Armis
April 16th, 2016, 13:41
فصل پنجم : *****ینگ
Filtering :
یکی دیگر از قابلیت های فایروال ایجاد *****ینگ است.در *****ینگ پکت هایی که از روتر عبور می کنند تحت کنترل قرار می گیرند و براساس قوانینی که به آنها Rule گفته می شود ***** می شوند.
قاعده کلی *****ینگ :
فایروال بر پایه ی رول های آن بنا شده است یعنی فایروال و روتر کاری را انجام می دهد که رول ها بگویند.
هر رول از دو قسمت تشکیل شده است :
- قسمت اول : ترافیک بسته ها را مشخص می کند(ترافیک ورودی و یا خروجی از میکروتیک).
- قسمت دوم : عملیاتی است که بر روی بسته ها انجام می شود.
تنظیمات *****ینگ در روتر :
[admin@Router-1]>ip firewall filter add chain=[input / output / forward] src-address=[source ip address] action=[drop / accept / reject] dst-port=[destination port] protocol=[protocol]
پارامترهای مورد استفاده در Rule های *****ینگ :
1) chain : در این پارامتر ، مسیر ترافیک بسته های مورد نظر را مشخص می کنیم این پارامتر می تواند سه حالت را در بر گیرد :
1-1) Input : این حالت مربوط به پکت هایی است که مقصدشان خود دستگاه میکروتیک است.
30861بطور مثال : ارسال بسته های ICMP برای Ping کردن روتر میکروتیک و یا زمانی که شما با ساتفاده از WinBox و SSH و ... ممکن است
به میکروتیک متصل شوید بنابراین Chain=Input قرار م دهیم.
1-2) Output : این حالت مربوط به بسته هایی است که از روتر میکروتیک خارج می شوند.
30862بطور مثال : بسته هایی که از داخل روتر سعی در Telnet زدن به سیستم یا دستگاهی را داشته باشند و یا روتر سعی در اتصال به سرویس دهنده های DNS و NTP و ... را داشته باشد.
1-3) Forward : این حالت مربوط به ترافیکی است که از روتر شما عبور می کند.
فرایند ارسال بسته از یک کارت شبکه روتر به کارت شبکه دیگر آن را Forward می گویند.
30863بطور مثال : یک سیستم داخلی درخواست سایتی را از اینترنت داشته باشد و چنانچه روتر شما نقش Gateway در شبکه را داشته باشد روتر بسته درخواست را از کارت شبکه ایی که به شبکه داخلی مرتبط باشد دریافت می کند و به کارت شبکه ایی که به WAN مرتبط است ارسال می کند.
2) Action :در این پارامتر عملیاتی که بر روی Packet ها اعمال می شود را تعیین می کنیم.
2-1) Accept : در این حالت به بسته ها اجازه عبور داده می شود.
2-2) Drop : در این حالت به بسته اجازه عبور داده نمی شود.به عبارتی بسته ها متوقف می شوند و هیچ جوابی به فرستنده بسته ها داده نمی شود.
2-3) Reject : همانند Drop است با این تفاوت که پیامی با استفاده از بسته ICMP نیز به کاربر نشان می دهد.
2-4) add-dst-to-address-list : آی پی مقصد را ذخیره می کند.
2-5) add-dst-to-address-list : آی پی مبدا را ذخیره می کند.
قبل از اینکه به رفتار این دو به پردازیم بهتر است با Address List ها آشنا بشیم. Address List ها زمانی به کار می آیند که شما بخواهید برای تعداد زیادی IP که از یک محدوده یا رنج نیستند تصمیم بگیرید.مثلا می خواهیم سه IP جدا را از دسترسی به وب محروم کنیم بدون استفاده از Address List ها باید سه رول متفاوت را بنویسیم.اگر این تعداد IP ها 588 تا بود چه اتفاقی می افتاد ؟ برای راحتی اینگونه موارد از آدرس لیست ها استفاده می شود.به این معنی که آدرس های مورد نظر را در یک لیست قرار داده و به ازای آن لیست یک رول را می نویسیم. در صورتی که خواسته باشید بعضی از IP های ورودی رو Log کنید مثلا کسانی که سعی می کنند از طریق Winbox به روتر وصل شوند می توان به کمک دو Action بالا یک لیست آدرس از آنها تهیه کنید.
2-6) Log : تقریبا شبیه دو مورد بالا می باشد اما با چند تفاوت مهم . Log یک سری اطلاعات را برای ما ذخیره می کند که این اطلاعات از طریق منوی اصلی گزینه Log قابل دسترس می باشد این اطلاعات شامل موارد زیر می باشد :
In-interface,out-interface,src-mac,protocol,src-port
اولین تفاوت همین اطلاعات بالا می باشد که با اطلاعات ذخیره شده قبل متفاوت می باشد و دوم اینکه شما از لیست آدرس ها در رولهای بعدی می توانید استفاده کنید اما Log صرفا جهت اطلاع می باشد.
2-7) Jump : پرش به زنجیره Chain مشخص شده است.
2-8) Return : برگرداندن کنترل به زنجیره در جایی که پرش صورت گرفته است.
2-9) Trapit : ضبط و نگهداری ارتباط Tcp )کاربرد در کم کردن اثر حملات Dos (.این Action بسته های Tcp را نگه میدارد و به آنها جواب مناسبی می دهد.
2-10) Passthrough :این Action کار خاصی انجام نمی دهد صرفا از رول خارج می شود یا صرف نظر می کند.در نظر نگرفتن قانون ورفتن به قانون بعدی(کاربررد : بیشتر برای آمار گیری)
3) Src-Address : برای مشخص کردن آدرس فرستنده یک بسته ، از این پارامتر استفاده می کنیم.
بطور مثال : چنانچه بخواهیم بسته هایی که فقط از سمت یک سیستم خاص به روتر می رسند را ***** کنیم آدرس IP سیستم فرستنده
را در این پارامتر مشخص می کنیم.
نکته : چنانچه بخواهیم بسته های مربوط به تمامی کلاینت های موجود در شبکه مبدا را ***** کنیم پارامتر Src-Address را خالی می گذاریم.
4) Dst-Port : برای اعمال *****ینگ بر روی بسته هایی که مقصد آنها پورت خاصی باشد از این پارمتر استفاده می شود.
نکته : چنانچه در دستور *****ینگ این پارامتر را ذکر نکنیم کل پورت ها را در نظر میگیرد.
5) Protocol : برای اعمال *****ینگ بر روی بسته هایی که مقصد آنها پروتکل خاصی باشد از این پارامتر استفاده می شود.
بطور مثال : بسته های مربوط به پروتکل ICMP برای Ping کردن
:53::53::53::53:در قسمت بعدی با انجام سناریو تمریناتی را در این زمینه انجام می دهیم.:53::53::53::53:
Filtering :
یکی دیگر از قابلیت های فایروال ایجاد *****ینگ است.در *****ینگ پکت هایی که از روتر عبور می کنند تحت کنترل قرار می گیرند و براساس قوانینی که به آنها Rule گفته می شود ***** می شوند.
قاعده کلی *****ینگ :
فایروال بر پایه ی رول های آن بنا شده است یعنی فایروال و روتر کاری را انجام می دهد که رول ها بگویند.
هر رول از دو قسمت تشکیل شده است :
- قسمت اول : ترافیک بسته ها را مشخص می کند(ترافیک ورودی و یا خروجی از میکروتیک).
- قسمت دوم : عملیاتی است که بر روی بسته ها انجام می شود.
تنظیمات *****ینگ در روتر :
[admin@Router-1]>ip firewall filter add chain=[input / output / forward] src-address=[source ip address] action=[drop / accept / reject] dst-port=[destination port] protocol=[protocol]
پارامترهای مورد استفاده در Rule های *****ینگ :
1) chain : در این پارامتر ، مسیر ترافیک بسته های مورد نظر را مشخص می کنیم این پارامتر می تواند سه حالت را در بر گیرد :
1-1) Input : این حالت مربوط به پکت هایی است که مقصدشان خود دستگاه میکروتیک است.
30861بطور مثال : ارسال بسته های ICMP برای Ping کردن روتر میکروتیک و یا زمانی که شما با ساتفاده از WinBox و SSH و ... ممکن است
به میکروتیک متصل شوید بنابراین Chain=Input قرار م دهیم.
1-2) Output : این حالت مربوط به بسته هایی است که از روتر میکروتیک خارج می شوند.
30862بطور مثال : بسته هایی که از داخل روتر سعی در Telnet زدن به سیستم یا دستگاهی را داشته باشند و یا روتر سعی در اتصال به سرویس دهنده های DNS و NTP و ... را داشته باشد.
1-3) Forward : این حالت مربوط به ترافیکی است که از روتر شما عبور می کند.
فرایند ارسال بسته از یک کارت شبکه روتر به کارت شبکه دیگر آن را Forward می گویند.
