FireWall Grzegorz Śliwiński

Strefy bezpieczeństwa

Typy zapór ogniowych Zapora sieciowa filtrująca pakiety (packet-filtering firewall), Zapora sieciowa z inspekcją stanów (stateful-inspection firewall), Zapora sieciowa pośrednicząca (application proxy firewall)

Architektury zapór ogniowych Trzy typy: Zapora ogniowa z dwiema kartami, Zapora ogniowa z ruterem ekranującym, Zapora ogniowa z dwoma ruterami ekranującymi. oraz ich kombinacje.

Firewall z dwiema kartami

Zapora z ruterem ekranującym

Dwa rutery ekranujące

DMZ

Host pośredniczący

Ataki DOS

Bezpieczna poczta

IPCHAINS Input (wejście) Output (wyjście) Forward (przenoszenie)

IPCHAINS :input ACCEPT :forward DENY :output ACCEPT -A input -s 0/0 -d 0/0 8080:8080 -j REDIRECT 8080 -p tcp -A input -s 0/0 -d 0/0 8080:8080 -j REDIRECT 8080 -p udp -A input -s 0/0 -d 0/0 53:53 -j REDIRECT 53 -p tcp -A input -s 0/0 -d 0/0 53:53 -j REDIRECT 53 -p udp -A input -s 213.155.164.2 -j ACCEPT -A input -s 0/0 20:20 -d 217.98.190.90 1024:65535 -j ACCEPT -p tcp -A input -s 0/0 20:20 -d 217.98.190.90 1024:65535 -j ACCEPT -p udp -A input -d 217.98.190.90 21:22 -j ACCEPT -p tcp -A input -d 217.98.190.90 25:25 -j ACCEPT -p tcp -A input -d 217.98.190.90 80:80 -j ACCEPT -p tcp -A input -d 217.98.190.90 443:443 -j ACCEPT -p tcp -A input -s 213.155.164.47 -d 217.98.190.90 2401:2401 -j ACCEPT -p tcp -A input -s 213.155.164.47 -d 217.98.190.90 2401:2401 -j ACCEPT -p udp -A input -s 212.160.88.35 -d 217.98.190.90 2401:2401 -j ACCEPT -p tcp -A input -s 212.160.88.35 -d 217.98.190.90 2401:2401 -j ACCEPT -p udp -A input -s 217.98.190.90 -j ACCEPT -A input -s 192.168.1.1 -j ACCEPT -A input -s 192.168.1.10 -j ACCEPT -A input -d 217.98.190.90 -j DENY -y -p tcp -A forward -s 192.168.1.0/24 -j MASQ

Algorytm pracy IPTABLES

Input

Forward

Output

*nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [2:328] :OUTPUT ACCEPT [3:388] -A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 8080 -A PREROUTING -i eth0 -p udp -m udp --dport 8080 -j REDIRECT --to-ports 8080 -A PREROUTING -i eth0 -p tcp -m tcp --dport 53 -j REDIRECT --to-ports 53 -A PREROUTING -i eth0 -p udp -m udp --dport 53 -j REDIRECT --to-ports 53 -A POSTROUTING -o ppp0 -j SNAT --to-source 217.98.190.90 COMMIT *mangle :PREROUTING ACCEPT [81:13394] :INPUT ACCEPT [79:13247] :FORWARD ACCEPT [2:147] :OUTPUT ACCEPT [73:18301] :POSTROUTING ACCEPT [77:18951] *filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] -A INPUT -i eth0 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 213.155.164.2 -j ACCEPT -A INPUT -d 217.98.190.90 -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT -A INPUT -d 217.98.190.90 -p udp -m udp --sport 20 --dport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -s 213.155.164.47 -d 217.98.190.90 -p tcp -m tcp --dport 2401 -j ACCEPT -A INPUT -s 213.155.164.47 -d 217.98.190.90 -p udp -m udp --dport 2401 -j ACCEPT -A INPUT -s 212.160.88.35 -d 217.98.190.90 -p tcp -m tcp --dport 2401 -j ACCEPT -A INPUT -s 212.160.88.35 -d 217.98.190.90 -p udp -m udp --dport 2401 -j ACCEPT -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP -A FORWARD -s 192.168.1.1 -i eth0 -o ppp0 -j ACCEPT -A FORWARD -d 192.168.1.1 -i ppp0 -o eth0 -j ACCEPT -A FORWARD -s 192.168.1.10 -i eth0 -o ppp0 -j ACCEPT -A FORWARD -d 192.168.1.10 -i ppp0 -o eth0 -j ACCEPT -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP