47886 (Организация безопасности сети предприятия с использованием операционной системы Linux), страница 4

Для каждой группы работников были выделены диапазоны адресов с учетом расширения сети. Например, для охраны выделено 10 адресов, хотя реально используется три адреса.

Но построение сети, это не только IP адреса. Нам так именно понадобится и оборудование, благодаря которому мы сможем реализовать нашу сеть

Документация на кабельные трассы

В этой таблице указаны магистральные соединения и соединения между рабочими помещениями и магистралью.

Switch n- маркировка коммутаторов, которые устанавливаются в рабочих помещениях.

S n - маркировка коммутаторов, которые используются в магистральных соединениях

Индефикатор кабеля в таблице указывается I - J -T:

I - это номер этажа.

J - это номер кабинета.

T - это номер, который используется, в том случаи, когда из одного кабинета идет два или больше соединений.

В соединениях между серверами указывается:

I - это номер этажа.

J - это уникальный номер или сокращено имя серверу или оборудование.

Таблица 5.2

МАРКИРОВКА КАБЕЛЯ

Системы защиты под управленнием ОС Linux

Установка и Настройка Firewall

Чтобы запустить Linux IP firewall, нужно построить ядро с поддержкой IP firewall и соответствующие конфигурационные утилиты. В ядрах к серии 2.2, нужно использовать утилиту ipfwadm. Ядра 2.2.x имеют третье поколение IP firewall для Linux, называемое IP Chains. IP chains использует программу ipchains. Ядра Linux 2.3.15 и старше поддерживают четвертое поколение Linux IP firewall: netfilter. Код пакета netfilter результат больших изменений потока обработки пакетов в Linux. netfilter обеспечивает обратную совместимость из ipfwadm и ipchains. Настраивается эта версия командой iptables. Настройка ядра для IP Firewall

Ядро Linux нужно настроить в поддержку IP firewall. Для этого нужно просто указать параметры при настройке ядра, например, командой make menuconfig. И выбрать следующих опций

Networking options -і->

[*] Network firewalls

[*] TCP/IP networking

[*] IP: firewalling

[*] IP: firewall packet logging

В ядрах серий 2.4.0 и старше нужно выбрать намного больше опций:

Networking options -і->

[*] Network packet filtering (replaces ipchains)

IP: Netfilter Configuration -і->

Userspace queueing via NETLINK (EXPERIMENTAL)

IP tables support (required for filtering/masq/NAT)

limit match support

MAC address match support

netfilter MARK match support

Multiple port match support

TOS match support

Connection state match support

Unclean match support (EXPERIMENTAL)

Owner match support (EXPERIMENTAL)

Packet filtering

REJECT target support

MIRROR target support (EXPERIMENTAL)

Packet mangling

TOS target support

MARK target support

LOG target support

ipchains (2.2-style) support

ipfwadm (2.0-style) support

Утилита ipfwadm (IP Firewall Administration) нужна для управления правилами в ядрах к версии 2.2.0. Ее синтаксис очень сложен, но я приведу немного наиболее простых примеров.

Утилита ipfwadm есть во всех современных дистрибутивах Linux, алі, возможно, не относиться за умалчиванием. Может быть специальный сетевой пакет, которому нужно поставить отдельно. Найти исходный код можно на ftp.xos.nl в каталоге /pub/linux/ipfwadm.

Утилита ipchains

Аналогично ipfwadm, утилита ipchains может немного озадачивать, пока к ней не привыкнешь. Она обеспечивает всю гибкость ipfwadm с упрощенным синтаксисом и дополнительно обеспечивает механизм наборов или цепочек (“chaining”), что позволяет Вам управлять многими правилами и связывать их друг с другом. Формирование цепочки правил в отдельном разделе немного позже.

Команда ipchains появилась в дистрибутивах Linux на ядрах серии 2.2. Исходники можно взять на http://www.rustcorp.com/linux/ipchains. В этот пакет исходников входить скрипт ipfwadm-wrapper, что имитирует роботу ipfwadm, используя возможности ipchains. Это существенно упрощает к новой версии firewall.

Утилита iptables

Синтаксис iptables очень похож на синтаксис ipchains. Разница в поддержке модулей расширения и ряду нововведений в фильтрации пакетов. Понятно, я приведу пример и для iptables, так что Вы сможете уравнять эти две утилиты.

Утилита iptables входить в пакет netfilter, исходники которого можно скатить из http://www.samba.org/netfilter. Она также входить в дистрибутивы Linux на ядре 2.4. Правда, поскольку это ядро еще находится в стадии тестирования, я пока не встречал дистрибутивов на нем.

Способы фильтрации

Рассмотрим, как обрабатываются пакеты IP любой машиной, которая может заниматься их маршрутизацией:

(1) IP-пакет откуда-то пришел.

Входной пакет будет исследован, чтобы определить ли назначен он для процесса на этой машине.

(2) Если он для этой машины, то обработанный в местном масштабе.

(3) Если пакет не предназначен для этой машины, будет выполнен поиск по таблицы маршрутизации для соответствующего маршрута, и пакет будет посланий к соответствующему интерфейсу или пропущенный, если маршрут не может быть найден.

(4) Пакеты из локальных процессов будут посланы программному обеспечению маршрутизации для пересылки к соответствующему интерфейсу.

Исходный IP-пакет будет исследован, чтобы определить, есть или имеет силу маршрут для него, если нет, он будет пропущен.

(5) IP-пакет куда-то отправится.

В этой схеме потек 1-3-5 представляет нашу машину, направляющую данные между компьютером в нашей сети Ethernet на другой доступный компьютер через какую-то связь. Потоки 1-2 и 4-5 представляют введение данных и исходные потоки сетевой программы, которая работает на нашем локальном компьютере. Потек 4-3-2 представляет передачу данных по кольцевом внутреннем интерфейсе (loopback connection).

IP firewall ядра Linux способен к применению фильтрации на разных стадиях в этом процессе. То есть, Вы можете фильтровать IP-пакеты, которые приходят Вашей машине, те, которые ходят внутри ее и те, которые предназначены для отправления во внешний мир.

В ipfwadm и ipchains правило Input применяется к потоку 1, правило Forwarding к потоку 3 и правило Output к потоку 5. В netfilter, точки перехвата изменились так, чтобы правило Input применилось в потоке 2 и правило Output в потоке 4. Это имеет важное значение для того, как Вы структурируете свой набор правил.

Использование ipfwadm

Команда ipfwadm являет собой инструмент конфигурации для другого поколения Linux IP firewall. Возможно, самый простой способ описывать использование команды ipfwadm, это примеры.

Допустимо, что у нас есть сеть небольшой организации, которая использует Linux-машину из firewall для связи из Internet. Мы позволяем пользователям этой сети обращаться к web-серверам в Internet, но не позволяем какой-либо другой трафик.

Мы должны определить правила пересылка наружу пакетов с исходным адресом в нашей сети и портом назначения 80, а также пакетов с ответами.

Допустимо, что наша сеть имеет 24-бітну сетевую маску (класс C) и ее сетевая адреса 172.16.1.0. Правила будут такими:

# ipfwadm -F -f

# ipfwadm -F -p deny

# ipfwadm -F -я accept -P tcp -S 172.16.1.0/24 -D 0/0 80

# ipfwadm -F -я accept -P tcp -S 0/0 80 -D 172.16.1.0/24

Параметр -F инструктирует ipfwadm, что мы определяем правило пересылки пакетов (forwarding). Первая команда предлагает ipfwadm очистить все правила. Гарантируют, что мы работаем с известным состоянием, и после добавления правил не окажется, что остались еще какие-то неизвестны нам правила.

Второе правило устанавливает нашу заданную за умалчиванием стратегию пересылки. Мы сообщаем, что ядро должно отбрасывать пересылку всех IP-пакетов, кроме тихнув, какие мы позже развязный. Это очень важен момент, потому что здесь определяется частица всех пакетов, которые не подходят какому-либо правилу.

Третья команда позволяет нашим пакетам выходить из системы, а четвертое правило позволяет приходить ответам.

Параметры:

-F - определяет правило пересылки (Forwarding).

-а accept - добавляет правило со стратегией "accept", что позволяет принимать все пакеты, которые отвечают этому правилу.

-P tcp - правило применимое к TCP-пакетам (не трогает пакеты UDP или ICMP).

-S 172.16.1.0/24 - исходный адрес должен иметь маску подсети в 24 битая и адрес сети 172.16.1.0.

-D 0/0 80 - адрес назначения должен иметь нулевые биты (0.0.0.0). Это отвечает любому адресу. Число 80 определяет порт назначения, в этом случае WWW. Вы можете также использовать любую запись из файла /etc/services для определения порта н апример, -D 0/0 www.

Таблица 5.1

Обзор параметров ipfwadm

Команда ipfwadm имеет много параметров. В общем виде синтаксис таков:

ipfwadm category command parameters [options]

Категории (Categories)

Категории задают тип правил, которые настраивают, потому категория в команде допустима только одна:

-I - Правило введение (Input)

-O - Правило выводу (Output)

-F - Правила пересылка (Forwarding)

Команды

Применяются только к правилам в заданной категории. Команда сообщает Firewall, какое действие стоит выполнить.

-а [policy]

Прибавить правило

Вставить правило

-d [policy]

Удалить правило

-p policy

Установить заданную за умалчиванием стратегию

-l Показать все существующие правила

-f Стереть все существующие правила

Стратегии являют собой следующее:

accept

Пропускать все пакеты для приема, передачи или транзитные (forward)

deny

Блокировать все пакеты для приема, передачи или транзитные (forward)

reject

Блокировать все пакеты для приема, передачи или транзитные (forward) и послать компьютеру, что послав пакет ICMP-сообщения об ошибке

Использование ipchains

Есть два способа использования ipchains

использовать скрипт ipfwadm-wrapper, что является заменой ipfwadm. Имеет такой же синтаксис, как и ipfwadm.

использовать ipchains и использовать новый синтаксис.

Синтаксис команды ipchains

Синтаксис команды ipchains простой. В общем виде он выглядит так: