Základní otázkou je, zda má vůbec smysl zabezpečovat počítač, který není k Internetu připojen stabilně a kde je tedy riziko napadení menší. Jakmile se ale nad tímto problémem zamyslíme hlouběji, zjistíme, že ono riziko je sice menší, ale jenom přesně o tolik, o kolik je připojení k síti kratší. V dnešní době, kdy se namísto cílených útoků na počítače stále více rozmáhají metody, kdy útočník testuje víceméně náhodné rozsahy IP adres na známé chyby, jistě má smysl zabývat se i zabezpečením vašeho osobního počítače.
Na místě je i otázka, nakolik je nezbytné k takovému zabezpečení použít paketový firewall. Přísně vzato, při použití dostatečně důsledných bezpečnostních zásad – tj. budeme sledovat a okamžitě zahlazovat známé bezpečnostní problémy, budeme mít aktivované pouze nezbytně nutné služby, které navíc budou poslouchat jen na potřebných rozhraních atd. – bychom mohli zajistit solidní míru bezpečnosti i bez firewallu. Protože však nikdo z nás, tím méně žádný z našich programů, není stoprocentní a může se stát, že nám něco unikne, je velmi vhodné tyto bezpečnostní zásady doplnit ještě vlastním firewallem. Už proto, že jeho konfigurace není díky iptables nijak zvlášť obtížná a ani nepředstavuje pro náš počítač žádnou zvláštní zátěž.
Co tedy filtrovat na dial-upu?
Odpověď je prostá – všechno. Na dial-upu obvykle neběží žádné služby, které by bylo třeba zpřístupňovat do Internetu. To nám velice usnadní práci, neboť náš firewall nemusí nijak bránit spoofování, syn-floofingu ani dalším technikám, neboť prostě blokujeme (skoro) všechno, co k nám z Internetu přichází:
iptables -A INPUT -P DENY iptables -A FORWARD -P DENY
Teď aktivujeme stavový firewall a propustíme příchozí pakety, které patří k
námi navázaným spojením:
iptables -A INPUT -m --state ESTABLISHED,RELATED -j ACCEPT
Naopak nemá valného významu omezovat datagramy v řetězci OUTPUT (mají svůj
původ v našem počítači a nejsou tedy potencionálně nebezpečné).
iptables -A OUTPUT -P ACCEPT
Naše omezení se netýkají lokálního loopbacku, který je pro fungování
počítače důležitý, ani rozhraní eth0, jímž se příležitostně připojujeme do
podnikové sítě:
iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -j ACCEPT
Na místě je i otázka, zda filtrovat ICMP pakety. Maximálně paranoidní uživatelé
budou v pokušení filtrovat i je, my ostatní budeme propouštět minimálně
echo-request/reply, destination unreachable a time exceeded, čistě z úcty
k RFC standardům:
iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT
Kromě toho je pravděpodobné, že budeme chtít používat pasivní FTP přenosy,
proto musíme zajistit, aby se zavedl modul ip_conntrack_ftp (více o problematice
FTP se dočtete tady):
modprobe ip_conntrack_ftp
Kompletní skript, vhodný k instalaci, si můžete stáhnout
odsud
Zavádění filtrovacích pravidel v distribucích Red Hat
Distribuce RH obsahují rc skript iptables, který dokáže uložit a ve vhodném okamžiku znovu zavést firewallovací pravidla. Používá se snadno. Nejprve zajistíme, aby došlo k vyprázdnění všech řetězců:
service iptables stop
Pak ručně zavedeme filrovací pravidla a uložíme je do souboru /etc/sysconfig/iptables:
./dialupfw.sh service iptables save
Poté zajistíme, aby se skript iptables vykonal při každém zapnutí počítače:
chkconfig iptables on
Pokud vám iptables zobrazí při spouštění nějaká chybová hlášení, ale samotný
skript se zdá být v pořádku, je možné, že nemáte dostatečně aktuální verzi
balíčku iptables, neboť v některých distribucích byla chyba, která se
projevovala právě takto. Nezapomeňme také, že tímto způsobem zajistíme pouze
nastavení filtrovacích pravidel, ale nikoliv již další kroky, které eventuálně
ve firewallovém skriptu můžeme provádět. Mám tím na mysli zejména zavádění
jaderných modulů nebo třeba modifikování parametrů přes /proc/sys.
Mně se osvědčilo zavádět ipt moduly přímo ve skriptu /etc/rc.d/init.d/iptables. Parametry jádra je vhodné nastavovat pomocí souboru /etc/sysctl.conf, kam stačí jen uvést klíč a hodnotu. Startovací skripty se samy při startu postarají o jejich nastavení.
Tolik tedy k filtrování paketů na dial-upu.
ČLÁNKY DO MAILU