GNU/Linux e i firewall

Транскрипт

1 GNU/Linux e i firewall Relatori: Giorgio Bodo Bodini Roberto Oliverino Azzini

2 Classificazione delle reti in base all'estensione

3 VPN VPN: Virtual Private Network LAN security gateway security gateway LAN

4 Topologie di rete a stella ad anello su bus

5 reti a stella concentratore

6 Topologie di rete a stella ad anello su bus

7 reti su bus

8 pacchetti

9 Lo stack OSI/ISO 7 Applicazione 6 Presentazione 5 sessione 4 Trasporto 3 Rete 2 Data - link 1 Fisico ripetitore 7 Applicazione 6 Presentazione 5 sessione 4 Trasporto 3 Rete 2 Data - link 1 Fisico

10 incapsulamento dei pacchetti 7 Applicazione 6 Presentazione 5 sessione 4 Trasporto 3 Rete 2 Data - link 1 Fisico

11 Livello 1 -Fisico Schede di rete Cavi di rete Hub o concentratori

12 indirizzi MAC

13 HUB vs. switch HUB Switch pacchetto in ingresso pacchetti ripetuti su ogni porta pacchetto in ingresso pacchetto in uscita

14 Lo stack OSI/ISO 7 Applicazione 6 Presentazione 5 sessione 4 Trasporto 3 Rete 2 Data - link 1 Fisico ripetitore 7 Applicazione 6 Presentazione 5 sessione 4 Trasporto 3 Rete 2 Data - link 1 Fisico

15 indirizzi IP indirizzo IP ID RETE ID NODO netmask indirizzo di rete indirizzo di broadcast

16 classi di rete classe C netmask indirizzi classe B netmask indirizzi classe A netmask indirizzi

17 notazione CIDR / 24

18 gateway

19 tabella di routing # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U eth2 (Internet) U eth0 (LAN) U eth1 (DMZ) UG eth2 (defaultroute)

20 scoprire gli hop

21 scoprire gli hop sandman]# traceroute traceroute to ( ), 30 hops max, 38 byte packets ( ) ms ms ms ( ) ms ms ms 3 core-sw-cr-02.aemcom.net ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms [root@portlinux sandman]# traceroute traceroute to ( ), 30 hops max, 38 byte packets ( ) ms ms ms ( ) ms ms ms 3 bgp-cr-vr-inf-01.aemcom.net ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms 8 ams-e4.ams.nl.net.dtag.de ( ) ms ms ms

22 IPv6 FEDC:BA98:7654:3210:FEDC:BA98:7654:3210 = 1080:0:0:0:8:800:200C:417A

23 indirizzi speciali loopback default route

24 indirizzi per reti private 1x classe A 10.x.x.x x classe B 172.Y.x.x x classe C Y.x

25 /etc/protocols # /etc/protocols: # $Id: protocols,v /05/02 17:10:04 chmouel Exp $ # # Internet (IP) protocols # # 5.1 (Berkeley) 4/17/89 # # Updated for NetBSD based on RFC 1340, Assigned Numbers (July 1992). # # See also ip 0 IP # internet protocol, pseudo protocol number #hopopt 0 HOPOPT # hop-by-hop options for ipv6 icmp 1 ICMP # internet control message protocol igmp 2 IGMP # internet group management protocol ggp 3 GGP # gateway-gateway protocol ipencap 4 IP-ENCAP # IP encapsulated in IP (officially ``IP'') st 5 ST # ST datagram mode tcp 6 TCP # transmission control protocol cbt 7 CBT # CBT, Tony Ballardie <[email protected]> egp 8 EGP # exterior gateway protocol igp 9 IGP # any private interior gateway (Cisco: for IGRP) bbn-rcc 10 BBN-RCC-MON # BBN RCC Monitoring nvp 11 NVP-II # Network Voice Protocol pup 12 PUP # PARC universal packet protocol argus 13 ARGUS # ARGUS emcon 14 EMCON # EMCON xnet 15 XNET # Cross Net Debugger chaos 16 CHAOS # Chaos udp 17 UDP # user datagram protocol mux 18 MUX # Multiplexing protocol dcn 19 DCN-MEAS # DCN Measurement Subsystems hmp 20 HMP # host monitoring protocol prm 21 PRM # packet radio measurement protocol...

26 ICMP

27 UDP - TCP UDP user datagram protocol TCP transmission control protocol porte privilegiate porte non privilegiate

28 flags TCP SYN ACK FIN RST synchronize acknowledge finish reset

29 three-way handshake (A) > SYN > (B) (A) < SYN/ACK < (B) (A) > ACK > (B)

30 protocolli dei servizi di rete # /etc/services: # $Id: services,v /07/19 20:13:27 notting Exp $ # # Network services, Internet style # # The Well Known Ports are those from 0 through # The Registered Ports are those from 1024 through # The Dynamic and/or Private Ports are those from through # Each line describes one service, and is of the form: # # service-name port/protocol [aliases...] [# comment]... ftp-data 20/tcp ftp 21/tcp ssh 22/tcp # SSH Remote Login Protocol telnet... 23/tcp smtp 25/tcp mail... domain 53/tcp nameserver # name-domain server domain 53/udp nameserver... http 80/tcp www www-http # WorldWideWeb HTTP... pop /tcp pop-3 # POP version 3 https 443/tcp # MCom...

31 netstat sandman]# netstat Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp :32778 web5.w3.org:http ESTABLISHED tcp :32777 klecker.debian.org:http ESTABLISHED tcp :32779 ftp.slackware.com:ftp ESTABLISHED Active UNIX domain sockets (w/o servers) Proto RefCnt Flags Type State I-Node Path unix 12 unix 3 [ ] [ ] DGRAM STREAM CONNECTED 3222 /dev/log /tmp/.x11-unix/x0 unix 3 [ ] STREAM CONNECTED unix... 3 [ ] STREAM CONNECTED /home/sandman/tmp/orbit-

32 protocolli dei servizi di rete HTTP SMTP POP3 - tcp/80 - tcp/25 - tcp/110

33 protocolli dei servizi di rete FTP

34 Architetture di rete con firewall Internet - firewall - LAN Interne t firewall LAN hub server client

35 Architetture di rete con firewall Internet - firewall - LAN + DMZ Internet firewall DMZ LAN hub server Web server client

36 Architetture di rete con firewall Internet - firewall esterno - DMZ - firewall interno - LAN Firewall esterno Firewall interno internet HUB DMZ Lan

37 Packet filter firewall e stack OSI 7 Applicazione 7 Applicazione 6 Presentazione 6 Presentazione 5 sessione 5 sessione 4 Trasporto 4 Trasporto 4 Trasporto 4 Trasporto 3 Rete 3 Rete 3 Rete 3 Rete 2 Data - link 2 Data - link 2 Data - link 2 Data - link 1 Fisico 1 Fisico 1 Fisico 1 Fisico

38 stato della connessione NEW ESTABLISHED RELATED INVALID

39 iptables: tabelle e catene

40 iptables: matches -p, --protocol seleziona i pacchetti in base al protocollo: #iptables -A INPUT -p udp seleziona solo i pacchetti UDP -s, --src, --source seleziona i pacchetti in base all'indirizzo IP di provenienza: #iptables -A INPUT -s! /24 seleziona solo i pacchetti che non provengono dalla rete x -d, --dst, --destination #iptables -A INPUT -d seleziona i pacchetti destinati all'indirizzo IP i, --in-interface #iptables -A INPUT -i eth0 seleziona i pacchetti arrivati dall'interfaccia di rete eth0 -o, --out-interface #iptables -A FORWARD -o eth1 seleziona i pacchetti che devono uscire dall'interfaccia eth1 --sport, --source-port #iptables -A INPUT -p tcp --sport 80 seleziona i pacchetti che provengono da una porta 80/TCP, cioè da un server web

41 iptables: matches --dport, --destination-port #iptables -A INPUT -p tcp --dport 25 seleziona i pacchetti destinati ad una porta 25/TCP, ovvero ad un server SMTP (posta in uscita) --tcp-flags #iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN SYN seleziona solo i pacchetti che abbiano attivo il solo flag SYN tra i flag SYN, ACK e FIN, ovvero i tentativi di instaurare nuove connessioni TCP --icmp-type #iptables -A INPUT -p icmp --icmp-type 8 seleziona i pacchetti ping in uscita --state #iptables -A INPUT -m state --state RELATED,ESTABLISHED seleziona solo i pacchetti appartenenti a connessioni stabilite o correlate -m mac o --mac-source controlla la corrispondenza delle regole delle catene in base all'indirizzo MAC della scheda di provenienza del pacchetto; è utile per impostare le regole su macchine che hanno l'indirizzo IP assegnato dinamicamente (via DHCP).

42 iptables: target ACCEPT DROP REJECT LOG MARK SNAT DNAT MASQUERADE REDIRECT

43 iptables: comandi -A, --append #iptables -A INPUT... Questo comando aggiunge la regola alla fine della catena quindi sarà l'ultima ad essere verificata. -D, --delete #iptables -D INPUT --dport 80 -j DROP #iptables -D INPUT 1 Questo comando cancella una regola dalla catena di INPUT. Questo può essere fatto in due modi. Nel primo esempio si cancella la regola che ha le caratteristiche riportate; nel secondo si cancella la prima regola della catena. -R, --replace #iptables -R INPUT 3 -s j DROP Questo comando sostituisce la terza regola della catena INPUT con una nuova regola con le caratteritiche descritte -I, --insert #iptables -I INPUT 8 --dport 80 -j ACCEPT Inserisce la nuova regola all'ottava posizione della catena -L, --list #iptables -L INPUT Questo comando mostra la lista di tutte le regole presenti nella catena specificata. Se non si specifica una catena, verranno mostrate le regole di tutte le catene

44 iptables: comandi -F, --flush #iptables -F INPUT Questo comando svuota la catena INPUT da tutte le regole presenti ed equivale a cancellare tutte le regole una per una con il comando -D -N, --new-chain #iptables -N allowed Questo comando dice al kernel di creare una nuova catena di nome allowed -X, --delete-chain #iptables -X allowed Cancella la catena allowed dalla tabella. Funziona solo se la catena è gia stata svuotata da tutte le regole. -P, --policy #iptables -P INPUT DROP Questo comando è usato per settare le policy di default per le catene predefinita. Tutti i pacchetti che non soddisfano nessuna regola della catena subiranno questa fine. I target possibili sono solo DROP, ACCEPT e REJECT -E, --rename-chain #iptables -E allowed consentiti Il comando rinomina la catena di nome allowed in consentiti