ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙ ΕΥΤΙΚΟ Ι ΡΥΜΑ ΣΕΡΡΩΝ ΣΧΟΛΗ ΤΕΧΝΟΛΟΓΙΚΩΝ ΕΦΑΡΜΟΓΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ & ΕΠΙΚΟΙΝΩΝΙΩΝ ΜΕΛΕΤΗ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ FIREWALL OTENET SECURITY KIT ΜΕΛΕΤΗ ΤΩΝ ΤΕΧΝΙΚΩΝ FIREWALL ΜΕ ΒΑΣΗ ΤΟ LINUX-IPTABLES. IPTABLES. ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ των ΚΑΡΑΝΙΚΑ ΒΑΣΙΛΙΚΗ (265) ΑΝΑΣΤΑΣΙΟΥ ΕΥΑΓΓΕΛΙΑ (263) ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ: ΚΥΡΙΟΣ ΕΥΑΓΓΕΛΟΣ ΠΑΠΑΡΓΥΡΗΣ
ΠΕΡΙΛΗΨΗ ιαδεδοµένη χρήση του Internet Επιχειρήσεις και γενικά στην καθηµερινή ζωή του ανθρώπου Έχει καταστήσει αναγκαία τη χρήση ενός εργαλείου για την προστασία του τοπικού µας δικτύου από τους κακόβουλους χρήστες του διαδικτύου που επιχειρούν να εισβάλουν στο σύστηµα µας και να το βλάψουν µε διάφορους τρόπους. Τα εργαλεία αυτά ονοµάζονται firewall. ιάφοροι τύποι firewall ανάλογα µε τις εκάστοτε ανάγκες. Στην παρούσα εργασία θα µελετήσουµε δύο από αυτά: το πρώτο είναι το Otenet Security Kit, ένα σύστηµα το οποίο είναι διαθέσιµο στο internet και το δεύτερο είναι ένα εργαλείο που µας παρέχει το Linux (έκδοση 2.4 και νεότερες) και ονοµάζεται Netfilter-Iptables.
ΤΙ ΕΙΝΑΙ ΤΑ FIREWALLS. Τα firewalls αποτελούν συνδυασµούς hardware (υλικό) και software (λογισµικό) Τοποθετούνται στο πιο ευπαθές σηµείο µεταξύ του επιχειρηµατικού δικτύου και του Internet και µπορεί να είναι από απλά ως εξαιρετικά πολύπλοκα συστήµατα. Επιτρέπουν στους χρήστες να έχουν πρόσβαση στο Internet Εµποδίζουν τους επίδοξους hackers να αποκτήσουν πρόσβαση στο προσωπικό ή επιχειρηµατικό δίκτυο και να προκαλέσουν ζηµιές.
ΤΟ ΚΕΝΤΡΙΚΟ ΠΑΡΑΘΥΡΟ ΤΟΥ SECURITY KIT Το κεντρικό παράθυρο του συστήµατος αποτελείται από 6 καρτέλες. Οι καρτέλες αυτές είναι οι εξής: Καρτέλα Αρχή Καρτέλα Προστασία από ιούς και κατασκοπευτικά προγράµµατα Καρτέλα Ασπίδα internet Καρτέλα Έλεγχος ανεπιθύµητης αλληλογραφίας Καρτέλα Γονικός έλεγχος Καρτέλα Αυτόµατες ενηµερώσεις.
Iptables: ΠΙΝΑΚΕΣ - ΑΛΥΣΙ ΕΣ FILTER NAT MANGLE INPUT OUTPUT INPUT OUTPUT FORWARD POSTROUTING PREROUTING OUTPUT FORWARD POSTROUTING PREROUTING
ΕΠΙΤΡΕΠΩ/ΑΠΑΓΟΡΕΥΩ ΚΑΘΕ ΕΙ ΟΥΣ ΚΥΚΛΟΦΟΡΙΑ Ασπίδα internet επιλέγω Να Επιτρέπονται Όλα. Με τον τρόπο αυτό απενεργοποιώ στην ουσία το firewall και κάθε είδους κυκλοφορία (εισερχ/εξερχ) γίνεται δεκτή. Ασπίδα internet επιλέγω Αποκλεισµός Όλων Το firewall απαγορεύει την κυκλοφορία. Καµία επικοινωνία δεν γίνεται δεκτή
ΕΠΙΤΡΕΠΩ/ΑΠΑΓΟΡΕΥΩ ΚΑΘΕ ΕΙ ΟΥΣ ΚΥΚΛΟΦΟΡΙΑ πενεργοποίηση του firewall, Επιτρέπω κάθε κυκλοφορία.. ώδικας: iptables -t filter -A INPUT -j ACCEPT iptables -t filter -A OUTPUT -j ACCEPT iptables -t filter -A FORWARD -j ACCEPT Απαγόρευση κάθε είδους κυκλοφορίας. iptables -t filter -A INPUT -j DROP iptables -t filter -A OUTPUT -j DROP iptables -t filter -A FORWARD -j DROP
ΤΟ Firewall ΑΠΑΓΟΡΕΥΕΙ ΟΠΟΙΑ ΗΠΟΤΕ ΕΦΑΡΜΟΓΗ MAIL
ΤΟ Firewall ΑΠΑΓΟΡΕΥΕΙ ΟΠΟΙΑ ΗΠΟΤΕ ΕΦΑΡΜΟΓΗ MAIL
ΤΟ Firewall ΑΠΑΓΟΡΕΥΕΙ ΟΠΟΙΑ ΗΠΟΤΕ ΕΦΑΡΜΟΓΗ MAIL Το firewall απαγορεύει την αποστολή και λήψη µηνυµάτων. iptables t filter -A INPUT p tcp --dport smtp j drop iptables t filter -A OUTPUT p tcp --sport smtp j drop
ΑΠΑΓΟΡΕΥΣΗ ΕΜΦΑΝΙΣΗΣ ΣΥΓΚΕΚΡΙΜΕΝΗΣ WEB ΣΕΛΙ ΑΣ
ΑΠΑΓΟΡΕΥΣΗ ΕΜΦΑΝΙΣΗΣ ΣΥΓΚΕΚΡΙΜΕΝΗΣ WEB ΣΕΛΙ ΑΣ
ΑΠΑΓΟΡΕΥΣΗ ΕΜΦΑΝΙΣΗΣ ΣΥΓΚΕΚΡΙΜΕΝΗΣ WEB ΣΕΛΙ ΑΣ
Απαγόρευση της εµφάνισης µιας ιστοσελίδας ή ενός συνόλου από σελίδες. Αν θέλω να απαγορεύσω την εµφάνιση µίας ιστοσελίδας π.χ. www.teiser.gr : iptables t filter -A OUTPUT sport http d 195.130.67.5 j drop Αν θέλω να απαγορεύσω την εµφάνιση ενός συνόλου από ιστοσελίδες π.χ. www.teiser.gr και www.teikoz.gr : iptables t filter -A OUTPUT sport http d 195.130.67.5,195.130.8.5 j drop
ΕΠΙΤΡΕΠΩ ΤΗΝ ΕΜΦΑΝΙΣΗ ΜΟΝΟ ΜΙΑΣ ΣΕΛΙ ΑΣ ΕΝΩ ΑΠΑΓΟΡΕΥΩ ΟΛΕΣ ΤΙΣ ΑΛΛΕΣ.
ΕΠΙΤΡΕΠΩ ΤΗΝ ΕΜΦΑΝΙΣΗ ΜΟΝΟ ΜΙΑΣ ΣΕΛΙ ΑΣ ΕΝΩ ΑΠΑΓΟΡΕΥΩ ΟΛΕΣ ΤΙΣ ΑΛΛΕΣ.
ΕΠΙΤΡΕΠΩ ΤΗΝ ΕΜΦΑΝΙΣΗ ΜΟΝΟ ΜΙΑΣ ΣΕΛΙ ΑΣ ΕΝΩ ΑΠΑΓΟΡΕΥΩ ΟΛΕΣ ΤΙΣ ΑΛΛΕΣ. Προσθήκη 2ου κανόνα που θα απαγορεύει την εµφάνιση όλων των ιστοσελίδων
Επιτρέπω την εµφάνιση µόνο µιας ιστοσελίδας ή ενός συνόλου από σελίδες ενώ απαγορεύω όλες τις υπόλοιπες. Αν θέλω να επιτρέψω την εµφάνιση µίας ιστοσελίδας π.χ. www.teiser.gr : iptables t filter -A OUTPUT --sport http d 195.130.67.5 j accept iptables t filter -A OUTPUT --sport http j drop Αν θέλω να επιτρέψω την εµφάνιση ενός συνόλου από ιστοσελίδες π.χ. www.teiser.gr και www.teikoz.gr : iptables t filter -A OUTPUT sport http d 195.130.67.5,195.130.8.5 j accept iptables t filter -A OUTPUT --sport http j drop
ΑΠΑΓΟΡΕΥΣΗ ΤΗΣ ΕΞΕΡΧΟΜΕΝΗΣ ΚΥΚΛΟΦΟΡΙΑΣ ΜΟΝΟ ΠΡΟΣ ΜΙΑ ΙΕΥΘΥΝΣΗ IP.
ΑΠΑΓΟΡΕΥΣΗ ΤΗΣ ΕΞΕΡΧΟΜΕΝΗΣ ΚΥΚΛΟΦΟΡΙΑΣ ΜΟΝΟ ΠΡΟΣ ΜΙΑ ΙΕΥΘΥΝΣΗ IP. Στο δεύτερο βήµα ορίζω ποια διεύθυνση θα αφορά ο κανόνας. Στο παράδειγµα είναι 195.130.57.5
ΑΠΑΓΟΡΕΥΣΗ ΤΗΣ ΕΞΕΡΧΟΜΕΝΗΣ ΚΥΚΛΟΦΟΡΙΑΣ ΜΟΝΟ ΠΡΟΣ ΜΙΑ ΙΕΥΘΥΝΣΗ IP.
ΑΠΑΓΟΡΕΥΣΗ ΤΗΣ ΕΞΕΡΧΟΜΕΝΗΣ ΚΥΚΛΟΦΟΡΙΑΣ ΜΟΝΟ ΠΡΟΣ ΜΙΑ ΙΕΥΘΥΝΣΗ IP. Τέλος στο τελευταίο βήµα βλέπω συγκεντρωµένες τις ιδιότητες του κανόνα που έχω ορίσει.
ΑΠΑΓΟΡΕΥΣΗ ΤΗΣ ΕΞΕΡΧΟΜΕΝΗΣ ΚΥΚΛΟΦΟΡΙΑΣ ΜΟΝΟ ΠΡΟΣ ΜΙΑ ΙΕΥΘΥΝΣΗ IP. Επίσης µπορώ να προσθέσω έναν κανόνα οοποίοςθαεπιτρέπει την εξερχόµενη κυκλοφορία µόνο προς µία ip ή ένα σύνολο ip διευθύνσεων.
Ρύθµιση της κυκλοφορίας από/ προς µία ip διεύθυνση. Απαγόρευση της εξερχόµενης κυκλοφορίας προς µία ip ήπροςένα σύνολο από ip. iptables t filter -A OUTPUT d 195.130.67.5 j drop iptables t filter -A OUTPUT d 195.130.67.5,195.130.8.5 j drop Επιτρέπω την εισερχόµενη κυκλοφορία µόνο από µία ip ήαπόένα σύνολο ip. iptables t filter -A INPUT s 195.130.67.5 j ACCEPT
ΑΠΑΓΟΡΕΥΣΗ ΟΠΟΙΑ ΗΠΟΤΕ FTP ΚΥΚΛΟΦΟΡΙΑΣ.
ΑΠΑΓΟΡΕΥΣΗ ΟΠΟΙΑ ΗΠΟΤΕ FTP ΚΥΚΛΟΦΟΡΙΑΣ.
