Zapory sieciowe i techniki filtrowania danych

Podobne dokumenty
Zapory sieciowe i techniki filtrowania.

Instalacja i konfiguracja pakietu iptables

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Router programowy z firewallem oparty o iptables

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

iptables/netfilter co to takiego?

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Tomasz Greszata - Koszalin

Wykład 3 Filtracja i modyfikacja pakietów za pomocą iptables.

Sieci Komputerowe Translacja adresów sieciowych

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej.

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy

Iptables. Krzysztof Rykaczewski. 15/11/06 1

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

ZiMSK NAT, PAT, ACL 1

Co to jest iptables?

Zarządzanie bezpieczeństwem w sieciach

Translacja adresów - NAT (Network Address Translation)

MASKI SIECIOWE W IPv4

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Iptables informacje ogólne

Systemy programowych zapór sieciowych (iptables)

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Zadania do wykonania Firewall skrypt iptables

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

NAT (Network Address Translation)

Tomasz Greszata - Koszalin

Sieci komputerowe - administracja

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Bezpieczeństwo w M875

Adresy w sieciach komputerowych

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Najprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa.

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

NAT/NAPT/Multi-NAT. Przekierowywanie portów

CONFidence 13/05/2006. Jarosław Sajko, PCSS

Firewalle, maskarady, proxy

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Podstawy bezpieczeństwa

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

Tworzenie maszyny wirtualnej

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Warsztaty z Sieci komputerowych Lista 9

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Firewall bez adresu IP

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Wprowadzenie. Co to jest klaster? Podział ze względu na przeznaczenie. Architektury klastrów. Cechy dobrego klastra.

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PODSTAWY RUTINGU IP. WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r.

Zdalne logowanie do serwerów

pasja-informatyki.pl

Konfiguracja zapory sieciowej na routerze MikroTik

9. System wykrywania i blokowania włamań ASQ (IPS)

Warsztaty z Sieci komputerowych Lista 8

Firewalle, maskarady, proxy

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

Marta Rybczyńska Nowy atak na systemy anonimowości

Przesyłania danych przez protokół TCP/IP

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Filtrowanie stateful inspection w Linuksie i BSD

Wprowadzenie do zagadnień związanych z firewallingiem

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

9. Zapory sieciowe (firewall) i translacja adresów

Teletransmisja i sieci komputerowe 2

Zapora systemu Windows Vista

Konfiguracja UTM. Kroki konfiguracji UTM:

Sterowanie ruchem w sieciach szkieletowych

Serwer proxy Squid. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Bezpieczeństwo systemów komputerowych

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

BRINET Sp. z o. o.

Sieci VPN SSL czy IPSec?

7. Konfiguracja zapory (firewall)

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Sieci komputerowe i bazy danych

4. Podstawowa konfiguracja

Co w sieci piszczy? Programowanie aplikacji sieciowych w C#

Puk, puk! Kto tam? Eeeee... Spadaj!

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

ZiMSK. Routing statyczny, ICMP 1

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

Zarządzanie ruchem w sieci małego ISP Michał Prokopiuk

Bazy Danych i Usługi Sieciowe

Egzamin : administrowanie systemem Windows Server 2012 R2 / Charlie Russel. Warszawa, Spis treści

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Opracowany na podstawie

Projektowanie i implementacja infrastruktury serwerów

Firewall'e. Cele firewalli

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

Linux. iptables, nmap, DMZ

Transkrypt:

Zapory sieciowe i techniki filtrowania danych Robert Jaroszuk <zim@iq.pl> Where you see a feature, I see a flaw... Zimowisko TLUG Harcerski Ośrodek Morski w Pucku, styczeń 2008

Spis Treści 1 Wprowadzenie Kiedy i dlaczego stosujemy zapory sieciowe? Mechanizmy działania zapór sieciowych Systemy pośredniczące (proxy) Kilka przykładów konfiguracji iptables

Wprowadzenie 2 Zapora sieciowa (ang. firewall) każdy program lub urządzenie, ograniczające korzystanie z sieci. Termin pochodzi (m.in.) z budownictwa (USA) zapora przeciwpożarowa

Kiedy i dlaczego stosujemy zapory? 3 Zapory sieciowe stosujemy, gdy chcemy: zapewnić bezpieczny dostęp do sieci publicznej (np. Internet) użytkownikom sieci prywatnej zapewnić ochronę sieci prywatnej przed nieupoważnionym dostępem z sieci publicznej blokować całkowicie lub częściowo dostęp do określonych miejsc w sieci publicznej

Kiedy i dlaczego stosujemy zapory? 4 Zapory sieciowe stosujemy, gdy chcemy: monitorować komunikację pomiędzy sieciami (np. między siecią prywatną a Internetem) rejestrować całość lub interesującą nas część ruchu pomiędzy sieciami uczynić zasoby sieci niewidocznymi z zewnątrz uczynić topologię sieci niewidoczną z zewnątrz

Mechanizmy działania 5 Strategie definiowania polityki zapory sieciowej domyślne blokowanie A FORWARD s 192.168.0.0/24 d 0/0 dport 80 j ACCEPT A FORWARD s 192.168.0.0/24 d 0/0 j DROP lub: P FORWARD DROP domyślne przepuszczanie P FORWARD ACCEPT (tak jest domyślnie) A FORWARD s 192.168.0.0/24 d 0/0 dport 21 j DROP.. A FORWARD s 192.168.0.0/24 d 0/0 dport 995 j DROP

Mechanizmy działania 6 Podstawowe mechanizmy działania zapór sieciowych filtrowanie pakietów translacja adresów IP (NAT) usługi proxy

Mechanizmy działania 7 Filtrowanie pakietów Filtrowanie pakietów jest podstawową funkcją zapory sieciowej. Filtrowanie polega na analizie pakietów docierających do zapory i kontrolowaniu które pakiety mogą zostać przepuszczone a które mają zostać zatrzymane.

Mechanizmy działania 8 Filtrowanie pakietów Może odbywać się na podstawie: analizy źródłowego i docelowego adresu analizie numerów portów analizie flag w rozszerzonych wersjach zapór może dochodzić: analiza zawartości pakietu reguły oparte o czas, quoty ruchu, analiza wartości TTL, wiele innych

Mechanizmy działania 9 Filtrowanie pakietów (poziomy) Wyróżnić można następujące poziomy filtrowania: warstwa sieci (adresacja MAC) warstwa IP warstwa transportowa (porty) warstwa aplikacji

Mechanizmy działania 10 Filtrowanie pakietów (sposoby) filtrowanie proste analiza źródłowego i docelowego adresu IP oraz portu. filtrowanie zaawansowane tzw. filtry dynamiczne posiadają możliwość rozpoznawania przynależności pakietu do połączenia.

Mechanizmy działania 11 Filtrowanie pakietów (konfiguracja) przygotowanie polityki bezpieczeństwa określenie co przepuszczamy a co blokujemy przepisanie polityki bezpieczeństwa na zestaw logicznych wyrażeń przepisanie logicznych wyrażeń na składnię danej zapory sieciowej

Mechanizmy działania 12 Filtrowanie pakietów (zalety) możliwość zabezpieczenia sieci prywatnej z jednego centralnego punktu możliwość wykrycia i odrzucenia nieporządanego ruchu możliwość wykrycia spoofingu z sieci lokalnej

Mechanizmy działania 13 Filtrowanie pakietów (wady) przygotowanie bardziej rozbudowanej polityki bezpieczeństwa dla zapory nie jest łatwym zadaniem dodatkowe zadanie dla routera (przy kilkudziesięciu Mbps ruchu obciążenie jest już zauważalne) W przypadku popełnienia błędu w konfiguracji może być trudno go znaleźć

Mechanizmy działania 14 Translacja adresów Translacja adresów NAT (ang. Network Address Translation) pozwala na używanie innych adresów IP w sieci prywatnej, a innych w publicznej. Podstawową zaletą jest możliwość zbudowania rozległej sieci prywatnej za jednym routerem, posiadającym np. jeden publiczny adres IP.

Mechanizmy działania 15 Translacja adresów

Mechanizmy działania 16 Translacja adresów (metody) Wyróżniamy dwie metody działania NAT: statyczna dla każdego adresu sieci prywatnej przydzielony jest konkretny adres sieci publicznej dynamiczna dla grupy adresów, lub dla całej sieci prywatnej przydzielony jest jeden lub więcej adres publiczny.

Mechanizmy działania 17 Translacja adresów (zalety) możliwość zbudowania rozległej sieci, posiadając ograniczoną ilość publicznych adresów IP. oszczędność publicznych klas adresowych (RIPE bardzo niechętnie rozdaje adresy IP, providerzy podobnie).

Mechanizmy działania 18 Translacja adresów (wady i problemy) NAT może być problemem jeśli chcemy korzystać z IPsec, ponieważ nagłówek może być szyfrowany, i/lub sprawdzana jest jego suma kontrolna. W przypadku bardziej skomplikowanych protokołów (np. FTP) NAT musi go rozumieć, aby prawidłowo tłumaczyć ukryte w nich adresy IP.

Serwery proxy 19 Systemy pośredniczące Systemy pośredniczące są to systemy, które mają dostęp zarówno do sieci prywatnej jak i publicznej. Realizują funkcję pośredniczącą pomiędzy obiema sieciami. Nazywane są także serwerami proxy. Nie należy mylić ich z routerami.

Serwery proxy 20 Systemy pośredniczące mają bezpośredni dostęp do sieci zewnętrznej izolują tym samym sieć prywatną są narażone na bezpośredni atak z zewnątrz, dlatego muszą być dobrze zabezpieczone umożliwiają uwierzytelnianie na poziomie użytkownika nie są routerami ani firewallami

Serwery proxy 21 Systemy pośredniczące działają w warstwie aplikacji mogą być uniwersalne (obwodowe) albo przeznaczone dla konkretnego rodzaju ruchu mogą buforować dane (cache serwery) mogą posiadać funkcję rejestracji zdarzeń, kontroli dostępu oraz wiele innych.

Przykłady konfiguracji iptables 22 moduł multiport Otwieramy dla świata kilka usług: A INPUT i eth0 p tcp m state state NEW dport 22 j ACCEPT A INPUT i eth0 p tcp m state state NEW dport 25 j ACCEPT A INPUT i eth0 p tcp m state state NEW dport 80 j ACCEPT A INPUT i eth0 p tcp m state state NEW dport 443 j ACCEPT Zamiast pisać 4 regułki, możemy użyć modułu multiport i napisać jedną: A INPUT i eth0 p tcp m state state NEW m multiport dports 22,25,80,443 j ACCEPT

Przykłady konfiguracji iptables 23 Load Balancing #1 moduł nth A PREROUTING i eth0 p tcp dport 80 m state state NEW m nth counter 0 every 3 packet 0 j DNAT to destination 192.168.1.2:80 A PREROUTING i eth0 p tcp dport 80 m state state NEW m nth counter 0 every 3 packet 1 j DNAT to destination 192.168.1.3:80 A PREROUTING i eth0 p tcp dport 80 m state state NEW m nth counter 0 every 3 packet 2 j DNAT to destination 192.168.1.4:80

Przykłady konfiguracji iptables 24 Load Balancing #2 moduł random A PREROUTING i eth0 p tcp dport 80 m state state NEW m random average 33 j DNAT to destination 192.168.1.2:80 A PREROUTING i eth0 p tcp dport 80 m state state NEW m random average 50 j DNAT to destination 192.168.1.3:80 A PREROUTING i eth0 p tcp dport 80 m state state NEW j DNAT to destination 192.168.1.4:80

Przykłady konfiguracji iptables 25 Limitowanie ilości połączeń moduły connlimit, limit Limitowanie ilości jednoczesnych połączeń do wybranego hosta: A FORWARD p tcp s 0/0 dport 80 d 192.168.1.2 m connlimit connlimit above 600 j REJECT Limitowanie ilości połączeń do hosta w danej jednostce czasu: A FORWARD p tcp i eth1 o eth0 m multiport dports 80,443 m state state NEW m limit limit 60/hour limit burst 5 j ACCEPT

Przykłady konfiguracji iptables 26 Blokowanie pakietów zawierających określony ciąg znaków moduł string A FORWARD i eth0 p tcp m string string 'Lepper' j DROP

Przykłady konfiguracji iptables 27 Blokowanie w oparciu o czas moduł time A FORWARD i eth1 o eth0 p tcp dport 873 m time timestart 02:00 timestop 04:00 j ACCEPT

Przykłady konfiguracji iptables 28 Blokowanie w oparciu o ilość przesłanych danych moduł quota A FORWARD i eth0 o eth1 d 192.168.1.2 m quota quota 2147483648 j ACCEPT A FORWARD i eth0 o eth1 d 192.168.1.2 j REJECT Monitorowanie: iptables v L

Koniec 29 Dziękuję za uwagę. Pytania?

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres