OpenBSD.

Transkrypt

1 OpenBSD Uniksopodobny system operacyjny Opracowany na Uniwersytecie kalifornijskim w Berkley Bazuje na BSD (Berkley Software Distribution) z lat 80 Wieloplatformowy (PC, Macintosh, Sun Sparc, Compaq Alpha) System dostepny nieodplatnie

2 System mozna uruchomic na komputerach klasy 386 jak i na nowoczesnych serwerach Przez wielu uznawany za najbezpieczniejszy system operacyjny Twórcy stawiaja na niezawodnosc, stabilnosc, bezpieczenstwo Inne systemy BSD: NetBSD, FreeBSD, Mac OS X, BSD/OX

3 Literatura: Ksiazka dostepna jest w bibliotece instytutowej (zakup na prosbe naszego Kola)

4 Zagadnienia: Instalacja Podstawowa konfiguracja Przykladowa siec Firewall konfiguracja, filtrowanie pakietów za pomoca systemu PF Proces kolejkowania

5 powody stosowanie kilku partycji: Partycja bezpiecznie ogranicza wielkosc plików dziennika Uniemozliwienie zapelnienia calego dysku Zapelnienie jednej partycji umozliwia latwe rozwiazanie problemu Partycje izoluja obszary z uszkodzonym systemem plików

6 Partycje: / (root) Partycja podstawowa, przechowuje pliki konfiguracyjne Umieszczona jako pierwsza(najszybszy dostep) Nie musi byc bardzo pojemna (np. 500MB)

7 /swap Partycja wymiany Przestrzen dyskowa traktowana jako pamiec wirtualna Pojemnosc 2 x pojemnosc pamieci fizycznej Przenoszenie bezuzytecznych danych z pamieci na dysk

8 Pozostale partycje: /temp - systemowa przestrzen na pliki tymczasowe /var zawiera czesto zmieniajace sie dzienniki serwera www, kolejki poczty, tymczasowe pliki uruchamialne, domyslna strone www itd.

9 Pozostale partycje: /usr przechowywane sa programy systemu operacyjnego, systemowy kod zródlowy, kompilatory, biblioteki /home prywatne pliki uzytkowników

10 Instalacja Kazdy z wymienionych katalogów tj. /root, /home, /tmp, /var, /usr, /swap zostal zamontowany na odzielnej partycji Caly system zaintalowany na odzielnej rozszerzonej partycji dysku Program GAG umozliwial nam wybór systemu operacyjnego

11 Konfiguracja interfejsu Ethernet: Z kazda z kart sieciowych zwiazany jest osobny plik konfiguracyjny: /etc/hostname.nazwa_interfejsu Komputer LAB_C z zainstalowanym OpenBSD posiadal 2 karty: xl0 oraz rl0, tak wiec pliki konfiguracyjne: /etc/hostname.xl0 /etc/hostname.rl0

12 Konfiguracja sieci w pracowni:

13 Konfiguracja interfejsu Ethernet: Wpis do /etc/hostname.nazwa_interfejsu: inet adres_ip maska_sieci adres_rozgloszeniowy opcje /etc/hostname.rl0: inet NONE NONE etc/hostname.xl0: inet NONE NONE

14 Konfiguracja interfejsu Ethernet: Wpisanie NONE w miejsce adresu rozgloszeniowego oznacza, ze system wyznaczy adres rozgloszeniowy na podstawie podanego adresu IP oraz maski Jesli komputer ma dzialac jako klient DHCP to w pliku /etc/hostname.rl0: nalezy wpisac slowo dhcp

15 Konfiguracja interfejsu Ethernet: Adres bramy domyslnej mozna podac w jednym wierszu w pliku /etc/mygate Konfiguracja DNS: edytujemy plik: etc/resolv.conf wpis: domain nazwa_domeny_do_której_podlaczony_jest_komputer nameserver adres_serwera_nazw

16 Filtrowanie pakietów firewall: system PF PF uruchamiany po starcie systemu po ustawieniu 2 zmiennych w pliku /etc/rf.conf: pf=yes pf_rules=/etc/pf.conf Wszystkie funkcje PF konfiguruje sie w pliku /etc/pf.conf

17 Funkcje pojawiajace sie w PF: Makra Tabele Opcje Normalizacja ruchu Sterowanie przepustowoscia Translacja Przekierowania Filtracja pakietów

18 Firewall format wprowadzanej reguly: pass in on nazwa_interfejsu proto protokól from any to adres port numer_portu keep state pass/block- slowo kluczowe, filtracja pakietów (przepusc, zablokuj) in/out kierunek przeplywu pakietów (in oznacza ruch wchodzacy do chronionej sieci) on nazwa_interfejsu wskazuje interfejs przez który przechodza pakiety (np. rl0, xl0) przyklad dalszej czesci: protokól TCP, UDP from any to port 22 keep state wskazanie iz nalezy przechowywac informacje o stanie tego polaczenia

19 Konfiguracja firewalla: W pliku /etc/services mamy zawarty spis uslug wraz z numerami portów np.:ssh 22 telnet 23 smtp 25 www 80 pop3 110 Zaladowanie regul z pliku /etc/pf.conf poleceniem: #pfctl f /etc/pf.conf (control the packet filter and network address translation)

20 Przykladowy wpis do PF: pass in on xl0 proto tcp from to any port 22 Powyzszy zapis oznacza, ze firewall bedzie przepuszczal pakiety do routera (z Lab_D) zwiazane z protokolem ssh, przez interfejs xl0 ( ) na porcie 22

21 PF Operatory logiczne: =,!=, <,<=,>,<=,<>,>< np. pass in proto tcp from any to any port 5000><6000 regula zezwala na przesylanie pakietów TCP do dowolnego portu powyzej 5000, ale ponizej Nawiasy klamrowe sluza do laczenia wpisów w jeden np. pass in proto {tcp, udp} from any to any port 53

22 PF makra To zmienne, które mozna definiowac na potrzeby regul Korzystajac z makra ewentualne zmiany wprowadzamy tylko w jednym miejscu Przyklad: External_if= xl0 Internal_ip= rl0 Block in on $External_if from $Internal_ip

23 PF tabele: Przechowuja dlugie listy adresów sieciowych (np. róznych zródel spamu) Dzialaja szybciej niz wpisy w nawiasach klamrowych Mozna je uruchamiac takze podczas pracy systemu Definicja tabeli: table <nazwa_tabeli> {adresy}

24 PF tabele: Przyklad: table <spam> { /16, /24} Liste adresów do umieszczenia w tabeli mozna zapisac w pliku zewnetrznym; pobranie listy z pliku: table<spam> file /etc/plik1 (w pliku kazdy adres zapisujemy w oddzielnej linii, znaki # oznaczaja komentarz)

25 Regulacja przepustowoscia Jedna z funkcji zapór sieciowych Udostepnianie czesc pasma dla okreslonego zadania Rezerwowanie miejsca dla szczególnie waznych funkcji System PF zawiera system zarzadzania przepustowoscia ALTQ

26 Kolejki ALTQ zarzadza dostepnym pasmem za pomoca kolejek Kolejka jest jakby lista pakietów oczekujacych na przetworzenie Caly ruch sieciowy mozna podzielic na rózne kolejki, które reguluja przepustowosc serwera Korzystaja z algorytmu FIFO Mozliwosc kolejkowania opartego o priorytety (PRIQ) lub kolejkowania opartego o klasy (CBQ) PRIQ i CBQ wzajemnie sie wykluczaja i nie mozna ich jednoczesnie uaktywnic na jednym interfejsie

27 Kolejkowanie oparte o klasy W przypadkach, kiedy trzeba wplywac na dostepnosc pasma Alokowanie okreslonych przedzialów pasma dla pakietów róznego typu poprzez system hierarchicznych klas Kazda klasa ma swoja wlasna kolejke o niezaleznej charakterystyce Róznego rodzaju ruch sieciowy mozna przypisywac do róznych klas (np. ruch zwiazany z ssh do jednej klasy, z http do innej klasy) Mozliwosc pozyczania pasma od klas znajdujacych sie wyzej w hierarchii (jesli jest dostepne)

28 Opcje kolejek Default Control RED ECN Borrow Obydwa systemy: PRIQ oraz CBQ wymagaja utworzenia kolejki nadrzednej definiujacej podstawowe parametry regulacji przeplywu danych

29 Opcje kolejek Default i Control Kolejka nadrzedna moze miec tylko jedna kolejke podrzedna default funkcja domyslnej kolejki, gdy dany pakiet nie jest przydzielony do zadnej innej kolejki Kolejka typu Control uzywana jest przez pakiety kontrolne jak ICMP, IGMP

30 RED jest mechanizmem wczesnego wykrywania przepelnienia kolejki; gdy kolejka sie zapelni, pakiety zaczna byc pomijane ECN jest uzupelnieniem RED jest mechanizmem jawnego powiadomienia o przeciazeniu; wysylanie do urzadzen znajdujacych sie na drodze pomiedzy serwerem a klientem informacji o przeciazeniach wystepujacych w sieci i koniecznosci zmniejszenia ilosci przesylanych miedzy nimi pakietów Opcje kolejek RED oraz ECN

31 Opcje kolejek Borrow Tylko w powiazaniu z CBQ, dzieki tej opcji kolejka moze pozyczyc pasmo z kolejki nadrzednej (jesli dostepne) Pozyczona nadwyzka jest zwracana w momencie ponownego zwiekszenia natezenia ruch w kolejce nadrzednej

32 altq on slowo kluczowe bandwidth calkowita przepustowosc kolejki nadrzednej qlimit liczba pakietów przetrzymywanych w kolejce (domyslnie 50) tbrsize (opcjonalnie) jak szybko pakiety maja byc usuwane z kolejki queue lista kolejek podrzednych Konfiguracja kolejki nadrzednej altq on nazwa_intrerfejsu typ_kolejki bandwidth pasmo qlimit limit tbrsize rozmiar_tbr queue {kolejka2, kolejka3}

33 Definiowanie kolejek priorytetowych PRIQ Przyklad: Kolejka nadrzedna: altq on rl0 priq bandwidth 100Mb queue {ssh, other} Definicje kolejek podrzednych: queue nazwa_kolejki priority priorytet priq (opcje) priority od 0 do 15 (0-brak priorytetu, 15 max. priorytet) opcje np. RED, default

34 Definiowanie kolejek opartych na klasach Przyklad: Kolejka nadrzedna: altq on rl0 cbq bandwidth 100Mb queue {kolejka, kolejka2} Definicje kolejek podrzednych: queue nazwa_kolejki bandwidth pasmo priority priorytet cbq (opcje) {kolejka_podrzedna4, kolejka_podrzedna5} queue kolejka_podrzedna_4 bandwidth 5% prioryty 7 cbq(borrow) Priority(opcjonalnie) od 0 do 7 (0-brak priorytetu, 7 max. priorytet) Opcje(opcjonalnie) np. RED, default

35 Kolejkowanie przyklad w laboratorium Przydzielenie przepustowosci dwu sieciom LAN Kolejkowanie oparte o klasy

36 Kolejkowanie przyklad w laboratorium zawartosc PF Definicje kolejek: altq on rl0 cbq bandwidth 896Kb queue {lab_b, lab_h} queue lab_b bandwidth 768Kb cbq (red ecn) queue lab_h bandwidth 128Kb cbq (default red ecn)

37 Kolejkowanie przyklad w laboratorium zawartosc PF Przypisanie ruchu do kolejek: Pass in proto tcp from any to keep state queue lab_b Pass in proto tcp from any to keep state queue lab_h

38 DZIEKUJE ZA UWAGE Przygotowal: Lukasz Ogrodowczyk