Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

IPTables

Вышел новый релиз iptables-1.4.9

Рубрики: Брандмауэр | Новости
Метки:
Дата: 04/08/2010 11:09:27
Подписаться на комментарии по RSS
iptables

     Компания Netfilter coreteam выпустила новую версию популярного инструмента для построения защиты(брандмауэра) операционной системы Linux - Iptables 1.4.9.

     В последней версии Iptables была проведена работа для совместимости с  ядром Linux 2.6.35, которое вышло совсем недавно.

Далее...

Сетевая файловая система NFS.

Рубрики: Безопасность | Защита сервисов
Метки: | | |
Дата: 17/08/2009 09:56:08
Подписаться на комментарии по RSS

NFS позволяет предоставить общий доступ к каталогам Unix-машины. Небезопасность NFS, и в частности NIS, связана с RPC - по количеству всевозможных эксплоитов RPC представляется негласным лидером (если не считать Sendmail). Так как эти протоколы предназначены для внутренних сетей, защищать их придется от «своих» пользователей. Хотя перед их применением нужно решить, действительно ли они нужны.

     В домашней сети они могут быть достаточно полезными, но в корпоративной сети из соображений безопасности лучше найти им более безопасную альтернативу.

     Файловая система NFS.

     Сетевая файловая система (Network File System, NFS) была разработана компанией Sun как средство доступа к файлам, размещенным на прочих Unix-машинах в пределах локальной сети. При разработке NFS безопасность вообще не учитывалась, что с годами стало причиной многих уязвимостей.

     NFS может работать по протоколу TCP или UDP, она использует систему RPC, а это означает, что должны быть запущены следующие часто уязвимые приложения: portmapper, nfs, nlockmgr (lockd), rquotad, statd и mountd.

     Не надо запускать NFS - нужно найти альтернативное решение. Если же NFS все-таки нужна, здесь будет рассказано о том, как нужно минимизировать риск ее использования.

Далее...

Графические оболочки для IPTables.

Рубрики: Безопасность | Брандмауэр
Метки:
Дата: 11/04/2009 12:49:26
Подписаться на комментарии по RSS

     Для упрощения работы с IPTables было разработано много графи­ческих оболочек. Здесь расмотренны некоторые из них. Основная функция этих оболочек: управление правилами IPTables. Нужно помнить: той гибкости, которой позволяет достичь командная строка, вы не получите ни от одной оболочки.

Далее...

Динамические адреса.

Рубрики: Безопасность | Брандмауэр
Метки: | |
Дата: 10/04/2009 11:46:06
Подписаться на комментарии по RSS

Динамические IP-адреса обычно применяются при dial-up-до­ступе, а также в больших корпоративных сетях с большим количес­твом машин, где индивидуальная настройка компьютеров отнимает очень много времени.

     Для автоматического конфигурирования узла в Ethernet-сетях использу­ется протокол DHCP. Кроме назначения IP-адреса, этот протокол дает возможность установить различные сетевые параметры узла, в частности IP-адрес шлюза, IP-адреса серверов имен и т.д.

     Использование динамических адресов создает лишние проблемы при конфигурировании брандмауэра. Следовательно, нужно синхронизировать правила IPTables с DHCP-сервером.

Далее...

Фильтрация локальных пакетов.

Рубрики: Безопасность | Брандмауэр
Метки: | | | |
Дата: 09/04/2009 09:33:05
Подписаться на комментарии по RSS

     До этого IPTables использовался централизованно - только на бранд­мауэре. Но это нельзя рассматривать как полную защиту сети - ведь защищать нужно не только сеть в целом, но и отдельную машину.

     Возьмем, к примеру, ситуацию, в отдельных случаях крекеру удается каким-то образом проникнуть в нейтральную зону - он получил доступ к серверу из нейтральной зоны. В настоящее время он пытается расширить свои «пра­ва», то есть получить доступ к другим машинам, в том числе и брандмауэру. Следовательно, брандмауэр IPTables нужно запускать и на других машинах сети - чтобы защитить эти машины.

Далее...

Фильтрация нелегальных адресов в брандмауэре.

Рубрики: Безопасность | Брандмауэр
Метки: | | |
Дата: 08/04/2009 11:04:38
Подписаться на комментарии по RSS

     Loopback-адреса.

     Адреса обратной петли (127.0.0.0 - 127.255.255.255) никогда не могут ис­пользоваться за пределами интерфейса lo. Если пакеты с loopback-адресами появились на интерфейсе, отличном от lo, значит, они были подделаны (spoffed).

     В следующем примере кода будет создана пользовательская цепочка bad_packets, которая будет отбрасывать адреса, перечисленные выше. Все отброшенные пакеты будут запротоколированы - хороший способ отладки неправильно сконфигурированных приложений и попыток спуффинга.

Далее...

Создание набора правил брандмауэра(Часть 2).

Рубрики: Безопасность | Брандмауэр
Метки: | | | |
Дата: 06/04/2009 09:09:25
Подписаться на комментарии по RSS

     Защита нейтральной зоны (DMZ).

     Правила, заданные в сценарии nat.sh, ограничивали поток трафика в нейтральную зону, но не определяли ограничения на ис­ходящий от DMZ-серверов трафик, который может передаваться или в ло­кальную сеть, или в Интернет. В идеале нужно разрешить только ESTABLISED- и RELATED-трафик, так как DMZ-серверы будут только обрабатывать запросы клиен­тов и не будут устанавливать новых соединений.

     Но есть определенная проблема, которая заключается в том, что сервисы, в частности DNS и SMTP, будут устанавливать новые соединения. Если запретить созда­ние новых соединений для DNS-серверов, то прервется работа этих сер­висов. В этом случаем нужно написать более точные правила.

Далее...