securitate minimală cu linux pe internet

Scris pe by

După cum ştim secutitatea unui sistem informatic este vitală. Mai ales atunci când suntem conectaţi internet care se ştie că este o adevărtată junglă a atacurilor, de la viruşi la hackeri, crackeri şamd.
În următoarele rânduri am de gând să vă prezint un minim de lucruri pe care ar trebui să le faceţi atunci când calculatorul este conectat la internet.
După cum se ştie sistemul de operare linux a fost folosit şi dezvoltat o bună perioadă de vreme pentru a lucra în reţele, în internet. De foarte multe ori nucleul linux ştie să facă aceleaşi lucruri pe care le fac echipamentele sofisticate de reţea, care costă dealtfel foarte mult. De aceea în nucleul linux sunt mai multe metode de securizare a calculatorului.
1. TCP Wrappers este un sistem de ACL-uri (Access Controll List) pentru serviciile care rulează pe calculatorul dvs. Se configurează din două fişiere care se găsesc în /etc. Este vorba de hosts.deny şi hosts.allow. Recomandarea mea este ca hosts.deny să conţină ALL:ALL, adică să interzică accesul la orice serviciu de pe orice calculator. În fişierul hosts.allow urmează să definim cine unde are totuşi voie. De ex pentru a da voie din exterior(internet) la conexiuni VPN de tip PPTP către calculatorul dvs. vom scrie în hosts.allow pe o linie nouă 1723:ALL (orice calculator din reţea se poate conecta pe portul 1723, folosit de pptpd), pentru un server de e-mail vom pune Sendmail:ALL. Atenţie nu toate serviciile “asculă” şi iau în considerare aceste ACL-uri.

2. Sysctl este o înterfaţa prin care kenelul examinează schimbările dinamice din reţea. Este o unealtă “adusă” de la nucleul BSD. Se configurează din fişierul /etc/sysctl.conf. Ca şi exemplu sysctl este responsabil de transferul pachetelor de date între diferitele interfeţe de reţea ale unui calculator. Dacă vom pune net.ipv4.ip_forward = 0 atunci calculatorul nu va mai trece pachetele dintr-o reţea în alta. Acesta este un lucru rău dacă calculatorul este un router (el oferă internet pentru celelalte calculatoare din reţea). Iată şi câteva configuraţii minime recomandate: net.ipv4.icmp_echo_ignore_broadcasts = 1 Mulţi dintre atacatori vor verifica câte calculatoare din reţea sunt pornite. Vor trimite pachete de tip broadcast(la toată reţeaua). În mod normal toate calculatoarele care le recepţionează şi răspund la ele. Cu acesă setare calculatorul nu va mai da “semn de viată” posibilului atacator. net.ipv4.icmp_ignore_bogus_error_responses = 1 Cu această setare nucleul nu va da avertismente asupra mesajelor broadcast eronate. net.ipv4.tcp_syncookies = 1 SYN se referă la o conexiune de reţea începută si neterminată niciodată. În momentul în care un atacator vă transmite milioane de astfel de cereri nucleul le stochează în memorie şi aşteaptă ca la celalalt capăt să se întâmple ceva. Aceste cereri se păstrează în mod normal în memorie. Cu optiunea activată aceste cereri se stochează pe disc unde capacitatea este mult mai mare. net.ipv4.conf.all.log_martians = 1 Nucleul va jurnaliza toate atacurile de tip spoofing(ascunderea identităţi reale) pentru un eventual denunţ. net.ipv4.conf.all.rp_filter = 1 Nucleul va ignora mesajele venite de pe interfeţe de reţea greşite, conexiunile care care ar trebui în mod normal să vină de pe altă interfaţă.
După ce am terminat de configurat vom da comanda

sysctl -p

Această comanda va forţa nucleul să recitească configuraţiile şi să le aplice.

3. iptables sau firewall-ul din linux. Marele avantaj faţă de multe alte sisteme de operare şi aplicaţii comerciale de firewall este că în linux acesta este pe nivel de nucleu şi are prioritate maximă. Pentru definirea regulilor vom folosi comanda iptables. Iată nişte configuraţii minimale:

iptables -F # şterge toate regulile existente
iptables -X #şterge lanţurile create de utilizator
iptables -N firewall #va crea un lanţ numit firewall
iptables -A INPUT -m state --state ESTABLISHED --state RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED --state RELATED -j ACCEPT
# acceptă conexiunile deja active
iptables -A OUTPUT -m state --state NEW -j ACCEPT
#ne permite să iniţiem conexiuni spre internet de pe calculatorul nostru
iptables -A INPUT -j firewall
iptables -A OUTPUT -j firewall #trimite totul spre lanţul nostru
iptables -A firewall -i lo -o lo -j ACCEPT
# acceptă traficul pe interfaţa lo (localhost)
iptables -A firewall -p tcp --dport 22 -j ACCEPT #permite conexiuni SSH
iptables -A firewall -j RETURN
#trimite pachetele înapoi spre lanţurile dinspre care au venit.
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
#ignoră tot

Aştept sugestii/comentarii.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="" highlight="">