Ασφάλεια Υπολογιστικών Συστημάτων. Ενότητα 10: Intrusion Detection Systems - Netfilter (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Σχετικά έγγραφα
Ασφάλεια Υπολογιστικών Συστημάτων. Ενότητα 9: Intrusion Detection Systems - Netfilter (Μέρος 1) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Λογιστική Κόστους Ενότητα 12: Λογισμός Κόστους (2)

Ασφάλεια Υπολογιστικών Συστημάτων

Λογιστική Κόστους Ενότητα 8: Κοστολογική διάρθρωση Κύρια / Βοηθητικά Κέντρα Κόστους.

Ειδικά Θέματα Δικτύων Ι

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Διοίκηση Εξωτερικής Εμπορικής Δραστηριότητας

Εισαγωγή στους Αλγορίθμους

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ασφάλεια Υπολογιστικών Συστημάτων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Θερμοδυναμική. Ανοικτά Ακαδημαϊκά Μαθήματα. Πίνακες Νερού σε κατάσταση Κορεσμού. Γεώργιος Κ. Χατζηκωνσταντής Επίκουρος Καθηγητής

Εισαγωγή στους Αλγορίθμους

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Λογιστική Κόστους Ενότητα 11: Λογισμός Κόστους (1)

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών Ενότητα 2: ΣΥΓΚΕΝΤΡΩΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΜΑΡΚΕΤΙΝΓΚ Λοίζου Ευστράτιος Τμήμα Τεχνολόγων Γεωπόνων-Kατεύθυνση

Διοικητική Λογιστική

Λογιστική Κόστους Ενότητα 11: Λογισμός Κόστους

ΑΝΤΙΡΡΥΠΑΝΤΙΚΗ ΤΕΧΝΟΛΟΓΙΑ ΑΙΩΡΟΥΜΕΝΩΝ ΣΩΜΑΤΙΔΙΩΝ Ενότητα 2: Αιωρούμενα σωματίδια & Απόδοση συλλογής Αν. Καθ. Δρ Μαρία Α. Γούλα Τμήμα Μηχανικών

Εισαγωγή στους Αλγορίθμους

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Τεχνολογία Πολυμέσων. Ενότητα 8: Pool Table. Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Βάσεις Δεδομένων. Ενότητα 1: Εισαγωγή στις Βάσεις δεδομένων. Πασχαλίδης Δημοσθένης Τμήμα Ιερατικών σπουδών

Σχεδίαση Δικτύων Υπολογιστών

Λογιστική Κόστους Ενότητα 10: Ασκήσεις Προτύπου Κόστους Αποκλίσεων.

Σχεδίαση Δικτύων Υπολογιστών

Ασφάλεια Υπολογιστικών Συστημάτων

Εισαγωγή στους Αλγορίθμους Ενότητα 9η Άσκηση - Αλγόριθμος Kruskal

ΟΙΚΟΝΟΜΕΤΡΙΑ. Ενότητα 1: Εκτιμητές και Ιδιότητες. Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Εισαγωγή στους Αλγορίθμους Ενότητα 10η Άσκηση Αλγόριθμος Dijkstra

Οργάνωση και Διοίκηση Πωλήσεων Ενότητα 1: Ο ΡΟΛΟΣ ΤΩΝ ΠΩΛΗΣΕΩΝ ΣΤΟ ΠΛΑΙΣΙΟ ΤΗΣ ΣΤΡΑΤΗΓΙΚΗΣ ΜΑΡΚΕΤΙΝΓΚ

Τίτλος Μαθήματος: Μαθηματική Ανάλυση Ενότητα Γ. Ολοκληρωτικός Λογισμός

Σχεδίαση Δικτύων Υπολογιστών

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 3: Έλεγχοι στατιστικών υποθέσεων

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 1: Καταχώρηση δεδομένων

Μηχανολογικό Σχέδιο Ι

Εισαγωγή στους Αλγορίθμους Ενότητα 9η Άσκηση - Αλγόριθμος Prim

Θερμοδυναμική. Ανοικτά Ακαδημαϊκά Μαθήματα. Πίνακες Νερού Υπέρθερμου Ατμού. Γεώργιος Κ. Χατζηκωνσταντής Επίκουρος Καθηγητής

Εκκλησιαστικό Δίκαιο. Ενότητα 10η: Ιερά Σύνοδος της Ιεραρχίας και Διαρκής Ιερά Σύνοδος Κυριάκος Κυριαζόπουλος Τμήμα Νομικής Α.Π.Θ.

Συστήματα Αναμονής. Ενότητα 3: Στοχαστικές Ανελίξεις. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 2: Περιγραφική στατιστική

Ενότητα. Εισαγωγή στις βάσεις δεδομένων

Ειδικά Θέματα Δικτύων ΙΙ

Διεθνείς Οικονομικές Σχέσεις και Ανάπτυξη

ΟΙΚΟΝΟΜΕΤΡΙΑ. Ενότητα 3: Πολλαπλή Παλινδρόμηση. Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 8: Δρομολόγηση κατάστασης ζεύξης (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

ΑΝΑΛΥΣΗ ΧΡΗΜΑΤΟΟΙΚΟΝΟΜΙΚΩΝ ΚΑΤΑΣΤΑΣΕΩΝ

Διοίκηση Εξωτερικής Εμπορικής Δραστηριότητας

Σχεδίαση Δικτύων Υπολογιστών

Διοικητική Λογιστική

Στατιστική Ι. Ενότητα 3: Στατιστική Ι (3/4) Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Κοζάνη)

ΑΝΤΙΡΡΥΠΑΝΤΙΚΗ ΤΕΧΝΟΛΟΓΙΑ ΑΙΩΡΟΥΜΕΝΩΝ ΣΩΜΑΤΙΔΙΩΝ Ενότητα 6: Ηλεκτροστατικά Φίλτρα

Ειδικά Θέματα Δικτύων Ι

Ηλεκτροτεχνία ΙΙ. Ενότητα 1: Βασικές Έννοιες Ηλεκτροτεχία Ηλεκτρονική. Δημήτρης Στημονιάρης, Δημήτρης Τσιαμήτρος Τμήμα Ηλεκτρολογίας

Προγραμματισμός H/Y Ενότητα 4: Δείκτες. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Λογιστική Κόστους Ενότητα 5: Προορισμός Κόστους

Εκκλησιαστικό Δίκαιο

Βέλτιστος Έλεγχος Συστημάτων

Ενδεικτικές λύσεις ασκήσεων διαχείρισης έργου υπό συνθήκες αβεβαιότητας

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Λογιστική Κόστους. Ενότητα 4: ΣΥΜΠΕΡΙΦΟΡΑ - ΦΥΣΗ ΚΟΣΤΟΥΣ. Μαυρίδης Δημήτριος Τμήμα Λογιστικής και Χρηματοοικονομικής

Προγραμματισμός H/Y Ενότητα 3: Πίνακες αριθμών και χαρακτήρων. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ειδικά Θέματα Δικτύων Ι

Ειδικά Θέματα Δικτύων Ι

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Γενικά Μαθηματικά Ι. Ενότητα 12: Κριτήρια Σύγκλισης Σειρών. Λουκάς Βλάχος Τμήμα Φυσικής ΑΝΟΙΚΤΑ ΑΚΑΔΗΜΑΪΚΑ ΜΑΘΗΜΑΤΑ

Κβαντική Επεξεργασία Πληροφορίας

Ασφάλεια Υπολογιστικών Συστημάτων

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Θεσμοί Ευρωπαϊκών Λαών Ι 19 ος -20 ος αιώνας

ΗΛΕΚΤΡΟΝΙΚΗ ΙIΙ Ενότητα 6

Οργάνωση και Διοίκηση Πωλήσεων

Εισαγωγή στη Διοίκηση Επιχειρήσεων Ενότητα 2: Προγραμματισμός Επίκ. Καθηγητής Θεμιστοκλής Λαζαρίδης Τμήμα Διοίκηση Επιχειρήσεων (Γρεβενά)

Σχεδίαση Δικτύων Υπολογιστών

Συστήματα Αναμονής. Ενότητα 5: Ανέλιξη Poisson. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Γενικά Μαθηματικά Ι. Ενότητα 15: Ολοκληρώματα Με Ρητές Και Τριγωνομετρικές Συναρτήσεις Λουκάς Βλάχος Τμήμα Φυσικής

Έλεγχος και Διασφάλιση Ποιότητας Ενότητα 4: Μελέτη ISO Κουππάρης Μιχαήλ Τμήμα Χημείας Εργαστήριο Αναλυτικής Χημείας

Προγραμματισμός H/Y Ενότητα 2: Εντολές ελέγχου ροής. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Βάσεις Περιβαλλοντικών Δεδομένων

Εφαρμογές των Τεχνολογιών της Πληροφορίας και των Επικοινωνιών στη διδασκαλία και τη μάθηση

Αντικειμενοστρεφής Προγραμματισμός Ενότητα 5: Κληρονομικότητα. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ιστορία της μετάφρασης

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών

Μυελού των Οστών Ενότητα #1: Ερωτήσεις κατανόησης και αυτόαξιολόγησης

Εισαγωγικές έννοιες θεωρίας Συστημάτων Αυτομάτου Ελέγχου Ενότητα 8 η : ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ ΠΡΟΓΡΑΜΜΑΤΙΖΟΜΕΝΩΝ ΛΟΓΙΚΩΝ ΕΛΕΓΚΤΩΝ

ΣΥΜΠΕΡΙΦΟΡΑ ΚΑΤΑΝΑΛΩΤΗ

Τεχνικό Σχέδιο - CAD

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 7: Δρομολόγηση κατάστασης ζεύξης (Μέρος 1) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Λογιστική Κόστους Ενότητα 7: Κοστολογική διάρθρωση Κέντρα Κόστους.

Διδακτική Πληροφορικής

Οικονομετρία Ι. Ενότητα 3: Θεώρημα των Gauss Markov. Δρ. Χαϊδώ Δριτσάκη Τμήμα Λογιστικής & Χρηματοοικονομικής

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών Ενότητα 4: Πηγές Δεδομένων- Δευτερογενή Στοιχεία. Λοίζου Ευστράτιος Τμήμα Τεχνολόγων Γεωπόνων-Kατεύθυνση

Νέες Τεχνολογίες και Καλλιτεχνική Δημιουργία

Ηλεκτροτεχνία ΙΙ. Ενότητα 2: Ηλεκτρικά κυκλώματα συνεχούς ρεύματος. Δημήτρης Στημονιάρης, Δημήτρης Τσιαμήτρος Τμήμα Ηλεκτρολογίας

Transcript:

Ασφάλεια Υπολογιστικών Συστημάτων Ενότητα 10: Intrusion Detection Systems - Netfilter (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2

Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο TEI Δυτικής Μακεδονίας και στην Ανώτατη Εκκλησιαστική Ακαδημία Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3

Σκοποί ενότητας Σκοπός αυτής της εργαστηριακής άσκησης είναι να µας μάθει πως να χρησιµοποιούµε κάποιες επιπρόσθετες λειτουργίες του λογισμικού netfilter. 4

Περιεχόμενα ενότητας Φιλτράρισµα πακέτων. Φιλτράρισμα πακέτων µε βάση την κατάσταση µίας σύνδεσης. Firewall και διευθύνσεις loopback. Αποθήκευση, άδειασμα και διαγραφή εντολών από το firewall. Βιβλιογραφία. 5

Intrusion Detection Systems - Netfilter (Μέρος 2)

Φιλτράρισµα πακέτων (1/11) Το επόμενο βήμα είναι να δημιουργήσουμε τους κανόνες με βάση τους οποίους θα ορίζουν πως θα αντιδρά το firewall όταν λαμβάνει κίνηση από συγκεκρμένες IP ή/και ports. Οι πιθανές αντιδράσεις του firewall είναι οι παρακάτω: ACCEPT: Επιτρέπει την κίνηση. DROP: Αποτρέπει την κίνηση. Χρησιμοποιείται γι απαράδειγμα όταν δεν θέλουμε η πηγή της κίνησης να γνωρίζει αν το σύστημά μας είναι ενεργό. REJECT: Αποτρέπει την κίνηση αλλά απαντάει με μήνυμα error. Χρησιμοποιείται όταν θέλουμε να αποτρέψουμε συγκεκριμένη κίνηση αλλά θέλουμε η πηγή της κίνησης να γνωρίζει ότι το firewall απέρριψε την κίνηση. 7

Φιλτράρισµα πακέτων (2/11) Εικόνα 1. ACCEPT. Πηγή: Διδάσκων (2015). 8

Φιλτράρισµα πακέτων (3/11) Εικόνα 2. DROP. Πηγή: Διδάσκων (2015). 9

Φιλτράρισµα πακέτων (4/11) Εικόνα 3. REJECT. Πηγή: Διδάσκων (2015). 10

Φιλτράρισµα πακέτων (5/11) Το παρακάτω παράδειγμα μας δείχνει πως μπορούμε να παρεμποδίσουμε όλες τις συνδέσεις από την διεύθυνση 10.10.10.10. iptables -A INPUT -s 10.10.10.10 -j DROP Η παράμετρος A προσθέτει τον συγκεκριμένο κανόνα στο τέλος της αλυσίδας. Το iptables όταν ελέγχει τους κανόνες σε κάθε αλυσίδα ξεκινάει από την αρχή και ελέγχει έναν-έναν τους κανόνες μέχρι να βρει κάποιον που να ταιριάζει ή αλλιώς μέχρι και το τέλος. Αυτό σημαίνει οτι αν κατά λάθος έχουμε βάλει 2 κανόνες οι οποίοι αναιρούν ο ένας το άλλον, αυτός που θα εφαμοστεί θα είναι αυτός ο οποίος βρίσκεται πιο ψηλά στην αλυσίδα. 11

Φιλτράρισµα πακέτων (6/11) Αν θέλουμε λοιπόν να τοποθετήσουμε κάποιον κανόνα σε συγκεκριμένο σημείο στην αλυσίδα θα πρέπει να ορίσουμε τον αριθμό στην σειρά κατάταξης της αλυσίδας που επιθυμούμε να έχει ο κανόνας που φτιάχνουμε. Π.χ. αν δεν επιθυμούμε να λαμβάνουμε πακέτα από την διεύθυνση 10.10.10.10 μπορούμε να χρησιμοποιήσουμε τον κανόνα: iptables I INPUT 2 s 10.10.10.10 j DROP 12

Φιλτράρισµα πακέτων (7/11) Επιπλέον, ας υποθέσουµε πως δεν θέλουµε καµία εφαρµογή µας να στείλει καµίας µορφής πλαίσιο σε αυτό τον υπολογιστή υποπτευόµενοι πως µπορεί να έχουµε ένα trojan στο σύστηµά µας, οπότε αρκεί να δώσουµε: iptables -A OUTPUT -d 10.10.10.10 -j DROP 13

Φιλτράρισµα πακέτων (8/11) Μπορουμε επίσης να δημιουργήσουμε κανόνα που να αναφέρεται σε διευθύνσεις δικτύου: iptables -A INPUT -s 10.10.10.0/24 -j DROP ή iptables -A INPUT -s 10.10.10.0/255.255.255.0 -j DROP Για να κλείσουµε ένα tcp port, για παράδειγµα το port που χρησιµοποιεί το telnet, δηλαδή το 23, ώστε κανένας να µην έχει αποµακρυσµένη πρόσβαση στον υπολογιστή µας αρκεί να χρησιµοποιήσουµε την παρακάτω εντολή: iptables -A INPUT -p tcp --dport 23 -j DROP 14

Φιλτράρισµα πακέτων (9/11) Με αυτή την εντολή είπαµε στο firewall να προσθέσει ένα κανόνα στην αλυσίδα INPUT (-A INPUT) ο οποίος αφορά το πρωτόκολλο tcp (-p tcp). Ο ίδιος ο κανόνας δηλαδή ορίζει πως όλα τα tcp εισερχόµενα πακέτα που έχουν σαν προορισµό το port 23 (--dport 23) να απορρίπτονται (-j DROP). Πρέπει να καταστήσουµε σαφές πως απορρίπτονται µόνο τα πακέτα που έχουν σαν προορισµό το tcp port 23 του υπολογιστή µας από όποιο port και να ξεκινούν. 15

Φιλτράρισµα πακέτων (10/11) Αν θελήσουµε για παράδειγµα να κόψουµε όλα τα πακέτα που ξεκινούν από το port 23 και καταλήγουν σε οποιοδήποτε δικό µας αρκεί να πληκτρολογήσουµε: iptables -A INPUT -p tcp --sport 23 -j DROP Οπότε τελικά κόβουµε και µε τους δύο αυτούς κανόνες οποιαδήποτε εισερχόµενη ροή από το default port του telnet. 16

Φιλτράρισµα πακέτων (11/11) Για να µην µπορεί καµία εφαρµογή µας να δηµιουργεί εξερχόµενη κίνηση προς το 23 κάποιου υπολογιστή ή από το 23 του δικού µας προς οποιοδήποτε, αρκεί να εφαρµόσουµε αυτούς τους δύο κανόνες και στο OUTPUT chain. ηλαδή: iptables -A OUTPUT -p tcp --sport 23 -j DROP iptables -A OUTPUT -p tcp --dport 23 -j DROP 17

Φιλτράρισμα πακέτων µε βάση την κατάσταση µίας σύνδεσης (1/7) Όλες οι προαναφερθείσες µέθοδοι που χρησιµοποιήσαµε µέχρι τώρα έχουν ένα πολύ σηµαντικό κοινό χαρακτηριστικό που είναι συνάµα και µειονέκτηµα. Αυτό είναι ότι όλοι οι κανόνες φιλτραρίσματος είναι στατικοί που σημαίνει ότι τους ορίζουμε και εφαρµόζονται µε αυτόν τον τρόπο. Ένα firewall που χρησιμοποιεί αποκλειστικά τέτοιους κανόνες ονομάζεται stateless. 18

Φιλτράρισμα πακέτων µε βάση την κατάσταση µίας σύνδεσης (2/7) Αυτό βέβαια ορισμένες φορές δεν είναι επιθυµητό γιατί θα θέλαµε ο πυρήνας να καταλαβαίνει ορισµένα πράγµατα από µόνος του. Για να καταστήσουµε σαφές τι εννοούµε αρκεί να αναφέρουµε ένα παράδειγµα. Ας υποθέσουµε πως θέλουµε να εγκαταστήσουµε µια σύνοδο telnet από τον υπολογιστή µας σε έναν άλλο. Για να γίνει αυτό ο υπολογιστής στέλνει και λαµβάνει πακέτα χρησιµοποιώντας το tcp port 23. 19

Φιλτράρισμα πακέτων µε βάση την κατάσταση µίας σύνδεσης (3/7) Ακόµα ας υποθέσουµε πως κάποιος αρχίζει µια επίθεση στέλνοντας διάφορα κακόβουλα πακέτα στο 23 προκειµένου να δηµιουργήσει σύγχυση στη σύνδεσή µας και να κερδίσει το µηχάνηµα. Αν ορίσουµε στο firewall να απορρίπτει κάθε πακέτο που αφορά το 23 τότε αυτόµατα αποκόπτουµε και τον εαυτό µας από τον υπολογιστή στον οποίο συνδεόµαστε οπότε υπάρχει πρόβληµα. 20

Φιλτράρισμα πακέτων µε βάση την κατάσταση µίας σύνδεσης (4/7) Μία πρώτη λύση που φαίνεται είναι να κόψουµε την IP του, αλλά αν µας επιτεθούν από 15 άλλες θα χρειαστεί να τις βάλουµε όλες και δεν είναι δυνατό να εφαρµόζουµε την ίδια τακτική κάθε φορά. Αυτό που µένει λοιπόν είναι να µπορεί να καταλαβαίνει το firewall ποια πακέτα αφορούν µια σύνδεση και να απορρίπτει όλα όσα δεν συσχετίζονται µε κάποια. Ο κανόνας που εφαρµόζουµε συντάσσεται ως εξής. iptables -A INPUT -p tcp --dport 23 -m state --state INVALID -j DROP 21

Φιλτράρισμα πακέτων µε βάση την κατάσταση µίας σύνδεσης (5/7) Αυτό που θα έπρεπε να µας προβληµατίζει στον παραπάνω κανόνα είναι η παράµετρος -m state η οποία επιβάλει τη χρήση του module για stateful firewalling που το κάνει δηλαδή να "καταλαβαίνει" τις ενεργές συνδέσεις και να απορρίπτει (-j DROP) όσα πακέτα προορίζονται για το tcp port 23 και δεν έχουν σχέση µε καµία ενεργή σύνδεση (--state INVALID). 22

Φιλτράρισμα πακέτων µε βάση την κατάσταση µίας σύνδεσης (6/7) Γενικά ένα πακέτο μπορεί να βρίσκεται σε μια από τις παρακάτω καταστάσεις. 1. New: Το πακέτο δεν ανήκει σε καμία υπάρχουσα σύνδεση ή socket και έχει ενεργοποιημένο το TCP SYN flag. 2. Established: Tο πακέτο ανήκει σε κάποια υπάρχουσα σύνδεση ή socket και έχει ενεργοποιημένο κάποιο από τα TCP flags εκτός από το SYN. 23

Φιλτράρισμα πακέτων µε βάση την κατάσταση µίας σύνδεσης (7/7) 3. Related: Το πακέτο δεν ανήκει σε καμία υπάρχουσα σύνδεση ή socket αλλά θεωρείται αναμενόμενο από κάποιο socket. Κλασικό παράδειγμα σε αυτήν τη κατηγορία είναι πακέτα που ανταλλάσσονται με ftp όπου η σύνοδος FTP δημιουργείται στο port 21 αλλά στη συνέχεια τα πραγματικά δεδομένα μεταφέρονται από το port 20. 4. Invalid: Το πακέτο ανήκει σε αυτήν την κατάσταση όταν δεν ανήκει σε καμία από τις προηγούμενες. 24

Firewall και διευθύνσεις loopback (1/2) Σκεφτείτε την περίπτωση όπου η default πολιτική για τις αλυσίδες INPUT και OUTPUT είναι η DROP. Αυτό σημαίνει ότι όλη η κίνηση που διέρχεται από το firewall από ή προς την υπολογιστική συσκευή σας απορρίπτεται εκτός εάν υπάρχει κάποιος κανόνας ο οποίος να την επιτρέπει ρητά. Σε μα τέτοια πολιτική ο διαχειριστής του firewall θα πρέπει να μην ξεχνάει την διαχείριση κανόνων σχετικά με το loopback interface της συσκευής μας. Δοκιμάστε για παράδειγμα να αλλάξετε την πολιτική των αλυσίδων INPUT και OUTPUT σε DROP. 25

Firewall και διευθύνσεις loopback (2/2) Στη συνέχεια κάντε μια ping στην loopback διεύθυνση του υπολογιστή σας. Τι παρατηρείτε; Για να διορθώσετε το πρόβλημα εκτελέστε τις ακόλουθες εντολές: iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT Δοκιμάστε ξανά να εκτελέσετε ping στην loopback διεύθυνση του υπολογιστή σας. Τι παρατηρείτε τώρα; Γιατί; 26

