7 - Zabezpečení sítí

Zabezpečení sítí

Firewall

• Název: Názvy se používají k identifikaci jednotlivých pravidel brány firewall.

• Protokol: K výměně informací se používá několik standardních protokolů. TCP a UDP se používají k výměně informací mezi systémy. ICMP se používá hlavně k přenosu chybových zpráv a dotazů. Pokud si nejste jistí, který protokol určit, můžete určit všechny protokoly.

• Zdrojová IP adresa: Zdrojové IP adresy jsou místa, odkud pochází síťový provoz. Zdrojové IP adresy se mohou nacházet v místní síti hostované zařízením Synology Router nebo v internetu.

• Cílová IP adresa: Cílové IP adresy jsou místa, kam síťový provoz směřuje. Cílové IP adresy se mohou nacházet v místní síti hostované zařízením Synology Router nebo v internetu.

• Port: Porty jsou místa, kde provoz sítě vystupuje ze zařízení nebo do zařízení vstupuje, a lze je rozdělit na zdrojové porty a cílové porty.

• Akce: Akce určuje, co brána firewall systému SRM udělá, když některý síťový provoz odpovídá podmínkám stanoveným číslem portu, zdrojovou IP adresou a síťovým rozhraním.

• Zjištění: Zobrazuje počet aktivací pravidla brány firewall.

Iptables

Tabulka:
filter: jen tato tabulka se používá k filtrování paketů. Pokud v iptables je hodnota tabulka vynechána tak se automaticky bere, že je tam právě filter.
nat: tuto tabulku použijeme pokud chceme používat přepis adres
mangle: zpracovává hlavičky paketů, dále nebude rozebírána – používá se např. při nastavování QoS)

Akce (nejčastěji používané jsou následující čtyři, ostatní méně používané jsou odděleny čarou):
-A: nakonec řetězce se přidá nové pravidlo
-P: zadání hlavního pravidla (politika)
-L: slouží k vypsání pravidel
-F: slouží k vymazání pravidel
-----------------------------------------------------------------------------------
-I: nové pravidlo se přidá na začátek řetězce
-D: slouží k smazání pravidla
Pomocí následujících akcí můžeme zakládat vlastní řetězce
-N: založení nového řetězce
-X: smazání námi vytvořeného řetězce
-E: přejmenování řetězce

Řetězce (pro tabulku filter):
INPUT: vstupní řetězec do kterého vstupují všechny pakety, které vstupují do počítače.
OUTPUT: výstupní řetězec, do něhož vstupují všechny pakety, které z počítače odcházejí.
FORWARD: určuje co bude s daty která nejsou určena pro tento PC. Tato data prochází pouze FORWARDem (nikoliv INPUTem nebo OUTPUTem). Forwarding je nejprve nutno v povolit v jádře příkazem: echo „1“ > proc/sys/net/ipv4/ip_forward.

Řetězce(pro tabulku nat)
PREROUTING: používá se pro port forwarding (DNAT) změna cílové adresy
POSTROUTING: používá se pro SNAT(MASQUERADE) změna zdrojové adresy
Ohledně NATu se jistě bude hodit routovací tabulka. Ta se vypíše buď:ip route a nebo netstat -r.

Pravidla (budou popsána ta nejběžnější):
-s: zdrojová IP paketu, popřípadě rozsah adres, adresa může být doplněna maskou
-d: cílová IP paketu a nebo rozsah adres
-i: vstupní zařízení, kterým paket přijde do PC např. eth0
-o: výstupní zařízení, kterým odejde paket z PC
--sport: zdrojový port paketu
--dport: port na který paket putuje

Cíl (určuje co se s paketem stane):
K určení cíle používáme parametr -j za kterým následuje konkrétní akce a ty jsou následující.
ACCEPT: akceptuje paket, nechá ho projít filtrem
REJECT: paket bude zahozen a zdrojový PC o tom bude informován
DROP: paket bude také zahozen, ale zdrojový PC nebude informován