Firewalls e políticas de acesso da Introdução ao Linux por OnWorks

Ir para o conteúdo

A maioria das distribuições do Linux fornece serviços de lista de discussão para anúncios de atualizações de segurança e ferramentas para aplicar atualizações ao sistema. Problemas gerais de segurança apenas no Linux são relatados, entre outros, em Linuxsecurity.com.

A atualização é um processo contínuo, por isso deve ser um hábito quase diário.

10.5.4. Firewalls e políticas de acesso

10.5.4.1. O que é um firewall?

Na seção anterior, já mencionamos os recursos de firewall no Linux. Embora a administração do firewall seja uma das tarefas do administrador da rede, você deve saber algumas coisas sobre firewalls.

Firewall é um termo vago que pode significar qualquer coisa que atue como uma barreira protetora entre nós e o mundo exterior, geralmente a Internet. Um firewall pode ser um sistema dedicado ou um aplicativo específico que fornece essa funcionalidade. Ou pode ser uma combinação de componentes, incluindo várias combinações de hardware e software. Os firewalls são construídos a partir de "regras" que são utilizadas para definir o que é permitido entrar e / ou sair de um determinado sistema ou rede.

Após desativar os serviços desnecessários, agora queremos restringir os serviços aceitos para permitir apenas as conexões mínimas necessárias. Um bom exemplo é trabalhar em casa: apenas a conexão específica entre seu escritório e sua casa deve ser permitida, as conexões de outras máquinas na Internet devem ser bloqueadas.

10.5.4.2. Filtros de pacotes

A primeira linha de defesa é um filtro de pacote, que pode examinar os pacotes IP e tomar decisões com base no conteúdo. O mais comum é o pacote Netfilter, fornecendo o iptables comando, um filtro de pacotes de próxima geração para Linux.

Uma das melhorias mais notáveis nos novos kernels é o inspeção stateful recurso, que não apenas informa o que está dentro de um pacote, mas também detecta se um pacote pertence ou está relacionado a um pacote novo ou existente

conexão.

O Shoreline Firewall ou Shorewall para abreviar é um front-end para a funcionalidade de firewall padrão no Linux. Mais informações podem ser encontradas na página do projeto Netfilter / iptables.

10.5.4.3. Wrappers TCP

O empacotamento de TCP fornece quase os mesmos resultados que os filtros de pacote, mas funciona de maneira diferente. O wrapper realmente aceita a tentativa de conexão e, a seguir, examina os arquivos de configuração e decide se aceita ou rejeita a solicitação de conexão. Ele controla as conexões no nível do aplicativo, e não no nível da rede.

Wrappers TCP são normalmente usados com xinetd para fornecer controle de acesso baseado em nome de host e endereço IP. Além disso, essas ferramentas incluem recursos de registro e gerenciamento de utilização fáceis de configurar.

As vantagens dos TCP wrappers são que o cliente que se conecta não sabe que os wrappers são usados e que operam separadamente dos aplicativos que protegem.

O acesso baseado em host é controlado no hosts.permitir e hosts.negar arquivos. Mais informações podem ser encontradas nos arquivos de documentação do TCP wrapper em / usr / share / doc / tcp_wrappers [- /] or / usr / share / doc / tcp e nas páginas man para os arquivos de controle de acesso baseados em host, que contêm exemplos.

10.5.4.4 Proxies

Os proxies podem desempenhar várias funções, mas nem todas têm muito a ver com segurança. Mas o fato de eles serem intermediários torna os proxies um bom lugar para aplicar políticas de controle de acesso, limitar as conexões diretas por meio de um firewall e controlar como a rede por trás do proxy se parece com a Internet.

Normalmente em combinação com um filtro de pacotes, mas às vezes por conta própria, os proxies fornecem um nível extra de controle. Mais informações podem ser encontradas no Firewall HOWTO ou no site do Squid.

10.5.4.5. Acesso a aplicativos individuais

Alguns servidores podem ter seus próprios recursos de controle de acesso. Exemplos comuns incluem Samba, X Window, Bind, Apache e CUPS. Para cada serviço que você deseja oferecer, verifique quais arquivos de configuração se aplicam.