Miesięcznik informatyków i menedżerów IT sektora publicznego

Kamil Folga

Graficzne zarządzanie regułami iptables

Linux oferuje funkcję zaawansowanej zapory ogniowej, ale jej konfiguracja za pomocą komend jest żmudna. Warto zatem skorzystać z graficznych konfiguratorów, które skomplikowane instrukcje zamieniają w łatwe do zrozumienia schematy.

Gufw to bardzo łatwy w obsłudze program do obsługi Uncomplicated Firewall (UFW).

Zapory ogniowe pracują w jednym z dwóch trybów: stateless lub state­full. Większość połączeń sieciowych to ruch dwukierunkowy. Pełne połączenie składa się z ruchu przychodzącego oraz wychodzącego. Z perspektywy filtra pakietów pracującego w trybie stateless każdy pakiet przychodzący jest nowy. W tej sytuacji nie ma powiązania z żadnym pakietem, pojawiającym się wcześniej lub później. Zapory w trybie stateless, w celu filtracji pełnego połączenia, wymagają dwóch reguł dla każdego typu ruchu – jedną dla zapytania, a drugą dla odpowiedzi. Powoduje to zawsze otwarty port z zewnątrz. Niestety, może to powodować problem z bezpieczeństwem, ponieważ atakujący uzyskuje możliwość nawiązania połączenia na taki port, niezależnie od tego, czy wywołujemy połączenie z wnętrza sieci, czy nie.

Najlepszym rozwiązaniem jest więc dopuszczenie przez zaporę wyłącznie odpowiedzi, dla których zapytania są tworzone przez samego hosta lub pochodzą z wnętrza sieci. W tym celu zapora musi utrzymywać tabelę stanu połączeń. W ten właśnie sposób zachowują się zapory w trybie statefull.

Netfilter jako zapora statefull

Zapora ogniowa w Linuksie zbudowana jest na bazie składnika jądra o nazwie netfilter. Udostępnia on na poziomie systemu operacyjnego funkcje sieciowe, takie jak filtrowanie pakietów, NAT, śledzenie połączeń i wiele innych. Do jego konfiguracji służy m.in. narzędzie

iptables. Autorem projektu jest Rusty Russell, który pracę nad nim rozpoczął jeszcze w 1998 r. Iptables zostało dołączone do jądra Linux w wersjach 2.4.x oraz wyższych. W wersji jądra 2.2.x dostępny był odpowiednik tego narzędzia w postaci ipchains, natomiast w wersji jądra 2.0.x był to ipfwadm. Ipchains oraz ipfwadm łączą funkcje filtracji i NAT. Co istotne, netfilter działa inaczej, ponieważ rozdziela operacje na pakietach między wiele różnych tabel.

Netfilter ma system tabel (ip_tables, ip6_tables, arp_tables, eb_tables) przeznaczonych do definiowania reguł zapory ogniowej. Tabelami zarządza się przez takie narzędzia, jak iptables, ip6tables, arptables, ebtables. Każda tabela została przygotowana do obsługi określonych funkcji definiowanych przez reguły. Te reguły zorganizowane są w łańcuchy o predefiniowanych nazwach, np. INPUT, OUTPUT, FORWARD. Przykładowo INPUT oznacza dane wchodzące. Przekazywany ruch przez maszynę jest kierowany do łańcucha FORWARD. Ruch wychodzący (generowany na danej maszynie ) przechodzi przez łańcuch OUTPUT. Netfilter dostarcza o wiele więcej funkcji niż filtrowanie pakietów. Integruje NAT, przekierowania portów, filtrację pakietów, potrafi też ograniczać przepustowość w celu zapobiegania atakom Denial of Service (DoS). Ponadto umożliwia filtrowanie zarówno ruchu wychodzącego, jak i przychodzącego, śledzi i filtruje połączenia, bazując na ich stanie (NEW, ESTABLISHED, RELATED, INVALID), filtruje użytkowników i procesy inicjujące połączenia.

Konfigurowanie zapory przy użyciu konsoli

Środowiska graficzne są doskonałe w szybkim i skutecznym tworzeniu reguł zapory, ale warto wiedzieć, jak konfigurować zaporę przy użyciu linii komend, a także poznać dobre praktyki w konfiguracji. Pozwala to zrozumieć idee konstruowania zapory przez narzędzia automatycznie oraz poprawić potencjalne błędy lub zmodyfikować tak utworzoną konfigurację. Zacznijmy od tego, że dobra zapora ogniowa powinna składać się z trzech sekcji:

  • reguł zarządzania umożliwiających administratorom zarządzanie systemem,
  • reguł dostępowych kontrolujących dostęp do zasobów i od zasobów,
  • domyślnej polityki odrzucającej cały ruch, który nie pasuje do wcześniejszych reguł.

[...]

Autor zawodowo zajmuje się informatyką ze specjalizacją w zakresie bezpieczeństwa sieci. Publikuje w magazynach komputerowych.


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej