Portál AbcLinuxu, 4. května 2025 07:36
Modelové topologie. Vyhodnocování provozu systému - IDS.
V dnešním díle se podíváme na několik klasických zapojení demilitarizovaných zón. Tato zapojení se vyskytují dosti často a vlastně představují jakási "vzorová" schémata. V praxi se pro takovéto vzory vžilo označení "modelové topologie".
Ptáte se proč model? Na jednu stranu to vypadá, jako bychom měli nesmyslnou snahu vměstnat veškerá možná zapojení do několika vzorů! Ale v tom je právě jádro pudla. Ano, nalézt ty základní způsoby zapojení, popsat je a vytvořit z nich jakési vzory. Uznejte, že stavět (zapojovat, chcete-li) podle vzoru je mnohem snažší a jednodušší než vymýšlet celé zapojení znovu. Univerzální zapojení je mnohem praktičtější než desítky zapojení šitých "na míru", nehledě na to, že při každém takovém novém, nepřenosném zapojení, můžeme snáze udělat chybu. Ať již z neznalosti, nezkušenosti apod.
Další výhodou je možnost hned několikastupňové kontroly. Již samotný fakt, že naše zapojení neodpovídá žádné modelové topologii může sice znamenat, že potřebujeme něco mimořádného, ale na druhé straně může také znamenat, že jsme někde udělali chybu nebo něco přehlédli. Prostě vzor je Vzor. Nejedná se zdaleka jen o zapojení samotné, jde o nastavení systému, zkušenosti (teď mám na mysli zkušenosti těch ostatních), možnost porovnat svá zjištění s archivem někoho jiného apod.
Pojďme se tedy podívat na pár modelových topologií pro stavbu DMZ.
Tuto sestavu asi zná většina z nás. Modem je připojen skrze standardní
rozhraní (obvykle to bývá sériový port) k počítači na straně jedné a k
telefonní lince na straně druhé. Vlastně se jedná o "vytáčený spoj", kde
protějším koncem je tzv. Modem pool na straně našeho zprostředkovatele
připojení k Internetu (ISP - Internet Service Provider). Toto modelové
zapojení uvádím pro úplnost. Demilitarizovanou zónu bychom zde hledali
těžko, nicméně paketový filtr na zmíněném domácím počítači rozhodně
neuškodí. Popis jedné starší verzi takového paketového filtru nad IPCHAINS
můžete nalézt zde (linuxworld.cz). Na novější verzi se stále pracuje 
.
Připojení jednoho PC pomocí kabelové televize nebo rádiového spoje je topologicky podobné. Místo modemu však použijeme samostatnou síťovou kartu a převodník pro kabelovou televizi nebo pro anténu.
Zde vidíme základní a nejjednodušší (samozřejmě, nejjednodušší z topologického hlediska) zapojení DMZ. Můžeme mu říkat třeba "Výchozí schéma". Hezký popis paketového filtru pro tuto topologii je zde (root.cz) mějte však na paměti, že autor provozuje vlastně celou DMZ "na firewallu", takže se skutečně jedná jen o zjednodušující příklad.
Výchozí schéma jsme rozšířili o tzv. Modem pool, což je zařízení umožňující připojení volajícího skrze telefonní linku. Na našem obrázku je Modem pool znázorněn samostatným počítačem a modemem, což je vlastně nejjednodušší případ. Takto nakreslený Modem pool obslouží právě jednoho volajícího (máme jen jeden modem). Pokud potřebujete obsloužit zároveň více volajících, bude vhodnější využít samostatný směrovač s moduly pro modem pool. Modem pool je opět připojen, skrze samostatné síťové rozhraní, do firewallu.
Naše Výchozí schéma jsme rozšířili o samostatné síťové rozhraní (na straně firewallu) pro WAN (Wide Area Network). Pod pojmem WAN si můžeme představit tzv. Meziměstské sítě, Městské sítě apod. Skrze WAN budou obvykle připojeny další kaceláře, pobočky apod.
Předchozí schémata jsem "sloučil" v jedno a přidal router mezi firewall a Internet. K tomuto kroku mě vedlo několik důvodů.
Tolik k stručnému popisu této modelové topologie. Vidíme, že se vlastně jedná o jakousi stavebnici (což je dobře, tak to má vypadat). Základem je firewall, DMZ, Vnitřní síť a připojení k Internetu. Ostatní díly jako WAN nebo Modem pool můžeme přidávat postupně.
Ve schématu zatím nejsou popsány způsoby pro vyhodnocování a předávání
varovných zpráv pro správce. Sami tušíte, že se jedná o námět na samostatný
seriál (kdo se hlásí? , takže zde se o těchto systémech zmíníme jen
stručně.
Výraz IDS znamená Intrusion Detection System a do češtiny se obvykle
nepřekládá. V podstatě jde o to, že na sledovaném systému (nebo systémech)
máme v provozu modul, který umí vyhodnocovat provoz (např. odposlech
síťového provozu, vyhodnocení provozu na určitém síťovém rozhraní,
sledování provozu určitých démonů apod.) Lidově mu přezdíváme "práskač"
aneb "já nežaluju, ale hlásit se to musí". Vynikajícím Open Source IDS
je např. Snort. Řadu článků s jeho
popisem můžete nalézt zde
(underground.cz) nebo zde
(root.cz). Vřele doporučuji si stáhnout manuál ke snortu a celý jej
přečíst, rozhodně neprohloupíte.
Možná jsem byl až příliš stručný, takže jen na vysvětlenou: IDS systémy (jak ostatně vyplývá z jejich anglického označení) byly původně určeny ke zjišťování "podezřelých" činností v informačních systémech a tedy v podstatě k detekci průniků do těchto systémů. V dnešní době vývoj opět poněkud pokročil, takže je můžeme využít i na výše uvedené vyhodnocování vlastního provozu. Vtip je v tom, že "nestandardní" provoz nemusí nutně způsobovat jen čísi nenechavé ruce, ale také chybná nastavení systému, poruchy aktivních prvků (směrovače, přepínače) apod. Výraz IDS zůstal, ale využití je dnes mnohem širší. Zkrátka, IDS systémy dnes používáme na vyhodnocování provozu informačních systémů.
Určitě jste už zjistili, že samotný IDS je sice hezká věc, ale další (a neméně důležitou věcí) je předávání kritických (či varovných, záleží na rozhodnutí správce) zpráv člověku, tedy správci. Vzhlem k tomu, že celému tématu IDS a souvisejícím modulům pro předávání zpráv se budeme věnovat později, zmíním se zde krátce o modulu logcheck, anglický popis najdete například zde (freeos.com). Pomocí modulu logcheck zajistíme "prohledání" logů IDS (v našem případě snort) a odeslání kritických zpráv na elektronický účet správce. Sám snort totiž odesílání zpráv nezajišťuje. Svá hlášení ukládá do provozního deníku (log), kde je musí logcheck "najít" a pak odeslat.
A konečně se dostávám k tomu, proč jsem vlastně poněkud "předběhl" osnovu a rozepsal se o IDS a vyhodnocovacích modulech přesto, že tyto patří do XX bodu naší osnovy.
První soutěžní otázka zní - do kterého bodu osnovy patří systémy IDS a moduly pro zasílání zpráv?
Jde o to, že odesílání varovných zpráv bude mít vliv i na topologii našeho zapojení. Záleží na tom, jakým způsobem budeme zasílat zprávy správci. V zásadě tak můžeme učinit prostřednictvím elektronické pošty nebo přenosného telefonu.
Tak napřed elektronickou poštu:
Pro varovné zprávy stačí jedna cílová adresa elektronické
pošty, pro kritické volíme alespoň dvě cílové adresy. Zprávy lze
pochopitelně odesílat i na přenosné telefony, jen si budete muset zvolit
operátora, který takovéto "internetové SMS" umožní 
.
A nyní přenosný telefon nebo-li SMS gateway:
Je vcelku jasné, že zmíněnou SMS bránu budete muset někam připojit a já se ptám:
Druhá soutěžní otázka zní - kam připojíte SMS gateway? Nezapomeňte na havarijní scénář.
Pro dnešek je to ode mne vše, uvidíme se v některém z pokračování seriálu.
) a zasahnete.
Firewall castecne straci smysl, kdyz bezi nejake sluzby pred nim, ne?
A nebo me to Yenya spatne ucil. A nebo jsem to nepochopil...
Ale jinak pekny clanek.
Preji hezky den.
Osobne jsem zastancem nazoru, ze provozovat "celou DMZ" na jednom stroji neni prilis stastne reseni. Mozna to vyhovi nejake male kancelari a pak to mohu oznacit za prave ten zjednodusujici priklad. V urcitem okamziku totiz zacne narustat vytizeni celeho stroje a to muze jit az k neunosnym cislum. Pokud provozuji jednotlive sluzby v DMZ samostatne (na samostatnych strojich), pak rozdelim i zatez.
Cast "access listu" bude na routeru prave z toho duvodu, ze se jedna o router providera.
2) SMTP se nachazi v DMZ, na routeru/firewallu pak bezi konfigurace zvana SMTP on firewall. Opet, jedna se o standardni konfiguraci, ktera je dobre popsana zde http://www.postfix.org/faq.html#firewall
Jinak, firewall neztraci smysl, pokud bezi nejaka sluzba pred nim (pred nim je prece x smerovacu, hranicnich smerovacu a hromady dalsich veci). Firewall vynucuje dodrzovani bezpecnostnich politik pro pristup do DMZ, pripadne do Vnitrni site.
Tak predne, onen predrazeny router "zahodi" vsechny pakety s adresami patricimi do rfc 1918 (privatni site). Podobne pakety nemaji ve verejnych sitich co delat. Zda na nej umistite dalsi black list, je jen na vas. Podrobnejsi vysvetleni/odliseni ohledne router vs. firewall mate v poslednim (mem) prispevku. Nu, a pokud ani to nebude stacit, pak budete muset na NIST. Mimochodem, kolik politik mate na tom firewallu a jaka je uroven logovani?
SMTP on firewall je popsan jako standardni konfigurace napr. na strankach postfixu (precetl jste si ten odkaz opravdu pozorne? - vzdyt to je SMTP proxy, ktera jen preposila postu).
NIST je zde:
http://csrc.nist.gov/publications/drafts.html
Delam do toho asi 19 let.
A ted strucne, ten router pred firewallem je obvykle providera a cast "access listu" se nachazi prave na nem. Bavime se totiz o univerzalnich modelovych topologiich, coz jsem vysvetloval jiz nekolikrat. Schema pro svou potrebu si samozrejme muzete zjednodusit a umistit si treba celou DMZ na firewall Obcas to lide i delaji. Casem zjisti, ze provozovat apache, ftp server, mysql, smtp, squid a buh vi co jeste, prinasi tomu nebohemu stroji znacne zatizeni a vlastne "se miji ucinkem". Pokud jednotlive sluzby umistite do DMZ na samostatne stroje, pak rozdelite zatez.
Na odpovedi na otazky kolem IDS se taktez docela tesim.
Uz ze samotneho zadani ukolu se mi zda, ze autor toho o IDS moc nevi.
Jedna otazka pro autora clanku: co kdyz moje IDS sonda pouziva stealth rozhrani? Muzu si pres nej taky poslat mail s 'varovnym hlasenim'?
Jsou to sice americke normy a tudiz jsou v anglickem jazyce, ale s tim se asi budeme muset smirit (tedy s tou anglictinou). Mimochodem, procpak se podepisujete jen prezdivkou?
. Ano, oba stroje maji smerovaci tabulky a samozrejme oba smeruji pakety, ale kazdy z nich ma jine priority.
Co se paketovych filtru tyce:
Paketove filtry se budou nachazet na obou strojich, ale na kazdem budou plnit jinou funkci. Na routeru to bude krome "access listu" napr. vynuceni dodrzovani rfc 1918 o rozsazich adres pro privatni site (pakety s temito adresami by se nemely potulovat Internetem). Na firewallu to jiz budou nase bezpecnostni politiky - napr. pristup k sluzbam v DMZ, maskovani Vnitrni site apod. Firewall tech stupnu ma samozrejme vice, paketove filtry tvori jejich zaklad, ale to Martin jiz psal v minulem dilu.
Snad jsem to vysvetlil dostatecne. Podrobnejsi popis routeru uz ma nejspis Martin v dalsim dilu (osnova).
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.