신상우 신상우강사강사
Solaris10 기반의 IPFilter
신상우 신상우강사강사
목 차
1. IPFilter 소개 2. IPFilter 구성 3. IPFilter 실습
4. IPFilter 네트워크 보안 실습
신상우 신상우강사강사
발표자 소개
발표자 이름 : 신상우 활동사항
전 )유니트론시스템즈 시스템엔지니어 현 ) 프리첼 Sunsolve 커뮤니티 마스터 현 ) 솔라리스 시큐리티 테크넷 운영진
현 ) IT-Lec Consulting Group 책임컨설던트
현 ) 시스원,후지쯔,현대정보기술 등 강의
현 ) 동신 D&S 대표
신상우 신상우강사강사
1. IPFilter 소개
가. 가 . IPFilter IPFilter 란? 란 ?
a. Router
- 서로 다른 네트워크 연결
- 개방형이라 보호되지 않는 네트워크 연결시 보안문제 발생 - 데이터 유실,파괴등등
b. 방화벽
- 서로 다른 네트워크 연결
- 폐쇠형이라 서로 다른 네트워크 연결시 통신에 제약가능 - 보다 안전한 통신이 가능
c. IPFilter
- 방화벽 기능이 있는 프로그램임.
- 시스템/네트워크 보안 가능
- Solaris 10에 기본내장 (NAT, 부분적 IPv6지원)
신상우 신상우강사강사
1. IPFilter 소개
가. 가 . IPFilter IPFilter 란? 란 ?
d. IPFilter에서 네트워크 통신의 제약사항 방법
- Source IP Address, Destination IP Address - Source Port Address, Destication IP Address - Protocol의 타입- TCP - UDP -TCP/UDP - ICMP
- Echo Request - Echo Reply
- Router Advertisement - Router Solicitation
신상우 신상우강사강사
1. IPFilter 소개
나. 나 . IPFilter IPFilter 동작원리 동작원리
Internet
기업 Network
IP Datagram Solaris 10 [IPFilter]
IN
OUT
• Source IP Address
• Destication IP Address
• Any IP Address
• Network Address
• Port Address
• TCP, UDP, ICMP
• ICMP-TYPE BLOCK
PASS
NI C 1 pfil mo dul e
NIC2 pfil modul
e
IN
OUT
신상우 신상우강사강사
2. IPFilter 구성
가. 가 . IPFilter IPFilter 관련 관련 명령과 명령과 파일 파일
a. /etc/ipf Directory
- IPFilter의 Rule set 파일과 IPFilter 모듈을 어느 NIC에 적용시킬 것인지에 대한 관련파일이 있는 디렉토리 - pfil.ap : Packet Filter Module 적용할 NIC 설정파일 - ipf.conf : 네트워크 통신에 관련된 Rule 구성파일 - ipnat.conf : NAT 구성을 위한 구성파일
- ippool : 여러 네트워크에 이름을 부여 할때 사용하는 구성파일
b. /usr/share/ipfilter/example
- IPFilter의 예제 구성파일이 존재하는 디렉토리
c. svcs [SMF]
- Solaris 10에서 각각의 서비스에 대한 정보를 보기 위한 명령
d. svcadm [SMF]
- Solaris 10에서 각각의 Service를 구성하기 위한 명령
신상우 신상우강사강사
2. IPFilter 구성
가. 가 . IPFilter IPFilter 관련 관련 명령과 명령과 파일 파일
e. autopush command
- IPFilter의 Stream Module을 구성하기 위한 명령
f. ipf command
- IPFlter Rule을 구성하기 위한 명령
g. ipnat command
- IPFilter NAT의 Rule을 구성하기 위한 명령
h. ipfstat command
- 현재의 rules 구성정보와 통계정보를 보기 위한 명령
i. pmon command/daemon
- ipf.conf에 log 지시어를 사용하였다면 해당하는 log정보를 보기 위한 명령
신상우 신상우강사강사
2. IPFilter 구성
나. 나 . ipf.conf ipf.conf 파일의 파일의 Rules 구성 Rules 구성
a. 패킷과 대한 Rule과 비교방법
/etc/ipf/ipf.conf 파일에는 action, direction, creteria에 대한 것을 가지고 Rule을 구성하게 되어 있다.
Rule에 direction과 criteria를 비교한다.
Rule에 경합되는 패킷이고 'quick' 지시어을 포함하는 것이 있다면 해당하는 비교를 중단하고 해당한는 action을 취한다.
Rule 에 경합되는 것이 여러가지가 있다면 제일 마지막 것을 취한다.
경합되는 것이 없다면 패킷은 통과한다.
신상우 신상우강사강사
2. IPFilter 구성
나. 나 . ipf.conf ipf.conf 파일에서 파일에서 사용되는 사용되는 Keyword Keyword
a. Action Keyword
패킷을 통과
/폐기 할 것인지를 나타낸다.
ㄱ
. pass
- 패킷이 rule에 경합이 되면 통과시킨다.
ㄴ
. block
- 패킷이 rule에 경합이 되면 폐기한다.
신상우 신상우강사강사
2. IPFilter 구성
나. 나 . ipf.conf ipf.conf 파일에서 파일에서 사용되는 사용되는 Keyword Keyword
b. Direction keyword
패킷의 이동방향을 가리키는 지시어로서 기준은 IP Filter가 동작하는 시스템이 된다.
ㄱ
. in
- 네트워크로 부터 시스템으로 들어오는 패킷이 관계된 rule에 사용된다.
ㄴ
. out
- 시스템에서 네트워크로 나가는 패킷에 관계된 rule에 사용이 된다.
ㄷ. quick
- 기본적으로는 모든 rules를 검사하고 경합하는 마지막 rule를 적용하는 것으로 되어 있지만 quick keyword를 사용하면 rule에 경합하면 적용할 다른 rules가 존재한다 할지라도 검색을 중지하고 경합된 rule의 action을 취하게 된다
신상우 신상우강사강사
2. IPFilter 구성
나. 나 . ipf.conf ipf.conf 파일에서 파일에서 사용되는 사용되는 Keyword Keyword
ㄹ. all
- 들어오고 나가는 모든 패킷에 적용하기 위해 사용 예) block in all
ㅁ
. on
- 특정 NIC를 명시하기 위해 사용되는 지시어이다.
예) block in quick on hme1 all
신상우 신상우강사강사
2. IPFilter 구성
나. 나 . ipf.conf ipf.conf 파일에서 파일에서 사용되는 사용되는 Keyword Keyword
c. Creteria Keyword
ㄱ. from/to- 송신지/수신지 IP 주소를 나타낸다.
from 과 to 뒤에는 IP또는 네트워크 주소가 올 수 있고 모든 것을 나타내는 any keyword를 사용할 수 있다.
예) pass in from 192.168.3.0/24 to any ㄴ
. port
- 송신지/수신지 Port 주소를 나타낸다.
from 과 to 의 IP주소에 이어서 port keyword가 올 수 있다.
예) pass in quick from any to 200.200.200.10 port = 23 pass in quick from 200.200.200.10 port = 23 to any
* port 와 port번호의 사이에 “=“ 기호 좌우로 빈 공간 존재해야 함!!!
신상우 신상우강사강사
2. IPFilter 구성
나. 나 . ipf.conf ipf.conf 파일에서 파일에서 사용되는 사용되는 Keyword Keyword
ㄷ. proto
- IP filter는 protocol를 가지고도 필터링을 할 수가 있는데 해당 프로토콜은 TCP, UDP, ICMP 이다.
proto 지시어 뒤에
tcp, udp, icmp, tcp/udp
지시어가 뒤따른다.icmp에 대한 추가적인 keyword를 사용할 수 있는데
rule의 끝에
icmp-type
을 사용하고 keyword나 value가 뒤 따를수 있다. 단독적으로 사용하면 모든 icmp를 뜻한다.TYPE VALUE KEYWORD
echo reply 0 echorep echo request 8 echo router advertisement 9 routerad
router solicitation 10 routersol
예) block in quick on hme1 proto icmp from any to 192.168.3.10/32
신상우 신상우강사강사
3. IPFilter 실습
가. 가 . 간략한 간략한 실습 실습 (웹서버 ( 웹서버) )
# vi /etc/ipf/pfil.conf
pcn -1 0 pfil [추가]
# svcadm restart network/pfil
# autopush –f /etc/ipf/pfil.conf
# ifconfig pcn0 unplumb
# ifconfig pcn0 plumb 200.200.200.10 up
# echo “block in all” >> /etc/ipf/ipf.conf
# svcadm enable network/ipfilter
# svcs ipfilter ; ipfstat -io
# cd /etc/apache ; cp httpd.conf-example httpd.conf
# cd /var/apache/htdocs ; cp index.html.kr.iso-kr index.html
# /etc/init.d/apache start
# pgrep –l httpd
다른 컴퓨터에서 Solaris10 웹서버로 핑 테스트와 웹서비스 요청
신상우 신상우강사강사
3. IPFilter 실습
가. 가 . 간략한 간략한 실습 실습 (웹서버 ( 웹서버) )
# vi /etc/ipf/ipf.conf
pass in quick proto icmp from any to 200.200.200.10 [추가]
# ipf –Fa –f /etc/ipf/ipf.conf
# ipfstat –io
다른 컴퓨터에서 Solaris10 웹서버로 핑 테스트와 웹서비스 요청
# vi /etc/ipf/ipf.conf
pass in log quick proto tcp/udp from any to 200.200.200.10 port = 80
# ipf –Fa –f /etc/ipf/ipf.conf ; ipfstat –io ; pmon
신상우 신상우강사강사
4. IPFilter 네트워크 보안 실습
Solaris9 FTP
Solaris9 Router
Solaris10 IPFilter
Solaris9 DesktoP
Solaris9 WEB
200.200.200.2/25
200.200.200.1/25
200.200.200.130/25 200.200.200.129/25
200.200.201.2/24
192.168.0.1/24
192.168.0.2/24 200.200.201.1/24
200.200.201.0/24 Network
200.200.200.0/25 Network
192.168.0.0/24 Network
200.200.200.128/25 Network
신상우 신상우강사강사
