1 / 145

Wdrażanie i zarządzanie serwerami zabezpieczającymi

Wdrażanie i zarządzanie serwerami zabezpieczającymi. Prezentacja do wykładu część 1. Organizacja zajęć (studia dzienne) : Wykład : 15 godzin, Piątek, godz. 10:15 – 11:00, sala 105E. Prowadzący : mgr inż. Łukasz Jopek http://ljopek.kis.p.lodz.pl Email: ljopek@kis.p.lodz.pl

acton
Download Presentation

Wdrażanie i zarządzanie serwerami zabezpieczającymi

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Wdrażanie i zarządzanie serwerami zabezpieczającymi Prezentacja do wykładu część 1 Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  2. Organizacja zajęć (studia dzienne) : Wykład : 15 godzin, Piątek, godz. 10:15 – 11:00, sala 105E. Prowadzący : mgr inż. Łukasz Jopek http://ljopek.kis.p.lodz.pl Email: ljopek@kis.p.lodz.pl Godziny przyjęć: środy, w godzinach 10-11, sala 323. Laboratorium : Piątek, godz. 11:15 –13:00, sala 311. Prowadzący: mgr inż. Robert Nowotniak Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  3. Organizacja zajęć (studia zaoczne) : Wykład : 10 godzin, Piątek, godz. 8:15 – 10:00, sala 320. Prowadzący : mgr inż. Łukasz Jopek http://ljopek.kis.p.lodz.pl Email: ljopek@kis.p.lodz.pl Godziny przyjęć: do uzgodnienia. Laboratorium : Niedziela, godz. 9:15 –11:00, sala 307. Prowadzący: mgr inż. Robert Nowotniak Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  4. Organizacja zajęć (studia dzienne i zaoczne) : Zaliczenie : egzamin, być może test ;) Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  5. Zawartość wykładu (studnia dzienne): • Przedstawienie funkcjonalności iptables. • Instalacja oraz zarządzanie iptables. • Konfiguracja bezpiecznego dostępu do sieci dla wewnętrznych klientów przy użyciu iptables. • Konfiguracja iptables jako zapory ogniowej pomiędzy siecią wewnętrzną a Internetem. • Filtrowanie przepływu danych przy użyciu iptables. • Wprowadzanie polityki bezpieczeństwa z użyciem snort'a. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  6. Zawartość wykładu (studnia zaoczne): • Przedstawienie funkcjonalności iptables. • Instalacja oraz zarządzanie iptables. • Konfiguracja bezpiecznego dostępu do sieci dla wewnętrznych klientów przy użyciu iptables. • Konfiguracja iptables jako zapory ogniowej pomiędzy siecią wewnętrzną a Internetem. • Filtrowanie przepływu danych przy użyciu iptables. • Wprowadzanie polityki bezpieczeństwa z użyciem snort'a. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  7. Przypomnienie najważniejszych informacji na temat • Sieci komputerowych. • Co oznaczają skróty : LAN i WAN ? • Co to jest Adres IP ? Co to jest maska podsieci ? Jak wyznaczyć adres • sieci i hosta z adresu IP? • Co to jest adres sprzętowy (MAC) ? • Co to jest TCP? UDP ? IMCP ? • Jak działa switch ethernetowy ? • Co to jest routing ? A na czym polega mechanizm NAT ? • Co to jest pakiet ? Jakie informacje niesie ze sobą ? • Co to jest Model ISO/OSI ? • Co to są porty niskie i wysokie ? • … Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  8. Wykład 1. Iptables. Przedstawienie funkcjonalności i sposobu działa Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  9. Czy jest Iptables ? • iptables to program sterujący filtrem pakietów opracowany dla systemu operacyjnego Linux. Pierwsze wersje powstały dla jądra w wersji 1.1 • Autor Rusty Russell napisał pierwszą wersję w 1998 roku. Oprogramowanie napisane zostało w języku C. • Iptables może być używany w niemal każdym systemie z rodziny Linux, wymaga jednakże jądra skompilowanego z modułem ip_tables. • Często się zdarza, że oprogramowanie iptables jest już zaimplementowany w systemie (jądra 2.4.x i 2.6.x) Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  10. Czy jest Iptables ? / główne zastosowania. • Program może być używany jako filtr pakietów • Program może być używany także jako stanowa zapora (ang. firewall) Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  11. Oprogramowanie Iptables • Iptables może być używane w postaci łancuchów, tzn reguł • Iptables może być używane w postaci skryptów zawierających reguły iptables • Istnieją także alternatywne wersje oprogramowania iptables : • Ebtables ( wersja iptables dla mostów sieciowych). Służy do konfiguracji Netfilter dla mostów sieciowych. Ebtables wchodzi w skład pakietu narzędzi Netfilter. • Firestarter – jest to nakładka graficzna dla iptables. Jej głównie zadanie to ułatwienie konfiguracji i zarządzania oprogramowaniem iptables, szczególnie dla początkujących użytkowników. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  12. Firestarter – nakładka graficzna dla iptables Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  13. Czym jest i jak działa filtrowanie pakietów ? Filtrowanie adresów IP opiera się na sprawdzaniu adresu źródłowego i docelowego w nagłówku pakietu IP i podejmowaniu odpowiednich działań w wypadku odnalezienia pakietu spełniającego pewne zdefiniowane reguły firewalla. Filtrować można również w oparciu o protokoły, można np. blokować pakiety protokółu ICMP odpowiadające za działanie popularnego polecenia ping. Choć przydatne w przypadku testowania sieci intruzowi pozwolić może na sprawdzenie, jakie adresy wykorzystywane są w danej sieci. W przypadku protokołów TCP i UDP można blokować odpowiednie porty. Pozwala to np. zablokować użytkownikom sieci na korzystanie z pewnych usług (np. WWW, ftp czy innej aplikacji). Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  14. Czym jest i jak działa filtrowanie stanów ? Filtrowanie stanowe jest podobnie do filtrowania pakietów, ale dodatkowo śledzi i analizuje kontekst komunikacji. Firewalle tego typu utrzymują tablice z informacjami na temat aktualnych połączeń. Filtrowanie pakietów odbywa się w warstwie sieci, a filtrowanie stanowe następuje w warstwie wyższej. Dlatego też jest w stanie wykryć i powstrzymać bardziej formy wyszukane ataków za pomocą protokołów wyższego poziomu, np. TCP czy UDP. Filtrowanie pakietów nie jest jednak tylko funkcjonalnością firewalli, pełni także ważną rolę w sterowaniu ruchem w sieci , przekazywaniem pakietów itp. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  15. Instalacja oprogramowania Iptables • W wielu dystrybucjach systemów Linux oprogramowanie jest • Zainstalowanie domyślnie. • Instalacja jest bardzo prosta : • Należy ściągnąć oprogramowanie : • • http://netfilter.filewatcher.org/ • • http://netfilter.samba.org/ • • http://netfilter.gnumonks.org/ • Instalacja polega na dodaniu do jądra systemu modułu iptables • ( ip_tables) Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  16. Organizacja działania iptables Reguła, łańcuch, tabela . . . Iptables w celu zbadania danego pakietu wykorzystuje tzw. reguły. Jest to najmniejsza jednostka filtra netfilter. Pojedyncza reguła zawiera informację warunkach, jakie musi spełniać pakiet, oraz o akcji, jaka będzie wykonana, gdy pakiet spełni wskazane warunki Chcemy np. blokowaćwszystkie pakiety TCP Część czerwona to akcja Część niebieska to warunki Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  17. Pojedyncze reguły grupowane są w łańcuchy. Zbiór łańcuchów natomiast tworzy tabelę. Istnieją trzy tabele: 1. filter jest todomyślna tabela; filtrowanie pakietów 2. nat totabela używana przez pakiety nawiązujące połączenie; translacja adresów 3. mangle totabela służąca do modyfikacji przepływających pakietów Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  18. Tabela mangle używana jest do zmiany nagłówków pakietów, tzn. takich pól, jak TOS (Type Of Service), TTL (Time To Live), jak i do filtrowania stanowego. Tabela nat służy do translacji adresów sieciowych, gdy sieć używa NAT. W niej ustalamy maskaradę adresów sieciowych i przekierowujemy pakiety. Tabela filter służy do właściwego filtrowania pakietów. Tutaj definiowane są podstawowe reguły firewalla, ustalane są reguły, Dzięki za wszystko którym firewall decyduje, czy dany pakiet zaakceptować czy odrzucić. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  19. Różne tabele iptables dysponują różnymi wbudowanymi łańcuchami. Np. tabela filter zawiera łańcuchy INPUT, FORWARD i OUTPUT. Tabela nat zawiera łańcuchy PREROUTING, OUTPUT i POSTROUTING, ale już tabela mangle zawiera wszystkie rodzaje łańcuchów. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  20. Każda z tabel zawiera kilka predefiniowanych łańcuchów oraz łańcuchy zdefiniowane przez administratora. Istnieją następujące predefiniowane łańcuchy: ✗ INPUT - wywoływany dla pakietów przybywających z sieci przeznaczonych dla lokalnej maszyny. ✗ FORWARD - wywoływany dla pakietów routowanych przez lokalną maszynę, lecz pochodzących spoza niej i nie przeznaczonych dla niej. ✗ OUTPUT - wywoływany dla pakietów tworzonych lokalnie i wychodzących poza maszynę. ✗ PREROUTING - wywoływany dla pakietów z zewnątrz jeszcze przed ich routowaniem. ✗ POSTROUTING - wywoływany dla pakietów, które właśnie opuszczają maszynę Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  21. Tabela Łańcuch reguła Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  22. Łańcuchy iptables. Schemat budowy reguły iptables wygląda następująco: iptables [-t table] command [match] [-j jump/target] gdzie: Table – umożliwia wybór tablicy, dla której obowiązywać będzie dana reguła, brak tej informacji w regule powoduje zapisane jej do tabeli filter. Command - (wybieramy jedną) [match] – warunki dopasowania pakietu [- jump / target] - akcja Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  23. Łańcuchy iptables. • • iptables -A łańcuch opis_reguły • Dodaje regułę na koniec wskazanego łańcucha we wskazanej tabeli. • • iptables -D łańcuch opis_reguły • Usuwa zadaną regułę z łańcucha. • • iptables -I łańcuch numer_reguły opis_reguły • Dodaje regułę we wskazanym miejscu łańcucha. Jeśli pominie się numer_reguły, reguła zostanie wstawiona na początku łańcucha. • • iptables -R łańcuch numer_reguły opis_reguły • Zamienia regułę wskazaną numerem na opisaną w poleceniu. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  24. iptables -D łańcuch numer_reguły Usuwa regułę o podanym numerze. • iptables -L łańcuch Listuje reguły we wskazanym łańcuchu. Pominięcie nazwy łańcucha spowoduje wylistowanie całej zawartości tabeli. • iptables -N łańcuch Tworzy łańcuch użytkownika o zadanej nazwie. • iptables -X łańcuch Usuwa łańcuch użytkownika. Warunkiem jest brak odwołań do wskazanego łańcucha w innych łańcuchach. • iptables -P łańcuch domyślny_cel Ustawia policy (domyślną akcję) zadanego łańcucha Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  25. Na definicję reguły składa się dowolna ilość warunków oraz dokładnie jedna akcja. • W przypadku braku warunków akcja wykonywana jest zawsze. • Reguła posiadająca tylko warunki, a nie posiadająca akcji, będzie używana wyłącznie do liczenia pakietów pasujących do warunków. Każdy pakiet rozpoczyna swoją podróż przez filtr pakietowy w jednym z predefiniowanych łańcuchów. Łańcuch skanowany jest od góry do dołu w poszukiwaniu reguł, które będą odpowiadać sprawdzanemu pakietowi. Po napotkaniu takiej reguły, wykonywana jest jej akcja. Pozostała część łańcucha nie jest już skanowana. Dlatego ważna jest kolejność dodawania reguł! Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  26. Przykład 1: Reguła 1: Wszystkie przychodzące pakiety TCP, na porcie 80 : Akceptuj Reguła 2: Wszystkie przychodzące pakiety TCP, na porcie 80 : Odrzuć Przykład 2: Reguła 1: Wszystkie przychodzące pakiety TCP, na porcie 80 : Odrzuć Reguła 2: Wszystkie przychodzące pakiety TCP, na porcie 80 : Akceptuj Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  27. Definiowanie warunków dla reguł : • Mogą one obejmować : • Adres IP (docelowy i źródłowy) • Adres MAC (docelowy i źródłowy) • Port (docelowy i źródłowy) • Intefejs (docelowy i źródłowy) • Istnieje również zestaw warunków opcjonalnych, ładowanych przez opcję -m. Pozwalają one na uzyskiwanie różnych efektów. • Pakiet może spełniać jeden lub warunków, np. Adres IP docelowy i port Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  28. Akcje: Akcję definiuje się, używając parametru -j. Najczęściej używane akcje to: • ACCEPT - przyjmij pakiet. • DROP - wyrzuć pakiet bez żadnego komunikatu. • RETURN - powoduje powrót z łańcucha zdefiniowanego przez administratora do łańcucha, z którego został on wykonany. • REJECT - odrzuca pakiet z odesłaniem komunikatu o błędzie, domyślnie ICMP port unreachable. • MARK - oznaczenie pakietu za pomocą wartości numerycznej podanej w parametrze --set-mark. Użyteczne w tabeli mangle. Używane zwykle dla przekazywania informacji do iproute2. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  29. • SNAT - zmienia adres źródłowy pakietów i zapamiętuje tą zmianę dla danego połączenia. Używane głównie do podłączania sieci LAN do Internetu przez łącze ze stałym adresem IP. Użyteczne wyłącznie w łańcuchu POSTROUTING tabeli nat. Akceptuje parametr --to-source, wskazujący adres IP do wstawienia jako adres źródłowy - zazwyczaj IP interfejsu internetowego. • DNAT - zmienia adres docelowy pakietów i zapamiętuje zmianę dla danego połączenia. Używane głównie do przekazywania połączeń z interfejsu internetowego do maszyn w sieci lokalnej. Użyteczne w łańcuchach PREROUTING i OUTPUT tabeli NAT. Akceptuje parametr --to-destination, określający adres z opcjonalnym portem docelowym (wg formatu adres:port). Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  30. • MASQUERADE - maskuje adres nadawcy pakietu, użyteczne wyłącznie w łańcuchu POSTROUTING tabeli nat. Powinno się używać jedynie przy dynamicznie przydzielanym adresie IP. • REDIRECT - przekierowuje pakiet do lokalnej maszyny, użyteczne w łańcuchach PREROUTING i OUTPUT tabeli nat. Opcjonalny argument --to-ports pozwala na przekierowanie połączenia na dowolnie wybrany port lokalnej maszyny. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  31. Istnieją też CELE rozszerzone, które dostarczane są jako moduły. Moduły te niekoniecznie muszą być dostępne podczas standardowej instalacji. Mogą zatem wymagać dodatkowej instalacji. I są to: * BALANCE - rozdzielenie połączeń zgodnych z daną regułą na kilka hostów. * CLUSTERIP - umożliwia stworzenie klastra hostów o takim samym adresie IP i adresie MAC karty sieciowej. * DNAT - przekierowywanie połączenia na inny adres * SNAT - umożliwia zmianę adresu IP źródła pakietu. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  32. * LOG - logowanie informacji o pakietach - dmesg - (ang. display message) . * ULOG - umożliwia logowanie pakietów za pomocą programów przestrzeni użytkownika. * MASQUERADE - używana przy standardowym routingu. * REDIRECT - przy routingu - zamiast do przeznaczenia pakiet trafia na lokalny komputer. * REJECT - Przy pakietach icmp odpowiada wybranym typem odpowiedzi, przy innych protokołach działa jak DROP * ROUTE - podstawowe założenia Routingu (przez którą bramę sieciową / przez które urządzenie sieciowe wysłać pakiet). * TTL - umożliwia zmianę wartości TTL w pakiecie. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  33. iptables -P INPUT DROPiptables -A INPUT –p tcp --sport 80 -j ACCEPTiptables -A OUTPUT –p tcp --dport 80 -j ACCEPT iptables -P INPUT DROP blokujemy wszystko, co przychodzi do naszej maszyny. Najlepszy Firewall ? Rozbudowujemy nasz firewall. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  34. Drogi pakietów w iptables • Pakiet stworzony na lokalnym komputerze przez jeden z procesów odbędzie swoją drogę kolejno przez: • łańcuch OUTPUT tablicy mangle • łańcuch OUTPUT tablicy nat (tylko jeśli jest pakietem nawiązującym nowe połączenie) • łańcuch OUTPUT tablicy filter Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  35. Drogi pakietów w iptables • Pakiet, którego celem jest nasza lokalna maszyna, otrzymany z interfejsu sieciowego odbędzie swoją drogę przez: • łańcuch INPUT tablicy mangle • łańcuch INPUT tablicy filter Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  36. Drogi pakietów w iptables • Pakiet, którego celem nie jest nasza lokalna maszyna, a otrzymany został z jednego z interfejsów sieciowych odbędzie swoją drogę przez: • łańcuch PREROUTING tablicy mangle • łańcuch PREROUTING tablicy nat (tylko pakiet tworzący nowe połączenie) • łańcuch FORWARD tablicy mangle • łańcuch FORWARD tablicy filter • łańcuch POSTROUTING tablicy mangle • łańcuch POSTROUTING tablicy nat (tylko pakiet tworzący nowe połączenie) Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  37. Testowanie wprowadzonych reguł. Wyświetlanie na konsoli podczas wywołania iptables. Najczęściej używane to: • -n - wyświetla (przy listowaniu przez -L adresy IP hostów zamiast ich nazw (domyślnie iptables próbuje rozwiązać nazwy i wyświetlić nazwy hostów). • -v - przy listowaniu pokazuje ilość wysłanych/odebranych przez dany łańcuch pakietów i bajtów oraz domyślną politykę łańcucha. • --line-numbers - wyświetla (przy listowaniu przez -L) numery linii dla poszczególnych reguł. • -x podaje dokładne dane przy listowaniu liczby wysłanych/odebranych pakietów (domyślnie występiją zaokrąglenia).Przykład: iptables -L -v -x • -j CEL - bardzo przydatna opcja kierująca pakiety spełniające podaną regułę od od razu do CELU. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  38. Polityki Chain INPUT (policy ACCEPT /DROP) Chain FORWARD (policy ACCEPT /DROP) Chain OUTPUT (policy ACCEPT /DROP) Polityka to inaczej domyslny sposób postępowania z pakietem w danym łańcuchu. Jeśli żadna reguła nie określa zachowania danego Pakietu, bądź w łańcuchu nie ma reguł, to polityka łańcucha Definiuje sposób postępowania z pakietem. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  39. Tworzenie reguł. Przykłady reguł. iptables -A INPUT -p tcp  -s 0/0 --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp  -d 0/0 --dport 80 -j ACCEPT Zezwalamy na pakiety www iptables-A INPUT -s 192.168.0.15 --sport 22 -j ACCEPT iptables-A OUTPUT -s 192.168.0.15 --dport 22 -j ACCEPT zezwalamy na połączenia przychodzące ssh z maszyny o podanym adresie iptables -I INPUT 1 - p icmp d 127.0.0.1 -j DROP Zablokowanie pakietów ICMP dla adresu 127.0.0.1 Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  40. Tworzenie reguł. Przykłady reguł. Iptables –A INPUT –p tcp --sport 25 –j ACCEPT Iptables –A OUTPUT –p tcp --dport 25 –j ACCEPT Dopuszczenie ruchu na porcie 25 (smtp) dla maszyny lokalnej Iptables –A Prerouting –t nat –p tcp –dport 433 –j DNAT to 192.168.0.1:433 Reguła pozwalająca na dostęp do sieci zewnętrznej komputera z sieci wewnętrznej (podłączonego do interfejsu 192.168.0.1) na porcie 433 (używanego przez program skype). Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  41. Tworzenie reguł. Przykłady reguł. Iptables –A INPUT –p tcp --sport 6667:6669 –j ACCEPT Iptables –A OUTPUT –p tcp --dport 6667:6669 –j ACCEPT Dopuszczenie ruchu na portach od 6667 do 6669 (program IRC) dla maszyny lokalnej • Iptables –A INPUT –p tcp --sport 21 • Iptables –A OUTPUT –p udp --udp 53 • Zliczanie pakietów : • TCP przychodzących , na porcie 21 (FTP). • UDP przychodzących, na porcie 53 (DNS). Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  42. Zaproponuj reguły, które : • Dopuszczają ruch na porcie 8080, dla maszyny lokalnej, w • obie strony, tylko dla protokołu tcp. • 2. Blokują ruch na portach od 50 do 70, dla maszyny lokalnej, • w obie strony. • Blokują ruch przychodzący na porcie 22, protokół tcp, • z adresu 192.168.1.15. • Dopuszczają ruch wychodzący tylko dla protokołu tcp. • Dopuszczają ruch przychodzący i wychodzący tylko do • Protokołu udp. • Pozwalające na komunikację z serwerami DNS (port 53 UDP) • Pozwalające na komunikację na portach od 1550 do 1585, dla • Protokołu tcp. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  43. Dalsze sposoby określania warunków, jakie musi spełniać pakiet, aby Aktywować łańcuch. ·-p[!] protokółlub -- protocol [!] protokół Ustala regułę dla danego protokołu: TCP (możemy wpisać 6 w miejsce protokołu), UDP (17), ICMP (1) lub dla wszystkich protokołów: all (0). Jeśli użyjemy znak wykrzyknika ! to spowoduje to inwersje znaczenia, zatem p ! tcp będzie oznaczać regułę dla protokołów różnych od TCP. Przykład : -p tcp --[!] udp Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  44. ·      -S [!] adresIP , src [!] adresIP , source [!] adresIP Ustala regułę dla pakietów o adresie źródłowym adres IP, w który możemy wpisać pojedynczy adres (np. 192.168.0.1) lub zakres adresów (np. 192.168.0.0/24 lub 192.168.0.0/255.255.255.0). Podobnie jak wcześniej, znak ! dokonuje inwersji znaczenia. Przykład : -S 192.168.65.1 -S ! 192.168.4.4 -src 192.168.64.4 -source ! 192.168.55.5 Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  45. ·-d [!] adresIP , dst [!] adresIP , destination [!]adresIP Ustala regułę dla pakietów o adresie docelowym adresIP, zasady podobne jak wyżej Przykład : -d 212.77.100.101 -d ! 100.100.66.1 -dst 212.88.10.9 -dst ! 80.75.1.15 Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  46. iptables -t mangle -A OUTPUT -j TTL --ttl-set 126 Przykład urzycia tzn. celu – tutaj zniama wartości pola TTL w Pakiecie. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  47. ·         -i [!] interfejs , ininterface [!] interfejs ustala regułę dla danego interfejsu (np. eth0,eth1,ppp0) do którego pakiet przychodzi, znak ! oznacza inwersję znaczenia, stosowane wyłącznie dla łańcuchów INPUT, FORWARD i PREROUTING. Znak + oznacza wszystkie interfejsy podobne do danego, np. eth+ będzie oznaczać interfejs eth0, eth1, eth2, itp. ·         -o[!] interfejs , outinterface [!] interfejs ustala regułę dla interfejsu z którego pakiet wychodzi, stosowane wyłącznie dla łańcuchów OUTPUT, FORWARD, POSTROUTING. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  48. · -Sport [!] nr , sourceport [!] nr (tylko dla protokołów TCP, UDP) ustala regułę dla pakietów o numerze źródłowym portu nr. Możemy zamiast nr wpisać nazwę usługi (zostanie przeszukany plik /etc/services) jak i zakres portów oddzielany dwukropkiem, np sport 22:80 (dla portów 22, 23, ..., 80), sport ! :80 (dla portów 81, 82, ..., 65535) -dport [!] nr , destinationport [!] nr (dla protokołów TCP, UDP) ustala regułę dla pakietów o numerze docelowym portu nr. Zasady jak wyżej. Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  49. -tcp-flags [] Pozwala na dodawanie warunków w postaci ustawionych flag. -tcp-flags FIN,ACK FIN,ACK --tcp-flags RST RST Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

  50. Zaproponuj reguły, które : • Dopuszczają ruch na porcie 8080, dla maszyny lokalnej, w • obie strony, dla wszystkich protokołów prócz tcp. • 2. Blokują ruch na portach od 50 do 70, dla maszyny lokalnej, • w obie strony, przy ustawionych flagach : ACK i FIN • Blokują ruch przychodzący na porcie 22, protokół tcp, tylko • interfejsu eth1. • Dopuszczają ruch wychodzący tylko dla protokołu tcp i imcp. • Dopuszczają ruch przychodzący i wychodzący tylko do • Protokołu udp i dla każdego interfejsu z wyjątkiem ppp0 • Pozwalające na komunikację z usługą pracująca na portach • 8000:9000, na hoście o adresie 192.168.55.55 • Pozwalające na komunikację tylko z hostem 212.100.185.1 • Blokującą komunikację z hostem 80.85.67.1 Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

More Related