Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Firewally a NAT Informační technologie - praxe SPŠE V úžlabině

Podobné prezentace


Prezentace na téma: "Firewally a NAT Informační technologie - praxe SPŠE V úžlabině"— Transkript prezentace:

1 Firewally a NAT Informační technologie - praxe SPŠE V úžlabině
Jan Klepal, Mgr. Radka Müllerová Verze 2

2 Obsah Linková vrstva IP protokolu TCP a UDP protokol
Stavový a nestavový firewall NAT – sdílení připojení k internetu Linux: iptables Konfigurace firewallu Konfigurace NAT

3 L4: Linková vrstva IP protokolu
Umožňuje provozování několika síťových aplikací na jednom počítači (jedné IP adrese). Jednotlivé aplikace jsou adresovány pomocí portů ( ). Pro zápis s IP adresou se používá tvar: :80 Zajišťuje spolehlivé nebo nespolehlivé spojení mezi počítači. TCP (Transmission Control Protocol) – spolehlivé spojení. UDP (User Datagram Protocol) – nespolehlivé spojení. Pro zápis se používá tvar: 80/tcp Tato vrstva rozděluje přenášená data do segmentů tak, aby mohly být přeneseny linkovou vrstvou.

4 TCP a UDP porty Každá služba (web, mail, ftp atd.) využívá na serveru TCP nebo UDP port na kterém očekává spojení (port je v LISTEN stavu). Program, který se připojuje k nějaké službě vybere nepoužívaný port a následná komunikace probíhá pomocí vybraného portu na klientské straně a portu služby na serverové straně. Rozdělení portů 0 – 1023: common/well-known ports 1024 – 49151: registered ports 49152 – 65535: dynamic/private ports

5 TCP a UDP proty 10.10.3.1 10.10.1.100 Systém 1024/udp HTTP: 80/tcp
SMTP: 25/tcp DNS: 53/udp 1024 53 DNS: jakou IP má iserver.uzlabina.cz Dotaz: 53 1024 DNS: Odpověď:

6 TCP a UDP proty 10.10.3.1 10.10.1.100 Mozilla 1025/tcp HTTP: 80/tcp
SMTP: 25/tcp DNS: 53/udp 1025 80 HTTP: iserver.uzlabina.cz Dotaz: 80 1025 Hlavní stránka iserver.uzlabina.cz Odpověď:

7 TCP a UDP proty 10.10.3.1 10.10.1.100 Outlook 1026/tcp HTTP: 80/tcp
SMTP: 25/tcp DNS: 53/udp 1026 25 SMTP: odeslání ové zprávy Dotaz: 25 1026 SMTP: potvrzení příjmu zprávy Odpověď:

8 TCP a UDP protokol TCP CLOSED LISTEN SYN_SENT SYN (seq=1) SYN_RCVD
ESTABLISHED CLOSE_WAIT LAST_ACK FIN_WAIT1 CLOSING FIN_WAIT2 TIME_WAIT SYN (seq=1) ACK=2, SYN (seq=100) ACK=101, DATA (seq=3) ACK=4 DATA (seq=102) ACK=103 DATA (seq=104) ACK=105, FIN=5 ACK=6 FIN=105 ACK=106

9 TCP a UDP protokol Window size určuje kolik paketů může být odesláno, aniž by odesilatel přijal potvrzení o jejich příjmu (ACK) Hodnota window size je standardně 65535, odesílatel tedy může odeslat 64kB dat (cca 44 paketů – 1500 bajtové pakety) Maximální hodnota je B V případě, že počítače nepodporují window scaling, je window size nastaveno na 4kB

10 TCP a UDP protokol TCP ACK= 1000 Window = 3000 SEQ=1000 SEQ=2000

11 TCP a UDP protokol UDP DATA DATA DATA DATA

12 TCP a UDP protokol TCP UDP Spolehlivý (spojovaný) přenos.
Protokol sám opětovně přenáší ztracené pakety (o přijmutí segmentu je vždy informována vysílající strana) . Aby zpoždění při přenosu neovlivňovalo maximální rychlost linky využívá se window-size = maximální počet odeslaných segmentů než je vyžadováno potvrzení o přijmutí druhou stranou (ACK) Forma spojení se nazývá 3-way handshake Port je vždy v definovaném stavu na základě toho, zda se spojení sestavuje, probíhá nebo ukončuje. UDP Nespolehlivý (nespojovaný) přenos. Používá se pro broadcasty a multicasty. Jednodušší implementace než TCP. Používá se u aplikací kde je klíčová doba zpoždění přenosu dat (IP telefonie, hry, DNS).

13 Firewally Základní funkcí firewallů je povolování nebo blokování portů (tedy jednotlivých aplikací) Firewally většinou pracují na základě informací 2., 3. a 4. vrstvy OSI modelu (MAC adresy, IP adresy, TCP/UDP porty) Některé firewally mají implementovány funkce pro blokování provozu na základě přenášených dat (transparentní proxy, ové antiviry atd.) Existují dva základní druhy firewallů Nestavový – každý paket je vyhodnocován zvlášť Stavový – firewall rozpozná zda paket patří do již probíhajícího spojení nebo jde o nové spojení NAT plní funkci firewallu z hlediska ochrany počítačů vnitřní sítě, nejedná se však o firewall!

14 Stavový a nestavový firewall
Povolení prohlížení WWW stránek: POVOL: SRC IP: /24 SRC PORT: 1024 – 65535 DST PORT: 53 PROTOKOL: UDP DST PORT: 80 PROTOKOL: TCP DST IP: /24 SRC PORT: 53 DST PORT: 1024 – 65535 SRC PORT: 80 ZAKAŽ: Vše SATVOVÝ: Povolení prohlížení WWW stránek: POVOL: Existující spojení SRC IP: /24 SRC PORT: 1024 – 65535 DST PORT: 53 PROTOKOL: UDP DST PORT: 80 PROTOKOL: TCP ZAKAŽ: Vše

15 NAT – sdílení připojení k internetu
NAT (Network Address Translation) někdy také network masquerading slouží k překladu privátních IP adres na adresy veřejné. Nejčastějším typem NAT je 1:N, kdy se překládá několik privátních adres překládá na jednu veřejnou. Využívá technologie překladu IP adres na TCP a UDP porty. Proces překladu adres zajišťuje kernel operačního systému. Výhody: Šetření IP adresami Částečně funguje jako firewall Nevýhody: Spojení může zahajovat pouze klient v privátní síti Vyšší nároky na router, který provádí NAT NAT zpomalilo nasazení IPv6

16 NAT – sdílení připojení k internetu
Zdrojová IP adresa Zdrojový port Překlad portu Cílová adresa Zdrojová IP adresa Zdrojový port Překlad portu Cílová adresa 1024 Zdrojová IP adresa Zdrojový port Překlad portu Cílová adresa 1024 1025 1024 80 HTTP: 1024 80 HTTP: 80 1024 Hlavní stránka 80 1024 Hlavní stránka 1024 80 HTTP: 1025 80 HTTP: 80 1024 Hlavní stránka 80 1025 Hlavní stránka

17 NAT – servery v privátní části sítě
FORWARD 25/tcp ► 1024 25 SMTP: zpráva pro 1024 25 SMTP: zpráva pro NAT neumožňuje příchozí spojení ze strany veřejné IP adresy na počítače s privátními adresami. port-FORWARDing – určitý port je přesměrován na privátní IP adresu exposed host – všechny příchozí spojení jsou přesměrovány na privátní IP adresu

18 NAT – operace kernelu Překlad adres může kernel provádět:
PREROUTING – ještě než se vyhodnotí kterým rozhraním bude paket dále odeslán POSTROUTING – po určení rozhraní, kterým paket opustí router OUTPUT – pro lokálně generované pakety Pro výběr vhodného místa překladu platí: Změna cílové adresy = PREROUTING Změna zdrojové adresy = POSTROUTING Pakety lokálních aplikací = OUTPUT

19 Konfigurace firewallu
Pro konfiguraci firewallů se volí restriktivní politika, tedy nejprve vše zakázat a povolovat jen požadované služby. Firewally většinou pracují se seznamy pravidel, které postupně procházejí. Při schodě paketu s pravidlem je pravidlo vykonáno a další pravidla se již nezpracovávají. Firewally umožňují záznam provozu Nepovolený provoz – logují se pakety, které nevyhovují žádnému pravidlu (ty, které se zahazují) Všechna spojení – logují se TCP SYN pakety a první pakety UDP spojení

20 Konfigurace firewallu
Základní součástí linuxového kernelu je filtr iptables, konfiguruje se pomocí utility stejného názvu Jsou definovány tři základní tabulky, které obsahují chainy definující na který typ spojení budou pravidla aplikována filter – blokování provozu INPUT – data která vstupují do počítače a jsou určena pro lokální aplikace OUTPUT – data opouštějící počítač, která jsou generována aplikacemi FORWAD – data která pouze procházejí počítačem nat – nastavení NAT PREROUTING – data ihned po vstupu do počítače (před routováním) POSTROUTING – data před opuštěním počítače (po routování) OUTPUT – data která lokálních aplikací mangle – mění parametry paketů Obsahuje všechny chainy, které jsou definovány v tabulkách filter a nat: PREROUTING, FORWARD, OUTPUT, FORWARD, POSTROUTING

21 Linux iptables: filter

22

23 Konfigurace firewallu
iptables tabulky: -t <tabulka> – název tabulky (filter je standardní) iptables chainy: -L <chain> – výpis pravidel -P <chain> – nastaví policii chainu -A <chain> – přidá pravidlo na konec -I <chain> – přidá pravidlo na začátek -D <chain> – vymaže pravidlo -Z <chain> – vynuluje počítadla pravidel -F <chain> – vymaže všechna pravidla -N <chain> – vytvoří chain -X <chain> – smaže chain iptables akce: -j <akce> – nastaví akci, která bude provedena s paketem ACCEPT, DROP, REJECT, LOG, MANGLE, SNAT, DNAT, MASQ

24 Konfigurace firewallu
Rozhraní -i <iface> – rozhraní, kterým paket vstoupil -o <iface> – rozhraní, kterým paket opustí počítač IP adresy: -s <ip> – zdrojová adresa -d <ip> – cílová adresa Protokol: -p <protokol> – protokol (tcp, udp, icmp) Port (musí být definován protokol): --sport <port:port> – zdrojový port --dport <port:port> – cílový port Moduly: -m <modul> – použije modul

25 Konfigurace firewallu
Moduly: state – stavový firewall --state <stav> NEW – nové spojení ESTABLISHED – probíhající spojení TCP RELATED – probíhající spojení UDP INVALID – paket, který nepatří do spojení limit – omezení počtu paketů v čase --limit <počet> mac – shoda MAC adresy --mac-source <MAC adresa>

26 Konfigurace nestavového firewallu
iptables –Z iptables -F iptables –P FORWARD DROP iptables –A FORWARD –s –p udp –-sport 1024:65535 –-dport 53 –j ACCEPT iptables –A FORWARD –d –p udp –-sport 53 –-dport 1024:65535 –j ACCEPT iptables –A FORWARD –s –p tcp –-sport 1024:65535 –-dport 80 –j ACCEPT iptables –A FORWARD –d –p tcp –-sport 80 –-dport 1024:65535 –j ACCEPT iptables –A FORWARD –s –p tcp –-sport 1024:65535 –-dport 21 –j ACCEPT iptables –A FORWARD –d –p tcp –-sport 21 –-dport 1024:65535 –j ACCEPT iptables –A FORWARD –s –p tcp –-sport 1024:65535 –-dport 20 –j ACCEPT iptables –A FORWARD –d –p tcp –-sport 20 –-dport 1024:65535 –j ACCEPT

27 Konfigurace stavového firewallu
iptables –Z iptables -F iptables –P FORWARD DROP iptables –A FORWARD –m state -–state NEW –p udp -–dport 53 –j ACCEPT iptables –A FORWARD –m state -–state NEW –p tcp –-dport 80 –j ACCEPT iptables –A FORWARD –m state -–state NEW –p tcp –-dport 21 –j ACCEPT iptables –A FORWARD –m state -–state RELATED,ESTABLISHED –j ACCEPT

28 Konfigurace NAT iptables –t nat –Z iptables –t nat -F
iptables –t nat –A POSTROUTING –o eth1 –j SNAT –-to iptables –t nat –A POSTROUTING –o eth2 –j MASQ iptables –t nat –A PREROUTING –i eth1 –p tcp –-dport 25 –j DNAT –-to

29 Reálné nasazení FW a NAT
eth1 eth0 iptables –P INPUT DROP iptables –A INPUT –m state –-state NEW –j LOG iptables –A INPUT –m state --state RELATED,ESTABLISHED –j ACCEPT iptables –A INPUT –m state –-state INVALID –j DROP iptables –A INPUT –m limit --limit 4/s –p icmp –j ACCEPT iptables –A INPUT –p udp --sport 1024: dport 33434:33465 –j ACCEPT iptables –A INPUT –p tcp –-dport 25 –j ACCEPT iptables –A INPUT –i eth0 –p udp –-dport 53 –j ACCEPT iptables –A INPUT –i eth0 –p tcp –-dport 80 –j ACCEPT iptables –A INPUT –i eth0 –p tcp –-dport 110 –j ACCEPT iptables –A INPUT –j LOG iptables –A INPUT –j REJECT

30 Reálné nasazení FW a NAT
eth1 eth0 iptables –P OUTPUT DROP iptables –A OUTPUT –i lo –j ACCEPT iptables –A OUTPUT –m state --state RELATED,ESTABLISHED –j ACCEPT iptables –A OUTPUT –m state –-state INVALID –j DROP iptables –A OUTPUT –p icmp –j ACCEPT iptables –A OUTPUT –p udp --sport 1024: dport 33434:33465 –j ACCEPT iptables –A OUTPUT –o eth1 –p tcp –-sport 25 –j ACCEPT iptables –A OUTPUT –o eth1 –p udp –-dport 53 –j ACCEPT iptables –A OUTPUT –o eth1 –p tcp –-dport 80 –j ACCEPT iptables –A OUTPUT –o eth1 –p tcp –-dport 21 –j ACCEPT iptables –A OUTPUT –j REJECT

31 Reálné nasazení FW a NAT
eth1 eth0 iptables –P FORWARD DROP iptables –A FORWARD –m state –-state NEW –j LOG iptables –A FORWARD –m state --state RELATED,ESTABLISHED –j ACCEPT iptables –A FORWARD –m state –-state INVALID –j DROP iptables –A FORWARD –m limit --limit 4/s –p icmp –j ACCEPT iptables –A FORWARD –p udp --sport 1024: dport 33434:33465 –j ACCEPT iptables –A FORWARD –i eth1 –d –p tcp –-dport 3389 –j ACCEPT iptables –A FORWARD –i eth1 –d –p tcp –-dport 3389 –j ACCEPT iptables –A FORWARD –i eth0 –s –p tcp –-dport 80 –j DROP iptables –A FORWARD –i eth0 -j ACCEPT iptables –A FORWARD –j LOG iptables –A FORWARD –j REJECT

32 Reálné nasazení FW a NAT
eth1 eth0 Statická IP: iptables –t nat –A POSTROUTING –o eth1 –j SNAT –-to iptables –t nat –A PREROUTING –i eth1 –p tcp –-dport 3389 –j DNAT –-to iptables –t nat –A PREROUTING –i eth1 –p tcp –-dport 3399 –j DNAT –-to :3389 Dynamická IP: iptables –t nat –A POSTROUTING –o eth1 –j MASQ iptables –t nat –A PREROUTING –i eth1 –p tcp –-dport 3389 –j DNAT –-to iptables –t nat –A PREROUTING –i eth1 –p tcp –-dport 3399 –j DNAT –-to :3389


Stáhnout ppt "Firewally a NAT Informační technologie - praxe SPŠE V úžlabině"

Podobné prezentace


Reklamy Google