Наши партнеры

UnixForum






Книги по Linux (с отзывами читателей)

Библиотека сайта rus-linux.net

На главную -> MyLDP -> Тематический каталог -> Безопасность работы с системой Linux

Введение в Firestarter

Оригинал: Introduction to Firestarter
Автор: Ken Leyba
Дата: 6 августа 2007
Перевод А.Тарасова, дата перевода: 10 августа 2007

Рисунок 1: Два типа сетей
Рисунок 2: "Настройка сетевых устройств"
Рисунок 3: Запускаем файрволл
Рисунок 4: Страница статуса Firestarter
Рисунок 5: Страница событий
Рисунок 6: Разрешение доступа через события
Рисунок 7: Страница политик
Рисунок 8: Добавление нового правила
Большинство современных GNU/Linux дистрибутивов даже в минимальной установке безопасны, независимо от того, расчитан дистрибутив на сервер либо на рабочую станцию. В то же время некоторые дистрибутивы разработаны с уклоном на безопасность. Тем не менее, любой GNU/Linux дистрибутив, который предоставляет какие-либо службы пользователям или системам, нуждается в дополнительной настройке безопасности. Есть случаи, когда улучшенная безопасность - обязательное условие; к примеру, большое окружение, являясь безопасным к атакам извне, также нуждается в улучшенной безопасности внутри сети.

Устройство сети

Рассмотрим несколько типов сетей, которые обычно используются в малых окружениях. Два простых примера (см. рисунок 1) - компьютер, который соединен с Интернетом напрямую с помощью кабельного модема или DSL-линии, либо через шлюз, который раздает Интернет также другим компьютерам. В идеале, Интернет-соединение должно быть защищено с помощью отдельного файрволла - это либо аппаратный файрволл, либо выделенная машина с файрволл-дистрибутивом типа IPCop. По причинам цены и ограниченности пространства идеальный вариант не всегда возможен, и файрволл устанавливается на отдельную рабочую станцию либо несколько рабочих станций, которые также выступают в роли шлюза для других систем. В больших окружениях со множеством операционных систем (некоторые из которых ненадежны в плане безопасности) персональный файрволл улучшает безопасность, особенно если на рабочей станции хранится важная информация.

Инструмент iptables, включенный в стандартный набор большинства GNU/Linux дистрибутивов, используется для настройки GNU/Linux файрволлов. iptables может быть настроен вручную, либо с помощью графических инструментов настройки, таких как Shorewall, Firestarter и других. Эти средства делают настройку файрволлов намного проще, чем ручная настройка из командной строки. Настройка с помощью графических утилит менее тонка, но обычному пользователю больше и не нужно.

Firestarter

Как гласит веб-сайт Firestarter, "Firestarter - это визуальная программа настройки файрволла с открытым кодом". Нужно сразу сказать, что Firestarter - это графическая оболочка для iptables, которая упрощает настройку простого файрволла для рабочих станций, ноутбуков и серверов. Хотя веб-сайт программы пишет, что Firestarter может использоваться для настройки шлюза или выделенного файрволла, тем не менее я бы посоветовал для выделенного файрволла использовать более безопасные файрволл-ориентированные дистрибутивы. Дополнительными возможностями Firestarter являются мастер настройки, монитор событий реального времени, настройка общего доступа к интернету, настройка DHCP-сервера и настройка внешних и внутренних политик.

Установка

Установка программ в современных дистрибутивах GNU/Linux стала тривиальной задачей. Я предпочитаю текстовые утилиты установки, мне проще вводить команды, чем пробираться через дебри меню. Установка Firestarter прямолинейна. Если у вас Ubuntu, запустите терминал и введите
	# sudo apt-get install firestarter
После ввода пароля администратора начнется установка. APT, возможно, потребует установки дополнительного пакета dhcp3-server, который будет использоваться на шлюзе для предоставления службы DHCP. В системе Fedora Core установка из командной строки происходит аналогично
	# yum install firestarter
Вы также можете установить Firestarter с помощью графических утилит. К примеру, в той же Ubuntu, запустите "Система" -> "Администрирование" -> "Менеджер пакетов Synaptic", затем найдите "Firestarter" в поле поиска. Не забудьте, что для установки требуется наличие репозитория "Universe".

Мастер настройки

После завершения установки, выберите в меню "Система" -> "Администрирование" -> "Firestarter". При первом запуске Firestarter перед вами предстанет мастер настройки. Так как файрволл должен запускаться от имени администратора, т.е. root, мастер потребует пароль. Мастер настройки проведет вас через простой процесс настройки базового файрволла. Сначала вас поприветствуют, нажмите кнопку "Forward". Появится диалоговое окно "Network Device Setup" (см. рисунок 2), где будет приведен список найденных сетевых устройств, а также два флажка. Первый флажок означает, запускать ли файрволл при дозвоне. Другими словами, запуск файрволла будет происходить при использовании соединения dial-up. Установка второго флажка означает, что IP-адрес будет получен динамически: либо от DHCP-сервера Интернет-провайдера, либо от DHCP-сервера вашей компании. Выберите из списка сетевое устройство, которое расположено на стороне Интернета, и нажмите "Forward".

Диалоговое окно "Internet Connection Sharing" позволяет настроить общий доступ к Интернет, используя систему в качестве шлюза. Если у вас есть второе сетевое устройство, можно будет указать, что оно обращено к внутренней сети. Единственный флажок здесь позволяет включить или выключить DHCP-сервер в локальной сети. В данном примере у нас всего одно сетевое устройство, поэтому пропускаем данный пункт, нажимая "Forward". Последнее диалоговое окно "Ready to start your firewall" ("Ваш файрволл готов к запуску") позволяет сохранить указанные настройки с помощью кнопки "Save" и запустить файрволл, см. рисунок 3. Это завершает базовую настройку, после чего появляется окно Firestarter Status Page (см. рисунок 4).

Рекомендую сразу включить настройку "Minimize to tray on windows close" ("Минимизировать в лоток при закрытии окна"). После этого нажатие на кнопке закрытия окна будет приводить не к завершению программы, а к минимизации ее в лоток. В лотке появится значок, отображающий статус файрволла: запущен, остановлен или заперт. Запирание файрволла приводит к запрещению всех входящих и исходящих соединений. Чтобы включить функцию минимизации, выберите "Edit" -> "Preferences" либо нажмите на кнопке "Preferences". Затем в разделе "Interface" включите "Minimize to tray on windows close" и нажмите "Accept".

Просмотр событий

Пожалуй, одна из наиболее приятных функций Firestarter - это способность в реальном времени отображать происходящие сетевые события. Для просмотра событий выберите вкладку "Events" на странице статуса (см. рисунок 5). По умолчанию показаны пять (время, порт, источник, протокол и служба) из 11 столбцов. Столбцы могут быть настроены в разделе "Show Column" пункта меню "Events". События раскрашены в разные цвета в зависимости от серьезности события:
  • серые события безобидны (например, широковещательные пакеты)
  • черные события - постоянные попытки подключения к случайному порту
  • красные события - возможные попытки обращения к закрытым службам
На рисунке 5 вы можете видеть потенциально опасное NFS-событие в локальной сети, а также несколько серых SMB-событий, порожденных рабочими станциями Windows. Количество отображаемых событий может быть уменьшено с помощью настроек "Skipping redundant entries" ("Пропускать повторяющиеся события") и "Skip entries where the destination is not the firewall" ("Пропускать записи, приемником которых является не файрволл").

Разрешение доступа

Разрешить доступ в оснащенной файрволлом системе возможно двумя путями: либо посредством страницы "Policy" ("Политики"), либо "Events" ("События"). На рисунке 6 представлено два типа событий, попытки соединения SMB и SSH. Чтобы разрешить SSH-соединения с определенного компьютера, щелкните правой кнопкой мыши на компьютере-источнике и выберите "Allow inbound service for source" ("Разрешить эту службу для источника"). Это приведет к созданию политики разрешения SSH-соединения только с выбранного компьютера; можете проверить это, посмотрев страницу "Policy" ("Политики"), см. рисунок 7. Так как SMB (служба обмена файлами в Windows) использует несколько портов, легче разрешить доступ, создав соответствующее правило в странице политик. Выберите вкладку "Policy", затем выберите раздел "Allow service" ("Разрешить службу") и нажмите кнопку "Add Rule" ("Добавить правило"). В диалоговом окне "Add new inbound rule" (см. рисунок 8), выберите "Samba (SMB)" из выпадающего меню и оставьте значение по умолчанию "Anyone" ("Доступно всем"). Наконец, нажмите кнопку "Add" для добавления правила и закрытия окна. Нажатие кнопки "Apply Policy" ("Применить политику") включает действие только что добавленного правила.

Страница политик также позволяет включить полный доступ с определенных компьютеров или подсетей. Пример применения этой функции - разрешение полного доступа на рабочую станцию, которая нуждается в администрировании, или разрешение доступа к определенной группе машин, находящихся в одной подсети. Хотя более безопасно открывать лишь службы, которые нужны отдельным машинам, вместо открытия полного доступа к группе машин.

Настройка шлюза

Настройка файрволла в качестве шлюза требует несколько предварительных действий.

Сетевые устройства, обращенные к интернету и в локальную сеть, должны быть идентифицированы и настроены с помощью Network Configuration Tool или другим методом. К примеру, интерфейс eth0 на стороне интернета настроен с использованием DHCP, а eth1 смотрит в локальную сеть и имеет статический IP-адрес. DHCP-сервер также должен быть установлен (к примеру посредством

	# sudo apt-get install dhcp3-server
или с помощью Synaptic) и запущен.

Снова мастер настройки

Когда сетевые устройства настроены и DHCP-сервер запущен, можно запустить мастер настройки Configuration Wizard. Мастер настройки запускается сам при первом запуске, а также его можно запустить из Страницы статуса Firestarter, меню "Firewall" -> "Run wizard". Пройдите по мастеру как в прошлый раз, но в диалоговом окне "Internet connection sharing setup" выберите второе сетевое устройство (см. рисунок 9), в нашем примере eth1, затем завершите мастер как раньше.

Настройка DHCP осуществляется с помощью диалогового окна Preferences. Выберите в разделе Firewall пункт Network Settings (см. рисунок 10). Здесь указаны настройки интернет- и локального сетевых устройств. Отмечены флажки "Enable Internet connection sharing" ("Разрешить общий доступ к Интернет") и "Enable DHCP for local network" ("Разрешить DHCP для локальной сети"). Выбран вариант "Create new DHCP configuration" ("Новая конфигурация DHCP") и соответствующим образом настроен интервал выдаваемых IP-адресов. Список DNS-серверов может быть указан в поле "Name server:", приемлемы как доменные имена, так и IP-адреса, разделенные запятыми. Также возможна специальная запись <dynamic>, означающая, что файрволл получает список DNS-серверов от DHCP-сервера, к примеру, принадлежащего провайдеру или вашей компании.

Переадресация и блокирование

В случае шлюза возможна еще одна функция. Все компьютеры в локальной сети разделяют один IP-адрес посредством Перевода Сетевого Адреса (Network Address Translation, NAT), но благодаря службе переадресации возможно направить некоторые службы к определенным компьютерам. В странице политик отображен дополнительный раздел для службы переадресации (см. рисунок 11). Простой пример использования переадресации: веб-сервер устанавливается в локальной сети, а при обращении извне по IP-адресу файрволла весь веб-трафик пересылается от файрволла к внутреннему веб-серверу.

Firestarter может блокировать доступ к внешним серверам или машинам в локальной сети. Взгляните на страницу политик, Политики внешнего трафика (Outbound traffic policy), см. рисунок 12. Здесь может быть отредактирован список запрещенных хостов. Хотя лучшим способом решения этой проблемы является установка фильтра содержимого на выделенном сервере или веб-прокси, но этот способ проще.

Заключение

Firestarter - графический интерфейс для простой настройки персонального файрволла или шлюза. Веб-сайт Firestarter содержит дополнительную информацию и текущую документацию, хотя разработка, судя по всему, приостановлена. Несмотря на это, список рассылки все еще действует, а сам Firestarter все еще включают в современные GNU/Linux дистрибутивы.
Рисунок 9: Настройка общего доступа к Интернету Рисунок 10: Новая конфигурация DHCP
Рисунок 11: Служба переадресации Рисунок 12: Блокирование внешних серверов