Unix a Internet 5. Firewall

Slides:



Advertisements
Podobné prezentace
Síťové prvky.
Advertisements

Brána firewall a její využití
SÍŤOVÉ SLUŽBY DNS SYSTÉM
14SIAP – SÍTĚ A PROTOKOLY Hodina 5..
Adam Grigor I3. Firewall Hardwarové zařízení nebo program.
Adresářová služba Active directory
Technologie firewallů - Filtrování paketů Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Firewally a NAT Informační technologie - praxe SPŠE V úžlabině
Firewall Sommer David 3.IT. Druhy FW O Softwarové brány firewall O Hardwarové firewally O “osobní” firewally O Podnikové firewally.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Firewall.
Bezpečnostní pravidla při používání internetu
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
Přenos telefonních hovorů v IP sítích Petr Štěpaník.
POČÍTAČOVÉ SÍTĚ ADRESA. Identifikace v síti  IP adresa - je jednoznačná identifikace konkrétního zařízení (typicky počítače) v prostředí sítě (Internetu).
Datové sítě Ing. Petr Vodička.
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
Vybudujte si svůj vlastní internetovský ochranný val
Bezpečný Web 1 Petr Halamíček. Bezpečný Web 2 Obsah  Jak to funguje  HTTPS  SSL  FTP – Obecně, proč SSH  FTPS  SFTP  Firewall  Open BSD  Java.
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Informační a komunikační technologie Zabezpečení sítě Implementace ICT do výuky č. CZ.1.07/1.1.02/ GG OP VK Studijní obor: Sociální péče Ročník:
Internet.
Firewall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Zajištění ochrany počítačové sítě - FIREWALL - Samostatná práce Michala Červenky.
Internet.
Seminář 12 Obsah cvičení Transportní služby Utilita nestat
Internetové protokoly Autor: Milan Bílek. Internet Internet je celosvětová systém propojených počítačových sítí. Počítače mezi sebou komunikují pomocí.
Seminář - routing Směrování Pojmy IP adresa
Model TCP/IP Síťová vrstva. IPv4 IP protokol pracuje nad linkovou vrstvou IP protokol pracuje nad linkovou vrstvou Data jsou v síti dopravována přes směrovače.
Principy fungování sítě Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských.
Počítačové sítě Transportní vrstva
Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally.
Internet protocol Počítačové sítě Ing. Jiří Ledvina, CSc.
1 Seminář 6 Routing – směrování –Směrování přímé – v rámci jedné IP sítě/subsítě (dále je „sítě“) – na známou MAC adresu. –Směrování nepřímé – mezi sítěmi.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
Program pro detekci síťových útoků Marek Lapák. Úvod Rozmach počítačových sítí – Internetu  Stále více činností se uskutečňuje prostřednictvím počítačů.
Překlad jmen, instalace AD
S MĚROVÁNÍ Ing. Jiří Šilhán. Přímé doručování není směrování. (stejná síť) Směrování – volba směru – hledá se next hop Hledání optimální cesty. Vytváření.
Operační systémy Počítačové sítě v OS © Milan Keršláger Obsah:
1 inet6-adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0.
Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.
PB169 – Operační systémy a sítě Zabezpečení počítačových sítí Marek Kumpošt, Zdeněk Říha.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
UNIX 13. Síťová komunikace © Milan Keršlágerhttp:// Obsah: ● TCP/IP, RFC, BSD socket.
Počítačové sítě ● Síťové architektury ● Internet – historie a současnost ● Místní a rozsáhlé sítě ● Síťové prvky ● Adresace v sítích TCP/IP ● URI ● Síťové.
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Počítačová bezpečnost 4. Bezpečnost v TCP/IP © Milan Keršlágerhttp:// Obsah: ●
Počítačové sítě 14. IPv4 © Milan Keršlágerhttp:// Obsah: ● IP protokol, IP adresa,
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Tomáš Jansa VY_32_INOVACE_OV16 CZ.1.07/1.5.00/ Moderní škola.
SMĚROVÁNÍ V POČÍTAČOVÝCH SÍTÍCH Část 2 – Směrovací tabulky Zpracovala: Mgr. Marcela Cvrkalová Střední škola informačních technologií a sociální péče, Brno,
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
3. Ochrana dynamických dat
Inf Bezpečný počítač.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Seminář 11 DHCP + HTTP + IPTABLES
TÉMA: Počítačové systémy
Unix a Internet 5. Firewall
Seminář - routing Směrování Pojmy IP adresa
PB169 – Operační systémy a sítě
Seminář – ARP, ICMP Obsah cvičení
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
UNIX 13. Síťová komunikace
Příklad topologie sítě Adresace v internetu MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu.
Počítačové sítě IP vrstva
Ing. Jiří Šilhán IPv4.
Transkript prezentace:

Unix a Internet 5. Firewall Obsah: © Milan Keršláger http://www.pslib.cz/ke/slajdy 6.12.2010 http://creativecommons.org/licenses/by-nc-nd/3.0/

Firewall „ohnivá stěna“ cílem filtrovat nežádoucí provoz na linkové vrstvě (MAC adresy) nepraktické, ale používá se třeba na ARP spoofing na síťové vrstvě klasické nasazení, zvlášť pro IPv4 a IPv6 filtruji provoz: směrem dovnitř, směrem ven, forwardovaný provoz (router)

Implementace firewallu podle sledování stavu spojení: nestavový firewall stavový firewall podle realizace součást TCP/IP stacku v Linuxu, ale i ve Windows NT aplikační (speciální program) typicky doplňující komerční aplikace FireWall-1 od Checkpointu (Windows, Linux, Solaris) Kaspersky, Lavasoft, Norton, ZoneAlarm, WinGate, ...

Nestavový firewall nemá vnitřní stavy nic si nepamatuje každý datagram posuzován zvlášť jednoduchá implementace nevhodné pro spojovou službu (TCP) nedokáže odfiltrovat datagramy, které do proudu nepatří

Stavový firewall pracuje s vnitřními stavy pamatuje si svoji předchozí činnost datagramy posuzovány v kontextu složitější implementace vhodné pro TCP u spojení rozpoznáme otevření, přenost dat a uzavření používá se i pro UDP u DNS je stavem otázka → odpověď obtížně se dělá analýza přenášených dat na to je potřeba proxy (aplikační brána) antivirová kontrola, detekce malware, únik dat

Firewall v Linuxu ipfwadm do jádra 2.0 ipchains do jádra 2.2 netfilter, nástroj iptables 1998 (Rusty Russell) oficiálně do jádra 2.3 v roce 2000 sada hooků (záchytných bodů) kontrola klíčových uzlů pro cesty datagramů v jádře nftables – ve vývoji

Komponenty

Jak to funguje iptable(s) speciální tabulka(-y) v jádře obsahují řetězec pravidel uživatel může pravidla přidat, mazat výsledkem pravidla může být: ACCEPT – datagram je přijat REJECT – datagram je odmítnut DROP – datagram je zahozen datagram je předán do jiné tabulky

Základní tabulky INPUT datagram vstupuje do počítače a končí v něm tj. příchozí data (např. do Firefoxu apod.) OUTPUT datagram vznikne v počítači a opouští ho např. navázání spojení (SYN), tj. první datagram vždy se týká jen odchozích datagramů FORWARD datagram je přijat a bude předán k odeslání dále tj. bude uplatněna směrovací tabulka

Implicitní pravidlo platí jen pro základní tabulky ve výchozím stavu je tabulka prázdná ve výchozím stavu je implicitní pravidlo „ACCEPT“ ostatní tabulky implicitní pravidlo NEMAJÍ dosáhne-li se konce tabulky, je datagram přijat můžeme využít akce RETURN návrat do předcházející tabulky zde se pokračuje následujícím pravidlem v podstatě si tak vytvoříme tabulku jako „proceduru“

Konstrukce firewallu nejdříve všechno zakázat tj. nastavit implicitní pravidlo na DROP pak selektivně povolujeme máme (?) jistotu, že nepovolíme víc, než je nutné a průběžně kontrolujeme, zda je vše funkční Tipy: obvykle se dělá jen INPUT FORWARD má smysl jen na routerech OUTPUT je bonus :-)

iptables – 1 -L [TABULKA] výpis pravidel (jméno tabulky volitelně) -n --line-numbers numericky, s čísly pravidel -P TABULKA akce nastavení implicitního pravidla -A TABULKA … přidání pravidla do tabulky

iptables – 2 -D TABULKA číslo smazání pravidla číslo -F TABULKA odstranění všech pravidel v tabulce -I TABULKA číslo ... vložení pravidla před pravidlo číslo

Příklad # implicitní pravidlo (vše zakážeme) iptables -P INPUT DROP # povolíme ping iptables -A INPUT -p icmp --icmp-type 8 # povolíme SSH (port 22) iptables -A INPUT -p tcp –-dport ssh

Stavový firewall je nevhodné povolit všechny datagramy na port mohly byt to být i vadné datagramy potřebujeme zachytit otevírání spojení tj. datagram s příznakem SYN využijeme modul state tj. conntrack (connection tracking)

Příklad # implicitní pravidlo (vše zakážeme) iptables -P INPUT DROP # povolíme ping iptables -A INPUT -p icmp --icmp-type 8 # povolíme první datagram pro SSH (port 22) iptables -A INPUT -m state –state NEW -p tcp –-dport ssh # povolíme všechny datagramy již schválených spojení iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

SMB sdílení v sítích Microsoft mnoho portů :-( vše pomocí „-m state --state NEW“: -p udp --dport netbios-ns -j ACCEPT # UDP/137 -p udp --dport netbios-dgm -j ACCEPT # UDP/138 -p tcp --dport netbios-ssn -j ACCEPT # TCP/139 -p tcp --dport microsoft-ds -j ACCEPT # TCP/445 -p udp --dport microsoft-ds -j ACCEPT # UDP/445

Upřesnění pravidel -s 1.2.3.0/24 --sport číslo -d 10.0.0.1 --dport číslo -p tcp -p udp

NAT

Kontaktní formulář: Ochrana osobních údajů Kontaktní formulář
O projektu: SlidePlayer Podmínky použití

© 2024 SlidePlayer.cz Inc. All rights reserved.