Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally.

Slides:



Advertisements
Podobné prezentace
SÍŤOVÉ PROTOKOLY.
Advertisements

SÍŤOVÉ SLUŽBY DNS SYSTÉM
14SIAP – SÍTĚ A PROTOKOLY Hodina 5..
Překlad síťových adres - NAT
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Technologie firewallů - Filtrování paketů Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Firewally a NAT Informační technologie - praxe SPŠE V úžlabině
ARP protokol Informační technologie - praxe SPŠE V úžlabině
Aplikační proxy Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Vzdělávací materiál / DUMVY_32_INOVACE_02B7 Správa sítí AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník Vyučovací předmět.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Protokoly a adresy na internetu
Sítě – řešení problému.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Firewall.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
Vzdělávací materiál / DUMVY_32_INOVACE_02B19 Příkazový řádek: sítě AutorIng. Petr Haman Období vytvořeníBřezen 2013 Ročník / věková kategorie3. ročník.
INTERNET – struktura, fungování a přehled využití
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
Přenos telefonních hovorů v IP sítích Petr Štěpaník.
POČÍTAČOVÉ SÍTĚ ADRESA. Identifikace v síti  IP adresa - je jednoznačná identifikace konkrétního zařízení (typicky počítače) v prostředí sítě (Internetu).
Datové sítě Ing. Petr Vodička.
Firewally Network Adress Translation (NAT) Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Vybudujte si svůj vlastní internetovský ochranný val
Bezpečný Web 1 Petr Halamíček. Bezpečný Web 2 Obsah  Jak to funguje  HTTPS  SSL  FTP – Obecně, proč SSH  FTPS  SFTP  Firewall  Open BSD  Java.
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Firewall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Seminář 12 Obsah cvičení Transportní služby Utilita nestat
Sledování sítě Whireshark.
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
Bezpečnost sítí s IP Michal Horák ČVUT, Praha 1. Bezpečnost sítí s IP Minimalizace zranitelných míst Systémy na detekci útoků  analyzátory  manažeři.
PROGRAMOVATELNÉ AUTOMATY ADRESACE SÍŤOVÝCH ZAŘÍZENÍ Ing. Jana Horáková Elektrotechnika
Seminář - routing Směrování Pojmy IP adresa
Model TCP/IP Síťová vrstva. IPv4 IP protokol pracuje nad linkovou vrstvou IP protokol pracuje nad linkovou vrstvou Data jsou v síti dopravována přes směrovače.
Principy fungování sítě Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských.
Internet protocol Počítačové sítě Ing. Jiří Ledvina, CSc.
1 Seminář 6 Routing – směrování –Směrování přímé – v rámci jedné IP sítě/subsítě (dále je „sítě“) – na známou MAC adresu. –Směrování nepřímé – mezi sítěmi.
Základní pojmy Standard sítě Důvod vzniku standardů
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
Program pro detekci síťových útoků Marek Lapák. Úvod Rozmach počítačových sítí – Internetu  Stále více činností se uskutečňuje prostřednictvím počítačů.
1 Technické specifikace sítí Ethernet 10Mbps Ethernet (dožívá) – IEEE –10BASE-T – dva UTP (cat-3/cat-5), propojovací zařízení – HUB nebo přepínač.
1 inet6-adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0.
Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.
PB169 – Operační systémy a sítě Zabezpečení počítačových sítí Marek Kumpošt, Zdeněk Říha.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
UNIX 13. Síťová komunikace © Milan Keršlágerhttp:// Obsah: ● TCP/IP, RFC, BSD socket.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Audit a řešení problémů v počítačové síti. Rozdělení údržby 1. Vzdálený dohled a monitoring celé sítě 2. Pravidelné prohlídky jedním přiděleným servisním.
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Tomáš Jansa VY_32_INOVACE_OV16 CZ.1.07/1.5.00/ Moderní škola.
SMĚROVÁNÍ V POČÍTAČOVÝCH SÍTÍCH Část 2 – Směrovací tabulky Zpracovala: Mgr. Marcela Cvrkalová Střední škola informačních technologií a sociální péče, Brno,
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
IP PROTokOL Zachytávání a analýza
Síťová vrstva a vrstva síťového rozhraní v TCP/IP
Název školy: Autor: Název: Číslo projektu: Název projektu:
Transportní vrstva v TCP/IP
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
NÁZEV ŠKOLY: S0Š Net Office, spol. s r. o., Orlová Lutyně
Seminář 11 DHCP + HTTP + IPTABLES
Unix a Internet 5. Firewall
Seminář - routing Směrování Pojmy IP adresa
Unix a Internet 5. Firewall
PB169 – Operační systémy a sítě
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
UNIX 13. Síťová komunikace
Počítačové sítě IP vrstva
Představa komunikačního procesu ve funkčních vrstvách
Počítačové sítě IP vrstva
Ing. Jiří Šilhán IP Spoofing.
Transkript prezentace:

Firewall na Linuxu Vypracoval: Petr Toman

Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally filtrující pakety – výběrově přijímají nebo odmítají pakety podle stanovených pravidel. Obvykle nerozumí vyšším protokolům, takže nekontrolují jejich obsah.

Co potřebujeme v linuxu: dvě nebo tři síťová rozhraní, iptables (mechanismus netfilter), jádro podporující filtrování paketů, nastaveno IP přeposílání (echo 1 > /proc/sys/net/ipv4/ip_forward), znalost protokolu TCP/IP, znalost hackerských technik.

Podle čeho filtrujeme: podle IP adres, podle protokolů (tcp, udp, icmp), podle čísel portů, podle příznaků.

Základní syntaxe iptables iptables příkaz specifikace pravidel rozšíření Příkazy: -A třída Přidává na konec jedno nebo více pravidel. -D třída Vymaže ze třídy jedno nebo více pravidel odpovídající specifikaci. -L [třída] Vypíše pravidla dané třídy. -F [třída] Vymaže pravidla dané třídy. -P třída politika Nastavuje politiku dané třídy.

Specifikace pravidel -p [!] protokol Udává protokol, který pravidlu vyhovuje (tcp, udp, icmp). -s [!] adresa [/maska ] Udává zdrojovou adresu datagramu. -d [!] adresa [/maska] Udává cílovou adresu datagramu. -j cíl Definuje akci, která se má provést (ACCEPT, DROP QUEUE, RETURN). --sport [!] Definuje zdrojový port datagramu. -- dport [!] Definuje cílový port datagramu.

-i [!] název_rozhraní Definuje rozhraní, na něž je datagram přijat. -o [!] název_rozhraní Definuje rozhraní, na něž je datagram poslán. --icmp-type [!] typ Udává typ icmp zprávy, které budou pravidla vyhovovat. -N třídaVytvoří uživatelem definovanou třídu. -L Vypíše definovaná pravidla. -v Výřečný režim výpisu.

Zpracování datagramu mechanismem netfilter

Firewally tvoříme na základě pravidla: „Co není výslovně povoleno mělo by být zakázáno.“ Firewall povolující určité služby iptables -A INPUT -i eth0 -j DROP iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -i eth0 -d tux.penguin.net \ -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i eth0 -d tux.penguin.net \ -p tcp --dport ftp -j ACCEPT iptables -A FORWARD -i eth0 -s root.linux.net \ -d tux.penguin.net --dport ssh -j ACCEPT

Zabránění ICMP záplavám Zabránění pingu smrti (ping of death) iptables -A INPUT -s 0/0 -p icmp --icmp-type echo-request \ -j DROP Nebo iptables -A INPUT-s 0/0 -p icmp --icmp-type echo-request \ -m limit --limit 1/s --limit-burst 5 -j ACCEPT

Zabránění SYN záplavám iptables -N syn_flood (vytvoření nové třídy) iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 \ -j RETURN iptables -A syn_flood -j DROP

Zabránění falšování IP adres (IP SPOOFING) iptables -N spoofing iptables -A spoofing -s /16 -j DROP iptables -A spoofing -s /12 -j DROP iptables -A spoofing -s /8 -j DROP iptables -A spoofing -s /8 -j DROP iptables –A spoofing -s “naše síť“ -j DROP iptables -A INPUT -i eth0 -j spoofing iptables -A FORWARD -i eth0 -j spoofing

IP Maškaráda (Masquerade)

iptables -t nat -P POSTROUTING DROP iptables -t nat -A POSTROUTING -o ppp0 –j MASQUERADE