IP alap - PowerPoint PPT Presentation

1 / 73
About This Presentation
Title:

IP alap

Description:

IP alap h l zatok tervez se s zemeltet se II. 15/9 * * * * * * * * * * * * * * * * * * ISA 2004 Alkalmaz s szint t zfal Szolg ltat sai Csomagsz r ... – PowerPoint PPT presentation

Number of Views:65
Avg rating:3.0/5.0
Slides: 74
Provided by: Van9158
Category:
Tags: alap | packet | sniffer

less

Transcript and Presenter's Notes

Title: IP alap


1
IP alapú hálózatok tervezése és üzemeltetése II.
  • 15/9

2
Tartalom
  • Miért érdemes hálózati biztonsággal foglalkozni
  • Tuzfal
  • Személyi
  • Hagyományos
  • Típusai
  • Állapotmentes
  • Állapotköveto
  • Proxy
  • Architektúra változatok
  • Egy rétegu
  • Több rétegu
  • Intranet tuzfal tervezés
  • Határ tuzfal tervezés
  • Megoldások
  • Linux netfilter
  • Windows ISA szerver
  • Cisco - PIX
  • Behatolás érzékelés
  • Cisco

3
Hálózati biztonsági kihívások
  • Internet nyílt, szabad közösség
  • Régebben a fizikai biztonság volt az elsodleges
    (jól bezárni a rendezo szekrényt)
  • Egyre több cég, intézmény kötodik a hálózathoz
  • Potenciális piac
  • A vásárlókkal jönnek a hacker-ek is
  • Hetente új virusok, férgek,
  • Bárki szabadon rákapcsolódhat (hot spot, )
  • Nagy populáció
  • Letöltheto hacker eszközök (http//staff.washingto
    n.edu/dittrich/misc/ddos/ )

4
Támadások fejlodése
  • Forrás Cisco

5
Tipikus biztonsági problémák
  • Támadási típusok
  • Külso
  • Settenkedo fizikai biztonság (zárolni a
    gépeket)
  • DoS Denial of Service
  • Nem feltétlenül okoznak kárt
  • Nehéz lekezelni
  • DDoS ugyanaz csak több géprol (zombi gépek)
  • Alkalmazás rétegbeni támadások
  • Az alkalmazások biztnsági réseit használják ki
  • A legismertebbek
  • Nem megfeleloen frissített rendszereket támadnak
    meg (Slammer 2002 augusztus-2003 január)
  • Hálózat kikémlelés az elso lépés a támadás
    elott
  • Portscan
  • DNS, IP cím keresés
  • Belso
  • Fertozött laptop gyakran tagja különbözo
    hálózatoknak
  • Nem engedélyezett eszköz pl. nem megfeleloen
    konfigurált vezetékmentes hozzáférési pont
  • Elbocsátott alkalmazott Man in the middle
  • Vírusok/Trójaiak

6
Várható támadás típusok
  • Komplex Web támadás
  • IE biztonsági rés Apache biztonsági rés (egy
    feltört web szerverre tettek az IE számára
    veszélyes kódot)
  • Web szolgáltatások elleni támadások
  • Spyware fenyegetés a Microsoft szerint a
    rendszerösszeomlások feléért felelosek, a DELL
    szerint a bejelentett hibák 12 százalékát
    okozzák (http//www.informationweek.com/showArticl
    e.jhtml?articleID19200218 )
  • Mobil eszköz elleni támadások (PDA, Telefon, ..)
  • SPAM
  • DoS
  • DDoS

7
Megoldás(talán, nincs tökéletes)
  • Elvileg nincs szükség másra, csak megfeleloen
    beállított gépekre
  • DE a szoftver hibák, emberi mulasztások, miatt
    mégis szükség van
  • Elosztott, jól koordinálható, több rétegu védelem
  • Integrált megoldás (kapcsolók, forgalomirányítók,
    szerverek, )
  • Automatikus reakció
  • Védelmi keretrendszer
  • Védelem - Védelmi rendszer
  • Szabályozás - Bizalom és identitás menedzsment
  • Titkosítás - Biztonságos kapcsolat

