Einrichtung und Installation von Firewalls unter openSuse 11.0 mit iptables
description
Transcript of Einrichtung und Installation von Firewalls unter openSuse 11.0 mit iptables
Einrichtung und Installation von Firewalls unter openSuse 11.0 mit
iptables
Präsentation zur Projektgruppe Firewall
Oliver Enns und Patrick Scheel
FHDW Hannover, 03.06.2009
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Präsentationsübersicht
03.06.20092
Projektziel Entwurf Netzwerkarchitektur Projektumgebung Konfiguration der VM Installation openSuse 11.0 Regelkonzept iptables Firewall Startskript Fazit Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Projektziel
03.06.20093
Festlegung der IP-Adressierung/Ports für die Server/Dienste in der DMZ
Installation und Einrichtung von zwei Firewall-Systemen:
Firewall „Innen“ und Firewall „Außen“ Routingregeln einrichten Entwurf eines Regelkonzeptes für die Firewallsysteme Installation der Firewallregeln Entwicklung von Skripten zum Starten und Stoppen der
Firewalls Realisierung eines Konzepts zum Schutz des
Clientnetzwerks der Klasse 1a (192.168.10.0/24)
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Projektziel
03.06.20094
• TCP-Flags überprüfen • ICMP-Pakete zulassen
• Logging-Mechanismus • Abweisungs-Regel am Ende der Kette
• Standard-Regel: Alles verbieten • Zusammenhängende Pakete (SPI) akzeptieren
• HTTP-Verkehr an Proxy weiterleiten • SSH-Zugriff akzeptieren
• Spoofing verhindern • DNS-Pakete durchlassen
• IP-Forward aktivieren • Zugriff auf die Dienste in der DMZ
Gemeinsamkeiten
Unterschiede
Firewall „Innen“ Firewall „Außen“
• Kommunikationsaufbau ins interne Netz (Client) verbieten
• Kommunikationsaufbau ins interne Netz (DMZ) eingeschränkt zulassen
• DHCP-Anfragen durchlassen • Mail-Verkehr an Mailserver weiterleiten
• OPSI-Dienst zulassen • HTTP-Anfragen von Außen an den Webserver weiterleiten
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Entwurf Netzwerkarchitektur
03.06.20095
Einsatzort: Schulnetzwerke Zwei Firewalls: „Außen“ und „Innen“ Trennung von Internet und DMZ und DMZ von Clientnetzwerk DMZ: Class A Netzwerk mit 10.0.0.0/24 - Netzwerk Client-Netzwerk: Class C Netz mit 192.168.10.0/24 -Netz für eine
Klasse
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Entwurf Netzwerkarchitektur
03.06.20096
IP-Adressierung der Server/Dienste:
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Projektumgebung
03.06.20097
Firewalls werden auf virtuellen Maschinen installiert
Als virtuelle Plattform wird VMware Server Version 1.0.8
eingesetzt
Basisbetriebssystem ist openSuse 11.0 32-Bit Version,
Linuxkernel 2.6
Grundlage der Firewall bildet netfilter/iptables Version 1.4.0
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Konfiguration der VM
03.06.20098
Eine virtuelle Maschine für jede Firewall
Jedes System erhält zwei Netzwerkkarten
Ausstattung
Festplatten HD1: 30 GB Betriebssystem
HD2: 50 GBDaten
Arbeitsspeicher 512MB
Ausstattung
Prozessor 1CD-Laufwerk 1Netzwerk-schnittstellen
2
Firewall Außen Firewall Innen
Schnittstelle Netzwerk-Mode Schnittstelle Netzwerk-Mode
eth0 VMnet1 eth0 Bridged
eth1 Bridged eth1 VMnet1
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Installation openSuse 11.0
03.06.20099
openSuse 11.0 32-Bit Version, aktuell und gepatcht
Standardinstallation mit grafischer Oberfläche (KDE)
Installation zusätzlicher Pakete für Netzwerkanalyse (iptraf)
Deaktivierung der Pakete für SuseFirewall2
Einrichtung der Netzwerkeinstellungen und Routingtabellen
mit Suse YASTFirewall Außen Firewall Innen
Schnittstelle
IP-Adresse Schnittstelle
IP-Adresse
eth0 10.0.0.1 / 24 eth0 192.168.10.1 / 24
eth1 192.168.x.x / 24 eth1 10.0.0.2 / 24
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Regelkonzept
03.06.200910
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
iptables
03.06.200911
iptables seit der Kernelversion 2.4 im Kernel integriert iptables ist eine Erweiterung von ipfwadm (Kernel 2.0) und
ipchains (Kernel 2.2) mit der Stateful Packet Inspection Funktionalität
Grundkonzept besteht aus Tabellen, Ketten (Chains) und Regeln
Eine Tabelle beinhaltet Ketten Eine Kette beinhaltet Regeln
Regel 1
Tabelle 1
Kette 1
Kette 2
Kette n
Regel 2
Regel 3
Regel 1
Regel 1
Regel 2
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
iptables
03.06.200912
Verwaltung der Regeln und Ketten in den Basistabellen: filter, mangle, nat
Fünf Basischains, deren Funktionen vordefiniert sind: INPUT OUTPUT FORWARD PREROUTING POSTROUTING
Jedes ankommende und ausgehende Datenpaket wird in den Tabellen und deren Ketten ausgewertet
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
iptables
03.06.200913
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
iptables
03.06.200914
Die Auswertung erfolgt in den Regeln der jeweiligen Ketten
Die Regeln einer Kette werden nach dem Top-Down-Prinzip abgearbeitet
Aufbau und Struktur der Regeln nach dem Prinzip:
WENN (Filteroption) DANN Aktion REJECT DROP ACCEPT LOG DNAT SNAT MASQUERADE REDIRECT
Die Default-Policy tritt als letzte Regel in Kraft, falls keine vorherige Regel zutraf:
DROP oder ACCEPT
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Firewall Startskript
03.06.200915
Einstellungen der Firewall gehen beim Neustart des Systems
verloren
Startskript sorgt dafür, das Firewallregeln während des
Neustarts wieder festgelegt werden:
rcfirewall start
Stopskript ermöglicht das „Öffnen“ des Systems z.B. für
Konfigurations- und Testzwecke:
rcfirewall stop
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Fazit
03.06.200916
Default Policys: Es wird alles geblockt, was nicht explizit zugelassen ist Serversysteme innerhalb der DMZ können untereinander kommunizieren Zugriff auf Wirtsmaschine über Internet via SSH Für folgende Dienste wurden Regeln definiert:
Proxy Mailserver DHCP/DNS-Server Webserver
Clientsysteme können untereinander kommunizieren Clientsysteme haben Zugriff auf Internet via Proxy (http-Port) und DNS DHCP-IP-Adressierung der Clients aus dem DMZ-Netz Loggingmechanismus implementiert Überprüfung von Datenpaketen auf ungültige TCP-Flag-Kombinationen Es existiert ein Firewallsystem für das Clientnetzwerk „Klasse 1a“
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Ausblick
03.06.200917
Hinzufügen der fehlenden Firewallregeln für Email LDAP OPSI Fileserver
Grafische Darstellung von Log-Einträgen z.B. durch Anzeige in Browsern oder externen Clients
Modularisierung des Firewall-Regel-Skriptes Aufteilung der Skripte nach Diensten Für jeden Dienst können individuell Regeln hinzugefügt oder
gelöscht werden
Projektziel • Entwurf • Projektumgebung • Konfiguration VM • Installation • Regelkonzept • iptables • Firewall Startskript • Fazit • Ausblick
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel 03.06.200918
Vielen Dank für Ihre Aufmerksamkeit!
Firewall mit Iptables unter openSuse 11.0 Oliver Enns und Patrick Scheel
Praktische Präsentation
03.06.200919
DHCP – Test ICMP – Test / DNS-Auflösung Zugriff auf lokalen Webserver Zugriff vom Client über Proxy nach Internet Proxy abgeschaltet >> kein Zugang möglich SSH Zugriff beider Firewalls nur EXT-Interface Start- und Stopskript