30863بطور مثال : یک سیستم داخلی درخواست سایتی را از اینترنت داشته باشد و چنانچه روتر شما نقش Gateway در شبکه را داشته باشد روتر بسته درخواست را از کارت شبکه ایی که به شبکه داخلی مرتبط باشد دریافت می کند و به کارت شبکه ایی که به WAN مرتبط است ارسال می کند.
2) Action :در این پارامتر عملیاتی که بر روی Packet ها اعمال می شود را تعیین می کنیم.
2-1) Accept : در این حالت به بسته ها اجازه عبور داده می شود.
2-2) Drop : در این حالت به بسته اجازه عبور داده نمی شود.به عبارتی بسته ها متوقف می شوند و هیچ جوابی به فرستنده بسته ها داده نمی شود.
2-3) Reject : همانند Drop است با این تفاوت که پیامی با استفاده از بسته ICMP نیز به کاربر نشان می دهد.
2-4) add-dst-to-address-list : آی پی مقصد را ذخیره می کند.
2-5) add-dst-to-address-list : آی پی مبدا را ذخیره می کند.
قبل از اینکه به رفتار این دو به پردازیم بهتر است با Address List ها آشنا بشیم. Address List ها زمانی به کار می آیند که شما بخواهید برای تعداد زیادی IP که از یک محدوده یا رنج نیستند تصمیم بگیرید.مثلا می خواهیم سه IP جدا را از دسترسی به وب محروم کنیم بدون استفاده از Address List ها باید سه رول متفاوت را بنویسیم.اگر این تعداد IP ها 588 تا بود چه اتفاقی می افتاد ؟ برای راحتی اینگونه موارد از آدرس لیست ها استفاده می شود.به این معنی که آدرس های مورد نظر را در یک لیست قرار داده و به ازای آن لیست یک رول را می نویسیم. در صورتی که خواسته باشید بعضی از IP های ورودی رو Log کنید مثلا کسانی که سعی می کنند از طریق Winbox به روتر وصل شوند می توان به کمک دو Action بالا یک لیست آدرس از آنها تهیه کنید.
2-6) Log : تقریبا شبیه دو مورد بالا می باشد اما با چند تفاوت مهم . Log یک سری اطلاعات را برای ما ذخیره می کند که این اطلاعات از طریق منوی اصلی گزینه Log قابل دسترس می باشد این اطلاعات شامل موارد زیر می باشد :
In-interface,out-interface,src-mac,protocol,src-port
اولین تفاوت همین اطلاعات بالا می باشد که با اطلاعات ذخیره شده قبل متفاوت می باشد و دوم اینکه شما از لیست آدرس ها در رولهای بعدی می توانید استفاده کنید اما Log صرفا جهت اطلاع می باشد.
2-7) Jump : پرش به زنجیره Chain مشخص شده است.
2-8) Return : برگرداندن کنترل به زنجیره در جایی که پرش صورت گرفته است.
2-9) Trapit : ضبط و نگهداری ارتباط Tcp )کاربرد در کم کردن اثر حملات Dos (.این Action بسته های Tcp را نگه میدارد و به آنها جواب مناسبی می دهد.
2-10) Passthrough :این Action کار خاصی انجام نمی دهد صرفا از رول خارج می شود یا صرف نظر می کند.در نظر نگرفتن قانون ورفتن به قانون بعدی(کاربررد : بیشتر برای آمار گیری)
3) Src-Address : برای مشخص کردن آدرس فرستنده یک بسته ، از این پارامتر استفاده می کنیم.
بطور مثال : چنانچه بخواهیم بسته هایی که فقط از سمت یک سیستم خاص به روتر می رسند را ***** کنیم آدرس IP سیستم فرستنده
را در این پارامتر مشخص می کنیم.
نکته : چنانچه بخواهیم بسته های مربوط به تمامی کلاینت های موجود در شبکه مبدا را ***** کنیم پارامتر Src-Address را خالی می گذاریم.
4) Dst-Port : برای اعمال *****ینگ بر روی بسته هایی که مقصد آنها پورت خاصی باشد از این پارمتر استفاده می شود.
نکته : چنانچه در دستور *****ینگ این پارامتر را ذکر نکنیم کل پورت ها را در نظر میگیرد.
5) Protocol : برای اعمال *****ینگ بر روی بسته هایی که مقصد آنها پروتکل خاصی باشد از این پارامتر استفاده می شود.
بطور مثال : بسته های مربوط به پروتکل ICMP برای Ping کردن
:53::53::53::53:در قسمت بعدی با انجام سناریو تمریناتی را در این زمینه انجام می دهیم.:53::53::53::53: