Post on 27-Feb-2019
Zdalna praca w sieciUsługi
Bezpieczeństwo
Podstawy administracji systemu LinuxSieci komputerowe/Bezpieczeństwo
Janusz Szwabiński
Instytut Fizyki Teoretycznej UWr
22 stycznia 2006
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Plan kursu
1 Instalacja Linuksa
2 Tryb tekstowy
3 Linux od podszewki
4 Pierwsze kroki w administracji
5 Sieci lokalne
6 Bezpieczeństwo
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Sieci komputerowe/Bezpieczeństwo
1 Zdalna praca w sieciLogowanieKopiowanie plików
2 UsługiDHCP
3 BezpieczeństwoZbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
Zdalna praca w sieci
http://www.flexibility.co.uk/
Logowanie na komputer w sieci (SSH)Kopiowanie plików między komputerami (SFTP/SCP)VNC
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
Logowanie na odległy komputer
praca tylko w trybie tekstowym
s s h użytkownik@adres_komputeras s h − l użytkownik adres_komputera
jeśli planujemy uruchamiać programy w trybie graficznym
s s h −X użytkownik@adres_komputera
szybkie uruchamianie poleceń
s s h użytkownik@adres_komputera " p o l e c e n i e "
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
pierwsze logowanie
[ szwab in@voyag er ~ ] $ s s h szwab in@panoramix . i f t . u n i . wroc . p lThe a u t h e n t i c i t y o f h o s t ’ panoramix . i f t . u n i . wroc . p l( 1 5 6 . 1 7 . 8 8 . 9 1 ) ’ can ’ t be e s t a b l i s h e d . RSA key f i n g e r p r i n ti s f c : 5 6 : b1 : 9 7 : 0 a : 4 4 : f 2 : 2 3 : ee : 6 a : 9 8 : cc : 1 4 : e3 : b5 : 2 4 .Are you s u r e you want to c o n t i n u e c o n n e c t i n g ( y e s /no )?szwabin@panoramix . i f t . u n i . wroc . p l ’ s password :L a s t l o g i n : Sep 20 2 0 : 4 4 : 5 3 2005 from v o y a g e r . i f t . u n i . wroc . p lszwab in@panoramix :~>
koniec pracy
szwab in@panoramix :~> e x i tl o g o u tConnect ion to panoramix c l o s e d .[ szwab in@voyag er ~ ] $
szybkie uruchamianie poleceń raz jeszcze
[ szwab in@voyag er ~ ] $ s s h panoramix "uname −a "szwabin@panoramix ’ s password :L inux panoramix 2 . 4 . 3 0 #1 F r i Apr 15 1 3 : 1 2 : 1 6 CEST 2005 i 6 8 6 unknownunknown GNU/ Linux[ szwab in@voyag er ~ ] $
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
Konfiguracja serwera SSH (/etc/sshd_conf)
pozwalamy na wysyłanie okien aplikacji pracujących w GUI
X11Forward ing y e s
uruchamiamy ponownie serwer
[ r o o t @ v o y a g e r ~]# s e r v i c e sshd r e s t a r t
[ r o o t @ v o y a g e r ~]# / e t c / r c . d/ i n i t . d/ sshd r e s t a r t
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
Kopiowanie plików (SFTP)
łączenie z odległym komputerem
[ szwab in@voyag er ~ ] $ s f t p szwab in@panoramixConnect ing to panoramix . . .szwabin@panoramix ’ s password :s f t p >
pomoc
s f t p > h e l pA v a i l a b l e commands :cd path Change remote d i r e c t o r y to ’ path ’l c d path Change l o c a l d i r e c t o r y to ’ path ’chgrp grp path Change group o f f i l e ’ path ’ to ’ grp ’chmod mode path Change p e r m i s s i o n s o f f i l e ’ path ’ to ’ mode ’chown own path Change owner o f f i l e ’ path ’ to ’own ’h e l p D i s p l a y t h i s h e l p t e x tg e t remote−path [ l o c a l−path ] Download f i l el l s [ l s−o p t i o n s [ path ] ] D i s p l a y l o c a l d i r e c t o r y l i s t i n gl n o l d p a t h newpath Syml ink remote f i l el m k d i r path C r e a t e l o c a l d i r e c t o r ylpwd P r i n t l o c a l work ing d i r e c t o r yl s [ path ] D i s p l a y remote d i r e c t o r y l i s t i n g...