Το firewall απαγορεύει την ftp λήψη και αποστολή. iptables t filter -A INPUT p ftp s 195.130.67.5 j drop iptables t filter -A OUTPUT p ftp d 195.130.67.5 j drop iptables t filter -A INPUT p ftp j drop iptables t filter -A OUTPUT p ftp j drop
Αντικατάσταση κανόνα Αντικατάσταση κανόνα που βρίσκεται σε συγκεκριµένη θέση της αλυσίδας: Αντικαθιστούµε τον κανόνα που υπάρχει στη θέση 3 της αλυσίδας INPUT µε έναννέοοοποίοςεπιτρέπ τα εισερχόµενα mail. iptables -R INPUT 3 -p tcp --dport smtp j ACCEPT
ιαγραφή κανόνων ιαγραφή όλων των κανόνων της αλυσίδας. iptables -F INPUT ιαγραφή όλων των κανόνων όλων των αλυσίδων όλου του πίνακα nat iptables -t nat F ιαγραφή κανόνα από συγκεκριµένη θέση της αλυσίδας. iptables D INPUT 1 Εννοείται ο πίνακας filter Εµφάνιση των κανόνων Εµφάνιση των κανόνων που περιέχει µια αλυσίδα. iptables -L INPUT Εµφάνιση όλων των κανόνων όλων των αλυσίδων ενός πίνακα iptables -t nat -L
Αλυσίδες ηµιουργία αλυσίδας iptables N my_chain ιαγραφή αλυσίδας Iptables A INPUT s 195.130.80.45 -j my_chain iptables X my_chain Μετονοµασία αλυσίδας. ιptables E my_chain new_name_for_my_chain
Αλλαγή της προεπιλεγµένης πολιτικής των αλυσίδων. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP Καθορίζουµε δηλαδήτοτι θα γίνει µε ταπακέταπουδεν ταιριάζουν σε κανέναν κανόνα. Η προεπιλεγµένηπολιτικήείναιaccept. νίσταται η αλλαγή της προεπιλεγµένης πολιτικής των αλυσίδων ό ACCEPT σε DROP έτσι ώστε να αποφύγουµε κάθεανεπιθύµητη ερχόµενη κυκλοφορία.
Έλεγχος της κατάστασης των πακέτων. iptables -A INPUT -m state -p tcp --dport 80 --state NEW, ESTABLISHED, RELATED -j ACCEPT iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED, RELATED -j ACCEPT Με αυτόν τον τρόπο µας δίνεται η δυνατότητα να αναγνωρίσουµε αν ένα πακέτο αποτελεί µέρος των δεδοµένων µιας νόµιµης σύνδεσης ή αν προέρχεται από έναν επίδοξο εισβολέα.
Μετάφραση διεύθυνσης δικτύου προέλευσης ετάφραση διεύθυνσης δικτύου προέλευσης στατικά. iptables -t nat -A POSTROUTING -i eth0 -o eth1-j SNAT--to-source 195.251.239.197 ετάφραση διεύθυνσης δικτύου προέλευσης δυναµικά. Χρησιµοποιείται όταν δεν θέλουµε ναχρησιµοποιήσουµε µια διεύθυνση ip για κάθε υπολογιστή αλλά να µία κοινή εξωτερική ip για την επικοινωνία µας µε τοinternet. iptables -t nat -A POSTROUTING -i eth0 -o ppp0 -j MASQUERADE
Τροποποίηση ToS Τροποποίηση του χρόνου καθυστέρησης του πακέτου iptables -t mangle -A PREROUTING -p tcp -j TOS --set-tos Minimize-Delay
Αποδοχή icmp πακέτων Το iptables διαµορφώνεται έτσι ώστε να επιτρέψει στο firewall να στείλει ICMP echo-request (pings) και στη συνέχεια, να δεχτούν τις αναµενόµενες echo-replies ICMP. iptables -A OUTPUT -p icmp --icmp-type echorequest -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
Συµπεράσµατα Σηµαντική η χρήση του firewall ειδικά σε εταιρίες και επιχειρηµατικά δίκτυα. Προσφέρουν αξιόλογη προστασία: Από επίδοξους εισβολείς Και ιούς. υνατότητα Γονικού Ελέγχου. Μεγάλη ποικιλία firewall ανάλογα µε τις ανάγκες και τιςαπαιτήσειςτωνχρηστών. Απαραίτητες εξειδικευµένες γνώσεις προγραµµατισµού για τη χρήση κάποιων τύπων firewall.