Zdalna praca w sieciUsługi

Bezpieczeństwo

Podstawy administracji systemu LinuxSieci komputerowe/Bezpieczeństwo

Janusz Szwabiński

Instytut Fizyki Teoretycznej UWr

22 stycznia 2006

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Plan kursu

1 Instalacja Linuksa

2 Tryb tekstowy

3 Linux od podszewki

4 Pierwsze kroki w administracji

5 Sieci lokalne

6 Bezpieczeństwo

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Sieci komputerowe/Bezpieczeństwo

1 Zdalna praca w sieciLogowanieKopiowanie plików

2 UsługiDHCP

3 BezpieczeństwoZbędne usługiZapora ogniowa

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

LogowanieKopiowanie plików

Zdalna praca w sieci

http://www.flexibility.co.uk/

Logowanie na komputer w sieci (SSH)Kopiowanie plików między komputerami (SFTP/SCP)VNC

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

LogowanieKopiowanie plików

Logowanie na odległy komputer

praca tylko w trybie tekstowym

s s h użytkownik@adres_komputeras s h − l użytkownik adres_komputera

jeśli planujemy uruchamiać programy w trybie graficznym

s s h −X użytkownik@adres_komputera

szybkie uruchamianie poleceń

s s h użytkownik@adres_komputera " p o l e c e n i e "

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

LogowanieKopiowanie plików

pierwsze logowanie

[ szwab in@voyag er ~ ] $ s s h szwab in@panoramix . i f t . u n i . wroc . p lThe a u t h e n t i c i t y o f h o s t ’ panoramix . i f t . u n i . wroc . p l( 1 5 6 . 1 7 . 8 8 . 9 1 ) ’ can ’ t be e s t a b l i s h e d . RSA key f i n g e r p r i n ti s f c : 5 6 : b1 : 9 7 : 0 a : 4 4 : f 2 : 2 3 : ee : 6 a : 9 8 : cc : 1 4 : e3 : b5 : 2 4 .Are you s u r e you want to c o n t i n u e c o n n e c t i n g ( y e s /no )?szwabin@panoramix . i f t . u n i . wroc . p l ’ s password :L a s t l o g i n : Sep 20 2 0 : 4 4 : 5 3 2005 from v o y a g e r . i f t . u n i . wroc . p lszwab in@panoramix :~>

koniec pracy

szwab in@panoramix :~> e x i tl o g o u tConnect ion to panoramix c l o s e d .[ szwab in@voyag er ~ ] $

szybkie uruchamianie poleceń raz jeszcze

[ szwab in@voyag er ~ ] $ s s h panoramix "uname −a "szwabin@panoramix ’ s password :L inux panoramix 2 . 4 . 3 0 #1 F r i Apr 15 1 3 : 1 2 : 1 6 CEST 2005 i 6 8 6 unknownunknown GNU/ Linux[ szwab in@voyag er ~ ] $

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

LogowanieKopiowanie plików

Konfiguracja serwera SSH (/etc/sshd_conf)

pozwalamy na wysyłanie okien aplikacji pracujących w GUI

X11Forward ing y e s

uruchamiamy ponownie serwer

[ r o o t @ v o y a g e r ~]# s e r v i c e sshd r e s t a r t

[ r o o t @ v o y a g e r ~]# / e t c / r c . d/ i n i t . d/ sshd r e s t a r t

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

LogowanieKopiowanie plików

Kopiowanie plików (SFTP)

łączenie z odległym komputerem

[ szwab in@voyag er ~ ] $ s f t p szwab in@panoramixConnect ing to panoramix . . .szwabin@panoramix ’ s password :s f t p >

pomoc

s f t p > h e l pA v a i l a b l e commands :cd path Change remote d i r e c t o r y to ’ path ’l c d path Change l o c a l d i r e c t o r y to ’ path ’chgrp grp path Change group o f f i l e ’ path ’ to ’ grp ’chmod mode path Change p e r m i s s i o n s o f f i l e ’ path ’ to ’ mode ’chown own path Change owner o f f i l e ’ path ’ to ’own ’h e l p D i s p l a y t h i s h e l p t e x tg e t remote−path [ l o c a l−path ] Download f i l el l s [ l s−o p t i o n s [ path ] ] D i s p l a y l o c a l d i r e c t o r y l i s t i n gl n o l d p a t h newpath Syml ink remote f i l el m k d i r path C r e a t e l o c a l d i r e c t o r ylpwd P r i n t l o c a l work ing d i r e c t o r yl s [ path ] D i s p l a y remote d i r e c t o r y l i s t i n g...

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

LogowanieKopiowanie plików

nawigacja w zdalnym systemie plikówpwd, cd, ls

nawigacja w lokalnym systemie plikówlpwd, lcd, lls

kopiowanie plików na komputer lokalny. . .

s f t p > g e t t a l k . t a rF e t c h i n g /home/ s / szwabin / t a l k . t a r to t a l k . t a r/home/ s / szwabin / t a l k . t a r 100% 150KB 150.0KB/ s 00:00

. . . i w odwrotnym kierunku

s f t p > put beamer . pdfUpload ing beamer . pdf to /home/ s / szwabin / beamer . pdfbeamer . pdf 100% 1621KB 1 . 6MB/ s 00:00s f t p >

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

LogowanieKopiowanie plików

Kopiowanie plików (SCP)

z odległego komputera

scp użytkownik@komputer : / ś c i e ż k a _ d o _ p l i k u / p l i k / l o k a l n a _ ś c i e ż k a _ d o _ p l i k u /

[ szwab in@voyag er ~ ] $ scp szwabin@panoramix : beamer . pdf .szwabin@panoramix ’ s password :beamer . pdf 100% 1621KB 1 . 6MB/ s 00:00[ szwab in@voyag er ~ ] $

jeśli konta użytkowników są te same

[ szwab in@voyag er ~ ] $ scp panoramix : beamer . pdf .

katalogi

[ szwab in@voyag er ~ ] $ scp −r Kursy / d e f i a n t : UniWroclaw /

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

BezpieczeństwoDHCP

Usługi

http://cocktails.about.com/

DHCP

WWW

FTP

Samba

. . . i wiele innych

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

BezpieczeństwoDHCP

DHCP

Kategoria Serwery sieciowe

http://www.iodata.jp/

automatyczna konfiguracja komputerówpodłączanych do sieci

oszczędza dużo czasu administratorowi

wygodne dla nowych użytkowników

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

BezpieczeństwoDHCP

Konfiguracja serwera

edytujemy (lub tworzymy) plik /etc/dhcpd.conf

d e f a u l t−l e a s e−t ime 3600;max−l e a s e−t ime 14400;ddns−update−s t y l e none ;

s u b n e t 1 9 2 . 1 6 8 . 0 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 {range 1 9 2 . 1 6 8 . 0 . 2 1 9 2 . 1 6 8 . 0 . 1 0 ;o p t i o n domain−name−s e r v e r s 1 9 4 . 2 0 4 . 1 5 2 . 3 4 , 2 1 7 . 9 8 . 6 3 . 1 6 4 ;o p t i o n b r o a d c a s t−a d d r e s s 1 9 2 . 1 6 8 . 0 . 2 5 5 ;o p t i o n r o u t e r s 1 9 2 . 1 6 8 . 0 . 1 ;

}

ponowne uruchomienie serwera

[ r o o t @ v o y a g e r ~]# s e r v i c e dhcpd r e s t a r t

[ r o o t @ v o y a g e r ~]# / e t c / r c . d/ i n i t . d/ dhcpd r e s t a r t

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

BezpieczeństwoDHCP

Konfiguracja klienta

podczas instalacji systemu

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

BezpieczeństwoDHCP

podczas konfiguracji karty sieciowej

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Bezpieczeństwo

http://www.bbc.co.uk/schools/

fizyczne

lokalne

sieciowe

Do poczytania

Kevin Fenzi, Dave Wreski, Linux Security HOWTO

www.happyhacker.org

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Bezpieczeństwo fizyczne

kontrola dostępu do komputera

hasła w BIOSie

hasła w programie rozruchowym

Uwaga!

Osoba mająca fizyczny dostęp dokomputera może „obejść” obahasła, jednak zajmie to trochęczasu.

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Bezpieczeństwo lokalne

usuwanie nieaktywnych kont

ograniczony dostęp do zasobów dla zwykłych użytkowników(SUID/GUID, restrykcyjne prawa dostępu, ograniczenia naliczbę uruchamianych procesów itp.)

sprawdzanie integralności systemu (Tripwire)

szyfrowanie haseł (shadow)

testowanie jakości haseł użytkowników (Crack, „John TheRipper”)

kopie zapasowe

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Bezpieczeństwo sieciowe

uruchamianie tylko niezbędnych usług

SSH zamiast Telnetu

SCP/SFTP zamiast FTP

Zapora ogniowa

systemy detekcji włamań (Snort)

łaty bezpieczeństwa

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Zbędne usługi

przydatne polecenia

netstat

nmap

ważne pliki

/etc/services

/etc/inetd.conf lub /etc/xinetd.conf

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

netstat

[ szwab in@voyag er ~ ] $ n e t s t a t −aA c t i v e I n t e r n e t c o n n e c t i o n s ( s e r v e r s and e s t a b l i s h e d )Proto Recv−Q Send−Q L o c a l Address F o r e i g n Address S t a t etcp 0 0 l o c a l h o s t : 9 6 6 ∗:∗ LISTENtcp 0 0 ∗ :1550 ∗:∗ LISTENtcp 0 0 ∗ :19150 ∗:∗ LISTENtcp 0 0 ∗ : s u n r p c ∗:∗ LISTENtcp 0 0 ∗ :www ∗:∗ LISTENtcp 0 0 ∗ : s s h ∗:∗ LISTENtcp 0 0 ∗ : i p p ∗:∗ LISTENtcp 0 0 l o c a l h o s t : smtp ∗:∗ LISTENtcp 0 0 v o y a g e r . i f t . u n i .w:32784 j a b b e r p l . o rg :5223 ESTABLISHEDtcp 1 0 v o y a g e r . i f t . u n i .w:32866 b i o f i z y k a . agro . a r . s :www CLOSE_WAITtcp 0 0 v o y a g e r . i f t . u n i .w:32865 dns1 . i b h . p l :www CLOSE_WAITudp 0 0 ∗ :32768 ∗:∗udp 0 0 ∗ : xdmcp ∗:∗udp 0 0 ∗ : s u n r p c ∗:∗udp 0 0 ∗ : i p p ∗:∗A c t i v e UNIX domain s o c k e t s ( s e r v e r s and e s t a b l i s h e d )...

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

nmap

e n t e r p r i s e : / home/ szwabin# nmap v o y a g e r

S t a r t i n g nmap 3 . 8 1 ( h t t p : / /www. i n s e c u r e . org /nmap/ ) at 2005−09−21 16:58 CESTI n t e r e s t i n g p o r t s on v o y a g e r . i f t . u n i . wroc . p l ( 1 5 6 . 1 7 . 8 8 . 1 9 0 ) :( The 1662 p o r t s scanned but not shown below a r e i n s t a t e : f i l t e r e d )PORT STATE SERVICE22/ tcp open s s h

Nmap f i n i s h e d : 1 IP a d d r e s s (1 h o s t up ) scanned i n 22.330 s e c o n d s

Uwaga!

Skanujemy tylko te komputery, którerzeczywiście musimy. Użycie nmap możebyć odebrane jako wstęp do ataku.

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

/etc/services/

tcpmux 1/ tcp # TCP p o r t s e r v i c e m u l t i p l e x e recho 7/ tcpecho 7/ udpd i s c a r d 9/ tcp s i n k n u l ld i s c a r d 9/ udp s i n k n u l ls y s t a t 11/ tcp u s e r sdayt ime 13/ tcpdayt ime 13/ udpn e t s t a t 15/ tcpqotd 17/ tcp quotemsp 18/ tcp # message send p r o t o c o lmsp 18/ udpchargen 19/ tcp t t y t s t s o u r c echargen 19/ udp t t y t s t s o u r c ef t p−data 20/ tcpf t p 21/ tcpf s p 21/ udp f s p ds s h 22/ tcp # SSH Remote Log in P r o t o c o ls s h 22/ udpt e l n e t 23/ tcpsmtp 25/ tcp m a i lt ime 37/ tcp t i m s e r v e rt ime 37/ udp t i m s e r v e rr l p 39/ udp r e s o u r c e # r e s o u r c e l o c a t i o nnameserver 42/ tcp name # IEN 116whois 43/ tcp nicname...

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Zapora ogniowa

sprzęt komputerowy zespecjalnym oprogramowaniemlub samo oprogramowanieblokujące niepowołany dostępdo komputera, siecikomputerowej itp.

http://scramlings.de/johannes/lip/vortrag/

Do poczytania

http://mr0vka.eu.org/docs/tlumaczenia.html

Paweł Krawczyk, Filtrowanie stateful-inspection w Linuksie i

BSD

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Budujemy własną zaporę (wersja dla początkujących)

ściągamy z Internetu program Firestarter (w przypadkuAuroksa 10.2 pobieramy wersję dla Fedory Core 2)http://www.fs-security.com/

instalujemy pakiet (jako administrator)

[ r o o t @ v o y a g e r downloads ]# rpm −Uvh f i r e s t a r t e r −1.0.3−1. i 3 8 6 . rpmPrzygotowywanie . . . ######################### [100%]

1 : f i r e s t a r t e r ######################### [100%]

uruchamiamy program z menu KDE lub w powłoceadministratora

[ r o o t @ v o y a g e r downloads ]# f i r e s t a r t e r &

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Budujemy własną zaporę (wersja dla zaawansowanych)

Netfilter/iptables

wbudowane w jądro Linuksa(2.4.x i 2.6.x) funkcje dofiltrowania pakietów i NAT-uoraz program do zarządzanianimi

reguła - zasada postępowaniaz pakietamiłańcuch - zbiór regułułożonych w określonejkolejnościtablica - zbiór łańcuchów

Łańcuchy

INPUT, OUTPUT,FORWARD

PREROUTING,POSTROUTING

użytkownika

Tablice

filter

nat

mangle

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

PREROUTINGrutingu

DecyzjaFORWARD

INPUT

Procesy

lokalne

OUTPUT

POSTROUTING

manglenat

manglenat

filter

filter

filter

nat

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

otwieramy w edytorze nowy plik tekstowy, np. myfirewall

#!/ b i n / sh

# przykładowa k o n f i g u r a c j a i p t a b l e s d l a bramki ( i n t e r f e j s y ppp0 i eth0 )# na p o d s t a w i e " F i l t r o w a n i e s t a t e f u l−i n s p e c t i o n w L i n u k s i e i BSD"# Pawła Krawczyka# Opcje wywołania :# s t o p − " z a t r z y m u j e " f i r e w a l l , u s t a w i a o t w a r t ą p o l i t y k ę# t e s t − tymczasowe r e g u ł y# bez o p c j i − k o n f i g u r u j e i p t a b l e s

wyłączamy zaporę

i f [ " $1 " = " s t o p " ] ; then/ s b i n / i p t a b l e s −P INPUT ACCEPT/ s b i n / i p t a b l e s −P OUTPUT ACCEPT/ s b i n / i p t a b l e s −P FORWARD ACCEPT/ s b i n / i p t a b l e s −Fe x i t 0

f i

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

testujemy zaporę (włączenie na 60s)

i f [ " $1 " = " t e s t " ] ; then( s l e e p 6 0 ; / s b i n / i p t a b l e s −P INPUT ACCEPT ; \

/ s b i n / i p t a b l e s −P OUTPUT ACCEPT ; \/ s b i n / i p t a b l e s −P FORWARD ACCEPT ; \/ s b i n / i p t a b l e s −F) &

f i

ukłon w stronę użytkownika

echo −n " I n s t a l o w a n i e z a p o r y o g n i o w e j . . . "

ładujemy niezbędne moduły jądra

/ s b i n / modprobe i p _ t a b l e s/ s b i n / modprobe i p _ c o n n t r a c k

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

czyścimy stare ustawienia

/ s b i n / i p t a b l e s −F/ s b i n / i p t a b l e s −F −t nat

domyślna polityka (wszystko odrzucane)

/ s b i n / i p t a b l e s −P INPUT DROP/ s b i n / i p t a b l e s −P FORWARD DROP/ s b i n / i p t a b l e s −P OUTPUT DROP

interfejs lokalny jest uprzywilejowany

/ s b i n / i p t a b l e s −A INPUT − i l o −j ACCEPT/ s b i n / i p t a b l e s −A OUTPUT −o l o −j ACCEPT/ s b i n / i p t a b l e s −A FORWARD −o l o −j ACCEPT

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

sieć lokalna również ma specjalne prawa

/ s b i n / i p t a b l e s −A INPUT − i e th0 −j ACCEPT/ s b i n / i p t a b l e s −A OUTPUT −o eth0 −j ACCEPT

akceptujemy pakiety ICMP Echo (ping)

/ s b i n / i p t a b l e s −A INPUT −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT/ s b i n / i p t a b l e s −A FORWARD −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT/ s b i n / i p t a b l e s −A OUTPUT −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

wpuszczamy połączenia SSH z całej sieci

/ s b i n / i p t a b l e s −A INPUT −p tcp −d 0/0 −−d p o r t 22 −j ACCEPT

zezwalamy na wszystko w ramach istniejących połączeń

/ s b i n / i p t a b l e s −A INPUT −p tcp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A INPUT −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A INPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A INPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A FORWARD −p tcp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A FORWARD −p tcp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A FORWARD −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A FORWARD −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A FORWARD −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A OUTPUT −p tcp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A OUTPUT −p tcp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A OUTPUT −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A OUTPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A OUTPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

usługi TCP i UDP , które wypuszczamy z sieci: WWW(80,8080), SSH (22), SMTP (25), POP3/POP3s (110, 995),News (119), DNS (53), Gadu-Gadu (443), Jabber(5223,8010), Skype (28025)

TCP_OUT_ALLOW=80 ,8080 ,22 ,25 ,110 ,995 ,119 ,53 ,443 ,5223 ,8010 ,9100 ,28025UDP_OUT_ALLOW=53

/ s b i n / i p t a b l e s −A OUTPUT −o ppp0 −p tcp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $TCP_OUT_ALLOW

/ s b i n / i p t a b l e s −A OUTPUT −o ppp0 −p udp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $UDP_OUT_ALLOW

/ s b i n / i p t a b l e s −A FORWARD −o ppp0 −p tcp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $TCP_OUT_ALLOW

/ s b i n / i p t a b l e s −A FORWARD −o ppp0 −p udp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $UDP_OUT_ALLOW

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

maskarada/ s b i n / i p t a b l e s −t nat −A POSTROUTING −p a l l −s 1 9 2 . 1 6 8 . 0 . 0 / 2 4 −j MASQUERADEecho "1" > / proc / s y s / net / i p v 4 / i p _ f o r w a r d

logowanie odrzuconych pakietów/ s b i n / i p t a b l e s −A INPUT −j LOG −m l i m i t −− l i m i t 10/ hour/ s b i n / i p t a b l e s −A OUTPUT −j LOG −m l i m i t −− l i m i t 10/ hour/ s b i n / i p t a b l e s −A FORWARD −j LOG −m l i m i t −−l i m i t 10/ hour

kolejny ukłon w stronę użytkownikaecho " z r o b i o n e ! "

Kopiujemy plik myfirewall do katalogu/etc/rc.d/init.d/. Nadajemy mu atrybutwykonywalności (tylko dla właściciela). Dodajemy godo poziomów pracy poleceniem chkconfig.

Janusz Szwabiński Technologie Informatyczne od Podstaw

Zdalna praca w sieciUsługi

Bezpieczeństwo

Zbędne usługiZapora ogniowa

Janusz Szwabiński Technologie Informatyczne od Podstaw