По мере развития Internet
все более актуальным становится вопрос защиты систем от
несанкционированного доступа. Одним из средств такой защиты является
брандмауэр, отделяющий локальную сеть организации от Internet. В
данной книге рассматриваются вопросы установки и конфигурации
брандмауэра с фильтрацией пакетов, начиная с простого брандмауэра,
предназначенного для защиты одной системы и заканчивая сложной
архитектурой с двумя брандмауэрами и DMZ. Кроме того автор уделяет
внимание конфигурации различных серверов, позволяющих ограничить
число узлов, с которых разрешен доступ, и исключить возможность
утечки данных из локальной сети.
Об авторе
Роберт Л. Зиглер начал свое обучение в университете Висконсин
(Мэдисон), где изучал философию. Впоследствии круг его интересов
пополнился немецким языком. Испробовав свои силы на различных работах, он
решил превратить хобби в основное занятие и получил степень магистра
компьютерных наук все в том же университете.
Еще с юношеских лет Боб участвовал в разработке и усовершенствовании
UNIX. Развивая однопроцессорную операционную систему, он попутно создал
многопроцессорную версию BSD 4.3 UNIX. После этого он работал в
R&D над усовершенствованием ядра UNIX.
Появление Linux и возможности поддерживать постоянное
Internet-соединение позволили Роберту осуществить свою давнишнюю мечту ≈
установить дома UNIX-сервер и локальную сеть. Он разработал средства
построения брандмауэров Linux, а также написал FAQ, посвященный
брандмауэрам и локальным сетям. Этот документ помог многим пользователям
обеспечить безопасность своих систем.
Сейчас Боб работает главным инженером Nokia и разрабатывает брандмауэры
для семейства продуктов Ipsilon.
Введение
Популярность Linux постоянно растет. Эта система стала объектом
пристального внимания не только администраторов сетей небольших
организаций, но и пользователей, выбирающих программные средства для
поддержки домашнего компьютера. В настоящее время у многих появилась
возможность поддерживать постоянное Internet-соединение, что способствует
дальнейшему распространению системы.
UNIX может выступать не только как платформа для установки различных
серверов, в частности Web-сервера, но и как шлюз, обеспечивающий
взаимодействие локальной сети с Internet. Через этот шлюз компьютеры под
управлением UNIX, Windows NT, Macintosh и других систем, а также сетевые
принтеры могут обмениваться информацией с Internet. Имея под рукой такое
разнообразие системных средств, администратор вынужден задуматься об
обеспечении их безопасности.
Вопросы защиты особенно важны для системы Linux, установленной на
компьютере, поддерживающем постоянное соединение с Internet. Подключить
компьютер с установленной системой UNIX к Internet ≈ это почти то же
самое, что уехать на длительный отдых, оставив двери дома открытыми. Рано
или поздно туда явятся непрошеные гости.
У администратора небольшой сети или пользователя домашнего компьютера,
как правило, нет времени досконально разбираться во всех тонкостях работы
систем защиты. Именно для них и предназначена данная книга. Прочитав ее,
они смогут быстро, не затрачивая больших усилий, повысить безопасность
своей системы. В этой книге собрана вся необходимая информация, при
изложении которой основное внимание уделялось тому, как выполнить ту или
иную задачу.
Вопросы, рассматриваемые в данной книге
При создании средств защиты для небольших систем основное внимание
уделяется отражению угрозы извне. Конечно, из этого правила бывают
исключения. Так, например, пользователь домашнего компьютера старается
принять меры для того, чтобы некоторые системные средства или ресурсы
Internet были недоступны детям. Однако в подавляющем большинстве случаев
домашние компьютеры и машины, подключенные к небольшой локальной сети,
рассматриваются как среда, заслуживающая доверия.
Данная книга поможет администраторам небольших сетей и пользователям
домашних компьютеров выполнить действия, необходимые для реализации
брандмауэра с фильтрацией пакетов. Однако брандмауэр ≈ лишь первый шаг на
пути к созданию защищенной системы. Кроме фильтрации пакетов, необходимо
обеспечить защиту на прикладном уровне. Маскировка пакетов также
обеспечивает дополнительную защиту серверов.
Организация защиты требует комплексного подхода. Ни один отдельно
взятый уровень не обеспечит безопасности. Качество на каждом из уровней
зависит от работы нижележащих средств. Безопасность вашей системы
определяется наличием серверов, выполняющихся в ней, и настройкой
брандмауэра. Вам необходимо отказаться от использования ненужных серверов,
оставив в системе лишь самые необходимые. Кроме того, следует определить,
какие серверы имеют недостатки в системе защиты, и "спрятать" их за
брандмауэром.
Высокоуровневые средства защиты рассматриваются в части III данной
книги. В ней вы познакомитесь со списками доступа, поддерживаемыми
TCP-анализатором и portmap, конфигурационными файлами и
использованием proxy-серверов. В этой части также обсуждаются общие
вопросы администрирования системы.
В книге рассматриваются также методы проверки целостности системы,
описаны способы обнаружения попыток взлома до того, как они увенчаются
успехом. Вы познакомитесь с инструментальными средствами, предназначенными
для автоматического контроля за состоянием системы защиты.
Примеры, рассмотренные в данной книге, базируются на Red Hat 6.0.
Для построения правил брандмауэра используется программа
ipchains. Поскольку разработка средств преобразования из формата
ipfwadm в формат ipchains еще не завершена, в поставку
Linux входят обе программы. Примеры, написанные на ipfwadm,
включены в Приложение Б.
