Содержание

Введение 3

2. Межсетевой экран 5

3. Политика организации брандмауэра 8

3.1. Брандмауэр с фильтрацией пакетов. 8

3.1.1. Фильтрация входящих пакетов 9

3.1.2. Параметры фильтрации 11

3.2. Протоколы 12

3.3. Фильтрация портов 13

3.4. Фильтрация адресов 14

3.4.1. Фильтрация неверных адресов 14

3.5. Фильтрация в Linux 15

4. Ipchains 17

4.1. Перенаправление 18

4.2. Сохранение фильтра 23

5. Iptables 25

5.1. Переадресация 27

6. Установка, настройка Firewall 28

6.1. Настройка с помощью команды: aptitude install arno-iptables-firewall 28

6.2. Ручное конфигурирование iptables 35

Заключение 38

Список использованной литературы 40 
 

Введение

       Популярность  Linux постоянно растет.  Эта система стала объектом пристального внимания не только администраторов сетей небольших организаций, но и пользователей, выбирающих программные средства для поддержки домашнего компьютера. В настоящее время у многих появилась возможность поддерживать постоянное Internet-соединение, что способствует дальнейшему распространению системы.

       Unix может выступать не только как платформа для установки различных серверов, в частности Web-сервера, но и как шлюз, обеспечивая взаимодействие локальной сети с интернет. Через этот шлюз компьютеры под управлением Unix, Windows NT, Macintosh и других систем, а так же сетевые принтеры могут обмениваться информацией с интернет. Имея под рукой такое разнообразие системных средств, администратор вынужден задуматься об обеспечении их безопасности.

       Вопросы защиты особенно важны для системы  Linux, установленной на компьютере, поддерживающем постоянное соединение с интернет. Подключить компьютер с установленной системой Unix к Интернет – это почти то же самое, что уехать на длительный отдых, оставив двери дома открытыми. Рано или поздно к вам явятся непрошенные гости.

      Для защиты компьютера от вторжения по сети используется сетевой экран. Сетевой  экран – Firewall является основой безопасности и первым кольцом защиты вторжения извне. Согласно документам гостехкомиссии «межсетевой экран – это локальное (однокомпонентное) или функционально- распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией,  поступающей в АС и/или выходящей из АС. Межсетевой экран обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС.  Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола»[5].

         Нежелательному гостю необходимо сначала получить доступ к компьютеру, и только если это удалось, он попытается двигаться дальше и будет пробираться до уровня файлов. Там уже действует второе кольцо обороны – права доступа к файлам и директориям. Firewall, что в переводе означает огненная стена, сам по себе защищает только от сетевых вторжений, но правильная регламентация доступа предохраняет  и от локальных злоумышленников. Оба уровня защиты очень важны.  
 
 
 
 
 
 
 
 
 
 
 
 

2. Межсетевой экран

       В операционных системах Linux в качестве сетевого экрана выступает программа, которая фильтрует информацию на основе определенных правил, в которых должно быть четко прописано, какие пакеты могут обрабатываться или отправляться в сеть, а какие нет. Благодаря этому большинство атак могут захлебнуться уже на входе в компьютер, потому что сетевой экран не позволит сервисам даже увидеть потенциально опасные пакеты. Сетевой экран может быть установлен на каждом компьютере в отдельности или на входе в сеть. Во втором случае Firewall реализует общие настройки безопасности для всех компьютеров в сети.

       Если  в сети очень много компьютеров, то управлять ими и обновлять политику безопасности становится затруднительным. Установка единого сервера с Firewall позволяет упростить эти процедуры. Лучше всего, если компьютер с сетевым экраном выступает как шлюз или как анонимный прокси-сервер для доступа в Интернет остальных участников сети. В этом случае злоумышленник будет изначально видеть только этот компьютер, а остальные как бы прячутся за занавеской. Чтобы проникнуть на любую машину в сети, злоумышленник должен будет сначала получить доступ к компьютеру с Firewall.

       Рис. 1. Firewall для защиты сети

       Основными компонентами брандмауэра (сетевого экрана) являются:

       1. Политика безопасности сети

       2. Механизм аутентификации

       3. Механизм фильтрации пакетов

       При построении брандмауэра обычно используется, непосредственно подключенный к Интернету и содержащий базовый набор средств, реализующих брандмауэр. Такой компьютер иногда называют бастионом.

       Термин  «брандмауэр» может приобретать  различные значения в зависимости  от принципа, положенного в основу работы средств защиты, сетевой архитектуры и схемы маршрутизации. Брандмауэры обычно подразделяют три типа:

       1. Брандмауэр с фильтрацией пакетов;

       2. Прикладной шлюз;

       3. Универсальный Proxy-сервер.

       Брандмауэр  с фильтрацией пакетов, как правило, действует на сетевом, транспортном уровнях и реализуется в составе операционной системы. Источником информаций для фильтрации является содержимое заголовка IP-пакетов, на основе которого брандмауэр принимает решение, по какому маршруту следует направить пакет.

       Прикладной шлюз реализуется посредством выбора сетевой архитектуры и конфигурации системы. Сетевой трафик никогда не проходит через компьютер, на котором выполняется прикладной шлюз. Чтобы получить доступ в Интернет, локальный пользователь должен зарегистрироваться на прикладной шлюз. Компьютер, содержащий прикладной шлюз, может быть защищен брандмауэрами с фильтрацией пакетов как извне, так и из локальной сети.

       Proxy-сервер обычно реализуется в виде независимого приложения, управляющего доступом к различным типам сетевых служб. Для клиентов Proxy-сервер выполняет роль сервера, предоставляющего информацию. Вместо того чтобы непосредственно обращаться к удаленным серверам, клиентские программы обращаются к Proxy-серверу. Получив обращение клиента, Proxy-сервер  устанавливает связь с удаленным узлом от своего имени, при этом заменяется в пакете адрес клиента своим адресом. Подобный сервер может контролировать целостность данных, осуществлять проверку на наличие вирусов и обеспечивать выполнения правил системной политики, определяющий обмен высокоуровневыми данными.

       Помимо  этого, брандмауэры можно разделить  по типу построения защиты:

       1. Пороговый и его разновидность – бастионного типа;

       2. Организующий так называемую демилитаризованную зону.

       Брандмауэр порогового типа призван защитить локальную сеть от атак извне, а при соответствующей настройке и от атак изнутри. Такого типа брандмауэры обычно используются для защиты небольшой сети или даже одного компьютера. Как правило, сетевые службы, предоставляющие услуги вне локальной сети (HTTP, FTP и т. п.), размещаются на том же компьютере, что и брандмауэр.

       Организация демилитаризованной зоны оправдана  тогда, когда в сети выделено несколько  специальных компьютеров для  интернет - сервисов, предоставляемых большому миру, а так же при отсутствии уверенности в благонадежности собственных сотрудников. Для организации демилитаризованной зоны используются, по меньшей мере, два брандмауэра – один для защиты демилитаризованной зоны от проникновения извне, а второй – от проникновения из собственной локальной сети. Организация демилитаризованной зоны сложнее, чем организация брандмауэра бастионного типа, но взамен можно получть большую защиту данных.

3. Политика организации брандмауэра

       3.1. Брандмауэр с фильтрацией пакетов.

       Брандмауэр  с фильтрацией пакетов представляет собой «сито» для проходящих через  него входящих и исходящих пакетов. В операционной системе Linux реализован брандмауэр, позволяющий контролировать ICMP-, UDP- и TCP-пакеты. Брандмауэр с фильтрацией пакетов организован как механизм, реализующий набор разрешающих и запрещающих правил для входящих и исходящих пакетов. Этот набор правил определяет, какие пакеты могут проходить через конкретный сетевой интерфейс.

       Брандмауэр  с фильтрацией пакетов может  производить с проходящим пакетом всего три действия:

       1. Переслать пакет в узел назначения

       2. Удалить пакет без уведомления посылающей пакет стороны

       3. Вернуть передающему компьютеру сообщение об ошибке

       Несмотря  на простоту таких действий, в большинстве  случаев их достаточно для организации эффективной защиты. Как правило, брандмауэр устанавливается для того, чтобы контролировать данные, которыми компьютеры обмениваются с Интернетом. В результате работы фильтрующего брандмауэра отсеиваются недопустимые обращения к узлам внутренней сети и запрещается  передача из внутренней сети в Интернет для пакетов, определенных правилами фильтрации.

       В целях получения более гибкой системы правила фильтрации пакетов  составляются для каждого сетевого интерфейса, в них учитываются  IP-адреса источника и получателя, номера портов TCP и UDP, флаги TCP-соединений и ICM-сообщений. Причем правила для входящих и исходящих пакетов различаются. Это значит, что при настройке фильтрующего брандмауэра правила для конкретного сетевого интерфейса представляются как отдельные правила для входящей и исходящей информации, поскольку входящие и исходящие пакеты обрабатываются брандмауэром независимо друг от друга. Списки правил, которые управляют фильтрацией сетевых пакетов поступающих извне в локальную сеть и отправляемых из локальной сети в Интернет, принято называть цепочками (chains). Термин "цепочка" используется потому, что при проверке пакета правила применяются последовательно одно за другим, пока не обнаружится подходящее правило для сетевого пакета или список правил не будет исчерпан.

       Описанный механизм фильтрующего брандмауэра  достаточно эффективен, однако он не обеспечивает полной безопасности локальной сети. Анализ заголовков сетевых пакетов — операция слишком низкого уровня, для того чтобы реально выполнять аутентификацию и контролировать доступ. В процессе фильтрации пакетов практически невозможно распознать отправителя сообщения и проанализировать смысл передаваемой информации. Из всего набора данных, пригодных для аутентификации, на рассматриваемом уровне доступен только IP-адрес отправителя, однако этот адрес очень легко подделать, на чем и базируется множество способов сетевых атак. Несмотря на то, что средства фильтрации пакетов позволяют эффективно контролировать обращение к портам, использование протоколов обмена и содержимое пакетов, проверку данных необходимо продолжить на более высоком уровне.

       3.1.1. Фильтрация входящих пакетов

       Рассмотрение  построения брандмауэра логично  начать со входящих пакетов. Поскольку именно извне обычно происходит проникновение в сеть.

       Итак, основной, но не единственной задачей  сетевого экрана является фильтрация пакетов. В Linux уже встроен Firewall, и его не надо устанавливать отдельно. Это iptables и ipchains. Iptables и ipchains позволяют контролировать трафик, который проходит сквозь компьютер по протоколам TCP, UDP  и ICMP. Так как TCP является транспортом для всех основных протоколов Интернета: FTP, HTTP, РОРЗ и др., то фильтрация TCP позволяет защищать все эти сервисы.

       Все запросы, которые поступают из Интернета проходят через сетевой экран, который проверяет их по внутренним правилам. И, если соответствие установлено, то пакет пропускается. Если какой-либо параметр нарушает хотя бы одно правило, то пакет может быть удален: