Vtatta Firewall

Nikola Paunović, Miodrag Tokić | Seminarski rad

Firewall na Vyatta OFR sistemu

Visoka škola elektrotehnike i računarstva strukovnih studijaProtokoli u računarskim mrežama

dr Verica VasiljevićBeograd, 2009

Firewall na Vyatta OFR sistemu 1

Sadržaj:Logo, zaštitni znak, licenca............................................................................................................................................3

Uvod.................................................................................................................................................................................4

Firewall............................................................................................................................................................................5Šta je zapravo firewall?...................................................................................................................................6

Kontrola i upravljanje................................................................................................................................6Firewalls authenticate access.....................................................................................................................7Firewall kao posrednik...............................................................................................................................7Firewall štiti resurse...................................................................................................................................7Snimanje saobraćaja i prijavljivanje događaja...........................................................................................8

Podela firewall-ova.........................................................................................................................................8Mrežni firewall...........................................................................................................................................8Namenski firewall......................................................................................................................................8Integrisani firewall.....................................................................................................................................9

Principi na kojima se zasniva rad firewall-a...................................................................................................9Personalni firewall.....................................................................................................................................9Firewall koji filtrira pakete........................................................................................................................9NAT firewall.............................................................................................................................................10Circulet level firewall...............................................................................................................................11Proxy firewall...........................................................................................................................................12Stateful Protocols.....................................................................................................................................12Transparentni firewall..............................................................................................................................12Firewall-ovi bazirani na Linuxu...............................................................................................................13

Firewall na Vyatta OFR sistemu..................................................................................................................................14

Opis praktičnog problema............................................................................................................................................16Mreža "Lokalna"...........................................................................................................................................17Mreža "JIN"..................................................................................................................................................17Mreža "JIM"..................................................................................................................................................18Izlaz prema internetu....................................................................................................................................18

Praktična realizacija.....................................................................................................................................................20Osnovna konfiguracija Vyatta OFR sistema.................................................................................................21Podešavanje mrežnih priključaka.................................................................................................................21Firewall pravila.............................................................................................................................................23

Skup pravila za pristup JIN mreži............................................................................................................23Skup pravila za pristup JIM mreži...........................................................................................................29Skup pravila za pristup sa interneta.........................................................................................................35

Primena skupa pravila na mrežne priključke................................................................................................37Pregled firewall statistike..............................................................................................................................39

Zaključak.......................................................................................................................................................................40

Literatura......................................................................................................................................................................41


Zaštitni znak, odricanje odgovornosti, licenca

Vyatta i Vyatta logo je zaštitni znak Vyatta, Inc.

Aurori ovog rada ne preuzimaju nikakvu odgovornost nastalu korišćenjem istog.

This document is licensed under the Attribution-NonCommercial-ShareAlike 3.0 Unported license, available at http://creativecommons.org/licenses/by-nc-sa/3.0/.


Uvod

U ovom dokumentu biće objašnjeno kako se podešava i koristi firewall na Vyatta OFR sistemu. Data je teorija o firewallu, čemu služi, podela i principi rada. Ostatak dokumenta detaljno objašnjava jedan praktičan problem, daje rešenje, praktičnu realizaciju i podešavanje firewall-a na Vyatta OFR sistemu.

Pretpostavlja se da čitalac ima predznanje o usmeravanju mrežnog saobraćaja (routing), podmrežavanju, protokolima u računarskim mrežama i da generalno ima iskustva u podešavanju uređaja za usmeravanje saobraćaja (router).


Firewall

Da bi čitaoc imao što jasniju sliku u ovom delu je ukratko definisan pojam firewall-a.

Opisane teme su:

• Šta je firewall zapravo?

• Podela firewall-a

• Principi na kojima se zasniva rad firewall-a


Firewall

Šta je zapravo firewall?

Kada većina ljudi pomisli na firewall, misli na parče softvera ili hardvera koje kontroliše saobraćaj između dve mreže. Međutim firewall može biti implementiran na samom krajnjem sistemu, kao što je ICF (Internet Connection Firewall) na Windows mašinama. Obe implementacije firewall-a imaju isti cilj, da primoraju korisnike da koriste polisu kontrole pristupa. Firewall nam omogućava da definišemo pravila pristupa i samo onaj ko ispunjava zahteve može pristupiti mreži ili stanici iza firewall-a. Svaki firewall vredan pomena bi trebao da ima sledeće osobine:

• Kontrolu i upravljanje mrežnim saobraćajem

• Autentifikacija pristupa

• Da se ponaša kao posrednik

• Da štiti resurse

• Snima i beleži sigurnosne događaje

Kontrola i upravljanje

Kontrola i upravljanje mrežnim saobraćajem je prva i osnovna funkcionalnost koju jedan FM mora imati. Obično to firewall radi tako što ispituje pakete, proverava i prati veze koje se prave i na osnovu rezultata ispitivanja paketa filtrira vezu. Ispitivanje paketa je proces presretanja i obrade podataka iz paketa sa ciljem da se utvrdi da li taj paket zadovoljava uslove iz polise pristupa. Pri ispitivanju paketa firewall posmatra sledeće:

• Izvorišnu IP adresu (Source IP address)

• Izvorišni port (Source port)

• Odredišnu IP adresu ( Destination IP Address)

• Odredišni port ( Destination port)

• IP protokol ( IP protocol)

• Informacije zaglavlja paketa (Packet header information)

Važna stvar kod ispitivanja paketa je da bi doneo odluku fw mora da proveri svaki pojedini paket u oba smera na svakom mrežnom priključku i kontrolna pravila (controll rules) moraju postojati za svaki paket. Ovo može da stvori problem kada dođe na red da se definiše ACR (Access Controll Rule) koje bi adresiralo povratni saobraćaj odobrenog zahteva.

Konekcije i stanje veze

Dve TCP/IP stanice da bi komunicirale moraju da uspostave vezu. Ova uspostava veze služi da bi se stanice identifikovale međusobno i firewall može da koristi informacije o vezi da bi odredio da li komunikacija između stanica dozvoljena ACP (Access control policy). Firewall mogu pratiti informacije o stanju veze pri odlučivanju da li da propuste ili odbiju saobraćaj. Npr. kada firewall vidi da stanica A šalje zahtev za uspostavu veze sa stanicom B, firewall zna da bi sledeći deo komunikacije trebao da bude ACK(potvrda za uspostavu veze) od stanice B. Ovo se obično radi tako što postoje tabele stanja(state table). Ako podaci koji se obrađuju ne odgovaraju stanju veze iz tabele oni se odbacuju.


Firewall

Statefull packet inspection

se naziva kada se u firewall implementira i praćene stanja veze i provera paketa. Na ovakav način ne samo da se kontrolišu paketi na osnovu stukture i podataka samih paketa već i na osnovu statusa veze između stanica. Ovako se pruža značajno fleksibilnija filtracija saobraćaja, rešenje koje je lakše za održavanje, što je sa aspekta administratora jako bitno. Prednost ovakvog rešenja u odnosu na običnu proveru paketa je da kada je veza identifikovana i dozvoljena (jer je proverena od strane firewall) generalno nije potrebno definisati pravilo da se dozvoli povratni saobraćaj jer firewall zna po statusu šta da očekuje u odgovoru. Većina firewall danas funkcioniše na ovaj način.

Firewalls authenticate accessVeoma često se dogadaj da se autentifikacijom smatra ispitivanje izvorišne IP adrese i porta. Naravno da se može

ograničiti da se na osnovu IP adrese vrši filtriranje saobraćaja, ali je danas veoma jednostavno lažirati IP adresu. Da bi se ovo sprečilo firewall obezbeđuje načine autetifikacije pristupa. TCP/Ip protokol je napravlen na osnovama da ako dve stanice znaju IP adrese mogu komunicirati. Danas je situacija malo drugačija i ne želimo da svako ko zna našu IP adresu moze da komunicira sa našom mrežom. Postoji više načina autentifikacije. Username i password(često nazivano xauth-extended autentification). Koristeći xauth od korisnika koji pokuša da uspostavi vezu traži se korisničko ime i lozinka pre nego što firewall dopusti da se veza uspostavi. Drugi način za autentifikaciju je korišćenje sertifikata i javnih ključeva. Prednost sertifikata je to da kada se jednom podesi krajnji korisnik nema potrebe da unosi user i pass. Ovo je zgodno kod velikih sistema sa dosta korisnika. Takođe za autentifikaciju može da se iskoristi metod javnih ključeva PSK(pre-shared keys). PSK su manje kompleksni od sertifikata a takođe omogućavaju da se autentifikacija obavi bez učešća korisnika. Mana ovakovog rešenja je da se ključevi retko menjaju a sistemu se pristupa i daljinski(remote access), pa je samim tim sigurnost može biti narušena.Implementacijom autentifikacije firewall ima još jedan način za proveru da li da dozvoli saobraćaj.

Firewall kao posrednikFirewall se može podesiti da se ponaša kao posrednik između dve stanice (Firewall act as an intermediary). Ovakav

način rada se obično naziva kao proxy. Proxy funkcioniše tako što maskira sistem koji štiti. Kada sistem koji želi da uspostavi vezu sa stanicom iza proxy-ja on tu komunikaciju obavlja sa proxy-jem a sam proxy sa stanicom iz sistema. Stanica koja inicira komunikaciju nema način da proveri da se komunikacija obavlja preko proxy-ja, a proxy preuzima pakete adresirane na stanicu koja se nalazi iza njega izvlači korisne podatke i te podatke pakuje u nove pakete koje prosleđuju stanici. Kada stanica iz štićenog sistema odgovara proxy opet prepakuje pakete ali sada u obrnutom smeru i adresira na sploljnu stanicu. Na ovaj način se sistem štiti tako što se osigurava da spoljna stanica ne može uspostaviti direktnu komunikaciju sa stanicom iz sistema iza proxy-ja. Obično se na ovu funkciju dodaje funkcija aplikativnog proxy-ja koji može da razlikuje podatke koji su korisni od malicioznih podataka.

Firewall štiti resurseFirewall štiti resurse od zlonamernih napada. Ovo rade sto kombinuju gore navedene metode, samostalno ili u

kombinaciji. Ali mora se imati na umu da zaštita samo pomoću firewall nije sto postotni garant sigurnosti. Npr. web server koji nije update-ovan a napadač to sazna i iskoristi taj sigurnosni propust i premosti proxy. Ovaj scenario vrlo verovatan ako se ne koristi aplikativni firewall. Dakle swi resursi koji se nalaze iza firewall moraju uvek biti ažurirani(up to date).


Firewall

Snimanje saobraćaja i prijavljivanje događajaŠta god da postavimo kao firewall nemožemo zaustaviti svaki napad ili sve maliciozne podatke. Desiće se da nismo

sve podesili kako valja ili da jednostavno je neki cracker seo i naposao neki nov maliciozni kod koji je baš na našem sistemu prvi put upotrebio i da naš do tančina podešen firewall jednostavno ne reaguje na pravi način. Zbog ovoga je dobro da firewall ima mogućnost snimanja komunikacije koja je ostvarena kroz naš firewall. Ovi snimljeni podaci mogu biti od koristi administratoru u pokušaju da shvati šta se desilo. Snimanje se obavlja na dva načina, kao sistemski log(syslog) i kao obavezno snimanje logovanja(proprietary logging). Swnimljeno bilo kojim načinom ovi logovi se kasnije mogu upotrebiti da se ispita sta se desilo. Nekada se desi nešto što nije dovoljno samo upisati u log već da se na neki način administrator odmah obavesti radi intervencije. Postoji više načina alarmiranja:

Obaveštavanje konzolom

Ovo je prost način obaveštavanja ali je nezgodan jer neko stalno mora biti pored monitora sa druge strane.

SNMP obaveštenja

SNMP se može podesiti da aktivira zamke (trap) koje se šalju ka NMS (Network managment system) koji nadgleda firewall.

E-mail obaveštavanje

Firewall šalje mail ka administratoru sa logovima.

Podela firewall-ova

Firewall se grubo mogu podeliti na personalne i mrežne (network). Osnovna razlika ove podele je koliko stanica štite. Danas uz personalni firewall dolazi i antivirusni softver sa detekcijom upada.

Mrežni firewallMrežni firewall-ovi su projektovani da štite čitave mreže od napada. Dolaze kao posebna alatka(dedicated appliance)

ili kao software koji se instalira kao aplikacija na operativnom sistemu stanice. Neke od dedicated appliance varijanti su Cisco PIX, The Cisco ASA, Symantec’s Enterprise Firewall. Predstavnici rasprostranjenijih softvervskih varijanti su Microsoft ISA, Check Points Firewall za win platforme a kod Linux platformi je najzastupljeniji IPTables i BSD packet filter. Kod Sun Solaris os je IPF (IP filter).

Današnji mrežni firewall su poslednjih godina nadograđeni mnogim naprednim odlikama kao npr: neposredno trenutno otkrivanje upada (in-line intrusion detection) i odbrana od istih. Takođe je dodato duboko skeniranje pakea, ne samo na nivoima 3 i 4 već i kontrola samih podataka radi odlučivanja o kontroli saobraćaja.

