Zapory ogniowe i zasady dostępu z Wprowadzenie do systemu Linux firmy OnWorks

Przejdź do treści

Większość dystrybucji Linuksa udostępnia usługi list dyskusyjnych dla ogłoszeń o aktualizacjach zabezpieczeń oraz narzędzia do instalowania aktualizacji w systemie. Ogólne problemy związane z bezpieczeństwem Linuksa są zgłaszane między innymi na stronie Linuxsecurity.com.

Aktualizacja to ciągły proces, więc powinna być niemal codziennym nawykiem.

10.5.4. Zapory sieciowe i zasady dostępu

10.5.4.1. Co to jest zapora ogniowa?

W poprzedniej sekcji wspomnieliśmy już o możliwościach firewalla w Linuksie. Chociaż administrowanie zaporą jest jednym z zadań administratora sieci, powinieneś wiedzieć kilka rzeczy o zaporach.

Firewall to niejasny termin, który może oznaczać wszystko, co działa jako bariera ochronna między nami a światem zewnętrznym, ogólnie Internetem. Firewall może być dedykowanym systemem lub konkretną aplikacją, która zapewnia tę funkcjonalność. Lub może to być kombinacja komponentów, w tym różne kombinacje sprzętu i oprogramowania. Zapory ogniowe są zbudowane z „reguł”, które służą do określania, co może wchodzić i/lub wychodzić z danego systemu lub sieci.

Po wyłączeniu niepotrzebnych usług chcemy teraz ograniczyć akceptowane usługi, aby zezwolić tylko na minimalne wymagane połączenia. Dobrym przykładem jest praca z domu: dozwolone powinno być tylko określone połączenie między biurem a domem, połączenia z innych komputerów w Internecie powinny być blokowane.

10.5.4.2. Filtry pakietów

Pierwsza linia obrony to A filtr pakietów, który może przeglądać pakiety IP i podejmować decyzje na podstawie ich zawartości. Najpopularniejszym jest pakiet Netfilter, który zapewnia iptables polecenie, filtr pakietów nowej generacji dla systemu Linux.

Jednym z najbardziej godnych uwagi ulepszeń w nowszych jądrach jest tzw stanowa inspekcja funkcja, która nie tylko mówi, co znajduje się w pakiecie, ale także wykrywa, czy pakiet należy lub jest powiązany z nowym lub istniejącym

połączenia.

Shoreline Firewall lub w skrócie Shorewall to front-end dla standardowej funkcjonalności firewalla w Linuksie. Więcej informacji można znaleźć na stronie projektu Netfilter/iptables.

10.5.4.3. opakowania TCP

Zawijanie TCP zapewnia prawie takie same wyniki jak filtry pakietów, ale działa inaczej. Opakowanie faktycznie akceptuje próbę połączenia, następnie sprawdza pliki konfiguracyjne i decyduje, czy zaakceptować, czy odrzucić żądanie połączenia. Kontroluje połączenia na poziomie aplikacji, a nie na poziomie sieci.

Opakowania TCP są zwykle używane z ksinetd zapewnienie kontroli dostępu opartej na nazwie hosta i adresie IP. Ponadto narzędzia te obejmują funkcje rejestrowania i zarządzania wykorzystaniem, które są łatwe do skonfigurowania.

Zaletą opakowań TCP jest to, że łączący się klient nie wie, że opakowania są używane i że działają one niezależnie od aplikacji, które chronią.

Dostęp oparty na hoście jest kontrolowany w hosty.zezwól i hosty.odmowa akta. Więcej informacji można znaleźć w plikach dokumentacji opakowania TCP w /usr/share/doc/tcp_wrappers[- /] or /usr/share/doc/tcp oraz na stronach podręcznika dla plików kontroli dostępu opartych na hoście, które zawierają przykłady.

10.5.4.4. Pełnomocnicy

Pełnomocnicy mogą wykonywać różne obowiązki, z których nie wszystkie mają wiele wspólnego z bezpieczeństwem. Ale fakt, że są pośrednikami, sprawia, że serwery proxy są dobrym miejscem do egzekwowania zasad kontroli dostępu, ograniczania bezpośrednich połączeń przez zaporę ogniową i kontrolowania, jak sieć za serwerem proxy wygląda w Internecie.

Zwykle w połączeniu z filtrem pakietów, ale czasami same w sobie, serwery proxy zapewniają dodatkowy poziom kontroli. Więcej informacji można znaleźć w Firewall HOWTO lub na stronie Squid.

10.5.4.5. Dostęp do poszczególnych aplikacji

Niektóre serwery mogą mieć własne funkcje kontroli dostępu. Typowe przykłady to Samba, X Window, Bind, Apache i CUPS. Dla każdej usługi, którą chcesz oferować, sprawdź, które pliki konfiguracyjne mają zastosowanie.