Linux palomuurina (iptables) sekä squid-proxy

Samankaltaiset tiedostot
TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

iptables: lokitus syslog-facility on kern, sitä ei voi vaihtaa. Ts. rsyslog.conf'issa tarvitaan esim.

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka. Joni Korjala APACHE WWW-PALVELIN Seminaarityö 2012

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

iptables Linuxin (kernelin!) peruspalomuuriratkaisu IPv4-ympäristöön (IPv6:lle on vastaava ip6tables) Käsittelee paketteja: ei toimi korkeamman tason

3. IP-kerroksen muita protokollia ja

NFS: Network File System

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus

Siirtyminen IPv6 yhteyskäytäntöön

LINUX- REITITIN / PALOMUURI LINUX-KURSSIN SEMINAARITYÖ Marko Oras

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

HTTP-välityspalvelimen käyttö tapahtumien keräämiseen

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Mikä on internet, miten se toimii? Mauri Heinonen

Linux rakenne. Linux-järjestelmä koostuu useasta erillisestä osasta. Eräs jaottelu: Ydin Komentotulkki X-ikkunointijärjestelmä Sovellusohjelmat

Valppaan asennus- ja käyttöohje

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Miten Internet toimii. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Jan Åkerholm TIETOTURVATYÖN SUUNNITTELU

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

Introduction to exterior routing

Tilastokeskuksen rajapintapalveluiden käyttöönotto QGIS-ohjelmistossa

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Introduction to exterior routing

Miska Sulander Jyväskylän yliopisto Atk keskus FUNET yhdistyksen vuosikokous

Sonera Desktop Security Asennusohje 2005

1.1 Palomuuri suunnitelma

1. päivä ip Windows 2003 Server ja vista (toteutus)

Opinnäytetyön loppuseminaari

Versio 1.0 tammikuu Xerox Phaser 3635MFP Extensible Interface Platform (EIP)

Introduction to exterior routing

TeleWell TW-EA716. ADSL modeemi Palomuuri 4 porttinen 10/100 Mbps kytkin. Pikaohje. Copyright Easytel Oy Finland

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Sonera sovelluspalomuurin muutoshallintaohjeistus

Hand Held Products Net Base telakan sisäisten IP osoitteiden muuttaminen. Käyttöohje

CT30A2500 TCP/IP perusteet Harjoitustyö

Introduction to exterior routing. Autonomous Systems

WinTraden päivitys- ja asennusohjeistus

Historiaa. Unix kirjoitettiin kokonaan uudestaan C-kielellä Unix jakautui myöhemmin System V ja BSDnimisiin. Kuutti, Rantala: Linux

Palvelin. Internet. Jäspi Älyvaraaja - yhdistämisen pikaohje

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

Verkko-ohjemointia. TCP vs. UDP Socket, ServerSocket Datagrammit RMI

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

TW-EAV510AC mallin ohjelmistoversio

in condition monitoring

Kytkimet, reitittimet, palomuurit

Arkkitehtuurikuvaus. Ratkaisu ohjelmistotuotelinjan monikielisyyden hallintaan Innofactor Oy. Ryhmä 14

Veronumero.fi Tarkastaja rajapinta

telnet telnet kone portti

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Yleinen ohjeistus Linux tehtävään

Multicast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka

Lisenssin hakeminen PTC:n verkkosivun kautta

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

KAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA

Iiro Sipari AVOIMEN LÄHDEKOODIN PALOMUURIN MÄÄRITTELYN PÄIVITYS

Sisällys. Johdanto. Ohjeet. Tarkistuslista ennen asennusta. Tiedostopäätteet ja URLit, jotka verkon/palomuurin tulee sallia

Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty Niko Suominen

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

Järjestelmäarkkitehtuuri (TK081702)

Antti Vähälummukka 2010

Suoritustavat: Laboratoriotöitä 2.-3.periodi. Luennot 2h, Laboratorityöt 4h, itsenäinen työskentely 124 h. Yhteensä 130 h.

Tikon ostolaskujen käsittely


HF - Redrum maoanimal(cat)gmail.com. Netin jakaminen Linuxin ja Shorewall-palomuurin avulla

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Web Services -toiminnon käyttö skannaukseen verkossa (Windows Vista SP2 tai uudempi, Windows 7 ja Windows 8)

Palomuurin asennus ja käyttöönotto

Verkkolevy.com käyttöohje

Johdanto. Multicast. Unicast. Broadcast. Protokollat. Multicast

T Tietokoneverkot kertaus

Salausmenetelmät (ei käsitellä tällä kurssilla)

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows Vista

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

Yleinen ohjeistus Linux-tehtävään

KAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA!

Hajautettujen sovellusten muodostamistekniikat, TKO_2014 Johdatus kurssiin

HY:n alustava ehdotus käyttäjähallintotuotteesta

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Office 365 palvelujen käyttöohje Sisällys

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

CT30A3500 Tietoturvan Perusteet : Verkon turva

Visma Nova Webservice Versio 1.1 /

Julkinen sanomarajapinta ja

Tiedonsiirto- ja rajapintastandardit

Projektityö: Mobiiliajopäiväkirja. Mikko Suomalainen

Flexi Presentityn Android-sovelluksen käyttöohje

Transkriptio:

Linux palomuurina (iptables) sekä squid-proxy Linux-järjestelmät Winai Prathumwong TI10HJ 06.11.2012

2 Iptables (Netfilter) Johdanto Iptables on Linux-kernelin sisäänrakennetun palomuurin, Netfilter:in käyttöliittymä. Versiosta 2.4 lähtien, iptables on standardisoitu sisältymään kaikkiin Linux-distribuutioihin. Iptables käytetään IPv4 verkkoliikenteen hallintaan, manipulointiin, pakettien suodattamiseen ja NAT:in (Network Address Translation) konfiguroimiseen. Iptableskäyttöliittymä luo suodattamisen säännöt netfilter:ille. Iptables purkaa senhetkiset säännöt kernelistä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin kerneliin. Netfilter:ille säädetyt säännöt kootaan ketjuiksi, jotka muodostavat taulukoita. Historia Netfilter/iptables projektin aloitti Rusty Russell vuonna 1998. Rusty Russell oli myös iptables:in edeltävän ipchains:in projektin kehittäjä. Ipchains oli käytetyin verkkoliikenteen hallintaan ja palomuurikäyttöttöliittymä Linux 2.2 distribuutiossa. Ipchains perustuu Berkeley Sofware Distribution (BSD tai Berkeley Unix) käyttämään ipfirewall:iin, mutta ipchains:issa oli puutteita. Rusty Russell:in ja hänen tiiminsä (Netfilter Core Team) kehittämä iptables korvasi myöhemmin ipchains:in ja vuonna 2000 maaliskuussa se liitettiin Linux 2.3 distribuutioon. Iptables toi mukanaan mm. SPI (stateful packet inspection), palomuuri seuraa jokaista yhteyttä, joka pääsee läpi ja joissain tapauksissa tarkastaa datavirran sisällön ennakoidakseen miten toimia tietyissä protokollissa, ja pakettien suodattaminen MACosoitteen perusteella. Ipchains katsottiin vanhentuneeksi ja hitaaksi,jonka takia iptables syrjäytti sen ja otettiin käyttöön vakio palomuurikäyttöliittymänä.

3 Toiminta Iptables tutkii IP pakettien suodattamisen säännöt Linux kernel:in taulukoista. Jokainen taulukko sisältää sisäänrakennettua ketjuja ja voi myös sisältää käyttäjän määrittämät ketjut. Jokainen ketju on lista säännöistä, jotka voivat täsmätä tiettyihin paketteihin, jokainen sääntö määrittelee miten toimia paketin kanssa, joka täsmää säännön kanssa. Kun pakettia tarkastellaan, jos se ei vastaa tiettyä sääntöä, seuraava sääntö ketjussa tarkastetaan. Jos paketti vastaa jotain tiettyä sääntöä, se saa tietyn arvon riippuen ketjun säännöstä. Mahdollinen arvo, minkä paketti voi saada on ACCEPT, DROP, QUEUE, tai RETURN. Accept päästää paketin läpi. Drop paketti estetään. Queue paketti välitetään käyttäjätilaan (jos kernel tukee mahdollisuutta). Return pysäyttää paketin kulkemasta tietyssä ketjussa ja kutsuun seuraavaa sääntöä edellisessä ketjussa. Iptables:in sääntöketjut jaetaan viiteen luokkaan: INPUT, OUTPUT, FORWARD, PREROUTING ja POSTROUTING. Prerouting-ketjussa NAT suoritetaan ennen reititystä. Helpottaa paketin kohde IPosoitteen muuttamista yhteensopivammaksi palomuurin reititystaulun kanssa. Postrouting-ketjussa NAT suoritaan reitityksen jälkeen. Tarkoittaa sitä että ei ollut tarvetta Prerouting. Input-ketju suodattaa paketit, jotka ovat suunnattu palomuurille. Output-ketju suodattaa paketit, jotka saapuvat palomuurilta. Forward-ketju suodattaa paketit, jotka ovat suunnattu palvelimille, joiden käyttö on sallittu toisella NIC (Network Information Center) palomuurissa.

4 Paketin kulkukaavio seuraavasti iptables:in ketjuissa. 1. Saapuvat paketit käsitellään prerouting-ketjussa, missä ketju käyttää NAT:ia paketteihin ennen kuin mitään sääntöä tarkistellaan. 2. Reitityspäätös tehdään saapuvan paketin kohde ip-osoitteen mukaan. Inputketjussa paketin kohde ip osoite tarkastetaan, jos kohde ip osoite täsmää rajapinnan ip-osoitteeseen, paketti käsitellään input-ketjussa muussa tapauksessa paketti siirretään forward-ketjuun. Input-ketjussa tarkistetaan pakettiin liittyvät säännöt ja päätetään onko paketti sallittu. Jos paketti on sallittu, se lähetään output-ketjuun. 3. forward-ketjussa tarkistetaan pakettin liittyvät säännöt ja ohjataan oikeaan ketjuun. Paketti estetään jos sitä ei osata käsitellä ( tai ip-forward ei ole mahdollista.) 4. output-ketjussa suoritetaan pakettiin liittyvät sääntöjen tarkistukset. 5. viimeiseksi paketti käsitellään postrouting-ketjussa. Postrouting-ketjussa suoritetaan Nat paketille, kun säännöt pakettiin on sovellettu.

5 Squid-proxy Squid-proxy on välityspalvelin ja internet välimuistipalvelu sovellus. Squid-proxy on GPLlisenssin alainen julkaisema avoimen lähdekoodin sovellus, joka pohjautuu Unixkäyttöjärjestelmiin. Päämääräisesti käytetään HTTP ja FTP protokolliin, mutta Squidproxy:lla sisältää rajoitun tuen TSL, SSL, Internet Gopher ja HTTPS protokollille. Squid-proxy:lla on monta käyttötarkoitusta, kuten web palvelimen nopeuttaminen, web sivujen pyyntöjen välimuistiin tallentaminen ja liikenteen suodattamista. Web palvelimen nopeuttamissa Squid-proxy toimii koneen ja palvelimen välikätenä. Koneen lähettämät pyynnöt lähetetään välityspalvelin kautta palvelimelle ja välityspalvelin samalla tallentaa välimuistiin pyydetystä objektista. Jos sama kone tai eri koneet pyytävät samaa objektia ennen kuin objekti poistuu välityspalvelimen välimuistista, välityspalvelin voi välittömästi lähettää objektin koneelle, nopeuttaen lataamista ja samalla säästää kaistaa. Forward Proxy Squid-proxy tallentaa välimuistiin resursseja (esim. web sivut), jolloin seuraavalla kerralla kun käyttäjä pyytää tiettyä web sivuja, ne latautuvat välityspalvelmin välimuistista eikä alkuperäiseltä palvelimelta. Squid-proxy:lla on mahdollista disabloida tai muuttaa tiettyjä header-kenttiä koneen HTTP pyynnöistä, jolloin pystytään luomaan turvallisempi ja anonyymisempi yhteys.

6 Reverse Proxy Squid-proxy hakee resursseja koneen pyynnöstä yhdeltä tai useammalta palvelimelta, sitten haetut resurssit lähetetään koneelle, jolloin resurssit näyttävät tulleen itse palvelimelta. Proxy palvelin voi jakaa kuorman lähettämällä pyynnöt useammalle palvelimelle, jolloin jokainen palvelin voi hoitaa oman osuutensa kuormasta. Transparent proxy Välityspalvelin sieppaa viestinnän verkkokerroksen tasolla ilman tarvetta erilliselle palvelin konfiguraatiolle. Koneet eivät ole tietoisia välityspalvelimesta, näin ollen välityspalvelin on läpinäkyvä. Erittäin yleistä palveluntarjoajalle käyttää transparent välityspalvelinta, he sieppaavat koneiden pyyntöjä ja välimuistin palautuksia, minkä jälkeen näitä uudelleen käytetään. Palveluntarjoajat säästävät kaistaa ja samalla rahaa.

7 Lähteet : iptables (netfilter) = http://en.wikipedia.org/wiki/iptables http://www.giac.org/paper/gsec/3467/case-study-iptables-freeswanipsec/100714 http://linux.fi/wiki/iptables squid proxy = http://wiki.squid-cache.org/squidfaq/aboutsquid http://en.wikipedia.org/wiki/squid_%28software%29 http://whatis.techtarget.com/definition/squid-proxy-server