ipfminihowto.pdf
(
122 KB
)
Pobierz
20578689 UNPDF
FiltrowaniepakietówIP–miniHOWTO
DanielLetkiewicz
<
dletkiew@pleple.ict.pwr.wroc.pl
>
Abstrakt:Dokumentzawierapodstawoweinformacjeofiltrowaniupakietów
IPzapomoc¡programuipf.Przedstawionomo»liwo±citegopakietu,popie-
raj¡cjeprzykładamiiopisuj¡csktótowomechanizmdziałania.
ipf–miniHOWTO
Spistre±ci
1Wst¦p 3
2Zasadyfiltrowania 3
2.1FiltrowanienapodstawieadresuIP............... 4
2.2Filtrowaniewybranegoprotokołu................ 4
2.2.1FiltrowanieprotokołuTCP............... 5
2.2.2FiltrowanieprotokołuICMP............... 6
2.3Filtrowanienapodstawieportu................. 6
2.4Filtrowaniewybranegointerfejsu................. 6
2.5Dodatkowemo»liwo±cifiltrowaniapakietówIP......... 7
3Dynamiczneregułyfiltrowania 8
3.1Utrzymywanieinformacjiostaniepoł¡czenia.......... 8
3.1.1keepstatedlaUDP.................... 8
3.1.2keepstatedlaICMP................... 8
3.1.3keepstatedlaTCP.................... 9
3.2Utrzymywaniedanychofragmentowanychpakietach...... 9
4Generowaniepakietówzwrotnych 9
5Grupowanieregułek 10
6Raportowanieinformacji 11
7Podsumowanie 11
ADodatek 13
2
ipf–miniHOWTO
Niniejszytekstzostałnapisanynapodstawiedokumentacjiorazwłasnychdo-
±wiadcze«.Stanowionjedyniewprowadzenieiskróconyopismo»liwo±cifiltru
pakietówIP(IPF).Dodatkoweinformacjemo»nauzyska¢nastronieIPF:
<
http://coombs.anu.edu.au/˜avalon/ip–filter.html
>
orazkieruj¡cpytaniedo
autoraniniejszegotekstu.
1Wst¦p
FiltrpakietówIP,stosowanywsystemachBSD,jestwygodnymnarz¦dziem
umo»liwiaj¡cymkontrol¦pakietówpodró»uj¡cych(odbieranych/wysyłanych)
przezinterfejsysieciowe.Bazuj¡cnaprostymzapisiereguł,IPFpotrafizaak-
ceptowa¢lubodrzuci¢ka»dywchodz¡cylubwychodz¡cypakietspełniaj¡cy
podanekryteria.Mo»eanalizowa¢pakietynapodstawieinformacjiznajduj¡-
cychsi¦wnagłówkupakietuIP,TCP,UDPiICMP.Potrafizapami¦tywa¢
m.in.danedotycz¡ce:fragmentacjipakietówIP,poł¡cze«TCP,przepływu
informacjidlaUDPiICMP.
2Zasadyfiltrowania
Filtrowaniepakietówodbywasi¦napoziomiej¡drasystemunapodstawie
zdefiniowanychprzezadministratoraregułfiltruj¡cych.Zarz¡dzaniemreguła-
mi(aktywacje,dezaktywacja,usuni¦cie,wstawienieitd.)zajmujesi¦program
ipf(zobaczdodatek).Regułki,którenale»ywstawi¢dosystemuumieszcza
si¦wplikukonfiguracyjnym,zazwyczajjestto/etc/ipf.rules.Ka»daregułka
rozpoczynasi¦słowemkluczowymokre±laj¡cymakcj¦jak¡nale»ywykona¢
iko«czysi¦znakiemko«calinii.Akcjazostaniewykonanawówczas,gdyana-
lizowanypakietspełniakryteriadanejregułki.
Najcz¦±ciejwykorzystywaneakcjeto:block–odrzu¢pakietipass–akcep-
tujpakiet
1
.Słowakluczoweinioutokre±laj¡odpowiedniopakietodbierany
iwysyłany,allnatomiaststosujesi¦dooznaczeniadowolnegopakietu.
Przykład1.Zablokowaniewszystkichpakietówwysyłanychiakceptowanie
wszystkichpakietówodbieranychnaka»dyminterfejsiesieciowymwsyste-
mie.
blockinall
1
Opróczblokowaniaiprzepuszczaniapakietówmo»nam.in.raportowa¢informacje(log),
zlicza¢pakiety(count)lubwywoływa¢funkcjeumieszczonezj¡drzesystemu(call)
3
ipf–miniHOWTO
passoutall
Regułkianalizowanes¡pokolei,takjakwyst¦puj¡wplikukonfiguracyjnym,
iwykonywan¡reguł¡jestpierwszapasuj¡ca.
Przykład2.Dwiepierwszelinieinformuj¡,»eodebranypakietkwalifikujesi¦
doodrzuceniaaletrzecialiniadecydujeotym,abygozaakceptowa¢.
blockinall
blockinall
passinall
passoutall
U»ywaj¡csłowakluczowegoquickmo»emyzarz¡da¢,abypodopasowaniupa-
kietudoregułkianalizapozostałychregułzostałaprzerwana.
Przykład3.Wszystkieprzychodz¡cepakietyzostan¡zablokowane.Liniadru-
ganigdynieb¦dzieanalizowana.
blockinquickall
passinall
passoutall
2.1FiltrowanienapodstawieadresuIP
NadawcaiodbiorcapakietuidentyfikowanyjestnapodstawienumeruIPznaj-
duj¡cegosi¦wnagłówkupakietuIP.IPFrozpoznajepojedynczenumeryIP,
jakrównie»zakresy,definiowaneliczb¡bitówprzypadaj¡cychnamask¦pod-
sieci.Nadawcaokre±lanyjestzapomoc¡fromaodbiorcato.Słowokluczowe
anyoznaczanatomiastdowolnyadres.
Przykład4.Wszystkiepakietywysyłanezadresuod192.168.0.0do192.168.255.255
zostan¡zaakceptowane,pozostałepakietyorazpakietypochodz¡cez192.168.0.10
zostan¡odrzucone.
blockoutquickfrom192.168.0.10toany
passoutquickfrom192.168.0.0/16toany
blockoutall
2.2Filtrowaniewybranegoprotokołu
Stosuj¡csłowokluczoweprotomo»emywyodr¦bnia¢pakietynale»¡cedowy-
specyfikowanegoprotokołu.Protokółmo»eby¢identyfikowanypoprzeznazw¦,
4
ipf–miniHOWTO
m.in.:tcp,udp,icmp,jakrównie»poprzeznumerdziesi¦tnyodpowiadaj¡cyda-
nemuprotokołowi
2
.Słowokluczowetcp/udpoznaczapakietTCPlubUDP.
Przykład5.PakietyUDPwysyłanezadresu192.168.0.10orazwszystkiepa-
kietyICMPzostan¡zablokowaneapakietyprotokołuIGMP(nr2)b¦d¡ak-
ceptowane.
blockinquickprotoudpfrom192.168.0.10toany
blockinquickprotoicmpfromanytoany
passinquickproto2fromanytoany
2.2.1FiltrowanieprotokołuTCP
FiltrIPpozwalanadopasowaniepakietunapodstawieflagprotokołuTCP.
Słowemkluczowymflagsmo»naokre±li¢dokładniejakieflaginale»ybra¢pod
uwag¦:
•F–flagaFIN
•S–flagaSYN
•R–flagaRST
•P–flagaPUSH
•A–flagaACK
•U–flagaURG
Ł¡czenieflagorazstosowaniemaski(flagi/maska)pozwalanaokre±leniedo-
wolnejkombinacjiflag.Pole„maska”okre±laflagi,którenale»yanalizowa¢,
pole„flagi”natomiastidentyfikujeteflagi,któremaj¡by¢ustawione.Domy±l-
namaskawynosi:FSRPAU.
Przykład6.Poni»szeregułkiblokuj¡przychodz¡cepakietyTCP.
–zustawion¡tylkoiwył¡cznieflag¡SYN
blockinquickprototcpflagsS
-zustawionymiflagamiSYNiFIN,pozostałeflagimog¡by¢ustawione
lubnie
blockinquickprototcpflagsSF/SF
-zustawion¡flag¡SYNiwyzerowan¡flag¡ACK,pozostałeflaginies¡
branepoduwag¦
blockinquickprototcpflagsS/SA
2
Mapowanienumeruprotokołunanazw¦znajdujesi¦wpliku/etc/protocols,dokładny
opismo»naznale¹¢wRFC1700.
5
Plik z chomika:
cyber_punk
Inne pliki z tego folderu:
100_photoshop_tutorials.zip
(3835 KB)
3D Studio MAX (PL) - Helion.zip
(5725 KB)
3d_studio_max_2.0_pl.rar
(2516 KB)
abc_fotografii.rar
(1389 KB)
Access 2002 - Bible.pdf
(16385 KB)
Inne foldery tego chomika:
Zgłoś jeśli
naruszono regulamin