Maskarada i Firewall

BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI WAT NR 14, 2000

3

Ochrona sieci lokalnej za pomoc zapory sieciowej

Zbigniew SUSKI 1, Piotr KOODZIEJCZYK 2

STRESZCZENIE: W dobie wzrastajcego zagroenia systemw sieciowych coraz wiksze zainteresowanie budz rne mechanizmy majce na celu zwikszenie stopnia bezpieczestwa systemw. Jednym z takich mechanizmw jest zapora sieciowa (ang. firewall). W artykule omwiono oglne zasady budowy zapory sieciowej i podstawowe schematy organizacyjne. Przedstawiono mechanizmy dostpne w systemie operacyjnym Linux, ktre umoliwiaj zbudowanie zapory w oparciu o ten system. Zamieszczono przykady konfiguracji zapory wykorzystujcej system Linux. W kocowej czci opracowania przedstawiono opisy kilku oferowanych na rynku rozwiza komercyjnych.

1. Co to jest zapora sieciowa?

Zapora sieciowa (ang. firewall) to konstrukcja zapewniajca kontrolowane

poczenie pomidzy sieci prywatn i Internetem (sieci publiczn). Dostarcza ona

mechanizmu kontroli iloci i rodzaju ruchu sieciowego midzy obydwoma sieciami. Zapory

sieciowe to narzdzia o duych moliwociach, ale nie powinno si ich uywa zamiast

innych rodkw bezpieczestwa, lecz obok nich.

Termin firewall zaczerpnito z budownictwa (chocia spotyka si te inne opinie).

Bloki mieszkaniowe i budynki biurowe s czsto wyposaane w specjalnie skonstruowane

ciany, ktre si opieraj ogniowi. Jeli budynek zacznie si pali, to wanie specjalna

zapora zatrzyma ogie lub przynajmniej spowolni jego rozprzestrzenianie si do czasu

przybycia pomocy.

Podobna filozofia stosowana jest do ochrony sieci lokalnej przed napastnikami

z zewntrz. Stosowanie odpowiednio skonfigurowanej zapory sieciowej moe

minimalizowa ilo strat powstaych w wyniku ataku z zewntrz. Naley jednak pamita,

1 Zakad Teleinformatyki, Instytut Automatyki i Robotyki WAT, ul. Kaliskiego 2, 00-908 Warszawa.

Wydzia Nauk Komputerowych, Prywatna Wysza Szkoa Biznesu i Administracji, ul. Bobrowiecka 9, 00-728 Warszawa.

2 Wydzia Cybernetyki WAT, ul. Kaliskiego 2, 00-908 Warszawa.

Z. Suski, P. Koodziejczyk

4

e nigdy nie bdziemy mie 100% gwarancji bezpieczestwa, a poziom tego

bezpieczestwa jest zawsze skutkiem kompromisu pomidzy potrzebnymi rodkami,

a nakadami finansowymi przeznaczonymi na ten cel.

Podstawowe funkcje, ktre powinna spenia zapora sieciowa to:

a) zapewnienie bezpiecznego dostpu do Internetu uytkownikom sieci prywatnej,

b) zapewnienie ochrony zasobw sieci prywatnej przed atakami z zewntrz.

Oprcz tych dwch podstawowych funkcji mona jeszcze wyszczeglni kilka

dodatkowych, ktre z powodzeniem moe realizowa zapora sieciowa:

a) blokowanie dostpu do okrelonych miejsc w Internecie, blokowanie (cakowite lub

czciowe) dostpu do Internetu okrelonym uytkownikom,

b) monitorowanie komunikacji pomidzy sieci prywatn a Internetem,

c) rejestrowanie caoci lub okrelonej czci ruchu midzysieciowego,

d) tworzenie prywatnych sieci wirtualnych (VPN) pomidzy oddziaami organizacji.

2. Schemat organizacyjny zapory sieciowej

Na konstrukcj zapory sieciowej zwykle skadaj si filtry pakietw oraz serwery

proxy.

Podstawowym zadaniem zapory jest ograniczenie przepywu danych midzy

sieciami. Przed postawieniem zapory trzeba okreli, jakie rodzaje danych maj by przez

ni przepuszczane, a jakie nie. Czyli trzeba zdefiniowa polityk zapory. Nastpnie naley skonstruowa mechanizmy, ktre umoliwi wprowadzenie tej polityki w ycie.

Filtry pakietw to urzdzenia przechwytujce kady transmitowany pakiet danych

i dopuszczajce lub blokujce przesanie tego pakietu do adresata. Decyzja o przesaniu

jest podejmowana na podstawie atrybutw rozpatrywanego pakietu. S to m.in. adres

rdowy, adres docelowy, typ protokou, port rdowy, port docelowy, zawarto.

W praktyce funkcjonuj dwie podstawowe strategie konfiguracji filtrw pakietw:

domylne przepuszczanie oraz domylne powstrzymywanie. Pierwsza polega na

blokowaniu tylko niektrych portw, protokow czy adresw. Stosowana jest wic zasada:

wszystko, co nie jest zabronione jest dozwolone. Druga strategia polega na odblokowaniu

tylko niektrych portw, protokow czy adresw. Obowizuje wic zasada: wszystko, co

nie jest dozwolone jest zabronione. Administrator systemu, dcy w konfiguracji zapory


5

sieciowej do osignicia maksymalnego bezpieczestwa, powinien oczywicie wybra

strategi domylnego powstrzymywania.

Serwery proxy to pakiety programowe suce do poredniczenia w ruchu

sieciowym pomidzy sieci prywatn a Internetem. Uytkownik sieci prywatnej, ktry

chciaby skorzysta z usugi udostpnianej na serwerze w Internecie, rejestruje si

najpierw w aplikacji serwera proxy. Zadaniem tego serwera jest uwierzytelnienie

uytkownika i po stwierdzeniu, e ma on odpowiednie prawa, zezwolenie na skorzystanie

z usugi w Internecie. Przy poczeniach z sieci zewntrznej postpowanie jest podobne.

Poniewa serwer proxy dziaa na poziomie aplikacji, wic kady typ aplikacji wymaga

oddzielnego serwera. Taki zastaw serwerw proxy nazywamy bram aplikacyjn.

Przez poczenie filtrw pakietw i serwerw proxy, oraz ich odpowiednie

osadzenie na platformach sprztowych, mona uzyska rne konfiguracje zapr

sieciowych. Najbardziej popularne s w tej chwili cztery konfiguracje:

a. host z dwoma portami,

b. filtr pakietw,

c. zapora z jednym filtrem pakietw i bram aplikacyjn,

d. zapora z dwoma filtrami pakietw i bram aplikacyjn.

2.1. Host z dwoma portami

Jest to jedno z najstarszych rozwiza. Polega na osadzeniu zapory na komputerze

wyposaonym w dwa interfejsy sieciowe, pracujcym zwykle pod kontrol systemu

operacyjnego z rodziny UNIX. Komputer w zaporze dziaa jednoczenie jako dawik

i brama. Usugi s zwykle oferowane uytkownikom na dwa sposoby:

uytkownik loguje si do komputera z dwoma portami,

na hocie z dwoma portami mog dziaa serwery proxy poszczeglnych,

przepuszczanych przez zapor usug.

W systemie operacyjnym, a dokadniej mwic w jego jdrze musi by wczona opcja

ip_forwarding.


6

Rys.1. Firewall host z dwoma portami

2.2. Filtr pakietw

Ten typ zapory buduje si na bazie jednego filtru pakietw. Moe nim by np.

router, w ktrym dostpna jest funkcja filtrowania pakietw. Jest to konfiguracja prosta

i do popularna. Programowanie filtru polega na:

zablokowaniu pakietw wszystkich nieuywanych usug,

zablokowaniu pakietw z ustawion opcj routingu rdowego,

zezwoleniu na poczenia przychodzce tylko z okrelonych serwerw sieciowych

i blokowaniu pozostaych,

zezwoleniu komputerom z sieci wewntrznej na poczenia z dowolnym

komputerem w sieci zewntrznej.

Do zalet takiej konfiguracji naley zaliczy prostot, tanio i elastyczno

wyraajc si atwoci blokowania dostpu z wybranej sieci zewntrznej. Do wad

nale:

Sie wewntrzna

Internet

Host z dwomaportami

Sie wewntrzna


7

brak lub sabo rozbudowany system rejestracji ruchu przechodzcego przez zapor,

prb wama, udzielania uytkownikom rnego rodzaju dostpu, zwaszcza

w przypadku starszych urzdze,

zoono regu filtrowania moe by znaczna, co powoduje znaczn trudno ich

weryfikowania,

testowanie filtru polega na eksperymentowaniu, ktre moe by czasami do

problematyczne,

po zamaniu zabezpiecze routera, komputery w sieci wewntrznej bd

cakowicie podatne na ataki,

brak zabezpiecze przed zawartoci pewnych pakietw (np. SMTP czy FTP).

Rys. 2. Firewall filtr pakietw

Sie wewntrzna

Internet

Router

Sie wewntrzna


8

2.3. Zapora z jednym filtrem pakietw i bram aplikacyjn

Bardziej bezpieczn zapor sieciow mona zbudowa stosujc jednoczenie filtr

pakietw i bram aplikacyjn. Filtrem pakietw moe by router, a bram aplikacyjn

wybrany komputer w sieci wewntrznej. W bramie dziaaj serwery proxy umoliwiajce

uytkownikom sieci wewntrznej korzystanie z usug sieci zewntrznej.

Rys.3. Zapora z jednym filtrem pakietw i bram aplikacyjn

W tej konfiguracji filtr pakietw jest skonfigurowany w sposb zapewniajcy:

blokowanie pakietw usug, ktre nie s potrzebne w sieci wewntrznej,

blokowanie pakietw przesyanych w ramach routingu rdowego lub majcych

ustawione nietypowe opcje,

blokowanie pakietw, ktrych miejscem przeznaczenia jest sie wewntrzna (poza

adresem bramy),

przepuszczanie pakietw, ktrych adresem rdowym lub docelowym jest adres

bramy aplikacyjnej.

Jeeli komputer w sieci wewntrznej chce si skontaktowa z sieci zewntrzn, to

pakiet komunikacyjny musi przej przez serwer proxy funkcjonujcy w bramie

Sie wewntrzna

Internet

Router

Server proxy

Zaporasieciowa

Sie wewntrzna


9

aplikacyjnej. Uytkownicy z sieci zewntrznej zanim dostan si do sieci wewntrznej,

musz si poczy z odpowiednim serwerem proxy.

2.4. Zapora z dwoma filtrami pakietw i bram aplikacyjn

W takiej konfiguracji filtr zewntrzny i serwer proxy peni takie same funkcje jak

w konfiguracji z jednym filtrem pakietw i bram aplikacyjn. Nowym elementem jest filtr

wewntrzny, penicy funkcj awaryjn. Jeli intruzowi uda si wama do serwera proxy

i przej nad nim kontrol, filtr wewntrzny uniemoliwi mu posuenie si serwerem proxy

do przeprowadzenia atakw na inne komputery w sieci wewntrznej (dziki np.:

blokowaniu pakietw usug, ktre nie s potrzebne w sieci wewntrznej).

Rys.4. Zapora z dwoma filtrami pakietw i bram aplikacyjn

Sie wewntrzna

Internet

Server proxy

Zaporasieciowa

Sie poredniczca

Router

Router

Filtrwewntrzny

Filtrzewntrzny

Sie wewntrzna

Sie poredniczca


10

We wszystkich konfiguracjach wykorzystujcych bram aplikacyjn, zamiast jednej

mona uywa wielu bram - po jednej dla kadego protokou. Prostsze rozwizanie polega

na zastosowaniu jednej bramy i przeznaczeniu kilku serwerw na poszczeglne usugi

sieci wewntrznej.

Wszystkie komputery mona pogrupowa w kilka oddzielnych sieci, ktre bd si

komunikowa za pomoc specjalnych komputerw - bramek, routerw i zapr sieciowych.

Mog one do wewntrznej komunikacji wykorzystywa Internet i odpowiednie systemy

kryptograficzne.

Naley pamita, e nieuczciwi pracownicy maj o wiele dogodniejsze pooenie do

dokonywania zniszcze ni wamywacze zewntrzni. Odpowiednia konfiguracja zapr

wewntrznych moe pomc w ograniczeniu ich dziaa destrukcyjnych.

3. Proces budowania zapory sieciowej

Proces budowania czy stawiania zapory sieciowej mona podzieli na kilka etapw:

1. Planowanie konfiguracji zapory sieciowej

Jest to bardzo wany etap, poniewa bdy popenione przy planowaniu konfiguracji

wpyn na wszystkie dalsze etapy i w rezultacie kocowy efekt dziaania zapory moe by

cakowicie odmienny od oczekiwanego. W pierwszej kolejnoci naley odpowiedzie na

pytanie: co chroni? Jeeli ochronie maj podlega dwa lub trzy komputery, to

prawdopodobnie zamiast budowa zapor sieciow wystarczy zastosowa

zabezpieczenia na poziomie pojedynczych hostw. Zapora sieciowa naley do

mechanizmw ciszego kalibru.

Kolejne zadanie to rozpoznanie topologii sieci oraz potrzeb w zakresie aplikacji

i protokow. Polega ono bdzie na analizie topologii sieci pod ktem bezpieczestwa, na

zidentyfikowaniu systemw operacyjnych i aplikacji dziaajcych w sieci, czego efektem

moe by np.: konieczno skorzystania z usug ekspertw w dziedzinie bezpieczestwa

poszczeglnych aplikacji.

Naley rwnie dokona analizy zalenoci subowych. Polega ona bdzie na

analizie kompetencji decyzyjnych i potrzeb dostpu do zasobw poszczeglnych

uytkownikw czy grup uytkownikw. Konieczne jest przy tym uwiadomienie

uytkownikom wszystkich potrzebnych zmian w konfiguracji sieci oraz wszelkich ich


11

wtpliwoci. Od uytkownikw w duym stopniu bdzie zaleao bezpieczestwo sieci

i ostatni rzecz, jaka jest nam potrzebna to niezadowoleni uytkownicy.

Kolejna decyzja dotyczy konfiguracji zapory. Przede wszystkim naley okreli czy

wystarczy filtrowanie pakietw, czy te naley zastosowa serwery proxy, a jeeli tak to

jakie.

Wreszcie powinnimy rozpatrzy czy skonstruowa wasn zapor czy te kupi

pakiet gotowej zapory. Samodzielnie mona wykona cakiem dobr zapor, lecz jeden

bd przy jej konfiguracji moe spowodowa katastrof. Z drugiej strony najlepsza, le

skonfigurowana, kupiona zapora rwnie moe by przyczyn powanych kopotw.

Rozwizanie alternatywne polega na wykupieniu usugi monitorowania zapory.

Jeeli nie mamy moliwoci monitorowania zapory sieciowej 24 godziny na dob przez 7

dni w tygodniu, to moe lepiej tak usug wykupi?

2. Zdefiniowanie regu dostpu do zasobw sieciowych

W oparciu o poczynione obserwacje i wykonane analizy opracowujemy zasady

korzystania z zasobw sieci. W tym etapie okrelamy: kto i w jaki sposb ma dostp do

sieci i jej zasobw. Reguy musimy odpowiednio dostosowa do posiadanej infrastruktury.

Oznacza to uwzgldnienie stosowanych platform sprztowych, czy protokow sieciowych.

3. Znalezienie zapory odpowiedniej dla naszych potrzeb

W oparciu o zdobyte informacje, wykonane analizy i ustalone reguy dostpu do

zasobw moemy waciwie wybra potrzebn nam zapor sieciow.

4. Waciwa instalacja i konfiguracja zapory

5. Drobiazgowe przetestowanie zapory

Testowanie zapory powinno odby si w dwch etapach. W pierwszym naley

przeprowadzi testowanie zasad korzystania z sieci prywatnej przez uytkownikw

zewntrznych. W drugim testujemy wewntrzne reguy korzystania z sieci. Oba etapy

naley wykona dokadnie, poniewa jest to ostatnia czynno przed wczeniem zapory

do sieci.

Mimo e zapora sieciowa to bardzo skuteczny rodek ochrony sieci prywatnej,

naley by wiadomym jej wad. Jedn z nich jest fakt, e zapora, ktrej konfiguracj


12

zorientowano na maksymalne bezpieczestwo sieci, bdzie jednoczenie upoledza jej

dziaanie. Inn wad jest zgromadzenie w jednym miejscu wszystkich skadnikw zapory,

poniewa ich pokonanie daje intruzowi peny dostp do sieci prywatnej.

Istnieje kilka zagroe dla bezpieczestwa sieci, ktre nie s eliminowane przez

zastosowanie zapory:

naruszenie bezpieczestwa od wewntrz, poniewa zapora sieciowa nie chroni

zasobw przed atakiem od strony uytkownikw wewntrznych,

bezporednie poczenie z Internetem jeli uytkownik wewntrzny poczy si

z Internetem z pominiciem zapory np.: poprzez cze telefoniczne, to stanowi to

powan luk w bezpieczestwie,

czsto zapory sieciowe nie potrafi chroni sieci prywatnej przed wirusami,

niektre skanery (np.: stealtch skaner) potrafi skanowa aktywne porty

komputerw nawet za zapor.

Rys. 5. Translacja adresw

4. Translacja adresw

W wikszoci zapr sieciowych mona uruchomi mechanizm translacji adresw.

Translacja adresw (Network Address Translation - NAT) jest form maskowania

rzeczywistych adresw urzdze z ochranianej sieci. Umoliwia przydzielenie

komputerom z sieci wewntrznej adresw z puli adresw nie rejestrowanych w sieci

Internet (RFC 1597) oraz zapewnienie tym komputerom moliwoci dwustronnego

komunikowania si z komputerami sieci Internet. NAT umoliwia rozbudow

i rekonfiguracj sieci TCP/IP bez obawy o wyczerpanie si oficjalnie przyznanych adresw

IP. Dodatkowo umoliwia ukrycie wewntrznej struktury sieci przed wiatem zewntrznym

i dostp z zewntrz tylko do wybranych serwerw.

Brama NAT (IP Masquerade)

Klient


13

W jdrze Linuxa v. 2.2.x funkcja ta dostpna jest pod nazw IP Masquerade. Stacja kliencka powinna zdefiniowa bram NAT jako swj gateway. Jeeli tak nie

jest, to brama NAT powinna funkcjonowa jako server proxy arp.

Pakiet pochodzcy od klienta otrzymuje nowy numer portu rdowego i adres

rdowy. W takiej postaci jest wysyany. Brama zapamituje zrealizowane

przeksztacenie. Gdy pakiet wraca, to jest rozpoznawany jako przeksztacony.

Przywracany jest wwczas oryginalny adres klienta i pakiet trafia do klienta.

5. Mechanizmy systemu operacyjnego LINUX umoliwiajce zbudowanie zapory sieciowej

W standardowej wersji dystrybucyjnej systemu LINUX zawarte s podstawowe

narzdzia umoliwiajce skonstruowanie zapory sieciowej. W przykadach opisana jest

konfiguracja dla dystrybucji RedHat, ktra w tej chwili jest chyba najbardziej popularna

wrd uytkownikw. W przypadku wykorzystania innej dystrybucji mog wystpi

w konfiguracji pewne rnice. W jdrze wersji 2.0 dostpny by mechanizm IP Firewall,

w wersji 2.2 zosta on zastpiony przez mechanizm IPChains. W wersji 2.4, nad ktr

prace jeszcze trwaj udostpniony zostanie mechanizm IP Tables.

Pakiet ipchains udostpnia trzy mechanizmy przydatne przy budowaniu zapory

sieciowej:

filtrowanie pakietw,

maskowanie adresw IP,

przezroczysty serwer proxy.

Filtrowanie pakietw polega na selekcji pakietw przychodzcych i wychodzcych, ograniczajc obustronn komunikacj midzy sieci wewntrzn

a zewntrzn. Zazwyczaj polega to gwnie na zablokowaniu wejcia do sieci

wewntrznej, poza kilkoma wybranymi usugami. Aby zapewni wysoki stopie

bezpieczestwa sieci wewntrznej naley fizycznie oddzieli j od sieci zewntrznej.

W takim wypadku dosy naturalnym podejciem jest skonfigurowanie firewalla jako routera

dla caej sieci wewntrznej.

Maskowanie adresw IP (masquerading) polega na zmienianiu adresw IP w przesyanych pakietach. Firewall przechwytuje wszystkie pakiety wysyane przez


14

klientw z sieci wewntrznej. Nastpnie jako adres rdowy ustawia swj adres i wysya

tak zmienione pakiety do sieci zewntrznej. Po odebraniu pakietu z odpowiedzi adres

docelowy zostanie zmieniony na adres klienta i pakiet zostanie przesany do sieci

wewntrznej. W ten sposb komputery w sieci lokalnej s zupenie niewidzialne dla wiata

zewntrznego, chocia mog dokonywa pocze z komputerami zewntrznymi. Dziki

temu mona podczy komputery w sieci lokalnej do Internetu nawet jeli nie maj one

oficjalnie zarejestrowanych adresw IP, a uywaj adresw tzw. klasy publicznej

192.168.x.y

Przezroczysty serwer proxy (transparent proxy server) umoliwia przekierowywanie wybranych pakietw do portw lokalnych firewalla. W ten sposb

pakiety zamiast do miejsca przeznaczenia trafiaj do zapory sieciowej, w ktrej moe

funkcjonowa serwer okrelonej usugi.

5.1.1. Przepyw pakietw w systemie Linux

Istotn rzecz dla zrozumienia dziaania mechanizmu firewalla w systemie Linux

jest poznanie drogi przepywu pakietw. Ilustruje to rys. 6.

acuch (chain) to zbir regu, ktrym powinien odpowiada pakiet. Jeeli nagwek pakietu spenia warunek zdefiniowany w regule, to wykonywana jest akcja

okrelona w tej regule. Akcja moe okrela przekazanie pakietu do kolejnego acucha

lub dziaanie specjalne. Do tych dziaa specjalnych nale:

ACCEPT oznacza przepuszczenie pakietu.

DENY oznacza odrzucenie pakietu.

REJECT oznacza odrzucenie pakietu i powiadomienie poprzez ICMP o tym fakcie

nadawcy.

MASQ dotyczy acucha poredniego i acuchw uytkownika, oznacza maskowanie

pakietu poprzez zastpienie adresu nadawcy adresem lokalnym. Przychodzce pakiety

zwrotne, stanowice odpowiedzi na pakiety maskowane, bd automatycznie

rozpoznawane i demaskowane.

REDIRECT dotyczy tylko acucha wejciowego i acuchw uytkownika, oznacza

przekierowanie pakietu do gniazda lokalnego, czyli do lokalnego serwera proxy.


15

Rys.6. Przepyw pakietw w systemie Linux

Jeeli regua nie dotyczy danego pakietu, to sprawdzana jest nastpna regua. Jeeli

nagwek pakietu nie spenia warunku w adnej regule, to jdro uwzgldnia zdefiniowan

ogln strategi danego acucha.

Kontrola wstpna obejmuje sprawdzenie m.in. sum kontrolnych oraz poprawnoci konstrukcji pakietw docierajcych z sieci wewntrznych i zewntrznych. Po kontroli

sprawdzane s reguy zdefiniowane jako acuch wejciowy.

Demaskarada jeeli pakiet zawiera odpowied na pakiet, ktry przy wysaniu podlega maskaradzie, to teraz ma miejsce proces odwrotny i przekazanie pakietu

bezporednio do acucha wyjciowego. Pakiety, ktre nie podlegaj demaskaradzie, s

przekazywane do moduu routingu.

Routing - badane jest pole odbiorcy dla okrelenia, czy pakiet powinien zosta przekazany procesowi lokalnemu, czy te skierowany do innego komputera. Po przejciu

przez proces lokalny i acuch wyjciowy pakiet moe by skierowany do interfejsu

loopback lub poprzez acuch poredni i acuch wyjciowy skierowany na zewntrz.

Definiowanie regu filtrowania realizuje si poprzez polecenie ipchains. W starszych

wersjach jdra (2.0.x) wykorzystywany by ipfwadm.

Kontrola wstpna

acuch wejciowy

(input) Demaskarada Routing acuch poredni

(forward)

DENY DENY / REJECT

DENY /

REJECT

DENY / REJECT

acuch wyjciowy (output)

ACCEPT

Proces lokalny

ACCEPT interfejs loopback


16

5.1.2. Konfiguracja jdra systemu

Aby system operacyjny mg wykonywa funkcje zapory sieciowej, jdro systemu

musi zosta skompilowane z odpowiednimi opcjami. Wybieranie opcji mona zrealizowa

rnymi metodami. Jedna z nich, do wygodna w uyciu polega na wykorzystaniu

interfejsu menuconfig. Uruchamia si go poprzez polecenie make menuconfig. Na ekranie

zostanie wywietlona hierarchiczna lista opcji jdra, w ktrej naley dokona odpowiednich

zaznacze. Interesujce nas opcje znajduj si w sekcji Networking options.

IP: Drop source routed frames (CONFIG_IP_NOSR) Zwykle w transmitowanym pakiecie umieszczone s adresy IP rda

i przeznaczenia. Routingiem (czyli wyznaczaniem trasy przesyania pakietu) zajmuj si

komputery zaangaowane w przesyanie zwane routerami. One decyduj , ktr drog

dalej przesa pakiet. Jednake w protokole IP zawarta jest moliwo wyspecyfikowania

penej drogi dla danego pakietu ju przy jego wysyaniu. Pakiety, w ktrych w peni

okrelono drog przesyania okrelane s jako "trasowane wedug nadawcy", albo inaczej

jako pakiety z ustawion opcj routingu rdowego. Powstaje pytanie, czy przy nadejciu

takiego pakietu naley bra pod uwag wymagania dotyczce trasy przesyania, czy te

pakiet taki naley odrzuci. Honorowanie trasy moe wprowadzi kopoty zwizane

z bezpieczestwem, wobec czego zaleca si dla tej opcji ustawi Y (yes).

Network firewalls (CONFIG_FIREWALL) IP: firewalling (CONFIG_IP_FIREWALL)

Ustawienie tej opcji jest wymagane jeeli wykorzystujemy protok IP. Opcja ta

wymagana jest rwnie, gdy chcemy wczy przezroczyste proxy.

IP: forwarding/gatewaying (CONFIG_IP_FORWARD) Opcja ta umoliwia wykorzystywanie naszego komputera jako routera dla sieci

lokalnej. W takim przypadku w komputerze s zainstalowane przynajmniej dwie karty

sieciowe. Jdro nie jest w stanie wykry wicej ni jednej karty sieciowej przy starcie

komputera i naley je skonfigurowa rcznie. Jeli komputer jest podczony do dwch

sieci, wwczas naley wybra N.

Jeeli topologia sieci jest bardziej skomplikowana, na przykad rozpatrywany

komputer jest podczony do trzech sieci oraz chcemy, aby funkcjonowa jako zapora


17

sieciowa pomidzy dwoma z nich i jako router dla pozostaych, wwczas naley wybra Y

(yes) i wczy opcj IP firewalling.

Jeli zamierzamy uywa mechanizmu IP masquerading, wwczas naley

bezwzgldnie wybra Y. Podobnie postpujemy w przypadku, gdy chcemy skonfigurowa

komputer jako serwer SLIP lub serwer PPP, poprzez ktry uzyskiwa bdziemy dostp do

Internetu. Odpowied Y musimy wybra rwnie w przypadku, gdy chcemy uruchomi

proces mrouted realizujcy multicast routing.

IP: masquerading (CONFIG_IP_MASQUERADE) Jeli chcemy realizowa maskowanie adresw IP, to naley t opcj ustawi. Aby

uywa maskowania, naley rwnie wczy opcje: Network Firewalls, IP

forwarding/gatewaying, IP firewalling. Korzystne, chocia nie konieczne, jest wczenie

opcji IP always defragment.

IP: transparent proxying (CONFIG_IP_TRANSPARENT_PROXY) Opcja ta umoliwia w sposb przezroczysty dla klientw przekierowywanie

okrelonych pakietw do lokalnego serwera, okrelanego jako transparent proxy server.

Dziki temu komputery s przekonane, e s poczone z waciwym komputerem,

podczas gdy w rzeczywistoci poczone s z lokalnym serwerem proxy. Przekierowanie

jest uaktywniane poprzez zdefiniowanie, przy uyciu narzdzia ipchains specjalnych regu

wejciowych dla zapory sieciowej.

IP: accounting (CONFIG_IP_ACCT) Wczenie tej opcji uaktywnia rejestrowanie ruchu w sieci IP i umoliwia

generowanie rnych statystyk w tym zakresie. Zarejestrowane dane dostpne s w pliku

/proc/net/ip_acct. Dokadny zakres rejestrowanych informacji mona zdefiniowa przy

pomocy narzdzia ipchains.

IP: ICMP masquerading (CONFIG_IP_MASQUERADE_ICMP) Maskowanie wczane przez opcj CONFIG_IP_MASQUERADE obsuguje tylko

pakiety TCP i UDP (oraz bdy ICMP dla istniejcych pocze). Omawiana opcja wcza

dodatkow obsug maskowania pakietw ICMP.


18

IP: ipautofw masquerading (CONFIG_IP_MASQUERADE_IPAUTOFW) Napisany przez Richarda Lynch program ipautofw pozwala na maskowanie

protokow, ktre do tej pory nie byy w peni obsugiwane.

Kernel/User network link driver (CONFIG_IP_FIREWALL_NETLINK) Wczany przez t opcj sterownik pozwala na dwustronn komunikacj pomidzy

pewnymi czciami jdra lub moduami i procesami uytkowymi. Procesy uytkowe

uzyskuj moliwo czytania i zapisywania danych do specjalnych plikw znakowych

o numerze gwnym 36 obecnych w katalogu /dev. Opcj naley wczy, jeli chcemy

uywa serwisu arpd, ktry pomaga utrzyma moliwie ma wewntrzn pami ARP

(odwzorowanie pomidzy adresami IP i adresami sprztowymi w sieci lokalnej).

5.1.3. Dodatkowa konfiguracja systemu

Aby moliwe byo przekazywanie pakietw, co jest niezbdne dla wykonania

maskowania adresw IP, naley uaktywni ten mechanizm zmieniajc w pliku

/etc/sysconfig/network lini z opcj FORWARD_IPV4 na : FORWARD_IPV4=yes.

Aby zapora sieciowa zbudowana na Linuxie dobrze realizowaa swoje funkcje,

naley speni jeszcze kilka dodatkowych wymaga, ktre ze wzgldu na sw zoono

i niejednokrotnie potrzeb dokadnych i obszernych opisw nie zostay w niniejszym

opracowaniu uwzgldnione. Oto krtka specyfikacja tych dodatkowych wymaga:

Zainstalowa odpowiednie serwery proxy, np. dla usug http i ftp. Mona je znale

np.: w pakiecie Trusted Information System Firewall Toolkit (TIS Toolkit). Po

zainstalowaniu naley zdefiniowa reguy ich wykorzystywania.

Usun zbdne i niepewne programy usugowe, ktre zostay standardowo

zainstalowane w systemie, np.: NFS, rexec, rlogin, rsh, telnet, ftp.

Poczenia z komputerem penicym funkcje zapory sieciowej powinny odbywa si

tylko szyfrowanymi kanaami wymiany informacji, przy uyciu takich programw jak

ssh.

Gwny demon sieciowy inetd naley zupenie zrekonfigurowa: niektre ze

standardowych funkcji (np.: echo) naley wyczy, poniewa mog one posuy

do wykonania atakw typu Denial-of-Service.


19

Jeeli istnieje potrzeba instalacji serwera poczty elektronicznej, naley powanie

zastanowi si, czy nie zrezygnowa z programu Sendmail, znanego z licznych luk,

na rzecz innego uwaanego za bardziej bezpieczny, np.: smail czy qmail.

Naley zabezpieczy system przed niepodanymi zmianami w plikach

konfiguracyjnych czy binarnych. Mona to wykona przy pomocy programu

Tripwire, ktry pozwala wykry zmiany w plikach i katalogach.

5.1.4. Przykad 1

Przykadowa sie ma topologi przedstawion na rys. 7.

Charakterystyka sieci:

komputer penicy funkcje bramy w zaporze sieciowej wyposaony jest w jeden

interfejs sieciowy o numerze IP z puli wiatowej

router jest skonfigurowany w sposb zapewniajcy przepuszczanie pakietw tylko do

i od komputera-bramy w zaporze sieciowej,

komputery klienckie w sieci wewntrznej maj przydzielone adresy IP z puli prywatnej,

wobec czego ich pakiety nie s przepuszczane przez router,

zapora sieciowa peni funkcj bramki dla komputerw klienckich, wykonuje dla nich

maskowanie adresw IP oraz proste filtrowanie (tzn.: z domylnym przepuszczaniem

pakietw) polegajce na blokowaniu niektrych usug i adresw.

Konfiguracja routera nie zostanie tutaj przedstawiona, gdy jest ona bardzo mocno

zalena od stosowanego sprztu. Konfiguracja interfejsu sieciowego w komputerze-bramie

moe by wykonana podczas instalacji systemu lub te przez modyfikacj pliku

/etc/sysconfig/network-scripts/ifcfg-eth0. W pliku tym zapisane s podstawowe dane

konfiguracyjne konkretnego interfejsu. Zawarto tego pliku w naszym przypadku powinna

by nastpujca:

DEVICE=eth0

IPADDR=148.81.116.83

NETMASK=255.255.255.0

NETWORK=148.81.116.0

BROADCAST=148.81.116.255

ONBOOT=yes


20

Rys. 7. Topologia sieci z przykadu 1

Oprcz tego naley jeszcze zdefiniowa alias dla interfejsu eth0, o numerze IP

192.168.1.254, aby moliwa bya komunikacja z komputerami sieci wewntrznej.

Wykonujemy to poleceniem:

ifconfig eth0:0 192.168.1.254

Polecenie to powinno zosta oczywicie wpisane do skryptw startowych systemu, np.: do

/etc/rc.d/rc.sysinit

Tablica routingu w komputerze-bramie powinna mie posta:

Destination Gateway Genmask Flags Metric Ref Use Iface

192.168.1.0 * 255.255.255.0 U 0 0 0 eth0

148.81.116.0 * 255.255.255.0 U 0 0 0 eth0

127.0.0.0 * 255.0.0.0 U 0 0 0 lo

Default 148.81.116.81 0.0.0.0 UG 0 0 0 eth0

Tylko dodanie trasy domylnej wymaga dodatkowego omwienia, poniewa

pozostae linie tablicy routingu s tworzone automatycznie przy starcie systemu, jeli

interfejs sieciowy jest prawidowo skonfigurowany. T tras domyln okrelamy

poleceniem:

148.81.116.81

148.81.116.82

Router

Zaporasieciowa

148.81.116.83

Internet

192.168.1.1 192.168.1.3

192.168.1.4192.168.1.2


21

route add default gw 148.81.116.81

lub modyfikujemy odpowiedni lini pliku /etc/sysconfig/network:

GATEWAY=148.81.116.81

Spowoduje to automatyczn konfiguracj tablicy routingu przy starcie systemu.

Maskowanie adresw IP uruchamiamy nastpujcym poleceniem:

ipchains A forward -j MASQ -s 192.168.1.0/24 -d ! 192.168.1.0/24

co oznacza: wykonaj maskowanie dla wszystkich pocze o adresie rdowym z zakresu

192.168.1.1 254 i adresie docelowym spoza tego zakresu.

Kolejnym etapem konfiguracji zapory sieciowej jest ustawienie filtrowania.

Zakadamy, e chcielibymy zablokowa uytkownikom w sieci wewntrznej moliwo

korzystania z protokou http i telnet oraz moliwo jakiejkolwiek cznoci z komputerem

o numerze IP 148.81.116.98; znajdujcym si poza zapor. Wykonamy to nastpujcym

zestawem polece:

ipchains -A input -j DENY -s 192.168.1.0/24 -p tcp --dport http ipchains -A input -j DENY -s 192.168.1.0/24 -p tcp --dport telnet ipchains -A input -j DENY -s 192.168.1.0/24 -d 148.81.116.98

Po wydaniu tych polece reguy zapory wylistowane przy pomocy polecenia

ipchains -L powinny wyglda nastpujco:

Chain input (policy ACCEPT): target prot opt source destination ports

DENY tcp ----- 192.168.1.0/24 anywhere any -> www DENY tcp ----- 192.168.1.0/24 anywhere any -> telnet DENY all ----- 192.168.1.0/24 148.81.116.98 n/a Chain forward (policy ACCEPT): target prot opt source destination ports

MASQ all ----- 192.168.1.0/24 !192.168.1.0/24 n/a Chain output (policy ACCEPT):

Aby system by w ten sposb skonfigurowany po starcie systemu, przedstawione

polecenia naley wpisa do skryptu startowego systemu, np.: /etc/rc.d/rc.sysinit.


22

5.1.5. Przykad 2

W kolejnym przykadzie przyjlimy topologi sieci przedstawion na rys. 8.


komputer w zaporze wyposaony jest w trzy interfejsy sieciowe: dla poczenia

z Internetem i poczenia z sieciami lokalnymi; peni wic te rol routera,

jedna z podsieci zawiera serwery z adresami IP z puli wiatowej,

druga podsie zawiera tylko komputery klienckie z adresami IP z puli prywatnej,

zapora sieciowa wykonuje maskowanie adresw IP dla komputerw klienckich,

zapora sieciowa wykonuje filtrowanie, z domylnym blokowaniem pakietw,

polegajce na przepuszczaniu pakietw tylko gwnych usug sieciowych.

Aby byo moliwe wykorzystanie kilku interfejsw sieciowych, Linux musi je

obsugiwa, tzn. musi posiada moduy obsugujce konkretne karty sieciowe.

Sprawdzenia, czy system rozpozna posiadane przez nas karty sieciowe mona dokona

poprzez przegld komunikatw jdra zapisywanych podczas startu systemu do pliku

/var/log/messages. W czasie testowania niniejszego przykadu wykorzystywane byy karty

sieciowe PCI zgodne ze standardem NE2000, ktre system rozpozna bez problemu.

Nastpnie dla kadego interfejsu sieciowego naley utworzy plik

/etc/sysconfig/network-scripts/ifcfg-ethx (gdzie x to numer interfejsu). W pliku tym

zapisywane s podstawowe dane konfiguracyjne konkretnego interfejsu. W omawianym

przypadku zawartoci tych plikw s nastpujce:

Plik /etc/sysconfig/network-scripts/ifcfg-eth0:

DEVICE=eth0

IPADDR=148.81.1.254

NETMASK=255.255.255.0

NETWORK=148.81.1.0

BROADCAST=148.81.1.255

ONBOOT=yes


23



DEVICE=eth1

IPADDR=148.81.2.254

NETMASK=255.255.255.0

NETWORK=148.81.2.0

BROADCAST=148.81.2.255

ONBOOT=yes


DEVICE=eth2

IPADDR=192.168.1.254

NETMASK=255.255.255.0

NETWORK=192.168.1.0

BROADCAST=192.168.1.255

ONBOOT=yes

Internet

192.168.1.1 192.168.1.3

192.168.1.4192.168.1.2

eth0: 148.81.1.254

eth2

: 1

92.1

68.1

.254

eth1

: 1

48.81.

2.25

4

Zaporasieciowa

148.81.2.84

Serwer

148.81.2.183

Serwer


24

Tablica routingu komputera w zaporze wywietlona poleceniem route musi wyglda

nastpujco:

Destination Gateway Genmask Flags Metric Ref Use Iface

148.81.1.0 * 255.255.255.0 U 0 0 0 eth0

148.81.2.0 * 255.255.255.0 U 0 0 0 eth1

192.168.1.0 * 255.255.255.0 U 0 0 0 eth2

127.0.0.0 * 255.0.0.0 U 0 0 0 lo

default 148.81.1.1 0.0.0.0 UG 0 0 0 eth0

Sposb dodania trasy domylnej opisano w przykadzie 1. Pozostae linie tablicy routingu

s tworzone automatycznie przy starcie systemu. Domyln tras pakietw okrelamy

zakadajc, e bramka (gateway) ma numer IP 148.81.1.1.

Przyjmujemy nastpujce zaoenia odnonie filtrowania pakietw w zaporze:

komputer na ktrym zostaa uruchomiona zapora sieciowa udostpnia nastpujce

usugi:

> ssh do zdalnej pracy na zaporze (np.: w celu wykonania zmian w konfiguracji)

z kadego miejsca w Internecie,

> DNS tylko dla komputerw z obu podsieci wewntrznych,

serwery udostpniaj nastpujce usugi:

> http

> ssh

> smtp

> DNS

> telnet

> POP3

uytkownicy pracujcy na komputerach klienckich mog korzysta z nastpujcych

usug:

> http

> ssh

> smtp

> DNS

> telnet tylko do serwerw w drugiej podsieci


25

> POP3 tylko do serwerw w drugiej podsieci

> dostarczanych przez protok ICMP, np.: echo

Maskowanie adresw IP dla komputerw klienckich uruchamiamy poleceniem:

ipchains A forward -j MASQ -s 192.168.1.0/24 -d ! 192.168.1.0/24

co oznacza: wykonaj maskowanie dla wszystkich pocze o adresie rdowym z zakresu

192.168.1.1 254 i adresie docelowym spoza tego zakresu.

Dla wbudowanego acucha input okrelajcego reguy dostpu do zapory

sieciowej przyjmujemy jako polityk domyln - odrzucanie pakietw (DENY). Dla

wbudowanego acucha forward okrelajcego reguy maskowania oraz filtrowania ruchu

pomidzy wewntrzn sieci serwerw, wewntrzn sieci klientw oraz Internetem,

przyjmujemy jako polityk domyln - odrzucanie pakietw (DENY). Wbudowany acuch

output nie bdzie odfiltrowywa adnych pakietw. Jako polityk domyln przyjmujemy

przepuszczanie pakietw (ACCEPT). Realizujemy to poleceniami:

ipchains P input DENY

ipchains P forward DENY

ipchains P output ACCEPT

Ustawienie regu filtrowania dla pakietw przychodzcych i wychodzcych przez interfejs

loopback jest konieczne, poniewa niektre programy mog korzysta z tego interfejsu.

Nie stanowi to luki w systemie bezpieczestwa poniewa interfejs loopback nie jest

dostpny z zewntrz. Ustawienie to realizujemy poleceniem:

ipchains A input j ACCEPT i lo

Ustawienie regu filtrowania dla acucha input:

pozwolenie na korzystanie z ssh i DNS

ipchains -A input -j ACCEPT d 192.168.1.254 -p tcp --dport ssh ipchains -A input -j ACCEPT d 148.81.1.254 -p tcp -dport ssh ipchains -A input -j ACCEPT d 148.81.2.254 -p tcp -dport ssh ipchains -A input -j ACCEPT d 148.81.2.254 -p tcp -dport domain ipchains -A input -j ACCEPT d 148.81.2.254 -p udp -dport domain ipchains -A input -j ACCEPT d 192.168.1.254 -p tcp -dport domain ipchains -A input -j ACCEPT d 192.168.1.254 -p udp -dport domain


26

przepuszczenie pakietw bdcych odpowiedziami na poczenia tcp:

ipchains -A input -j ACCEPT -p tcp ! -y

przepuszczenie odpowiedzi dla protokou udp:

ipchains -A input -j ACCEPT d 148.81.2.254 -p udp -sport domain ipchains -A input -j ACCEPT d 192.168.1.254 -p udp -sport domain

przepuszczenie pozostaych pakietw, nie kierowanych bezporednio do zapory

sieciowej; naley tu uy dodatkowego acucha inputnet, poniewa w poleceniu moe

wystpi tyko jedna opcja -d:

ipchains N inputnet

ipchains -A inputnet -j ACCEPT -d ! 192.168.1.254 ipchains -A input -j inputnet -s 192.168.1.0/24 ipchains -A input -j inputnet -d 192.168.1.0/24 ipchains -A input -j inputnet s 148.81.1.0/24 ipchains -A input -j inputnet d 148.81.1.0/24 ipchains -A input -j inputnet s 148.81.1.0/24 ipchains -A input -j inputnet d 148.81.1.0/24

Ustawienie regu filtrowania dla acucha forward:

blokowanie pakietw pochodzcych z lub kierowanych do sieci lokalnych (naley

pamita o umieszczeniu reguy maskowania IP na pocztku acucha forward):

ipchains -A forward -j DENY s 127.0.0.0/8 ipchains -A forward -j DENY d 127.0.0.0/8 ipchains -A forward -j DENY s 192.168.0.0/16 ipchains -A forward -j DENY d 192.168.0.0/16

blokowanie pakietw rozgoszeniowych:

ipchains -A forward -j DENY d 192.168.1.255 ipchains -A forward -j DENY d 148.81.1.255 ipchains -A forward -j DENY d 148.81.2.255 ipchains -A forward -j DENY d 255.255.255.255

przepuszczenie pakietw dotyczcych korzystania z wybranych usug:

ipchains -A forward -j ACCEPT -p tcp ! -y ipchains -A forward -j ACCEPT -p icmp


27

ipchains -A forward -j ACCEPT s 192.168.1.0/24 -p tcp -dport http ipchains -A forward -j ACCEPT s 192.168.1.0/24 -p tcp -dport ssh ipchains -A forward -j ACCEPT s 192.168.1.0/24 -p tcp -dport smtp ipchains -A forward -j ACCEPT s 192.168.1.0/24 -p tcp -dport domain ipchains -A forward -j ACCEPT s 192.168.1.0/24 -p udp b -dport domain ipchains -A forward -j ACCEPT d 148.81.2.0/24 -p tcp -dport http ipchains -A forward -j ACCEPT d 148.81.2.0/24 -p tcp -dport ssh ipchains -A forward -j ACCEPT d 148.81.2.0/24 -p tcp -dport smtp ipchains -A forward -j ACCEPT d 148.81.2.0/24 -p tcp -dport domain ipchains -A forward -j ACCEPT d 148.81.2.0/24 -p udp b -dport domain ipchains -A forward -j ACCEPT d 148.81.2.0/24 s 192.168.1.0/24

-p tcp -dport telnet

ipchains -A forward -j ACCEPT d 148.81.2.0/24 s 192.168.1.0/24 -p tcp -dport pop-3

Po wydaniu przedstawionych polece reguy wywietlone poleceniem ipchains -L powinny

wyglda nastpujco:

Chain input (policy DENY): Target rot opt source destination ports

ACCEPT all ----- anywhere anywhere n/a ACCEPT tcp !y--- anywhere anywhere any -> any

ACCEPT tcp ----- anywhere 192.168.1.254 any -> ssh



ACCEPT tcp ----- anywhere 148.81.2.254 any -> domain

ACCEPT udp ----- anywhere 148.81.2.254 any -> domain

ACCEPT udp ----- 148.81.2.254 anywhere domain -> any

ACCEPT tcp ----- anywhere 192.168.1.254 any -> domain

ACCEPT udp ----- anywhere 192.168.1.254 any -> domain

ACCEPT udp ----- 192.168.1.254 anywhere domain -> any

inputnet all ----- 192.168.1.0/24 anywhere n/a inputnet all ----- anywhere 192.168.1.0/24 n/a inputnet all ----- 148.81.1.0/24 anywhere n/a inputnet all ----- anywhere 148.81.1.0/24 n/a inputnet all ----- 148.81.1.0/24 anywhere n/a inputnet all ----- anywhere 148.81.1.0/24 n/a ACCEPT tcp ----- anywhere 192.168.1.254 any -> telnet


28

Chain forward (policy DENY): target prot opt source destination ports

MASQ all ----- 192.168.1.0/24 !192.168.1.0/24 n/a DENY all ----- 127.0.0.0/8 anywhere n/a DENY all ----- anywhere 127.0.0.0/8 n/a DENY all ----- 192.168.0.0/16 anywhere n/a DENY all ----- anywhere 192.168.0.0/16 n/a DENY all ----- anywhere 192.168.1.255 n/a DENY all ----- anywhere 148.81.1.255 n/a DENY all ----- anywhere 148.81.2.255 n/a DENY all ----- anywhere 255.255.255.255 n/a fornet all ----- 192.168.1.0/24 anywhere n/a fornet all ----- anywhere 148.81.2.0/24 n/a ACCEPT tcp ----- 192.168.1.0/24 148.81.2.0/24 any -> telnet ACCEPT tcp ----- 192.168.1.0/24 148.81.2.0/24 any -> pop-3

Chain output (policy ACCEPT): Chain inputnet (6 references): target prot opt source destination ports

ACCEPT all ----- anywhere !192.168.1.254 n/a

Chain fornet (2 references): target prot opt source destination ports

ACCEPT tcp !y--- anywhere anywhere any -> any

ACCEPT icmp ----- anywhere anywhere any -> any

ACCEPT tcp ----- anywhere anywhere any -> www

ACCEPT tcp ----- anywhere anywhere any -> ssh

ACCEPT tcp ----- anywhere anywhere any -> smtp

ACCEPT tcp ----- anywhere anywhere any -> domain

ACCEPT udp ----- anywhere anywhere any -> domain

ACCEPT udp ----- anywhere anywhere domain -> any

Aby taka konfiguracja bya realizowana automatycznie przy starcie systemu, naley

utworzy odpowiedni skrypt i jego wywoanie umieci w skrypcie startowym systemu, np.:

/etc/rc.d/rc.sysinit. Naley tu doda, e warto byoby tak zmieni skrypty startowe systemu

aby w pierwszej kolejnoci ustawi blokowanie wszystkich pakietw. W nastpnej


29

kolejnoci uruchomi interfejsy sieciowe, a potem wywoa skrypt realizujcy waciw

konfiguracj filtrowania. Tre takiego skryptu konfiguracyjnego byaby nastpujca:

ipchains P input DENY

ipchains P forward DENY

ipchains P output ACCEPT

ipchains A input j ACCEPT i lo ipchains -A input -j ACCEPT -p tcp ! -y ipchains -A input -j ACCEPT d 192.168.1.254 -p tcp --dport ssh ipchains -A input -j ACCEPT d 148.81.1.254 -p tcp -dport ssh ipchains -A input -j ACCEPT d 148.81.2.254 -p tcp -dport ssh ipchains -A input -j ACCEPT d 148.81.2.254 -p tcp -dport domain ipchains -A input -j ACCEPT d 148.81.2.254 -p udp b -dport domain ipchains -A input -j ACCEPT d 192.168.1.254 -p tcp -dport domain ipchains -A input -j ACCEPT d 192.168.1.254 -p udp b -dport domain ipchains N inputnet

ipchains -A inputnet -j ACCEPT -d ! 192.168.1.254 ipchains -A input -j inputnet -s 192.168.1.0/24 ipchains -A input -j inputnet -d 192.168.1.0/24 ipchains -A input -j inputnet s 148.81.1.0/24 ipchains -A input -j inputnet d 148.81.1.0/24 ipchains -A input -j inputnet s 148.81.1.0/24 ipchains -A input -j inputnet d 148.81.1.0/24 ipchains A forward -j MASQ -s 192.168.1.0/24 -d ! 192.168.1.0/24 ipchains -A forward -j DENY s 127.0.0.0/8 ipchains -A forward -j DENY d 127.0.0.0/8 ipchains -A forward -j DENY s 192.168.0.0/16 ipchains -A forward -j DENY d 192.168.0.0/16 ipchains -A forward -j DENY d 192.168.1.255 ipchains -A forward -j DENY d 148.81.1.255 ipchains -A forward -j DENY d 148.81.2.255 ipchains -A forward -j DENY d 255.255.255.255 ipchains N fornet

ipchains -A fornet -j ACCEPT -p tcp ! -y ipchains -A fornet -j ACCEPT -p icmp ipchains -A fornet -j ACCEPT -p tcp -dport http ipchains -A fornet -j ACCEPT -p tcp -dport ssh


30

ipchains -A fornet -j ACCEPT -p tcp -dport smtp ipchains -A fornet -j ACCEPT -p tcp -dport domain ipchains -A fornet -j ACCEPT -p udp b -dport domain ipchains -A forward -j fornet s 192.168.1.0/24 ipchains -A forward -j fornet d 148.81.2.0/24 ipchains -A forward -j ACCEPT d 148.81.2.0/24 s 192.168.1.0/24

-p tcp -dport telnet

ipchains -A forward -j ACCEPT d 148.81.2.0/24 s 192.168.1.0/24 -p tcp -dport pop-3

5.1.6. Mechanizm IPTables

Jak wspomniano na pocztku pkt. 5, w jdrze wersji 2.4 dostpny bdzie nowy

mechanizm filtrowania pakietw i translacji adresw znany pod nazw IPTables. Mona

si z nim zapozna w dostpnych aktualnie wersjach rozwojowych jdra 2.3.x. Wersja

stabilna jest jeszcze w fazie testowania (wersja 2.4.0)3.

Mechanizm IPTables wydaje si by prostszy i bardziej przejrzysty od poprzednich

a przez to atwiejszy do zrozumienia. Umoliwi to konstruowanie atwiejszych

w konserwacji zapr sieciowych, unikn wielu pomyek przy ich budowie i tym samym

zwikszy bezpieczestwo sieci.

Cao zostaa podzielona na logiczne klasy-tablice (tables). Kada z nich zawiera

predefiniowane zbiory regu. Obecnie zaimplementowano nastpujce tablice:

filter jej zadaniem jest filtrowanie pakietw,

nat jej zadaniem jest translacja adresw rdowych i docelowych,

mangle jej zadaniem jest znakowanie pakietw. Tablica filter jest gwnie przeznaczona do budowy zapr filtrujcych, kontroli i zliczania ruchu w sieci, diagnostyki sieci. W tablicy tej umieszczono nastpujce predefiniowane

zbiory regu:

INPUT zbir regu dla pakietw przeznaczonych dla lokalnego hosta,

3 Jdra systemu Linux maj identyfikatory postaci: A.B.C. A jest numerem wersji, B- numerem podwersji, C-

numerem aty (patch). Wersja jest stabilna, jeeli B jest liczb parzyst. Pozostae to wersje rozwojowe (beta), przeznaczone gwnie dla tworzcych jdro programistw, a take osb chccych sprawdzi jego nowe moliwoci.


31

OUTPUT - zbir regu dla pakietw pochodzcych z lokalnego hosta,

FORWARD - zbir regu dla pakietw przechodzcych przez lokalny router.

Tablica nat jest gwnie przeznaczona do maskowania adresw IP (IP masquerading), przekierowania portw (port forwarding), budowy przezroczystych proxy (transparent

proxying). W tablicy tej umieszczono nastpujce predefiniowane zbiory regu:

PREROUTING zbir regu dla pakietw przychodzcych z zewntrz hosta,

OUTPUT - zbir regu dla pakietw pochodzcych z lokalnego hosta,

POSTROUTING - zbir regu dla pakietw wychodzcych na zewntrz hosta.

Tablica mangle suy gwnie do kontroli przepywu danych (ograniczanie pasma, routing rozszerzony). W tablicy tej umieszczono nastpujce predefiniowane zbiory regu:

PREROUTING jak dla tablicy nat,

OUTPUT jak dla tablicy nat. Oprcz predefiniowanych, mona rwnie wykorzystywa wasne zbiory regu. Kolejno przetwarzania poszczeglnych zbiorw regu przedstawiono na rys. 9.

Rys. 9. Droga pakietw przez tablice IPTables

W regule definiowany jest wzorzec i akcja. Wzorzec to kryterium jakie musi speni

pakiet, aby wykonana zostaa na nim okrelona akcja. W IPTables mona definiowa

nastpujce wzorce:

docelowy i rdowy adres IP,

protok (TCP, UDP, ICMP),

PREROUTING FORWARD POSTROUTING

INPUT OUTPUT

Proces lokalny

(mangle, nat) (filter) (nat)

(filter) (mangle, nat, filter)


32

interfejs sieciowy,

flagi pakietw (SYN, ACK, FIN, URG, itd.),

typy pakietw (echo-reply, echo-reguest, destination-unreachable),

docelowy i rdowy port pakietw TCP i UDP,

adres MAC interfejsw ethernetowych,

czstotliwo napywu pakietw,

staus pakietu (NEW, ESTABLISHED, RELATED, INVALID),

waciciel pakietu (UID, GID, PID, SID).

Lista akcji przedstawia si nastpujco:

DROP zniszczenie pakietu,

ACCEPT przepuszczenie pakietu,

RETURN zakoczenie przetwarzania biecego zbioru regu,

QUEUE umieszczenie pakietu w kolejce do procesu uytkownika,

MARK oznakowanie pakietu,

REJECT zniszczenie pakietu z powiadomieniem nadawcy (przez ICMP),

TOS ustawienie flag TOS (Type Of Service) pakietu,

DNAT translacja adresu docelowego,

SNAT translacja adresu rdowego,

REDIRECT przekierowanie pakietu na inny port,

MASQUERADE maskowanie adresu IP.

5.1.7. Przykad 3

W kolejnym przykadzie przyjlimy topologi sieci przedstawion na rys. 10.


komputer w zaporze wyposaony jest w trzy interfejsy sieciowe: dla poczenia

z Internetem i poczenia z sieciami lokalnymi; peni wic te rol routera,

jedna z podsieci zawiera serwery z prywatnymi adresami IP,

druga podsie zawiera tylko komputery klienckie z adresami IP rwnie z puli

prywatnej,

zapora sieciowa wykonuje filtrowanie, z domylnym blokowaniem pakietw,

polegajce na przepuszczaniu pakietw tylko gwnych usug sieciowych.


33

Postawiony cel mona osign konfigurujc komputer w zaporze przy pomocy

przedstawionego poniej cigu polece. Polecenia te powinny zosta umieszczone

w jednym ze skryptw wywoywanych podczas startu systemu.


Reguy wstpne:

iptables -N log_and_drop

iptables -A log_and_drop -j LOG

iptables -A log_and_drop -j DROP

iptables -N log_and_reject

iptables -A log_and_reject -j LOG iptables -A log_and_reject -j REJECT

Internet

192.168.2.5 192.168.2.3

192.168.2.4192.168.2.2

eth0: 148.81.1.1

eth2

: 1

92.1

68.2

.1

eth1

: 1

92.1

68.1

.1

192.168.1.2

SMTP,POP3,IMAP

192.168.1.3

HTTP, HTTPS

DNS, WWW Proxy

webserver inetserver gateway


34

Konfiguracja NAT Pakiety przychodzce z Internetu skierowane do hosta gateway na port 80 (WWW) oraz

port 443 (HTTPS), zostan skierowane do hosta webserver.

iptables -t nat -A PREROUTING -i eth0 -p TCP -d 148.81.1.1

--dport www -j DNAT --to-destination 192.168.1.3:www iptables -t nat -A PREROUTING -i eth0 -p TCP -d 148.81.1.1

--dport https -j DNAT --to-destination 192.168.1.3:https

Pakiety kierowane do hosta gateway na port 25 (SMTP), zostan skierowane do hosta

inetserver:

iptables -t nat -A PREROUTING -i eth0 -p TCP -d 148.81.1.1

--dport smtp -j DNAT --to-destination 192.168.1.2:smtp

Ruch HTTP i HTTPS przychodzcy z sieci LAN i kierowany na zewntrz, przepuszczamy

przez przezroczyste proxy. Rol serwera proxy peni bdzie program SQUID

nasuchujcy w porcie 8081 (tproxy):

iptables -t nat -A PREROUTING -i eth2 -p TCP -d ! 148.81.1.1

--dport www -j REDIRECT --to-port tproxy iptables -t nat -A PREROUTING -i eth2 -p TCP -d ! 148.81.1.1

--dport https -j REDIRECT --to-port tproxy

Dla wszelkiego ruchu wychodzcego do Internetu ustawiamy maskowanie adresw:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 148.81.1.1

Konfiguracja filtra

!"Zbir regu INPUT:

Tworzymy wasny zbir regu pod nazw ext_in:

iptables -N ext_in

Kierujemy do tego zbioru wszystkie pakiety przychodzce z interfejsu eth0:

iptables -A INPUT -i eth0 -j ext_in

Odrzucamy i rejestrujemy pakiety nie skierowane na zewntrzny adres IP:

iptables -A ext_in -d ! 148.81.1.1 -j log_and_drop


35

Dopuszczamy ruch DNS oraz SSH:

iptables -A ext_in -p TCP -d 148.81.1.1 --dport domain -j ACCEPT iptables -A ext_in -p UDP -d 148.81.1.1 --dport domain -j ACCEPT iptables -A ext_in -p TCP -d 148.81.1.1 --dport ssh -j ACCEPT

Dopuszczamy ruch ICMP oraz TCP i UDP na portach wolnodostpnych:

iptables -A ext_in -p TCP --dport 1024-65535 -j ACCEPT iptables -A ext_in -p UDP --dport 1024-65535 -j ACCEPT iptables -A ext_in -p ICMP -j ACCEPT

Ca reszt ruchu z zewntrz odrzucamy i rejestrujemy:

iptables -A ext_in -j log_and_drop

Nie ograniczamy ruchu z wntrza obydwu sieci wewntrznych do hosta gateway:

iptables -A INPUT -i eth2 -s 192.168.2.0/24 -d 192.168.2.1 -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.1.0/24 -d 192.168.1.1 -j ACCEPT

Ca reszt ruchu z sieci wewntrznych odrzucamy i rejestrujemy:

iptables -A INPUT -j log_and_drop

!"Zbir regu OUTPUT

Blokujemy nawizywanie pocze z podsieci komputerw klienckich, a reszt

dopuszczamy:

iptables -A OUTPUT -o eth2 --match state --state NEW

iptables -P OUTPUT -j ACCEPT

!"Zbir regu FORWARD

Definiujemy 6 podzbiorw regu:

iptables -N fw_lan_isn

iptables -N fw_lan_inet

iptables -N fw_lan_lan

iptables -N fw_isn_inet

iptables -N fw_inet_lan

iptables -N fw_inet_isn


36

Kierujemy pakiety do poszczeglnych podzbiorw regu:

iptables -A FORWARD -i eth2 -s 192.168.2.0/24 -o eth1 -j fw_lan_isn iptables -A FORWARD -i eth2 -s 192.168.2.0/24 -o eth0 -j fw_lan_inet iptables -A FORWARD -i eth1 -s 192.168.1.0/24 -o eth2 -j fw_isn_lan iptables -A FORWARD -i eth1 -s 192.168.1.0/24 -o eth0 -j fw_isn_inet iptables -A FORWARD -i eth0 -o eth2 -j fw_inet_lan iptables -A FORWARD -i eth0 -o eth1 -j fw_inet_isn

Dopuszczamy ruch ICMP, reszt odrzucamy i rejestrujemy:

iptables -A FORWARD -p ICMP -j ACCEPT iptables -A FORWARD -j log_and_drop

Ustawiamy reguy w kadym ze zdefiniowanych podzbiorw. Przeledzenie ich

pozostawiamy czytelnikowi:

iptables -A fw_lan_isn -p TCP -d webserver --dport ssh -j ACCEPT iptables -A fw_lan_isn -p TCP -d webserver --dport www -j ACCEPT iptables -A fw_lan_isn -p TCP -d webserver --dport https -j ACCEPT iptables -A fw_lan_isn -p TCP -d inetserver --dport ssh -j ACCEPT iptables -A fw_lan_isn -p TCP -d inetserver --dport smtp -j ACCEPT iptables -A fw_lan_isn -p TCP -d inetserver --dport pop-3 -j ACCEPT iptables -A fw_lan_isn -p TCP -d inetserver --dport imap -j ACCEPT iptables -A fw_lan_isn -p TCP --dport 1024-65535 -j ACCEPT iptables -A fw_lan_isn -p UDP --dport 1024-65535 -j ACCEPT iptables -A fw_lan_inet -p TCP --dport www -j log_and_drop iptables -A fw_lan_inet -p TCP --dport https -j ACCEPT iptables -A fw_lan_inet -p TCP --dport ftp -j ACCEPT iptables -A fw_lan_inet -p TCP --dport ftp-data -j ACCEPT iptables -A fw_lan_inet -p TCP --dport ssh -j ACCEPT iptables -A fw_lan_inet -p UDP --dport domain -j ACCEPT iptables -A fw_lan_inet -p TCP --1024-65535 -j ACCEPT iptables -A fw_lan_inet -p UDP --1024-65535 -j ACCEPT iptables -A fw_isn_lan -j ACCEPT iptables -A fw_isn_inet -j ACCEPT iptables -A fw_inet_isn -p TCP -d webserver --dport www -j ACCEPT iptables -A fw_inet_isn -p TCP -d webserver --dport https -j ACCEPT iptables -A fw_inet_isn -p TCP -d inetserver --dport smtp -j ACCEPT iptables -A fw_inet_isn -p TCP --dport 0-1023 -j log_and_drop


37

iptables -A fw_inet_isn -p TCP --dport 1024-65535 -j ACCEPT iptables -A fw_inet_isn -p UDP --dport 1024-65535 -j ACCEPT iptables -A fw_inet_lan -p TCP --dport 0-1023 -j log_and_drop iptables -A fw_inet_lan -p UDP --dport 0-1023 -j log_and_drop iptables -A fw_inet_lan --match state --state NEW -j log_and_drop iptables -A fw_inet_lan -j ACCEPT

6. Komercyjne zapory sieciowe

Na rynku dostpnych jest wiele komercyjnych zapr sieciowych. Nale do nich m.in.:

AltaVista Firewall 98

BorderWare Firewall Server

Cisco PIX Firewall

Check Point Firewall-1

Gauntlet Firewall

Raptor Firewall

ISA Server 2000

AltaVista Firewall 98

5 maja 1998 firma Digital Equipment Corporation, wprowadzia na rynek AltaVista

Firewall 98, najnowsz wwczas wersj wielokrotnie nagradzanego oprogramowania,

dziaajcego w rodowisku systemw Windows NT i UNIX. Oprogramowanie AltaVista

Firewall 98, certyfikowane przez stowarzyszenie NCSA, jest zapor, ktra chroni sie

aktywnie, automatycznie wczajc mechanizmy przeciwdziaajce i podejmujce

zaawansowane akcje, gdy atak staje si grony. W poczeniu z AltaVista Tunnel 98

oprogramowanie AltaVista Firewall 98 zapewnia administratorom sieci moliwo

tworzenia wirtualnych sieci prywatnych (virtual private network VPN) na bazie Internetu.

Konstruktorzy AltaVista Firewall 98 przewidzieli obsug izolowanych sieci LAN lub

tzw. stref zdemilitaryzowanych (DMZ), w ktrych przedsibiorstwa mog umieszcza

serwery wspomagajce klientw lub umoliwiajce prowadzenie handlu. Strefy DMZ

zawierajce serwery WWW, serwery pocztowe lub niewidoczne serwery FTP s chronione


38

przez mechanizmy AltaVista Firewall 98, ale s nadal dostpne poprzez Internet.

Graficzny interfejs uytkownika umoliwia administratorom systemu ustalanie w prosty

sposb zasad bezpieczestwa oddzielnych dla stref DMZ i sieci intranetowych.

Uytkownicy AltaVista Firewall 98 mog integrowa wyroby innych producentw

zapewniajc bezpieczestwo caego rodowiska poprzez stosowanie protokou CVP

(Content Vectoring Protocol). Cz zwykych aplikacji obsugujcych protok CVP

zawiera oprogramowanie Finjan Java Screening dla apletw w jzyku Java oraz Norton

Antivirus firmy Symantec dla ochrony przed wirusami.

Administratorzy mog tworzy i wdraa specyficzne zasady dla poszczeglnych

grup uytkownikw i serwerw. Poprzez specyfikacj praw dostpu dla poszczeglnych

serwerw, grup lub oddziaw, mona uzyska szerokie i elastyczne moliwoci

definiowania zasad bezpieczestwa w obrbie caej firmy. Na przykad, tylko pracownicy

dziau osobowego mog mie dostp do serwera obsugujcego ten dzia, natomiast

wszyscy zatrudnieni bd mogli skorzysta z technicznych opisw produktw, ktre

mieszcz si na serwerze dziau marketingu.

Jako znaczce rozszerzenie moliwoci aktywnego reagowania AltaVista Firewall

98 na prby wama wprowadzono opcj ustawiania progu liczby zdarze, ktre powoduj

wczenie alarmu. Gdy takie zdarzenie wystpuje w systemie, zapora notuje ile razy ono

wystpio, wczajc alarm tylko w przypadku przekroczenia ustalonej liczby zdarze.

Taka moliwo redukuje liczb faszywych alarmw powodowanych na przykad

wprowadzeniem przez uytkownika nieprawidowego hasa jeden lub dwa razy.

BorderWare Firewall Server

BorderWare Firewall Server jest kompletnym serwerem Internetu oraz systemem

bezpieczestwa. Uniemoliwia niepowoanym uytkownikom dostp do poufnych

informacji w sieciach wewntrznych, zapewniajc jednoczenie autoryzowanym

uytkownikom korzyci pynce z penego dostpu do Internetu.

BorderWare Firewall Server czy w sobie internetowe serwery poziomu aplikacji

takie jak World Wide Web, Mail, News i Name Service oraz "proxy" dla aplikacji takich jak

Mosaic, Telnet i FTP, z przezroczystym firewallem IP. Wszystkie standardowe aplikacje

sieciowe, takie jak Telnet, FTP czy Mosaic, mog pracowa bez adnych modyfikacji

poniewa serwery proxy s dla nich przeroczyste Firewall umoliwia dostp z Internetu


39

do sieci wewntrznej jedynie legalnym uytkownikom. Schematy autoryzacji uytkownikw

wykorzystuj do generowania jednokrotnych hase algorytmy oparte na DES. Aby

wygenerowa jednorazowe haso suce do zweryfikowania tosamoci, uytkownik musi

posiada specjaln kart bezpieczestwa CryptoCard ("token") i osobisty numer

identyfikacyjny (PIN). BorderWare Firewall Server potrafi wykorzystywa serwer

autentykacji SafeWord w celu potwierdzania tosamoci uytkownikw sieci. Ale ju

sam BorderWare Firewall Server moe korzysta z ponad 20 typw kart autentykacyjnych,

wcznie z SafeWord DES Gold.

BorderWare Firewall Server umoliwia badanie, kontrolowanie, audytowanie

i weryfikowanie caego ruchu sieciowego przychodzcego i wychodzcego z sieci

zaufanej, zarwno na poziomie pakietw, jak i na poziomie poczenia.

Jest on konfigurowany jest za pomoc dowolnej przegldarki WWW obsugujcej

aplety Javy. Poprzez interfejs graficzny napisany w Javie mona zmieni tryb pracy

serwera, prawa dostpu czy te zdefiniowa nowy poziom bezpieczestwa. Odpowiednio

przygotowane przez producenta skrypty sprzone z interfejsem graficznym znakomicie

uatwiaj konfigurowanie pakietu. Mona okreli z ktrych serwerw i w jakich godzinach

mona korzysta, a z ktrych nie. Np. od 8.00 do 15.00 zabraniamy korzysta z WWW

i FTP. Dla kadego dnia tygodnia mona przygotowa inn konfiguracj. Dziki

zastosowaniu zaawansowanego systemu autoryzacji uytkownikw wykorzystujcego

szyfrowanie transmisji z uyciem mechanizmu SSL (Secure Sockets Layer) praktycznie

wykluczono moliwo zmieniania ustawie serwera przez osob nieuprawnion. Dziki

temu z powodzeniem mona bezpiecznie zarzdza firewallem z dowolnego miejsca

w Internecie.

W celu podwyszenia poziomu zabezpiecze sieciowych BorderWare Firewall

Server oferuje moliwo zwielokrotnionej translacji adresw (Multiple Address Translation

MAT). W wyniku uzyskujemy poczenie ochrony przed atakiem z zewntrz z obsug

wielu serwerw internetowych jednej klasy, np. serwerw WWW przypisanych do rnych

domen. Serwery umieszczone w opcjonalnej, bezpiecznej sieci serwerw (Secure Server

Network - SSN) mog by widziane z zewntrz poprzez odpowiednie nazwy symboliczne

lub adresy IP. SSN jest opcjonalnym rozwizaniem dajcym moliwo zintegrowania

z firewallem serwerw pochodzcych od innych producentw bez naruszania integralnoci

samego firewalla, przy zapewnieniu ochrony "obcym" serwerom. Komputery, na ktrych

pracuj dodatkowe serwery s umieszczane w sieci podczonej do trzeciego interfejsu


40

sieciowego firewalla. Ten trzeci segment sieci jest odseparowany od pozostaych

segmentw, co powoduje, e w przypadku wamania do jednego z hostw w SSN nie

zostanie naruszone bezpieczestwo chronionej sieci wewntrznej. Dziki SSN nie trzeba

dodatkowych serwerw umieszcza przed firewallem naraajc je tym samym na

bezporednie ataki, ani w sieci wewntrznej, co z kolei obniyoby jej zabezpieczenia.

Dziki MAT moliwe jest rwnie ukrycie za jednym BorderWare Firewall Serverem

kilku dublujcych si serwerw, rozkadajcych pomidzy siebie obcienie ruchem

sieciowym. Uzyskujemy wtedy due lepsze parametry pracy systemu, zwaszcza

w przypadku intensywnie odwiedzanych serwerw WWW. W celu filtrowania dostpu do

dokumentw identyfikowanych przez URL (np. stron WWW) zintegrowano z firewallem

system SmartFilter. Zapobiega to wykorzystywaniu sieci w celach innych ni zawodowe,

zatykaniu przepustowoci cza internetowego i stracie czasu pracownikw.

W BorderWare Firewall Server wbudowany jest cakowicie automatyczny system

zarzdzania kluczami szyfrowania, ktry pozwala na atw i bezpieczn wymian kluczy.

Elementem tego systemu jest mocny algorytm szyfrowania, co przy zautomatyzowaniu

procesu generowania nowych kluczy redukuje prawdopodobiestwo uzyskania przez

niepowoane osoby dostpu do kluczy szyfrowania. Wpywa to rwnie na efektywno

przebiegu procedury wymiany kluczy.

Rozszerzajc zakres zabezpiecze poza firewall wprowadzono system Wirtualnej

Sieci Prywatnej (VPN) zapewniajcy bezpieczn i poufn komunikacj przez Internet.

BorderWare Firewall Server ma moliwo czenia si z innymi produktami zgodnymi ze

standardem IPSec tworzc zaszyfrowany kana komunikacyjny. Przy wykorzystaniu

Internetu jak szkieletu takiej sieci uzyskujemy za niewielk cen moliwo efektywnej

i poufnej komunikacji klasy WAN z rnymi miejscami na caym wiecie.

Cisco PIX Firewall

Cisco PIX Firewall (Private Internet Exchange) do ochrony sieci przed

niepowoanym dostpem z zewntrz, wykorzystuje mechanizm translacji adresw NAT

(Network Address Translation). Technologia NAT jest dostpna w systemie operacyjnym

routerw Cisco (Cisco IOS) od poowy 1996 roku.


41

PIX jest urzdzeniem wyposaonym w dwa porty Ethernet. W klasycznej

konfiguracji jeden z portw doczony jest do sieci lokalnej, drugi natomiast do

wyodrbnionego segmentu, w ktrym znajduje si tylko router internetowy. Ilustruje to

rys. 11.

Rys. 11. Topologia sieci wykorzystujcej Cisco PIX Firewall

PIX operuje na bezpiecznym jdrze czasu rzeczywistego, ktre zapewnia

dodatkowy poziom zabezpiecze. Urzdzeniem tym praktycznie nie trzeba administrowa.

Jest te bezpieczniejsze ni firewall oparty na systemie UNIX. Wszelkie operacje dostpu

s kontrolowane i rejestrowane za pomoc standardowego mechanizmu rejestrowania

wydarze (syslog TCP/IP Berkeley UNIX). PIX gromadzi szereg informacji istotnych

z punktu widzenia bezpieczestwa oraz administrowania sieci.

Oprogramowanie PIX jest skalowalne i atwe do konfigurowania. Typowa

konfiguracja zajmuje okoo 5 minut. Oprogramowanie to oferuje rwnie wysok

wydajno (maksymalnie ponad 16000 rwnoczesnych pocze, translacj adresw

z prdkoci do 45 Mb/s).

Zastosowanie karty Cisco PIX Private Link umoliwia bezpieczn komunikacj

midzy wieloma systemami PIX przez Internet z uyciem standardu algorytmu szyfrowania

DES (Data Encryption Standard). Para takich urzdze pozwala korzysta z Internetu jako

bezpiecznego medium transmisji dla poufnych informacji. Ilustruje to rys. 12. Technicznie

jest to realizowane w taki sposb, e pakiet IP po dotarciu do PIX Private Link jest

szyfrowany, umieszczony w pakiecie UDP i przesany przez Internet do bliniaczego

urzdzenia. Takie rozwizanie sprawia, e s szyfrowane take adresy IP komputerw

biorcych udzia w komunikacji, natomiast zastosowanie protokou UDP nie powoduje

nadmiernego wzrostu iloci transmitowanych danych.


42

Rys. 12. VPN utworzona przy pomocy PIX Private Link

PIX zosta rwnie wyposaony w mechanizm, zapobiegajcy przechwytywaniu

sesji TCP na podstawie przewidywania numerw sekwencyjnych TCP. Podczas gdy

wikszo dostpnych na rynku pakietw programowych wykorzystujcych do transmisji

protok TCP/IP posuguje si zwykym, liniowym zwikszaniem numerw sekwencyjnych,

co upraszcza przewidywanie numerw nastpnych a tym samym przejmowanie sesji, PIX

posuguje si losow generacj tych numerw.

Check Point Firewall-1

Check Point Firewall-1 jest oprogramowaniem umoliwiajcym kreowanie wasnej

polityki bezpieczestwa dla caych przedsibiorstw i dowolnie duych sieci po

zainstalowaniu na jednej stacji roboczej. Bazuje na technologii wielowarstwowej inspekcji

(Stateful Multi-Layer Inspection Technology), charakteryzujcej si wysokim stopniem

bezpieczestwa i du wydajnoci. Oferuje kombinacj zabezpiecze na poziomie sieci

i aplikacji uytkowych, gwarantujc szczelno zabezpiecze dla dowolnie duych

organizacji, z jednoczesnym przezroczystym dostpem do zasobw Internetu. Wszystkie

przychodzce i wychodzce pakiety danych s sprawdzane pod ktem zgodnoci

z zaoon polityk bezpieczestwa i natychmiast odrzucane w przypadku jej naruszenia.

Jak w wikszoci tego typu produktw dostpna jest rwnie translacja adresw IP (NAT).

Dziki dynamicznym mechanizmom autoryzacyjnym na poziomie aplikacji, Check

Point Firewall-1 umoliwia realizowanie bezpiecznych pocze dla ponad 100

wbudowanych serwisw takich jak World Wide Web, FTP, RCP, Mbone i caa rodzina

UDP cznie z RealAudio (dwik) i VDO (obraz).


43

Modu szyfrujcy VPN (Virtual Private Network) umoliwia tworzenie wirtualnych,

prywatnych i komercyjnych sieci na bazie publicznych sieci rozlegych takich jak Internet.

Zastosowana metoda Diffie-Hellmana pozwala wybra kombinacj parametrw

gwarantujcych odpowiedni do potrzeb szybko dziaania, efektywno

i bezpieczestwo okrelonej konfiguracji. Dostpny jest take modu szyfrujcy DES oraz

modu wykorzystujcy do przesyania danych protok IPSec. Jeszcze jedn metoda

szyfrowaniu ruchu TCP/IP umoliwiajca tworzenie wirtualnych sieci prywatnych jest SKIP

(Simple Key Management for IP).

Dziki moduowi SecuRemote Client uytkownicy przenonych stacji Microsoft

Windows maj moliwo poczenia bezporednio lub poprzez dostawc usug Internet

z sieci korporacyjn w sposb analogiczny do poczenia wewntrz wasnej sieci. Zostao

to zrealizowane poprzez rozszerzenie idei VPN na odlege stacje robocze. Poszczeglni

uytkownicy mog uzyska zagwarantowany szyfrowany dostp do chronionych danych

firmy bez potrzeby instalacji oprogramowania Firewall-1 w miejscu swojej pracy. Istnieje

take moliwo oferowania dostpu do szyfrowanych danych serwera za opat. Istotn

cech klienta PC uywajcego SecuRemote jest brak koniecznoci zmiany lokalnego

rodowiska pracy (karta sieciowa i transport TCP/IP pozostaj te same) oraz obsuga

dynamicznych adresw IP uywanych w typowych poczeniach modemowych.

Administrator zarzdza dostpem takich klientw za pomoc edytora zasad

bezpieczestwa (Rules Editor).

Modu Client Level Security obsuguje autoryzacj klientw za pomoc specjalnych

urzdze (np. SecurID) lub kluczy programowych takich jak haso systemu UNIX lub

wewntrzne haso FireWall-1. Modu User Level Security gwarantuje chroniony dostp dla

wybranych uytkownikw przy uyciu metod analogicznych jak zastosowane w Client

Level Security. Autoryzacja uytkownikw dotyczy indywidualnych kont uytkowych,

natomiast autoryzacja klientw dotyczy wszystkich uytkownikw na maszynie z wybran

aplikacj.

Check Point FireWall-1 jest dostpny dla platform Solaris Intel, Solaris SPARC,

Windows NT i HP-UX. Gwarantuje to zapewnienie penej wsppracy moduw

zainstalowanych na rnych platformach sprztowo-programowych.


44

Graficzny Modu Zarzdzajcy (GUI) zaprojektowano do pracy wg modelu klient-

serwer. Dziki temu moduowi, administrator moe zarzdza baz danych Check Point

FireWall z dowolnego wza sieci - komputera Solaris Intel, SPARC, HP-UX, Windows 95

lub Windows NT. Przykad okna moduu przedstawiono na rys. 13.

Rys. 13. Przykad okna dialogowego Graficzny Modu Zarzdzajcy Check Point FireWall-1

FireWall-1 HTTP Authentication Proxy pozwala na kontrolowane wiadczenie usug

WWW. Ochrona dostpu dotyczy moe dowolnej liczby serwerw webowych. Dostpna

jest rwnie funkcja nadzorowania serwisu WWW. Administrator moe okreli oglne

zasady korzystania z usugi HTML przez poszczeglnych uytkownikw. Moe np.

zezwoli na przegldanie pewnych serwerw tylko w okrelonym czasie lub zabroni

odwiedzania wybranych lokalizacji.