Αποθήκευση, άδειασμα και διαγραφή εντολών από το firewall (1/2) Για να αποθηκεύσετε τις εντολές που έχετε δημιουργήσει πρέπει να εκτελέσετε: /sbin/iptables-save ή service iptables save Για να διαγράψετε όλες τις εντολές που έχετε δημιουργήσει πρέπει να εκτελέσετε: iptables F 27

Αποθήκευση, άδειασμα και διαγραφή εντολών από το firewall (2/2) Για να διαγράψετε μια συγκεκριμένη εντολή μπορείτε να εκτελέσετε την εντολή όπως την εκτελέσατε για να την εισάγετε στο firewall απλά αντί για την παράμετρο -Α θα χρησιμοποιήσετε την παράμετρο -D. Εναλλακτικά μπορείτε να χρησιμοποιήσετε π.χ. την εντολή: iptables -D INPUT --line-number Όπου --line-numbers ο αριθμός της γραμμής που βρίσκεται ο κανόνας στην αλυσίδα. Αν θέλετε να δείτε τους κανόνες μιας αλυσίδας αριθμημένους μπορείτε να εκτελέσετε π.χ. iptables -L INPUT -n --line-numbers. 28

Σημείωμα Αναφοράς Copyright ΤΕΙ Δυτικής Μακεδονίας, Νικολάου Σπύρος. «Ασφάλεια Υπολογιστικών Συστημάτων». Έκδοση: 1.0. Κοζάνη 2015. Διαθέσιμο από τη δικτυακή διεύθυνση: 29

Σημείωμα Αδειοδότησης Το παρόν υλικό διατίθεται με τους όρους της άδειας χρήσης Creative Commons Αναφορά, Μη Εμπορική Χρήση Παρόμοια Διανομή 4.0 [1] ή μεταγενέστερη, Διεθνής Έκδοση. Εξαιρούνται τα αυτοτελή έργα τρίτων π.χ. φωτογραφίες, διαγράμματα κ.λ.π., τα οποία εμπεριέχονται σε αυτό και τα οποία αναφέρονται μαζί με τους όρους χρήσης τους στο «Σημείωμα Χρήσης Έργων Τρίτων». [1] http://creativecommons.org/licenses/by-nc-sa/4.0/ Ως Μη Εμπορική ορίζεται η χρήση: που δεν περιλαμβάνει άμεσο ή έμμεσο οικονομικό όφελος από την χρήση του έργου, για το διανομέα του έργου και αδειοδόχο. που δεν περιλαμβάνει οικονομική συναλλαγή ως προϋπόθεση για τη χρήση ή πρόσβαση στο έργο. που δεν προσπορίζει στο διανομέα του έργου και αδειοδόχο έμμεσο οικονομικό όφελος (π.χ. διαφημίσεις) από την προβολή του έργου σε διαδικτυακό τόπο. Ο δικαιούχος μπορεί να παρέχει στον αδειοδόχο ξεχωριστή άδεια να χρησιμοποιεί το έργο για εμπορική χρήση, εφόσον αυτό του ζητηθεί. 30

Διατήρηση Σημειωμάτων Οποιαδήποτε αναπαραγωγή ή διασκευή του υλικού θα πρέπει να συμπεριλαμβάνει: το Σημείωμα Αναφοράς. το Σημείωμα Αδειοδότησης. τη δήλωση Διατήρησης Σημειωμάτων. το Σημείωμα Χρήσης Έργων Τρίτων (εφόσον υπάρχει). μαζί με τους συνοδευόμενους υπερσυνδέσμους. 31

Βιβλιογραφία 1. Κρυπτογραφία για Ασφάλεια Δικτύων Αρχές και Εφαρμογές, Stallings. 2. Βασικές Αρχές Ασφάλειας Δικτύων: Εφαρμογές και Πρότυπα, William Stallings. 3. Ασφάλεια δικτύων 6η Έκδοση, McClure Stuart, Scambray Joel, Kurtz George. 4. Ασφάλεια Πληροφοριακών συστημάτων, Παγκαλος Γ., Μαυριδης Ι. 32

Τέλος Ενότητας

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια