Linux Firewall (Iptables L7 Filters and Proxy)
•
1 like•570 views
Questa presentazione mostra e spiega la realizzazione di un firewall linux base con filtro a livello applicativo (Layer 7).
Recommended
Recommended
More Related Content
Similar to Linux Firewall (Iptables L7 Filters and Proxy)
Similar to Linux Firewall (Iptables L7 Filters and Proxy) (20)
Linux Firewall (Iptables L7 Filters and Proxy)
- 1. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Analisi ed implementazione della sicurezza perimetrale aziendale tramite l’utilizzo di componenti del sistema operativo Linux Azienda ospitante: Sanmarco Informatica S.p.A Universit`a degli studi di Padova Dipartimento di Matematica Corso di Laurea in Informatica Laureando: Stefano Campese Matricola: 616963 Relatore: Prof. Claudio Enrico Palazzi Anno Accademico: 2013/2014 1 / 15
- 2. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Descrizione del progetto Il progetto consiste nella creazione di firewall mediante alcuni moduli del kernel del sistema operativo Linux, che permettono l’intercettazione e la manipolazione dei pacchetti in transito nella rete. L’obiettivo del progetto dunque, `e quello di creare firewall basati sul filtraggio dei pacchetti tramite utilizzo di: NetFilter IPtables Squid 2 / 15
- 3. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Caratteristiche In genere, il firewall dovr`a saper svolgere diversi compiti, come ad esempio: Separare la rete LAN dalla rete WAN Separare eventuali zone DMZ dalla LAN Supporto per connessioni VPN Possibilit`a di funzione proxy Possibilit`a di funzione antispam Filtraggio connessioni in uscita o entrata Filtraggio connessioni in base agli indirizzi IP Filtraggio connessioni in base alle porte di comunicazione Filtraggio connessioni in base al protocollo di comunicazione Filtrare connessioni in base alle applicazioni che generano i pacchetti 3 / 15
- 4. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Strumenti & Tecnologie utilizzate Gli strumenti e le tecnologie utilizzate sono state le seguenti: utilizzo del protocollo TCP/IP utilizzo di IPtables utilizzo di Squid utilizzo software di monitoraggio IFtop Htop IPtraf utilizzo di L7-Filter utilizzo del sistema operativo Voyage Linux 4 / 15
- 5. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Studio dell’infrastruttura Compiti del firewall Scelta del firewall adatto Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Progettazione La progettazione deve tenere in considerazione due aspetti: l’infrastruttura di rete esistente compiti che deve svolgere il firewall 5 / 15
- 6. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Studio dell’infrastruttura Compiti del firewall Scelta del firewall adatto Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Studio dell’infrastruttura Capire come si presenta l’infrastruttura di partenza 6 / 15
- 7. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Studio dell’infrastruttura Compiti del firewall Scelta del firewall adatto Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Compiti del firewall Compiti che in genere svolge un firewall: 7 / 15
- 8. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Studio dell’infrastruttura Compiti del firewall Scelta del firewall adatto Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Scelta del firewall adatto 8 / 15 Capire quale sistema scegliere: sistema operativo hardware di supporto
- 9. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Esempio regole IPtables e regole IPtables con L7-Filter Implementazione proxy Squid Verifica e Validazione Conclusioni Implementazione regole IPtables L’implementazione delle regole viene fatta a blocchi, ogni blocco ha la propria funzione: regole per l’assegnazione degli indirizzi IP alle interfacce regole di caricamento moduli del kernel regole di NAT regole di filtraggio SMB Windows regole per i nodi connessi al firewall regole di input/output del firewall regole di filtraggio a livello applicativo con L7-Filter 9 / 15
- 10. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Esempio regole IPtables e regole IPtables con L7-Filter Implementazione proxy Squid Verifica e Validazione Conclusioni Esempio regole IPtables e regole IPtables con L7-Filter 10 / 15 Un esempio di regole di NAT, di filtraggio del protocollo SMB di Windows e di filtraggio dei protocolli P2P con L7-Filter.
- 11. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Implementazione proxy Squid Esempio direttive Squid Verifica e Validazione Conclusioni Implementazione proxy Squid L’implementazione di un proxy Squid avviene mediante l’utilizzo di direttive o regole scritte nel file di configurazione. Le direttive si divino in tre gruppi: direttive generali direttive ACL direttive ACL di accesso al proxy ACL: Access Control List o lista di controllo di accesso 11 / 15
- 12. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Implementazione proxy Squid Esempio direttive Squid Verifica e Validazione Conclusioni Esempio direttive Squid 12 / 15 Un esempio di di direttive per Squid
- 13. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Verifica Verifica delle regole tramite analisi dinamica, per testare le regole `e necessario avviare moduli, programmi e servizi. Per verificare regole e direttive `e necessario: osservare i contatori per le regole IPtables osservare i contatori per le regole IPtables con L7-Filter osservare i permessi per la navigazione sul web (proxy) osservare i permessi per l’accesso al proxy I test sono stati eseguiti ad ogni installazione di un firewall. 13 / 15
- 14. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Validazione 14 / 15 Un firewall si considera validato solo quando tutte le regole e le direttive utilizzate superano i test. Il superamento dei test avviene solamente quando le regole aumentano i contatori, segnalando il passaggio di pacchetti. Figura 1 : Esempio di test
- 15. Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Conclusioni Durante lo stage sono stati implementati numerosi dispositivi firewall che permettono di aumentare esponenzialmente la sicurezza della rete aziendale dei clienti dell’azienda. Tutti i firewall attualmente sono in funzione e possono essere gestiti da remoto, tramite tunnel SSH, nel caso di future manutenzioni, modifiche e o aggiornamenti. Gli obiettivi obbligatori posti all’inizio del periodo di stage sono stati tutti pienamente raggiunti. 15 / 15