Сетевой полицейский

СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Сетевой полицейский

The bad packets stop here!

В необходимости защиты компьютеров в сети сегодня убеждать, наверное, никого уже не надо. Вопрос обычно состоит в выборе того или иного инструмента для этих целей. Для организации брандмауэра в небольших и средних фирмах редко покупают отдельное устройство. Для таких фирм фактор цены обычно стоит на первом месте, и поэтому они стараются по возможности использовать б/у компьютеры, которые обычно имеются не в единственном числе. Об одном из удобных дистрибутивов, который можно использовать на таком оборудовании, и пойдет речь в статье.

IPCop (http://www.ipcop.org) представляет собой базирующуюся на GNU/Linux систему, которая может быть использована для построения брандмауэра как в небольших домашних сетях, так и в сетях предприятий. Это его основное назначение. Но кроме организации межсетевого экрана, инструменты, входящие в IPCop, позволяют:

• регулировать входящий и исходящий трафик;
• наблюдать за событиями, происходящими в сети;
• предупреждать о нападении;
• организовать виртуальную частную сеть (Virtual private network – VPN), которая позволяет безопасно соединять сети через Интернет;
• назначать компьютерам IP-адреса посредством DHCP;
• синхронизировать время, используя NTP;
• кэшировать веб-страницы и данные службы DNS;
• выдавать информацию об использовании системных ресурсов.

Дополнительно ко всему удобно и просто конфигурировать систему посредством веб-интерфейса. Для работы достаточно компьютера с процессором 386 с 32 Мб ОЗУ и 300 Мб жесткого диска. Это, естественно, минимальные требования. При организации кэширования веб-страниц и регистрации сетевых событий, а также в больших сетях требования к оборудованию возрастают.

Для инсталляции потребуются клавиатура и монитор (для удобства и мышь), после чего их можно отключить. Гибкий диск на компьютере не требуется, но будет полезен при копировании настроек и обновлении системы. Забегая вперед, скажу, что имеется скрипт http://www.timbutterfield.com/computer/ipcop/backup, позволяющий производить эту операцию через сеть. Можно обойтись даже без CD-ROM и установить дистрибутив, используя http. IPCop может быть установлен и на Compact Flash, в руководстве по установке есть упоминания по этому поводу. Ядром поддерживаются некоторые PCMCIA-, SCSI- и USB-устройства, список протестированого оборудования можно найти в «IPCop Hardware Compatibility List». Кроме того, начиная с версии 1.4.0, кроме Intel-архитектуры, поддерживаются и Аlpha-процессоры. Помимо основного сайта дополнительную информацию об IPCop можно получить и на других сайтах – http://www.ipcops.net, http://sourceforge.net/projects/ipcop.

Установка IPCop

Несмотря на такие большие возможности, дистрибутив получился довольно компактным, чуть меньше 40 Мб. Перед установкой разработчики настоятельно рекомендуют почитать инструкцию по установке, которую можно найти как на сайте проекта, так и в установочном iso-образе, полученном с сайта. Весь процесс не должен занять больше 10-15 минут времени. Но главное, помните, что все данные на используемом жестком диске будут уничтожены, т.к. программа установки автоматически создает разделы. Для удобства работы предусмотрено использование четырех сетевых устройств:

• Red – опасное интернет-соединение.
• Green – безопасная внутренняя сеть.
• Orange – DMZ (De-Militarized Zone) для серверов, которые должны быть доступны из Интернета.
• Blue – беспроводная полудоверенная сеть (до версии 1.3.0 wireless-сети выводились либо в Green-, либо в Orange-зоны).

Процесс установки происходит в графической среде с понятными подсказками и минимальным участием пользователя. Единственное, что в списке из более 20 языков, доступных при установке, нет русского, может, это кому-то покажется неудобным, уже после установки можно выбрать русский. А так выбираем источник установки, далее программа предупреждает об уничтожении данных на жестком диске, после чего создаются разделы с файловой системой, копируются данные, и если есть сохраненная на дискете конфигурация, то можно восстановить настройки. Следующим шагом настраиваются сетевая «Green-карта», клавиатурная раскладка, часовой пояс, имя компьютера в сети, параметры ISDN, использование DHCP на Green-интерфейсе, вид сетевой конфигурации (например, green + orange + red) и настраиваются остальные сетевые устройства, устанавливаются пароли для пользователей root и admin, после чего система перезагружается. Теперь все дальнейшие настройки производятся, используя SSH (в версии 1.4.1 вместо 22 порта почему-то используется 222) или через веб-интерфейс.

Для удобства администрирования системы при помощи командной строки предусмотрена программа /usr/local/sbin/setup, которая поможет малоопытному пользователю не запутаться в неизвестных командах. Запустив ее, при помощи меню можно выполнить большую часть необходимых операций: изменить раскладку клавиатуры, имя узла и домена, пароли пользователей, сетевые настройки. Если в вашем распоряжении только компьютеры под управлением Windows, в составе которых нет необходимых утилит для удаленного доступа по SSH, в таком случае можно воспользоваться свободными утилитами вроде PuTTY (http://www.chiark.greenend.org.uk/~sgtatham/putty) или WinSCP (http://winscp.sourceforge.net/eng). Какую из них использовать – дело вкуса, мне больше нравится WinSCP, к тому же он доступен и в виде плагина к FAR.

Набрав на другом компьютере из внутренней сети в строке браузера:

http://Green _address:81/

при этом вызов будет перенаправлен на защищенное соединение https://Green _address:445 (его также можно использовать). Далее регистрируемся как пользователь admin и получаем возможность настроить все необходимые параметры посредством веб-интерфейса. Для удобства восприятия в System – GUI Setting можно выбрать русский язык интерфейса (примечание: после этого программа /usr/local/sbin/setup откажется работать, ссылаясь на недопустимый язык системы). Пользователю доступны семь вкладок («Система», «Состояние», «Сеть», «Службы», «Файервол», «ВЧС» и «Логи») с подпунктами в каждой. Так, в меню «Система» можно скачать обновления нажатием одной кнопки, изменить пароли, настроить доступ по SSH, сохранить настройки на дискету, выключить маршрутизатор и ознакомиться с создателями. В меню «Состояние» – получить данные и графики о работе системы (запущенные сервисы и загруженные модули, состояние памяти и заполнение дисковых разделов и пр.), сети (в том числе таблицы маршрутизации и трассировка связи по IPTables). В подпунктах вкладки «Сеть» указываются параметры модемного соединения (только для RED). В меню «Службы» выбираются параметры и запускаются: прокси-сервер Squid и DNS-сервера, DHCP-сервер для Green-интерфейса, параметры предпочтительных Network Time Server, выставить приоритеты сервисов, включить использование NIDS Snort для тех сетевых интерфейсов, где хотите контролировать происходящее. В этом же пункте можно занести данные об IP-адресах и именах известных узлов в файл /etc/hosts, для того чтобы лишний раз не обращаться к DNS-серверам. Если необходимо запретить доступ к некоторым сайтам, то самым простым решением будет занести в этот же файл приблизительно такую конструкцию, вставив нужное имя (список некоторых «ненужных» сайтов можно найти по адресу http://ssmedia.com/utilities/hosts).

0.0.0.0            www. Site_1.com

0.0.0.0            www. Site_2.org

Во вкладке «Файервол» всего два пункта. В одном из них выставляются параметры перенаправления портов, во втором задаются правила iptables для внешнего сетевого интерфейса (по умолчанию очень строгие). В «ВЧС» в удобной и понятной форме можно указать параметры VPN-соединения OpenSWAN, для чего необходимо просто заполнить пункты, указав IP-адреса, вид соединения (Host-to-Net, Net-to-Net) и выбрать/создать сертификат. И наконец, во вкладке «Логи» получить доступ к журналам приложений, при этом возможен просмотр событий по дням, месяцам и экспорт. Разобраться с настройкой системы при помощи вышеуказанных меню, думаю, особого труда не составит. Если что, на сайте имеются подробные руководства (на английском языке) по администрированию IPCop и настройке VPN.

Расширение возможностей IPCop

Как бы там ни было, но несмотря на довольно неплохие возможности этого дистрибутива, через некоторое время администратору, скорее всего, захочется их расширить. В принципе админ с опытом работы в UNIX-системах сам способен добавить необходимые компоненты, но IPCop ориентирован именно на легкость в использовании, в том числе и на неопытного пользователя. В расширении возможностей системы может помочь документ «IPCop Addons» (http://ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddons), в котором даны ссылки и краткие описания всех проектов и скриптов, так или иначе связанных с добавлением функциональности этому дистрибутиву.

Первый проект, на который удалось выйти (Unofficial) IPCop Firewall Addon Server (http://firewalladdons.sourceforge.net/index.html), располагает рядом инструментов, позволяющих существенно нарастить функциональность IPCop, в основном между Red- и Green-интерфейсами. При этом работать с предлагаемыми расширениями под силу и новичку, имеющему некоторые навыки удаленного администрирования. Пакеты рассортированы по девяти группам (Proxy Servers, Entertainment, VPN, Servers, Utilities, Logging, Modems/NICS, Miscellanous, Language PAKS). Из необходимого хочется отметить наличие контекстного фильтра Cop+, построенного на основе Dansguardian с автоматической закачкой «черных списков» (есть еще SquidGuard, но он долго не обновлялся). Далее MOD BlockOutTraffic позволяет блокировать исходящий трафик для Blue-интерфейса, руководствуясь прописанными IP- и MAC-адресами, а еще Nmap и IPTraf, без которых тяжелее организовать нормальное администрирование сети, для улучшения безопасности подойдет DSLogcheck и Tripwire. И еще много различных MOD, в том числе такие как редактор Joe и Midnight Commander. Все пакеты, имеющие префикс GUI в названии, будут доступны после установки через веб-интерфейс, CLI только из консоли. При установке следует также обращать внимание на версии Addon-сервера и IPCop, для которого был написан MOD, хотя, возможно, некоторые утилиты удастся заставить работать и с другой версией. С MOD управляться очень просто и легко. Первым делом скачиваем сам Аddon-сервер, на момент написания статьи это была версия 2.2, т.е. пакет addons-2.2-CLI-b2.tar.gz. Переносим этот пакет при помощи SSH или дискетой, затем распаковываем и устанавливаем.

# tar vxzf addons-2.2-CLI-b2.tar.gz -C / 

# cd /addons

# ./setup –u или ./setup –i

Теперь если посмотреть на веб-браузер, то обнаружится еще одна вкладка – ADDONS, являющаяся менеджером установленных MOD, плюс отсюда же можно закачать на IPCop необходимые MOD. Сами же MOD устанавливаются аналогично серверу, после чего в соответствующих вкладках появится дополнительный подпункт. Как создать свой MOD, довольно подробно описано в документе «How to write your own MOD».

Из других полезных, на мой взгляд, утилит расширения стоит обратить также внимание на linetest (http://alquanto.de/goodies/linetest), который позволяет автоматически переключаться на резервное соединение в случае пропадания основного канала. Если же просто нужно перезапустить соединение, то в «IPCop Addons» приведены примеры скриптов. Большое количество различных скриптов расширения, в том числе для подсчета трафика, вывода различных диаграмм, дополнения для squid, найдете по адресу www.zpdee.net/~joecat. Для проверки входящей почты на предмет наличия вирусов и спама используйте комплект Copfilter (http://www.madlener.tk), включающий в себя такие приложения, как spamassassin, clamscan и пр. В общем, можно существенно повысить функциональность системы.

Чтобы гарантировать всестороннюю и глубокую защиту, необходимо иметь сетевые и узловые решения на каждом устройстве. Такой подход не всегда приемлем как с точки зрения удобства, так и конечной стоимости такого подхода. Дистрибутивы, подобные IPCop, представляют собой более всестороннее решение этого вопроса, позволяя защитить внутренние сети при помощи брандмауэра. Расширенные возможности вроде сетевой системы обнаружения атак, возможности организации виртуальной частной сети вкупе с легкостью настройки, локализацией, надежностью решения и возможности наращивания системы делают IPCop весьма привлекательным решением, управиться с которым может и новичок в администрировании.