zapory sieciowe w systemie linux. kompendium wiedzy o nftables. wydanie iv cała książka.pdf

(12319 KB) Pobierz
Spis treści
Przedmowa ........................................................................13
O autorze ...........................................................................15
Część I
Filtrowanie pakietów i podstawowe
środki
bezpieczeństwa .......................................17
Rozdział 1. Wstępne koncepcje dotyczące działania
zapór sieciowych filtrujących pakiety ..................................19
Model sieciowy OSI .......................................................................22
Protokoły bezpołączeniowe i połączeniowe .................................23
Następne kroki ........................................................................24
Protokół IP ....................................................................................24
Adresowanie IP i podsieciowanie ...............................................24
Fragmentacja IP .......................................................................28
Broadcasting i multicasting .......................................................28
ICMP ......................................................................................29
Mechanizmy transportowe .............................................................31
Protokół UDP ...........................................................................32
Protokół TCP ...........................................................................32
Nie zapominajmy o protokole ARP ..................................................35
Nazwy hostów i adresy IP ...............................................................36
Adresy IP oraz adresy ethernetowe ............................................36
Routing: przekazywanie pakietu z jednego miejsca do drugiego .........37
Porty usług: drzwi dla programów w Twoim systemie ........................37
Typowe połączenie TCP: odwiedzanie zdalnej witryny ...................39
Podsumowanie .............................................................................42
Rozdział 2. Koncepcje związane z filtrowaniem pakietów ......................43
Zapora sieciowa filtrująca pakiety ...................................................45
Wybór domyślnej polityki filtrowania pakietów ..................................47
Odrzucanie pakietu w porównaniu z blokowaniem pakietu ................49
Kup książkę
Poleć książkę
6
Zapory sieciowe w systemie Linux. Kompendium wiedzy o nftables
Filtrowanie pakietów przychodzących ...............................................50
Filtrowanie zdalnych adresów
źródłowych
...................................50
Filtrowanie lokalnych adresów docelowych .................................53
Filtrowanie zdalnego portu
źródłowego
.......................................54
Filtrowanie lokalnego portu docelowego .....................................54
Filtrowanie stanu przychodzących połączeń TCP ..........................55
Sondy i skanowanie .................................................................55
Ataki DoS ................................................................................60
Pakiety routowane
źródłowo
......................................................67
Filtrowanie pakietów wychodzących .................................................67
Filtrowanie lokalnych adresów
źródłowych
..................................68
Filtrowanie zdalnych adresów docelowych ..................................68
Filtrowanie lokalnych portów
źródłowych
.....................................69
Filtrowanie zdalnych portów docelowych .....................................69
Filtrowanie stanów wychodzących połączeń TCP .........................70
Usługi sieci prywatnej i publicznej ...................................................70
Ochrona niezabezpieczonych usług lokalnych .............................71
Wybór uruchamianych usług ......................................................72
Podsumowanie .............................................................................72
Rozdział 3. iptables: starszy program do administrowania
zaporą sieciową systemu Linux ...........................................73
Różnice pomiędzy mechanizmami zapory sieciowej IPFW i Netfilter ....74
Trawersacja pakietów w zaporze sieciowej IPFW .........................75
Trawersacja pakietów w zaporze sieciowej Netfilter .....................76
Podstawowa składnia polecenia iptables ........................................77
Funkcje programu iptables .............................................................78
Funkcje tabeli nat ....................................................................81
Funkcje tabeli mangle ..............................................................83
Składnia polecenia iptables ...........................................................84
Polecenia tabeli filter ...............................................................85
Rozszerzenia celu tabeli filter ....................................................90
Rozszerzenia dopasowywania tabeli filter ...................................92
Rozszerzenia celu tabeli nat ...................................................103
Polecenia tabeli mangle .........................................................106
Podsumowanie ...........................................................................106
Rozdział 4. nftables: program do administrowania
zaporą sieciową systemu Linux .........................................109
Różnice pomiędzy iptables i nftables ............................................109
Podstawowa składnia nftables .....................................................109
Funkcje programu nftables ...........................................................110
Składnia nftables ........................................................................111
Składnia tabeli ......................................................................112
Składnia
łańcucha
.................................................................113
Kup książkę
Poleć książkę
Spis treści
Składnia reguły ......................................................................114
Podstawowe operacje nftables ................................................118
Składnia plików nftables .........................................................119
Podsumowanie ...........................................................................119
7
Rozdział 5. Budowa i instalacja samodzielnej zapory sieciowej ............121
Programy do administrowania zaporą sieciową systemu Linux ........122
Jądro systemu Linux: standardowe czy niestandardowe ............124
Opcje adresowania
źródłowego
i docelowego ...........................125
Inicjowanie zapory sieciowej .........................................................126
Symboliczne stałe używane w przykładach zapory sieciowej .......127
Włączanie obsługi monitorowania w jądrze ...............................128
Usunięcie wszelkich istniejących reguł .....................................130
Resetowanie domyślnych polityk i zatrzymywanie
zapory sieciowej ..................................................................131
Włączanie interfejsu pętli zwrotnej ...........................................132
Definiowanie domyślnej polityki ...............................................133
Wykorzystywanie stanu połączenia do omijania
sprawdzania reguł ................................................................135
Fałszowanie adresów
źródłowych
i inne złe adresy ....................136
Ochrona usług na przypisanych portach nieuprzywilejowanych .........141
Typowe usługi lokalne TCP przypisane
do nieuprzywilejowanych portów ............................................142
Typowe usługi lokalne UDP przypisane
do nieuprzywilejowanych portów ............................................144
Włączenie podstawowych, wymaganych usług internetowych ...........147
Włączenie usługi DNS (UDP/TCP port 53) ................................147
Włączenie typowych usług TCP .....................................................152
E-mail (TCP SMTP port 25, POP port 110, IMAP port 143) .........153
SSH (port TCP 22) .................................................................159
FTP (porty TCP 21, 20) ...........................................................161
Ogólna usługa TCP .................................................................164
Włączanie typowych usług UDP .....................................................165
Dostęp do serwera DHCP dostawcy
usług internetowych (porty UDP 67, 68) .................................166
Dostęp do zdalnych sieciowych serwerów czasu (port UDP 123) ... 168
Rejestrowanie porzuconych pakietów przychodzących .....................169
Rejestrowanie porzuconych pakietów wychodzących .......................170
Instalowanie zapory sieciowej ......................................................170
Wskazówki dla debugowania skryptu zapory sieciowej ...............171
Uruchamianie zapory sieciowej
przy starcie systemu — Red Hat i SUSE ................................172
Uruchamianie zapory sieciowej przy starcie systemu — Debian ....173
Instalowanie zapory sieciowej z dynamicznym adresem IP .........173
Podsumowanie ...........................................................................174
Kup książkę
Poleć książkę
8
Zapory sieciowe w systemie Linux. Kompendium wiedzy o nftables
Część II
Zaawansowane zagadnienia, wiele zapór
sieciowych oraz strefy ograniczonego zaufania ...175
Organizacja reguł ........................................................................177
Rozpocznij od reguł blokujących ruch
na portach o dużych numerach .............................................178
Użyj modułu stanu dla dopasowań ESTABLISHED i RELATED .....178
Uwzględnij protokół transportowy ............................................178
Reguły zapory sieciowej dla bardzo popularnych
usług umieszczaj jak najwyżej w
łańcuchu
..............................180
Użyj przepływu ruchu do określenia,
gdzie umieścić reguły dla wielu interfejsów sieciowych ............180
Łańcuchy
definiowane przez użytkownika .......................................181
Zoptymalizowane przykłady ..........................................................184
Zoptymalizowany skrypt iptables .............................................184
Inicjowanie zapory sieciowej ...................................................186
Instalowanie
łańcuchów
.........................................................188
Budowanie definiowanych przez użytkownika
łańcuchów
EXT-input i EXT-output ..........................................190
Łańcuch
tcp-state-flags ...........................................................199
Łańcuch
connection-tracking ...................................................200
Łańcuchy
local-dhcp-client-query i remote-dhcp-server-response ....200
Łańcuch
source-address-check ...............................................201
Łańcuch
destination-address-check .........................................201
Rejestrowanie porzuconych pakietów
za pomocą polecenia iptables ...............................................202
Zoptymalizowany skrypt nftables .............................................204
Inicjowanie zapory sieciowej ...................................................204
Budowanie plików reguł ..........................................................205
Rejestrowanie porzuconych pakietów
za pomocą polecenia nftables ..............................................209
Co dała optymalizacja? ................................................................210
Optymalizacja iptables ...........................................................210
Optymalizacja nftables ...........................................................211
Podsumowanie ...........................................................................212
Rozdział 6. Optymalizacja zapory sieciowej .........................................177
Rozdział 7. Przekazywanie pakietów ..................................................213
Ograniczenia samodzielnej zapory sieciowej ..................................213
Podstawowe konfiguracje bramy z zaporą sieciową ........................215
Kwestie bezpieczeństwa sieci LAN ................................................217
Opcje konfiguracyjne dla zaufanej domowej sieci LAN .....................218
Dostęp sieci LAN do bramy z zaporą sieciową ..........................220
Dostęp sieci LAN do innych sieci LAN:
przekazywanie ruchu pomiędzy wieloma sieciami LAN .............221
Kup książkę
Poleć książkę

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin