Biologie | Chimie | Didactica | Fizica | Geografie | Informatica | |
Istorie | Literatura | Matematica | Psihologie |
Linux se bucura de o popularitate din ce in ce mai mare printre pasionati si printre cei care lucreaza acasa. De asemenea, accesul direct si continuu la Internet se raspandeste tot mai mult in mediul casnic, pe masura ce modemurile pentru cablu si conexiunile DSL patrund pe piata de consum.
UNIX nu este doar o platforma populara pentru servere, si in special pentru serverele Web, ci si o poarta excelenta pentru o retea locala. Dincolo de poarta, conectata permanent la Internet, se afla alte masini UNIX, platforme Windows si NT, calculatoare Macintosh si imprimante partajate. Ca rezultat, utilizatorii sistemelor mici sunt expusi la probleme de securitate la care inatinte nu erau nevoiti sa se gandeasca. Securitatea retelei este importanta mai ales pentru utilizatorii Linux care au conexiuni directe la Internet. Spre deosebire de un simplu calculator personal, UNIX este un sistem de operare complet si puternic, care a fost creat pentru partajarea informatiilor in mediile de cercetare si dezvoltare, nefiind destinat celor lipsiti de experienta sau de protectie.
Numarul incercarilor globale de intruziune din Internet, precum si nivelul de complexitate al acestora sunt intr-o crestere continua. Modelele de scanare a porturilor s-au schimbat de la simple sonde, in cautarea catorva brese de securitate cunoscute, la scanari ale intregului domeniu de porturi pentru servicii. Cele mai noi instrumente destinate hackerilor sunt partajate in Internet, prin situri Web, liste postale si grupuri de informare. Vulnerabilitatile nou descoperite sunt publicate rapid in Internet si folosite imediat. Multe dintre situatiile considerate a fi incercari de atac sunt rezultatul curiozitatii, al unei greseli, al unui software prost scris sau al unui sistem gresit configurat. Multe atacuri pornesc de la sisteme compromise, in special situri universitare, folosite ca baza de operatii de catre un oaspete neinvitat.
Amenintarile la adresa securitatii unei retele de calculatoare pot avea urmatoarele origini: dezastre sau calamitati naturale, defectari ale echipamentelor, greseli umane de operare sau manipulare, fraude. Primele trei tipuri de amenintari sunt accidentale, in timp ce ultima este intentionata. Cateva studii de securitate a calculatoarelor estimeaza ca jumatate din costurile implicate de incidente sunt datorate actiunilor voit distructive, un sfert dezastrelor accidentale si un sfert greselilor umane. Acestea din urma pot fi evitate sau, in cele din urma, reparate printr-o mai buna aplicare a regulilor de securitate (salvari regulate de date, discuri oglindite, limitarea drepturilor de acces).
In amenintarile datorate actiunilor voite, se disting doua categorii principale de atacuri: pasive si active.
Atacuri pasive - sunt acelea in cadrul carora intrusul observa informatia ce trece prin "canal", fara sa interfereze cu fluxul sau continutul mesajelor. Ca urmare, se face doar analiza traficului, prin citirea identitatii partilor care comunica si "invatand" lungimea si frecventa mesajelor vehiculate pe un anumit canal logic, chiar daca continutul acestora este neinteligibil. Atacurile pasive au urmatoarele caracteristici comune:
nu cauzeaza pagube (nu se sterg sau se modifica date);
incalca regulile de confidentialitate;
obiectivul este de a "asculta" datele schimbate prin retea; .
pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legaturilor telefonice sau radio, exploatarea radiatiilor electromagnetice emise, rutarea datelor prin noduri aditionale mai putin protejate.
Atacuri active - sunt acelea in care intrusul se angajeaza fie in furtul mesajelor, fie in modificarea, reluarea sau inserarea de mesaje false. Aceasta inseamna ca el poate sterge, intarzia sau modifica mesaje, poate sa faca inserarea unor mesaje false sau vechi, poate schimba ordinea mesajelor, fie pe o anumita directie, fie pe ambele directii ale unui canal logic. Aceste atacuri sunt serioase deoarece modifica starea sistemelor de calcul, a datelor sau a sistemelor de comunicatii. Exista urmatoarele tipuri de amenintari active:
Mascarada - este un tip de atac in care o entitate pretinde a fi o alta entitate. O "mascarada" este insotita, de regula, de o alta amenintare activa, cum ar fi inlocuirea sau modificarea mesajelor;
Reluarea - se produce atunci cand un mesaj sau o parte a acestuia este reluata (repetata), in intentia de a produce un efect neautorizat;
Modificarea mesajelor - face ca datele mesajului sa fie alterate prin modificare, inserare sau stergere. Poate fi folosita pentru a se schimba beneficiarul unui credit in transferul electronic de fonduri sau pentru a modifica valoarea acelui credit. O alta utilizare poate fi modificarea campului destinatar/expeditor al postei electronice;
Refuzul serviciului - se produce cand o entitate nu izbuteste sa indeplineasca propria functie sau cand face actiuni care impiedica o alta entitate de la indeplinirea propriei functii;
Repudierea serviciului - se produce cand o entitate refuza sa recunoasca un serviciu executat.
In cazul atacurilor active se inscriu si unele programe create cu scop distructiv si care afecteaza, uneori esential, securitatea calculatoarelor, cu posibilitatea potentiala de infestare, prin retea sau copieri de dischete, a unui mare numar de masini. Dintre aceste programe distructive amintim urmatoarele:
Virusii - reprezinta programe inserate in aplicatii, care se multiplica singure in alte programe din spatiul rezident de memorie sau de pe discuri; apoi, fie satureaza complet spatiul de memorie/disc si blocheaza sistemul, fie, dupa un numar fixat de multiplicari, devin activi si intra intr-o faza distructiva (care este de regula exponentiala);
Bomba software - este o procedura sau parte de cod inclusa intr-o aplicatie "normala", care este activata de un eveniment predefinit. Autorul bombei anunta evenimentul, lasand-o sa "explodeze", adica sa faca actiunile distructive programate;
Viermii - au efecte similare cu cele ale bombelor si virusilor. Principala diferenta este aceea ca nu rezida la o locatie fixa sau nu se duplica singuri. Se muta in permanenta, ceea ce ii face dificil de detectat.
Trapele - reprezinta accese speciale la sistem, care sunt rezervate in mod normal pentru proceduri de incarcare de la distanta, intretinere sau pentru dezvoltatorii unor aplicatii. Ele permit insa accesul la sistem, eludand procedurile de identificare uzuale;
Calul Troian - este o aplicatie care are o functie de utilizare foarte cunoscuta si care, intr-un mod ascuns, indeplineste si o alta functie.
Atunci cand un sistem este compromis, utilizatorul mediu este, de cele mai multe ori, pus in dificultate si speriat. Pierderea datelor este o problema frecventa si se refera la toate fisierele pentru care nu s-a efectuat o salvare de siguranta - un sistem compromis trebuie sa fie reinstalat de la zero. O alta problema frecventa este pierderea serviciilor, cu inchiderea contului de catre furnizorul de Internet pana la rezolvarea situatiei, precum si furtul si raspandirea ilegala a informatiilor personale sau brevetate.
Termenul firewall are mai multe sensuri, in functie de implementare si scop. Este intalnit in publicatiile de specialitate sub diferite forme, cum ar fi "parafoc", "zid de foc", "zid de protectie" s.a. Un firewall simplu este numit uneori firewall bastion, deoarece este principala linie de aparare impotriva atacurilor din exterior. Placa de retea a calculatorului este punctul de conexiune sau poarta catre Internet. Scopul firewall-ului este de a proteja ceea ce se afla de aceasta parte a portii de ceea ce se afla de cealalta parte.
Un firewall este numele generic al unei componente de retea ce are ca rol validarea traficului (intre retea si exterior) pe baza unei politici de securitate prestabilite. Scopul acestuia este de a proteja reteaua (sau un singur calculator personal) de eventualele atacuri ce vin din exterior si pot compromite datele / informatiile stocate. Termenul in sine ("perete de foc") vine de la capacitatea acestuia de a segmenta o retea mai mare in subretele.
Firewall-ul poate fi un dispozitiv (componenta hardware) sau poate fi un program (componenta soft), continand - in ambele cazuri - doua interfete orientate: una catre exterior (Internet), iar cealalta directionata catre reteaua interna (cea pe care o protejeaza). Filtrarea traficului dintre cele doua retele se face dupa anumite criterii si poate viza: adresele IP sursa si destinatie ale pachetelor de informatii vehiculate - address filtering, sau poate viza doar anumite porturi si protocoale utilizate (HTTP, ftp sau telnet) - protocol filtering.
Totusi, un firewall de retea nu poate administra transferul de date efectuat de catre un utilizator ce foloseste o legatura la Internet de tip dial-up, ocolind procedurile de securitate si implicit firewall-ul in sine.
Comunicatiile in retea sunt conceptualizate ca un model organizat pe niveluri, in care comunicatiile au loc intre straturi adiacente pe un calculator individual si intre straturi paralele atunci cand comunica doua calculatoare. Modelul de referinta TCP/IP pentru lucrul in retea defineste patru straturi (niveluri), dupa cum urmeaza: nivelul aplicatie, care reprezinta comunicatiile dintre doua programe; nivelul de transport reprezinta modul in care sunt realizate comunicatiile intre cele doua programe; nivelul retea reprezinta modul in care se realizeaza comunicatia intre cele doua calculatoare de la capetele legaturii; nivelul de subretea reprezinta modul in care sunt realizate comunicatiile intre calculatoarele individale aflate de-a lungul traseului parcurs. Programele sunt identificate de numere, numite porturi de servicii; calculatoarele sau interfetele de retea individuale ale acestora sunt identificate de numere, numite adrese IP.
Porturile de servicii identifica programele si sesiunile individuale sau conexiunile realizate. Numerele folosite pentru porturile de servicii au valori intre 0 si 65535. Prin conventie, serviciilor importante de retea le sunt alocate numerele de porturi cunoscute, cu valori de la 1 la 1023 si sunt numite porturi privilegiate deoarece sunt folosite de programe care ruleaza cu privilegii la nivelul sistemului. Porturile de la 1024 la 65535 sunt numite porturi neprivilegiate si sunt alocate dinamic. Combinatia dintre perechea de numere de porturi pentru client si pentru server, protocolul de transport folosit, impreuna cu adresele IP ale gazdelor, identifica unic conexiunea.
Termenul de pachet se refera la un mesaj de retea IP. Standardul IP defineste structura unui mesaj transmis intre doua calculatoare prin retea. Mecanismul de firewall IP inclus in Linux accepta trei tipuri de mesaje: ICMP (Internet Control Message Protocol), UDP (User Datagram Protocol) si TCP (Transmission Control Protocol).
Termenul firewall are diferite intelesuri, in functie de mecanismele folosite pentru implementarea acestuia, de nivelul stivei de protocoale TCP/IP la care opereaza firewall-ul si de arhitectura folosita pentru rutare si pentru retea.
Exista patru tipuri de firewall-uri:
Firewall-ul cu filtrare de pachete (Packet Filtering Firewalls) - functioneaza la nivelul de retea al modelului OSI si respectiv la nivelul IP al modelului TCP/IP. Are ca principiu de functionare analizarea sursei de provenienta si destinatiei fiecarui pachet de date in parte, acceptand sau blocand traficul derulat de acestea. Aceste firewall-uri fac parte - de cele mai multe ori - din componenta de retea numita router si reprezinta cea mai ieftina solutie din punct de vedere financiar, cu implicatii minime in performanta si functionabilitatea retelei. Punctul sau slab este incapabilitatea de a furniza o securitate ridicata prin reguli complexe de indentificare si validare a IP-urilor, motiv pentru care este indicata utilizarea impreuna cu un al doilea firewall extern care sa ofere protectie suplimentara.
"Portile de circuit" (Circuit Level Gateways) - ruleaza la nivelul 5 al modelului OSI si respectiv nivelul 4 al modelului TCP/IP. Acestea monitorizeaza sesiunile TCP dintre reteaua interna si/sau server si reteaua Internet. Traficul de pachete utilizeaza un server intermediar, folosind un singur port (in general portul 1080) pentru tot traficul. Acest server intermediar are un rol important in mascarea datelor si informatiilor detinute pe calculatoarele componente ale retelei private. Punctul slab al "portilor de circuit" este reprezentat prin faptul ca acestea nu verifica pachetele ce constituie obiectul traficului cu reteaua publica, ci doar le filtreaza in functie de titlu. Totusi, acestea sunt mai sigure decat filtrarea pachetelor si mai rapide decat aplicatiile proxi, desi sunt cel mai putin intalnite.
Proxi-uri de aplicatie (Application Level Gateways sau Proxies): sunt cele mai complexe solutii firewall si, totodata, cele mai scumpe. Pot functiona la nivel de aplicatie al modelului OSI. Acestea, verifica pachetele de date si blocheaza accesul celor care nu respecta regulile stabilite de proxi. Astfel, daca avem de-a face cu un proxi de web, acesta nu va permite niciodata accesul unui trafic pe protocol de ftp sau telnet. Serverul local va vedea aceasta solutie firewall ca pe un simplu client, in timp ce reteaua publica il va recepta ca fiind insasi serverul. Totodata, proxi-urile de aplicatie pot creea fisiere de tip log cu activitatea utilizatorilor din retea sau pot monitoriza autentificarile acestora, oferind si o verificare de baza a pachetelor transferate (cu ajutorul antivirusului incorporat).
Firewall-ul cu inspectie multistrat (Stateful Multilayer Inspections): combina toate caracteristicile descrise mai sus, filtrand traficul la toate cele trei nivele ale modelului TCP/IP. Se bazeaza pe algoritmi proprii de recunoastere si aplicare a politicilor de securitate spre deosebire de o aplicatie proxi standard. Inspectia multinivel ofera un inalt grad de securitate.
Un firewall IPFW cu filtrarea pachetelor se bazeaza pe o lista de reguli de acceptare si respingere, care deifnesc explicit ce pachete vor fi sau nu vor fi lasate sa treaca prin interfata de retea. Regulile firewall-ului folosesc campurile din antetul pachetului pentru a decide daca pachetul va fi rutat catre destinatie, va fi abandonat sau va fi blocat, iar catre calculatorul sursa va fi trimis un mesaj de eroare. Aceste reguli se bazeaza pe placa de retea folosita, pe adresa IP a gazdei, pe adresele IP sursa si destinatie din nivelul de retea, pe porturile de servicii TCP si UDP din nivelul de transport, pe indicatoarele de conexiuni TCP, pe tipurile de mesaje ICMP de la nivelul de retea si pe directia pachetului (intrare sau iesire), dupa cum reiese din figura urmatoare.
Localizarea firewall-ului in modelul de referinta TCP/IP
Firewall-ul filtreaza independent ceea ce intra si ceea ce iese pe interfata de retea. Listele de reguli care definesc ce poate intra si ce poate iesi se numesc inlantuiri (chains). Perechea I/O este formata din inlantuirea de intrare si lista de regulidin inlantuirea de iesire. Fiecare pachet este comparat cu fiecare regula din lista, pana cand este gasita o potrivire sau se termina lista. Metoda este destul de puternica dar nu este un mecanism de securitate absolut sigur. Nu toate protocoalele de comunicatii pentru aplicatii sunt potrivite pentru filtrarea pachetelor. Protocolul IP nu are posibilitatea sa verifice daca expeditorul este cine pretinde ca este. Singura informatie de identificare la acest nivel este adresa sursa din antetul pachetului IP. Nici stratul de retea, nici cel de transport nu pot sa verifice daca datele aplicatiei sunt corecte.
Inlantuirile de intrare si iesire sunt prezentate schematic in figura alaturata.
Fara filtrarea la nivelul pachetelor, filtrarea la nivel superior si masurile de securitate prin intermediere ar fi afectate sau chiar ineficiente. Intr-o masura mai mare sau mai mica, acestea trebuie sa se bazeze pe corectitudinea protocolului de comunicatii aflat la baza. Fiecare strat din stiva de protocoale de securitate adauga o noua piesa, pe care celelalte straturi nu o pot asigura cu usurinta.
Fiecare inlantuire a unui firewall are o politica prestabilita si o colectie de actiuni executate ca raspuns la anumite tipuri de mesaje. Fiecare pachet este comparat cu fiecare regula din lista, pe rand, pana cand este gasita o potrivire. Daca pachetul nu se potriveste cu nici o regula, ii este aplicata politica prestabilita.
Pentru un firewall exista doua moduri principale de abordare:
interzice totul in mod prestabilit si permite explicit trecerea anumitor pachete;
permite totul in mod prestabilit si interzice explicit trecerea anumitor pachete.
Voi prezenta schematic in cele ce urmeaza cele doua moduri principale de abordare a regulilor de catre un firewall.
Politica de interzicere prestabilita este modul de abordare recomandat. Aceasta abordare permite configurarea mai simpla a unui firewall sigur, dar fiecare serviciu si protocol inrudit trebuie sa fie activat explicit. Aceasta politica cere un efort mai mare pentru permiterea accesului la Internet (unele firewall-uri comerciale accepta numai aceasta politica).
In cazul politicii de permitere prestabilita, configurarea firewall-ului se face mai rapid, dar trebuie anticipate toate tipurile de acces care se doresc a fi interzise. Exista pericolul de a nu anticipa un tip periculos de acces decat atunci cand este deja prea tarziu, sau de a activa ulterior un serviciu nesigur fara a interzice mai intai accesul din exterior la acesta.
In general, dezvoltarea unui firewall sigur pe baza politicii de permitere prestabilita cere mai mult efort, este mai dificila si, ca urmare, mai predispusa la erori.
In sistemul de operare Linux este distribuit si un mecanism firewall, numit IPFW (IP firewall). Programul de administrare a firewall-ului Linux in versiune noua se numeste ipchains, iar o versiune mai veche a acestuia este cunoscuta sub numele de ipfwadm
Ca program de administrare a unui firewall, ipchains creaza reguli de filtrare a pachetelor individuale pentru inlantuirile de intrare (input) si de iesire (output) care compun firewall-ul. Regulile de filtrare a pachetelor sunt stocate in tabele de nucleu, in inlantuirile input, output si forward, in ordinea in care sunt definite. Regulile individuale sunt inserate la inceputul inlantuirii sau sunt adaugate la sfarsitul acesteia.
Atunci cand un pachet din exterior ajunge la o interfata de retea, campurile din antetul acestuia sunt comparate cu fiecare regula din inlantuirea input a interfetei, pana cand este gasita o potrivire. In sens invers, atunci cand un pachet din interior ajunge la o interfata de retea, campurile din antetul acestuia sunt comparate cu fiecare regula din inlantuirea output, pana cand este gasita o potrivire. In ambele directii, atunci cand este descoperita o potrivire, compararea se opreste si pachetului ii este aplicata dispozitia de filtrare a regulii : ACCEPT REJECT sau DENY. Daca pachetul nu se potriveste cu nici o regula din inlantuire, ii este aplicata politica prestabilita a inlantuirii respective. In concluzie, castiga prima regula care se potriveste.
Linia de comanda a programului ipchains si argumentele sunt prezentate in continuare:
ipchains -A|I [ inlantuire ] [ -i interfata ] [ -p protocol ] [ [ ! ] -y ]
[ -s adresa [ port [ :port ] ] ]
[ -d adresa [ port [ :port ] ] ]
-j politica [ -1 ]
Optiune |
Descriere |
-A [ inlantuire ] |
Adauga o regula la sfarsitul unei inlantuiri. Exemplele folosesc inlantuirile predefinite: input, output si forward. Daca nu este specificata o inlantuire, regula este aplicata tuturor inlantuirilor. |
-I [ inlantuire ] |
Insereaza o regula la inceputul unei inlantuiri. Exemplele folosesc inlantuirile predefinite: input, output si forward. Daca nu este specificata o inlantuire, regula este aplicata tuturor inlantuirilor. |
-i <interfata> |
Specifica interfata de retea careia i se aplica regula. Daca nu este specificata o interfata, regula este aplicata tuturor interfetelor. |
-p <protocol> |
Specifica protocolul IP caruia i se aplica regula. Daca nu este folosita optiunea -p, regula este aplicata tuturor protocoalelor. Nume de protocoale acceptate sunt: tcp, udp, icmp si all. De asemenea, este permisa folosirea oricarui nume sau numar definit in fisierul /etc/protocols |
-y |
Indicatorul SYN trebuie sa fie activat, iar indicatorul ACK trebuie sa fie dezactivat intr-un mesaj TCP, ceea ce indica o cerere de stabilire a conexiunii. Daca argumentul -y nu este precizat, bitii de indicare TCP nu sunt verificati. |
-y |
Indicatorul ACK trebuie sa fie activat intr-un mesaj TCP, ceea ce indica un raspuns initial la o cerere de stabilire a conexiunii sau o conexiune deja stabilita si in curs de desfasurare. Daca argumentul ! -y nu este precizat, bitii de indicare TCP nu sunt verificati. |
-s <adresa> [ <port> ] |
Specifica adresa sursa a pechetului. Daca adresa sursa nu este specificata, regula este aplicata tuturor adreselor sursa unice (unicast). Daca este specificat un port sau un domeniu de porturi, regula este aplicata numai porturilor respective. Daca nu este specificat un port, regula este aplicata tuturor porturilor sursa. Un domeniu de porturi este definit prin numerele de inceput si de sfarsit ale porturilor, separate de caracterul ":" ( ). Daca este precizat un port, trebuie specificata si o adresa. |
-d <adresa> [ <port> ] |
Specifica adresa destinatie a pechetului. Daca adresa destinatie nu este specificata, regula este aplicata tuturor adreselor cu destinatie unica (unicast). Daca este specificat un port sau un domeniu de porturi, regula este aplicata numai porturilor respective. Daca nu este specificat un port, regula este aplicata tuturor porturilor destinatie. Daca este precizat un port, trebuie specificata si o adresa. |
-j <politica> |
Specifica politica aplicata pachetului pentru regula respectiva: ACCEPT, DENY sau REJECT. Pentru inlantuirea forward poate fi specificata si politica MASQ (mascare) . |
Scrie un mesaj informaäional de nucleu (KERN_INFO) in jurmalul de sistem, care in mod prestabilit este /var/log/messages ori de cate ori pachetul se potriveste cu regula respectiva. |
Un firewall este implementat ca o serie de reguli de filtrare a pachetelor, definite de optiuni in linia de comanda ipchains. Programul ipchains este executat pentru fiecare regula individuala. Apelarea programului ipchains trebuie sa fie facuta dintr-un script executabilde nucelu, si nu direct din linia de comanda. De asemenea, scriptul de nucleu trebuie executat de la consola, si nu de pe un calculator de la distanta sau dintr-o sesiune X Window xterm. Regulile firewall-ului sunt aplicate in ordinea in care au fost definite inlantuirile input si output
Initializarea firewall-ului acopera o multime de operatii, inclusiv definirea constantelor globale folosite in scriptul de nucleu, stergerea regulilor existente din inlantuirile firewall-ului, definirea politicilor prestabilite pentru inlantuirile input si output, reactivarea interfetei de bucla pentru operarea normala a sistemului, interzicerea accesului pentru gazdele si retelele care trebuie blocate si definirea unor reguli de baza pentru protejarea impotriva adreselor eronate si pentru protejarea anumitor servicii rulate pe porturi neprivilegiate.
Un script de nucleu pentru firewall foloseste, de regula, constante simbolice pentru numele si adresele care apar de mai multe ori. Cateva astfel de constante universale definite in standardele de lucru in retea sunt prezentate in tabelul urmator:
EXTERNAL_INTERFACE="eth0" # Interfata conectata la Internet
LOOPBACK_INTERFACE="1o" # cum o denumeste sistemul
IPADDR="my.ip.address" # adresa IP
ANYWHERE="any/0" # se potriveste cu orice adresa
MY_ISP="my.isp.address.range" # serverul ISP si domeniul de adrese NOC
LOOPBACK="127.0.0.0 / 8" # domeniu de adrese reyervat pentru bulce
CLASS_A="10.0.0.0 / 8" # retele private din clasa A
CLASS_B="172.16.0.0 / 12" # retele private din clasa B
CLASS_C="192.168.0.0 / 16" # retele private din clasa C
CLASS_D_MULTICAST="224.0.0.0 / 4" # adrese de difuzare pe grupuri din clasa D
CLASS_E_RESERVED_NET="240.0.0.0 / 5" # adrese rezervate din clasa E
BROADCAST_SRC="0.0.0.0" # adresa sursa de difuzare
BROADCAST_DEST="255.255.255.255" # adresa destinatie de difuzare
PRIVPORTS="0.1023" # domeniu de porturi privilegiate, recunoscute
UNPRIVPORTS="1024:65535" # domeniu de porturi neprivilegiate
Dezvoltarea unui firewall independent folosind programul ipchains presupune efectuarea unor anumite operatiuni, pe care le voi trece in revista succint in cele ce urmeaza:
stergerea tuturor regulilor existente - primul lucru care trebuie facut atunci cand se defineste un set de reguli de filtrare - se numeste golirea inlantuirii. Comanda care sterge toate regulile din toate inlantuirile este: ipchains -F
definirea politicii prestabilite, care se realizeaza, de exemplu, prin comenzile:
ipchains -P input DENY
ipchains -P output REJECT
ipchains -P forward REJECT
activarea interfetei de bucla - pentru a permite traficul nerestrictionat pe interfata de bucla, care se realizeaza cu ajutorul comenzilor:
ipchains -A input -i $LOOPBACK_INTERFACE -j ACCEPT
ipchains -A output -i $LOOPBACK_INTERFACE -j ACCEPT
protejarea serviciilor pe porturile neprivilegiate alocate
activarea serviciilor Internet de baza necesare
permiterea serviciului DNS (portul UDP / TCP 53)
activarea serviciilor TCP frecvent folosite: email, usenet, telnet, ssh, ftp, servicii Web, finger, whois, gopher information service, WAIS.
Fiind un script de nucleu, instalarea firewall-ului este simpla. Scriptul ar trebui sa fie detinut de root:
chown root.root /etc/rc.d/rc.firewall
Pentru initializarea sau reinitializarea firewall-ului in orice moment, se executa scriptul din linia de comanda, fara sa fie necesara reincarcarea sistemului:
sh /etc/rc.d/rc.firewall
Modul in care este executat scriptul este diferit daca beneficiem de o adresa IP statica inregistrata sau de o adresa IP alocata dinamic prin DHCP.
Acostachioaie, D. - Securitatea sistemelor Linux. Ed. Polirom 2003
McClure, S., Scambray, J., Kurtz, G. - Securitatea retelelor. Ed. Teora 2000
Thomas, T. - Primii pasi in securitatea retelelor. Ed. Corint 2005
Ziegler, R.L. - Firewalls. Protejarea sistemelor Linux. Ed. Teora 2001
https://www.gentoo.org/doc/ro/security/security-handbook.xml?part=1&chap=12
https://www.dcd.uaic.ro/default.php?t=site&pgid=82
https://www.securizare.ro/Informatii/Informatii/Ce-este-un-firewall?Tipuri.Descriere.Concluzii-2005070238/
https://www.microsoft.com/Romania/Securitate_firewall.mspx
https://www.linux-magazin.ro/Reclama/Profil
Cuprins
FIREWALL - protectia sistemelor LINUX
Concepte ce stau la baza firewall-urilor
Concepte referitoare la filtrarea pachetelor
Firewall cu filtrarea pachetelor
Construirea si instalarea unui sistem firewall pentru Linux
Copyright © 2024 - Toate drepturile rezervate