KONFIGURACE SÍŤOVÝCH PŘIPOJENÍ A SLUŽEB PRO WINDOWS A LINUX Bc. PetrŠtěrba ORLOVÁ 2013
Název: Konfigurace síťových připojení a služeb pro Windows a Linux Autor: Bc. Petr Štěrba Vydání: první Počet stran: 63 Určeno pro projekt: Dílčí kvalifikace nástroj pro efektivní získání kvalifikace a cesta k rychlé změně kompetencí Číslo projektu: CZ.1.07/3.2.07/03.0122 Vydavatel: Gymnázium a Obchodní akademie, Orlová, p. o. Petr Štěrba Gymnázium a Obchodní akademie, Orlová, p. o.
1 OBSAH Úvod... 2 Používané symboly... 3 1. Správa sítí v prostředí Windows Server 2008... 4 1.1 Teoretický úvod... 4 1.2 Vylepšení sítí v systému Windows Server 2008... 5 1.3 Instalace sítě s protokolem TCP/IP... 6 1.4 Sledování stavu síťového připojení... 10 1.5 Dynamické přidělování adres na Windows Server 2008... 12 1.6 Sledování dostupnosti a využití adres v DHCP, odstraňování chyb... 21 1.7 Správa síťového tisku... 22 1.8 Instalace tiskového serveru... 23 1.9 Virtuální privátní sítě VPN... 24 1.10 Instalace VPN na Windows Serveru 2008... 28 2. Jak spravovat připojení k síti v prostředí OS Linux FEDORA... 35 2.1 Nastavení síťového připojení v grafickém rozhraní... 35 2.2 Nastavení síťového připojení v textovém rozhraní... 37 2.3 Nastavení statického směrování... 40 2.4 Přiřazení serverů DNS... 40 2.5 Server DHCP instalace a konfigurace... 42 2.6 Linuxový server jako směrovač... 46 2.7 Filtrování paketů na linuxovém směrovači Firewall... 49 2.8 Překlad ip adres v Linuxu Masquarade... 51 2.9 Směrování mezi sítěmi... 53 2.10 Virtuální sítě VLANY na switchi v os linux... 55 2,11 VPN v Linuxu... 59 Závěr... 61 Použitá literatura... 62
2 Úvod Vážení čtenáři, Otevřeli jste studijní materiál, který vás má seznámit s konfigurací sítí a síťových služeb v jednotlivých operačních systémech. Zaměřili jsme svou pozornost na dva nejpoužívanější operační systémy, Windows, konkrétně Windows Server 2008, a Linux (prakticky si vyzkoušíme distribuci Fedora. Předpokládá se, že máte základní znalosti z teorie adresace sítí, směrování, že vám je jasný princip služby DHCP a pojem virtuální síť apod. Ve většině témat se budeme přímo zabývat implementací příslušné teorie do konkrétního prostředí. Tedy jakási kuchařka či manuál pro řešení konkrétních úkolů. Materiál je rozdělen do dvou oddílů. První z nich je věnován prostředí operačního systému Windows Server 2008. Naučíte se nakonfigurovat síťové rozhraní, a jak to staticky, tak i dynamicky s využitím služby DHCP, vyzkoušíte si nastavení klienta pro vzdálený přístup (Remote Access i VPN). V prostředí instalovaného serveru Windows Server 2008 jej nastavíte do role DHCP serveru, VPN Serveru a nastavíte si podmínky pro síťový tisk. V prostředí operačního systému Linux budete řešit analogické úlohy jako v prostředí Windows, navíc se seznámíte s nastavením virtuálních sítí v případě, že bude počítač s operačním systémem Linux plnit roli serveru a směrovače. Ověříte si platnost nastudovaných teoretických poznatků a získáte experimentální zkušenosti, které určitě využijete v pozici Správce operačních systémů. Teoretický materiál bude vložen jako e-learningový kurz do prostředí LMS Moodle, doplněn praktickými úlohami a kontrolními testy. Po průchodu celého kurzu budete mít přehled o základech správy sítí v prostředí Windows i Linux. Přeji hodně trpělivosti a studijních úspěchů.
3 Používané symboly Průvodce studiem vstup autora, doplnění textu Informace co se v kapitole dovíte Klíčová slova Čas potřebný ke studiu kapitoly Důležité pojmy nebo početní vztahy Příklad objasnění problematiky nebo řešený příklad Úkol k zamyšlení nebo cvičení Otázky a úkoly řešení najdete v rámci opory Řešení úkolů vážou se na konkrétní úkoly a otázky Část pro zájemce rozšíření látky, pasáže jsou dobrovolné Shrnutí shrnutí látky, shrnutí kapitoly Literatura Korespondenční úkol
4 Sítě v prostředí OS Windows 1. SPRÁVA SÍTÍ V PROSTŘEDÍ WINDOWS SERVER 2008 V této kapitole se seznámíte se základními pohledy na síť, typy sítí; prostudujete si základní nástroje, kterými disponuje Windows Server 2008 pro práci v síti. Projdete si základní skupinu protokolů uršených pro práci v síti, naučíte se síť nakonfigurovat síť s protokolem TCP/IP. Získáte přehled o základníxh síťových pojmech a jejich významu. Klíčová slova Centrum sítí a sdílení, fyzické, logické uspořádání sítí, síť lokální, doménová, privátní, veřejná, virtuální,mapa sítě, diagnostika sítě, SSTP, SRA, PPTP, L2TP, CAPI2, TEREDO, RDP, NAT, VPN 1.1 Teoretický úvod Při pohledu na síť registrujete její fyzické uspořádání související s umístěním jednotlivých prvků sítě a logické uspořádání, které je podkladem pro možnosti vzájemné komunikace mezi počítači a dalšími aktivními síťovými prvky. Pro nastavení komunikace používáme protokol TCP/IP. Windows Server 2008 má oproti předchozím verzím rozšířený balík nástrojů pro práci v síti. Mezi tyto nástroje patří Network Explorer (Průzkumník sítě) vyhledávání počítačů a dalších zařízení v síti Network and Sharing Center (Centrum sítí a sdílení) prohlížení a správa konfigurace sítě, sdílení daného počítače Network Map (Mapa sítě) zobrazení propojení počítačů a dalších zařízení v síti Network Diagnostics (Diagnostika sítě) umožňuje hledání a řešení chyb na síti tak, že automaticky diagnostikuje chyby na síti a zaznamená je Uvedené nástroje využívají funkce začleněné do systému týkající se zjišťování počítačů, která umožňuje počítačů vidět se navzájem, a sledování sítě, která reaguje na změny připojení k síti a na změny konfigurace.
Sítě v prostředí OS Windows 5 Funkce rozlišují 3 typy sítí: doménová představuje počítače a zařízení připojené k lokální doméně privátní obsahuje počítače přiřazené do pracovní skupiny bez připojení do internetu veřejná obecně síť na veřejném místě (internetová kavárna, hotel, letiště Ve veřejné síti je vypnuto zjišťování, což omezuje možnost počítačů z veřejné sítě mít přehled o ostatních připojených počítačích. Doménová a privátní síť mají zjišťování počítačů standardně zapnuto. Pro sdílení dalších zařízení, jako např, tiskáren, je nutné zjišťování zapnout ručně, a to buď v zásadách skupiny (Group Policy)nebo v nastavení auditování registru (otevřu prostředí registru regedit, označím příslušný klíč a pomocí Edit, Vlastnosti nastavím přístu pová práva). Samostatnou úlohou je vytváření (mapování) síťových jednotek a jejich využití pro přístup ke sdíleným složkám. use map m: = D:\Dokumenty\Management 1. 2 Vylepšení sítí v systému Windows Server 2008 Oproti předchozím verzím má Windows Server 2008 řadu vylepšení i co se týká používaných protokolů. V zásadách skupiny najdeme konfiguraci jak kabelové sítě (wired network IEEE 802.3), tak i pro bezdrátové připojení (Wireless network IEEE 802.11). Lze nastavit zásady zvlášť pro každý typ sítě. V novějších verzích Windows Server 2008 R2 najdeme i možnost změnit i opravit špatné heslo při přihlašování, případně znovu nastavit heslo, jemuž vypršela platnost. Podporují řadu protokolů pro zabezpečení sítě: Sdílená složka Protokol Secure Socket Tunelling protokol (SSTP) umožňuje přenos dat po linkové vrstvě pomocí protokolu HTTPS (Hypertext transfer protokol over Secure Socket Layer)s využitím protokolů TLS a SSL na portu 443. Podporuje IPv4 i IPv6. Protokol Secure Remote Access (SRA) umožňují zabezpečený přístup ke vzdáleným počítačům pomocí protokolu HTTPS. Kombinace SSTP a SRA představují vylepšení oproti PPTP a TL2TP protože komunikují na vyšších vrstvách a nemají tedy problém s NATem. V podstatě máme technologii pro vytváření VPN.
6 Sítě v prostředí OS Windows Rozhraní Crypto API Version 2 (CAPI2) rozšiřuje možnosti ověřování stavu certifikátů ve spolupráci s protokolem OCSP, ověřování přístupu k úložišti certifikátu. URL adresy, kde se stahují certifikáty a jsou přidávány jako vlastnost k certifikátu certifikační authority.x Umožňuje použít IPv6 v síti s protokolem IPv4 Zachování portů pro službu TEREDO Teredo je tunelovací technologie umožňující přenos NAT a umožňuje komunikovat mezi symetrickým překladem adres zachovávající porty; tzn. Překlad se zachová, pokud se použije stejný port. Použití Remote Desktop protokol (RDP) pro digitální podepisování souborů. Pomocí klienta RDP jsou soubory podepsány a lze zabránit otevření souboru s nedůvěryhodným podpisem. RDP soubory mohou být podepsány pomocí Zásad skupiny (Group Policy), kdy jsou vygenerována tři nastavení a uživateli je dána možnost rozhodnout se, zda přijme soubor z nedůvěryhodného zdroje, či zda přijme nepodepsaný soubor. 1.3 Instalace sítě s protokolem TCP/IP Konfigurace protokolu TCP/IP je většinou řešena v rámci instalace, viz následující obr.
Sítě v prostředí OS Windows 7 Je však možno ji provést samostatně, případně již nastavenou konfiguraci změnit. Nastavení konfigurace můžete provést v prostředí, ale je možno ji provést samostatně, případně již nastavenou konfiguraci změnit. Nastavení konfigurace můžete provést v prostředí vlastnosti síťového připojení, ke kterému se dostaneme přes Start Ovládací panely Centrum sítí a sdílení. Vybereme Spravovat síťová připojení V následujících nabídkách je postupně dostaneme až k oknu pro nastavení konfigurace ručně nebo získávání konfigurace z DHCP.
8 Sítě v prostředí OS Windows Panely pro nastavení konfigurace TCP/IP včetně alternativní konfigurace Ruční konfigurace TCP/IP Konfigurace TCP/IP z DHCP Ručně se zadá další konfigurace a použije se v případě, že DHCP server není k dispozici. Pokud nezadáme alternativní adresu, systém ji zvolí sám
Sítě v prostředí OS Windows 9 Zvolíme-li na panelu konfigurace tlačítko, dostaneme se do prostředí, kde je možno doplnit k danému síťovému rozhraní další IP adresu, bránu a další parametry, případně některé hodnoty upravit či odebrat. Pro ruční konfiguraci si zopakujte základní znalosti: IP adresa, síťová, maska, brána, server DNS, adresa veřejná a privátní, + IPv6 - např. FEC0::1 Pozor!!! Než přidělíte ručně IP adresu, přesvědčte se, že nepatří do oboru adres používaných DHCP serverem a příkazem ping (z jiného PC) zjistěte, že daná adresa není aktuálně používána. (I tak se může stát, že přidělíte adresu používanou jiným PC).
10 Sítě v prostředí OS Windows Konfiguraci pro IPv6 můžeme získávat automaticky. Pro ruční zadávání IPv6 budete postupovat takto: Zapiš adresu a stiskni TAB Vloží se délka prefixu (neměnná část v síti) 1.4 Sledování stavu síťového připojení Po nastavení konfigurace protokolu TCP/IP si můžeme ověřit jeho účinnost v prostředí Start Ovládací panely Centrum sítí a sdílení Spravovat síťová připojení označíme síťové rozhraní a ze zobrazené nabídky vybereme položku Stav Ve stejném prostředí je možno síťové připojení zakázat a pojmenovat.
Sítě v prostředí OS Windows 11 Tlašítkem Podrobnosti získáme informace o stavu linky a případné podrobnosti o nastavení Cvičení 1 Z následujícího schematu určete počet sítí a navrhněte její novou adresaci. Využijte privátní adresaci třídy C
12 Sítě v prostředí OS Windows 1.5 Dynamické přidělování adres na Windows Server 2008 Centrální řízení dynamického přidělování adres je v kompetenci protokolu DHCP. Zjednodušuje správu domén Active Directory a umožňuje předávání konfigurace TCP/IP protokolu v síti. Aby mohla být tato úloha realizována, je nutno nainstalovat na serveru službu DHCP. Zařízení, které pak dynamické přidělení konfigurace vyžaduje, se nazývá klient. Windows Server 2008 může plnit roli DHCP serveru, a to jak pro IPv4, tak i pro IPv6. Může být také v pozici klienta, kdy sám vyžaduje dynamické nastavení konfigurace TCP/IP. Obsahuje jak klienta DHCPv4, tak DHCPv6. IP adresa je zapůjčena na určitou dobu a po uplynutí poloviny vyhrazené zápůjční doby se klient pokusí o obnovení nastavení, Pokud se mu to nepodaří, učiní tak těsně před uplynutím lhůty. Adresy, které nejsou včas obnoveny, se vracejí a mohou být znovu přiděleny. Výjimku tvoří adresy, které jsou rezervovány v závislosti na MAC adrese či jiném parametru. Automatická konfigurace (u IPv4 většinou tehdy, kdy není k dispozici DHCP server): vybírá adresu ze sítě 169.254.x.x /16 před každým přidělením klient otestuje ARP dotazem, zda je IP adresa používána; pokud v síti již adresa existuje, vybere jinou. Zkouší to maximálně 10 krát; pokud stále není úspěšný, odpojí počítač od sítě a přidělí první vybranou adresu; poté se každých 5 minut pokusí o spojení se serverem, a to až do okamžiku, kdy se DHCP server ozve a klient získá přiřazení konfigurace. S podstatou fungování služby DHCP a s přidělováním adres IPv4 jste se setkali již v jiných materiálech, zaměřme se tedy na proces dynamického přidělování adres IPv6. Adresa IPv6 má celkem 128 bitů a standardně prvních 64 bitů tvoří neměnnou část charakterizující síť. DHCPv6 může pracovat ve dvou režimech stavový režim protokolu DHCPv6 přiděluje všechny parametry bezstavový režim protokolu DHCPv6 klient získá IP adresu automatickou konfigurací a ostatní parametry přidělí protokol DHCPv6
Sítě v prostředí OS Windows 13 Automatická konfigurace IPv6 se provádí na základě příznaků ze zprávy Inzerování směrovače, kterou odesílá vedlejší router jedná se o příznaky M a O. Příznak M - Managed address configuration při nastavení hodnoty na 1 informuje DHCPv6 protokol, aby nastavil stavovou IP adresu Příznak O other statefull configuration při nastavení hodnoty na 1 informuje DHCPv6 protokol, aby nastavil ostatní parametry Pokud mají oba příznaky hodnotu 1 => požadován stavový režim protokolu DHCPv6 Pokud je M nastaven na 0 a Ona1 => požaduje se bezstavový režim Příznaky můžeme nastavit v příkazové řádce: (M = 1 a O = 1) netsh interface ipv6 set interface <název rozhraní> manageaddress=enabled netsh interface ipv6 set interface <název rozhraní> otherstateful=enabled Struktura zprávy protokolu DHCPv6 Msg type Transaction ID Option Code Option Len Option Data Transaction ID - určí, jak získat IPv6 Option Len Délka části Option Data Speciální adresy: 1 B 3 B 2 B 2 B proměnlivé FEC0::1 - jednosměrná adresa v rámci propojení ::1 - loopback (smyčka) FF02::1:2 - pro All_DHCP_Relay_Agent_and_Servers (obdoba broadcastu). IPv6 neobsahuje všesměrové vysílání. Klient vyšle požadavek na přidělení adresy na adresu FF02::1:2 Když se klient a server DHCPv6 nacházejí v rozdílných sítích, získá požadavek (tzv. Solicit) přenosový agent DHCP (relay agent), přesměruje ho na server DHCPv6 a ten odpoví
14 Sítě v prostředí OS Windows Struktura zpráv mezi Relay Agenty a servery je různá, může obsahovat parametry: Link Address (16B) charakterizuje podsíť, v níž se klient nachází (tedy z kterého oboru adres, se má adresa přidělit) Hop Count (1B) kolik agentů zprávu převzalo Peer address identifikuje klienta, který zprávu původně poslal Relay message umožňuje zapouzdření zprávy při přenosu mezi serverem a klientem Jak nainstalovat přenosové agenty DHCP? 1. varianta pomocí služby RRAS (routing and remote access service) 2. varianta na rozhraní směrovače Zápůjčka IPv6 může být specifikována jako dočasná nebo trvalá (ta odpovídá klasické rezervaci) Instalace DHCP na serveru : Aby server mohl plnit roli DHCP serveru, sám musí mít adresu přiřazenou staticky!!!!! nezapomeň Otevřete správce serveru, vyberete Role a vpravo označíte Add role Z vybraných rolí zvolíte DHCP server a stisknete Další Klikni Nainstalovat
Sítě v prostředí OS Windows 15 v prostředí Průvodce přidáním rolí nastavíte potřebné parametry služby DHCP(doména, DNS servery, obory přiřazovaných adres, síťová maska a brána) Nastavení domény a DNS Ověření platnosti adresy
16 Sítě v prostředí OS Windows Nastavení oborů adres Potvrdíte nastavení, objeví se ve výpisu oborů Volbou Potvrzení zobrazíme celkové nastavení a v případě, že je správné, stiskneme Nainstalovat
Sítě v prostředí OS Windows 17 Po dokončení instalace máme připravený server DHCP (vynechali jsme službu WINS, neboť v současné době již nepředpokládáme její využití). Službu lze spravovat v prostředí konzoly, kterou spustíme přes nabídku Start Nástroje pro správu (Administrative Tools) DHCP. Můžeme zde sledovat přehled zapůjčených adres a ručně rezervovat IP adresy dle MAC adresy Zelená šipka znamená, že služba je spuštěna
18 Sítě v prostředí OS Windows Správa DHCP serverů Nainstalovaný DHCP server je nutné ověřit vůči doméně, což znamená, že může přidělovat IP adresy v rámci domény. V konzole klikneme pravým tlačítkem na DHCP a z nabídky vybereme Spravovat ověřené servery. Napiš ip adresu DHCP serveru a klikni OK Přidání dalšího DHCP serveru do konzoly
Sítě v prostředí OS Windows 19 V konzoli můžeme rovněž upravit dobu zápůjčky pro daný obor Můžeme povolit architekturu NAP vyžadování souladu s definovanými nároky na konfiguraci, případně softwaru klientských počítačů (např. povinnost mít nainstalovaný antivirový program) Pozor!!! Nutno naistalovat server NPS (Network Policy Server),kde budou požadavky nastaveny.
20 Sítě v prostředí OS Windows V prostředí konzoly lze spravovat DCHP na serveru s větším počtem síťových rozhraní. Přidělit daný obor k příslušné síti zaškrtnutím příslušné karty (zde máme pouze 1) na záložce Upřesnit. Záložka DNS slouží k propojení DNS a DHCP, kdy se aktualizují záznamy v překladové tabulce na DNS serverů, podle přidělené adresy.
Sítě v prostředí OS Windows 21 1.6 Sledování dostupnosti a využití adres v DHCP, odstraňování chyb Činnosti spojené s pojmem Audit služby DHCP, který sleduje procesy a požadavky v protokolových souborech a umožňuje tak odstraňovat potíže spojené se službou DHCP. Povolíme ve vlastnostech IPv4 na katě Obecné Cestu k protokolovým souborům lze nastavit ve vlastnostech DHCP serveru na kartě Upřesnit..
22 Sítě v prostředí OS Windows 1.7 Správa síťového tisku Pro tisk v síti je možno použít dvou typů zařízení Místní tiskárna je připojena fyzicky k počítači Síťová tiskárna je připojena buď k tiskovému serveru nebo prostřednictvím vlastního síťového rozhraní Tiskový server je počítač, který je připraven pro sdílení jedné či více síťových tiskáren. Veškeré tiskové úlohy zařazuje do jedné tiskové fronty, která je centrálně řízena. Druhou variantou řešení je připojit k tiskárně uživatele přímo (sdílet ji). V tom případě nepotřebujete instalovat tiskový server, ale každý uživatel má tak svoji vlastní tiskovou frontu. V případě problému je správa komplikovaná. Princip tisku Důležitým pojmem z hlediska tisku je Ovladač tiskárny. Po spuštění tisku v aplikaci je do paměti načten ovladač tiskárny a s jeho pomocí aplikace přeloží dokument do formátu, který dokáže tiskárna interpretovat, a předá se službě pro místní zařazení tisku a to předá tiskárně - dojde k zařazení do tiskové fronty. Pokud je tiskárna fyzicky připojena k počítači, na němž požadavek tisku vznikl, načítá se ovladač z fyzického disku. Pokud je umístěna na vzdáleném počítači stáhne se ze vzdáleného PC. Používáte-li tiskový server, data budou směrována službě na serveru, v případě Windows Server 2008 WinSpool.drv Ovladač je nainstalován pouze na serveru. Tisk je sledován pomocí Tiskové fronty Instalaci i správu tisku mohou ovlivňovat zásady nastavené v GPO (viz materiál věnovaný instalaci a konfiguraci Windows Server 2008 ).
Sítě v prostředí OS Windows 23 1.8 Instalace tiskového serveru V prostředí Správa Serveru přidáte roli Tiskové služby a z možných využívaných služeb si vyberete: Tiskový server- nainstaluje konzolu Správa tisku (lze použít ke správě i několika tiskáren, případně přesměrování na jiný tiskový server LDP použijete jen, chcete-li zpřístupnit tisk stanicím se systémem UNIX Tisk přes Internet umožňuje tisknout na sdílených tiskárnám prostřednictvím protokolu IPP(Internet printing protokol). Výchozí adresou je http://názevserveru/printers Pozn. Chcete-li instalovat tisk přes internet, musíte mít nainstalován webový server (IIS) Získáte přehled všech připojených tiskáren včetně potřebných ovladačů, sledování tisku z jednotlivých portů a předdefinovaných formulářů pro tisk. Pomocí zobrazené nabídky můžete přidat tiskárnu, analogicky i ovladač.
24 Sítě v prostředí OS Windows 1.9 Virtuální Privátní síť Zkratka VPN vytvořená z názvu Virtual Private Network, umožní připojit vzdálené uživatele nebo firemní pobočky do síťové organizace prostřednictvím veřejných telekomunikačních služeb. Zjednodušeně - klient požádá server o vytvoření tunelu. Když server ověří jméno a heslo uživatele, klient i server vytvoří nová síťová rozhraní, která jsou spojena tunelem, který je šifrovaný a přes který jdou veškerá data. Servery po cestě tak vidí komunikaci mezi klientem a serverem šifrovaně a nejsou schopny ji přečíst. Cílový server potom data rozšifruje a pošle dál do internetu. Z venku to vypadá, že klient má počítač připojený přímo k serveru. Proč VPN? K vytvoření zabezpečené sítě pro větší vzdálenosti můžete využít pronajaté linky, což je ekonomicky nevýhodné a nesplňuje potřeby manažerů, kteří se potřebují připojovat do firemní sítě z různých místní. Vytvořením VPN prostřednictvím sítě internet podstatně snížilo náklady, umožnilo mobilitu připojení a bezpečnost je řešena vytvořením tunelu s šifrovaným přenosem dat; tunel spojuje dva body nebo jeden s několika body. VPN používá řadu protokolů a technologií, aplikuje autentizaci, sleduje neporušenost komunikace. Podle propojovaných celků lze rozlišit dva základní typy VPN: síť - síť - propojíme dvě nebo více sítí, používané u firem tvořených z několika jednotek ve vzdálených lokalitách. K propojení slouží speciální síťová zařízení (např. router, server), které plní úlohu VPN gateway a jsou schopny mezi sebou vytvořit VPN spojení. Přijímaná datové celky rozbalí a pošlou do sítě klasicky, odesílaná data zapouzdří do VPN tunelu. Na uživatelské stanici nemusí běžet klient VPN. Tento typ VPN používá protokol IPsec
Sítě v prostředí OS Windows 25 Remote Access- připojují se jednotliví klienti k firemní síti. Na klientské stanici musíme nainstalovat klienta VPN, v privátní síti použijeme opět speciální síťové prvky. Mezi používané protokoly patří SSL a IPsec VPN se rozlišují také podle použitého protokolu, který zajišťuje komunikaci ve VPN: IPsec VPN - Internet Protocol Security je asi nejrozšířenější forma VPN, je to součást IPv6 a hojně se používá v IPv4, často se kombinuje s L2TP (L2TP over IPsec), má problémy s NATem (řeší to NAT-T) SSL VPN - využívá zabezpečené přenosy Transport Layer Security (TLS) nebo Secure Sockets Layer (SSL), běží na portu 443 (HTTPS) a VPN. Pracuje na vyšší vrstvě, takže nemá problémy s NATem, Microsoft vytvořil Secure Socket Tunneling Protocol (SSTP), což je přenos PPP nebo L2TP přes SSL MPLS VPN - Multiprotocol Label Switching využívají hlavně ISP IPsec (Internet Protocol Security) - skupina protokolů k zabezpečení IP komunikace mezi dvěma uzly. pracuje na internetové vrstvě ověřování probíhá obousměrně dojde k vyjednání metod šifrování a k výměně klíčů u IPv6 je automaticky obsažen, u IPV4 nutno doplnit IPsec zahájí komunikaci tím, že se obě strany (ozn. peers ) navzájem identifikují (autentizují) a poté zašifrují přenášená data dohodnutým algoritmem. IPsec může pracovat ve dvou režimech: Tunnel mode zašifruje se celý paket (včetně hlavičky), doplní nová hlavička a pošle se dál; vhodný pro IPsec proxy server. Transport mode šifrují se jen data, IP hlavička se ponechá a přidá se IPsec hlavička. Používá jej např. L2TP/IPsec klient ve Windows.
26 Sítě v prostředí OS Windows IPsec používá tyto protokoly Authentication Header (AH) - ověří zdroj dat pomocí hashovací funkce (MD5 nebo SHA1) a dohodnou si společný klíč, v hlavičce jen uvedeno pořadové číslo paketu Encapsulating Security Payload (ESP) ověřuje zdrojové informace a zabezpečí je šifrováním (algoritmy DES či AES), používá protokol IP 50 Security Association (SA) - algoritmy, které zajistí bezpečnou komunikaci pomocí AH a ESP. Používají ISAKMP Framework (Internet Security Association a Key Management Protocol) a IKE (Internet Key Exchange), které vyjednají šifrovací algoritmus, dobu platnosti klíče, kompresi a metodu zapouzdření. Pro výměnu klíčů aplikují metodu Diffie- Hellman. IPsec VPN komunikace běží obvykle takto : 1. pomocí IKE se na UDP portu 500 vyjedná SA a používá certifikáty (klienta a serveru) nebo PSK (Pre-Shared Key) 2. z parametrů SA se naváže na IP 50 šifrovaná komunikace pomocí ESP IKE pracuje ve dvou krocích: 1. účastníci se ověří, vyjednají IKE SA a tak se vytvoří bezpečný kanál pro vyjednání IPsec SA v druhém kroku. Pracuje v režimu, kdy chrání identitu komunikujících stran tzv. main mode, nebo aggressive mode 2. IPsec SA dohodne parametry komunikace a nastaví šifrovací algoritmus, používá režim quick mode Pokud je IKE rozšířen o protokol XAUTH (Extended User Authentication), můžeme autentizovat uživatele vůči RADIUS serveru. Konfigurace VPN, je-li server VPN za NATem NAT-T (Network Address Translation Traversal) IPsec chrání posílané pakety hashem, aby nemohlo dojít ke změně obsahu. Pokud je v cestě NAT, upraví se IP hlavička, takže hash nesouhlasí a paket je zahozen. Pro vyřešení tohoto problému byl využit NAT-T. Přijatý paket se zapouzdří do UDP a doplní o novou UDP hlavičku a ta může být cestou modifikována. Na druhé straně se hlavička odstraní a příchozí paket je beze změn. IKE může během vyjednávání domluvit UDP zapouzdření. Komunikace běží na UDP portu 4500 a je označena jako IPsec over UDP nebo IPsec over NAT-T.
Sítě v prostředí OS Windows 27 Layer 2 Tunneling Protocol (L2TP) - tunelovací protokol pro podporu VPN. Neprovádí žádné šifrování, pouze vytváří tunel. Komunikuje na UDP portu 1701. Kombinuje se s IPsec, který zajišťujte důvěrnost (šifrování) a autentizaci. Komunikaci označujeme jako L2TP/IPsec. Proces navazování spojení probíhá ve třech krocích: pomocí IKE se na UDP portu 500 vyjedná SA, používá certifikáty (klienta a serveru) nebo PSK z parametrů SA se naváže na IP 50 šifrovaná komunikace pomocí ESP v transportním módu vyjedná se a naváže L2TP tunel mezi koncovými body, komunikace probíhá přes UDP 1701, ale to je zabalené v IPsec, takže v paketu jde o IP 50 Split Tunneling VPN zpracuje jen firemní rozsah adres, zbytek jde přímo do internetu (většinou je veškerá komunikace směrovaná do VPN tunelu). VPN client (pro Windows 7) IPsec VPN klient je zabudován do většiny klientů Microsoft. Standardním klientem je L2TP/IPsec. Pro zabezpečení je podporováno ESP s šifrováním DES a 3DES, integritou MD5 nebo SHA.. Není zde problém s využitím EAP smartcard, tedy autentizace uživatelským certifikátem. Podporuje i NAT- T se musí u klienta povolit v registrech. V příkazovém řádku spusť příkaz : regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameter s\"negotiatedh2048"=dword:1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\"Assu meudpencapsulationcontextonsendrule"=dword:2
28 Sítě v prostředí OS Windows 1.10 Instalace VPN na Windows Serveru 2008 Samotná instalace VPN Server na Windows Server 2008 je celkem jednoduchá. Ukažme si jednotlivé kroky s využitím prostředí Server Manager. 1. Otevřeme Server Manager a tlačítkem Add Roles zobrazíme přehled rolí serveru 2. Vybereme Network Policy and Access Services
Sítě v prostředí OS Windows 29 3. Ve vybrané roli zaškrtněte služby Remote Access Services a Routing a potvrďte instalaci 4. Aktivujte průvodce pro konfiguraci Routing a Remote Access
30 Sítě v prostředí OS Windows 5. Ze zobrazených typů instalací vyberte Custom Configuration pokud máte na serveru jednu síťovou kartu 6. Vyberte VPN access
Sítě v prostředí OS Windows 31 8. Průvodce ukončete postupně tlačítky Finish a Start service. Služba VPN je připravena
32 Sítě v prostředí OS Windows 9. Na záložce Dial in povolte přístup uživatelů v oddíle Network Access Permission. 10. Otevřeme příslušné porty ve Firewallu pro PPTP: 1723 TCP 47 GRE pro L2TP/ IPSEC: 1701 TCP 500 UDP (pro NAT-T 4500 UDP) pro SSTP: 443 TCP Pokud nemáte v síti DHCP server, ručně nastavte rozsah lokálních adres - statických adres pool. 1. Klikni pravým tlačítkem na Routing and Remote Access a vybereme Properties
Sítě v prostředí OS Windows 33 2. Vyberte záložku IPv4 and zaškrtnete Static address pool a přidáte rozsah statických adres 3. Na síťovou kartu serveru přidáte druhou IP adresu, která patří do zvoleného rozsahu.
34 Sítě v prostředí OS Windows VPN - se serverem za NATem Přenos L2TP/IP transport Mode s NAT-T (doplním text) Rámec před aplikací L2TP encapsulation Rámec po aplikací L2TP encapsulation Rámec po aplikacíesp/udp encapsulation IPSec Tunel s NAT-T Rámec před aplikacíesp/udp encapsulation Rámec po aplikacíesp/udp encapsulation Cvičení 2 Na virtuálním serveru Windows Server 2008 nainstalujte služby DHCP a VPN, nakonfigurujte klienty a vyzkoušejte úspěšnost komunikace.
Sítě v prostředí OS Linux 35 2. JAK SPRAVOVAT PŘIPOJENÍ K SÍTI V PROSTŘEDÍ OS LINUX FEDORA Pro správu OS můžete používat grafické prostředí nebo příkazovou řádku. Začneme grafickým rozhraním; zde existují pro správu sítě dva nástroje 1. Network - služba používaná k vložení statické adresy nebo dynamického přidělení adresy Takto nastavená konfigurace síťového rozhraní je aktivní ihned po startu systému. 2. Network Connections je služba poskytující přehled všech typů připojení k síti a umožňující jejich konfiguraci. Je vhodná především pro zařízení, která často mění typ připojení. Takto nastavené síťové připojení se aktivuje v okamžiku přihlášení uživatele na základě jeho voleb a nastavení. Nedoporučuje se používat současně obě služby, protože jejich nastavení mohou způsobit kolizi. Defaultně je ve Fedoře aktivní služba Network Connections a služba Network vypnutá. 2.1 Nastavení síťového připojení v grafickém rozhraní Služba Network (síť) Grafické rozhraní pro správu síťového připojení zobrazíme pomocí Activities Applications Systém Tools Systém Settings Network. Tato nabídka vyvolá okno pro Nastavení síťových připojení. Zpět na Systém Settings Zap/Vyp síť. Editace síť. rozhraní
36 Sítě v prostředí OS Linux Výběr metody přidělení IP adresy Aktivace vložení konfigurace IP Mazání konfigurace IP Konfigurace směrování Služba Network Connections Grafické rozhraní pro správu síťového připojení zobrazíme pomocí Activities Applications Others Network Connections. Tato nabídka vyvolá okno pro Nastavení síťových připojení. Záložky pro konfiguraci jednotlivých typů síťového připojení
Sítě v prostředí OS Linux 37 2.2 Nastavení síťového připojení v textovém rozhraní Ovládání operačního systému v textovém rozhraní je sice náročnější, protože si musíme osvojit potřebné příkazy. Pokud už je však umíme, je správa v tomto prostředí rychlejší a přehlednější. Nevyžaduje neustálé přepínání mezi okny a je téměř stejné v jednotlivých distribucích. Správce operačního systému, který se setkává s nastavováním IP adres často, určitě zvolí textový režim. Po nastartování operačního systému si otestujeme funkčnost použitím ping Do terminálového řádku napište: ping << IP adresa>> Pokud jste získali reakci jako na výpisu, je vaše síťová karta funkční. IP adresu volíte podle nastavení sítě, ke které jsme připojeni Pokud odpověď nebude pozitivní, viz následující výpis, je vaše síťová karta nejspíš chybně nakonfigurována. Vypište si konfiguraci síťových rozhraní : ifconfig (bez parametrů) Získáte výpis o konfiguraci všech síťových adapterů a localhosta (loopback) ; je to obdoba řádkového příkazu ipconfig v prostředí MS Windows.
38 Sítě v prostředí OS Linux V níže uvedeném výpisu vidíte výpis síťového rozhraní eth0 a loopback. Můžete si případně vypsat konfiguraci vybraného rozhraní ifconfig eth0 Výpis všech rozhraní: Výpis vybraného rozhraní: Nastavení IP statické adresy Pro manuální nastavení IP adresy použijete opět příkaz ifconfig. Struktura příkazu vypadá takto: If config eth0 <ip_adresa> netmask <síťová maska> Příklad pro nastavení IP adresy 192.168.146.135 s maskou 255.255.255.0 : Ifconfig eth0 192.168.146.135 netmask 255.255.255.0 Zkontrolujte výpisem ifconfig.
Sítě v prostředí OS Linux 39 Pozor! Pokud jste spustili síťové rozhraní s využitím služby DHCP a chcete zaměnit přidělenou adresu za statickou, pak postupujte takto: Deaktivujte síťové rozhraní Uvolněte přidělenou IP adresu Síťové kartě přidělíme IP Aktivujeme síťové rozhraní ifconfig eth0 down dhcpd d k eth0 ifconfig eth0 192.168.146.133 netmask 255.255.255.0 ifconfig eth0 up Pozor! Pokud používáme službu Network místo Network Connection, používáme pro aktivaci a deaktivaci síťového rozhraní příkazy: ifstart eth0 ifdown eth0 Aktivace automatického nastavení síťových adapterů Nastavení najdete v textových souborech ifcfg-eth0 a ifcfg-lo umístěných v adresáři /etc/sysconfig/network-scripts/ V případě statické IP: DEVICE = eth0 ONBOOT =yes BOOTPROTO = static IPADDR = 192.168.146.135 NETMASK = 255.255.255.0 GATEWAY = 192.168.146.1 Soubor jsou textové, takže je můžete sami upravit.
40 Sítě v prostředí OS Linux 2.3 Nastavení statického směrování v prostředí Linuxu a) Směrování packetů do své vlastní sítě route add net <ip adresa> netmask <síťová maska> dev eth0 např. směrování pro PC s IP adresou eth0 192.168.146.135 / 24 připojeného do sítě třídy C route add net 192.168.146.135 netmask 255.255.255.0 dev eth0 b) Vyhledání brány do jiné sítě (směrovače) route add default gw <ip adresa směrovače> např. vyhledání brány s IP adresou 192.168.146.135 route add default gw 192.168.146.1 Vytvoření názvu počítače a) V příkazové řádce stačí příkaz hostname skolni.cz ALE!!! Po restartu se vytvořené jméno vymaže b) Trvalé nastavení jména vznikne vložením záznamu do souborů /etc/hosts /etc/sysconfig/network Pozn. Skutečné názvy podřídíme tomu, zda je počítač přiřazen do domény s daným jménem (např. localhost.localdomain) 2.4 Přiřazení serverů DNS Konfigurace protokolu TP/IP je vždy doplněno o nastavení DNS serverů minimálně pro komunikaci na internetu. Jak tedy přiřadit DNS server?
Sítě v prostředí OS Linux 41 Do souboru /etc/resolv.conf přidejte řádek s IP adresou DNS serveru, který se má používat. nameserver <ip adresa DNS serveru> například: Cvičení 3 Shrnutí aktivace síťových adapterů a nastavení základních parametrů: Otestovat funkčnost síťových adapterů ifconfig, vytvoření souboru /etc/sysconfig/networking-scripts/ifcfg-eth0 Vytvořit název počítače v /etc/sysconfig/network Přiřadit DNS servery v souboru /etc/resolv.conf Zapamatujte si pojmy a příkazy: /etc/resolv.conf /etc/hosts /etc/sysconfig/network ifconfig ifstart ifdown
42 Sítě v prostředí OS Linux 2.5 Služba DHCP Pro správu síťových připojení je klíčovou službou, která podstatným způsobem zjednodušuje a optimalizuje adresaci v síti. Dynamické přidělování IP adres je velkou výhodou, problémem by mohla být přesná identifikace klienta v síti při překladu adres pomocí DNS. U malých sítí se tento problém řeší tak, že servery, které poskytují služby a jejich jména jsou překládána pomocí DNS, adresujeme staticky a dynamické přidělování je používáno zejména pro klienty, kteří služby nenabízejí. Ve větších sítích se tento problém řeší pomocí dynamické DNS (DDNS), která představuje jakousi koordinaci mezi DHCP a DNS. DHCP server může plnit celou řadu úloh; nepřiděluje jen IPadresu, ale může nastavit i celou řadu dalších parametrů masku sítě, Gateway, adresy DNS serverů. Může klientům upravit MAC adresu, time, aktivovat či deaktivovat směrování a pro bezdiskové stanice nastavit cestu k bootovacímu souboru. V případě potřeby je možno pomocí DHCP přiřadit určitým klientům IP adresu staticky Teorie služby DHCP je začleněna do jiného vzdělávacího materiálu. Jen pro opakování služba běží na portech 67 (na serveru) a 68 (klient) a komunikace mezi serverem a klientem je z velké většiny realizována všesměrovým vysíláním (broadcastem). Takovéto packety jsou při přechodu do jiné sítě směrovačem zahozeny. Takže chceme-li zabezpečit komunikaci s DHCP serverem také pro klienty z jiné sítě, je nutné nainstalovat kromě serveru, klienta také agenta pro přesměrování broadcastového požadavku na konkrétní IP adresu (relay agent). Nyní přejděme přímo k instalaci služby DHCP a k její konfiguraci. Instalace služby DHCP Služba, jako každá aplikace v Linuxu, se instaluje z tzv. RPM balíčků. Pro zjednodušení použijme nástroj yum pro správu, který se spustí z příkazové řádky a dokáže požadovaný balíček vyhledat, rozbalit a nainstalovat. Takže stačí napsat: yum install DHCP*
Sítě v prostředí OS Linux 43 Pozor: Pokud si nejsme jisti nastavením síťového rozhraní, zkontrolujeme si před samotnou instalací směrovací tabulku, a případně doplníme pravidlo, které zajistí správné směrování globálního broadcastu 255.255.255.255. Přesměrování na síťovou kartu eth0, zajistíme příkazem: [alena@localhost]# route add -host 255.255.255.255 dev eth0 Po ukončení instalace serveru DHCP máme k dispozici základní soubory, bez nichž server nemůže běžet: dhcpd samotný program dhcpd.conf konfigurační soubor dhcpd.leases databázový soubor Další soubory pro konfiguraci: Skripty /etc/sysconfig/network-scripts Dhclient.conf /etc/dhcp/ nastavení klienta dhcrelay /etc/sysconfig/ nastavení agenta omshell /usr/bin/ spouštěcí soubor dhcpd.leases /var/lib/dhcpd/ manuálové stránky Konfigurace DHCP Po instalaci DHCP serveru je nutné nastavit základní parametry pro DHCP server rozsah přidělovaných adres defaultní směrovač (bránu) DNS server případně další parametry (dobu zápůjčky, využití dynamického DDNS, apod.) Konfiguraci zapíšeme do souboru dhcpd.conf option domain-name "skolni.cz"; název domény option domain-name-server 192.168.146.132; adresa doménového serveru default-lease-time 604800; defaultní doba zápůjčky IP adresy (s) max-lease-time 604800; maximální doba zápůjčky IP adresy (s) # nepoužijeme dynamické DNS updates: ddns-update-style none; ddns-updates off; # DHCP server je oficiálním DHCP serverem pro lokální síť
44 Sítě v prostředí OS Linux authoritative; # Využití posílání logovacích informací do syslog.conf log-facility local7; # popis sítě pro DHCP server subnet 192.168.146.0 netmask 255.255.255.0 { range 192.168.146.140 192.168.146.170; option subnet mask 255.255.255.0; option broadcast-address 192.168.146.255; option routers 192.168.146.1; } #rezervace IP adresy dle MAC adresy host mujpoc { hardware ethernet 00:0c:29:93:f3:78; fixed address 192.168.146.141; } Z uvedeného dhcpd.conf vyčteme, že náš DHCP server přiřazuje IP adresy ze sítě 192.168.146.0/24 v rozsahu od 192.168.146.140 do 192.168.146.170, adresa brány je 192.168.146.1 a DNS server 192.168.146.132. Pro MAC adresu 00:0c:29:93:f3:78 je rezervována IP adresa 192.168.146.141 Server nevyužívá dynamické DNS a nabízená i maximální doba zápůjčky je 7 dní (604800 s) Spuštění DHCP serveru Při spouštění nainstalovaného serveru DHCP je důležité nastavení parametrů při spuštění klienta dhcpd nastavení konfigurace v souboru dhcpd.conf použití souboru omshell dhcpd [-p port] [-f] [-d] [-q] [-t -T] [-cf soubor] [-lf soubor] [-tf soubor] [-play soubor] seznam rozhraní Význam přepínačů: -p určuje alternativní port -f spouští server na popředí -d posílá chybové hlášení na stderr místo implicitního syslogu -q nevypíše startovací hlášku -t otestuje syntaxi konfiguračního souboru -T otestuje databázový soubor -cf alternativní konfigurační soubor -lf alternativní databázový soubor -tf,-play napomáhají při nalézání chyb vytvořením souboru s chybovým výstupem
Sítě v prostředí OS Linux 45 seznam rozhraní na kterých rozhraních má dhcpd naslouchat jako služba; ze kterých mohou přicházet požadavky na přidělení adres, máme-li více síťovek a na každé jinou podsíť, musíme to DHCP serveru říct. Pro zjednodušení startování služeb, tedy i DHCP, jsou v instalovaném serveru připravené skripty umístěné v /etc/rc.d/init.d Chceme-li zajistit automatické spouštění DHCP služby, vytvoříme odkaz pomocí příkazu ln s /etc/rc.d/init.d/dhcpd /etc/rc.d/rc3.d/$65dhcpd Pro ruční nastartování můžete použít příkaz service dhcpd start Pro ruční zastavení služby použijte meta příkaz service dhcpd stop Pro ruční zastavení a následné spuštění služby použijte meta příkaz service dhcpd restart Vyzkoušejte se: Nakonfigurujte DHCP službu podle následujících parametrů. x zjistěte z konfigurace síťového adaptéru VMnet8 ve vašem PC Server DNS IP 192.168.x,3 /24 doména firma.cz Síť Server DHCP Přiděluje IP adresy ze sítě 192.168.x.0/24 Rozsah adres 192.168.x.10 192.168.x.50 Pro PC s MAC 00:A5:14:78:G4:10 rezervujeme adr. 192.168.x.20 Doba zápůjčky: nabízená 3 dny, maximální 5 dní 3PC, 1 server, 1 router (fa0/0 192.168.x.1)
46 Sítě v prostředí OS Linux 2.6 Linuxový server jako směrovač Aby linuxový server mohl plnit i úlohu směrovače, musí mít více síťových rozhraní, ať už fyzických či virtuálních (viz kapitola o použití VLAN v Linuxu). Zaměříme se na fyzická rozhraní. Vypneme PC a vložíme další síťovou kartu. Po nastartování operačního systému si příkazem ifconfig ověříme, že nová karta je funkční: Následující výstup ukazuje, že karta byla detekována a byla nastavena z DHCP, jako karta z téže sítě. Pokud chcete přiřadit kartu eth1 do jiné sítě, vypnete ji, nakonfigurujete ji a zapnete ručně
Sítě v prostředí OS Linux 47 Po zvolení příkazu ifconfig získáte výpis: Nastavíte směrování sítí na jednotlivá rozhraní Route add net 192.168.146.0 netmask 255.255.255.0 dev eth0 Route add net 193.168.0.0 netmask 255.255.255.0 dev eth1 Pakety ze sítě 192.168.146.0 směrujeme na kartu eth0 a pakety ze sítě 193.168.0.0/24 směrujeme na kartu eth1 Výpis směrovací tabulky : route - n
48 Sítě v prostředí OS Linux Aby server aktivně prováděl směrování, je nutné upravit parametr ip_forward z 0 na 1 Cat /proc/sys/net/ipv4/ip_forward vypíšeme hodnotu parametru 0 vypsaná hodnota parametru echo > 1 /proc/sys/net/ipv4/ip_forward vložíme 1 do parametru ip_forward Cat /proc/sys/net/ipv4/ip_forward pro kontrolu vypíšeme hodnotu par. 1 vypsaná hodnota parametru Případně upravíte hodnotu parametru ručně v souboru /etc/sysct1.conf (výpis s využitím vestavěného programu MightCommander)
Sítě v prostředí OS Linux 49 2.7 Filtrování paketů na linuxovém směrovači FIREWALL Pokud má linuxový server alespoň dvě aktivní síťová rozhraní připojená k různým sítím a plní funkci směrovače, je žádoucí nastavit pravidla pro průchod paketů a tím řídit provoz, který na tomto směrovači probíhá. Vhodnou kombinací pravidel se také můžeme bránit proti útokům na síť zvenčí, tedy linuxový server pak plní také roli firewallu; zejména tehdy, běží-li na tomto serveru služby, ke kterým chceme přistupovat prostřednictvím sítě Internet. IP paket obsahuje kromě přenášených dat také zdrojovou a cílovou IP adresu, zdrojový a cílový port, informace využitelné zejména pro směrování a k aktivaci programů, jimž jsou data určena. Firewall rozhoduje o příchozím paketu; zda má být přijat či zahozen, zda jej má předat ke zpracování vlastnímu serveru či aplikaci nebo zda jej má předat dalším zařízením (tedy přesměrovat). Rozhoduje se na základě pravidel (chainů), kterými paket prochází. Tato pravidla jsou v prostředí OS Linux uložena v IPtable Schéma pro průchod IP table vstup Směrovat? ANO FORWARDING NE Určeno serveru? ANO INPUT NE OUTPUT výstup Pravidla v IPtable jsou zařazována do oddílů INPUT, OUTPUT, FORWARDING, jejichž význam je patrný ze schématu, případně PREROUTING a POSTROUTING související s překladem adres. Příklad: Vložíme pravidlo do oddílu INPUT iptables -A INPUT pravidlo
50 Sítě v prostředí OS Linux Příklady: vyhovuje paket přijatý přes rozhraní eth1 z adresy 192.168.146.20 pro jakéhokoli příjemce s TCP portem 80 iptables -A INPUT -p TCP -i eth1 -s 192.168.146.20 --dport 80 do oddílu OUTPUT vložíme pravidlo zahoď paket, který přijde z adresy 193.168.0.1 TCP port 3000 na adresu 193.168.0.2 TCP port 25 iptables -A OUTPUT -i eth1 -p TCP -s 193.168.0.1 --sport 3000 --d 192.168.0.2 --dport 25 -j DROP Význam jednotlivých přepínačů -A add přidej -i interface -p protokol -s source-zdroj --d destination-cíl --sport zdroj. port --dport cíl.port -j co s paketem drop accept reject log zahodit přijmout zahodit a odesílateli poslat zprávu pomocí chybového ICMP hlavičku paketu vložím do systémového logu Pokud chybí část s přepínačem j bere se automaticky ACCCEPT zahoď všechno (do všech oddílů drop) iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP pro zjednodušení pravidel vytvoříme jména (alias) zpřístupnění služeb (www, email, dns) iptables -N tcp_datagramy iptables -A INPUT -p TCP -i eth0 -j tcp_datagramy iptables -A tcp_datagramy -p TCP --dport 80 -j ACCEPT iptables -A tcp_datagramy -p TCP --dport 25 -j ACCEPT iptables -N udp_paket iptables -A INPUT -p UDP -i eth0 -j udp_paket iptables -A udp_paket -p UDP --dport 53 -j ACCEPT Nezapomeňte na pravidla pro tzv. servisní pakety Servisní pakety ICMP - používají se k přenosu chybových a diagnostických sdělení. Podle druhu přenášené zprávy existují různé typy. Je potřebné povolit typ 0 Echo reply, 8 Echo request a 11 Time exceeded, aby fungovaly často využívané programy ping a traceroute. Dále je nutné akceptovat ICMP typu 3 destination unreachable, (viz REJECT) Ostatní ICMP zprávy můžete bez problému zahazovat.
Sítě v prostředí OS Linux 51 iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT pro směrování nastavíme neomezený výstup z vniřní sítě a do sítě pustíme packety z již vytvořené relace (takže jen odpověď na žádost z vnitřní sítě) iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state \ ESTABLISHED,RELATED -j ACCEPT budeme sledovat zamítnutý provoz, abychom mohli evidovat případné útoky a diagnostikovat vzniklé problémy iptables -A INPUT -j LOG Pozn. Oddíl OUTPUT nepředstavuje zvláštní riziko, protože tudy procházejí pakety, které vzniky v programech na našem serveru 2.8 Překlad IP adres v Linuxu IP Masquarade Kromě filtrování paketu může být součástí firewallu pravidla pro nahrazování adres v paketech, a to jak zdrojových - SNAT(Source NAT), tak cílových DNAT (Destination NAT). SNAT používáme většinou tehdy, pokud máme jednu veřejnou adresu a chceme připojit do internetu větší počet počítačů sítě s nesměrovatelnými adresami. (v oddíle POSTROUTING). Parametr t nat znamená, že pravidlo bude zapsáno do NAT tabulky. iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 193.168.0.2 varianta téhož pravidla (místo konkrétní adresy uvedeme název síťového rozhraní,což je výhodné zejména tehdy, je-li IP adresa získána z DHCP). iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE pokud máme více veřejných adres, můžeme pravidlo SNAT upravit takto: iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 193.168.0.2-192.168.0.20
52 DNAT použijeme tehdy, když chceme např. zajistit přístup k webovému serveru umístěnému v lokální síti s nesměrovatelnými adresami. Předpokládejme, že jsme k vnější síti připojeni síťovým rozhraním eth1. iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 \ -j DNAT --to 192.168.146.133:80 V jakémkoli paketu s TCP portem 80, který přijde na eth1, bude cílová adresa nahrazena 192.168.146.33 Nebo jinak : se stejným účinkem (-j REDIRECT zajistí přesměrování na daný port bez znalosti přesné IP) iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j REDIRECT -- to-port 3128 Záznamy z NAT tabulky je nutné doplnit pravidly v iptable, aby byl zajištěn průchod paketů oběma směry: iptables -A FORWARD -i eth1 -p tcp -d 192.168.0.2 --dport 80 \ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state \ --state ESTABLISHED,RELATED -k ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT Vhodně volená pravidla v NAT tabulce mohou zabezpečit ochranu proti IP spoofingu (nesmyslným IP adresám)- např. iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP Stavový firewall Je součástí jádra řady 2.4 q přináší novou koncepci sledování toku dat. Nebere z datagramů jen údaje ze záhlaví, ale je schopen rozlišit od sebe datagramy, které zahajují novou relaci či které přenáší data v již navázané relaci Tato skutečnost poskytla nové možnosti ve filtrování datových toků. U sledovaného datagramu (a to nejen TCP segment, ale i UDP paket) rozlišíme jeden z následujících stavů: NEW otevírá novou relaci ESTABLISHED, RELATED patří k již navázanému spojení INVALID nebylo nalezeno žádné spojení, k němuž by patřil
Sítě v prostředí OS Linux 53 Ze zjištěného stavu se dají pakety třídit. Umožní nastavit firewall tak, aby ven z lokální sítě mohly procházet všechny pakety a dovnitř jen ty, které patří již k navázanému spojení; jinak řečeno zvenku se nedá navázat nové spojení. např. iptables -P FORWARD DROP iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED \ -j ACCEPT iptables -A FORWARD -i eth1 -j ACCEPT 2.9 Směrování mezi sítěmi Z předchozího textu umíte přiřadit jednotlivým rozhraním IP adresy přiřadit sítě k jednotlivým rozhraním. Nastavit pravidla pro průchod paketů. Nyní naučíte server směrovat packety s využitím směrovacího software ipchains ; do příkazové řádky napíšete následující příkazy Modprobe ipchains Ipchains P forward DENY Ipchains A forward j MASQ Echo > 1 /proc/sys/net/ipv4/ip_forward Ipchains nástroj pro vytvoření pravidel, která určují, co se má udělat P nastaví standardní politiku směrování, když jádro nenajde žádné vyhovující pravidlo, paket zahodí A nastaví pravidlo, které říká, že při předávání se pakety MASKUJÍ za vnější lokální adresu (nahradí se původní zdrojová adresa) SNAT Poslední příkaz aktivuje směrování viz odstavec o nastavení směrování do jiných sítí. Abychom při každém spuštění nemuseli tyto příkazy opakovat, vytvoříte v adresáři /etc/rc.d soubor rc.firewall nastavíte oprávnění, aby byl spustitelným souborem (stane se skriptem) chmod 700 /etc/rc.d/rc.firewall do souboru rc. firewall vložíte příkazy pro nastavení směrování a překlad do souboru rc.local vložíme odkaz pro spuštění skriptu a uložíme ln /etc/rc.d/rc.firewall server restartujeme a směrování je nastaveno
54 Pozn. Pokud potřebujete řešit překlady spojené s některými službami, musíte zavést do paměti příslušné moduly. Následující skript řeší překlady spojené se službami FTP, DHCP a s defragmentací paketů: depmod-a modprobe ip_maq_ftp modprobe ip_masq_raudio echo 1 >/proc/sys/net/ipv4/ip_forward echo 1 >/proc/sys/net/ipv4/ip_dynaddr echo 1 >/proc/sys/net/ipv4/ip_ip_always_defrag ipchains P forward DENY ipchains A forward s 192.168.146.0/24 j MASQ