Evaluierung der Layer-7-Inspection M - PowerPoint PPT Presentation

Loading...

PPT – Evaluierung der Layer-7-Inspection M PowerPoint presentation | free to download - id: 772c46-ODBmY



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

Evaluierung der Layer-7-Inspection M

Description:

Evaluierung der Layer-7-Inspection M glichkeiten von IPtables Christoph Singer * – PowerPoint PPT presentation

Number of Views:11
Avg rating:3.0/5.0
Slides: 17
Provided by: Dr231231
Learn more at: http://www.rrze.fau.de
Category:

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: Evaluierung der Layer-7-Inspection M


1
Evaluierung der Layer-7-Inspection Möglichkeiten
von IPtables
  • Christoph Singer
  • 9. Mai 2016

2
Agenda
  • Problemstellung
  • Problemlösung
  • Durchführung
  • Fazit
  • Ausblick
  • Quellen

3
Problemstellung
  • Paketfilter regeln den Datenverkehr auf Grund der
    Headerinformationen
  • Wird ein Paket an einen anderen als den üblich
    dafür vorgesehenen Port geschickt (z.B. HTTP
    Port 80), kann der Paketfilter nicht darauf
    reagieren.
  • Ziel war es eine kostengünstige Alternative zu
    den teuren Hardwarekomponenten zu finden, die die
    Datenpakete unabhängig der Headerinformationen
    filtern können.

4
Problemlösung
  • IPtables
  • Basiert auf Linux
  • Software ist Open-Source
  • Niedrige Hardware-Anforderungen
  • L7-Patch

5
Verwendete Komponenten
  • Verwendete Hardware
  • Handelsüblicher Desktop-PC
  • Pentium 4 Prozessor mit 2,4 GHz
  • 512 MB Ram
  • 20 GB Festplattenspeicher
  • Netzwerkkarte
  • Verwendete Software
  • Automatisch installiertes SuSE Linux 10.1 mit
    Kernel in der Version 2.6.16
  • IPtables Version 1.3.5 mit L7-Patch
  • Apache-Web-Server Version 2.2.0
  • FTP-Server (atftp)

6
Kompilieren des Linux-Kernel
  • Herunterladen des Linux-Kernel in der Version
    2.6.17
  • Anwenden des L7-Patch an dem Kernel damit
    IPtables die Anwendungsschicht untersuchen kann.
  • Konfigurieren des Kernel
  • Einbinden der Kernel-Module
  • Kompilieren des Kernel

7
Einbinden des Linux-Kernel
  • Kompiliertes Image in das Bootverzeichnis
    kopieren
  • Erstellen einer RAM-Disk, damit die Module beim
    Bootvorgang geladen werden können.
  • Konfiguration des Bootloaders

8
Installation der benötigten Software
  • Installation des Web-Server Apache und des
    FTP-Server atftp über YaST
  • Herunterladen der IPtables-Sources
  • L7-Patch auf IPtables anwenden
  • IPtables kompilieren und installieren
  • Protokoll-Definitionen installieren

9
Protokoll-Definitionen
  • http
  • Status-Line HTTP-Version SP Status-Code SP
    Reason-Phrase CRLF (rfc 2616)
  • As specified in rfc 2616 a status code is
  • preceeded and followed by a
  • space.
  • http/(0\.91\.01\.1) 1-50-90-9 \x09-\x0d
    -(connectioncontent-typecontent-lengthdat
    e)post \x09-\x0d - http/01\.019

10
Konfiguration von IPtables (1)
11
Konfiguration von IPtables (2)
  • Filtern von allen HTTP- und FTP-Paketen
  • iptables -t mangle -A PREROUTING -m layer7 ?
  • --l7proto http -j DROP
  • iptables -t mangle -A POSTROUTING -m layer7 ?
  • --l7proto http -j DROP
  • iptables -t mangle -A PREROUTING -m layer7 ?
    --l7proto ftp -j DROP
  • iptables -t mangle -A POSTROUTING -m layer7 ?
    --l7proto ftp -j DROP

12
Konfiguration von IPtables (3)
13
Konfiguration von IPtables (4)
  • Logging aktivieren
  • iptables -t mangle -I PREROUTING -m layer7 ?
    --l7proto ftp -j LOG --log-level warning ?
    --log-prefix PREROUTING-FTP
  • iptables -t mangle -I POSTROUTING -m layer7 ?
    --l7proto ftp -j LOG --log-level warning ?
    --log-prefix POSTROUTING-FTP

14
Durchführen von Tests
  • Aufbau der Teststellung

15
Fazit
  • IPtables mit eingespieltem L7-Patch bietet eine
    Alternative zu kommerziellen Produkten
  • Relativ kurze Einarbeitungszeit aufgrund logisch
    aufgebauter Befehlssyntax

16
Ausblick
  • L7-Patch in Verbindung mit Quality of Service
  • den Paketen werden, je nach Protokollart eine
    Art, Gruppennummer zugewiesen
  • QoS entscheidet anhand der Gruppennummer welche
    Übertragungsgeschwindigkeit dem Paket zur
    Verfügung gestellt wird
  • Beispiel
  • Allen HTTP-Paketen die Gruppennummer 10 zuweisen
  • Iptables t mangle -A PREROUTING m layer7 ?
    l7proto http j MARK --set-mark 10
  • Iptables -t mangle -A POSTROUTING m layer7 ?
    l7proto http j MARK --set-mark 10

17
Quellen / Kontakt
  • Quellen
  • Linux-Magazin Februar 2006
  • http//l7-filter.sourceforge.net/HOWTO
  • Kontakt
  • christoph.singer_at_rrze.uni-erlangen.de

18
  • Vielen Dank für Ihre Aufmerksamkeit!
About PowerShow.com