Namenski firewallNamenski firewall (Appliance firewall) su firewall koji su ranije nudili bolje performanse jer su se zasnivali na

optimizovanom hardveru, specijalizovanim procesorima, kolima koja su prilagođena aplikacijama koje su firewall izvršavali (ASIC application-specific integrated circulits). Danas softwerska rešenja gotovo da ne zaostaju za namenskim firewall. Međutim ogroman plus je tehnička podrška za ovakva rešenja.


Firewall

Integrisani firewallIntegrisani firewall-ovi su “all-in-one” rešenja koja u sebi sadrće i spam filtraciju i remote access VPN, LAN-to-LAN

VPN, detekciju upada, antivirus filtraciju . . . Menjaju više različitih uređaja. Dobra strana ovakvih rešenja je manji broj uređaja na mreži, lakša administracija.

Principi na kojima se zasniva rad firewall-aNaveli smo osnovne tipove firewall a sada ćemo malo pojasniti na koji način oni funkcionišu. Dakle podelu po načinu

funkcionisanja generalno možemo izvršiti na sedeće tipove:

• Personalni firewall

• Firewall koji filtriraju pakete

• NAT firewall

• Circuit-Level firewall

• Proxy firewall

• Stateful firewall

• Transparentni firewall

• Virtualni firewall

Ovde ćemo opisati koncept rada firewall a kako je implementiran kao softverski ili posvećeni nije bitno.

Personalni firewallPersonalni firewall su dizajnirani da štite jedan sistem. Napravjeni su tako da dozvoljavaju sav saobraćaj ka sistemu ali

da filtriraju odlazni saobraćaj. Po automatizmu imaju nekoliko preddefinisanih profila koje korisnici biraju na osnovu svojih potreba. Centralizovano upravljanje je najveća mana ovakvih rešenja i retko se koristi u većim sistemima kao jedina zaštita. Zamislite administratora koji bi morao mašinu po mašinu da setuje firewall.

Firewall koji filtrira paketeFirewall koji proverava pakete je firewall koji je podešen da proverava saobraćaj na osnovu karakteristika samih

paketa. Obično ne dolaze sa mogućnošću da pamte stanje veze, tako da za podešavanje saobraćaja u oba smera potrebno je konfigurisati i dolazni saobraćaj. Kako nisu u potpunosti dinamična ovakva rešenja se ne mogu u potpunosti nazivati firewall-ovima.

access-list 101 permit icmp any 192.168.185.0 0.0.0.255 echo-replyaccess-list 101 permit icmp any 192.168.185.0 0.0.0.255 ttl-exceeded access-list 101 permit tcp any 192.168.185.0 0.0.0.255 established access-list 101 permit udp any host 192.168.185.100 eq 53 access-list 101 permit udp any eq 123 192.168.185.0 0.0.0.255


Firewall

U ovoj list se vidi da je za DNS(53/UDP) i NTP(123/NTP) eksplicitno dozvoljeno primannnnje paketa koji imaju odgovarajuće stanje. Propuštaju se još i ICMP, echo-reply i TTL-exceeded odgovori jer su oni odgovor na zahteve koji potiču iz samog LAN-a.

Pravilo:

access-list 101 permit tcp any 192.168.185.0 0.0.0.255 established

kaže da je dozvoljen sav saobraćaj spolja ka mreži 192.168.185.0/24 sve dok su u paketima TPC ACK flagovi setovani. Na sledećoj slici se vid da se filtracija paketa vrši na (Network Layer) IP sloju.

NAT firewallOvo je najupečatljiviji firewall. Iako je relativno nov svoje mesto je našao u skoro svakoj realizaciji firewall. U početku

je nazivan Networ Address Translation a sada se nalazi u svim firewall kao funkcija, od onih najmanjih SOHO firewall do najvećih High-end Cisco enterprise rešenja. NAT firewall automatski štiti mrežu jer dozvolajva samo saobraćaj koji je iz mreže. Osnovno odličje NAT je to što sav saobraćaj ka Internetu NAT multipleksira i šalje napolje tako da spolja gledano postoji samo jedna ili nekoliko IP adresa. NAT pravi tabele u kojima se nalaze informacije o vezama koje je firewall registrovao. U ovu tabelu se mapiraju adrese iz privatne podmreže u jednu javnu IP adresu. Ovo se radi tako što se IP adrese mapiraju različitim brojevima portova.


Firewall

Stanice koji su sa unutrašnje strane NAT firewall (192.168.1.1 i 192.168.1.2) pokušavaju da uspostave vezu sa WEB serverom 10.100.100.44. Stanica 192.168.1.1 otvara TCP port 3844 i konektuje se sa WEB serverom preko porta 80. Stanica 192.168.1.2 otvara port 4687 i konektuje se na isti WEB server. NAT je tako podešen da mapira čitavu mrežu 192.168.1.0/24 u jednom IP adresom 172.28.230.55. kada firewall ustanovi da je odlazni saobraćaj u pitanju onda na nivou IP sloja menja IP adrese iz mreže u spoljašnju javnu IP adresu (192.168.1.1 i 192.168.1.2 u 172.28.230.55). Firewall radi kada je određeni port zauzet prethodnom vezom na tom portu, tada NAT ne samo da menja IP adrsu već i port na slučajni port koji nije zauzet.

Circulet level firewallRade na sloju sesije OSI Modela i prate hand shakeing između paketa

da bi ustanovili da li je saobraćaj legitiman. Saobraćaj kroz kompjuter na kome je firewall modifikovan na sledeći način: izgleda kao da potiče sa iste stanice, što znači da je pogodan za skrivanje informacija o mreži, ali mana je ta što ne pregleda svaki paket.


Firewall

Proxy firewallProxy se ponaša kao posrednik između dva krajnja sistema na sličan

način kao i prethodni firewall. Razlika je u tome što je kontrolisan na aplikativnom sloju OSI. Primoravaju obe strane saobraćaja da ide preko Proxy ja. Ovo radi tako što kreira procese koji nadgledaju servise kao da se nalaze na krajnjim sistemima. Da bi podržao različiteprotokole mora opstojati servis za svaki protokol.

Stateful ProtocolsModerni firewall-ovi stanja kombinuju aspekte NAT, Circuli, Proxy.ja u jedan sistem. Oni saobraćaj proveravaju na

osnovu karakteristika paketa, ali uključen je i deo praćenja sesija. Napravljeni su da budu transparentniji od prethodnih rešenja. Uključuju proveru podataka na nivou aplikacije kao i proveru kroy specifične servise. Oni su danas najćešći oblik firewall-a.

Transparentni firewallTransparentni firewall-ovi su poznati i kao bridging firewall-ovi, nisu u potpunosti nove već više liče na podkategoriju

gore navedenih. Kada postoji firewall koji radi na IP lejeru ili iznad. Transparentni firewall čuči na sloju dva i prati lejer tri i sav saobraćaj. Mogu koristiti pregled paketa a pri tom da ostanu nevidljivi za aplikaciju.

Ne zahtevaju promenu IP adrese pri postavljanju jer funkcionišu iz drugog lejera. Mogu se razdvajati zone različitih sigurnosnih podešavanja i mogu biti potpuno transparentne. Kako funkcionišu na drugom sloju imaju manji gubitak –overhead i daju bolje performanse i vrše dublje pregledanje paketa.

Dakle odlikuje ih:

• zero configuration

• performanse

• stealth

Ne može biti napadnut jer ga napadač ne vidi( nema IP adresu sem one koja sluuži za konfigurisanje).


Firewall

Firewall-ovi bazirani na LinuxuUglavnom rade na principu IPFirewall, koji je preuzet sa BSD.a kada je ugrađen u linux kernel. Sledeći korak je

implementacija IPfirewall admin alata.

• Ove stavke omogućavaju sledeće:

• Menjati sigurnosna podešavanja u firewall-u

• Dodavanje pravila automatski kada imenovane stanice imaju više od jedne IP adrese

• Pregled pravila u različitim formatima

• Listanje i resetovanje brojače paketa, bitova da bi se dobijale informacije koje se koriste za podešavanje sigurnosnih pravila

IPFirewall je oprenljen sledećim:

• Postavljanje adrese mrežnog priključka i imena pravila

• Dvostrana pravila TCP ACK i TCP SYN poklapanja

• Redirekcija paketa (za proxy koji je transparentan)

• Maskiranje (masqerading)

Od verzije 2.2 kernela pojavio se IPChains. Kod njega je bitno da se mora dozvoliti i pakete sa ACK bitom podešenim da bi odgovori od servera spolja bili propušteni.

Verzija 2.4 donosi još bolju implementaciju firewall-a koja se naziva NetFilter. NetFilter donosi novine kao sto su poboljšano logovanje i implementirao je praćenje stanja veze. Linux firewall nije skup, moze se podići na običnom računaru, podrška open-source zajednice čine da je ovaj firewall jedna od najboljih alternativa skupih posvećenih firewall-ova. Danas postoje i kompanije koje koriste Linux kao osnovu za svoje Firewalove i nude to kao komercijalni proizvod, s’ tim što naplaćuju podršku. Jedna od tih kompanija je Vyatta koja nudi softver za rutiranje kao osnov, koji u sebi sadrži i firewall.



Sledi kratak opis kako je implementiran i kako se ponaša firewall na Vyatta OFR sistemu.



Firewall na Vyatta OFR sistemu je baziran na paketu NetFilters (Iptables).

Vyatta kao firewall analizira i filtrira IP pakete između mrežnih priključaka. Najčešće se koristi za zaštitu saobraćaja između privatne mreže i interneta. Dozvoljava da paketi budu filtrirani na osnovu svojih karakteristika.

Sa Vyatta OFR sistemom može da se postigne:

• Filtriranje paketa koje može biti izvedeno na saobraćaju koji prolazi kroz ruter koristeći se ulazni (in) i izlazni (out) tok (pravac saobraćaja) na mrežnom adapteru rutera. Paketi adresirani na ruter mogu biti proveravani koristeći lokalni (local) tok.

• Da se postave kriterijumi koji se primenjuju na pakete koji zadovoljavaju pravila koja uključuju izvorišnu IP adresu, odredišnu IP adresu, izvorišni port, odredišni port, IP protokol i ICMP tip.

• Detekcija IP opcija polja, npr izvorišni routing protocol, i broadcast paketi.

U Vyatta OFR sistemu je primenjen koncept provere stanja veze. Pruža značajnu podršku sveukupne sigurnosti u slojevitom pristupu zaštite mreže.

Da bi se koristio firewall, definišemo skup pravila koji imenujemo (možemo da ga zamislimo kao kontejner koji u sebi sadrži pravila) i potom samo primenimo imenovani skup na jedan od "in", "out" ili "local" tokova na mrežnom priključku.

Nekoliko važnih napomena:

• Jedan tok, na jednom mrežnom priključku može sadržati samo jedan imenovani skup pravila.

• Maksimalan broj pravila u okviru jednog imenovanog skupa je 1024.

• Nakon poslednjeg pravila u skupu imenovanog pravila, svi paketi se odbacuju (deny all), ukoliko pre toga ne dođe do poklapanja sa nekim od pravila u tom skupu.

• Ukoliko se na mrežni priključak primeni imenovani skup koji ne postoji, svi paketi se propuštaju (allow all)


Opis praktičnog problema

Za imišljeno preduzeće potrebno je obebediti osnovnu zaštitu mreže pomoću firewall-a na Vyatta OFR sistemu. Pored firewall-a, Vyatta OFR sistem ima i ulogu rutiranja saobraćaja, DHCP prosleđivanje saobraćaja itd. U ovom radu će biti obrađena samo realizacija firewall-a, dok se ostali servisi ne obrađuju.

Topologija mreže u predueću je podeljena na četiri podmreže:

1. Lokalna

2. JIN

3. JIM

4. Izlaz prema internetu



Mreža "Lokalna"Mreža “Lokalna” je namenjena radnim stanicama zaposlenih u preduzeću. Za podmrežu “Lokalna” je uzet privatni

adresni opseg 172.16.0.0/24.

Sledi raspored po adresama:

172.16.0.0 - Adresa mreže

172.16.0.1 - Adresa mrežnog priključka (eth0) na Vyatta OFR sistemu, kao i adresa podrazemevanog mrežnog prolaza

172.16.0.2 – 172.16.0.50 - Rezervisano za specijalne potrebe

172.16.0.10 - Administrator 1

172.16.0.11 - Administrator 2

172.16.0.51 – 172.16.0.254 - DHCP za radne stanice

172.16.0.255 - Broadcast adresa mreže

Mreža "JIN"U mreži “JIN” se nalaze serveri koji su namenjeni za lokalnu upotrebu u preduzeću i nisu namenjeni da pružaju usluge

“spolja”, odnosno sa interneta. Za ovu podmrežu rezervisan je privatni adresni opseg 192.168.0.0/28.

Sledi raspored po adresama:



192.168.0.2 - Adresa DHCP servera

192.168.0.3 - Adresa aplikacionog servera sa MySql bazom


Sledi opis servera i servisa koji pruža:

DHCP server dinamički dodeljuje potrebne adrese za mrežne priključke na radnim stanicama. Potrebno je dozvoliti pristup DHCP servisu samo korisnicima iz mreže “Lokalna”. Takođe, za obavljanje administrativnih poslova i održavanje servera potrebno je administratorima omogućiti pristup servisima SSH za daljinsku kontrolu, ICMP i SNMP za nadgledanje servera.

Aplikacioni server ima na sebi instaliranu centralizovanu aplikaciju za potrebe preduzeća kojoj samo zaposleni imaju prava pristupa. Aplikacija radi preko TCP protokola na portu 8080. Na aplikacionom serveru se nalazi još i MySql servis za potrebe aplikacije. MySql servisu može prići samo aplikacija i WEB server iz JIM mreže radi prikaza određenih podataka, koje naše predueće želi da objavljuje na svojoj internet prezentaciji. U cilju finijih definicija pristupnih prava, u okviru samog MySql servisa mogu se kreirati korisnici koji imaju različite nivoe privilegija, različitim tabelama, zapisima itd, ali to nije tema ovog rada. Pored pristupa aplikaciji od strane zaposlenih u preduzeću i pristupu MySql servisu od strane WEB servera, potrebno je administratorima iz mreže “Lokalna” obezbediti pristup SSH, ICMP, SNMP i MySql servisu.



Mreža "JIM"

U mreži “JIM” nalaze se serveri koji imaju neke od servisa dostupne i sa interneta. To je tzv. demilitarizovana (DMZ) zona. Opseg adresa namenjen ovoj mreži je 192.168.0.16/28.

Raspored adresa:



192.168.0.18 - Web server

192.168.0.19 - Mail server


Sledi opis servera i servisa koji pruža:

Web server se koristi za držanje internet prezentacije preduzeća i omogućen je pristup preko HTTP protokola sa bilo koje IP adrese. Kao što je rečeno, web server pristupa MySql bazi na aplikacionom serveru radi prikaza određenih informacija iz baze. Za potrebe ažuriranja internet prezentacije, na serveru postoji FTP servis kome je dozvoljen pristup sa 172.16.0.0/24 mreže.

Drugi server u mreži je mail server. Na njemu su instalirani uobičajeni servisi za razmenu pošte, SMTP, POP3 i IMAP. SMTP servisu se može pristupiti sa bilo koje IP adrese u cilju isporučivanja pošte, dok se za preuzimanje pošte može koristiti POP3 i IMAP samo iz mreže “Lokalna”. Za pregled pošte na serveru van mreže “Lokalna” koristi se webmail koji je instaliran na serveru i radi preko HTTP protokola.

Za oba servera administratorima je obezbeđen pristup SSH, ICMP i SNMP servisima.

Izlaz prema internetuS obzirom da se u preduzeću koriste privatne adrese, potrebno je obezbediti prevođenje privatnih adresa u javne, tzv

NAT (Network Address Translation). Za te potrebe zakupljene su tri javne, statičke adrese od davaoca internet usluga iz mrežnog opsega 200.200.200.0/29. Sve IP adrese su na mrežnom priključku eth3 na Vyatta OFR sistemu.

200.200.200.1 - NAT za zaposlene u preduzeću - 172.16.0.0/24

200.200.200.2 - NAT za web server - 192.168.0.18

200.200.200.3 - NAT za mail server - 192.168.0.19




Praktična realizacija

Konačno dolazimo i do samog podešavanja Vyatta OFR sistema. Napisaćemo potreban skup pravila za mreže i na kraju ih primeniti na mrežne priključke. Svaki skup pravila i sama pravila će biti ukratko objašnjena. Na kraju opisujemo kako se vrši pregled filtriranih paketa.



Osnovna konfiguracija Vyatta OFR sistema

Po pokretanju Vyatta OFR sistema, prijaviti se na sistem kao korisnik vyatta sa lozinkom vyatta.

Sada je potrebno podesiti osnovna podešavanja, vezano za sam Vyatta OFR sistem, kao što je ime sistema.

vyatta@vyatta:~$ configure[edit]vyatta@vyatta# set system host-name router1[edit]vyatta@vyatta# commit

Podešavanje mrežnih priključakaPrema već poznatoj topologiji mreže potrebno je pravilno podesiti IP adrese na mrežnim priključcima Vyatta OFR

sistema.

Podešavanje prvog mrežnog priključka, eth0. Zadajemo adresu i opis.

[edit]vyatta@router1# set interfaces ethernet eth0 address 172.16.0.1/24[edit]vyatta@router1# set interfaces ethernet eth0 description “Lokalna mreza”

Podešavanje mrežnih priključaka eth1 i eth2.

[edit]vyatta@router1# set interfaces ethernet eth1 address 192.168.0.1/28[edit]vyatta@router1# set interfaces ethernet eth1 description “JIN mreza”[edit]vyatta@router1# set interfaces ethernet eth2 address 192.168.0.17/28[edit]vyatta@router1# set interfaces ethernet eth2 description “JIM mreza”

Na mrežnom priključku eth3 je potrebno da podesimo tri IP adrese, koje se fizički nalaze na istom mrežnom priključku.

[edit]vyatta@router1# set interfaces ethernet eth3 address 200.200.200.1/29 [edit]vyatta@router1# set interfaces ethernet eth3 address 200.200.200.2/29 [edit]vyatta@router1# set interfaces ethernet eth3 address 200.200.200.3/29[edit]vyatta@router1# set interfaces ethernet eth3 description “Internet”



Potvrđujemo unose naredbom commit.

[edit]vyatta@vyatta# commit

Sada možemo pogledati kako izgleda naša konfiguracija mrežnih priključaka i uveriti se da je sve u redu.

[edit]vyatta@router1# show interfaces ethernet eth0 { address 172.16.0.1/24 description “Lokalna mreza” hw-id 08:00:27:f7:c3:f1 } eth1 { address 192.168.0.1/28 description “JIN mreza” hw-id 08:00:27:16:90:a3 } eth2 { address 192.168.0.17/28 description “JIM mreza” hw-id 08:00:27:a9:01:46 } eth3 { address 200.200.200.1/29 address 200.200.200.2/29 address 200.200.200.3/29 description Internet hw-id 08:00:27:4e:70:1c }[edit]



Firewall pravila

Potrebno je definisati skup pravila za pristup svakoj od mreža.

Skup pravila za pristup JIN mreži

Kratak pregled protokola i IP adresa sa kojih im se dozvoljava pristup.

• ICMP - 172.16.0.10, 172.16.0.11

• SSH - 172.16.0.10, 172.16.0.11

• SNMP - 172.16.0.10, 172.16.0.11

• MySql - 172.16.0.10, 172.16.0.11, 192.168.0.18

• Aplikacija - 172.16.0.0/24

• DHCP - 172.16.0.0/24

Prvo kreiramo konfiguracioni čvor odnosno imenovani skup pravila.

[edit] vyatta@router1# set firewall name JIN_ACCESS description "Pristup JIN mrezi"

Sada možemo dodavati pravila u imenovani skup JIN_ACCESS, odnosno konfiguracioni čvor firewall name JIN_ACCESS.

Prvo pravilo propušta ICMP pakete na osnovu izvorišne adrese.

[edit] vyatta@router1# set firewall name JIN_ACCESS rule 1 action accept [edit] vyatta@router1# set firewall name JIN_ACCESS rule 1 description "ICMP pristup" [edit] vyatta@router1# set firewall name JIN_ACCESS rule 1 protocol icmp [edit] vyatta@router1# set firewall name JIN_ACCESS rule 1 source address 172.16.0.10-172.16.0.11 [edit] vyatta@router1# commit



Možemo prikazati prvo pravilo da bi se uverili da je sve u redu.

[edit] vyatta@router1# show firewall name JIN_ACCESS rule 1 action accept description "ICMP pristup" protocol icmp source { address 172.16.0.10-172.16.0.11 }

Drugo pravilo omogućava pristup administratorima preko SSH protokola na osnovu izvorišne adrese. Obratimo pažnju da ovde filtriramo pakete u odnosu na odredišni port, pratimo stanje veze i zapisujemo akcije u dnevnik (log).

[edit]vyatta@router1# set firewall name JIN_ACCESS rule 2 action accept [edit]vyatta@router1# set firewall name JIN_ACCESS rule 2 description "SSH pristup" [edit]vyatta@router1# set firewall name JIN_ACCESS rule 2 destination port ssh[edit]vyatta@router1# set firewall name JIN_ACCESS rule 2 log enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 2 protocol tcp [edit]vyatta@router1# set firewall name JIN_ACCESS rule 2 source address 172.16.0.10-172.16.0.11 [edit]vyatta@router1# set firewall name JIN_ACCESS rule 2 state new enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 2 state related enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 2 state established enable [edit]vyatta@router1# commit



Pregled drugog pravila.

[edit] vyatta@router1# show firewall name JIN_ACCESS rule 2 action accept description "SSH pristup" destination { port ssh } log enable protocol tcp source { address 172.16.0.10-172.16.0.11 } state { established enable new enable related enable }

Treće i četvrto pravilo omogućava administratorima komunikaciju SNMP protokolom.

[edit]vyatta@router1# set firewall name JIN_ACCESS rule 3 action accept [edit]vyatta@router1# set firewall name JIN_ACCESS rule 3 description "SNMP pristup" [edit]vyatta@router1# set firewall name JIN_ACCESS rule 3 destination port snmp[edit]vyatta@router1# set firewall name JIN_ACCESS rule 3 protocol tcp [edit]vyatta@router1# set firewall name JIN_ACCESS rule 3 source address 172.16.0.10-172.16.0.11 [edit]vyatta@router1# set firewall name JIN_ACCESS rule 3 state new enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 3 state related enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 3 state established enable [edit]vyatta@router1# commit



Pregled trećeg pravila.

[edit]vyatta@router1# show firewall name JIN_ACCESS rule 3 action accept description "SNMP pristup" destination { port snmp } protocol tcp source { address 172.16.0.10-172.16.0.11 } state { established enable new enable related enable }

Četvrto pravilo.

[edit]vyatta@router1# set firewall name JIN_ACCESS rule 4 action accept [edit]vyatta@router1# set firewall name JIN_ACCESS rule 4 description "SNMP pristup" [edit]vyatta@router1# set firewall name JIN_ACCESS rule 4 destination port snmp[edit]vyatta@router1# set firewall name JIN_ACCESS rule 4 protocol udp [edit]vyatta@router1# set firewall name JIN_ACCESS rule 4 source address 172.16.0.10-172.16.0.11 [edit]vyatta@router1# commit

Pregled četvrtog pravila.

[edit]vyatta@router1# show firewall name JIN_ACCESS rule 4 action accept description "SNMP pristup" destination { port snmp } protocol udp source { address 172.16.0.10-172.16.0.11 }



Peto i šesto pravilo dozvoljavaju pristup MySql bazi na aplikacionom serveru administratorima i pristup sa web servera, respektivno.

[edit]vyatta@router1# set firewall name JIN_ACCESS rule 5 action accept [edit]vyatta@router1# set firewall name JIN_ACCESS rule 5 description "DB pristup administratori" [edit]vyatta@router1# set firewall name JIN_ACCESS rule 5 destination port mysql[edit]vyatta@router1# set firewall name JIN_ACCESS rule 5 protocol tcp [edit]vyatta@router1# set firewall name JIN_ACCESS rule 5 source address 172.16.0.10-172.16.0.11 [edit]vyatta@router1# set firewall name JIN_ACCESS rule 5 state new enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 5 state related enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 5 state established enable [edit]vyatta@router1# commit

[edit]vyatta@router1# set firewall name JIN_ACCESS rule 6 action accept [edit]vyatta@router1# set firewall name JIN_ACCESS rule 6 description "DB pristup sa WEB servera" [edit]vyatta@router1# set firewall name JIN_ACCESS rule 6 destination port mysql[edit]vyatta@router1# set firewall name JIN_ACCESS rule 6 protocol tcp [edit]vyatta@router1# set firewall name JIN_ACCESS rule 6 source address 192.168.0.18/28

[edit]vyatta@router1# set firewall name JIN_ACCESS rule 6 state new enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 6 state related enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 6 state established enable [edit]vyatta@router1# commit

Sedmo pravilo omogućava pristup centralnoj aplikaciji za zaposlene koja radi sa tcp protokolom i osluškuje na portu 8080.



[edit]vyatta@router1# set firewall name JIN_ACCESS rule 7 action accept [edit]vyatta@router1# set firewall name JIN_ACCESS rule 7 description "APP pristup sa mreze LOKALNA" [edit]vyatta@router1# set firewall name JIN_ACCESS rule 7 destination address 192.168.0.3/28 [edit]vyatta@router1# set firewall name JIN_ACCESS rule 7 destination port 8080 [edit]vyatta@router1# set firewall name JIN_ACCESS rule 7 protocol tcp [edit]vyatta@router1# set firewall name JIN_ACCESS rule 7 source address 172.16.0.0/24 [edit]vyatta@router1# set firewall name JIN_ACCESS rule 7 state new enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 7 state related enable [edit]vyatta@router1# set firewall name JIN_ACCESS rule 7 state established enable [edit]vyatta@router1# commit

Poslednje, osmo pravilo u ovom skupu je pravilo koje omogućuje DHCP komunikaciju između klijenata i servera. Ovde je interesantno što možemo filtrirati paketi i u odnosu na izvorišni port.

[edit]vyatta@router1# set firewall name JIN_ACCESS rule 8 action accept [edit]vyatta@router1# set firewall name JIN_ACCESS rule 8 description "DHCP pristup sa mreze LOKALNA" [edit]vyatta@router1# set firewall name JIN_ACCESS rule 8 destination address 192.168.0.2/28 [edit]vyatta@router1# set firewall name JIN_ACCESS rule 8 destination port 67 [edit]vyatta@router1# set firewall name JIN_ACCESS rule 8 source port 68 [edit]vyatta@router1# set firewall name JIN_ACCESS rule 8 protocol udp [edit]vyatta@router1# commit



Skup pravila za pristup JIM mrežiKratak pregled protokola i IP adresa sa kojih im se dozvoljava pristup.

• ICMP - 172.16.0.10, 172.16.0.11

• SSH - 172.16.0.10, 172.16.0.11

• SNMP - 172.16.0.10, 172.16.0.11

• FTP - 172.16.0.0/24

• POP3 - 172.16.0.0/24

• IMAP - 172.16.0.0/24

• HTTP - 0.0.0.0/0

• SMTP - 0.0.0.0/0

Kreiramo JIM_ACCESS imenovani skup pravila.

[edit] vyatta@router1# set firewall name JIM_ACCESS description "Pristup JIM mrezi"

Prvo pravilo dozvoljava administratorima komunikaciju ICMP protokolom.

[edit] vyatta@router1# set firewall name JIM_ACCESS rule 1 action accept [edit] vyatta@router1# set firewall name JIM_ACCESS rule 1 description "ICMP pristup za administratore" [edit] vyatta@router1# set firewall name JIM_ACCESS rule 1 protocol icmp [edit] vyatta@router1# set firewall name JIM_ACCESS rule 1 source address 172.16.0.10-172.16.0.11 [edit] vyatta@router1# commit

Pregled prvog pravila.

[edit] vyatta@router1# show firewall name JIM_ACCESS rule 1 action accept description "ICMP pristup za administratore" protocol icmp source { address 172.16.0.10-172.16.0.11 }



Drugo pravilo omogućava pristup administratorima preko SSH protokola na osnovu izvorišne adrese.

[edit]vyatta@router1# set firewall name JIM_ACCESS rule 2 action accept [edit]vyatta@router1# set firewall name JIM_ACCESS rule 2 description "SSH pristup za administratore" [edit]vyatta@router1# set firewall name JIM_ACCESS rule 2 destination port ssh [edit]vyatta@router1# set firewall name JIM_ACCESS rule 2 log enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 2 protocol tcp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 2 source address 172.16.0.10-172.16.0.11 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 2 state new enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 2 state related enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 2 state established enable [edit]vyatta@router1# commit

Pregled drugog pravila.

[edit]vyatta@router1# show firewall name JIM_ACCESS rule 2 action accept description "SSH pristup za administratore" destination { port ssh } log enable protocol tcp source { address 172.16.0.10-172.16.0.11 } state { established enable new enable related enable }



Pravilo tri i četiri definišu SNMP pristup za administratore.

[edit]vyatta@router1# set firewall name JIM_ACCESS rule 3 action accept [edit]vyatta@router1# set firewall name JIM_ACCESS rule 3 description "SNMP pristup za administratore" [edit]vyatta@router1# set firewall name JIM_ACCESS rule 3 destination port snmp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 3 protocol tcp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 3 source address 172.16.0.10-172.16.0.11 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 3 state new enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 3 state related enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 3 state established enable [edit]vyatta@router1# commit

[edit]vyatta@router1# set firewall name JIM_ACCESS rule 4 action accept [edit]vyatta@router1# set firewall name JIM_ACCESS rule 4 description "SNMP pristup za administratore" [edit]vyatta@router1# set firewall name JIM_ACCESS rule 4 destination port snmp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 4 protocol udp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 4 source address 172.16.0.10-172.16.0.11 [edit]vyatta@router1# commit



[edit]vyatta@router1# set firewall name JIM_ACCESS rule 5 action accept [edit]vyatta@router1# set firewall name JIM_ACCESS rule 5 description "FTP pristup sa mreze LOKALNA" [edit]vyatta@router1# set firewall name JIM_ACCESS rule 5 destination address 192.168.0.18/28 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 5 destination port 20 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 5 protocol tcp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 5 source address 172.16.0.0/24 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 5 state new enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 5 state related enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 5 state established enable [edit]vyatta@router1# commit

[edit]vyatta@router1# set firewall name JIM_ACCESS rule 6 action accept [edit]vyatta@router1# set firewall name JIM_ACCESS rule 6 description "FTP pristup sa mreze LOKALNA" [edit]vyatta@router1# set firewall name JIM_ACCESS rule 6 destination address 192.168.0.18/28 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 6 destination port 21 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 6 protocol tcp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 6 source address 172.16.0.0/24 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 6 state new enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 6 state related enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 6 state established enable [edit]vyatta@router1# commit



[edit]vyatta@router1# set firewall name JIM_ACCESS rule 7 action accept [edit]vyatta@router1# set firewall name JIM_ACCESS rule 7 description "POP3 pristup sa mreze LOKALNA" [edit]vyatta@router1# set firewall name JIM_ACCESS rule 7 destination address 192.168.0.19/28 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 7 destination port pop3[edit]vyatta@router1# set firewall name JIM_ACCESS rule 7 protocol tcp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 7 source address 172.16.0.0/24 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 7 state new enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 7 state related enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 7 state established enable [edit]vyatta@router1# commit

[edit]vyatta@router1# set firewall name JIM_ACCESS rule 8 action accept [edit]vyatta@router1# set firewall name JIM_ACCESS rule 8 description "IMAP pristup sa mreze LOKALNA" [edit]vyatta@router1# set firewall name JIM_ACCESS rule 8 destination address 192.168.0.19/28 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 8 destination port imap[edit]vyatta@router1# set firewall name JIM_ACCESS rule 8 protocol tcp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 8 source address 172.16.0.0/24 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 8 state new enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 8 state related enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 8 state established enable [edit]vyatta@router1# commit



[edit]vyatta@router1# set firewall name JIM_ACCESS rule 9 action accept [edit]vyatta@router1# set firewall name JIM_ACCESS rule 9 description "Pristup web prezentaciji" [edit]vyatta@router1# set firewall name JIM_ACCESS rule 9 destination address 192.168.0.18/28 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 9 destination port http[edit]vyatta@router1# set firewall name JIM_ACCESS rule 9 protocol tcp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 9 state new enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 9 state related enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 9 state established enable [edit]vyatta@router1# commit

[edit]vyatta@router1# set firewall name JIM_ACCESS rule 10 action accept [edit]vyatta@router1# set firewall name JIM_ACCESS rule 10 description "SMTP pristup" [edit]vyatta@router1# set firewall name JIM_ACCESS rule 10 destination address 192.168.0.19/28 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 10 destination port smtp[edit]vyatta@router1# set firewall name JIM_ACCESS rule 10 protocol tcp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 10 state new enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 10 state related enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 10 state established enable [edit]vyatta@router1# commit



[edit]vyatta@router1# set firewall name JIM_ACCESS rule 11 action accept [edit]vyatta@router1# set firewall name JIM_ACCESS rule 11 description "webmail pristup"

[edit]vyatta@router1# set firewall name JIM_ACCESS rule 11 destination address 192.168.0.19/28 [edit]vyatta@router1# set firewall name JIM_ACCESS rule 11 destination port http[edit]vyatta@router1# set firewall name JIM_ACCESS rule 11 protocol tcp [edit]vyatta@router1# set firewall name JIM_ACCESS rule 11 state new enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 11 state related enable [edit]vyatta@router1# set firewall name JIM_ACCESS rule 11 state established enable [edit]vyatta@router1# commit

Skup pravila za pristup sa internetaOvaj skup pravila će biti primenjen na mrežnom priključku koji je direktno priključen na spoljnu mrežu, odnosno

internet i time je prva meta na udaru za filtriranje paketa.

S obzirom da se IP adrese u saobraćaju koji se inicira sa interneta prvo prevode u privatne adrese (NAT), pa tek onda se filtriraju kroz firewall pravila, u definisanju pravila moraćemo koristiti privatne adrese servera kao odredišne adrese.

Kreiranje imenovanog skupa pravila PUBLIC_ACCESS.

[edit]vyatta@router1# set firewall name PUBLIC_ACCESS [edit]vyatta@router1# set firewall name PUBLIC_ACCESS description "Pristup sa interneta i lokalne mreze javnim servisima" [edit]vyatta@router1# commit



[edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 action accept [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 description "Pristup web prezentaciji" [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 destination address 192.168.0.18/28 [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 destination port 80 [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 protocol tcp [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 state new enable [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 state related enable [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 state established enable [edit]vyatta@router1# commit

[edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 action accept [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 description "SNMP pristup" [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 destination address 192.168.0.19/28 [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 destination port 25 [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 protocol tcp [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 state new enable [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 state related enable [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 state established enable [edit]vyatta@router1# commit



[edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 action accept [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 description "webmail pristup" [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 destination address 192.168.0.19/28 [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 destination port 80 [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 protocol tcp [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 state new enable [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 state related enable [edit]vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 state established enable [edit]vyatta@router1# commit

Iako smo praktično mogli prvo i treće pravilo definisati kao jedno s tim što u tom slučaju ne bi stavljali odredišnu IP adresu, odlučili smo se da ta dva pravila razdvojimo radi finije kontrole.

Primena skupa pravila na mrežne priključkePoslednje što treba da uradimo, je da primenimo definisane skupove pravila na odgovarajuće mrežne priključke i

njihove tokove (in, out i local).

Na mrežni priključak eth1 i tok saobraćaja out primenjujemo skup imenovanih pravila JIN_ACCESS.

[edit]vyatta@router1# set interfaces ethernet eth1 firewall out name JIN_ACCESS[edit]vyatta@router1# commit

Na mrežni priključak eth2 i tok saobraćaja out primenjujemo skup imenovanih pravila JIM_ACCESS.

[edit]vyatta@router1# set interfaces ethernet eth2 firewall out name JIM_ACCESS [edit]vyatta@router1# commit



Na mrežni priključak eth3 i tok saobraćaja in primenjujemo skup imenovanih pravila PUBLIC_ACCESS.

[edit]vyatta@router1# set interfaces ethernet eth3 firewall in name PUBLIC_ACCESS[edit]vyatta@router1# commit

Možemo pogledati našu konfiguraciju mrežnih priključaka.

[edit]vyatta@router1# show interfaces ethernet eth0 { address 172.16.0.1/24 description “Lokalna mreza” hw-id 08:00:27:f7:c3:f1 } eth1 { address 192.168.0.1/28 description “JIN mreza” firewall { out { name JIN_ACCESS } } hw-id 08:00:27:16:90:a3 } eth2 { address 192.168.0.17/28 description “JIM mreza” firewall { out { name JIM_ACCESS } } hw-id 08:00:27:a9:01:46 } eth3 { address 200.200.200.1/29 address 200.200.200.2/29 address 200.200.200.3/29 description Internet firewall { in { name PUBLIC_ACCESS } } hw-id 08:00:27:4e:70:1c }[edit]



Pregled firewall statistike

Detaljniji pregled i statistikau firewall-a je moguće pogledati prelaskom na operatorskogi nivo.

[edit]vyatta@router1# exit

Pregled imenovanih skupa pravila u tabelarnom prikazu vrši se sledećom komandom. Ovde će biti prikazani svi skupovi pravila koje smo definisali.

[edit]vyatta@router1:~$ show firewall

Možemo pogledati samo određeni skup pravila ili samo određeno pravilo u nekom skupu.

[edit]vyatta@router1:~$ show firewall JIN_ACCESS

Statistiku sa brojem odbijenih i propuštenih paketa možemo pogledati sledećom komandom.

[edit]vyatta@router1:~$ show firewall JIN_ACCESS statistics


Zaključak

Vyatta kao sistem baziran na Linux operativnom sistemu sa komandnim okruženjem prilagođen administraciji, pruža veoma robustan, prilagodljiv i fleksibilan sistem.

Impementacija firewall-a na Vyatta OFR sistemu je izvedena na veoma visokom nivou iako postoji još mesta za poboljšanja.


Literatura

[1] Firewall Fundamentals by Wes Noonan, Ido Dubrawsky[2] Vyatta OFR Configuration Guide by Vyatta, inc.[3] Command Reference by Vyatta, inc.[4] Security Reference Guide by Vyatta, inc.


Documents

Vtatta Firewall