La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Linux firewalls Massimo Ianigro - CNR Area di Ricerca - Bari

Presentazioni simili


Presentazione sul tema: "Linux firewalls Massimo Ianigro - CNR Area di Ricerca - Bari"— Transcript della presentazione:

1 Linux firewalls Massimo Ianigro - CNR Area di Ricerca - Bari

2 Bologna, 24 novembre M. Ianigro Introduzione ai firewalls Esistono diverse tipologie di firewalls: Filtering firewalls: livello network/transport Proxy servers: livello application –Application gateway (es. SQUID) –Socks proxy

3 Bologna, 24 novembre M. Ianigro I meccanismi di packet filtering Application layer (server applicativi) Transport layer (TCP/UDP) Network layer (IP, ICMP) Data link layer (frame Ethernet,..) Physical layer Firewall TCP/UDP source/destination ports TCP connection state flags IP ICMP control codes

4 Bologna, 24 novembre M. Ianigro Architetture tipiche DMZ Rete privata

5 Bologna, 24 novembre M. Ianigro Utilizzare Linux Pro: –free, sorgenti disponibili Contro: –free, sorgenti disponibili

6 Bologna, 24 novembre M. Ianigro Packet filtering in linux IPFWADM: kernel v e antecedenti IPCHAINS:kernel v e successive NetFilter:kernel v. 2.3x e seguenti...

7 Bologna, 24 novembre M. Ianigro IPchains Meccanismo di filtering basato sul concetto di chains: Input, Forward, Output Input …. Pacchetto IP Forward Output ?????????…. Esempio Esempio: ipchains -A input -p tcp -s 0/0 -d /32 www -j ACCEPT -l

8 Bologna, 24 novembre M. Ianigro Supporta la funzionalità di masquerading (per alcuni protocolli richiede moduli specifici nel kernel: irc, real-audio,…) Ipchains (2) Input x…. Pacchetto IP Forward Output ipchains -A forward -s /24 -d 0/0 -j MASQ …. Indirizzo IP del firewall: LAN interna Rete esterna

9 Bologna, 24 novembre M. Ianigro Ipchains (3) E opportuno adottare oltre alle regole di filtering anche altri accorgimenti. Esempio: abilitare lIP forwarding & defragment echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/ip_always_defrag

10 Bologna, 24 novembre M. Ianigro Ipchains (4) Esistono strumenti per semplificare la definizione delle regole: –gfcc –firewall-config –fbuilder (lite) –FWctl

11 Bologna, 24 novembre M. Ianigro Proxy servers Applicazioni separate per ogni servizio per il quale si offre il servizio di proxy. Esempio: –SQUID (WWW) –BNC (IRC) –… Agiscono a livello application

12 Bologna, 24 novembre M. Ianigro Altri accorgimenti Rimuovere i vari servizi da /etc/(x)inetd.conf Abilitare laccesso via SSH Prevedere eventualmente servizi dedicati solo per le macchine delle reti interne (es. DNS) Logging remoto …

13 Bologna, 24 novembre M. Ianigro Link utili HOW-Tos: –Linux IPCHAINS-HOWTO –Linux IP Masquerade HOWTO –Firewall and Proxy Server HOWTO Tools per la configurazione di ipchains: (security/admin/firewalls)


Scaricare ppt "Linux firewalls Massimo Ianigro - CNR Area di Ricerca - Bari"

Presentazioni simili


Annunci Google