Iptables

Transkrypt

Iptables

Zarządzanie bezpieczeństwem w sieciach
Router programowy z firewallem oparty o iptables
Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na
iptables. Bramka umożliwiać ma nie tylko dostęp do sieci komputerom będącym w sieci
wewnętrznej, ale także zapewniać ma podstawową ochronę tej sieci przed atakami intruzów
(firewall).
1. Skonfiguruj sieć według poniższego rysunku:
Klienci sieci wewnętrznej mogą być zarówno komputery, będące pod kontrolą systemów
Windows, jak i Linux, natomiast bramkę stanowi komputer pracujący pod kontrola
systemu Linux. Pamiętaj także o dodaniu adresu bramki oraz serwerów DNS do
konfiguracji klientów. Sprawdź, czy tak skonfigurowana sieć działa (za pomocą polecenia
ping.)
1.1 Skonfiguruj bramkę, aby miała dostęp do Internetu.
2. Na komputerze – bramce stwórz plik o nazwie firewall i nadaj mu prawa
wykonywania.
2.1 W pliku firewall umieszczony będzie skrypt odpowiedzialny zarówno za routing jak
i za filtrowanie pakietów. Pierwszym krokiem jest wyczyszczenie tablic iptables.
Można to zrobić za pomocą następujących poleceń:
mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
Teraz można przystąpić do budowy firewalla, wcześniej jednak należy włączyć
przekazywanie pakietów, aby umożliwić routing.
echo "1" > /proc/sys/net/ipv4/ip_forward
Firwall “doskonały” – nie przepuszcza żadnych pakietów, co można osiągnąć stosując
polecenia:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Powyższe polecenia sprawiają, że wszystkie pakiety zostają porzucone.
Zapisz skrypt i sprawdź, czy rzeczywiście nie ma dostępu ani z zewnątrz sieci ani do
wewnątrz. Zobacz jak wygląda teraz konfiguracja firewalla za pomocą polecanie
iptables - L
2.2 Udostępnianie wybranych usług na komputerze-bramce:
Ponieważ firewall w tym momencie nie przepuszcza żadnych pakietów, jest więc
nieużyteczny. W tym kroku odblokowane zostaną wybrane usługi – tylko te, z których
będziemy chcieli korzystać, reszta nadal będzie blokowana.
Akceptujemy pakiety IMCP z lokalnej maszyny:
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
Uruchom ponowie skrypt i sprawdź, czy możliwa jest komunikacja za pomocą protokołu
IMCP z komputerami wewnątrz i na zewnątrz sieci. Użyj ponownie polecenia
iptables –L
Co się zmieniło?
Czy możliwe jest uzyskane połączenie z dowolną maszyna z sieci zewnętrznej:
a) z komputera z sieci wewnętrznej?
b) z komputera-bramki?
Akceptujemy pakiety WWW
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
Akceptujemy pakiety ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
Akceptujemy pakiety poczty wychodzącej (smtp)
Akceptujemy pakiety poczty przychodzącej (pop3)
Akceptujemy pakiety DNS
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
W ten sposób odblokowaliśmy usługi takie jak WWW, DNS, pocztę elektroniczną (protokoły
SMTP i POP3) na komputerze-bramce. Analogicznie można udostępnić inne usługi.
iptables -A INPUT -p tcp --dport 8010 -j ACCEPT -m state --state NEW
iptables -A FORWARD -p all -i Adres_WAN -o Adres_LAN -m state --state
ESTABLISHED,RELATED -j ACCEPT
Na koniec wpuszczamy tylko nawiązane i spokrewnione połączenia (dla wszystkich
protokołów)
2.3 Forwardowanie pakietów.
Forwardowanie pakietów do komputerów znajdujących się wewnątrz sieci powoduje, ze cały
ruch sieciowy, który związany jest z komputerami w Siecie wewnętrznej niejako tylko
„przechodzi” przez bramkę. Z drugiej strony nadal mamy możliwość filtrowania tego ruchu.
dla karty z ip 192.168.65.1
iptables -t filter -A FORWARD -s 192.168.65.1/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.65.1/255.255.255.0 -j ACCEPT
iptables -t filter -A INPUT -j ACCEPT
ustawienie nat i maskarady. W tym przypadku dla eth0 (interfejs WAN)
iptables -t nat -A POSTROUTING –o eth0 -j MASQUERADE
Uruchom skrypt i sprawdź, czy komputery z sieci wewnętrznej mają dostęp do sieci
zewnętrznej. Można to zrobić za pomocą protokołu IMCP jak również za pomocą
przeglądarki lynx (linux) czy IE (windows).
2.4 Przekierowanie portów
Przekierowanie portów (ang. port forwarding, port redirection) – przekierowanie pakietów
z sieci zewnętrznej (np. Internetu), przychodzących na określony port serwera, do innego
komputera w sieci lokalnej. Forwardowane mogą być protokoły TCP, UDP i inne.
W zależności od implementacji i używanego narzędzia przekierowanie pakietów następuje
domyślnie na te same porty do maszyny wewnątrz sieci lokalnej, bądź są one zmieniane na
inne.
Umożliwia komputerom spoza sieci wewnętrznej (LAN) połączyć się z komputerem stojącym
za bramą (np. w strefie zdemilitaryzowanej - DMZ). Przekierowanie portów stosowane jest
w razie konieczności łączenia się z zewnątrz z komputerami w sieci wewnętrznej (np. gdy
użytkownik chce stworzyć serwer na swoim komputerze, podłączonym do sieci poprzez
mechanizm maskarady). Jest to standardowa opcja dostępna w większości routerów.
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport port -j DNAT --to Adres_wewnetrzny
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport port -j DNAT --to Adres_wewnetrzny
Powyższy przykład ilustruje przykład przekierowania portu „port” do komputera znajdującego się w
sieci wewnętrznej, o adresie „Adres_wewnętrzny”.
Korzystając z tego przykładu przekierujemy następujące porty :
a) Dla komputera o adresie 192.168.65.2 przekieruj port 433 (TCP) (port wykorzystywany przez
„Skype” do transferu plików.)
b) Dla komputera o adresie 192.168.65.3 przekieruj porty 4662 (TCP) i 4672 (UDP) (porty
wykorzystywane przez „Emule”)
2.5 Ochrona przed skanowaniem portów oraz wybranymi atakami sieciowymi.
a) Ochrona przed atakiem typu „Ping of death”
Ping of death – sposób ataku za pomocą wysłania zapytania ping (ICMP Echo Request) w
pakiecie IP o rozmiarze większym niż 65535 bajtów.
Atak :
ping -l 65510 <adres ip>
Powyższe polecenia wykonać można z poziomu systemu windows 98/NT, oraz niektórych
dystrybucji systemu linux, obecnie, w wielu systemach operacyjnych nie można wykonać
takiego polecenia za pomocą wbudowanej implementacji polecenia ping.
Do 65510 bajtów dodany zostanie nagłówek IP (20 bajtów) i zapytanie ICMP Echo Request
(8 bajtów). Może to spowodować awarię atakowanego systemu lub zawieszenie działającej na
nim aplikacji.
Ochrona :
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
b) Ochrona przed atakiem “Syn-flood”
Atak ten polega na tym, iż komputer (często jest to serwer) odpowiada na pakiety SYN
atakującego ale nie otrzymuje pakietów ACK. Powoduje to, że zwykły użytkownik nie
otrzymuje odpowiedzi na swoje żądanie.
Atak :
Atak polega na wysyłaniu dużej ilości pakietów z ustawioną w nagłówku flagą synchronizacji
(SYN) i najczęściej ze sfałszowanym adresem IP nadawcy (IP spoofing).
Ochrona :
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
Powyższa reguła powoduje, że na pakiety z ustawiona flagą SYN nałożony zostanie limit
czasowy, co spowoduje, ze atakowany serwer (tutaj zakładamy, że znajduje się on w sieci
wewnętrznej) nie zostanie zablokowany przez fałszywe pakiety SYN, ponieważ tylko ich
część będzie docierała do celu, co nie powinno spowodować zablokowania systemu.
c) Ochrona przed atakiem IDENT i SOCK SCANNING
Atak polega na nawiązywaniu pełnego połączenia TCP i próbie ustalenia, poprzez protokół
ident, właściciela procesu na danym porcie. Jeśli właścicielem jest root, można próbować
ataku na ten właśnie port.
Ochrona :
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable
Reguła powoduje, że odrzucamy przychodzące zapytania o IDENT i SOCKS z odpowiedzią
port nieosiągalny.
2.4 Używając programu nmap sprawdzić otwarte porty w dostępnych w pracowni
komputerach. Należy wykorzystać przede wszystkim skanowania TCP connect, TCP
SYN, TCP ACK, TCP FIN, TCP XMAS, TCP NULL oraz bardziej rozbudowanych
profili skanowania dostępnych w programie nmap.
2.4.1 Skanowanie portów komputera działającego pod kontrolą systemu Windows należy
wykonać z komputera z zainstalowanym systemem Linux używając konsoli.
2.4.2 Skanowanie portów komputera działającego pod kontrolą systemu Linux należy
wykonać z komputera z zainstalowanym systemem Windows używając interfejsu
graficznego.
3. Konfiguracja Firewalla systemowego w systemie Windows XP
System Windows XP posiada wbudowany firewall, podstawowa konfiguracja firewalla
może wyglądać następująco :
Zapora systemu Windows (Windows Firewall) posiada trzy tryby pracy:
•
•
•
Włącz (zalecane) - jest to domyślny tryb i zalecany podczas normalnej pracy, gdzie jest
uwzględniona lista wyjątków.
Włącz wraz z opcją "nie zezwalaj na wyjątki" - tryb przeznaczony w czasie różnych zagrożeń
np. praca naszego komputera w obcej sieci. Nie jest tu uwzględniania lista wyjątków.
Wyłącz (nie zalecane) - całkowicie wyłączenie zapory.
Możemy tutaj zauważyć że domyślnie jest włączony wyjątek "Udostępnianie plików i
drukarek. Domyślnie jest też włączony wyjątek "Pomoc zdalna", który się odnosi do danej
aplikacji.
1. Uruchamiamy firewalla na połączeniu lokalnym.
2. Wybieramy zakładkę „wyjątki”. Tutaj dodać można tzn wyjątki, czyli porty wraz z
protokołem (TCP/UDP), które chcemy, aby pozostały otwarte. M ożna uczynić to na
dwa sposoby :
- przypisywać konkretna aplikację – wtedy firewall automatycznie zezwoli na
transmisję na dowolnym porcie, którego zaradza aplikacja, jest to wygodne, gdy
aplikacja pracuje na wielu portach lub wybiera je losowo (np. niektóre gry
komputerowe.) – wybieramy wtedy opcje „dodaj program”, można także ustalić
źródło, z którego pochodzić mogą pakiety : sieć LAN czy adres IP.
- Otworzyć konkretny port - wybieramy wtedy opcję „dodaj port”.
Do prawidłowego działania w otoczeniu sieciowym system musi mieć otwarte poniższe
porty:
•
•
•
port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP)
port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP)
port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP)
opcjonalnie (nie wymagane w wielu sieciach):
•
port: 445, protokół: TCP, opis: Distributed File System (445 TCP) odpowiedzialny
za DFS - Rozproszony system plików.
Zatem skonfiguruj firewall tak ,aby prawidłowo działał w otoczeniu sieciowym.
Następnie można przejść do zakładki "Protokół ICMP" i włączyć "Zezwalaj na przychodzące
żądania echa", dzięki czemu Windows odpowie na ping.
Zakładka "Rejestrowanie zabezpieczeń", w której można włączyć opcje rejestrowania do
pliku o odrzuconych i udanych połączeniach znajduje się powyżej zakładki "Protokół ICMP".
Pozwala ona na zdefiniowanie pliku, w którym zapisywane maja zostać zdarzeń, jego
wielkości maksymalnej oraz możemy zdecydować, czy zapisywane mają być połączenie
odrzucone i/lub zakończone sukcesem.
Zakładka „Rejestrowanie zabezpieczeń”.
Zaznacz opcje „Rejestruj porzucone pakiety”, zablokuj dostęp do wybranej usługi (lub po
prostu danego portu), a następnie z innego komputera spokój nawiązać połączenie na tym
porcie (np. za pomocą polecenia telnet), a następnie obedrzyj zawartość dziennika. To samo
zrób dla opcji „Rejestruj udane połączenia”.
3. Korzystając z zakładki „wyjątki” otwórz port 25 (protokół TCP, dla komputera z POZA
sieci, adres może być fikcyjny), a następnie prób za pomocą polecenie telnet spróbuj
nawiązać połączenie na tym porcie. Następnie sprawdź zawartość pliku z rejestrem połączeń.
4. Odblokuj następujące porty:
- port 53, protokół UDP, usługa DNS
- port 443, protokół TCP, usługa HTTPS
- port 103, protokół TCP, POP3
- port 25, protokół TCP, SMTP
- port 22, protokół TCP, usługa SSH
- port 67, protokół UDP, usługa DHCP

Iptables

Transkrypt

Podobne dokumenty

Zadania: iptables

Blokowanie Portów - DD-WRT

Internet Internet

Podstawowa wersja - PLD

Programowanie Sieciowe

Red Hat Linux 8. Biblia

Modele warstw

Przykłady składni polecenia iptables

Co to jest iptables?