Administrace UNIXu

Transkript

Administrace UNIXu

Administrace
UNIXu
Leo Galamboš
Administrace UNIXu
Leo Galamboš
2009
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
Realita života. . .
Part I
Tabulky
NAT
RDR
Synchronizace stavů
Firewall, NAT, RDR, CARP
CARP
Správa
Vyzkoušejte si
Program
Administrace
UNIXu
Leo Galamboš
1
Firewall
ICMP, UDP, TCP
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
2
Implementace
Pravidla
Tabulky
NAT
RDR
3
CARP
Správa
4
Vyzkoušejte si
Tabulky
NAT
RDR
CARP
Správa
Vyzkoušejte si
Úvod
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
firewall (fw) filtruje packety na sı́ťových adaptérech
stavový firewall
pravidla postihnou pouze inicializaci spoje
zbytek řešı́ fw (podle stavu) – následný packet patřı́ k
povolenému spoji
UDP, ICMP nemajı́ stav, ale žádost může otevřı́t časové
okno
TCP spojenı́ má stav
aplikačnı́ firewall – filtrovánı́ na úrovni aplikačnı́ch
protokolů
VoIP/SIP – voice data projdou bez nutnosti otvı́rat porty
Pravidla
Tabulky
NAT
RDR
CARP
Správa
Vyzkoušejte si
Úvod
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
na směrovači je možné přepisovat IP adresy v
packetech
zdrojová adresa maskovaná směrovačem — NAT
cı́lová adresa přepsaná na jinou — RDR
HIPS (Host Intrusion Prevention Systems) –
monitorovánı́ aplikacı́
pf – OpenBSD; pf/ipfw – FreeBSD; iptables – Linux;
FW-1 – Solaris; ipf/ipfilter
Tabulky
NAT
RDR
CARP
Správa
Vyzkoušejte si
UDP
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
Tabulky
NAT
RDR
zdrojová a cı́lová IP adresa
zdrojový a cı́lový port
délka a checksum
CARP
Správa
Vyzkoušejte si
TCP
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
zdrojový a cı́lový port
Tabulky
NAT
RDR
délka a checksum
sequence, acknowledgement number – offset 1. bytu
tohoto packetu vůči náhodné hodnotě zvolené při
inicializaci spoje (32-bit hodnoty)
přı́znaky: SYN, ACK, URG, FIN, RST, PSH
velikost okna: kolik dat ještě bez problémů přijmeme
CARP
Správa
Vyzkoušejte si
ICMP
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
checksum
Tabulky
typ a kód ICMP zprávy
NAT
RDR
8/0
0/0
11/0
11/1
3/0
3/1
3/2
3/3
echo
echo reply
TTL překročen
chybı́ fragment pro rekonstrukci
cı́lová sı́ť nenı́ dostupná
cı́lový uzel nenı́ dostupný
cı́lový protokol nenı́ povolen
cı́lový port nenı́ otevřen
...
CARP
Správa
Vyzkoušejte si
Linuxové implementace
Administrace
UNIXu
Leo Galamboš
Firewall
několik snah o vytvořenı́
ipchains
iptable
ICMP, UDP, TCP
Implementace
Pravidla
Tabulky
NAT
nutno zakompilovat do kernelu (modulů)
mocné, ale složité
RDR
CARP
Správa
Vyzkoušejte si
ipTables
plug-in moduly
ovládánı́: iptables(8), iptables-save(8),
iptables-restore(8)
generátor pro normálnı́ lidi:
http://firehol.sf.net/
ipTables
Administrace
UNIXu
Leo Galamboš
-m state --state RELATED -j ACCEPT
Firewall
-p udp -m
-j
-p udp -m
-j
Implementace
ICMP, UDP, TCP
udp --sport 53 -m state --state ESTABLISHED
ACCEPT
udp --dport 53 -m state --state NEW,ESTABLISHED
ACCEPT
Pravidla
Tabulky
NAT
RDR
-p udp -m udp --sport 7000:7008 -m state
--state ESTABLISHED -j ACCEPT
-p udp -m udp --sport 7021 -m state --state ESTABLISHED
-j ACCEPT
-j ACCEPT
-j ACCEPT
-p icmp -m icmp --icmp-type 8 -j icmpflood
-A icmpflood -m limit --limit 100/sec --limit-burst 50
-j RETURN
-A icmpflood -m limit --limit 1/sec -j LOG
--log-prefix "’ICMP FLOOD:’"
-A icmpflood -j DROP
CARP
Správa
Vyzkoušejte si
Implementace OpenBSD
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
ovládánı́ fw modulu zajišťuje pfctl(8)
pfctl -e zapne
pfctl -d vypne
pfctl -s . . . ukáže vnitřnı́ tabulky (all, state, nat,
rules. . . )
pfctl -f . . . natáhne konfiguraci
pfctl -F . . . smaže vnitřnı́ tabulku (all, rules, state. . . )
iniciálnı́ konfigurace je v /etc/pf.conf (RC skript
default)
poznámka: seznam sı́ťových adaptérů ifconfig -a
Pravidla
Tabulky
NAT
RDR
CARP
Správa
Vyzkoušejte si
Pravidla
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
block
block
block
block
block
block
block
block
block
block
block
block
block
block
in
in
in
in
in
in
in
in
in
in
in
in
in
in
on le1
on le1 proto
on le1 proto
on le1 proto
log on le1
log quick on
log quick on
log quick on
log quick on
log quick on
log quick on
log quick on
log quick on
Tabulky
tcp from any to any
tcp all
{tcp,udp} from any to any
NAT
RDR
CARP
Správa
le1
le1
le1
le1
le1
le1
le1
le1
Vyzkoušejte si
from
from
from
from
from
from
from
any
any
any
any
any
any
any
to
to
to
to
to
to
to
le1 port 8080
le1 port 1:80
le1 port 1><8
le1 port 1<>6
le1:0
le1:network
le1:broadcast
Pravidla
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
pass in on le1 proto tcp all flags S/SA keep state
pass in log-all on le1 proto tcp all \
flags S/SA keep state
pass in quick on lo
pass in on le1 proto tcp from any to le1:0 \
flags S/SA keep state \
( max-src-conn 100, \
max-src-conn-rate 50/10 )
pass in on le1 proto tcp \
from le1:network to le1 \
Tabulky
NAT
RDR
CARP
Správa
Vyzkoušejte si
Pravidla – praktický přı́klad
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Na serveru máme SOCKS běžı́cı́ na uživatele sockd (999).
Tento server má právo zakládat LISTEN sockety a pracovat
s nimi. Ostatnı́ nikoliv.
Pravidla
Tabulky
NAT
RDR
scrub all fragment reassemble
block drop in log all
pass out on ep0 inet proto tcp all keep state
pass out on ep0 inet proto udp all keep state
pass out on ep0 inet proto icmp all keep state
pass in on ep0 inet proto tcp from any \
to ep0 port > 1023 user = 999 keep state
pass in on ep0 inet proto udp from any \
to ep0 port > 1023 user = 999 keep state
CARP
Správa
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
To je moc
komplikované,. . .
a co když si pak omylem sám
zavřu přı́stup na firewall?
Implementace
Pravidla
Tabulky
NAT
RDR
CARP
Správa
Vyzkoušejte si
Nepanikařte, to se běžně
stává a je to normálnı́.
Procházka do servrovny je
zdravá!
Administrace
UNIXu
Leo Galamboš
Jak se bránit vlastnı́m chybám?
zaveďte do cron-u mazánı́ pravidel firewallu
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
napište si skripty, které uložı́ stávajı́cı́ pravidla, aktivujı́
nová a po určené době vše vrátı́ do výchozı́ho stavu
Tabulky
NAT
RDR
CARP
Správa
Vyzkoušejte si
Jak debuggovat?
nmap scan a identifikace cı́le
nessus scan a rady typu ”filter out ICMP timestamp
requests”
Zjednodušenı́ správy: tabulky
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
table
table
table
block
<uchylaci> { 10.0.0.0/8 }
<uchylaci2> const { 10.0.0.0/8 }
<uchylaci3> persist { 10.0.0.0/8 }
in on le1 from <uchylaci> to any
Implementace
Pravidla
Tabulky
NAT
RDR
CARP
Tabulku lze modifikovat zvnějšku (nenı́-li konstantnı́) a
pokud je založena (persistentnı́ tabulky nejsou nikdy
vyloučeny “optimalizacı́”):
pfctl -t uchylaci -T add 172.16.0.0/12
pfctl -t uchylaci -T delete 10.0.0.0/8
pfctl -t uchylaci2 -T show
Tuto techniku použı́vá spamd(8) spamd-setup(8) pro
inject IP adres.
Správa
Vyzkoušejte si
Tabulky
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
načı́tanı́ ze souboru table <tabulka> file
"/etc/pf.tbl"
tabulka může být načı́tána z několika souborů
tabulka typicky zastupuje zdrojovou nebo cı́lovou
adresu
při změně v souboru: pfctl -f /etc/pf.conf -T
load
table <spamd> persist file "/etc/spammers"
block in on le2 proto tcp from <spamd> to port smtp
Pravidla
Tabulky
NAT
RDR
CARP
Správa
Vyzkoušejte si
NAT
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
A
R
S
Tabulky
A:23042 -> S:80
R:41099 -> S:80
R:41099 -> S:80
S:80 -> A:23042
S:80 -> R:41099
S:80 -> R:41099
NAT
RDR
CARP
Správa
Domácí rozvod
192.168.X/24
Tabulka stavů
R:41099 <-> A:23042
přepis zdrojové adresy a portu za jiné
typické nasazenı́ na směrovači
Vyzkoušejte si
Přı́klady použitı́
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
nat on le0 from le1:network to any -> le0
Implementace
Pravidla
######## totéž ale DHCP robust
nat on le0 from le1:network to any -> (le0)
Tabulky
NAT
RDR
CARP
######## totéž ale nepřehledněji
nat on le0 from 192.168.2.0/24 to any -> \
192.168.8.100
Pořadı́ NAT a pravidel
Nejprve se řešı́ NAT, potom se teprve aplikujı́ pravidla
firewallu. Je možné firewallovacı́ pravidla přeskočit
speciálnı́m NAT pravidlem typu nat pass ...
Správa
Vyzkoušejte si
RDR
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
A
R
S:3055 -> A:22
A:22 -> S:3055
S
S:3055 -> R:2022
R:2022 -> S:3055
Implementace
S:3055 -> R:2022
Pravidla
R:2022 -> S:3055
Tabulky
NAT
RDR
Domácí rozvod
192.168.X/24
Tabulka stavů
S:3055 <-> R:2022 <-> A:22
CARP
Správa
Vyzkoušejte si
přepis cı́lové adresy a portu za jiné
typické nasazenı́ na směrovači kryjı́cı́m vnitřnı́ sı́ť
Pozor, vniřnı́ RDR: 192.168.2.22:XXXX →
195.113.20.126:80 → RDR v 192.168.2.98 →
192.168.2.25:80 → 192.168.2.22:XXXX FAIL
Přı́klady použitı́
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
rdr on le0 from any to le0 port 25 -> \
192.168.2.23 port 25
Tabulky
NAT
RDR
nebo
CARP
table <spamaci> persist { 10.0.0.0/8 }
rdr on le0 from <spamaci> to le0 port 25 -> \
127.0.0.1 port spamd
Pořadı́ RDR a pravidel
Nejprve se řešı́ RDR, potom se teprve aplikujı́ pravidla
firewallu.
Správa
Vyzkoušejte si
Synchronizace
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
Tabulky
NAT
RDR
pfsync
CARP
Správa
Vyzkoušejte si
vı́ce firewallů, resp. spare boxy
“vı́ce” ⇒ multicast
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
Tabulky
ifconfig pfsync0 syncdev le2 [ syncpeer ... ]
ifconfig pfsync0 up
NAT
RDR
CARP
Správa
syncpeer je nepovinná položka (default: multicast
224.0.0.240)
automatické startovanı́ /etc/hostname.pfsync0
(čtou RC skripty): up syncdev le2 syncpeer ...
Vyzkoušejte si
Úvod
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
Virtual Router Redundancy Protocol (VRRP) – RFC
2338
Cisco vlastnı́ Hot Standby Router Protocol
Common Address Redundancy Protocol (CARP)
odpověď na právnı́ kličky firmy Cisco
vylepšenı́ VRRP o náznaky bezpečnosti
autoři: Ryan McBride, Michael Shalayeff, Marco
Pfatschbacher, Markus Friedl
Tabulky
NAT
RDR
CARP
Správa
Vyzkoušejte si
CARP
Administrace
UNIXu
Leo Galamboš
Firewall
multicast 224.0.0.18, IP protokol 112
MAC 00:00:5e:00:01:XX, XX je čı́slo virtuálnı́ho CARPu
TTL 255 ⇒ zahozenı́ přesměrovaných packetů při
TTL<255
ICMP, UDP, TCP
Implementace
Pravidla
Tabulky
NAT
RDR
stavy: INIT, MASTER, BACKUP
CARP
advbase + advskew
256
inicializace:
Vyzkoušejte si
1
2
net.inet.carp.allow=1
net.inet.carp.log=1
start:
1
2
ifconfig carp0 create
ifconfig carp0 vhid XX advskew 100
advbase 1 pass HESLO carpdev le1
192.168.100.5 255.255.255.0
Správa
Modifikace
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
Tabulky
Přı́mo přes ifconfig(8) je možné modifikovat parametry
CARPu:
ifconfig carp0 advskew 50
NAT
RDR
CARP
Správa
Vyzkoušejte si
ifconfig carp0 advbase 2
status: ifconfig carp0
RC-init
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
Tabulky
Do /etc/hostname.carp0
NAT
RDR
inet 192.168.100.5 255.255.255.0 192.168.100.255...
...vhid XX advskew 100 advbase 1...
...pass HESLO carpdev le1
Rychlý reinit sı́tě: sh /etc/netstart
CARP
Správa
Vyzkoušejte si
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
(na RT) povolte spojenı́ do SMTP
(na RT) povolte DNS služby
(na RT) pomocı́ RDR přesměrujte SMTP dovnitř na
HUBy 20-24
Implementace
Pravidla
Tabulky
NAT
RDR
CARP
(na RT) nastavte spamd(8) a některým vymezeným
strojům dávejte vnitřnı́ SMTP, jiným spamd z RT
pass in quick on lo
pass out quick on lo
block in
block out
pass in quick on le1 proto tcp \
from any to le1 port smtp \
Správa
Vyzkoušejte si
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
Firewall
ICMP, UDP, TCP
Implementace
Pravidla
založte druhý RT směrovač
na obou RT povolte NAT
konfigurujte CARP na všech adaptérech RT směrovačů
nastavte pfsync mezi RT směrovači
projděte ven spojem z HUBu 20-24 (SSH. . . )
zabijte stroj, který o sobě tvrdı́, že je masterem CARPu
přežila konekce?
jaké nedostatky má toto řešenı́?
Tabulky
NAT
RDR
CARP
Správa
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Part II
Dohled nad průtoky
Dohled nad systémy
Zálohovánı́
SSH. Tisk. Výkon, dohled, zálohovánı́.
Vyzkoušejte si
Program
Administrace
UNIXu
Leo Galamboš
SSH
5
SSH
6
Tisk
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
7
Měřenı́ a dohled
8
Zálohovánı́
9
Vyzkoušejte si
Administrace
UNIXu
Internet
IPSec
Leo Galamboš
Štít
SSH
Tisk
Měřenı́ a
dohled
Road
warrior
Zálohovánı́
Vyzkoušejte si
Dohled
Tisk
SMTP
Zálohování
DNS
AMD
NIS/YP
NFS
Secure Shell
Administrace
UNIXu
Leo Galamboš
silná autentizace a bezpečná komunikace nad
nebezpečnými kanály
forwardovánı́ Xových konekcı́
forwardovánı́ běžných TCP spojenı́/portů
nahrazuje původnı́ BSD přı́kazy (rsh, rlogin, rcp)
v přı́padě bezchybné implementace chránı́ před
IP spoofing – vzdálený host posı́lá “cizı́” packety
DNS spoofing – útočnı́k falšuje DNS záznamy
odposlech/manipulace s datovým tokem na routerech
odposlech Xové autentizace a spoofing Xového spoje
kódovánı́
SSH1 DES 3DES (IDEA) Blowfish
SSH2 3DES Blowfish Arcfour CAST128
AES128/192/256
integrita
SSH1 postrádá silný mechanismus
SSH2 hmac-md5/sha1/ripemd160
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Konfigurace
Administrace
UNIXu
Leo Galamboš
Per-user v adresáři $HOME/.ssh
uživatelská konfigurace config
rc – skript spouštený před shellem (nebo povelem
spouštěným via ssh(1) param)
SSH
Tisk
Měřenı́ a
dohled
environment – nastavenı́ prostředı́
(LIBPATH=/nfs/linux26/usr/lib)
known hosts – identifikace známých serverů
authorized keys – autorizované veřejné klı́če s
omezenı́mi
Per-server v adresáři /etc/ssh
uživatelská defaultnı́ konfigurace ssh config
konfigurace serveru sshd config
ostatnı́ soubory jsou klı́če (RSA, DSA. . . ) – je možné je
smazat, server je znovu vytvořı́, ale klienti by měli být
varováni, že server měnı́ své klı́če “podle plánu”
Zálohovánı́
Vyzkoušejte si
SSH autentizace
Administrace
UNIXu
Leo Galamboš
SSH
1
jménem a heslem
2
veřejným klı́čem (s heslem i bez)
SSH1 RSA
SSH2 RSA DSA
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
3
Kerberos (SSH1)
4
R* kompatibilita
identita serveru versus
$HOME/.ssh/ssh known hosts a
/etc/ssh/ssh known hosts
StrictHostKeyChecking – nenı́ možné se na
neznámé stroje připojit
Veřejný klı́č
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
ssh-keygen
# (privátnı́) $HOME/.ssh/id_dsa, (veřejný) id_dsa.pub
cd .ssh
scp id_dsa.pub remote@hole:.ssh/authorized_keys
Password: XXX
ssh -l remote hole
bash-5.0$ _
Finta
Je možné takto autorizovat i cizı́ veřejný klı́č a půjčit tak
svoji identitu.
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
SSH a rychlost
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Kódovánı́
bez kódovánı́
rc4
tss
des (SSH1)
idea
3des (default)
start-up
100
83
98
87
95
81
průtok
100
82
77
57
44
31
3DES nahrazován blowfish-em (rychlost)
komprese za cenu circa 2.12× zpomalenı́ na CPU
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
SSH a bezpečnost
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
nic nenı́ dokonalé dı́ky nepřesné implementaci
chyby z knihoven třetı́ch stran
Řešenı́: OpenSSH se vydalo cestou monitoru a snı́ženı́
velikosti kódu běžı́cı́ho pod root-em
1
prvnı́ otrok ve /var/empty chrootu
2
provede před-autentizaci, root operace posı́lá monitoru
pokud monitor potvrdı́ správnost autentizace
3
export statických dat z otroka 1 do otroka 2 (už uživatel)
statické přes monitor, dynamické přes sdı́lenou paměť
export: kryptomateriál, slovnı́ky zlib-u
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
SSH a bezpečnost
Administrace
UNIXu
Leo Galamboš
SSH
změna portu, protokolu
přihlašovánı́ root-a, ev. povolenı́ jen přı́kazů
maximálnı́ počet neauthorizovaných připojenı́
maximálnı́ prodleva přihlášenı́
autentikace heslem
/etc/ssh/sshd config
Port 1234
Protocol 2
PermitRootLogin no/forced-commands-only
MaxStartups 3:50:6
LoginGraceTime 30
PasswordAuthentication no
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Specifikum potěmkina: Apache, WWW
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
start: httpd flags=‘‘-u’’ (vypne chroot)
Měřenı́ a
dohled
jak přistoupit z nějakého solidnı́ho GUI na port 80?
Zálohovánı́
ssh -R 8080:localhost:80 GUI.me
mozilla localhost:8080
Potěmkin
NAT
GUI.me
Vyzkoušejte si
Tisk
Administrace
UNIXu
Leo Galamboš
Tiskárna je obecně
lokálnı́: dřı́ve často na paralelnı́m portu, nynı́ na USB
vzdálená (sı́ťová: fyzický HW se sı́ťovou podporou)
UNIX předpokládá
tiskáren je několik (organizace do třı́d)
uživateli je jedno na jaké tiskárně dané třı́dy “to vyleze”
Postup UNIXových strojů
přijme se datový tok přı́slušejı́cı́ tiskárně a uložı́ se do
spool-u
ze spool-u se vybı́rajı́ úlohy podle nastavenı́ priorit
úloha je buď s RAW daty nebo se musı́ rozpoznat filter
pro danou tiskárnu
filter se spustı́ a jeho výstup je zaslán tiskárně
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Software
Administrace
UNIXu
Leo Galamboš
SSH
LPD1 /LPR2 – BSD řešenı́ s konfiguracı́ v
/etc/printcap
Tisk
Měřenı́ a
dohled
LPD/LP – SystemV řešenı́ se solidnı́m managementem
front
LPRng (next generation)
management front vylepšený částečně na úroveň LP
bezpečnostnı́ vylepšenı́: práva přı́stupu, software
neběžı́ na root-a
Internet Printing Protocol (IPP) – cross-platform
implementace CUPS3
1
Line Printer Daemon
Line Printer Remote
3
Common UNIX Print Server
2
Zálohovánı́
Vyzkoušejte si
LPD/LPR
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
lpr zašle soubor na tiskovou frontu (ID je vráceno)
lpq zobrazı́ aktuálnı́ stav fronty
lprm odstranı́ úlohu z fronty (může pouze vlastnı́k
nebo root)
lpd démon – úlohy z fronty posı́lá na tiskárnu
lpc dohledová utilita – zapnutı́/vypnutı́ přı́jmu úloh,
správa fronty (mazánı́, změna pořadı́), restart
lpd
konfigurace v /etc/printcap
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Nejběžnějšı́ nářadı́
Administrace
UNIXu
Leo Galamboš
Systém, paměť, disk
top(1)
vmstat(1)
SSH
Tisk
Měřenı́ a
dohled
systat(1) – systat vmstat (BSD)
Zálohovánı́
iostat(1)
dstat(1) (Linux) – ve Sleuth má jiný význam
Sı́ť
1
ntop(1)
2
ifstat(1)
Podpůrné a jiné
1
watch(1)
2
xlogmaster(1)
3
apachetop(1)
Vyzkoušejte si
Systat
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
dstat
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
SNMP a Round-robin databáze
Administrace
UNIXu
Leo Galamboš
démon net-snmp, konfigurace snmpconf
export hodnot systému přes standardizovaný protokol
(SNMPv1/2/3)
hodnoty lze nejen čı́st ale i zapisovat
Tisk
Měřenı́ a
dohled
čtenı́ sloužı́ pro dohled a sledovánı́ a může být PUBLIC
Zálohovánı́
zápis hodnot může zásadně měnit nastavenı́ a neměl
by být PUBLIC
Vyzkoušejte si
přı́stup je omezen COMMUNITY jménem nebo
uživatelem a heslem4
vylistovánı́ celého stromu: snmpwalk -v1 -c
commname localhost .
automatické zpracovánı́ hodnot (pro archivačnı́ účely)
Multi Router Traffic Grapher (MRTG) – napojenı́ na
SNMP prvky
RRDTool – obecné zobrazovátko Round-Robin údajů
4
SSH
separátnı́ báze od systémové
Multi Router Traffic Grapher
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
SSH
Software
jMon – monitor CPU a využitı́ paměti
BigBrother – nynı́ komerčnı́
Tisk
Měřenı́ a
dohled
Zálohovánı́
BigSister – reakce na zkomerčněnı́ BB
Nagios
Prvnı́ dva produkty definujı́ dva typy uzlů
sledovač – kontroluje dostupnost jednotlivých služeb,
sbı́rá hodnoty ze systému
zobrazovač – akceptuje hodnoty zaslané ze snı́mačů a
zobrazuje sumáře
Sledovače jsou podporované i na MS-Windows.
Vyzkoušejte si
BigBrother
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
BigSister – overall
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
BigSister – detail
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Zálohovánı́
Administrace
UNIXu
Leo Galamboš
SSH
Ochrana proti
ztrátě dat
“pokaženı́” dat – historie záloh
V praxi se
nezálohuje vůbec – obrovská chyba
držı́ se jen poslednı́ záloha – na pokažená data se
většinou přijde po delšı́ době a pak je už pozdě
nešifruje – praktické problémy
vkládánı́m hesel
konstantnı́m průtokem do streamerů (nynı́ už moc
nehrozı́)
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Zálohovánı́ na UNIXu
Administrace
UNIXu
Leo Galamboš
zálohy na UNIXu majı́ přı́řazenou úroveň
úroveň 0: plná záloha
úroveň N: přı́růstková záloha, záloha souborů
změněných po záloze na nižšı́ úrovni
software
dump/restore
/etc/dumpdates – značky archivacı́ jednotlivých
úrovnı́
zálohuje cokoliv na libovolný počet pásek
zvládá přı́růstky
tar, cpio
bezpečnost: použı́vejte archivaci ATIME, MTIME,
CTIME metadat
cpio: dokáže přeskakovat chyby
amanda
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Zálohovánı́ – přı́klady
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
# dump -a -0 -f - /usr/local | (
cd /usr/local2 ; restore -x -f - )
# dump -a0uf - /etc | gzip >/bck/full.gz
# tar cf - /usr/local | tar -xf - -C /usr/local2
Zálohovánı́
Vyzkoušejte si
Zálohovánı́ – problematika
Administrace
UNIXu
Leo Galamboš
SSH
Potřebujeme
1
poslednı́ zálohu
2
zálohy z předchozı́ doby
3
neutratit vše za média
Řešenı́
rotovánı́ médiı́
sofistikovaný algoritmus rotovánı́
Hanojská věž
GFS (grandfather-father-son)
Tisk
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Hanojská věž
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
Zálohovánı́
1−2−1−3−1−2−1−4−1−2−1−3−1−2−1−5−1−2−1−3−1−2−1−4−1−2−1−3−1−2−1
5 médiı́ – rotovánı́ na 31 dnı́
Vyzkoušejte si
GFS
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Po Ut St Ct Pa
Tři druhy médiı́
syn dennı́ přı́růstková
záloha
otec týdennı́ plná záloha
dědek měsı́čnı́ plná záloha
Priorita: dědek otec syn
Kolize
Každý den se provádı́ jen záloha s největšı́ prioritou.
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Měřenı́ a
dohled
1
centralizujte logy na jednu ze stanic
2
zprovozněte dohledové centrum
3
monitorujte průtok přes stroj RT
4
monitorujte velikost disků jednotlivých strojů
5
vytvořte vlastnı́ politiku záloh
Zálohovánı́
Vyzkoušejte si
Vlastnı́ jádro
Administrace
UNIXu
Leo Galamboš
SSH
Tisk
Proč kompilovat vlastnı́ jádro
standardně dodané jádro nepodporuje dané zařı́zenı́ a
boot -c nepomáhá
potřebujeme experimentálnı́ moduly jádra
potřebujeme jiná nastavenı́ pro atypická nasazenı́ a
sysctl(8) nepomáhá
Co je potřeba?
zdrojové kódy jádra (OpenBSD: srcsys.tar.gz;
FreeBSD, Linux: většinou balı́čky)
překladač a řadu utilit
Měřenı́ a
dohled
Zálohovánı́
Vyzkoušejte si
(Open)BSD: vlastnı́ jádro
Administrace
UNIXu
Leo Galamboš
Postup tvorby nového jádra
SSH
srcsys.tar.gz vytvořı́ strom v /usr/src/sys/...
Tisk
.../arch/i386/conf/ obsahuje konfiguračnı́
soubory
Měřenı́ a
dohled
nad konfiguračnı́m souborem se spustı́ config(8)
Zálohovánı́
vznikne mašinérie v .../arch/i386/compile
(../compile)
spustı́ se make(1) z mašinérie
výsledné jádro se nakopı́ruje mı́sto starého
staré jádro se typicky přesouvá do /bsd.old aby bylo
po ruce v přı́padě rollbacku
Konfigurace živého jádra
1
config -e -o /bsd.new /bsd
2
config -e -f /bsd
Vyzkoušejte si
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Part III
Konfigurace
IPSec
ISAKMPD
Firewall a směrovánı́
PPTP
Virtual Private Network (VPN)
Závěr
Program
Administrace
UNIXu
Leo Galamboš
VPN
10
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
11
Konfigurace
IPSec
ISAKMPD
PPTP
12
Závěr
Administrace
UNIXu
Internet
IPSec
Leo Galamboš
Štít
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Road
warrior
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
Dohled
Tisk
SMTP
Zálohování
DNS
AMD
NIS/YP
NFS
Nasazenı́
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Tunel
Konfigurace
IPSec
Internet
ISAKMPD
PPTP
Závěr
Road
warrior
bezpečné připojenı́ ke svým datům i na cestách
spojenı́ na veřejných (levných) linkách s ochranou proti
odposlechu
propojenı́ vı́ce privátnı́ch sı́tı́ přemostěnı́m přes Internet
snı́ženı́ nákladů na privátnı́ linky
velká přenosová rychlost
Technologie
Administrace
UNIXu
Leo Galamboš
PPTP (RFC 2637)
obzvláště nešťastná implementace společnosti
Microsoft (vylepšeno poslednı́mi aktualizacemi)
PPTP server dostupný spolu s Windows Server
vestavěný klientský software počı́naje Windows NT
Poptop5 je OSS PPTP server (i pro Linux, BSD. . . )
nahrazováno L2TP/IPsec6
IPsec
komplikovaná technologie
dobře vyřešené bezpečnostnı́ aspekty
ochrana: šifrovánı́, autentizace, ochrana integrity toku i
jeho ”přehránı́”
vyvinut pro IPv6, zpětně zaveden i do IPv4 (počátek 90.
let)
5
6
http://www.poptop.org/
vı́ce než 100 kliknutı́ v XP, pouze 15 ve Vista
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
Point to Point Tunnelling
Administrace
UNIXu
Leo Galamboš
PPP
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
PPTP
Závěr
PPTP je varianta VPN pro zabezpečený přı́stup do
korporátnı́ch sı́tı́
řı́dı́cı́ spoj nad TCP/1723 – ustavuje a rušı́ sezenı́ v
rámci tunelu
tunel nad GRE se zakódovanými a kompresovanými
PPP pakety
autentizace: MSCHAPv2, MSCHAP, CHAP, PAP
kódovánı́ přes moduly (kompresnı́): RC4 40-128b
otevřený standard (RFC2637)
IPSec módy
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
transport hlavička prozrazuje skutečného přı́jemce a
odesı́latele
tunel hlavička prozrazuje oba konce tunelu
PPTP
Závěr
Protokoly a základnı́ termı́ny
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
Security Association (SA)
Internet Key Exchange (IKE)
autentizuje uzly a nastavuje zabezpečenı́ na spoji
veřejným klı́čem
digitálnı́m podpisem
dopředu známým (společným) tajným klı́čem
Authentication Header (AH)
zajišťuje integritu a autenticitu dat
rychlá hash-funkce na obsah přenášených dat
Encapsulation Security Payload (ESP)
zajišťuje utajenı́, integritu a autenticitu toku
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
AH hlavička
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
next header: protokol původnı́ho přenášeného paketu
IPSec
SPD a SAD
IKE/ISAKMP
délka AH hlavičky v 32b slovech
Security Parameters Index (SPI) identifikuje parametry
AH7
sekvenčnı́ čı́slo bránı́ opakovanému přehrávánı́ toku
autentizačnı́ hodnota (Integrity Check Value)
ICV se počı́tá na základech MD5 nebo SHA1 s “barvenı́m”
tajným klı́čem – HMAC8 RFC 2104
7
8
Algoritmus hashe, jeho parametry, atp.
Hashed Message Authentication Code
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
AH transport
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
nová IP hlavička specifikuje protokol AH
nové tělo paketu obsahuje:
AH hlavička: next header je protokol v původnı́ IP
hlavičce
tělo původnı́ho IP paketu
ICV pokrývá vše vyjma: ICV a několika proměnných
položek v nové IP hlavičce (TOS, flags, frag offset, TTL,
header checksum)
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
AH tunel
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
nová IP hlavička specifikuje protokol AH
nová IP hlavička může nést jiné src/dst IP adresy
AH hlavička: next header je IP (obalujeme celý původnı́
IP paket)
celý původnı́ IP paket
ICV opět pokrývá vše vyjma: ICV a několika proměnných
položek v nové IP hlavičce (TOS, flags, frag offset, TTL,
header checksum)
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
ESP hlavička a patička
Administrace
UNIXu
Leo Galamboš
ESP položky obklopujı́ přenášený obsah, hlavička nese
SPI
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
sekvenčnı́ čı́slo
a patička nese
výplň pro šifrovacı́ algoritmy s pevnou velikostı́ bloku
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
velikost výplně
next header
autentizačnı́ hodnota (volitelně při ESP+auth)
ICV pokrývá ESP hlavičku i patičku (bez ICV) a přenášený
obsah, nikoliv (téměř) celý obsah IP paketu jako u AH
Šifruje se přenášený obsah a patička bez ICV
ESP transport
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
nová IP hlavička specifikuje protokol ESP
ESP hlavička a patička: next header je protokol v
původnı́ IP hlavičce
tělo původnı́ho IP paketu
ESP hlavička se nešifruje, ale patička bez ICV ano!
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
ESP tunel
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
nová IP hlavička specifikuje protokol ESP
nová IP hlavička může nést jiné src/dst IP adresy
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
ESP hlavička a patička: next header je IP (obalujeme
celý původnı́ IP paket)
celý původnı́ IP paket
Z paketu nelze nic zásadnı́ho vyčı́st, protože i “next header”
položka je šifrována
Závěr
IKE
Administrace
UNIXu
Leo Galamboš
VPN
B
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
1
A→B - nenı́ IPSec SA
2
router A – nutnost
šifrovat
IPSec
ISAKMPD
IKE
3
A-IKE↔B-IKE
4
dohoda o IPSec SA
5
A má konečně SA s B
6
A→B - nynı́ již projde
IKE
A
PPTP
Závěr
Celá pohádka najednou. . .
Administrace
UNIXu
Leo Galamboš
kterak A komunikovalo s B a mezi nimi byla IPSec roura
mezi jejich směrovači RTA a RTB:
1
A posı́lá zprávu (paket)
2
RTA to vidı́ a podle svého nastavenı́ zjistı́, že podléhá
šifrovánı́
3
nastavenı́ také řı́ká, že tunel povede do RTB
4
RTA si zjistı́, zda-li již má IPSec SA s RTB, pokud ne:
RTA požádá své IKE o dodánı́ IPSec SA k RTB
máme IKE SA RTA-RTB?
ano, pak je IPSec SA rychle vytvořeno
ne, IKE SA vznikne (současně dojde k výměně
digitálnı́ch podpisů IKE procesů)
při nastavenı́ IPSec SA dojde k dohodě o
kódovacı́m algoritmu (DES. . . )
autentizačnı́m algoritmu (MD5. . . )
5
6
7
RTA patřičně zpracuje paket a odešle jej RTB
RTB obdržı́ paket, zjistı́ přı́slušný IPSec SA
zpracuje paket a odešle jej B
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
Security Policy
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
Jak vı́me, že máme něco šifrovat? Definujeme filtr:
pravidlem o nakládánı́ se vstupnı́m či výstupnı́m tokem
(na RTA, RTB)
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
autentizačnı́ metoda
metoda zabezpečenı́ (AH, ESP)
hashovacı́ funkce (SHA, MD5)
Security Policy Database
Souhrn všech ”Security Policy” v systému, který je
konfigurován administrátorem.
PPTP
Závěr
Security Association
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
1
cı́lová IP adresa
2
32b Security Parameter Index (SPI) – obdoba portu na
úrovni TCP/UDP
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
3
identifikátor bezpečnostnı́ho protokolu (esp, ah)
PPTP
Závěr
Filtr to odbočil, čı́m ale šifrovat?
Přes SPI do tabulky, ale SPI nenı́ samostatně jednoznačné,
proto se indexuje v SA Database (SAD) celou trojicı́ (SA).
Jak naplnı́me SAD?
Ručně anebo lépe automaticky, protokolem IKE/ISAKMP.
IKE/ISAKMP
Administrace
UNIXu
Leo Galamboš
Internet Key Exchange protokol zajišťuje bezpečnou
výměnu informacı́ pro výpočet šifrovacı́ch klı́čů
oddělený od IPSec s využitı́m pro jiné protokoly (OSPF,
SSL/TLS. . . )
domlouvá SA a vyměňuje kryptomateriál (klı́če)9
Main/aggressive mode (AKA fáze 1)
domlouvá a ustavuje jeden bezpečný obousměrný
kanál (ISAKMP Security Association)
vyměňuje kryptografický materiál (klı́če) a na jeho
základě ustavuje sdı́lený tajný klı́č
autentizuje uzly (počı́tačové identity)
Quick mode (AKA fáze 2)
domlouvá a ustavuje bezpečný kanál pro datový přenos
mezi dvěma uzly
výsledkem jsou nejméně dvě jednosměrné SA (in/out) –
naplněnı́ SAD
UDP zprávy z/na port 500
9
Totéž lze manuálně s ipsecadm(8)
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
IKE podrobněji
Administrace
UNIXu
Leo Galamboš
Fáze 1
VPN
PPTP
main – oddělená výměna klı́čů a autentizace (6 zpráv)
aggressive – kondenzovaný ”main” (3 zprávy)
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
Policy proposals
Policy acceptance
Diffie-Hellman/Nonce
Diffie-Hellman/Nonce
Identification/Certificate/Signature
Identification/Certificate/Signature
IKE podrobněji
Administrace
UNIXu
Leo Galamboš
VPN
Fáze 2 (quick mód) – 3 zprávy
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
Hash/IPsec proposal/Nonce/[Diffie-Hellman/Identities]
Hash/IPsec policy acceptance/Nonce/[Diffie-Hellman/Identities]
Hash
ISAKMP Quick mode
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
Úspěšná dohoda o zabezpečeném kanálu
Vzniknou dvě IPSec SA: jedna pro vstupnı́ a druhá pro
odchozı́ tok s vlastnı́mi SPI. Nakonec tedy existujı́ tři SA
1
ISAKMP IKE SA: chránı́ (budoucı́) Main mode a Quick
mode
2
přı́chozı́ IPSec SA: chránı́ data na vstupu od IPSec
protějšku
3
odchozı́ IPSec SA: chránı́ data odesı́laná IPSec
protějšku
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
ISAKMP Quick mode implementace
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
po pěti minutách ticha na přı́chozı́m IPSec SA se
vyčistı́ obě IPSec SA
reinicializace proběhne Quick módem a vzniknou nové
klı́če i SPI
expirace IPSec SA Quick módu je po jedné hodině
anebo 100MB toku
přenos v poslednı́ch pěti minutách před expiracı́ spustı́
automatickou regeneraci
inicializaci nového Quick módu spustı́ strana, která
odbavila vı́ce dat nebo ta, která iniciovala předchozı́
Quick mód
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
Prostředı́
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Tunel
Internet
Road
warrior
Závěr
Společné nastavenı́
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
/etc/sysctl.conf
Konfigurace
IPSec
net.inet.esp.enable=1
net.inet.ah.enable=1
net.inet.ip.forwarding=1
/etc/rc.conf.local
pf=YES
isakmpd flags=""
ISAKMPD
PPTP
Závěr
Nastavenı́ isakmpd
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
/etc/isakmpd/isakmpd.conf – základnı́
konfigurace isakmpd(8)
/etc/isakmpd/isakmpd.policy – bezpečnostnı́
pravidla pro výměnu klı́čů
PPTP
Závěr
/etc/isakmpd/isakmpd.policy
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
Keynote-version: 2
Authorizer: "POLICY"
Conditions: app_domain == "IPsec policy" &&
esp_present == "yes" &&
esp_enc_alg != "null" -> "true";
PPTP
Závěr
/etc/isakmpd/isakmpd.conf
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
[General]
Listen-On= 192.168.1.A
SPD a SAD
IKE/ISAKMP
Konfigurace
[Phase 1]
192.168.1.B= peer-B
IPSec
ISAKMPD
[Phase 2]
Connections= VPN-A-B
PPTP
Závěr
[peer-B]
Phase=
Address=
Configuration=
Authentication=
1
192.168.1.B
Default-main-mode
hesloAB
[VPN-A-B]
Phase=
ISAKMP-peer=
Configuration=
Local-ID=
Remote-ID=
2
peer-B
Default-quick-mode
A-internal-network
B-internal-network
/etc/isakmpd/isakmpd.conf
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
[A-internal-network]
ID-type=
IPV4_ADDR_SUBNET
Network=
10.100.100.0
Netmask=
255.255.255.0
Konfigurace
IPSec
ISAKMPD
[B-internal-network]
ID-type=
IPV4_ADDR_SUBNET
Network=
10.0.100.0
Netmask=
255.255.255.0
[Default-main-mode]
EXCHANGE_TYPE= ID_PROT
Transforms=
3DES-SHA,BLF-SHA
[Default-quick-mode]
EXCHANGE_TYPE= QUICK_MODE
Suites=
QM-ESP-3DES-SHA-SUITE
PPTP
Závěr
Zabezpečenı́ konfigurace
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
chown
chmod
chown
chmod
root:wheel /etc/isakmpd/isakmpd.conf
0600 /etc/isakmpd/isakmpd.conf
root:wheel /etc/isakmpd/isakmpd.policy
0600 /etc/isakmpd/isakmpd.policy
PPTP
Závěr
Nastavenı́ firewallu a směrovánı́
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
int_if="le1"
ext_if="le2"
block log on { enc0, $ext_if } all
pass in proto esp from $GTW_B to $GTW_A
pass out proto esp from $GTW_A to $GTW_B
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr
pass in on enc0 proto ipencap from $GTW_B to $GTW_A
pass in on enc0 from $NET_B to $NET_A
pass out on enc0 from $NET_A to $NET_B
pass in on $ext_if proto udp from $GTW_B port = 500 to $GTW_A port = 500
pass out on $ext_if proto udp from $GTW_A port = 500 to $GTW_B port = 500
route add -net $NET_B $INNER_A
PPTP
Administrace
UNIXu
Leo Galamboš
VPN
Poptop
integrace přes RADIUS rozšı́řenı́ do Microsoft prostředı́
(LDAP, SAMBA)
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
podpora Windows od 95 po XP, authetizace a kódovánı́
na bázi MSCHAPv2, MPPE 40-128 bit RC4
ISAKMPD
PPTP
Závěr
Přı́prava
kernelu s podporou GRE (Generic Routing
Encapsulation) a tunX rozhranı́
přidánı́ tunX rozhranı́ podle počtu uživatelů
instalace a konfigurace Poptop a PPP (PPTPD, PPPD)
úprava pravidel firewallu
Kernel
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
pseudo-device gre
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
# odpovı́dá počtu připojovaných uživatelů
pseudo-device tun 50
cd /dev
sh ./MAKEDEV ‘seq -f "tun%.0f" 4 49‘
PPTP
Závěr
PPP
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
/etc/pptpd.conf
IPSec
ISAKMPD
PPTP
option /etc/ppp/options
localip $INNER_A_FREEIP
remoteip $INNER_A_FREEBLOCK
listen $GTW_A
Závěr
PPP
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
/etc/ppp/ppp.conf
Konfigurace
IPSec
ISAKMPD
pptp:
set timeout 0
set ifaddr $INNER_A_FREEIP $INNER_A_FREEBLOCK 255.255.255.255
enable pap
enable chap
enable MSChapV2
disable ipv6
enable proxy
set dns $INNER_A_DNS
set nbns $INNER_A_WINS
PPTP
Závěr
PPP
Administrace
UNIXu
Leo Galamboš
VPN
/etc/ppp/ppp.secret mask: 0400
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
# static alloc
username0 password0 staticip
Konfigurace
IPSec
ISAKMPD
PPTP
# dynamic alloc
username1 password1 *
if [ -x /usr/local/sbin/pptpd ]; then
echo -n " pptpd"; /usr/local/sbin/pptpd -d
fi
Závěr
Nastavenı́ firewallu
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
pass
pass
pass
pass
pass
pass
pass
in quick on $ext_if proto tcp from any to $ext_if port = 1723 modulate state
in quick on $ext_if proto gre from any to $ext_if keep state
out quick on $ext_if proto gre from $ext_if to any keep state
on tun0 all
on tun1 all
on tun2 all
on tun3 all
PPTP
Závěr
The end
Administrace
UNIXu
Leo Galamboš
VPN
PPTP
IPSec
SPD a SAD
IKE/ISAKMP
Konfigurace
IPSec
ISAKMPD
PPTP
Závěr

Administrace UNIXu

Transkript

Podobné dokumenty

příručce aplikace

Téma 11 – DNS, VPN, NAT a firewally

Instalace, zálohování a obnova systému založeného na Windows

Avalon EPS interface-datasheet

MP155/100

Ubuntu 7.10 Gutsy Gibbon – Uzivatelská pr´ırucka

napoprve

IPsec HOWTO - The official IPsec Howto for Linux

Linux jako real-time systém

Pro vaši bezpečnost!

praxe klubů na cestě

Administrace UNIXu

zde

odkaz - FotoElektro.cz

Administrace UNIXu