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
nawigacja w zdalnym systemie plikówpwd, cd, ls
nawigacja w lokalnym systemie plikówlpwd, lcd, lls
kopiowanie plików na komputer lokalny. . .
s f t p > g e t t a l k . t a rF e t c h i n g /home/ s / szwabin / t a l k . t a r to t a l k . t a r/home/ s / szwabin / t a l k . t a r 100% 150KB 150.0KB/ s 00:00
. . . i w odwrotnym kierunku
s f t p > put beamer . pdfUpload ing beamer . pdf to /home/ s / szwabin / beamer . pdfbeamer . pdf 100% 1621KB 1 . 6MB/ s 00:00s f t p >
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
Kopiowanie plików (SCP)
z odległego komputera
scp użytkownik@komputer : / ś c i e ż k a _ d o _ p l i k u / p l i k / l o k a l n a _ ś c i e ż k a _ d o _ p l i k u /
[ szwab in@voyag er ~ ] $ scp szwabin@panoramix : beamer . pdf .szwabin@panoramix ’ s password :beamer . pdf 100% 1621KB 1 . 6MB/ s 00:00[ szwab in@voyag er ~ ] $
jeśli konta użytkowników są te same
[ szwab in@voyag er ~ ] $ scp panoramix : beamer . pdf .
katalogi
[ szwab in@voyag er ~ ] $ scp −r Kursy / d e f i a n t : UniWroclaw /
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
BezpieczeństwoDHCP
Usługi
http://cocktails.about.com/
DHCP
WWW
FTP
Samba
. . . i wiele innych
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
BezpieczeństwoDHCP
DHCP
Kategoria Serwery sieciowe
http://www.iodata.jp/
automatyczna konfiguracja komputerówpodłączanych do sieci
oszczędza dużo czasu administratorowi
wygodne dla nowych użytkowników
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
BezpieczeństwoDHCP
Konfiguracja serwera
edytujemy (lub tworzymy) plik /etc/dhcpd.conf
d e f a u l t−l e a s e−t ime 3600;max−l e a s e−t ime 14400;ddns−update−s t y l e none ;
s u b n e t 1 9 2 . 1 6 8 . 0 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 {range 1 9 2 . 1 6 8 . 0 . 2 1 9 2 . 1 6 8 . 0 . 1 0 ;o p t i o n domain−name−s e r v e r s 1 9 4 . 2 0 4 . 1 5 2 . 3 4 , 2 1 7 . 9 8 . 6 3 . 1 6 4 ;o p t i o n b r o a d c a s t−a d d r e s s 1 9 2 . 1 6 8 . 0 . 2 5 5 ;o p t i o n r o u t e r s 1 9 2 . 1 6 8 . 0 . 1 ;
}
ponowne uruchomienie serwera
[ r o o t @ v o y a g e r ~]# s e r v i c e dhcpd r e s t a r t
[ r o o t @ v o y a g e r ~]# / e t c / r c . d/ i n i t . d/ dhcpd r e s t a r t
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
BezpieczeństwoDHCP
Konfiguracja klienta
podczas instalacji systemu
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
BezpieczeństwoDHCP
podczas konfiguracji karty sieciowej
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Bezpieczeństwo
http://www.bbc.co.uk/schools/
fizyczne
lokalne
sieciowe
Do poczytania
Kevin Fenzi, Dave Wreski, Linux Security HOWTO
www.happyhacker.org
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Bezpieczeństwo fizyczne
kontrola dostępu do komputera
hasła w BIOSie
hasła w programie rozruchowym
Uwaga!
Osoba mająca fizyczny dostęp dokomputera może „obejść” obahasła, jednak zajmie to trochęczasu.
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Bezpieczeństwo lokalne
usuwanie nieaktywnych kont
ograniczony dostęp do zasobów dla zwykłych użytkowników(SUID/GUID, restrykcyjne prawa dostępu, ograniczenia naliczbę uruchamianych procesów itp.)
sprawdzanie integralności systemu (Tripwire)
szyfrowanie haseł (shadow)
testowanie jakości haseł użytkowników (Crack, „John TheRipper”)
kopie zapasowe
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Bezpieczeństwo sieciowe
uruchamianie tylko niezbędnych usług
SSH zamiast Telnetu
SCP/SFTP zamiast FTP
Zapora ogniowa
systemy detekcji włamań (Snort)
łaty bezpieczeństwa
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Zbędne usługi
przydatne polecenia
netstat
nmap
ważne pliki
/etc/services
/etc/inetd.conf lub /etc/xinetd.conf
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
netstat
[ szwab in@voyag er ~ ] $ n e t s t a t −aA c t i v e I n t e r n e t c o n n e c t i o n s ( s e r v e r s and e s t a b l i s h e d )Proto Recv−Q Send−Q L o c a l Address F o r e i g n Address S t a t etcp 0 0 l o c a l h o s t : 9 6 6 ∗:∗ LISTENtcp 0 0 ∗ :1550 ∗:∗ LISTENtcp 0 0 ∗ :19150 ∗:∗ LISTENtcp 0 0 ∗ : s u n r p c ∗:∗ LISTENtcp 0 0 ∗ :www ∗:∗ LISTENtcp 0 0 ∗ : s s h ∗:∗ LISTENtcp 0 0 ∗ : i p p ∗:∗ LISTENtcp 0 0 l o c a l h o s t : smtp ∗:∗ LISTENtcp 0 0 v o y a g e r . i f t . u n i .w:32784 j a b b e r p l . o rg :5223 ESTABLISHEDtcp 1 0 v o y a g e r . i f t . u n i .w:32866 b i o f i z y k a . agro . a r . s :www CLOSE_WAITtcp 0 0 v o y a g e r . i f t . u n i .w:32865 dns1 . i b h . p l :www CLOSE_WAITudp 0 0 ∗ :32768 ∗:∗udp 0 0 ∗ : xdmcp ∗:∗udp 0 0 ∗ : s u n r p c ∗:∗udp 0 0 ∗ : i p p ∗:∗A c t i v e UNIX domain s o c k e t s ( s e r v e r s and e s t a b l i s h e d )...
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
nmap
e n t e r p r i s e : / home/ szwabin# nmap v o y a g e r
S t a r t i n g nmap 3 . 8 1 ( h t t p : / /www. i n s e c u r e . org /nmap/ ) at 2005−09−21 16:58 CESTI n t e r e s t i n g p o r t s on v o y a g e r . i f t . u n i . wroc . p l ( 1 5 6 . 1 7 . 8 8 . 1 9 0 ) :( The 1662 p o r t s scanned but not shown below a r e i n s t a t e : f i l t e r e d )PORT STATE SERVICE22/ tcp open s s h
Nmap f i n i s h e d : 1 IP a d d r e s s (1 h o s t up ) scanned i n 22.330 s e c o n d s
Uwaga!
Skanujemy tylko te komputery, którerzeczywiście musimy. Użycie nmap możebyć odebrane jako wstęp do ataku.
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
/etc/services/
tcpmux 1/ tcp # TCP p o r t s e r v i c e m u l t i p l e x e recho 7/ tcpecho 7/ udpd i s c a r d 9/ tcp s i n k n u l ld i s c a r d 9/ udp s i n k n u l ls y s t a t 11/ tcp u s e r sdayt ime 13/ tcpdayt ime 13/ udpn e t s t a t 15/ tcpqotd 17/ tcp quotemsp 18/ tcp # message send p r o t o c o lmsp 18/ udpchargen 19/ tcp t t y t s t s o u r c echargen 19/ udp t t y t s t s o u r c ef t p−data 20/ tcpf t p 21/ tcpf s p 21/ udp f s p ds s h 22/ tcp # SSH Remote Log in P r o t o c o ls s h 22/ udpt e l n e t 23/ tcpsmtp 25/ tcp m a i lt ime 37/ tcp t i m s e r v e rt ime 37/ udp t i m s e r v e rr l p 39/ udp r e s o u r c e # r e s o u r c e l o c a t i o nnameserver 42/ tcp name # IEN 116whois 43/ tcp nicname...
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Zapora ogniowa
sprzęt komputerowy zespecjalnym oprogramowaniemlub samo oprogramowanieblokujące niepowołany dostępdo komputera, siecikomputerowej itp.
http://scramlings.de/johannes/lip/vortrag/
Do poczytania
http://mr0vka.eu.org/docs/tlumaczenia.html
Paweł Krawczyk, Filtrowanie stateful-inspection w Linuksie i
BSD
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Budujemy własną zaporę (wersja dla początkujących)
ściągamy z Internetu program Firestarter (w przypadkuAuroksa 10.2 pobieramy wersję dla Fedory Core 2)http://www.fs-security.com/
instalujemy pakiet (jako administrator)
[ r o o t @ v o y a g e r downloads ]# rpm −Uvh f i r e s t a r t e r −1.0.3−1. i 3 8 6 . rpmPrzygotowywanie . . . ######################### [100%]
1 : f i r e s t a r t e r ######################### [100%]
uruchamiamy program z menu KDE lub w powłoceadministratora
[ r o o t @ v o y a g e r downloads ]# f i r e s t a r t e r &
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Budujemy własną zaporę (wersja dla zaawansowanych)
Netfilter/iptables
wbudowane w jądro Linuksa(2.4.x i 2.6.x) funkcje dofiltrowania pakietów i NAT-uoraz program do zarządzanianimi
reguła - zasada postępowaniaz pakietamiłańcuch - zbiór regułułożonych w określonejkolejnościtablica - zbiór łańcuchów
Łańcuchy
INPUT, OUTPUT,FORWARD
PREROUTING,POSTROUTING
użytkownika
Tablice
filter
nat
mangle
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
PREROUTINGrutingu
DecyzjaFORWARD
INPUT
Procesy
lokalne
OUTPUT
POSTROUTING
manglenat
manglenat
filter
filter
filter
nat
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
otwieramy w edytorze nowy plik tekstowy, np. myfirewall
#!/ b i n / sh
# przykładowa k o n f i g u r a c j a i p t a b l e s d l a bramki ( i n t e r f e j s y ppp0 i eth0 )# na p o d s t a w i e " F i l t r o w a n i e s t a t e f u l−i n s p e c t i o n w L i n u k s i e i BSD"# Pawła Krawczyka# Opcje wywołania :# s t o p − " z a t r z y m u j e " f i r e w a l l , u s t a w i a o t w a r t ą p o l i t y k ę# t e s t − tymczasowe r e g u ł y# bez o p c j i − k o n f i g u r u j e i p t a b l e s
wyłączamy zaporę
i f [ " $1 " = " s t o p " ] ; then/ s b i n / i p t a b l e s −P INPUT ACCEPT/ s b i n / i p t a b l e s −P OUTPUT ACCEPT/ s b i n / i p t a b l e s −P FORWARD ACCEPT/ s b i n / i p t a b l e s −Fe x i t 0
f i
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
testujemy zaporę (włączenie na 60s)
i f [ " $1 " = " t e s t " ] ; then( s l e e p 6 0 ; / s b i n / i p t a b l e s −P INPUT ACCEPT ; \
/ s b i n / i p t a b l e s −P OUTPUT ACCEPT ; \/ s b i n / i p t a b l e s −P FORWARD ACCEPT ; \/ s b i n / i p t a b l e s −F) &
f i
ukłon w stronę użytkownika
echo −n " I n s t a l o w a n i e z a p o r y o g n i o w e j . . . "
ładujemy niezbędne moduły jądra
/ s b i n / modprobe i p _ t a b l e s/ s b i n / modprobe i p _ c o n n t r a c k
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
czyścimy stare ustawienia
/ s b i n / i p t a b l e s −F/ s b i n / i p t a b l e s −F −t nat
domyślna polityka (wszystko odrzucane)
/ s b i n / i p t a b l e s −P INPUT DROP/ s b i n / i p t a b l e s −P FORWARD DROP/ s b i n / i p t a b l e s −P OUTPUT DROP
interfejs lokalny jest uprzywilejowany
/ s b i n / i p t a b l e s −A INPUT − i l o −j ACCEPT/ s b i n / i p t a b l e s −A OUTPUT −o l o −j ACCEPT/ s b i n / i p t a b l e s −A FORWARD −o l o −j ACCEPT
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
sieć lokalna również ma specjalne prawa
/ s b i n / i p t a b l e s −A INPUT − i e th0 −j ACCEPT/ s b i n / i p t a b l e s −A OUTPUT −o eth0 −j ACCEPT
akceptujemy pakiety ICMP Echo (ping)
/ s b i n / i p t a b l e s −A INPUT −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT/ s b i n / i p t a b l e s −A FORWARD −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT/ s b i n / i p t a b l e s −A OUTPUT −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
wpuszczamy połączenia SSH z całej sieci
/ s b i n / i p t a b l e s −A INPUT −p tcp −d 0/0 −−d p o r t 22 −j ACCEPT
zezwalamy na wszystko w ramach istniejących połączeń
/ s b i n / i p t a b l e s −A INPUT −p tcp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A INPUT −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A INPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A INPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A FORWARD −p tcp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A FORWARD −p tcp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A FORWARD −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A FORWARD −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A FORWARD −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A OUTPUT −p tcp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A OUTPUT −p tcp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A OUTPUT −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A OUTPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A OUTPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
usługi TCP i UDP , które wypuszczamy z sieci: WWW(80,8080), SSH (22), SMTP (25), POP3/POP3s (110, 995),News (119), DNS (53), Gadu-Gadu (443), Jabber(5223,8010), Skype (28025)
TCP_OUT_ALLOW=80 ,8080 ,22 ,25 ,110 ,995 ,119 ,53 ,443 ,5223 ,8010 ,9100 ,28025UDP_OUT_ALLOW=53
/ s b i n / i p t a b l e s −A OUTPUT −o ppp0 −p tcp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $TCP_OUT_ALLOW
/ s b i n / i p t a b l e s −A OUTPUT −o ppp0 −p udp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $UDP_OUT_ALLOW
/ s b i n / i p t a b l e s −A FORWARD −o ppp0 −p tcp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $TCP_OUT_ALLOW
/ s b i n / i p t a b l e s −A FORWARD −o ppp0 −p udp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $UDP_OUT_ALLOW
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
maskarada/ s b i n / i p t a b l e s −t nat −A POSTROUTING −p a l l −s 1 9 2 . 1 6 8 . 0 . 0 / 2 4 −j MASQUERADEecho "1" > / proc / s y s / net / i p v 4 / i p _ f o r w a r d
logowanie odrzuconych pakietów/ s b i n / i p t a b l e s −A INPUT −j LOG −m l i m i t −− l i m i t 10/ hour/ s b i n / i p t a b l e s −A OUTPUT −j LOG −m l i m i t −− l i m i t 10/ hour/ s b i n / i p t a b l e s −A FORWARD −j LOG −m l i m i t −−l i m i t 10/ hour
kolejny ukłon w stronę użytkownikaecho " z r o b i o n e ! "
Kopiujemy plik myfirewall do katalogu/etc/rc.d/init.d/. Nadajemy mu atrybutwykonywalności (tylko dla właściciela). Dodajemy godo poziomów pracy poleceniem chkconfig.
Janusz Szwabiński Technologie Informatyczne od Podstaw
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw