Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 8 – Εργαστηρίο Πανεπιστήμιο Πελοποννήσου Τμήμα Επιστήμης & Τεχνολογίας Τηλεπικοινωνιών Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 8 – Εργαστηρίο Διδάσκων: Δρ. Γενειατάκης Δημήτρης email: dgen@{aegean,uop}.gr Πανεπιστήμιο Πελοποννήσου 4/11/2018

Πανεπιστήμιο Πελοποννήσου Περιεχόμενα IPtables 4/11/2018 Πανεπιστήμιο Πελοποννήσου

H περίπτωση των IPtables Προκέιτα για ανάχωμα ασφαλείας λειτουργικών συστημάτων UNIX Όταν ένα πακέτο ληφθεί από το ανάχωμα Επεξεργάζεται απο το υλικό Και μετά προωθείται στην κατάλληλη συσκευή του πυρήνα του λειτουργικού Όπου γίνεται η κατάλληλη επεξεργασία μέχρι να αποδωθεί στην κατάλληλη εφαρμογή 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Δομή των IPtables Πίνακες/ουρές (tables)/(queues) επεξεργασίας Κάθε ένας από αυτούς αξιοποιείται για μια συγκεκριμένη επεξεργασία ενός πακετού Ελέγχεται από την αντίστοιχη αλύσιδα Τρείς βασικοί πίνακες Mangle (alteration of quality of service bits in the TCP header) Filter: Πραγματοποιεί το φιλτράρισμα των πακέτων NAT: Πραγματοποιεί τη μετάφραση διευθύνσεων 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Πίνακας Filter Πραγματοποιεί το φιλτράρισμα των πακέτων Χρησιμοποιεί τρείς αλυσίδες Forward: Φιλτράρει τα πακέτα που έχουν ως προορισμό τους εξυπηρέτες που προστατεύει το ανάχωμα Input: Φιλτράρει τα πακέτα που έχουν προορισμό το ανάχωμα Output chain: Φιλτράρει τα πακέτα που δημιουργούνται από το ανάχωμα. 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Πίνακας NAT Πραγματοποιεί τη μετάφραση διευθύνσεων Xρησιμοποιεί κυρίως δύο αλυσίδες Αλυσίδα Pre-routing: Χρησιμοποιείται στην περίπτωση όπου απαιτείται η τροποποίηση του προορισμού Αλυσίδα Post-routing : Χρησιμοποιείται στην περίπτωση όπου απαιτείται η τροποποίηση της πηγής 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου IPtables Κάθε φορά που περιγράφεται ένας κανόνας θα πρέπει να προσδιορίζεται ο πίνακας και η αλυσίδα Ενέργειες που πραγματοποιούνται σε κάθε πακέτο Accept Drop Log Reject DNAT/SNAT Masquerade 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου IPTables 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου IPTables Παράδειγμα χρήσης Iptables –t filter -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 -p TCP -j ACCEPT 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Iptables & Έλεγχος Συνόδων Τα πακέτα συσχετίζονται με τέσσερις καταστάσεις New Established Related Invalid 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Iptables & Έλεγχος Συνόδων 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Παράδειγμα Iptables & Έλεγχος Συνόδων tcp 6 117 SYN_SENT src=192.168.1.5 dst=192.168.1.35 sport=1031 \ dport=23 [UNREPLIED] src=192.168.1.35 dst=192.168.1.5 sport=23 \ dport=1031 use=1 tcp 6 57 SYN_RECV src=192.168.1.5 dst=192.168.1.35 sport=1031 \ dport=23 src=192.168.1.35 dst=192.168.1.5 sport=23 dport=1031 \ use=1 tcp 6 431999 ESTABLISHED src=192.168.1.5 dst=192.168.1.35 \ sport=1031 dport=23 src=192.168.1.35 dst=192.168.1.5 \ sport=23 dport=1031 [ASSURED] use=1 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Ερωτήσεις 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου IPtables Όταν ξεκινάει η λειτουργία των Iptables δεν υπάρχουν κανόνες για τα πακέτα Πολιτική προκαθορισμένης άδειας χρήσης Μπορεί να τροποποιηθεί η πολιτική αυτή τροποποιώντας την τιμή forward στο άρθρωμα iptable_filter σε 0 Κάθε κανόνας προσδιορίζει τις συνθήκες τις οποίες πρέπει κάθε πακέτο να «τηρεί» sudo iptables -L Αποτυπώνει τη λίστα των κανόνων που υπάρχουν στους IPtables 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου IPtables Για παράδειγμα απέριψε όλα τα ICMP πακέτα που έχουν IP διεύθυνση 127.0.0.1 Ενέργεια drop Πρωτόκλλο ICMP Διέυθυνση 127.0.0.1 ping -c 1 127.0.0.1 Το σύστημα αποκρίνεται; Προσθήκε του κατάλληλου κανόνα Iptables –t filter -A INPUT –s 127.0.0.1 –p icmp –j DROP 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου IPtables iptables -D INPUT 1 Ο κανόνας που προσδιορίσαμε προηγουμένως είναι ο μοναδικός οπότε γνωρίζουμε τον αριθμό του 1 Εναλλακτικά θα μπορούσε να τον διαγράψουμε ακολουθώντας την αντίστροφη διαδικασία iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου IPtables Προσδιορισμός IP διευθύνσεων -s (πηγή) -d προορισμός Προσδιορισμός πρωτοκόλου -p (tcp,icmp,udp) Προσδιορισμός δικτυακής διεπαφής -i (είσοδος) /-o (έξοδος) Προσοχή εάν υπάρχει –ο κανόνας στον πίνακα ΙNPUT ποιά θα είναι η συμπεριφορά του αναχώματος 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου IPtables Απόρριψη συνδέσεων TCP Iptables –t filter-p TCP -s 192.168.1.1 –syn Γενική απόριψη συνδέσεων Iptables –t filter -A INPUT -j DROP Καταγραφή δεδομένων iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Ερωτήσεις 4/11/2018 Πανεπιστήμιο Πελοποννήσου