Dostpny w pakiecie serwer SMTP zastpuje oryginalny serwer UNIXa oferujc

rozszerzon kontrol nad systemem poczty elektronicznej. Administrator ma szereg

dodatkowych moliwoci takich jak: ukrywanie rzeczywistych adresw pocztowych

poszczeglnych uytkownikw sieci lokalnej, przekierowywanie nadchodzcej poczty,

selekcj przychodzcych listw, blokowanie zacznikw do przesyek pocztowych,

odrzucanie listw przekraczajcych wyznaczony rozmiar.


45

W ramach diagnostyki antywirusowej Firewall-1 bada pliki kopiowane do sieci

lokalnej za porednictwem protokou FTP pod ktem przenoszenia wirusw. Bada rwnie

poziom bezpieczestwa apletw Javy transmitowanych do sieci lokalnej.

Check Point FireWall-1 ma moliwo rwnowaenia obcienia serwerw

sieciowych. Napywajce z zewntrz zadania s przechwytywane i kierowane do

odpowiednich serwerw zgodnie z przyjtym algorytmem. Jest to szczeglnie przydatne

do regulacji obcienia lustrzanych serwerw HTTP. Obsugiwane s nastpujce metody

regulacji:

Server Load - zadanie zostaje skierowane do najmniej obcionego serwera,

Round Robin - wybr serwera odbywa si w sposb cykliczny,

Domain - zadania s kierowane do serwera, ktrego nazwa DNS jest najblisza

nazwie komputera inicjujcego to zadanie,

Load Measuring - zadania s kierowane do najmniej obcionego serwera zgodnie

ze wskazaniami procedury napisanej przez administratora,

Round Trip - kierowanie zadania s kierowane do komputera o najkrtszym czasie

odpowiedzi,

Random losowy wybr serwera.

W pakiecie zaimplementowano synchroniczn prac moduw. Umoliwia to

powielanie pracy komputerw zaporowych i wzajemne przejmowanie funkcji w przypadku

awarii jednego z nich. Dostpne s rwnie mechanizmy antyspoofingowe.

Gauntlet Firewall

Gauntlet Firewall czy metody zabezpiecze typu firewall-application gateway z tak

wanymi cechami jak zintegrowane zarzdzanie, czy zabezpieczenie transmitowanych

informacji. W wersji dla systemu UNIX dostpna jest take usuga wirtualnych sieci

prywatnych VPN. Budowa Gauntlet Firewall pozwala firmom realizowa polityk

bezpieczestwa umoliwiajc dostp jedynie do tych usug ktre zostay skonfigurowane

przez administratora i ktre mog by bezpiecznie uytkowane. Oto lista najwaniejszych

z nich:


46

HTTP Proxy Finger Proxy RealVideo Packet Filter

Gopher SMTP Proxy Proxy NAT

SHTTP POP Proxy Xing Proxy SecureID

SSL Lotus Notes Netshow Proxy Integrated VPN

JavaGuard Proxy VDOLive Proxy DES56

ActiveXGuard SNMP Proxy Sybase Proxy PCX Client

KeywordGuard NNTP Proxy Oracle Proxy Authentication

URL screening LPR Proxy Logging System Server

RSH Proxy Whois Proxy reports DNS Hiding

Telnet Proxy Circuit Proxy alerts Content Vector

Rlogin Proxy RealAudi scripting Protocol

Rlogin Proxy Proxy SNMP agent

X11 Proxy

Zarzdzanie pakietem Gauntlet Firewall realizuje si z poziomu dowolnej

przegldarki zdolnej do obsugi appletw jzyka JAVA. System dostpu do danych

czasu rzeczywistego umoliwia wspprac z najpopularniejszymi serwisami

multimedialnymi, takimi jak Microsoft Net Show czy VDOlive.

Gauntlet Firewall wsppracuje z powszechnie uznanymi programami

antywirusowymi. Uytkownik moe wybra dowolne oprogramowanie antywirusowe

dostosowane do jego potrzeb i z atwoci skonfigurowa Gauntlet Firewall do

wsppracy z tym oprogramowaniem. Ma to na celu kontrol antywirusow

przychodzcych z Internetu plikw, wiadomoci lub caego generowanego ruchu.

Jako i technologie takie jak Java lub ActiveX stanowi istotne

niebezpieczestwo dla systemw komputerowych, Gauntlet Firewall moe cakowicie

zablokowa dostp tego typu appletw do zabezpieczanej sieci. Dodatkowo posiada

rozbudowane moliwoci filtrowania adresw URL.

W wersji dla systemu UNIX, pakiet zawiera moliwoci pracy w standardzie

GVPN (Global Virtual Private Networks. Dla stworzenia bezpiecznego poczenia

wykorzystuje dla szyfrowania przesyanych informacji algorytm DES z kluczem 56

bitowym.

Gauntlet Firewall moe by zarzdzany i konfigurowany za pomoc takich

systemw zarzdzania jak HP OpenView lub CA Unicenter. Dodatkowo oferuje


47

w chwili obecnej moliwo zarzdzania i dostpu do urzdze SNMP w sieci

lokalnej, Intranecie lub innej sieci rozlegej bez wystawiania systemu na

niebezpieczestwo.

Omawiany pakiet wsppracuje z najwaniejszymi systemami potwierdzania

autentycznoci takimi jak SecurID firmy Security Dynamics, AssureNET Pathways,

Radius, S/Key firmy Bellcore, CRYPTOCard RB-1, Digital Pathways SecurNet Key,

Digipass, Enigma Logics, NSA Fortezza, Vasco Data Security Access Key II, V-ONE

SmartCat. Administrator moe udostpni usugi tylko dla uytkownikw ktrzy

potwierdz sw tosamo.

Gauntlet Firewall pracuje na platformach: Windows NT, UNIX BSDI/OS (Intel),

Solaris, Hewlett Packard HP-UX, Silicon Graphics IRIX.

Raptor Firewall 6.0 dla Windows NT

Raptor Firewall dla Windows NT to system zabezpiecze czcy cechy filtra

pakietowego IP z systemem filtrw aplikacyjnych "proxy". Oprogramowanie zawiera

szereg mechanizmw bezpieczestwa, takich jak: anty-spoofing, bezpieczne

tunelowanie przez Internet dziki obsudze protokow IPSec oraz ISAKMP/Oakley,

mechanizmy autoryzacji oraz mechanizmy blokowania analizujce tre

przesyanych informacji: WebNOT i NewsNOT.

Raptor wprowadzony do sprzeday w 1996 roku by pierwszym systemem

firewall dla Windows NT. Raptor oferuje cis integracj z serwisami

i mechanizmami autoryzacji Windows NT Wykorzystuje mechanizmy

wielowtkowoci i wieloprocesorowoci systemu operacyjnego. Ukrywa wszystkie

systemy i adresy sieci wewntrznej oraz zakazuje wszystkich pocze z zewntrz

prcz jawnie dozwolonych. Raptor chroni take przed atakami na poziomie aplikacji,

ktre zazwyczaj nie s wykrywane na poziomie filtrw sieciowych i transportowych.

Raptor stosuje bezpieczne filtry aplikacyjne typu proxy, analizujce nastpujce

protokoy:

FTP NTP RealAudio Gopher

SMTP (e-mail SQL*Net Java H.323

telnet HTTP i HTTPS NNTP (News)


48

CIFS/SMBRaptor stosuje unikalny algorytm "best fit" realizujcy dopasowanie regu

dostpu do pocze sieciowych, co zmniejsza ryzyko popenienia bdu przez

administratora konfigurujcego firewall. Czynnoci administracyjne s realizowane

poprzez graficzny interfejs uytkownika (GUI), co znacznie je upraszcza.

Do zalet tego pakietu naley zaliczy szczegowy zapis pocze przechodzcych

przez firewall. Zapis ten pozwala administratorom szybko analizowa zachowanie sieci

i reagowa na ewentualne nieprawidowoci. Zebrane informacje mog by te

eksportowane do relacyjnej bazy danych w celu przeprowadzenia szczegowej analizy

lub billingu.

ISA Server 20004

ISA Server 2000 (Internet Security and Acceleration) jest nastpc MS Proxy

Servera 2.0. Oprcz realizowanej dotychczas przez ten pakiet funkcji bufora transmisji

internetowych, nowy pakiet moe peni funkcj firewalla i serwera VPN. Moliwe jest

rwnie budowanie konfiguracji klastrowych wykorzystujcych usugi Network Load

Balancing z Windows 2000 Advanced Server. czenie kilku serwerw buforujcych

w jeden system przypiesza dostp do stron internetowych.

Zapora sieciowa zbudowana w oparciu o ISA Server daje moliwo filtrowania nie

tylko na poziomie transmisji pakietw, lecz rwnie poprzez analiz stateful inspection

oraz technologi filtrw aplikacyjnych. Ostatnia z wymienionych technologii umoliwia

analiz kontekstu sesji komunikacyjnej, czyli zawartoci pakietw a nie tylko ich

nagwkw.

Poczenie VPN moe by realizowane w dwch trybach. W pierwszym, serwer ISA

poredniczy w komunikacji pomidzy sieci wewntrzn i zewntrzn funkcjonujc

w sposb anonimowy. W drugim moliwe jest bezporednie nawizanie pocze

pomidzy klientem w sieci wewntrznej a wzem w sieci publicznej. Translacja adresw

jest realizowana przez modu Secure NAT.

Podstawow zalet pakietu jest integracja z Windows 2000 i Active Directory.

Administrator moe tworzy tzw. polisy bezpieczestwa, okrelajce zasady na jakich

4 ISA Server 2000 w wersji beta jest dostpny pod adresem http:\\www.microsoft.com\isaserver.


49

moe si odbywa komunikacja poprzez firewall. Uytkownik prbujcy uzyska dostp do

Internetu komunikuje si z ISA Serwerem. Ten pyta Active Directory, czy dany uytkownik

ma prawo korzysta z okrelonej usugi. Serwer usugi katalogowej odpowiada serwerowi

ISA i jeeli poczenie jest dopuszczalne, to jest ono zestawiane.

W czasie pracy tworzona jest szczegowa kronika zdarze. Administrator moe

by informowany o zdarzeniach za porednictwem poczty elektronicznej. Odpowiednie

akcje mog by rwnie podejmowane w sposb automatyczny. Polega to bdzie zwykle

na uruchamianiu odpowiednich skryptw. W pakiecie dostpna rwnie bdzie funkcja

generowania rnego rodzaju raportw statystycznych, np. o wykorzystaniu stron WWW.

Literatura

[1] V. Ahuja, Network & Internet Security. Academic Press 1996 (tum. MIKOM 1997). [2] E. Amoroso, Intrusion Detection : Introduction to Internet Surveillance, Correlation, Traps,

Trace Back, and Response, AT&T Inc., 1999 (tum. RM 1999). [3] D. Atkins. Internet Security: Professional Reference. New Riders Publishing 1997 (tum.

LT&P 1997). [4] B. Ball, Using Linux, Prentice Hall 1997 (tum. MIKOM 1999). [5] B. Chapman, E. Zwicky, Building Internet Firewalls, OReilly Press, 1996. [6] D. E. Comer, Internetworking with TCP/IP, Vol I, Prentice Hall 1992, (tum. WNT 1998). [7] S.Garfinkel, G.Spafford. Practical Unix and Internet Security. OReilly & Associates 1996

(tum. RM 1997). [8] L.Klander. Hacker Proof. Jamsa Press, 1997 (tum. MIKOM 1998). [9] T.J. Watson, Address Allocation for Private Internets, RFC 1597. [10] K. Egevang, P. Francis, The IP Network Address Translator (NAT), RFC 1631. [11] M. Grennan, Firewall and Proxy Server HOWTO, Sep. 1999. [12] D. Ranch, Linux IP Masquerade HOWTO, Jan. 2000. [13] P. Russell, Linux IPCHAINS-HOWTO, Mar. 1999. [14] R. Russell, Linux 2.4 NAT HOWTO, May 2000. [15] R. Russell, Linux 2.4 Packet Filtering HOWTO, May 2000.

Recenzent: prof. dr hab. in. Stanisaw Paszkowski Praca wpyna do redakcji: 30.06.2000

Maskarada i Firewall

Documents

Transcript of Maskarada i Firewall