Linuxové DMZ - IX

14. 7. 2003 | Michal Vymazal | Bezpečnost | 10907×

Michal Vymazal

Jak jsme v osnově prvního dílu uvedli, je tento díl posledním. A protože každý projekt má svůj archiv, budeme se dnes věnovat věcem, které do tohoto archivu patří. Konkrétně odkazům na zajímavé materiály, návody, normy a projekty.

Tedy, původně jsem si myslel, že tento díl bude spíše oddechová záležitost (pro autory, samozřejmě. Prostě, zavolám si www.google.com zadám mu výraz typu "DMZ HOWTO, linux DMZ manual", vypadne mi 100 odkazů a my dva s Martinem napíšeme tak o 10 nejzajímavějších z nich krátké povídání. Že tomu tak nebude, jsem zjistil poté, co jsem výše uvedený řetězec milému google opravdu zadal. České odkazy ukazují vesměs na IPCHAINS-HOWTO nebo na náš seriál . Anglické zase z 98% ukazují na IPCHAINS-HOWTO. Z čehož soudím, že kuchařkou na DMZ si zatím nikdo vážněji nelámal hlavu u nás doma, ani ve světě. Mám samozřejmě na mysli volně dostupné návody, články, příručky apod. Nehovoříme zde o materiálech, které si sice můžete zakoupit v prvním knihkupectví, ovšem nejsou volně dostupné na internetu. Dnešní díl tedy berte jako takovou malou knihovničku odkazů, kde můžete načerpat další inspiraci pro studium věcí okolo DMZ.

Tolik na úvod. Pojďme se raději podívat na některé zajímavé články, návody a příručky.

• Pěkný článek, nazvaný How to Set Up a Linux-Based Firewall for a SOHO najdete zde.

  Zkratkou SOHO je míněn výraz "Small Office, Home Office", takže zmíněný firewall je určen právě pro malé "domácí" kanceláře. Článek by si rozhodně zasloužil překlad, dobrovolník bude vítán.

• Psal se však rok 2001, takže ipfwadm asi nikoho nepřekvapí. Do iptables si už budete muset skript přepsat sami, nezapomeňte poslat na fórum zkušenosti a dojmy. Já osobně jsem přepisoval svůj skriptík z IPCHAINS do IPTABLES (odkaz byl ve 3. dílu seriálu, najdete zde) nedávno a nic hrozného to nebylo, věřte mi.

• Dobré rady do začátku najdete i zde: Linux Security Tips. Opět to bude chtít angličtinu, ale rozhodně se nebudete nudit .

• Velmi pěkné pojednání o DMZ najdete zde: DMZ Architectures. Tentokrát se jedná o soubor ve formátu PDF (131 kB), který stačí jen stáhnout.

• Další zajímavé povídání, včetně vyčerpávajících odkazů, pak najdete zde: YoLinux: Using Linux and iptables / ipchains to set up an internet gateway for home or office.

• Tohle je sice za peníze, ale nechcete se alespoň mrknout? Real World Linux Security book.

• Už jsem se bál, že bude všechno jen v angličtině. Tenhle Guía de Seguridad del Administrador de Linux je sice z roku 1999, ale pořád dobré. Nemyslíte? A tady jej máte v PDF.

• Anglický Linux Administrator Security Guide najdete zde.

• Vzhledem k tomu, že www.ibiblio.org je v rekonstrukci (květen 2003), musíte zatím používat zrcadla. Jedno z nich je zde, nicméně ani tam nebyl v květnu 2003 adresář /pub v provozu. Škoda.

• Raději se podíváme jinam a zkusíme nástroj pro tvorbu skriptů nad Netfilter/IPTables. Nástroj se jmenuje TuxFrw a je k doptání zde. Do budoucna autoři slibují GUI/web rozhraní. Asi nás čeká víc, viďte?

• A vida, vida. Tak přece jenom někdo již dělal jakýsi "přehled odkazů". Namátkově:

  1. HOWTO: Rolling Your Own Firewall
  2. Building a Linux Firewall
  3. IPTables Linux firewall with packetstring-matching
  4. support SOHO Security Solutions
  5. Firewalls: a technical Overview

  a řada dalších. Tento odkaz určitě nevynechejte.

• Určitě vás bude zajímat i Shorewall QuickStart Guides (HOWTO's).

