-
Эта глава посвящена двум взаимосвязанным темам: безопасность и связь сетей с Internet. | Мы проанализируем несколько уровней безопасности Linux. Рассмотрим, как сохранить надежность автономных систем Linux и обсудим более широкие проблемы обеспечения безопасности ЛВС, которые имеют выход в Internet.
-
При работе с автономной системой Linux необходимо обеспечить самую общую безопасность. Поскольку система не соединена с локальной сетью, а связь с Internet, предположим, осуществляется лишь в короткие промежутки времени по модему, то требования к безопасности системы относительно невысоки.
-
Новые аспекты безопасности возникают в момент соединения системы Linux с локальной сетью. Даже если следовать всем приведенным правилам для автономной системы (которые необходимо соблюдать и в случае, когда система находится в локальной сети), для хакера остается возможность получения доступа к системе Linux благодаря слабости сетевой защиты.
-
Даже если отдельная система Linux в локальной сети хорошо защищена, в случае, когда ЛВС имеет выход в Internet, оставшаяся часть локальной сети открыта для самых разнообразных атак. | Защита сети – сложная работа, требующая детальных знаний о сетевой безопасности.
-
Если вы не собираетесь подключать свой компьютер к локальной сети и не собираетесь получать доступ в Internet, то вам брандмауэр не нужен. Если вы подключаетесь к Internet изредка на короткое время, то риск и, соответственно, потребность в брандмауэре невысока.
-
Все обнаруженные сетевые платы перечислены в окне Firewall Configuration (Конфигурирование брандмауэра). Допустим, показаны две сетевых платы eth0 и eth1. | Предположим, что компьютер выполняет функции маршрутизатора между двумя сетями.
-
Брандмауэр с защитой наивысшего уровня вообще не подключен к внешним сетям. Но поскольку большинство пользователей хотят иметь, по крайней мере, выход в Internet, на практике такая защита нереализуема.
-
Если вы считаете, что и высокая и средняя степень защиты слишком ущемляют ваши интересы, можете установить исключения для выбранных портов. В окне Firewall Configuration выберите опцию Customize (Настроить). Это позволит вам открыть в брандмауэре каналы для необходимых данных.
-
После инсталляции Red Hat Linux 7.1 настройки брандмауэра можно изменить с помощью утилиты lokkit.
-
В этом параграфе описаны этапы создания маршрутизатора на основе Linux-системы с использованием дистрибутива Linux Router Project.
-
Программное обеспечение Linux Router Project используется для создания маршрутизатора, который служит в качестве брандмауэра, защищая личные области ЛВС от Internet. При этом мы делаем два предположения.
-
Ниже приведена процедура, позволяющая подготовить гибкий диск Linux Router Project в рамках системы Linux. На момент написания книги необходимые файлы можно было загрузить с одного из сайтов, перечисленных по адресу http://www.linuxrouter.org/download.shtml.
-
Чтобы дальнейшее конфигурирование имело смысл, перед запуском программного обеспечения маршрутизатора Linux следует определить среду, в которой маршрутизатор будет работать. | В первую очередь необходимо определить IP-адреса.
-
Чтобы загрузиться в режиме Linux-маршрутизатора, достаточно вставить дискету и перезагрузить компьютер. | Программное обеспечение Linux Router Project создаст диск RAM и загрузит содержимое диска начальной загрузки на диск RAM.
-
Загрузочный диск Linux Router Project, первый из числа созданных, вами, не включает никаких модулей сетевых плат. Они расположены на втором гибком диске. | Ниже приведена процедура копирования необходимых модулей с гибкого диска на RAM-диск, который создан с помощью загрузочного диска Linux Router Project. | Нажмите клавишу Q, чтобы выйти из меню Linux Router Project.
-
Далее необходимо сконфигурировать основные настройки сети: указать маршрутизатору, кто вы, какой интерфейс соединен с какой сетью и тому подобное. | Для этого отредактируйте файл главных настроек сети – опция 1 в подменю настроек сети (доступно при выборе опции 1 в главном меню конфигурирования).
-
Добавьте в файл /etc/network_direct.conf следующую строку: | [ "IF$" ] && ipfwadm – F – a – m – S "$NETWORKl"/24 – D 0.0.0.0/0 | He поясняя синтаксис команды ipfwadm (с которым можно ознакомиться на Web-странице http://www.dreamwvr.com/ipfwadm/ipfwadm-faq.html), отметим, что эта команда выполняет следующее:
-
Другие настройки сети конфигурировать не нужно. В завершение заметим: файлы hosts.allow и hosts.deny созданы для того, чтобы маршрутизатор мог защитить себя от нежелательных атак, пресекая попытки удаленного входа в систему через сеть.