Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Podobne dokumenty
Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

iptables/netfilter co to takiego?

Wykład 3 Filtracja i modyfikacja pakietów za pomocą iptables.

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Instalacja i konfiguracja pakietu iptables

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Iptables informacje ogólne

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Co to jest iptables?

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Router programowy z firewallem oparty o iptables

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Najprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa.

Sieci Komputerowe Translacja adresów sieciowych

Warsztaty z Sieci komputerowych Lista 8

Warsztaty z Sieci komputerowych Lista 9

Iptables. Krzysztof Rykaczewski. 15/11/06 1

Linux. iptables, nmap, DMZ

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Zapory sieciowe i techniki filtrowania danych

Zarządzanie bezpieczeństwem w sieciach

CONFidence 13/05/2006. Jarosław Sajko, PCSS

Tomasz Greszata - Koszalin

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej.

Systemy programowych zapór sieciowych (iptables)

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Bezpieczeństwo w M875

Konfiguracja zapory sieciowej na routerze MikroTik

Zarządzanie ruchem w sieci małego ISP Michał Prokopiuk

Filtrowanie stateful inspection w Linuksie i BSD

Ściana ogniowa w systemie operacyjnym LINUX. Autor: Gładysz Krystian IVFDS

Zadania do wykonania Firewall skrypt iptables

eth /30 eth1 eth /30 eth /30 Serwer IPERF

Zapora systemu Windows Vista

Bezpieczeństwo Systemów Telekomunikacyjnych 2014 / 2015 Bezpieczeństwo aplikacji sieciowych, Ataki (D)DoS Prowadzący: Jarosław Białas

Teletransmisja i sieci komputerowe 2

Podstawy administracji systemu Linux

7. Konfiguracja zapory (firewall)

Tomasz Greszata - Koszalin

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Firewall bez adresu IP

Listy dostępu systemu Cisco IOS

Firewalle do zastosowań domowych

4. Podstawowa konfiguracja

Oryginał tego dokumentu znajduje się pod adresem: HOWTO/index.html

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Bezpieczeństwo sieci. Sieci komputerowe. Wykład 13. Marcin Bieńkowski

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

Filtrowanie stateful inspection w Linuksie i BSD

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Sieci komputerowe laboratorium

Przypisywanie adresów IP do MAC-adresów

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Konfiguracja i uruchomienie usługi Filtry adresów IP dla użytkowników Centrum Usług Internetowych dla Klientów Banku Spółdzielczego w Łęcznej.

Laboratorium Sieci Komputerowych - 2

Tworzenie maszyny wirtualnej

Puk, puk! Kto tam? Eeeee... Spadaj!

Serwer proxy Squid. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

netfilter/iptables FAQ

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Laboratorium - Wykorzystanie programu Wireskark do badania ramek Ethernetowych

Program dla praktyki lekarskiej

Filtrowanie pakietów w Linuksie 2.4


Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Ping. ipconfig. getmac

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

SELinux. SELinux Security Enhanced Linux. czyli. Linux o podwyższonym bezpieczeństwie

9. System wykrywania i blokowania włamań ASQ (IPS)

Gniazda surowe. Bartłomiej Świercz. Łódź,9maja2006. Katedra Mikroelektroniki i Technik Informatycznych. Bartłomiej Świercz Gniazda surowe

Jak blada twarz psuje serwer HTTP? Kamil Porembiński thecamels.org

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Wprowadzenie do obsługi systemu IOS na przykładzie Routera

Gniazda UDP. Bartłomiej Świercz. Łódź, 3 kwietnia Katedra Mikroelektroniki i Technik Informatycznych. Bartłomiej Świercz Gniazda UDP

Przesyłania danych przez protokół TCP/IP

1.1 Ustawienie adresów IP oraz masek portów routera za pomocą konsoli

Bezpieczeństwo sieci. Sieci komputerowe. Wykład 13. Marcin Bieńkowski

Konfigurowanie PPP dla Windows 7

Konfiguracja zapory Firewall w systemie Debian.

ZABEZPIECZENIE PRZED ZMIANĄ ADRESU IP PRZEZ UŻYTKOWNIKA Andrzej Angowski UCI, UMK Toruń

Projektowanie bezpieczeństwa sieci i serwerów

Załącznik D. Iproute2 i Wireless Tools

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Rysunek 1: Okno z lista

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A

Bezpieczeństwo systemów komputerowych. Laboratorium 1

Filtr danych przychodzących

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Co to jest BCD? Jak możemy edytować magazyn BCD?

Firewalle, maskarady, proxy

ARP Address Resolution Protocol (RFC 826)

Wykaz zmian w programie SysLoger

FAQ: /PL Data: 19/11/2007 Programowanie przez Internet: Przekierowanie portu na SCALANCE S 612 w celu umo

Sieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP

Transkrypt:

Sieci komputerowe Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Sieci Komputerowe, T. Kobus, M. Kokociński 2 Filtracja pakietów w Linuksie Netfilter część jądra systemu operacyjnego Linux pozwalająca na kontrolę ruchu sieciowego. Do kontroli mechanizmów netfilter służą następujące programy: - iptables - ip6tables - ebtables - arptables Projekty związane z mechanizmem filtracji pakietów w Linuksie funkcjonują w ramach Netfilter project.

Sieci Komputerowe, T. Kobus, M. Kokociński 3 Proces filtracji pakietu (1) Na różnych etapach przechodzenia pakietu przez jądro Linuksa, aplikowane są kolejne filtry. Filtry pogrupowane są w tabele (tables) grupujące różne funkcjonalności: - filter odrzuca niechciane pakiety, - nat zmienia adresy źródłowe lub docelowe pakietu - mangle modyfikuje pakiety, - raw udostępnia pakiety przed ich przetworzeniem przez część kernela (np. w trybie śledzenia połączeń (conntrack)), - security używana przy zaawansowanych modelach bezpieczeństwa w Linuksie (np. SELinux).

Sieci Komputerowe, T. Kobus, M. Kokociński 4 Proces filtracji pakietu (2) Każda z tablic ma wbudowany zestaw łańcuchów reguł odpowiadających etapom ich aktywacji: - filter: INPUT, FORWARD, OUTPUT, - nat: PREROUTING, OUTPUT, POSTROUTING, - mangle: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING, - raw: PREROUTING, OUTPUT. Można tworzyć własne łańcuchy, ale mogą one być uruchomione tylko przez dołączenie ich do już istniejących. Jądro Linuksa jest zaopatrzone w mechanizm śledzenia połączeń (conntrack). Korzystanie z tego mechanizmu często znacznie ułatwia konfigurację filtracji pakietów.

Sieci Komputerowe, T. Kobus, M. Kokociński 5 Proces filtracji pakietu (3) JK: I tak ten rysunek zawiera nieścisłości.

Proces filtracji pakietu (4) Sieci Komputerowe, T. Kobus, M. Kokociński 6

Sieci Komputerowe, T. Kobus, M. Kokociński 7 Konfiguracja filtrów (1) Reguły są przetwarzane w kolejności jeśli któraś reguła zadecyduje o losie pakietu, późniejsze nie są brane pod uwagę. Komenda iptables wszędzie rozróżnia wielkie i małe litery. Kolejność argumentów jest istotna! Typowe wywołanie komendy: iptables [-t tablica] [opcja + łańcuch + parametry pakietu] [-j akcja] Operacje w ramach akcji: - ACCEPT przepuszczenie pakietu, - DROP ignorowanie pakietu, - REJECT odrzucenie pakietu (symuluje zamknięte gniazdo), - inne akcje, np. LOG, MARK, SET.

Sieci Komputerowe, T. Kobus, M. Kokociński 8 Konfiguracja filtrów (2) Wypisywanie reguł: - iptables [-t filter] -L - iptables -t <tablica> -L - iptables [-t <tablica>] -L -n -v -x --line-numbers Zmiana domyślnego zachowania (tj. jeśli żadna inna reguła nie określi działania): - iptables [-t filter] -P <łańcuch> <polityka> - zwykle stosowane polityki to ACCEPT lub DROP # iptables -P INPUT DROP

Sieci Komputerowe, T. Kobus, M. Kokociński 9 Modyfikacja reguł: Konfiguracja filtrów (4) - iptables -A <łańcuch> <reguła> dodawanie (--append) reguły do łańcucha, - iptables -I <łańcuch> [pozycja] <reguła> wstawianie (--insert) reguły do łańcucha na daną pozycję, - iptables -D <łańcuch> <reguła>/<nr> usuwanie (--delete) reguły z łańcucha z podanej pozycji, - iptables -F [łańcuch] usuwanie wszystkich reguł [z łańcucha] (--flush), - iptables -Z [łańcuch] resetowanie (--zero) liczników łańcucha. # iptables -A INPUT -s 1.2.3.4 -j ACCEPT # iptables -I INPUT 1 -s 1.2.3.4 -j ACCEPT # iptables -D INPUT 2 # iptables -D INPUT -s 1.2.3.4 -j ACCEPT # iptables -F INPUT

Sieci Komputerowe, T. Kobus, M. Kokociński 10 Konfiguracja filtrów (5) Rdzeń iptables zawiera niewiele filtrów, m.in. źródłowy i docelowy adres (-s, -d), interface (-i, -o) i protokół (-p). Wiecej: man iptables. Filtry można negować przez użycie znaku wykrzyknika!. Komenda iptables ma rozbudowaną pomoc wewnętrzną po napotkaniu --help przerwie dodawanie reguły i pokaże listę opcji. # iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT # iptables -A INPUT -i wlan0 -s 192.168.55.0/24 -j REJECT # iptables -I INPUT -p tcp --help

Sieci Komputerowe, T. Kobus, M. Kokociński 11 Konfiguracja filtrów (6) Wiele funkcji dostępnych jest poprzez rozszerzenia, ładowane przez -m <nazwa> (patrz teżman iptables-extensions): - -m tcp/udp jest automatycznie ładowany razem z -p udp/tcp; pozwala ustalić m.in. port źródłowy i docelowy --sport/--dport, - -m conntrack wybiera stan połączenia --ctstate, m.in.: INVALID, NEW, ESTABLISHED, RELATED, - -m comment pozwala na dowolny komentarz --comment, - -m limit dzięki --limit ogranicza liczbę pakietów na jednostkę czasu, - -m time pozwala włączyć regułę o --datestart i wyłączyć o --datestop, - -m connlimit używając --connlimit-above pozwala ograniczyć liczbę połączeń z jednego adresu.

Sieci Komputerowe, T. Kobus, M. Kokociński 12 Konfiguracja filtrów (7) (ruch wychodzacy dla grupy o gid 1006 tylko do sieci 192.168.1.0/24) # iptables -A OUTPUT -m owner --gid-owner 1006! -d 192.168.1.0/24 -j DROP (ignoruj przychodzace polaczenia tcp) # iptables -A INPUT --protocol tcp --syn -j DROP # iptables -A INPUT --protocol tcp --tcp-flags SYN,RST,ACK,FIN SYN -j DROP (tylko 2 polaczenia telnetowe per klient) # iptables -A INPUT -p tcp --syn --dport 23 -m connlimit \ --connlimit-above 2 -j REJECT (dopusc ruch tylko z okreslonego adresu mac) # iptables -A INPUT -m mac! --mac-source 00:12:34:56:78:ab -j DROP (umozliwienie przyjmowania komunikatow icmp) # iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Sieci Komputerowe, T. Kobus, M. Kokociński 13 Zadanie 1 1. Zablokuj cały ruch wchodzący. Użyj do tego polityki, nie reguły. 2. Pozwól wchodzić połączeniom już ustanowionym. 3. Pozwól wchodzić połączenim ssh. 4. Zabroń wchodzenia ruchu ssh z wybranego adresu nie kasując żadnej z powyższych reguł. 5. Wyświetl liczniki, sprawdź ile razy reguła z poprzedniego zadania została uruchomiona. 6. Zbadaj (używając wiresharka) czym różni się cel DROP od REJECT. 7. Zablokuj ruch wychodzący do www.cs.put.poznan.pl 8. Ogranicz liczbę połączeń ssh od każdego adresu IP z osobna. 9. Ogranicz globalną liczbę połączeń ssh.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres