Безопасность и оптимизация Linux.Редакция для Red Hat
       

Linux IPCHAINS


Краткое описание

Кто-нибудь может мне сказать, почему я должен использовать коммерческий брандмауэр, а не простой в использовании Ipchains? Что я теряю используя Ipchains? Ipchains хорош и становится все лучше и лучше, чем коммерческие продукты с точки зрения поддержки и функциональных возможностей. Вы, скорее всего, будете лучше понимать процессы происходящие в вашей сети, если будете использовать Ipchains, а не его коммерческий аналоги.
Что такое политика безопасности сетевого брандмауэра.

Политика безопасности сетевого брандмауэра определяет те сервисы, которые будут явно разрешены или запрещены, как они будут использоваться и какие исключения будут из этих правил. Полная политика защиты организации должна быть определена согласно анализу безопасности и деловой необходимости. Брандмауэр имеет небольшое значение, если полная политика защиты не определена должным образом. Каждое правило определенное в политика безопасности сетевого брандмауэра должно быть реализовано на брандмауэре. В общем все брандмауэры используют следующие методы:

Все, что специально не разрешено – запрещено.


Этот метод блокирует весь трафик между двумя сетями, за исключением тех сервисов и приложений которым выдано разрешение. Поэтому каждую необходимую службу и приложение нужно разрешать. Никогда нельзя разрешать работу тем службам и приложениям, которые могут быть использованы для атаки на вашу систему. Это наиболее безопасный метод – отвергать все, что явно не разрешено. С другой стороны, со стороны пользователя, этот метод более ограничительный и менее удобный. Именно его мы будем использовать для построения брандмауэра в этой книге.

Все, что не запрещено, то разрешено.


Этот метод позволяет весь трафик между сетями, за исключением определенных сервисов и приложений. Поэтому каждую ненужную службу надо явно запрещать. Это очень удобный и гибкий метод для пользователей, но несущий в себе серьезные потенциальные проблемы в безопасности.
Что такое пакетный фильтр?

Пакетный фильтр - это тип брандмауэра созданного на основе ядра Linux. Он работает на сетевом уровне. Данным позволяется остаться в системе, если это разрешено правилами. Проходящие пакеты фильтруются по типу, адресу источника, адресу получателя и по порту. В большинстве случаев фильтрация пакетов осуществляется на маршрутизаторе, который перенаправляет пакеты согласны правилам фильтрации. Когда пакет приходит на фильтрующий маршрутизатор, тот извлекает информацию из заголовка пакета и принимает решение согласно правилам фильтрации об пересылке или уничтожении пакета. Из заголовка пакета может извлекаться следующая информация:


    IP адрес источника

    IP адрес получателя

    TCP/UDP порт источника

    TCP/UDP порт получателя

    Тип ICMP сообщения

    Информация об инкапсулированном протоколе (TCP, UDP, ICMP или IP tunnel).



    Так как для анализа и регистрации используется небольшое количество данных, фильтрующий брандмауэр создает меньшую нагрузку на CPU и меньшие задержки в сети. Существует много путей структурирования вашей сети для защиты ее брандмауэром.
    Топология.

    Все сервера должны быть настроены так, чтобы блокировать все неиспользуемые порты. Это необходимо для большей безопасности. Представьте себе, что кто-то сумел проникнуть на ваш брандмауэр: если соседние сервера не настроены на блокирование неиспользуемых портов, то это может привести к серьезным проблемам в безопасности. То же истинно и для локальных соединений: неправомочные служащие могут получить доступ на ваши сервера из внутренней части.

    В нашей конфигурации мы дадим вам три различных примера, которые помогут вам настроить ваши правила брандмауэра в зависимости от типа сервера и его размещения в вашей сети. Первый пример будет для Веб сервера, второй для почтового сервера и третий для Шлюза, который действует как сервер- посредник (proxy server) для внутренних Wins машин, рабочих станций и серверов.


    www.openna.com
    Кэширующий DNS
    208.164.186.3

    		 deep.openna.com
    Мастер DNS сервер
    208.164.186.1

    		 mail.openna.com
    Slave DNS сервер
    208.164.186.2
    Разрешен неограниченный трафик на интерфейсе loopback

    Разрешен ICMP трафик

    Разрешен DNS сервер и клиент на порту 53

    Разрешен SSH сервер на порту 22

    Разрешен HTTP сервер на 80 порту

    Разрешен HTTPS сервер на порту 443

    Разрешен SMTP клиент на порт 25

    Разрешен FTP сервер на 20, 21 портах

    Разрешены исходящие traceroute запросы

    		 Разрешен неограниченный трафик на интерфейсе loopback

    Разрешен ICMP трафик

    Разрешен DNS сервер и клиент на порт 53

    Разрешен SSH сервер и клиент на порт 22

    Разрешен HTTP сервер и клиент на порт 80

    Разрешен HTTPS сервер и клиент на порт 443

    Разрешен WWW-CACHE клиент на порт 8080

    Разрешен внешний POP клиент на порт 110

    Разрешен внешний NNTP NEWS клиент на порт 119

    Разрешен SMTP сервер и клиент на порт 25

    Разрешен IMAP сервер на порт 143

    Разрешен IRC клиент на порт 6667

    Разрешен ICQ клиент на порт 4000

    Разрешен FTP клиент на порты 20, 21

    Разрешен RealAudio/QuickTime клиент 

    Разрешены исходящие traceroute запросы

    		 Разрешен неограниченный трафик на интерфейсе loopback

    Разрешен ICMP трафик

    Разрешен DNS сервер и клиент на порт 53

    Разрешен SSH сервер на порт 22

    Разрешен SMTP сервер и клиент на порт 25

    Разрешен IMAP сервер на порт 143

    Разрешены исходящие traceroute запросы
    Эта таблица показывает, какие порты я должен открыть на различных серверах. В зависимости от того, какой сервис должен быть доступен на сервере, вы должны настроить скрипт брандмауэра на разрешение трафика к определенному порту. www.openna.com – наш Веб сервер, mail.openna.com – это наш почтовый сервер для всех внутренних сетей и deep.openna.com – это шлюз в всех примеров объясненных в этой главе.


    Содержание раздела