1 / 19

Einrichtung und Installation von Firewalls unter openSuse 11.0 mit iptables

Einrichtung und Installation von Firewalls unter openSuse 11.0 mit iptables. Präsentation zur Projektgruppe Firewall Oliver Enns und Patrick Scheel. FHDW Hannover, 03.06.2009. Präsentationsübersicht. Projektziel Entwurf Netzwerkarchitektur Projektumgebung Konfiguration der VM

aletta
Download Presentation

Einrichtung und Installation von Firewalls unter openSuse 11.0 mit iptables

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Einrichtung und Installation von Firewalls unter openSuse 11.0 mit iptables Präsentation zur Projektgruppe Firewall Oliver Enns und Patrick Scheel FHDW Hannover, 03.06.2009

  2. Präsentationsübersicht • Projektziel • Entwurf Netzwerkarchitektur • Projektumgebung • Konfiguration der VM • Installation openSuse 11.0 • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick

  3. Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Projektziel • Festlegung der IP-Adressierung/Ports für die Server/Dienste in der DMZ • Installation und Einrichtung von zwei Firewall-Systemen: Firewall „Innen“ und Firewall „Außen“ • Routingregeln einrichten • Entwurf eines Regelkonzeptes für die Firewallsysteme • Installation der Firewallregeln • Entwicklung von Skripten zum Starten und Stoppen der Firewalls • Realisierung eines Konzepts zum Schutz des Clientnetzwerks der Klasse 1a (192.168.10.0/24)

  4. Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Projektziel Unterschiede Gemeinsamkeiten

  5. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Entwurf Netzwerkarchitektur • Einsatzort: Schulnetzwerke • Zwei Firewalls: „Außen“ und „Innen“ • Trennung von Internet und DMZ und DMZ von Clientnetzwerk • DMZ: Class A Netzwerk mit 10.0.0.0/24 - Netzwerk • Client-Netzwerk: Class C Netz mit 192.168.10.0/24 -Netz für eine Klasse

  6. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Entwurf Netzwerkarchitektur • IP-Adressierung der Server/Dienste:

  7. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Projektumgebung • Firewalls werden auf virtuellen Maschinen installiert • Als virtuelle Plattform wird VMware Server Version 1.0.8 eingesetzt • Basisbetriebssystem ist openSuse 11.0 32-Bit Version, Linuxkernel 2.6 • Grundlage der Firewall bildet netfilter/iptables Version 1.4.0

  8. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Konfiguration der VM • Eine virtuelle Maschine für jede Firewall • Jedes System erhält zwei Netzwerkkarten

  9. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Installation openSuse 11.0 • openSuse 11.0 32-Bit Version, aktuell und gepatcht • Standardinstallation mit grafischer Oberfläche (KDE) • Installation zusätzlicher Pakete für Netzwerkanalyse (iptraf) • Deaktivierung der Pakete für SuseFirewall2 • Einrichtung der Netzwerkeinstellungen und Routingtabellen mit Suse YAST

  10. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Regelkonzept

  11. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick iptables • iptables seit der Kernelversion 2.4 im Kernel integriert • iptables ist eine Erweiterung von ipfwadm (Kernel 2.0) und ipchains (Kernel 2.2) mit der Stateful Packet Inspection Funktionalität • Grundkonzept besteht aus Tabellen, Ketten (Chains) und Regeln • Eine Tabelle beinhaltet Ketten • Eine Kette beinhaltet Regeln Tabelle 1 Kette 1 Regel 2 Regel 3 Regel 1 Kette 2 Regel 1 Kette n Regel 1 Regel 2

  12. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick iptables • Verwaltung der Regeln und Ketten in den Basistabellen: • filter, mangle, nat • Fünf Basischains, deren Funktionen vordefiniert sind: • INPUT • OUTPUT • FORWARD • PREROUTING • POSTROUTING • Jedes ankommende und ausgehende Datenpaket wird in den Tabellen und deren Ketten ausgewertet

  13. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick iptables

  14. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick iptables • Die Auswertung erfolgt in den Regeln der jeweiligen Ketten • Die Regeln einer Kette werden nach dem Top-Down-Prinzip abgearbeitet • Aufbau und Struktur der Regeln nach dem Prinzip: • WENN (Filteroption) DANN Aktion • REJECT • DROP • ACCEPT • LOG • DNAT • SNAT • MASQUERADE • REDIRECT • Die Default-Policy tritt als letzte Regel in Kraft, falls keine vorherige Regel zutraf: • DROP oder ACCEPT

  15. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Firewall Startskript • Einstellungen der Firewall gehen beim Neustart des Systems verloren • Startskript sorgt dafür, das Firewallregeln während des Neustarts wieder festgelegt werden: • rcfirewall start • Stopskript ermöglicht das „Öffnen“ des Systems z.B. für Konfigurations- und Testzwecke: • rcfirewall stop

  16. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Fazit • Default Policys: Es wird alles geblockt, was nicht explizit zugelassen ist • Serversysteme innerhalb der DMZ können untereinander kommunizieren • Zugriff auf Wirtsmaschine über Internet via SSH • Für folgende Dienste wurden Regeln definiert: • Proxy • Mailserver • DHCP/DNS-Server • Webserver • Clientsysteme können untereinander kommunizieren • Clientsysteme haben Zugriff auf Internet via Proxy (http-Port) und DNS • DHCP-IP-Adressierung der Clients aus dem DMZ-Netz • Loggingmechanismus implementiert • Überprüfung von Datenpaketen auf ungültige TCP-Flag-Kombinationen • Es existiert ein Firewallsystem für das Clientnetzwerk „Klasse 1a“

  17. Projektziel• Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick Ausblick • Hinzufügen der fehlenden Firewallregeln für • Email • LDAP • OPSI • Fileserver • Grafische Darstellung von Log-Einträgen • z.B. durch Anzeige in Browsern oder externen Clients • Modularisierung des Firewall-Regel-Skriptes • Aufteilung der Skripte nach Diensten • Für jeden Dienst können individuell Regeln hinzugefügt oder gelöscht werden

  18. Vielen Dank für Ihre Aufmerksamkeit!

  19. Praktische Präsentation • DHCP – Test • ICMP – Test / DNS-Auflösung • Zugriff auf lokalen Webserver • Zugriff vom Client über Proxy nach Internet • Proxy abgeschaltet >> kein Zugang möglich • SSH Zugriff beider Firewalls nur EXT-Interface • Start- und Stopskript

More Related