Сетевой полицейский::Журнал СА 1.2005
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6143
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6856
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4139
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2978
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6283
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3434
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12336
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13969
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9100
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7053
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5362
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4594
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3402
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3129
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3379
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3000
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Сетевой полицейский

Архив номеров / 2005 / Выпуск №1 (26) / Сетевой полицейский

Рубрика: Безопасность /  Сетевая безопасность

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Сетевой полицейский

The bad packets stop here!

В необходимости защиты компьютеров в сети сегодня убеждать, наверное, никого уже не надо. Вопрос обычно состоит в выборе того или иного инструмента для этих целей. Для организации брандмауэра в небольших и средних фирмах редко покупают отдельное устройство. Для таких фирм фактор цены обычно стоит на первом месте, и поэтому они стараются по возможности использовать б/у компьютеры, которые обычно имеются не в единственном числе. Об одном из удобных дистрибутивов, который можно использовать на таком оборудовании, и пойдет речь в статье.

IPCop (http://www.ipcop.org) представляет собой базирующуюся на GNU/Linux систему, которая может быть использована для построения брандмауэра как в небольших домашних сетях, так и в сетях предприятий. Это его основное назначение. Но кроме организации межсетевого экрана, инструменты, входящие в IPCop, позволяют:

  • регулировать входящий и исходящий трафик;
  • наблюдать за событиями, происходящими в сети;
  • предупреждать о нападении;
  • организовать виртуальную частную сеть (Virtual private network – VPN), которая позволяет безопасно соединять сети через Интернет;
  • назначать компьютерам IP-адреса посредством DHCP;
  • синхронизировать время, используя NTP;
  • кэшировать веб-страницы и данные службы DNS;
  • выдавать информацию об использовании системных ресурсов.

Дополнительно ко всему удобно и просто конфигурировать систему посредством веб-интерфейса. Для работы достаточно компьютера с процессором 386 с 32 Мб ОЗУ и 300 Мб жесткого диска. Это, естественно, минимальные требования. При организации кэширования веб-страниц и регистрации сетевых событий, а также в больших сетях требования к оборудованию возрастают.

Для инсталляции потребуются клавиатура и монитор (для удобства и мышь), после чего их можно отключить. Гибкий диск на компьютере не требуется, но будет полезен при копировании настроек и обновлении системы. Забегая вперед, скажу, что имеется скрипт http://www.timbutterfield.com/computer/ipcop/backup, позволяющий производить эту операцию через сеть. Можно обойтись даже без CD-ROM и установить дистрибутив, используя http. IPCop может быть установлен и на Compact Flash, в руководстве по установке есть упоминания по этому поводу. Ядром поддерживаются некоторые PCMCIA-, SCSI- и USB-устройства, список протестированого оборудования можно найти в «IPCop Hardware Compatibility List». Кроме того, начиная с версии 1.4.0, кроме Intel-архитектуры, поддерживаются и Аlpha-процессоры. Помимо основного сайта дополнительную информацию об IPCop можно получить и на других сайтах – http://www.ipcops.net, http://sourceforge.net/projects/ipcop.

Установка IPCop

Несмотря на такие большие возможности, дистрибутив получился довольно компактным, чуть меньше 40 Мб. Перед установкой разработчики настоятельно рекомендуют почитать инструкцию по установке, которую можно найти как на сайте проекта, так и в установочном iso-образе, полученном с сайта. Весь процесс не должен занять больше 10-15 минут времени. Но главное, помните, что все данные на используемом жестком диске будут уничтожены, т.к. программа установки автоматически создает разделы. Для удобства работы предусмотрено использование четырех сетевых устройств:

  • Red – опасное интернет-соединение.
  • Green – безопасная внутренняя сеть.
  • Orange – DMZ (De-Militarized Zone) для серверов, которые должны быть доступны из Интернета.
  • Blue – беспроводная полудоверенная сеть (до версии 1.3.0 wireless-сети выводились либо в Green-, либо в Orange-зоны).

Процесс установки происходит в графической среде с понятными подсказками и минимальным участием пользователя. Единственное, что в списке из более 20 языков, доступных при установке, нет русского, может, это кому-то покажется неудобным, уже после установки можно выбрать русский. А так выбираем источник установки, далее программа предупреждает об уничтожении данных на жестком диске, после чего создаются разделы с файловой системой, копируются данные, и если есть сохраненная на дискете конфигурация, то можно восстановить настройки. Следующим шагом настраиваются сетевая «Green-карта», клавиатурная раскладка, часовой пояс, имя компьютера в сети, параметры ISDN, использование DHCP на Green-интерфейсе, вид сетевой конфигурации (например, green + orange + red) и настраиваются остальные сетевые устройства, устанавливаются пароли для пользователей root и admin, после чего система перезагружается. Теперь все дальнейшие настройки производятся, используя SSH (в версии 1.4.1 вместо 22 порта почему-то используется 222) или через веб-интерфейс.

Для удобства администрирования системы при помощи командной строки предусмотрена программа /usr/local/sbin/setup, которая поможет малоопытному пользователю не запутаться в неизвестных командах. Запустив ее, при помощи меню можно выполнить большую часть необходимых операций: изменить раскладку клавиатуры, имя узла и домена, пароли пользователей, сетевые настройки. Если в вашем распоряжении только компьютеры под управлением Windows, в составе которых нет необходимых утилит для удаленного доступа по SSH, в таком случае можно воспользоваться свободными утилитами вроде PuTTY (http://www.chiark.greenend.org.uk/~sgtatham/putty) или WinSCP (http://winscp.sourceforge.net/eng). Какую из них использовать – дело вкуса, мне больше нравится WinSCP, к тому же он доступен и в виде плагина к FAR.

Набрав на другом компьютере из внутренней сети в строке браузера:

http://Green _address:81/

при этом вызов будет перенаправлен на защищенное соединение https://Green _address:445 (его также можно использовать). Далее регистрируемся как пользователь admin и получаем возможность настроить все необходимые параметры посредством веб-интерфейса. Для удобства восприятия в System – GUI Setting можно выбрать русский язык интерфейса (примечание: после этого программа /usr/local/sbin/setup откажется работать, ссылаясь на недопустимый язык системы). Пользователю доступны семь вкладок («Система», «Состояние», «Сеть», «Службы», «Файервол», «ВЧС» и «Логи») с подпунктами в каждой. Так, в меню «Система» можно скачать обновления нажатием одной кнопки, изменить пароли, настроить доступ по SSH, сохранить настройки на дискету, выключить маршрутизатор и ознакомиться с создателями. В меню «Состояние» – получить данные и графики о работе системы (запущенные сервисы и загруженные модули, состояние памяти и заполнение дисковых разделов и пр.), сети (в том числе таблицы маршрутизации и трассировка связи по IPTables). В подпунктах вкладки «Сеть» указываются параметры модемного соединения (только для RED). В меню «Службы» выбираются параметры и запускаются: прокси-сервер Squid и DNS-сервера, DHCP-сервер для Green-интерфейса, параметры предпочтительных Network Time Server, выставить приоритеты сервисов, включить использование NIDS Snort для тех сетевых интерфейсов, где хотите контролировать происходящее. В этом же пункте можно занести данные об IP-адресах и именах известных узлов в файл /etc/hosts, для того чтобы лишний раз не обращаться к DNS-серверам. Если необходимо запретить доступ к некоторым сайтам, то самым простым решением будет занести в этот же файл приблизительно такую конструкцию, вставив нужное имя (список некоторых «ненужных» сайтов можно найти по адресу http://ssmedia.com/utilities/hosts).

0.0.0.0            www. Site_1.com

0.0.0.0            www. Site_2.org

Во вкладке «Файервол» всего два пункта. В одном из них выставляются параметры перенаправления портов, во втором задаются правила iptables для внешнего сетевого интерфейса (по умолчанию очень строгие). В «ВЧС» в удобной и понятной форме можно указать параметры VPN-соединения OpenSWAN, для чего необходимо просто заполнить пункты, указав IP-адреса, вид соединения (Host-to-Net, Net-to-Net) и выбрать/создать сертификат. И наконец, во вкладке «Логи» получить доступ к журналам приложений, при этом возможен просмотр событий по дням, месяцам и экспорт. Разобраться с настройкой системы при помощи вышеуказанных меню, думаю, особого труда не составит. Если что, на сайте имеются подробные руководства (на английском языке) по администрированию IPCop и настройке VPN.

Рисунок 1

Рисунок 2

Рисунок 3

Расширение возможностей IPCop

Как бы там ни было, но несмотря на довольно неплохие возможности этого дистрибутива, через некоторое время администратору, скорее всего, захочется их расширить. В принципе админ с опытом работы в UNIX-системах сам способен добавить необходимые компоненты, но IPCop ориентирован именно на легкость в использовании, в том числе и на неопытного пользователя. В расширении возможностей системы может помочь документ «IPCop Addons» (http://ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddons), в котором даны ссылки и краткие описания всех проектов и скриптов, так или иначе связанных с добавлением функциональности этому дистрибутиву.

Первый проект, на который удалось выйти (Unofficial) IPCop Firewall Addon Server (http://firewalladdons.sourceforge.net/index.html), располагает рядом инструментов, позволяющих существенно нарастить функциональность IPCop, в основном между Red- и Green-интерфейсами. При этом работать с предлагаемыми расширениями под силу и новичку, имеющему некоторые навыки удаленного администрирования. Пакеты рассортированы по девяти группам (Proxy Servers, Entertainment, VPN, Servers, Utilities, Logging, Modems/NICS, Miscellanous, Language PAKS). Из необходимого хочется отметить наличие контекстного фильтра Cop+, построенного на основе Dansguardian с автоматической закачкой «черных списков» (есть еще SquidGuard, но он долго не обновлялся). Далее MOD BlockOutTraffic позволяет блокировать исходящий трафик для Blue-интерфейса, руководствуясь прописанными IP- и MAC-адресами, а еще Nmap и IPTraf, без которых тяжелее организовать нормальное администрирование сети, для улучшения безопасности подойдет DSLogcheck и Tripwire. И еще много различных MOD, в том числе такие как редактор Joe и Midnight Commander. Все пакеты, имеющие префикс GUI в названии, будут доступны после установки через веб-интерфейс, CLI только из консоли. При установке следует также обращать внимание на версии Addon-сервера и IPCop, для которого был написан MOD, хотя, возможно, некоторые утилиты удастся заставить работать и с другой версией. С MOD управляться очень просто и легко. Первым делом скачиваем сам Аddon-сервер, на момент написания статьи это была версия 2.2, т.е. пакет addons-2.2-CLI-b2.tar.gz. Переносим этот пакет при помощи SSH или дискетой, затем распаковываем и устанавливаем.

# tar vxzf addons-2.2-CLI-b2.tar.gz -C / 

# cd /addons

# ./setup –u или ./setup –i

Теперь если посмотреть на веб-браузер, то обнаружится еще одна вкладка – ADDONS, являющаяся менеджером установленных MOD, плюс отсюда же можно закачать на IPCop необходимые MOD. Сами же MOD устанавливаются аналогично серверу, после чего в соответствующих вкладках появится дополнительный подпункт. Как создать свой MOD, довольно подробно описано в документе «How to write your own MOD».

Из других полезных, на мой взгляд, утилит расширения стоит обратить также внимание на linetest (http://alquanto.de/goodies/linetest), который позволяет автоматически переключаться на резервное соединение в случае пропадания основного канала. Если же просто нужно перезапустить соединение, то в «IPCop Addons» приведены примеры скриптов. Большое количество различных скриптов расширения, в том числе для подсчета трафика, вывода различных диаграмм, дополнения для squid, найдете по адресу www.zpdee.net/~joecat. Для проверки входящей почты на предмет наличия вирусов и спама используйте комплект Copfilter (http://www.madlener.tk), включающий в себя такие приложения, как spamassassin, clamscan и пр. В общем, можно существенно повысить функциональность системы.

Чтобы гарантировать всестороннюю и глубокую защиту, необходимо иметь сетевые и узловые решения на каждом устройстве. Такой подход не всегда приемлем как с точки зрения удобства, так и конечной стоимости такого подхода. Дистрибутивы, подобные IPCop, представляют собой более всестороннее решение этого вопроса, позволяя защитить внутренние сети при помощи брандмауэра. Расширенные возможности вроде сетевой системы обнаружения атак, возможности организации виртуальной частной сети вкупе с легкостью настройки, локализацией, надежностью решения и возможности наращивания системы делают IPCop весьма привлекательным решением, управиться с которым может и новичок в администрировании.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru