Unix a Internet 5. Firewall

Slides:



Advertisements
Podobné prezentace
Brána firewall a její využití
Advertisements

D03 - ORiNOCO RG-based Wireless LANs - Technology
14SIAP – SÍTĚ A PROTOKOLY Hodina 5..
Překlad síťových adres - NAT
Adam Grigor I3. Firewall Hardwarové zařízení nebo program.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Technologie firewallů - Filtrování paketů Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Firewally a NAT Informační technologie - praxe SPŠE V úžlabině
Firewall Sommer David 3.IT. Druhy FW O Softwarové brány firewall O Hardwarové firewally O “osobní” firewally O Podnikové firewally.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Firewall.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
Přenos telefonních hovorů v IP sítích Petr Štěpaník.
POČÍTAČOVÉ SÍTĚ ADRESA. Identifikace v síti  IP adresa - je jednoznačná identifikace konkrétního zařízení (typicky počítače) v prostředí sítě (Internetu).
Datové sítě Ing. Petr Vodička.
Firewally Network Adress Translation (NAT) Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
Vybudujte si svůj vlastní internetovský ochranný val
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Internet.
Firewall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Správní a dopravně správní evidence - IISSDE RNDr. Jiří Malátek Zástupce ředitele OIVS MV
Internet.
Seminář 12 Obsah cvičení Transportní služby Utilita nestat
Statický vs. dynamický routing
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
Seminář - routing Směrování Pojmy IP adresa
Počítačové sítě - architektura TCP/IP
Model TCP/IP Síťová vrstva. IPv4 IP protokol pracuje nad linkovou vrstvou IP protokol pracuje nad linkovou vrstvou Data jsou v síti dopravována přes směrovače.
Principy fungování sítě Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských.
Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally.
1 Seminář 7 Aplikační vrstva Transportní vrstva IP vrstva NIC Aplikační vrstva Transportní vrstva IP vrstva NIC IP vrstva NIC eth0 Fa0/0 Fa0/1 Cisco Router.
Internet protocol Počítačové sítě Ing. Jiří Ledvina, CSc.
Multimediální přenosy v IP sítích Libor Suchý Prezentace diplomové práce.
1 Seminář 6 Routing – směrování –Směrování přímé – v rámci jedné IP sítě/subsítě (dále je „sítě“) – na známou MAC adresu. –Směrování nepřímé – mezi sítěmi.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
Počítačové sítě Architektura TCP/IP - úvod
Překlad jmen, instalace AD
S MĚROVÁNÍ Ing. Jiří Šilhán. Přímé doručování není směrování. (stejná síť) Směrování – volba směru – hledá se next hop Hledání optimální cesty. Vytváření.
Mgr. Bc. Peter Adamko, PhD. NAT a Proxy.
Operační systémy Počítačové sítě v OS © Milan Keršláger Obsah:
1 inet6-adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0.
Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
Kvíz 5. – 6. hodina. Co nepatří mezi komponenty sítě Síťová zařízení Přenosová média MS Office Protokoly.
Počítačové sítě ● Síťové architektury ● Internet – historie a současnost ● Místní a rozsáhlé sítě ● Síťové prvky ● Adresace v sítích TCP/IP ● URI ● Síťové.
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Počítačová bezpečnost 4. Bezpečnost v TCP/IP © Milan Keršlágerhttp:// Obsah: ●
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Tomáš Jansa VY_32_INOVACE_OV16 CZ.1.07/1.5.00/ Moderní škola.
Přednášky o výpočetní technice Internet. přednášky o výpočetní technice Informační hyperdálnice ● Jedna mohutná počítačová síť ● Neplést Internet a Worldwide.
SMĚROVÁNÍ V POČÍTAČOVÝCH SÍTÍCH Část 2 – Směrovací tabulky Zpracovala: Mgr. Marcela Cvrkalová Střední škola informačních technologií a sociální péče, Brno,
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
3. Ochrana dynamických dat
Inf Bezpečný počítač.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Seminář 11 DHCP + HTTP + IPTABLES
TÉMA: Počítačové systémy
Seminář - routing Směrování Pojmy IP adresa
Unix a Internet 5. Firewall
PB169 – Operační systémy a sítě
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Počítačové sítě IP vrstva
Příklad topologie sítě Adresace v internetu MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu.
Počítačové sítě IP vrstva
Ing. Jiří Šilhán IPv4.
Transkript prezentace:

Unix a Internet 5. Firewall Obsah: stavový, nestavový iptables v Linuxu NAT, maškaráda QoS © Milan Keršláger http://www.pslib.cz/ke/slajdy 31.10.2012 http://creativecommons.org/licenses/by-nc-nd/3.0/

Firewall „ohnivá stěna“ cílem filtrovat nežádoucí provoz na linkové vrstvě (MAC adresy) nepraktické, ale používá se třeba na ARP spoofing na síťové vrstvě klasické nasazení, zvlášť pro IPv4 a IPv6 filtruji provoz: směrem dovnitř, směrem ven, forwardovaný provoz (router)

Implementace firewallu podle sledování stavu spojení: nestavový firewall stavový firewall podle realizace součást TCP/IP stacku v Linuxu, ale i ve Windows NT aplikační (speciální program) typicky doplňující komerční aplikace FireWall-1 od Checkpointu (Windows, Linux, Solaris) Kaspersky, Lavasoft, Norton, ZoneAlarm, WinGate, ...

Nestavový firewall nemá vnitřní stavy nic si nepamatuje každý datagram posuzován zvlášť jednoduchá implementace nevhodné pro spojovou službu (TCP) nedokáže odfiltrovat datagramy, které do proudu nepatří

Stavový firewall pracuje s vnitřními stavy pamatuje si svoji předchozí činnost datagramy posuzovány v kontextu složitější implementace vhodné pro TCP u spojení rozpoznáme otevření, přenost dat a uzavření používá se i pro UDP u DNS je stavem otázka → odpověď obtížně se dělá analýza přenášených dat na to je potřeba proxy (aplikační brána) antivirová kontrola, detekce malware, únik dat

Firewall v Linuxu ipfwadm do jádra 2.0 ipchains do jádra 2.2 netfilter, nástroj iptables 1998 (Rusty Russell) oficiálně do jádra 2.3 v roce 2000 sada hooků (záchytných bodů) kontrola klíčových uzlů pro cesty datagramů v jádře nftables – ve vývoji

Komponenty

Jak to funguje iptable(s) speciální tabulka(-y) v jádře obsahují řetězec pravidel uživatel může pravidla přidat, mazat výsledkem pravidla může být: ACCEPT – datagram je přijat REJECT – datagram je odmítnut DROP – datagram je zahozen datagram je předán do jiné tabulky LOG – záznam o průchodu datagramu předání (existujícímu) procesu

Základní tabulky INPUT datagram vstupuje do počítače a končí v něm tj. příchozí data (např. do Firefoxu apod.) OUTPUT datagram vznikne v počítači a opouští ho např. navázání spojení (SYN), tj. první datagram vždy se týká jen odchozích datagramů FORWARD datagram je přijat a bude předán k odeslání dále tj. bude uplatněna směrovací tabulka

Cesta datagramu proces INPUT OUTPUT FORWARD Rozhodnutí o směrování vstup Rozhodnutí o směrování FORWARD výstup INPUT proces OUTPUT

Zdroj: http://www.billauer.co.il/ipmasq-html.html

http://www. linuxhomenetworking. com/wiki/index http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables

Implicitní pravidlo platí jen pro základní tabulky ve výchozím stavu je tabulka prázdná ve výchozím stavu je implicitní pravidlo „ACCEPT“ ostatní tabulky implicitní pravidlo NEMAJÍ dosáhne-li se konce tabulky, je datagram přijat můžeme využít akce RETURN návrat do předcházející tabulky zde se pokračuje následujícím pravidlem v podstatě si tak vytvoříme tabulku jako „proceduru“

Konstrukce firewallu nejdříve všechno zakázat tj. nastavit implicitní pravidlo na DROP pak selektivně povolujeme máme (?) jistotu, že nepovolíme víc, než je nutné a průběžně kontrolujeme, zda je vše funkční Tipy: obvykle se dělá jen INPUT FORWARD má smysl jen na routerech OUTPUT je bonus :-)

iptables – 1 -L [TABULKA] výpis pravidel (jméno tabulky volitelně) -n --line-numbers numericky, s čísly pravidel -P TABULKA akce nastavení implicitního pravidla -A TABULKA … přidání pravidla do tabulky

iptables – 2 -D TABULKA číslo smazání pravidla číslo -F TABULKA odstranění všech pravidel v tabulce -I TABULKA číslo ... vložení pravidla před pravidlo číslo

Příklad (nestavový firewall) # implicitní pravidlo (vše zakážeme) iptables -P INPUT DROP # povolíme ping iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # povolíme SSH (port 22) iptables -A INPUT -p tcp –-dport ssh -j ACCEPT

Stavový firewall je nevhodné povolit všechny datagramy na port mohly byt to být i vadné datagramy potřebujeme zachytit otevírání spojení tj. datagram s příznakem SYN využijeme modul state tj. conntrack (connection tracking)

Příklad # implicitní pravidlo (vše zakážeme) iptables -P INPUT DROP # povolíme ping iptables -A INPUT -p icmp --icmp-type 8 # povolíme první datagram pro SSH (port 22) iptables -A INPUT -m state –state NEW -p tcp –-dport ssh -j ACCEPT # povolíme všechny datagramy již schválených spojení iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

SMB sdílení v sítích Microsoft mnoho portů :-( vše pomocí „-m state --state NEW“: -p udp --dport netbios-ns -j ACCEPT # UDP/137 -p udp --dport netbios-dgm -j ACCEPT # UDP/138 -p tcp --dport netbios-ssn -j ACCEPT # TCP/139 -p tcp --dport microsoft-ds -j ACCEPT # TCP/445 -p udp --dport microsoft-ds -j ACCEPT # UDP/445

Upřesnění pravidel -p tcp -p udp -s 1.2.3.0/24 --sport číslo --dport číslo

NAT Network Address Translation překlad adres, tj. NAT mění: cílovou IP adresu, cílový port zdrojovou IP adresu, zdrojový port používá se v případě: server má privátní IP, router ji mění na veřejnou příchozí datagram je předán počítači s privátní IP

Maškaráda dynamicky vytvářená SNAT pravidla pro přístup počítačů s privátní IP do Internetu počítače v LAN se vydávají za router router má jako jediný veřejnou IP adresu router pak vypadá jako hyperaktivní zdroj IP provozu z vnitřku se lze spojit s libovolnou veřejnou IP první datagram zavádí nové pravidlo do maškarády z vnějšku nelze zahájit provoz k vnitřnímu počítači pozor na „hole punching“ – potřebuje prostředníka Skype umí navázat spojení na počítač ukrytý za NAT maškarádu lze opakovat

QoS