152 Slackware Linux
152 Slackware Linux
Rysunek 5.10.
Takie polecenie dodane na końcu pliku /etc/rc.d/rc.local spowoduje automatyczne uruchamianie programu sshprot po każdym uruchomieniu systemu
aby program uruchamiał się samodzielnie wraz z systemem operacyjnym. Takie samo polecenie możesz wydać też natychmiast z wiersza poleceń systemu, żeby uruchomić od razu zabezpieczenie.
Po ponownym uruchomieniu serwera założone automatycznie blokady komputerów włamywaczy przestają obowiązywać. Zapobiega to trwałemu odcięciu dostępu do serwera komputerów, które tylko tymczasowo zostały zawirusowane lub wykorzystane do prób włamania.
Dokładny opis programu znajdziesz w moim serwisie WWW pod adresem http:// sokol.gliwicki.necik.pl/programy/sshprot.php.
Żywiołowy rozwój wszelkiego rodzaju sieci komputerowych oraz związane z tym zwiększanie się liczby zagrożeń czyhających na nieostrożnych użytkowników komputerów — włamań, fałszerstw oraz ataków typu DoS, odcinających dostęp do sieci lub blokujących niektóre usługi oferowane przez komputer — spowodowały, że zapora sieciowa (ang.firewall) stała się — tak jak kiedyś stos protokołów TCP/IP —jednym z ważniejszych elementów nowoczesnego systemu operacyjnego. Dzięki głębokiej integracji z kodem obsługującym połączenia sieciowe oraz protokół IP taka wbudowana w system zapora sieciowa może być dalece skuteczniejsza i wydajniejsza niż oprogramowanie pracujące na poziomie aplikacji użytkownika.
System Linux od dawna wyposażony jest w oprogramowanie realizujące funkcje zapory sieciowej. W wersji 2.2 jądra systemu zadebiutował do dziś popularny moduł ipchains, zaś w wersji 2.4 — moduł iptables, który stał się standardem obowiązującym aż do dziś, obecnym w najnowszej stabilnej wersji 2.6 jądra Linuksa i —najprawdopodobniej — przewidzianym też do zamieszczenia w kolejnej oficjalnej edycji systemu.
Oto — w ogromnym skrócie — lista funkcji udostępnianych przez moduł i ptabl es:
♦ filtrowanie pakietów IP na podstawie informacji o typie protokołu, adresie źródłowym i docelowym, numerach portów źródłowych i docelowych oraz flagach (bez analizowania przynależności pakietów do nawiązanych połączeń — ang. stateless firewall);
♦ śledzenie aktywnych połączeń TCP i filtrowanie pakietów IP na podstawie przynależności do jednego z nawiązanych wcześniej połączeń (zapora sieciowa świadoma stanu połączeń TCP — ang. stateful firewall)-,
♦ limitowanie intensywności mchu sieciowego generowanego przez pakiety danych spełniające określone warunki;
♦ realizacja źródłowej i docelowej translacji adresów i numerów portów (ang. Source NetWork Address/Port Translation oraz Destination NetWork Address/Port Translation), umożliwiającej podłączanie do Internetu sieci korzystających z prywatnych pul adresowych (SNAT) oraz ukrywanie
za zaporą sieciową serwerów obsługujących połączenia zewnętrzne (DNAT);
♦ dowolna zmiana zawartości pakietów (ang. packet mangling);
♦ obsługa protokołów sieciowych najwyższych warstw modelu ISO/OSI (takich jak FTP lub IRC) i realizacja ich specyficznych funkcji w sposób poprawny niezależnie od stosowanej translacji adresów, normalnie uniemożliwiającej działanie tych funkcji;
♦ możliwość rozbudowy funkcjonalności pakietu przez stosowanie zewnętrznych modułów pisanych przez niezależnych programistów w formie poprawek kodu źródłowego jądra systemu Linux lub odrębnych modułów jądra;
♦ przekierowywanie połączeń, umożliwiające realizację przezroczystego pośrednictwa w połączeniach (ang. transparentproxy);
♦ odrzucanie połączeń na podstawie wzorców danych przesyłanych pakietami należącymi do danego połączenia (filtrowanie treści).
Zapora sieciowa iptables ma o wiele szersze zastosowanie niż tylko proste filtrowanie pakietów danych. Oto najważniejsze cele, które powinna osiągać dobrze zrealizowana zapora sieciowa:
♦ Oddzielenie wewnętrznej sieci lokalnej (intranetu) od sieci rozległej (Internetu). W zależności od stosowanej w sieci lokalnej puli adresowej, zapora sieciowa może albo filtrować ruch przekazywany (rautowany) między sieciami, albo poprzez mechanizm translacji adresów udostępniać komputerom korzystającym z prywatnych adresów sieciowych dostęp do sieci rozległej.
♦ Dzielenie sieci. Dzieląc sieć lokalną na segmenty korzystające z różnych adresów sieci IP, możesz całkowicie rozgraniczyć ruch sieciowy między poszczególnymi segmentami sieci lokalnej i uniemożliwić wymianę informacji między nimi. Może to pomóc przy zapewnianiu bezpieczeństwa informacji wewnątrz firmy oraz ograniczyć efekty ataku przeprowadzonego na jeden z segmentów sieci (lub infekcji wirusowej w tym segmencie). Dokonując również podziału fizycznego sieci zgodnie z wcześniej ustalonym podziałem logicznym, całkowicie wyeliminujesz możliwość podsłuchu danych generowanych przez komputery należące do różnych segmentów.