Portál AbcLinuxu, 19. dubna 2024 02:20

Linuxové DMZ - III

19. 2. 2003 | Michal Vymazal
Články - Linuxové DMZ - III  

Modelové topologie. Vyhodnocování provozu systému - IDS.

Modelové topologie

V dnešním díle se podíváme na několik klasických zapojení demilitarizovaných zón. Tato zapojení se vyskytují dosti často a vlastně představují jakási "vzorová" schémata. V praxi se pro takovéto vzory vžilo označení "modelové topologie".

Ptáte se proč model? Na jednu stranu to vypadá, jako bychom měli nesmyslnou snahu vměstnat veškerá možná zapojení do několika vzorů! Ale v tom je právě jádro pudla. Ano, nalézt ty základní způsoby zapojení, popsat je a vytvořit z nich jakési vzory. Uznejte, že stavět (zapojovat, chcete-li) podle vzoru je mnohem snažší a jednodušší než vymýšlet celé zapojení znovu. Univerzální zapojení je mnohem praktičtější než desítky zapojení šitých "na míru", nehledě na to, že při každém takovém novém, nepřenosném zapojení, můžeme snáze udělat chybu. Ať již z neznalosti, nezkušenosti apod.

Další výhodou je možnost hned několikastupňové kontroly. Již samotný fakt, že naše zapojení neodpovídá žádné modelové topologii může sice znamenat, že potřebujeme něco mimořádného, ale na druhé straně může také znamenat, že jsme někde udělali chybu nebo něco přehlédli. Prostě vzor je Vzor. Nejedná se zdaleka jen o zapojení samotné, jde o nastavení systému, zkušenosti (teď mám na mysli zkušenosti těch ostatních), možnost porovnat svá zjištění s archivem někoho jiného apod.

Pojďme se tedy podívat na pár modelových topologií pro stavbu DMZ.

Domáci PC (PPP protokol, modem)

Tuto sestavu asi zná většina z nás. Modem je připojen skrze standardní rozhraní (obvykle to bývá sériový port) k počítači na straně jedné a k telefonní lince na straně druhé. Vlastně se jedná o "vytáčený spoj", kde protějším koncem je tzv. Modem pool na straně našeho zprostředkovatele připojení k Internetu (ISP - Internet Service Provider). Toto modelové zapojení uvádím pro úplnost. Demilitarizovanou zónu bychom zde hledali těžko, nicméně paketový filtr na zmíněném domácím počítači rozhodně neuškodí. Popis jedné starší verzi takového paketového filtru nad IPCHAINS můžete nalézt zde (linuxworld.cz). Na novější verzi se stále pracuje :-).

Připojení jednoho PC pomocí kabelové televize nebo rádiového spoje je topologicky podobné. Místo modemu však použijeme samostatnou síťovou kartu a převodník pro kabelovou televizi nebo pro anténu.

Linuxová DMZ, připojení k Internetu bez routeru

Zde vidíme základní a nejjednodušší (samozřejmě, nejjednodušší z topologického hlediska) zapojení DMZ. Můžeme mu říkat třeba "Výchozí schéma". Hezký popis paketového filtru pro tuto topologii je zde (root.cz) mějte však na paměti, že autor provozuje vlastně celou DMZ "na firewallu", takže se skutečně jedná jen o zjednodušující příklad.

Linuxová DMZ, samostatné rozhraní pro Modem pool, připojení k Internetu bez routeru

Výchozí schéma jsme rozšířili o tzv. Modem pool, což je zařízení umožňující připojení volajícího skrze telefonní linku. Na našem obrázku je Modem pool znázorněn samostatným počítačem a modemem, což je vlastně nejjednodušší případ. Takto nakreslený Modem pool obslouží právě jednoho volajícího (máme jen jeden modem). Pokud potřebujete obsloužit zároveň více volajících, bude vhodnější využít samostatný směrovač s moduly pro modem pool. Modem pool je opět připojen, skrze samostatné síťové rozhraní, do firewallu.

Linuxová DMZ, samostatné rozhraní pro WAN, připojení k Internetu bez routeru

Naše Výchozí schéma jsme rozšířili o samostatné síťové rozhraní (na straně firewallu) pro WAN (Wide Area Network). Pod pojmem WAN si můžeme představit tzv. Meziměstské sítě, Městské sítě apod. Skrze WAN budou obvykle připojeny další kaceláře, pobočky apod.

Linuxová DMZ, samostatná rozhraní pro WAN a Modem pool, připojení k Internetu skrze router

Předchozí schémata jsem "sloučil" v jedno a přidal router mezi firewall a Internet. K tomuto kroku mě vedlo několik důvodů.

  1. Odlehčení směrování na firewallu.
  2. Vlastní router představuje "záložní firewall" pro případ havarijního scénáře na firewallu (výpadek firewallu). Mějme na paměti, že výpadek firewallu odřízne Vnitřní síť jak od DMZ, tak od vnějšího světa.
  3. Na routeru se může nacházet proxy server pro poštu (MTA on firewall). Důvod je opět zřejmý: odlehčíme firewallu a poštovní server v DMZ pak nemusí být viditelný zvenčí. Záložní poštovní proxy server pak ponecháme na firewallu (za normálních okolností nebude v činnosti) pro případ výpadku routeru.
  4. Paketový filtr je v provozu jak na firewallu, tak na routeru. Zatímco paketový filtr na routeru bude mít pravidla spíše jednodušší, paketový filtr na firewallu již bude mít pravidla na úrovni bezpečnostních politik. Zde právě můžeme s výhodou využít faktu, že pro každé prostředí (WAN, Modem pool, Internet, DMZ) používáme na firewallu samostatné síťové rozhraní.
  5. Můžeme samostatně vyhodnocovat logy jak z routeru, tak z firewallu.
  6. Logy z DMZ budeme vyhodnocovat rovněž samostatně a to pro každý stroj zvlášť.

Tolik k stručnému popisu této modelové topologie. Vidíme, že se vlastně jedná o jakousi stavebnici (což je dobře, tak to má vypadat). Základem je firewall, DMZ, Vnitřní síť a připojení k Internetu. Ostatní díly jako WAN nebo Modem pool můžeme přidávat postupně.

Malé odbočení

Ve schématu zatím nejsou popsány způsoby pro vyhodnocování a předávání varovných zpráv pro správce. Sami tušíte, že se jedná o námět na samostatný seriál (kdo se hlásí? :-), takže zde se o těchto systémech zmíníme jen stručně.

Vyhodnocování provozu systému - využití IDS

Výraz IDS znamená Intrusion Detection System a do češtiny se obvykle nepřekládá. V podstatě jde o to, že na sledovaném systému (nebo systémech) máme v provozu modul, který umí vyhodnocovat provoz (např. odposlech síťového provozu, vyhodnocení provozu na určitém síťovém rozhraní, sledování provozu určitých démonů apod.) Lidově mu přezdíváme "práskač" aneb "já nežaluju, ale hlásit se to musí:-)". Vynikajícím Open Source IDS je např. Snort. Řadu článků s jeho popisem můžete nalézt zde (underground.cz) nebo zde (root.cz). Vřele doporučuji si stáhnout manuál ke snortu a celý jej přečíst, rozhodně neprohloupíte.

Možná jsem byl až příliš stručný, takže jen na vysvětlenou: IDS systémy (jak ostatně vyplývá z jejich anglického označení) byly původně určeny ke zjišťování "podezřelých" činností v informačních systémech a tedy v podstatě k detekci průniků do těchto systémů. V dnešní době vývoj opět poněkud pokročil, takže je můžeme využít i na výše uvedené vyhodnocování vlastního provozu. Vtip je v tom, že "nestandardní" provoz nemusí nutně způsobovat jen čísi nenechavé ruce, ale také chybná nastavení systému, poruchy aktivních prvků (směrovače, přepínače) apod. Výraz IDS zůstal, ale využití je dnes mnohem širší. Zkrátka, IDS systémy dnes používáme na vyhodnocování provozu informačních systémů.

Odesílání varovných (kritických) zpráv

Určitě jste už zjistili, že samotný IDS je sice hezká věc, ale další (a neméně důležitou věcí) je předávání kritických (či varovných, záleží na rozhodnutí správce) zpráv člověku, tedy správci. Vzhlem k tomu, že celému tématu IDS a souvisejícím modulům pro předávání zpráv se budeme věnovat později, zmíním se zde krátce o modulu logcheck, anglický popis najdete například zde (freeos.com). Pomocí modulu logcheck zajistíme "prohledání" logů IDS (v našem případě snort) a odeslání kritických zpráv na elektronický účet správce. Sám snort totiž odesílání zpráv nezajišťuje. Svá hlášení ukládá do provozního deníku (log), kde je musí logcheck "najít" a pak odeslat.

A konečně se dostávám k tomu, proč jsem vlastně poněkud "předběhl" osnovu a rozepsal se o IDS a vyhodnocovacích modulech přesto, že tyto patří do XX bodu naší osnovy.

První soutěžní otázka zní - do kterého bodu osnovy patří systémy IDS a moduly pro zasílání zpráv?

Jde o to, že odesílání varovných zpráv bude mít vliv i na topologii našeho zapojení. Záleží na tom, jakým způsobem budeme zasílat zprávy správci. V zásadě tak můžeme učinit prostřednictvím elektronické pošty nebo přenosného telefonu.

Tak napřed elektronickou poštu:

  1. Hlavní kanál pro odesílání zpráv bude směřovat do Internetu.
  2. Záložní kanál bude směřovat do WAN nebo skrze Modem pool

Pro varovné zprávy stačí jedna cílová adresa elektronické pošty, pro kritické volíme alespoň dvě cílové adresy. Zprávy lze pochopitelně odesílat i na přenosné telefony, jen si budete muset zvolit operátora, který takovéto "internetové SMS" umožní :-(.

A nyní přenosný telefon nebo-li SMS gateway:

Je vcelku jasné, že zmíněnou SMS bránu budete muset někam připojit a já se ptám:

Druhá soutěžní otázka zní - kam připojíte SMS gateway? Nezapomeňte na havarijní scénář.

Pro dnešek je to ode mne vše, uvidíme se v některém z pokračování seriálu.

Související články

Linuxové DMZ - I (Úvod do problematiky)
Linuxové DMZ - II (Zařízení v DMZ)
Linuxové DMZ - IV (Protokoly rodiny TCP/IP)
Linuxové DMZ - V (Routery a minidistribuce LRP)
Linuxové DMZ - VI (Firewally)
Linuxové DMZ - VII (Paketové filtry)

Odkazy a zdroje

Linux Networking HOWTO
Snort - OpenSource IDS

Seriál Linuxové DMZ (dílů: 9)

První díl: Linuxové DMZ - I, poslední díl: Linuxové DMZ - IX.
Předchozí díl: Linuxové DMZ - II
Následující díl: Linuxové DMZ - IV

Další články z této rubriky

V sobotu se uskuteční konference CryptoFest
Pozor na androidové aplikace
Silent Circle představil bezpečný smartphone Blackphone 2
Android je bezpečnější, řada hrozeb však stále přetrvává
Avast varuje před nebezpečnými aplikacemi v Google Play

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.