Riassunto della rete virtuale

Documenti analoghi
Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2016/2017. Ing. Niccolò Iardella

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Setup dell ambiente virtuale

IP forwarding Firewall e NAT

Esercitazione 5 Firewall

Filtraggio del traffico IP in linux

Packet Filter in LINUX (iptables)


Iptables. Mauro Piccolo

Lezione Lab 1: Packet Filtering: Netfilter & IPTABLES

IPTABLES. Un Introduzione

Sicurezza nelle reti

Crittografia e sicurezza delle reti. Firewall

Roma2LUG. aka l aula del Pinguino. Laboratorio: Configurazione e Gestione della Rete Locale

Sicurezza delle reti 1

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio

PACKET FILTERING IPTABLES

Esercitazione 5 Firewall

SCUOLA DI INGEGNERIA DELL INFORMAZIONE. Corso di Piattaforme Software per la rete MODULO 2 Anno Accademico Prof. William FORNACIARI

Sicurezza dei sistemi e delle reti 1

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

maurizio pizzonia sicurezza dei sistemi informatici e delle reti. esercizi su sicurezza delle reti

Esercitazione 05. Prima di iniziare. Packet Filtering [ ICMP ] Sommario. Angelo Di Iorio (Paolo Marinelli)

Lo strato di trasporto Firewall e NAT

Esercitazione. Prima di chiedere hai usato il comando man? sovente 1 settimana di esperimenti possono risparmiare 1 ora di lettura

Lo strato di trasporto Firewall e NAT

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

Difesa perimetrale di una rete

Introduzione a Linux Lezione 9 Sicurezza in Linux

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables

Wikipedia, testo disponibile nel rispetto dei termini della GNU Free Documentation License. Università di Verona, Facoltà di Scienze MM.FF.NN.

Firewall: concetti di base

Corso avanzato di Reti e sicurezza informatica

esercizi su sicurezza delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

IP forwarding Firewall e NAT

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Netfilter: utilizzo di iptables per

Appello 13 Febbraio Tempo complessivo a disposizione per lo svolgimento: 2h Usare lo spazio dopo ogni Esercizio/Quesito per la risposta.

Problematiche di Sicurezza in Ambiente Linux

ISIS R. D'Aronco A.S 2016/2017 Terza Verifica Scritta del Primo Periodo Classe: 5B ITI-INF Data: 17 Dicembre 2016 Materia: SISTEMI E RETI.

TCP e UDP, firewall e NAT

Federico Amedeo Izzo

TCP/IP: summary. Lorenzo Cavallaro, Andrea Lanzi

FIREWALL CORSI LINUX AVANZATI Federico Amedeo Izzo

Transparent Firewall

Hardening Linux. Igino Corona Pattern Recognition and Applications Group Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari

Corso MIUR C2 Modulo 8. Firewall. Ing. Giampaolo Mancini Ing. Fabio De Vito

Scritto da Administrator Lunedì 01 Settembre :29 - Ultimo aggiornamento Sabato 19 Giugno :28

Setup dell ambiente virtuale

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga

Hardening Linux. Igino Corona. Pattern Recognition and Applications Group Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari

Firewall con IpTables

Routing IP A.A. 2006/2007. Walter Cerroni. Routing gerarchico in Internet

Prova 2-8 Luglio 2016

Configurare Linux come router per una LAN

Seconda Prova in itinere Esempio

DOMANDA 1: Qual è il più piccolo blocco di indirizzi che servirebbe a questa rete? Rete1P R4 H

Proteggere la rete: tecnologie

Appello 13 Febbraio Tempo complessivo a disposizione per lo svolgimento: 2h Usare lo spazio dopo ogni Esercizio/Quesito per la risposta.

Esame completo - 8 Luglio 2016

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito

Filtraggio del traffico di rete

Sicurezza delle reti 1. Lezione XXI: Anonimato in rete. Inosservabilità. Anonimato. Mattia Monga. a.a. 2012/13

Appello Esempio d esame. Es1 (6 pt) Es2 (6 pt) Es3 (6 pt) Ques (9 pt) Lab (6pt)

Sicurezza delle reti. Monga. Sicurezza perimetrale. Tipologie di. Stateless filtering Stateful filtering Deep packet inspection

Esame - 16 Luglio 2018

Sicurezza delle reti 1

In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX. Imparare a NATTARE la connetività

02/10/2015 SISTEMI E RETI. Router Cisco. Parte 2 - IOS. A cura dell Ing. Claudio Traini. router. sottoreti. terminali

Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile ~ anna.1704@ .

Introduzione al Networking

FIREWALL Caratteristiche ed applicazioni

L Inoltro e l Instradamento

FIREWALL iptables V1.1 del 18/03/2013

Protocollo ARP IP forwarding

SORGENTE] INDIRIZZO DESTINAZIONE INDIRIZZO DESTINAZIONE WILD CARD

Introduzione allo sniffing

Installazione e Configurazione del servizio DHCP. Orazio Battaglia

Firewall schema concettuale Principali livelli coinvolti

Comandi principali di Linux (1)

Reti di Calcolatori 1

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Manuale applicativo. Interfaccia KNX-IP EK-BB1-TP. Interfaccia KNX-IP Router EK-BC1-TP

Finalmente un po di PRATICA

netkit-static-routing Traduzione a cura di G. Ianni e G. Bennardo, Università della Calabria

Seconda Prova in itinere Esempio

Reti locali e architetture firewall

mbnetfix NHF100 La seguente guida ha come scopo di fornire le indicazioni per una configurazione di base, per

Netfilter e iptables Allacciate le cinture. Daniele Iamartino

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy

WP5. 9 Settembre Paolo Veronesi (INFN CNAF)

Software Scalabile: Controllo di potenza in real-time: Real-time alerts:

ODOO può essere installato su Linux, Windows e Macintosh, ma la piattaforma di riferimento indicata da Odoo sa è Linux Ubuntu.

ICMP ARP RARP DHCP -NAT

Seminario sulla sicurezza delle reti

Antonio Cianfrani. L emulatore Packet Tracer A.A. 2015/2016

Sistemi di elaborazione dell informazione

Transcript:

Riassunto della rete virtuale 1.1 La rete di Qemu Figura 1.1: La rete virtuale creata da Qemu in modalità user networking Qemu implementa una rete virtuale minimale con la topologia descritta nella figura 1.1. La macchina guest è un nodo che generalmente ha il numero IP 10.0.2.15 (assegnato tramite DHCP dal nodo 10.0.2.2, che svolge anche le funzioni di gateway), anche se naturalmente l amministratore del sistema può cambiare la configurazione. In questa modalità detta user networking, dalla macchina guest è possibile stabilire comunicazioni TCP e UDP verso l esterno sfruttando lo stack di rete della macchina host. Attenzione: il traffico ICMP da e verso l esterno viene scartato da Qemu. I parametri della rete Qemu sono applicati automaticamente tramite DHCP (vedi /etc/udhcpc/default.script). 1.2 Macchine virtuali User Mode Linux Dopo aver creato uno switch virtuale vde2, vi si possono collegare macchine virtuali User Mode Linux (UML) 1 # crea lo switch virtuale controllato con le pipe in /tmp/mioswitch 2 vde switch s /tmp/mioswitch 3 # per comodità usiamo un altra shell Lab. 1/4/2013 Riassunto della rete virtuale 1

Riassunto della rete virtuale 4 # l interfaccia di rete eth0 è di tipo vde 5 # ed è collegata allo switch virtuale 6 # l utenza uml è root senza password 7 /usr/local/share/uml/startbb.uml.txt eth0=vde,/tmp/mioswitch 8 # per comodità usiamo un altra shell 9 /usr/local/share/uml/startbb.uml.txt eth0=vde,/tmp/mioswitch In questa maniera abbiamo una rete locale virtuale fra le due macchine UML, che possiamo configurare a piacimento. 1 # Sulla prima 2 ip addr 172.16.0.1/24 dev eth0 3 ip link set eth0 up 4 # Sulla seconda 5 ip addr 172.16.0.2/24 dev eth0 6 ip link set eth0 up 7 # Sulla prima 8 nc l p 1234 9 # Sulla seconda 10 echo ciao nc 172.16.0.1 1234 Questa rete consiste in uno stack interamente realizzato in user mode e pertanto del tutto sconosciuto al kernel del sistema Linux avviato da Qemu (come è facile controllare esaminando le interfacce con ip addr). 1.3 Rete virtuale collegata al kernel Vde2 può anche essere usato per creare una rete virtuale nota al kernel che la ospita, grazie all interfaccia apposita TUN/TAP che Linux mette a disposizione proprio a questi scopi. Per comodità le operazioni necessarie per attivare questa rete sono raccolte nello script /etc/init.d/vde switch. 1 sudo /etc/init.d/vde switch start A questo punto l interfaccia tap0 risulterà connessa alla 192.168.240 (virtuale, controllata da /run/vde.ctl). Lab. 1/4/2013 2

Strumenti di packet filtering 2.1 IPTables/Netfilter Linux fornisce un infrastruttura di packet filtering a livello kernel Linux 2.2 ipchains solo stateless filtering Linux 2.4 netfilter (kernel mode) permette di scrivere regole stateful, organizzate in catene e tabelle da iptables (user mode) Le funzionalità di filtraggio sono estendibili con moduli kernel. Potete vedere quali moduli sono installati esplorando le directory del kernel in uso. Nella macchina virtuale: 1 ls /lib/modules/ /kernel/net/netfilter Per avere un idea di cosa fa un certo modulo si usa modinfo (per informazioni piú dettagliate sarà necessario consultare la documentazione specifica, però) 1 modinfo xt mac Il kernel di Linux mantiene alcune tabelle di regole da esaminare nella manipolazione dei pacchetti di rete. Il numero e la natura delle tabelle dipende dalla configurazione del kernel. Ogni tabella contiene catene di regole: con iptables si possono alterare le regole e aggiungere/togliere catene. filter Tabella di default. Catene di regole: INPUT, FORWARD, OUTPUT; nat Tabella consultata quando si crea una nuova connessione. PREROUTING, OUT- PUT, POSTROUTING mangle Tabella usata in manipolazioni particolari. WARD, OUTPUT, POSTROUTING PREROUTING, INPUT, FOR- raw Tabella ad alta priorità. PREROUTING, OUTPUT Per vedere il contenuto di filter: 1 iptables t filter L Per seguire il destino di un pacchetto consideriamo la tabella filter, rappresentata schematicamente in Fig. 2.1: 1. Arriva un pacchetto (p.es. dalla scheda di rete) 2. Si decide dove deve essere consegnato (routing) 3. Se è locale, passa per la INPUT chain (ACCEPT/DROP) Lab. 1/4/2013 Strumenti di packet filtering 3

Strumenti di packet filtering Routing decision FORWARD Outgoing INPUT Local process OUTPUT Figura 2.1: Tabella filter 4. Altrimenti DROP, ma se il forwarding è abilitato, si passa per la FORWARDING chain (ACCEPT/DROP) 5. Se un processo locale produce un pacchetto si passa per la OUTPUT chain (AC- CEPT/DROP) Il forwarding generalmente è disabilitato, a meno che non si tratti di un gateway con piú interfacce di rete. Per scoprire se sulla macchina il forwarding è attivo 1 sysctl a grep forwarding Nel caso lo si voglia attivare 1 sysctl w net.ipv4.ip forward=1 2 # equivalente a 3 echo 1 > /proc/sys/net/ipv4/ip forward Questi parametri possono essere cambiati a run-time con sysctl, oppure resi permanenti (nel senso che vengono fissati al boot) mettendoli nel file /etc/sysctl.conf. A proposito: nel file /etc/sysctl.conf sono elencati altri parametri di configurazione del kernel che possono venire utili per difendere un nodo di una rete 1 # Uncomment the next two lines to enable Spoof protection (reverse-path filter) 2 # Turn on Source Address Verification in all interfaces to 3 # prevent some spoofing attacks 4 #net.ipv4.conf.default.rp filter=1 5 #net.ipv4.conf.all.rp filter=1 6 7 # Uncomment the next line to enable TCP/IP SYN cookies 8 # See http://lwn.net/articles/277146/ 9 # Note: This may impact IPv6 TCP sessions too 10 #net.ipv4.tcp syncookies=1 Tornando a iptables, il grafo di flusso completo è schematizzato dalla Fig. 2.2. La routing decision determina se il pacchetto ha destinazione locale o esterna: deve essere ripetuta piú volte perché il filtro potrebbe alterare i campi rilevanti del pacchetto. 2.1.1 Esercizi Leggere il manuale di iptables Lab. 1/4/2013 4

Strumenti di packet filtering Interpretare l effetto dei seguenti comandi 1 iptables t filter F # -t filter (default) 2 iptables t filter X 3 iptables A INPUT source 10.49.165.18 p tcp dport 22 j ACCEPT 4 iptables A INPUT p tcp dport 22 j DROP Come si fa a salvare e ripristinare un insieme di regole? S oluzione: prima cancella tutte le regole esistenti e poi blocca tutti gli accessi alla porta 22, meno quelli provenienti da 10.49.165.18. L ultimo comando serve ad assicurare che il default sia DROP. 2.2 Rete fra host e guest Qemu può essere configurato per fare NAT fra la rete host e guest. Per esempio se lo host è Windows, potrebbe contenere una chiamata a Qemu siffatta: 1 START qemu system i386w.exe L Bios vga std ˆ 2 rtc base=localtime,clock=host ˆ 3 cdrom..\sicureti.iso ˆ 4 net nic,model=e1000 net user,hostfwd=tcp::8888 :80 ˆ 5 no acpi no hpet no reboot L opzione hostfwd=tcp::8888:80 indica che le connessioni tcp alla porta 8888 dell host (Windows) devono essere trasformate in connessioni alla porta 80 del guest (Linux). Su quale interfaccia arrivano? Senza ulteriori indicazioni sull interfaccia fisica del guest, cioè eth0 (10.0.2.15). Lo si può verificare attivando un web server sulla porta 10.0.2.15:80 e aprendo con il browser Windows l url http://localhost:8888. 1 # sulla macchina guest 2 echo ciao > index.html 3 sudo httpd f Qualora sia attivata la rete TUN/TAP (vedi 1.3), è attivo un web server sulla porta 192.168.240.6:80. Come fare per accedervi dal guest? Occorre usare iptables per girare le connessioni a 10.0.2.15:80 a 192.168.240.6:80. 1 sudo s 2 iptables t nat A PREROUTING p tcp dport 80 j DNAT to destination 192.168.240.1:80 3 iptables t nat A POSTROUTING j MASQUERADE 4 # necessario, altrimenti non c è routing 5 echo 1 > /proc/sys/net/ipv4/ip forward (le credenziali del server web sono admin:sicureti) Lab. 1/4/2013 5

Strumenti di packet filtering Figura 2.2: Flusso di un pacchetto fra le tabelle di iptables Lab. 1/4/2013 6

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back