• Nesmíme zapomenout ani na návody na serveru Linux Documentation Project. Sice jsem se na ně již odkazoval v minulých dílech, ale pro pořádek je uvedu znovu. Takže: The Linux Documentation Project, najdete zde nebo zde. Nejvíce vás asi budou zajímat příručky:

  Securing & Optimizing Linux: The Ultimate Solution (IPTABLES) nebo starší verze Securing and Optimizing Linux Red Hat Edition - A Hands on Guide (IPCHAINS).

• O IPTABLES se nejspíš nejvíce dočtete zde.

• A ještě samozřejmě připomenu dokumenty z NIST (také jsme se o nich již zmiňovali v 6. dílu):

  SP 800-41 Guidelines on Firewalls and Firewall Policy (NIST) a NIST Special Publication 800-36, Guide to Selecting IT Security Products.

Martin Pavlíček

Po malinko teoretické části následuje pár tipů na zajimavé programy, které můžete využít při tvorbě či testování "vašich DMZ".

• Začneme programem Guarddog, který vám pomůže při tvorbě pravidel IPTABLES. Ty tvoříte ve velice hezkém grafickém prostředí. Zřejmě nic pro profesionály (výsledný skript není úplně "čistý"), ale pro začátečníky to není vůbec špatné.

• Grafická nadstavba existuje i pro firewall ve FreeBSD, program je postaven na knihovně QT a najdete jej zde (je samozřejmě otázkou, zda-li někdo, kdo používá FreeBSD, potřebuje klikací program na tvorbu firewallu ).

• Dalším zajimavým programem je minidistribuce FLOPPYFW s jejíž pomocí, jak již název napovídá, můžete vytvořit firewall (a router) na jediné disketě. Program je velmi aktuální, poslední verze využívá jádro 2.4.21. Zde musím podotknout, že výčet různých minidistribucí určených k tvorbě firewallu či routeru by mohl být obrovský, zájemcům doporučuji např. stránky freshmeat.net.

• Ještě zůstaneme u firewallů. Prográmek Firewall Tester můžete použít na otestování vašeho firewallu.

• Netdisco je nástroj pro správu sítě ovládaný přes webové rozhraní. Na domovské stránce je k dispozici i funkční demo. Podobným, i když rozsáhlejším a známějším programem je Webmin. Do třetice webové rozhraní; program ANK_djbdns slouží ke konfiguraci DNS serveru djbdns (velice zajimavá alternativa k BINDu).

• Program NetMap slouží k vytvoření "grafické mapy" připojení vaší sítě do internetu.

• Pokud se rozhodnete některý program uzavřít do "chroot prostředí" (což není vůbec špatný nápad) pak by se vám mohl hodit program Jail, který vám práci výrazně ulehčí.

• No a nakonec pár tipů na programy, kterými si můžete "vylepšit" známý proxy server Squid. První je v Pythonu napsaný skript sloužící k analýze logu "access.log" jménem Pycress. Dále tu máme program Squidalyser, jež lze použít ke sledování "trafficu" na proxy serveru a také se můžete přehledně podívat, které stránky vaši uživatelé navštěvují. Opět je přímo na stránkách k dispozici demo. Program SQUID User Management System slouží k omezování provozu na proxy serveru a umožňuje též blokování těch uživatelů, kteří zatěžují server více, než je zdrávo.

Tolik tedy trocha inspirace, výše uvedené odkazy prosím berte jen jako maličkou kapičku v moři, stačí se podívat třeba na již zmíněnou stránku freshmeat.net a dát si vyhledat např. slovo "firewall" či "router". Záplava programů, které se vám rozbrazí, je opravdu veliká. Pokud máte vy zkušenosti s nějakým zajimavým programem, budeme rádi, když se podělíte v diskuzi.

Těšíme se nashledanou u nějakého dalšího linuxového seriálu.

Michal & Martin

Slovo závěrem

Rád bych se omluvil těm, kteří od našeho seriálu čekali nějaký rozsáhlý projekt, zabývající se navrhováním a stavbou DMZ na profesionální úrovni. Původně jsem očekával větší zájem píšících autorů a tedy i širší záběr seriálu. Nakonec jsme se ale sešli jen dva, což vedlo k tomu, že jsme původní rozsah museli značně zúžit. Škoda.

Doufám jen, že se vám naše "popelka" líbila a že seriál přispěl k vysvětlení základních pojmů DMZ nejširší veřejnosti.

Nástroje: Tisk bez diskuse