8
Biztonsági szabályok
  • A hálózatot biztonsági övezetekre kell osztani
  • Egy-egy biztonsági övezet saját biztonsági
    szabályrendszerrel bír
  • Ezen övezetek határán szükség van egy olyan
    eszközre mely a különbözo szabályokból adódó
    konfliktusokat feloldja
  • Ez az eszköz legtöbbször a tuzfal

9
Védelmi topológiák
  • Egyszeru határ tuzfal
  • Megbízhatatlan gép
  • Három zónás architekrúra
  • Fegyvermentes övezet (DMZ DeMilitarized Zone)
  • Kettos tuzfal

10
Határ tuzfal
  • Egyrétegu megoldás
  • Egy eszközre van telepítve minden tuzfal funkció
  • Egy eszköz köt össze minden hálózatot
  • Egyszeru
  • Olcsó
  • A legkevésbé biztonságos megoldás
  • Egy eszközön kell a biztonsági hiányosságokat
    kiaknázni

11
Megbízhatatlan gép
  • Vannak olyan szervereink melyek szolgáltatásokat
    nyújtanak a külvilágnak
  • Web
  • SMTP
  • FTP
  • NTP
  • SSH
  • RDesktop
  • VPN szerver ?
  • Mivel ez a leginkábbveszélyeztetett ezért ezt a
    tuzfalon kívül helyezzük el
  • Minimális szolgáltatásra kelltörekednünk
  • A belso gépek nem bíznak meg benne

12
Demilitarizált övezet
  • A megbízhatatlan szolgáltatókat is védeni
    szeretnénk
  • Itt egy új hálózatot alakítunk ki ezen
    szolgáltatások számára
  • Nagyobb
  • Biztonság
  • Rendelkezésre állás
  • Megbízhatóság

13
Dupla tuzfal
  • A célja ugyanaz mint az elozoé
  • Funkciók
  • Perem tuzfal
  • Belso tuzfal
  • Hálózatok
  • Határ hálózat
  • DMZ
  • Belso hálózat
  • Célszeru különbözoarchitektúrájú
    tuzfalakatválasztani

14
Védelmi eszközök
  • Tuzfal
  • Osztályai
  • Személyes (elso osztály)
  • Forgalomirányító (második osztály)
  • Alsó kategóriás hardver tuzfalak (harmadik
    osztály)
  • Felso kategóriás hardver tuzfalak (negyedik
    osztály)
  • Szerver tuzfalak (ötödik osztály)
  • Típusai
  • Csomagszuro
  • Cím transzformáló
  • Állapottartó
  • Kapcsolat szintu átjáró
  • Proxy
  • Alkalmazás rétegbeni szurés
  • Megvalósítások
  • Netfilter (http//www.netfilter.org/ )
  • ISA 2004 (http//www.microsoft.com/isaserver/ )
  • CISCO PIX (http//www.cisco.com/warp/public/cc/pd/
    fw/sqfw500/ )
  • Behatolás érzékelo rendszer

15
Tuzfal típusok Csomagszuro
  • Mivel a különbözo hálózatokat leggyakrabban
    forgalomirányítók kötik össze ezért ezen funkciók
    leggyakrabban itt található
  • Ha már van router akkor mindenképpen azon
    célszeru implementálni
  • A 3. rétegben muködik
  • Szuro feltételek
  • Forrás/Cél cím
  • Forrás/Cél port
  • Ezzel célszeru az IP spoofing-ot kivédeni
  • Ez nagyon gyors és kis eroforrás igényu tud lenni

16
Tuzfal típusok NAT
  • Tipusai
  • PAT Port Address Translation
  • NAT Network Address Translation
  • Lehet
  • Dinamikus
  • Statikus
  • Címfordítást végez
  • Elrejti a belso címeket
  • Alkalmazás réteg?

17
Tuzfal típusok Kapcsolat szintu átjáró
  • Nem vizsgál minden egyes csomagot
  • Amint a kapcsolat felépült utána az adott
    viszonyhoz tartozó összes csomag mehet
  • A 4. rétegben muködik
  • Jobb mint csak csomagszurés
  • Tartalmazhat alkalmazás rétegbeni funkciókat is
  • Pl. FTP

18
Tuzfal típusok Állapottartó
  • Az elozo ketto kombinációja
  • A 3., 4. rétegben muködik
  • Minden kimeno csomag naplózva van az állapot
    táblában
  • Forrás/Cél IP
  • Forrás/Cél port
  • A bemeno forgalomnál így ellenorizheto, hogy ki
    kezdeményezte
  • Ez a tudás mindenképpen megkövetelendo egy
    tuzfaltól
  • Egyéb információkat is eltárolhat
  • Protkoll falg-ek

19
Tuzfal típusok Proxy
  • A kommunikáció 3 vagy több fél között folyik
  • Kliens
  • Proxy
  • Szerver
  • Títkosítatlan esetben a kliens nem látja
    közvetlenül azokat a csomagokat amelyeket a
    szerver küldött és fordítva
  • Títkosított esetben a proxyellenorzi a
    fejléceket ésha minden OK akkortovábbküldi
  • Gyorsítótár
  • Protokoll validáció
  • Felh. ID alapú döntés
  • Bonyolult
  • Minden protokollt ismernie kell

20
Alkalmazás szintu szurés
  • A legintelligensebb
  • Értelmezni tudják az adott alkalmazás adatát és
    ez alapján döntéseket hoznak
  • SMTP parancsok, DNS parancsok, SPAM szurés
  • Igény alapján dinamikusan nyitja a portokat
  • DNS felé UDP csak akkor ha a DNS indította a
    kapcsolatot és addig amíg ez a kapcsolat tart
  • Títkosított forgalom kezelése
  • Ugyanaz mint a proxy-nál
  • A tuzfalon végzodtetve mindkét oldalon

21
Személyes tuzfal
  • A PC-n futó szoftver szolgáltatás
  • Egyre több otthoni kapcsolat
  • Kis hálózat védelmére is alkalmas (otthoni
    hálózat)
  • A hálózattól függetlenül ma már minden gépen
    kötelezo a használata (különösen mobil
    eszközöknél)
  • Jóval kisebb tudású mint a többi, gyakran csak
    csomagszurésre alkalmas
  • Elonyei
  • Olcsó (ingyenes)
  • Egyszeru konfigurálni
  • Hátrányai
  • Nehéz központból menedzselni
  • Kis teljesítményu
  • Korlátolt tudású

22
Forgalomirányító tuzfal
  • A forgalomirányítók gyakran rendelkeznek tuzfal
    funkciókkal is
  • Az alsó kategóriás forgalomirányítók általában
    IP cím alapján és port alapján képesek a
    forgalmat szurni valamint NAT-ot is biztosítanak
    a címek elrejtésére
  • A felso kategóriás eszközök programozhatóak ACL
    listák segítségével, állapotkövetoek, támogatják
    a magas rendelkezésre állást
  • Elonyeik
  • Olcsóak (a hardvereshez viszonyítva)
  • Egyszeru, szokványos konfiguráció
  • Hátrányaik
  • Teljesítmény
  • Limitált funkcionalitás

23
Hardver tuzfalak
  • Alsó kategóriás
  • Statikus szurés
  • Plug-and-Play
  • VPN
  • Bizonyos szintig menedzselhetoek
  • Elonyei
  • Gyakorlatilag nem kell konfigurálni
  • Olcsó
  • Hátrányai
  • Korlátozott funkicionalitás
  • Gyenge teljesítmény
  • Felso kategóriás
  • 7500-500000 kapcsolat
  • Manuális konfiguráció
  • Moduláris
  • Magas rendelkezésre állás
  • Alkalmazás szintu szurés
  • Gyors
  • Drága

24
Szerver tuzfalak
  • A legtöbb rendszergazda számára jól ismert
    környezet
  • Linux
  • Windows
  • FreeBSD
  • Jól bovítheto (sw/hw)
  • Gyors (megfelelo méretu gépen)
  • Integrálható
  • Skálázható
  • Az oprendszer hibáit kiaknázhatják a támadók

25
Belso tuzfal
  • A belso hálózathoz történo hozzáférést
    szabályozza
  • Külso nem megbízható felhasználók elvileg soha
    nem léphetnek be a belso hálózatra
  • Web szerver esetén a web szerver fog kommunikálni
    a belso részekkel

26
Tipikus beállítások
  • Minden tiltva ami nincs engedve
  • Tiltani a belso IP címek forrásként feltüntetését
    kívülrol
  • Tiltani a külso IP címek forrásként feltüntetését
    belülrol
  • Engedélyezni a DMZ DNS szerverek UDP-n történo
    megszólítását a belso DNS szerverekrol
  • Engedélyezni a belso DNS szerverek UDP-n történo
    megszólítását a DMZ-bol
  • TCP DNS forgalom engedélyezése (szerver
    figyelembe vételével)
  • Kimeno SMTP a DMZ SMTP átjáróról
  • Bejövo SMTP a DMZ SMTP átjárótól
  • Engedi a proxy-tól származó forgalmat befelé
  • Engedi a forgalmat a proxy felé
  • Szegmensek támogatása
  • Szegmensek közötti forgalom állapotkövetéses
    forgalomirányítása
  • Magas rendelkezésreállás támogatása

27
Perem tuzfal
  • Feladata a szervezet határain túli felhasználók
    kiszolgálása
  • Típusai
  • Megbízható (távoli iroda)
  • Félig megbízható (üzleti partnerek)
  • Megbízhatatlan (publikus weboldal)
  • Ez az eszköz fogja fel a támadásokat (jó esetben)

28
Tipikus beállítások
  • Minden tiltva ami nincs engedve
  • Tiltani a belso IP címek forrásként feltüntetését
    kívülrol
  • Tiltani a külso IP címek forrásként feltüntetését
    belülrol
  • Engedélyezni a külso DNS szerverek UDP-n történo
    megszólítását (DMZ-bol)
  • Engedélyezni a belso (DMZ) DNS szerverek UDP-n
    történo megszólítását
  • TCP DNS forgalom engedélyezése (szerver
    figyelembe vételével)
  • Kimeno SMTP a belso SMTP átjáróról
  • Bejövo SMTP a belso SMTP átjárónak
  • Engedi a proxy-tól származó forgalmat a külvilág
    felé
  • Engedi a forgalmat a proxy felé

29
Rendelkezésre állás (perem/belso)
  • Egy tuzfal
  • Több tuzfal

30
Linux Netfilter
  • Kernel komponens
  • Szolgáltatásai
  • Csomagszuro
  • Állapot követés
  • Csomag manipuláció
  • Kapcsolatszám figyelés, korlátozás (egy adott
    géprol a TCP kapcsolatok száma. DOS védelem)
  • Legutóbbi kapcsolatok megjegyzése (pl. port
    scan)
  • Terhelés elosztás (adott véletlen eloszlással)
  • String illesztés a tartalomban (pl. .exe)
  • Ido alapú szabályok (ebédnél szabad internetezni,
    )
  • Átviteli kvóták (pl. 2 Gbyte)
  • TTL alapú csomag vizsgálat (man in the middle)
  • Bovítheto
  • Ingyenes

31
Netfilter Architektúra
  • Kampók
  • Egy kernel modul regisztrálhatja magát a
    különbözo állapotban lévo csomagok
    megfigyelésére/elérésére
  • IPv4-ben 5 kampót definiáltak
  • PRE_ROUTING, LOCAL_IN, FORWARD, LOCAL_OUT,
    POST_ROUTING.
  • A kapók segítségével megtekinthetoek/módosíthatóak
    a csomagok NF_DROP, NF_ACCEPT, NF_QUEUE,
    NF_REPEAT or NF_STOLEN.

32
Netfilter Kampók
  • PRE_ROUTING
  • A bejövo csomagok átmennek ezen a kampón az
    ip_rcv() ben mielott a forgalomirányításba
    kerülnek
  • LOCAL_IN
  • Minden a helyi eszköznek címzett csomagok a
    ip_local_deliver()-en keresztül elérhetoek
  • FORWARD
  • Minden bejövo és nem az adott eszköznek szánt
    csomag átmegy ezen ip_forward()
  • LOCAL_OUT
  • Minden az aktuális host által készített csomag
    átmegy ezen ip_build_and_send_pkt()
  • POST_ROUTING
  • Minden kimeno csomag (forrástól függetlenül)
    átmegy ezen ip_finish_output()

33
Linux Internet Protocol implementáció
Higher Layers
ip_input.c
ip_output.c
ip_queue_xmit
ip_local_deliver
MULTICAST
IP_LOCAL_OUTPUT
. . .
ip_mr_input
IP_LOCAL_INPUT
ip_queue_xmit2
ip_forward.c
IP_FORWARD
ip_local_deliver
ip_forward_finish
ip_forward
ip_output
ip_fragment
ip_rcv_finish
ip_finish_output
ROUTING
ForwardingInformation Base
IP_POST_ROUTING
IP_PRE_ROUTING
ip_route_input
ip_rcv
ip_finish_output2
ARP
ARP
neigh_resolve_output
dev.c
dev.c
dev_queue_xmit
net_rx_action
34
Netfilter Kampók
PRE_ROUTING
POST_ROUTING
FORWARD
LOCAL_IN
LOCAL_OUT
35
Netfilter Funkcionalitás
  • IP csomagszurés
  • Álapottartó tuzfal
  • NAT
  • Csomag manipulálás

36
IP csomagszurés
  • IP Szuro
  • A csomagok szurésére használják
  • A szabályok bevitelére az iptables-t használják
  • A kernelen belüli keretrendszert netfilter-nek
    nevezik
  • Teljes megadhatóság az IP, TCP, UDP és ICMP
    csomagok mezoihez
  • IP Szuro szabályok
  • Beszúrási pont
  • Egyezés
  • Cél

37
IP csomagszuro példa
  • ping -c 1 127.0.0.1
  • PING 127.0.0.1 (127.0.0.1) 56 data bytes
  • 64 bytes from 127.0.0.1 icmp_seq0 ttl64
    time0.2 ms
  • --- 127.0.0.1 ping statistics ---
  • 1 packets transmitted, 1 packets received, 0
    packet loss round-trip min/avg/max 0.2/0.2/0.2
    ms
  • iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
  • ping -c 1 127.0.0.1
  • PING 127.0.0.1 (127.0.0.1) 56 data bytes
  • --- 127.0.0.1 ping statistics ---
  • 1 packets transmitted, 0 packets received, 100
    packet loss

38
Állapottartó tuzfal
  • Teljes állapot kezelés
  • TCP, UDP, ICMP
  • Egy általános kapcsolatköveto modult használ
    conntrack
  • A Conntrack külön-külön kezeli az egyes
    kapcsolatokat és ezekhez rendeli az adott
    kimen/bejövo csomagokat
  • Új kapcsolat bejezést hoz létre amint a
    kapcsolatköveto modul egy kapcsolat létrehozó
    csomagot regisztrál
  • Így a NAT implementációk megállapíthatják, hogy
    az egyes csomagokhoz új IP/port tratozik, vagy
    már egy meglévohöz kell rendelni

39
Állapottartó tuzfalazás
  • Egye protokollok komplexek és külön modulokat
    igényelnek (conntrack helpers)
  • Egy példa az FTP.
  • A kliens nyit egy vezérlo csatornát 21-es TCP
    portra és FTP vezérlo utasításokat küld.
  • A fájl átvitelére a szerver nyit egy csatornát a
    kliensre a szerver 20-as portjáról a kliens
    tetszoleges portjára

40
Állapotartó tuzfal
  • Felhasználói térbeli állapotok
  • NEW
  • Minden új kapcsolat
  • Ide tartoznak a nem SYN TCP csomagok
  • ESTABLISHED
  • Minden kapcsolat ahol már láttak forgalmat
    mindkét irányba
  • RELATED
  • Minden kapcsolat/csomag ami valamilyen visznba
    van más kapcoslatokkal
  • Példák ICMP hiba, FTP-Data, DCC
  • INVALID
  • Bizonyos hibás csomagok az állapotoktól függoen
  • Pl. FIN/ACK amikor nem volt FIN küldve
  • iptables -A FORWARD -i ppp0 -m state ! --state
    NEW -j DROP

41
NAT
  • NAT - Network Address Translation
  • Két típusa van NAT in Linux 2.4
  • Netfilter NAT
  • Fast NAT
  • Használata
  • LAN mint egy forrás
  • Külön szerverek egy IP
  • Netfilter NAT
  • DNAT - Destination Network Address Translation
  • SNAT - Source Network Address Translation
  • Szüksége van a kapcsolatok követésére

42
NAT Példa
  • SNAT
  • Change source addresses to 1.2.3.4.
  • iptables -t nat -A POSTROUTING -o eth0 -j SNAT
    --to 1.2.3.4
  • Change source addresses to 1.2.3.4, 1.2.3.5 or
    1.2.3.6
  • iptables -t nat -A POSTROUTING -o eth0 -j SNAT
    --to 1.2.3.4-1.2.3.6
  • Change source addresses to 1.2.3.4, ports
    1-1023
  • iptables -t nat -A POSTROUTING -p tcp -o eth0
    -j SNAT --to 1.2.3.41-1023
  • DNAT
  • Change destination addresses to 5.6.7.8
  • iptables -t nat -A PREROUTING -i eth0 -j DNAT
    --to 5.6.7.8
  • Change destination addresses to 5.6.7.8,
    5.6.7.9 or 5.6.7.10.
  • iptables -t nat -A PREROUTING -i eth0 -j DNAT
    --to 5.6.7.8-5.6.7.10
  • Change destination addresses of web traffic to
    5.6.7.8, port 8080.
  • iptables -t nat -A PREROUTING -p tcp --dport 80
    -i eth0 \ -j DNAT --to 5.6.7.88080

43
Csomag manipuláció
  • A tuzfalon keresztülmeno csomagokat manipulálja
  • Sokfajta lehetoség
  • Példa felhasználás
  • Minden IP opció törlése
  • A TOS érték átállítása
  • A TTL mezo átállítása
  • Az ECN mezok törlése
  • A csomagok megjelölése a kernelen belül
  • A kapcsolatok megjelölése a kernelelen belül

44
Mit használunk?
  • Jelenleg három táblázat van filter, nat, mangle.
  • filter table a szuro rendszer használja
  • a LOCAL_IN (INPUT), FORWARD, LOCAL_OUT (OUTPUT)
    ba kapcsolódik
  • iptable_filter kapcsolódik és minden csomagot
    továbbad az iptables-nak
  • Az alap táblát az iptables program kezeli

45
A szuro kapmói
46
A nat táblázat
  • A nat tablázatot a nat vezérlésére használják
  • A LOCAL_OUT (OUTPUT), PREROUTING, POSTROUTING
    pontokhoz kapcsolódik
  • Az iptable_nat bekapcsolódik és átadja azokat a
    csomagokat akiknek a kapcsolatait még nem látták
    a NAT táblázatban

47
NAT kampók
48
A mangle tábla
  • A mangle table a speciális muveletekhez
    használják
  • A LOCAL_OUT (OUTPUT), PREROUTING hoz csatlakozik
  • iptable_mangle kapcsolódik és átad minden
    csomagot a táblának

49
Alapveto iptables szintakszis
  • iptables table command options ltmatchesgt
    lttargetgt
  • parancsok
  • append, insert, replace, delete, list, policy,
    etc.
  • opciók
  • verbose, line numbers, exact, etc.
  • találatok
  • dport, dst, sport, src, states, TCP options,
    owner, etc.
  • célok
  • ACCEPT, DROP, REJECT, SNAT, DNAT, TOS, LOG, etc.

50
Iptables szintakszis
  • Protocol
  • -p, --protocol ! protocol
  • tcp, udp, icmp or all
  • Numeric value
  • /etc/protocols
  • Cél IP Port
  • -d, --destination ! address/mask
  • Destination address
  • Resolvable (/etc/resolve.conf)
  • --dport, --destination-port ! portport
  • Destination port
  • Numeric or resolvable (/etc/services)
  • Port range

51
Iptables szintakszis
  • Source IP Port
  • -s, --source ! address/mask
  • Source address
  • Resolvable (/etc/resolve.conf)
  • --sport, --source-port ! portport
  • Source port
  • Numeric or resolvable (/etc/services)
  • Port range

52
Iptables szintakszis
  • Incoming and Outgoing interface
  • -i, --in-interface ! interface
  • -o, --out-interface ! interface

53
Iptables szintakszis
  • ACCEPT
  • Elfogadja a csomagot
  • Befejezi a megfelelo lánc további feldolgozását
  • Minden elozo lánc feldolgozását befejezi
  • Ez nem vonatkozik más fo láncokra és táblákra
  • DROP
  • Eldobja a csomagot
  • Nincs válasz
  • Befejez minden további feldolgozást

54
Iptables szintakszis
  • REJECT
  • Eldobja a csomagot
  • Válaszol
  • Felhasználó által megadott válasz
  • Számított válasz
  • TCP-RST vagy ICMP hibaüzenet
  • Befejez minden további feldolgozást
  • RETURN
  • Visszatér a láncból a hívó láncba

55
Példa
test
Input
Rule1 -p ICMP j DROP
Rule1 -s 192.168.1.1
Rule2 -p TCP j test
Rule2 -d 192.168.1.1
Rule3 -p UDP j DROP
Mi történik a 192.168.1.1 forráscímu TCP
csomaggal ha a célcím 1.2.3.4?
56
Egyszeru szabályok
  • iptables -A INPUT -p tcp -m state --state NEW !
    --syn -j REJECT --reject-with-tcp-reset
  • iptables -A INPUT -p tcp --dport 801024 -j DROP
  • iptables -A FORWARD -p tcp --dport 22113 -j DROP
  • iptables -A FORWARD -p tcp --dport ftp-dataftp
    -j DROP
  • iptables -A OUTPUT -p tcp -o eth0 -j ACCEPT
  • iptables -A OUTPUT -p tcp -o lo -j ACCEPT
  • iptables -P OUTPUT DROP

57
Iptables szintakszis
  • A szabályok listázása
  • -L, --list chain
  • -F, --flush chain
  • Flushes (erases) all rules in a chain
  • Or a table
  • -N, --new chain
  • Creates a user-specified chain
  • There must be no target with that name previously
  • -X, --delete-chain chain
  • Deletes a user-created chain
  • No rules may reference the chain
  • Can delete all user-created chains in a table

58
Iptables szintakszis
  • Creating...
  • iptables -t filter -N badtcppackets
  • and Deleting a chain
  • iptables -t filter -X badtcppackets
  • and Deleting all user-created chains
  • iptables -t filter -X

59
Példa A célok
  • A tuzfal
  • Saját maga tuzfala
  • Bejövo
  • ICMP Echo request reply
  • Identd kérdések
  • HTTP kérések
  • Kimeno
  • Minden amit a host generált
  • Kivéve "nonet" csoport
  • és a LAN
  • Internet-rol LAN-ra
  • Related traffic
  • Established traffic
  • LAN-ról Internet-re
  • Minden

60
Részletek
  • Tuzfal
  • LAN az eth0
  • LAN IP 192.168.1.1
  • Internet az eth1
  • Internet IP 10.0.0.1/32
  • LAN
  • IP range 192.168.1.0/24

61
A POSTROUTING lánc
  • NAT
  • iptables -t nat -A POSTROUTING -i eth0 -o eth1 -j
    SNAT --to-source 10.0.0.1

62
INPUT lánc
  • A kiválasztott bejövo, minden kimeno forgalom
  • Default to DROP
  • iptables -P INPUT DROP
  • iptables -A INPUT -p tcp --dport 113 -j ACCEPT
  • iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  • iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
  • iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
  • iptables -A INPUT -m state --state
    ESTABLISHED,RELATED -j ACCEPT

63
Output lánc
  • Mindent elfogadunk kivéve a nonet csoportot
  • iptables -A OUTPUT -m owner --gid-owner nonet -j
    DROP

64
FORWARD lánc
  • Everything from LAN to Internet
  • ICMP replies, related and Established traffic
    from Internet to LAN
  • iptables -P FORWARD DROP
  • iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
  • iptables -A FORWARD -i eth1 -m state --state
    ESTABLISHED,RELATED -j ACCEPT

65
Példák
  • iptables -A INPUT -p tcp -m state --state NEW !
    --syn -j REJECT --reject-with-tcp-reset
  • iptables -A INPUT -p tcp --dport 801024 -j DROP
  • iptables -A FORWARD -p tcp --dport 22113 -j DROP
  • iptables -A FORWARD -p tcp --dport ftp-dataftp
    -j DROP
  • iptables -A OUTPUT -p tcp -o eth0 -j ACCEPT
  • iptables -A OUTPUT -p tcp -o lo -j ACCEPT
  • iptables -P OUTPUT DROP

66
ISA 2004
  • Alkalmazás szintu tuzfal
  • Szolgáltatásai
  • Csomagszuro
  • Állapotköveto
  • VPN támogatás
  • VPN karantén
  • Bizonyos behatolás érzékelés (portscan, halálos
    ping)
  • SSL-SSL híd
  • Alkalmazás szintu vizsgálat (http, ftp, rpc, )

67
CISCO PIX
  • Beágyazott operációs rendszer (Fitnesse OS,
    realtime nem Unix)
  • Szolgáltatásai
  • Csomagszuro
  • Állapotfigyelés
  • HTTP, FTP, Telnet hitelesités
  • VPN támogatás
  • URL szurés
  • Magas rendelkezésre állás
  • ASA - biztonsági szintek
  • 1000000 kapcsolat!!!

68
IDS
  • Behatolás érzékelés
  • Mai állapot
  • Lenyomat alapú érzékelés
  • A riasztás értékelése ma még többnyire manuális
  • A legtöbb IDS rendszerben nincs meg a kello
    intelligencia, hogy megbízhatóan ellenorizze a
    támadást figyelembe véve más információkat is és
    meghozza a megfelelo döntéseket
  • Legtöbb helyen nincs központi log (tuzfal,
    szerver, )

69
Ideális eset
  • Aggregáció
  • SNMP, Syslog,
  • Korreláció
  • Pl. idobélyeg
  • Analízis
  • A host értéke
  • Szolgáltatásai
  • Viszonya a többihez
  • Rendszergazda
  • Lehetséges sebezhetosége

70
SNORT
  • GNU GPL licensz
  • Minta alapú
  • Valós ideju forgalom analízis
  • Protokoll analízis
  • Szabályokat definiálhatunk a keresett mintákra
  • alert tcp any any -gt any 139 (content"5c
    00P00I00P00E00 5c")
  • Három üzemmód
  • Sniffer
  • Packet logger
  • NIDS
  • Muködése
  • Dekódolás protokoll dekódolás
  • Preprocesszor pl. port scan detektálás
  • Detektáló rész szabályok
  • 1 GBit/s

71
CISCO IDS
  • Lenyomat adatbázis alapján azonosítja a
    támadásokat
  • Részei
  • Senzor platform a forgalom valós ideju
    figyelése, tipikusan modulok
  • Interfészei
  • Monitor
  • Kontroll
  • Direktor platform menedzselés
  • Akciók
  • TCP reset
  • IP blokkolás
  • IP loggolás
  • 1 Gbit/s

72
Tartalom
  • Miért érdemes hálózati biztonsággal foglalkozni
  • Tuzfal
  • Személyi
  • Hagyományos
  • Típusai
  • Állapotmentes
  • Állapotköveto
  • Proxy
  • Architektúra változatok
  • Egy rétegu
  • Több rétegu
  • Intranet tuzfal tervezés
  • Határ tuzfal tervezés
  • Megoldások
  • Linux netfilter
  • Windows ISA szerver
  • Cisco - PIX
  • Behatolás érzékelés
  • Cisco

73
A következo eloadás tartalma
  • DNS
  • DNSSec
Write a Comment
User Comments (0)
About PowerShow.com