Вопросы, которые не нашли отражения в данной книге
Проблемы, характерные для корпоративных систем, в корне отличаются от
проблем, с которыми сталкивается администратор небольшой сети. Опасность
вторжения из Internet ≈ лишь один из многочисленных факторов, угрожающий
безопасности сети крупного предприятия. Как привило, основная угроза
исходит от пользователей локальной сети.
В данной книге не рассматривались вопросы защиты компьютера от
воздействия одного из узлов внутренней сети, проблемы безопасности
корпоративных сетей, особенности конфигурации сложных proxy-серверов,
методы и средства аутентификации, используемые в больших сетях,
виртуальные приватные сети, кодирование данных, брандмауэры,
распространяемые на коммерческой основе, и архитектура сетей.
Попытки незаконного вторжения: общий взгляд на проблему
Реально оценить число попыток незаконного вторжения в систему не
представляется возможным. Дело в том, что попытка, не увенчавшаяся
успехом, как правило, остается незамеченной. Если даже администратор сети
обнаружил необычную запись в файле протокола, он часто относит это к
разряду обыденных явлений, происходящих в Internet, и не предпринимает
никаких действий. По оценкам CERT, до 1998 года число попыток взлома
систем росло приблизительно такими же темпами, какими развивалась сама
Internet, но в 1998 году наблюдалась бурная активность
злоумышленников.
Как бы то ни было, количество попыток неавторизованного доступа растет,
причем компьютерные взломщики применяют все более изощренные инструменты.
От единичных проб с целью выявить пути проникновения в систему хакеры
перешли к сканированию диапазонов портов по нескольким IP-адресам. Новые
инструменты взлома распространяются по Internet через Web-узлы, списки
рассылки и группы новостей. Хакеры объединяются в команды и используют IRC
для координации усилий при организации совместных атак; при этом
вероятность обнаружения взлома значительно снижается. Информация о вновь
обнаруженных недостатках в защите мгновенно распространяется по Internet и
немедленно берется на вооружение. Производители программных средств и
организации, занимающиеся вопросами защиты, пытаются опередить хакеров.
"Соревнование" между ними проходит с переменным успехом.
Что нужно хакеру в вашей системе
Кто же такие хакеры и что им надо на вашем компьютере? На этот вопрос
нельзя ответить однозначно. Многие явления, которые можно отнести на счет
деятельности хакеров, на самом деле являются результатами ошибок, запуска
некачественных программных продуктов и неправильной конфигурации системы.
Часто попытки взлома предпринимают подростки и студенты, не находящие
другого занятия. Нередко для организации атаки используется система
взломанная раньше, причем администратор системы даже не подозревает об
этом. Бывает, что взлом осуществляется группой хакеров. Наконец,
незаконное проникновение в систему могут организовать профессионалы,
занимающиеся промышленным или политическим шпионажем.
Выяснить, какие цели преследует хакер, почти невозможно. Одни
взламывают чужие системы из пустого бахвальства. Другими движет непонятное
стремление разрушать. Очень часто систему взламывают для того, чтобы в
дальнейшем организовывать на ее базе атаки на другие узлы либо применять
ее для рассылки спэма. Некоторые хакеры используют взломанные системы для
распространения нелегального программного обеспечения и других файлов.
Наконец, целью злоумышленника может быть обычная кража интеллектуальной
собственности.
Чем грозит незаконное проникновение в систему
Взлом системы, как правило, приносит ее владельцу множество проблем.
Поскольку многие злоумышленники попросту стирают содержимое жестких
дисков, взлом часто сопровождается потерей всех данных, которые не были
сохранены на резервных носителях.
Помимо потери данных, пользователи узлов, подвергшихся нападению,
теряют доступ к Internet. Провайдеры обычно отключают такую систему до тех
пор, пока последствия взлома не будут полностью ликвидированы.
Администратор должен не только восстановить поврежденную систему, но и
выяснить, как злоумышленник смог проникнуть в нее, и принять меры для
того, чтобы подобное не повторилось в дальнейшем. Для этого требуется
время, порой немалое. Для коммерческих организаций потеря доступа к
Internet часто влечет за собой реальные убытки.
Бывает, что администратору взломанного узла предъявляют претензии
другие пользователи. Это происходит в тех случаях, когда, получив доступ к
системе, злоумышленник применяет ее для атаки на другие компьютеры. Если
провайдер не поверит в непричастность администратора к инциденту, он может
навсегда отказаться от обслуживания организации, в которой тот работает.
И, кроме всего прочего, не стоит забывать, что взломщик может похитить
секретные данные.
Брандмауэр защищает от атаки
Большинство попыток незаконного вторжения могут быть пресечены еще на
уровне провайдера. Стандартный набор процедур фильтрации не даст
возможности воспользоваться многими из известных недостатков в защите
серверов. Однако на практике провайдеры редко предпринимают подобные меры.
И дело не только в том, что провайдеры недооценивают свою роль и
ответственность; при фильтрации большого числа пакетов резко возрастает
нагрузка на аппаратные средства.
В то же время администратор небольшой сети может без труда реализовать
средства фильтрации в своей системе. Поскольку объем трафика относительно
невелик, компьютер без труда справится с дополнительной нагрузкой. Наличие
средств фильтрации не только повысит уровень защиты вашей сети, но и
предохранит внешние узлы от возможных ошибок пользователей локальных
компьютеров.