit, které služby na daném počítači poslouchají, můžeme všechny najednou zjistit pomocí příkazu nmap použití: nmap cíl (TCP) nebo nmap -sU cíl (UDP) nmap umožňuje použít více druhů scannování (man nmap) nmap -O zapíná OS finger-printing oscannujte sobě i kolegovi počítač (TCP i UDP porty) k5-14:~# nmap Interesting ports on : (The 1657 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 7/tcp open echo 22/tcp open ssh 37/tcp open time MAC Address: 00:AA:BB:00:00:01 (Unknown) Nmap run completed -- 1 IP address (1 host up) scanned in seconds

6 (x)inetd služby, které nemusí běžet stále je možné spouštět pomocí inetd – „super internet daemon“ – konfigurace v /etc/inetd.conf (/etc/xinetd.d/*) – definuje, pod jakým uživatelem bude daná služba běžet, zda vůbec, atd. služby, které jsou spouštěny inetd/xinetd je možné zjistit v konfiguračním souboru – služby, které nejsou potřeba je vhodné zakázat typické služby: echo, time, ftp, telnet, talk, tftp, … zjistěte, které služby máte spuštěné (v /etc/inetd.conf) – vyzkoušejte službu echo (případně si ji povolte): nc localhost echo

7 TCP wrappers knihovna, která nabízí centralizovanou správu přístupu různým síťovým aplikacím – poštovní server, ftp server, ssh server, talk server používá konfigurační soubory /etc/hosts.allow a /etc/hosts.deny – obsahují řádky: daemon: klient – daemon je síťová služby (např. sendmail), klient je IP adresa/DNS jméno počítače – pokud vyhovuje řádek v /etc/hosts.allow, je přístup povolen – pokud v /etc/hosts.deny, je přístup odepřen, jinak je povolen klient může být také ALL, LOCAL (v DNS bez tečky), KNOWN (má DNS jméno), UNKNOWN (neznámé DNS jméno), PARANOID (pokud se DNS jméno neshoduje s použitou adresou) /etc/hosts.allow: in.tftpd: LOCAL,.my.domain /etc/hosts.deny: ALL: ALL

8 Firewall zařízení, které různým způsobem zajišťuje síť před vnějším světem – chrání data, přístup na zařízení,... může být řešením na různých úrovních – linkové, síťové, aplikační HW nebo SW řešení paketový filtr – pracuje na síťové/transportní úrovni – nedívá se do „nákladu“ datagramů/paketů, ale do hlaviček – rozlišuje provoz podle spojení, portů, atd. aplikační brána – překládá provoz mezi vnitřní a vnější sítí – pracuje na aplikační úrovní, rozumí datům, které se přenášejí – např. HTTP proxy servery In construction, a firewall consists of a windowless, fireproof wall. --

9 Odbočka: DMZ neboli demilitarizovaná zóna servery, které jsou přístupny ze světa není dobré umisťovat za firewall – stávají se zranitelným místem infrastruktury vyhradí se pro ně speciální část sítě oddělená od vnitřní sítě – servery (a služby na nich jsou přístupné vnějším uživatelům (v Internetu), ale nejsou fyzicky uvnitř privátní sítě DMZ firewall

10 Paketový filtr paketový filtr umožňuje filtrovat provoz na základě nejrůznějších informací získaných z datagramu (nebo s ním souvisejících): linkové datagramy: MAC adresa IP: zdrojová, cílová adresa TCP: port a stav spojení UDP: port ICMP: typ zprávy dále můžeme filtrovat např. podle interface, ze kterého datagram přišel, případně na který interface bude datagram poslán, typu datagramu, ToS,...

11 Cesta paketu datagramy vstupují na fyzickém interface – např. eth0 každý paket projde jedním z filtrů – INPUT (pakety určené pro tuto stanici) – OUTPUT (pakety odeslané z této stanice) – FORWARD (pakety směrované) v těchto filtrech na něj útočí různá pravidla a můžou daný paket zastavit (např. úplně zničit), nebo propustit INPUT OUTPUT FORWAR D ROUTING process ROUTING vstupní interface výstupní interface filter

12 iptables v Linuxu se nastavují pravidla filtru pomocí příkazu iptables každé pravidlo je uloženo v určité tabulce (table) v některém řetízku (chain) tabulky jsou pro jednotlivé druhy operací (filter, nat, mangle) řetízky jsou v rámci tabulek buď vestavěné (např. pro tabulku filter řetízky INPUT, OUTPUT, FORWARD ), nebo uživatelsky definované výpis tabulky: iptables [-t filter] -L přidání pravidla do řetízku: iptables -A INPUT -p icmp -j ACCEPT – pravidlo se přidá do INPUT řetízku – můžeme specifikovat omezení, které paket musí splňovat, aby pravidlu vyhovoval zde pouze omezení na icmp datagram – definujeme, co se má s paketem provést, pokud vyhovuje omezením má se skončit zpracování v tomto řetízku a datagram se akceptuje další možnosti: DROP, REJECT, LOG, SNAT, DNAT, MASQUERADE,..., případně jméno jiného řetízku

13 iptables vestavěné řetízky mají tzv. default policy – co se aplikuje na datagram, pokud nevyhovuje ani jednomu pravidlu (většinou DROP) – iptables -P INPUT DROP pravidla mohou specifikovat mnoho různých omezení obecná omezení (platí pro všechny IP datagramy): – -s zdrojová adresa, -d cílová adresa – -i eth0 zdrojový interface, -o eth1 cílový interface protokol TCP: -p tcp – --sport 80 zdrojový port paketu, --dport 10:12 cílový port paketu – --tcp-flags SYN,FIN,ACK SYN které příznaky (druhý argument) z kterých (první argument) musí být nastaveny protokol UDP: -p udp – --sport 80 zdrojový port paketu, --dport 10:12 cílový port paketu

14 iptables protokol ICMP: -p icmp – --icmp-type 8 typ icmp zprávy -m mac : —-mac-source 00:00:00:00:00:11 u pravidel je možné uvést vykřičník, jako negaci, např.: ! --dport 80 iptables -F INPUT – flush neboli vyprázdní řetízek (pozor, nemění default policy(!)) zakažte přístup na službu daytime na svém počítači – případně jen pro adresy různé od localhost zakažte přístup zvenku na všechny porty pro svůj počítač – a teď zkuste spojení (třeba ssh) ven

15 iptables potřebujeme rozeznávat, které pakety patří kterému spojení (a v jakém je dané spojení právě stavu) paketový filtr v Linuxu je stavový – každý paket je v jedné z těchto kategorií: NEW, ESTABLISHED, RELATED, INVALID – NEW: paket patří spojení, které jsme ještě neviděli (typicky SYN pro TCP) – ESTABLISHED: paket patří spojení, které bylo navázáno (SYN ACK) – RELATED: paket byl vyvolán spojením, které bylo navázáno (např. ICMP k navázanému spojení) – INVALID: nepatří k žádnému spojení a je nějakým způsobem divný (např. má neplatnou hlavičku) stavy se pamatují i pro UDP datagramy (a ICMP) pro každý protokol a stav existuje timeout po kterém se spojení prohlásí za přerušené

16 iptables v pravidlech se můžeme odvolávat také na stav spojení, ke kterému daný paket patří (NEW, ESTABLISHED, RELATED, INVALID) -m state --state RELATED,ESTABLISHED – pravidlo bude vyhovovat jen paketům, které patří k již navázaným spojením stav aktuálních spojení můžete zjistit v /proc/net/ip_conntrack zakažte zvenku (eth0) všechny porty pro svůj počítač – povolte spojení dovnitř pro RELATED,ESTABLISHED – a teď zkuste spojení (třeba ssh) ven – mělo by fungovat nastavte si logování pro nedovolené pakety ( -j LOG )