![Page 1: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/1.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Podstawy administracji systemu LinuxSieci komputerowe/Bezpieczeństwo
Janusz Szwabiński
Instytut Fizyki Teoretycznej UWr
22 stycznia 2006
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 2: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/2.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Plan kursu
1 Instalacja Linuksa
2 Tryb tekstowy
3 Linux od podszewki
4 Pierwsze kroki w administracji
5 Sieci lokalne
6 Bezpieczeństwo
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 3: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/3.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Sieci komputerowe/Bezpieczeństwo
1 Zdalna praca w sieciLogowanieKopiowanie plików
2 UsługiDHCP
3 BezpieczeństwoZbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 4: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/4.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
Zdalna praca w sieci
http://www.flexibility.co.uk/
Logowanie na komputer w sieci (SSH)Kopiowanie plików między komputerami (SFTP/SCP)VNC
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 5: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/5.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
Logowanie na odległy komputer
praca tylko w trybie tekstowym
s s h użytkownik@adres_komputeras s h − l użytkownik adres_komputera
jeśli planujemy uruchamiać programy w trybie graficznym
s s h −X użytkownik@adres_komputera
szybkie uruchamianie poleceń
s s h użytkownik@adres_komputera " p o l e c e n i e "
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 6: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/6.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
pierwsze logowanie
[ szwab in@voyag er ~ ] $ s s h szwab in@panoramix . i f t . u n i . wroc . p lThe a u t h e n t i c i t y o f h o s t ’ panoramix . i f t . u n i . wroc . p l( 1 5 6 . 1 7 . 8 8 . 9 1 ) ’ can ’ t be e s t a b l i s h e d . RSA key f i n g e r p r i n ti s f c : 5 6 : b1 : 9 7 : 0 a : 4 4 : f 2 : 2 3 : ee : 6 a : 9 8 : cc : 1 4 : e3 : b5 : 2 4 .Are you s u r e you want to c o n t i n u e c o n n e c t i n g ( y e s /no )?szwabin@panoramix . i f t . u n i . wroc . p l ’ s password :L a s t l o g i n : Sep 20 2 0 : 4 4 : 5 3 2005 from v o y a g e r . i f t . u n i . wroc . p lszwab in@panoramix :~>
koniec pracy
szwab in@panoramix :~> e x i tl o g o u tConnect ion to panoramix c l o s e d .[ szwab in@voyag er ~ ] $
szybkie uruchamianie poleceń raz jeszcze
[ szwab in@voyag er ~ ] $ s s h panoramix "uname −a "szwabin@panoramix ’ s password :L inux panoramix 2 . 4 . 3 0 #1 F r i Apr 15 1 3 : 1 2 : 1 6 CEST 2005 i 6 8 6 unknownunknown GNU/ Linux[ szwab in@voyag er ~ ] $
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 7: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/7.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
Konfiguracja serwera SSH (/etc/sshd_conf)
pozwalamy na wysyłanie okien aplikacji pracujących w GUI
X11Forward ing y e s
uruchamiamy ponownie serwer
[ r o o t @ v o y a g e r ~]# s e r v i c e sshd r e s t a r t
[ r o o t @ v o y a g e r ~]# / e t c / r c . d/ i n i t . d/ sshd r e s t a r t
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 8: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/8.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
Kopiowanie plików (SFTP)
łączenie z odległym komputerem
[ szwab in@voyag er ~ ] $ s f t p szwab in@panoramixConnect ing to panoramix . . .szwabin@panoramix ’ s password :s f t p >
pomoc
s f t p > h e l pA v a i l a b l e commands :cd path Change remote d i r e c t o r y to ’ path ’l c d path Change l o c a l d i r e c t o r y to ’ path ’chgrp grp path Change group o f f i l e ’ path ’ to ’ grp ’chmod mode path Change p e r m i s s i o n s o f f i l e ’ path ’ to ’ mode ’chown own path Change owner o f f i l e ’ path ’ to ’own ’h e l p D i s p l a y t h i s h e l p t e x tg e t remote−path [ l o c a l−path ] Download f i l el l s [ l s−o p t i o n s [ path ] ] D i s p l a y l o c a l d i r e c t o r y l i s t i n gl n o l d p a t h newpath Syml ink remote f i l el m k d i r path C r e a t e l o c a l d i r e c t o r ylpwd P r i n t l o c a l work ing d i r e c t o r yl s [ path ] D i s p l a y remote d i r e c t o r y l i s t i n g...
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 9: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/9.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
nawigacja w zdalnym systemie plikówpwd, cd, ls
nawigacja w lokalnym systemie plikówlpwd, lcd, lls
kopiowanie plików na komputer lokalny. . .
s f t p > g e t t a l k . t a rF e t c h i n g /home/ s / szwabin / t a l k . t a r to t a l k . t a r/home/ s / szwabin / t a l k . t a r 100% 150KB 150.0KB/ s 00:00
. . . i w odwrotnym kierunku
s f t p > put beamer . pdfUpload ing beamer . pdf to /home/ s / szwabin / beamer . pdfbeamer . pdf 100% 1621KB 1 . 6MB/ s 00:00s f t p >
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 10: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/10.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
LogowanieKopiowanie plików
Kopiowanie plików (SCP)
z odległego komputera
scp użytkownik@komputer : / ś c i e ż k a _ d o _ p l i k u / p l i k / l o k a l n a _ ś c i e ż k a _ d o _ p l i k u /
[ szwab in@voyag er ~ ] $ scp szwabin@panoramix : beamer . pdf .szwabin@panoramix ’ s password :beamer . pdf 100% 1621KB 1 . 6MB/ s 00:00[ szwab in@voyag er ~ ] $
jeśli konta użytkowników są te same
[ szwab in@voyag er ~ ] $ scp panoramix : beamer . pdf .
katalogi
[ szwab in@voyag er ~ ] $ scp −r Kursy / d e f i a n t : UniWroclaw /
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 11: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/11.jpg)
Zdalna praca w sieciUsługi
BezpieczeństwoDHCP
Usługi
http://cocktails.about.com/
DHCP
WWW
FTP
Samba
. . . i wiele innych
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 12: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/12.jpg)
Zdalna praca w sieciUsługi
BezpieczeństwoDHCP
DHCP
Kategoria Serwery sieciowe
http://www.iodata.jp/
automatyczna konfiguracja komputerówpodłączanych do sieci
oszczędza dużo czasu administratorowi
wygodne dla nowych użytkowników
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 13: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/13.jpg)
Zdalna praca w sieciUsługi
BezpieczeństwoDHCP
Konfiguracja serwera
edytujemy (lub tworzymy) plik /etc/dhcpd.conf
d e f a u l t−l e a s e−t ime 3600;max−l e a s e−t ime 14400;ddns−update−s t y l e none ;
s u b n e t 1 9 2 . 1 6 8 . 0 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 {range 1 9 2 . 1 6 8 . 0 . 2 1 9 2 . 1 6 8 . 0 . 1 0 ;o p t i o n domain−name−s e r v e r s 1 9 4 . 2 0 4 . 1 5 2 . 3 4 , 2 1 7 . 9 8 . 6 3 . 1 6 4 ;o p t i o n b r o a d c a s t−a d d r e s s 1 9 2 . 1 6 8 . 0 . 2 5 5 ;o p t i o n r o u t e r s 1 9 2 . 1 6 8 . 0 . 1 ;
}
ponowne uruchomienie serwera
[ r o o t @ v o y a g e r ~]# s e r v i c e dhcpd r e s t a r t
[ r o o t @ v o y a g e r ~]# / e t c / r c . d/ i n i t . d/ dhcpd r e s t a r t
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 14: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/14.jpg)
Zdalna praca w sieciUsługi
BezpieczeństwoDHCP
Konfiguracja klienta
podczas instalacji systemu
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 15: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/15.jpg)
Zdalna praca w sieciUsługi
BezpieczeństwoDHCP
podczas konfiguracji karty sieciowej
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 16: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/16.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Bezpieczeństwo
http://www.bbc.co.uk/schools/
fizyczne
lokalne
sieciowe
Do poczytania
Kevin Fenzi, Dave Wreski, Linux Security HOWTO
www.happyhacker.org
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 17: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/17.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Bezpieczeństwo fizyczne
kontrola dostępu do komputera
hasła w BIOSie
hasła w programie rozruchowym
Uwaga!
Osoba mająca fizyczny dostęp dokomputera może „obejść” obahasła, jednak zajmie to trochęczasu.
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 18: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/18.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Bezpieczeństwo lokalne
usuwanie nieaktywnych kont
ograniczony dostęp do zasobów dla zwykłych użytkowników(SUID/GUID, restrykcyjne prawa dostępu, ograniczenia naliczbę uruchamianych procesów itp.)
sprawdzanie integralności systemu (Tripwire)
szyfrowanie haseł (shadow)
testowanie jakości haseł użytkowników (Crack, „John TheRipper”)
kopie zapasowe
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 19: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/19.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Bezpieczeństwo sieciowe
uruchamianie tylko niezbędnych usług
SSH zamiast Telnetu
SCP/SFTP zamiast FTP
Zapora ogniowa
systemy detekcji włamań (Snort)
łaty bezpieczeństwa
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 20: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/20.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Zbędne usługi
przydatne polecenia
netstat
nmap
ważne pliki
/etc/services
/etc/inetd.conf lub /etc/xinetd.conf
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 21: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/21.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
netstat
[ szwab in@voyag er ~ ] $ n e t s t a t −aA c t i v e I n t e r n e t c o n n e c t i o n s ( s e r v e r s and e s t a b l i s h e d )Proto Recv−Q Send−Q L o c a l Address F o r e i g n Address S t a t etcp 0 0 l o c a l h o s t : 9 6 6 ∗:∗ LISTENtcp 0 0 ∗ :1550 ∗:∗ LISTENtcp 0 0 ∗ :19150 ∗:∗ LISTENtcp 0 0 ∗ : s u n r p c ∗:∗ LISTENtcp 0 0 ∗ :www ∗:∗ LISTENtcp 0 0 ∗ : s s h ∗:∗ LISTENtcp 0 0 ∗ : i p p ∗:∗ LISTENtcp 0 0 l o c a l h o s t : smtp ∗:∗ LISTENtcp 0 0 v o y a g e r . i f t . u n i .w:32784 j a b b e r p l . o rg :5223 ESTABLISHEDtcp 1 0 v o y a g e r . i f t . u n i .w:32866 b i o f i z y k a . agro . a r . s :www CLOSE_WAITtcp 0 0 v o y a g e r . i f t . u n i .w:32865 dns1 . i b h . p l :www CLOSE_WAITudp 0 0 ∗ :32768 ∗:∗udp 0 0 ∗ : xdmcp ∗:∗udp 0 0 ∗ : s u n r p c ∗:∗udp 0 0 ∗ : i p p ∗:∗A c t i v e UNIX domain s o c k e t s ( s e r v e r s and e s t a b l i s h e d )...
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 22: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/22.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
nmap
e n t e r p r i s e : / home/ szwabin# nmap v o y a g e r
S t a r t i n g nmap 3 . 8 1 ( h t t p : / /www. i n s e c u r e . org /nmap/ ) at 2005−09−21 16:58 CESTI n t e r e s t i n g p o r t s on v o y a g e r . i f t . u n i . wroc . p l ( 1 5 6 . 1 7 . 8 8 . 1 9 0 ) :( The 1662 p o r t s scanned but not shown below a r e i n s t a t e : f i l t e r e d )PORT STATE SERVICE22/ tcp open s s h
Nmap f i n i s h e d : 1 IP a d d r e s s (1 h o s t up ) scanned i n 22.330 s e c o n d s
Uwaga!
Skanujemy tylko te komputery, którerzeczywiście musimy. Użycie nmap możebyć odebrane jako wstęp do ataku.
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 23: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/23.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
/etc/services/
tcpmux 1/ tcp # TCP p o r t s e r v i c e m u l t i p l e x e recho 7/ tcpecho 7/ udpd i s c a r d 9/ tcp s i n k n u l ld i s c a r d 9/ udp s i n k n u l ls y s t a t 11/ tcp u s e r sdayt ime 13/ tcpdayt ime 13/ udpn e t s t a t 15/ tcpqotd 17/ tcp quotemsp 18/ tcp # message send p r o t o c o lmsp 18/ udpchargen 19/ tcp t t y t s t s o u r c echargen 19/ udp t t y t s t s o u r c ef t p−data 20/ tcpf t p 21/ tcpf s p 21/ udp f s p ds s h 22/ tcp # SSH Remote Log in P r o t o c o ls s h 22/ udpt e l n e t 23/ tcpsmtp 25/ tcp m a i lt ime 37/ tcp t i m s e r v e rt ime 37/ udp t i m s e r v e rr l p 39/ udp r e s o u r c e # r e s o u r c e l o c a t i o nnameserver 42/ tcp name # IEN 116whois 43/ tcp nicname...
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 24: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/24.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Zapora ogniowa
sprzęt komputerowy zespecjalnym oprogramowaniemlub samo oprogramowanieblokujące niepowołany dostępdo komputera, siecikomputerowej itp.
http://scramlings.de/johannes/lip/vortrag/
Do poczytania
http://mr0vka.eu.org/docs/tlumaczenia.html
Paweł Krawczyk, Filtrowanie stateful-inspection w Linuksie i
BSD
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 25: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/25.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Budujemy własną zaporę (wersja dla początkujących)
ściągamy z Internetu program Firestarter (w przypadkuAuroksa 10.2 pobieramy wersję dla Fedory Core 2)http://www.fs-security.com/
instalujemy pakiet (jako administrator)
[ r o o t @ v o y a g e r downloads ]# rpm −Uvh f i r e s t a r t e r −1.0.3−1. i 3 8 6 . rpmPrzygotowywanie . . . ######################### [100%]
1 : f i r e s t a r t e r ######################### [100%]
uruchamiamy program z menu KDE lub w powłoceadministratora
[ r o o t @ v o y a g e r downloads ]# f i r e s t a r t e r &
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 26: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/26.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 27: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/27.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 28: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/28.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 29: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/29.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 30: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/30.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 31: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/31.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 32: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/32.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 33: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/33.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 34: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/34.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Budujemy własną zaporę (wersja dla zaawansowanych)
Netfilter/iptables
wbudowane w jądro Linuksa(2.4.x i 2.6.x) funkcje dofiltrowania pakietów i NAT-uoraz program do zarządzanianimi
reguła - zasada postępowaniaz pakietamiłańcuch - zbiór regułułożonych w określonejkolejnościtablica - zbiór łańcuchów
Łańcuchy
INPUT, OUTPUT,FORWARD
PREROUTING,POSTROUTING
użytkownika
Tablice
filter
nat
mangle
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 35: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/35.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
PREROUTINGrutingu
DecyzjaFORWARD
INPUT
Procesy
lokalne
OUTPUT
POSTROUTING
manglenat
manglenat
filter
filter
filter
nat
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 36: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/36.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
otwieramy w edytorze nowy plik tekstowy, np. myfirewall
#!/ b i n / sh
# przykładowa k o n f i g u r a c j a i p t a b l e s d l a bramki ( i n t e r f e j s y ppp0 i eth0 )# na p o d s t a w i e " F i l t r o w a n i e s t a t e f u l−i n s p e c t i o n w L i n u k s i e i BSD"# Pawła Krawczyka# Opcje wywołania :# s t o p − " z a t r z y m u j e " f i r e w a l l , u s t a w i a o t w a r t ą p o l i t y k ę# t e s t − tymczasowe r e g u ł y# bez o p c j i − k o n f i g u r u j e i p t a b l e s
wyłączamy zaporę
i f [ " $1 " = " s t o p " ] ; then/ s b i n / i p t a b l e s −P INPUT ACCEPT/ s b i n / i p t a b l e s −P OUTPUT ACCEPT/ s b i n / i p t a b l e s −P FORWARD ACCEPT/ s b i n / i p t a b l e s −Fe x i t 0
f i
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 37: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/37.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
testujemy zaporę (włączenie na 60s)
i f [ " $1 " = " t e s t " ] ; then( s l e e p 6 0 ; / s b i n / i p t a b l e s −P INPUT ACCEPT ; \
/ s b i n / i p t a b l e s −P OUTPUT ACCEPT ; \/ s b i n / i p t a b l e s −P FORWARD ACCEPT ; \/ s b i n / i p t a b l e s −F) &
f i
ukłon w stronę użytkownika
echo −n " I n s t a l o w a n i e z a p o r y o g n i o w e j . . . "
ładujemy niezbędne moduły jądra
/ s b i n / modprobe i p _ t a b l e s/ s b i n / modprobe i p _ c o n n t r a c k
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 38: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/38.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
czyścimy stare ustawienia
/ s b i n / i p t a b l e s −F/ s b i n / i p t a b l e s −F −t nat
domyślna polityka (wszystko odrzucane)
/ s b i n / i p t a b l e s −P INPUT DROP/ s b i n / i p t a b l e s −P FORWARD DROP/ s b i n / i p t a b l e s −P OUTPUT DROP
interfejs lokalny jest uprzywilejowany
/ s b i n / i p t a b l e s −A INPUT − i l o −j ACCEPT/ s b i n / i p t a b l e s −A OUTPUT −o l o −j ACCEPT/ s b i n / i p t a b l e s −A FORWARD −o l o −j ACCEPT
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 39: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/39.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
sieć lokalna również ma specjalne prawa
/ s b i n / i p t a b l e s −A INPUT − i e th0 −j ACCEPT/ s b i n / i p t a b l e s −A OUTPUT −o eth0 −j ACCEPT
akceptujemy pakiety ICMP Echo (ping)
/ s b i n / i p t a b l e s −A INPUT −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT/ s b i n / i p t a b l e s −A FORWARD −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT/ s b i n / i p t a b l e s −A OUTPUT −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 40: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/40.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
wpuszczamy połączenia SSH z całej sieci
/ s b i n / i p t a b l e s −A INPUT −p tcp −d 0/0 −−d p o r t 22 −j ACCEPT
zezwalamy na wszystko w ramach istniejących połączeń
/ s b i n / i p t a b l e s −A INPUT −p tcp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A INPUT −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A INPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A INPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A FORWARD −p tcp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A FORWARD −p tcp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A FORWARD −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A FORWARD −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A FORWARD −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A OUTPUT −p tcp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A OUTPUT −p tcp −j ACCEPT −m s t a t e −−s t a t e RELATED/ s b i n / i p t a b l e s −A OUTPUT −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A OUTPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED/ s b i n / i p t a b l e s −A OUTPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 41: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/41.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
usługi TCP i UDP , które wypuszczamy z sieci: WWW(80,8080), SSH (22), SMTP (25), POP3/POP3s (110, 995),News (119), DNS (53), Gadu-Gadu (443), Jabber(5223,8010), Skype (28025)
TCP_OUT_ALLOW=80 ,8080 ,22 ,25 ,110 ,995 ,119 ,53 ,443 ,5223 ,8010 ,9100 ,28025UDP_OUT_ALLOW=53
/ s b i n / i p t a b l e s −A OUTPUT −o ppp0 −p tcp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $TCP_OUT_ALLOW
/ s b i n / i p t a b l e s −A OUTPUT −o ppp0 −p udp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $UDP_OUT_ALLOW
/ s b i n / i p t a b l e s −A FORWARD −o ppp0 −p tcp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $TCP_OUT_ALLOW
/ s b i n / i p t a b l e s −A FORWARD −o ppp0 −p udp −j ACCEPT −m s t a t e −−s t a t e NEW \−m m u l t i p o r t −−d e s t i n a t i o n−p o r t $UDP_OUT_ALLOW
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 42: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/42.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
maskarada/ s b i n / i p t a b l e s −t nat −A POSTROUTING −p a l l −s 1 9 2 . 1 6 8 . 0 . 0 / 2 4 −j MASQUERADEecho "1" > / proc / s y s / net / i p v 4 / i p _ f o r w a r d
logowanie odrzuconych pakietów/ s b i n / i p t a b l e s −A INPUT −j LOG −m l i m i t −− l i m i t 10/ hour/ s b i n / i p t a b l e s −A OUTPUT −j LOG −m l i m i t −− l i m i t 10/ hour/ s b i n / i p t a b l e s −A FORWARD −j LOG −m l i m i t −−l i m i t 10/ hour
kolejny ukłon w stronę użytkownikaecho " z r o b i o n e ! "
Kopiujemy plik myfirewall do katalogu/etc/rc.d/init.d/. Nadajemy mu atrybutwykonywalności (tylko dla właściciela). Dodajemy godo poziomów pracy poleceniem chkconfig.
Janusz Szwabiński Technologie Informatyczne od Podstaw
![Page 43: Sieci komputerowe/Bezpiecze«stwo Janusz Szwabi«skitip.ift.uni.wroc.pl/la/w6.pdf · Kopiowanie plików pierwsze logowanie [ szwabin@voyager ~]$ ssh szwabin@panoramix . i f t . uni](https://reader031.vdocuments.pub/reader031/viewer/2022022115/5c76bd8809d3f2ff328c3375/html5/thumbnails/43.jpg)
Zdalna praca w sieciUsługi
Bezpieczeństwo
Zbędne usługiZapora ogniowa
Janusz Szwabiński Technologie Informatyczne od Podstaw