Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally.

ZveřejnilDavid Tichý

Podobné prezentace

Prezentace na téma: "Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally."— Transkript prezentace:

1 Firewall na Linuxu Vypracoval: Petr Toman

2 Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally filtrující pakety – výběrově přijímají nebo odmítají pakety podle stanovených pravidel. Obvykle nerozumí vyšším protokolům, takže nekontrolují jejich obsah.

3 Co potřebujeme v linuxu: dvě nebo tři síťová rozhraní, iptables (mechanismus netfilter), jádro podporující filtrování paketů, nastaveno IP přeposílání (echo 1 > /proc/sys/net/ipv4/ip_forward), znalost protokolu TCP/IP, znalost hackerských technik.

4

5

6 Podle čeho filtrujeme: podle IP adres, podle protokolů (tcp, udp, icmp), podle čísel portů, podle příznaků.

7

8 Základní syntaxe iptables iptables příkaz specifikace pravidel rozšíření Příkazy: -A třída Přidává na konec jedno nebo více pravidel. -D třída Vymaže ze třídy jedno nebo více pravidel odpovídající specifikaci. -L [třída] Vypíše pravidla dané třídy. -F [třída] Vymaže pravidla dané třídy. -P třída politika Nastavuje politiku dané třídy.

9 Specifikace pravidel -p [!] protokol Udává protokol, který pravidlu vyhovuje (tcp, udp, icmp). -s [!] adresa [/maska ] Udává zdrojovou adresu datagramu. -d [!] adresa [/maska] Udává cílovou adresu datagramu. -j cíl Definuje akci, která se má provést (ACCEPT, DROP QUEUE, RETURN). --sport [!] Definuje zdrojový port datagramu. -- dport [!] Definuje cílový port datagramu.

10 -i [!] název_rozhraní Definuje rozhraní, na něž je datagram přijat. -o [!] název_rozhraní Definuje rozhraní, na něž je datagram poslán. --icmp-type [!] typ Udává typ icmp zprávy, které budou pravidla vyhovovat. -N třídaVytvoří uživatelem definovanou třídu. -L Vypíše definovaná pravidla. -v Výřečný režim výpisu.

11 Zpracování datagramu mechanismem netfilter

12 Firewally tvoříme na základě pravidla: „Co není výslovně povoleno mělo by být zakázáno.“ Firewall povolující určité služby iptables -A INPUT -i eth0 -j DROP iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -i eth0 -d tux.penguin.net \ -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i eth0 -d tux.penguin.net \ -p tcp --dport ftp -j ACCEPT iptables -A FORWARD -i eth0 -s root.linux.net \ -d tux.penguin.net --dport ssh -j ACCEPT

13 Zabránění ICMP záplavám Zabránění pingu smrti (ping of death) iptables -A INPUT -s 0/0 -p icmp --icmp-type echo-request \ -j DROP Nebo iptables -A INPUT-s 0/0 -p icmp --icmp-type echo-request \ -m limit --limit 1/s --limit-burst 5 -j ACCEPT

14 Zabránění SYN záplavám iptables -N syn_flood (vytvoření nové třídy) iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 \ -j RETURN iptables -A syn_flood -j DROP

15 Zabránění falšování IP adres (IP SPOOFING) iptables -N spoofing iptables -A spoofing -s 192.168.0.0/16 -j DROP iptables -A spoofing -s 172.16.0.0/12 -j DROP iptables -A spoofing -s 127.0.0.0/8 -j DROP iptables -A spoofing -s 10.0.0.0/8 -j DROP iptables –A spoofing -s “naše síť“ -j DROP iptables -A INPUT -i eth0 -j spoofing iptables -A FORWARD -i eth0 -j spoofing http://www.iana.com/assignments/ipv4-address-space

16 IP Maškaráda (Masquerade)

17 iptables -t nat -P POSTROUTING DROP iptables -t nat -A POSTROUTING -o ppp0 –j MASQUERADE

18

Stáhnout ppt "Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally."

Podobné prezentace

SÍŤOVÉ PROTOKOLY.

SÍŤOVÉ PROTOKOLY.
SÍŤOVÉ SLUŽBY DNS SYSTÉM

SÍŤOVÉ SLUŽBY DNS SYSTÉM
14SIAP – SÍTĚ A PROTOKOLY Hodina 5..

14SIAP – SÍTĚ A PROTOKOLY Hodina 5..
Překlad síťových adres - NAT

Překlad síťových adres - NAT
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/34.0292 Číslo materiálu: VY_32_INOVACE_PSK-3-20.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Technologie firewallů - Filtrování paketů 18.12.20141 Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.

Technologie firewallů - Filtrování paketů Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Firewally a NAT Informační technologie - praxe SPŠE V úžlabině

Firewally a NAT Informační technologie - praxe SPŠE V úžlabině
ARP protokol Informační technologie - praxe SPŠE V úžlabině

ARP protokol Informační technologie - praxe SPŠE V úžlabině
Aplikační proxy 13.1.20151 Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:

Aplikační proxy Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Vzdělávací materiál / DUMVY_32_INOVACE_02B7 Správa sítí AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník Vyučovací předmět.

Vzdělávací materiál / DUMVY_32_INOVACE_02B7 Správa sítí AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník Vyučovací předmět.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor: horak@oakostelec.cz.

TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Protokoly a adresy na internetu

Protokoly a adresy na internetu
Sítě – řešení problému.

Sítě – řešení problému.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.

Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.

BIS Firewall Roman Danel VŠB – TU Ostrava.
Firewall.

Firewall.
CZ.1.07/1.4.00/21.2791 VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.

CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
Vzdělávací materiál / DUMVY_32_INOVACE_02B19 Příkazový řádek: sítě AutorIng. Petr Haman Období vytvořeníBřezen 2013 Ročník / věková kategorie3. ročník.

Vzdělávací materiál / DUMVY_32_INOVACE_02B19 Příkazový řádek: sítě AutorIng. Petr Haman Období vytvořeníBřezen 2013 Ročník / věková kategorie3. ročník.
INTERNET – struktura, fungování a přehled využití

INTERNET – struktura, fungování a přehled využití
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.

1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.

Podobné prezentace

Reklamy Google