Обеспечение безопасности сети предприятия на базе ОС Linux

Артемьев Эдуард Иосифович, Чебоксары, 2015

Введение

Компьютерные сети и Интернет давно уже стали стали неотъемлемой частью нашей повседневной жизни. Современный бизнес с каждым днем все больше становится зависимым от компьютерных технологий и сетей. Эти технологии проникли практически во все сферы деятельности человека.

Огромное количество локальных сетей и серверов объединено всемирной паутиной Интернет, в которой практически с любого компьютера можно получить несанкционированный доступ к информационным ресурсам любой организации, причем, такой доступ можно осуществить удалённо, не имея непосредственного физического доступа к оборудованию жертвы.

Можно с уверенностью говорить, что проблема безопасности сетей остается неразрешенной и на сегодняшний день, поскольку руководство подавляющего большинства компаний не имеет полного представления об уровне реальных угроз безопасности их бизнеса. Как правило, вопросы по обеспечению информационной безопасности (ИБ) начинают решаться только после возникновения инцидента безопасности, реализации преступниками какой-либо угрозы.

Одним из эффективных решений безопасного подключения к сети Интернет является применение межсетевых экранов. Межсетевой экран – это программно-аппаратная система, находящаяся в точке соединения внутренней сети организации и Интернет и осуществляющая контроль передачи данных между сетями.

Безопасность информационной системы во многом зависит от выбора программного обеспечения, и в этой связи обязательно стоит упомянуть ОС Linux. Линукс заслуженно признан эталоном стабильной и безопасной операционной системы, не нуждающейся в дополнительных «костылях» вроде антивирусов. Важным плюсом Линукса является также и его бесплатность. Выгода от неограниченного использования свободного программного обеспечения (СПО) сторицей перекрывает расходы на переустройство информационной системы организации в целом или системы сетевой защиты в частности.

В дипломной работе рассматриваются методы обеспечения безопасности сети предприятия межсетевыми экранами на основе ОС Linux. Настоящая работа является попыткой создания элементарного руководства по обеспечению безопасности локальных сетей для системных администраторов организаций.

Глава 1. Классификации удалённых сетевых атак

Удалённая сетевая атака – информационное разрушающее воздействие на распределённую вычислительную систему (ВС), осуществляемое программно по каналам связи.

Для организации коммуникаций в неоднородной сетевой среде применяются набор протоколов TCP/IP, обеспечивая совместимость между компьютерами разных типов. Данный набор протоколов завоевал популярность благодаря совместимости и предоставлению доступа к ресурсам глобальной сети Интернет и стал стандартом для межсетевого взаимодействия. Однако повсеместное распространение стека протоколов TCP/IP обнажило и его слабые стороны. В особенности из-за этого удалённым атакам подвержены распределённые системы, поскольку их компоненты обычно используют открытые каналы передачи данных, и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик.

Трудность выявления проведения удалённой атаки и относительная простота проведения (из-за избыточной функциональности современных систем) выводит этот вид неправомерных действий на первое место по степени опасности и препятствует своевременному реагированию на осуществлённую угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки.

Классификация атак по характеру воздействия:

1. пассивное,
2. активное.

Пассивное воздействие на распределённую вычислительную систему (РВС) представляет собой некоторое воздействие, не оказывающее прямого влияния на работу системы, но в то же время способное нарушить её политику безопасности. Отсутствие прямого влияния на работу РВС приводит именно к тому, что пассивное удалённое воздействие (ПУВ) трудно обнаружить. Возможным примером типового ПУВ в РВС служит прослушивание канала связи в сети.

Активное воздействие на РВС – воздействие, оказывающее прямое влияние на работу самой системы (нарушение работоспособности, изменение конфигурации РВС и т.д.), которое нарушает политику безопасности, принятую в ней. Активными воздействиями являются почти все типы удалённых атак. Связано это с тем, что в саму природу наносящего ущерб воздействия включается активное начало. Явное отличие активного воздействия от пассивного – принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят некоторые изменения. При пассивном же воздействии, не остается совершенно никаких следов (из-за того, что атакующий просмотрит чужое сообщение в системе, в тот же момент не изменится собственно ничего).

Классификация атак по цели воздействия:

1. нарушение функционирования системы (доступа к системе),
2. нарушение целостности информационных ресурсов (ИР),
3. нарушение конфиденциальности ИР.

Этот признак, по которому производится классификация, по сути есть прямая проекция трех базовых разновидностей угроз – отказа в обслуживании, раскрытия и нарушения целостности.

Главная цель, которую преследуют практически при любой атаке – получение несанкционированного доступа к информации. Существуют два принципиальных варианта получения информации: искажение и перехват. Вариант перехвата информации означает получение к ней доступа без возможности ее изменения. Перехват информации приводит, следовательно, к нарушению ее конфиденциальности. Прослушивание канала в сети – пример перехвата информации. В этом случае имеется нелегитимный доступ к информации без возможных вариантов ее подмены. Очевидно, что нарушение конфиденциальности информации относится к пассивным воздействиям.

Возможность подмены информации следует понимать либо как полный контроль над потоком информации между объектами системы, либо возможность передачи различных сообщений от чужого имени. Следовательно, понятно, что подмена информации приводит к нарушению её целостности. Такое информационное разрушающее воздействие есть характерный пример активного воздействия. Примером же удалённой атаки, предназначенной для нарушения целостности информации, может послужить удалённая атака (УА) «Ложный объект РВС».

Классификация атак по наличию обратной связи с атакуемым объектом:

1. с обратной связью,
2. без обратной связи (однонаправленная атака).

Атакующий отправляет некоторые запросы на атакуемый объект, на которые ожидает получить ответ. Следовательно между атакующим и атакуемым появляется обратная связь, позволяющая первому адекватно реагировать на всяческие изменения на атакуемом объекте. В этом суть удалённой атаки, осуществляемой при наличии обратной связи с атакующим объектом. Подобные атаки наиболее характерны для РВС.

Атаки без обратной связи характерны тем, что им не требуется реагировать на изменения на атакуемом объекте. Такие атаки обычно осуществляются при помощи передачи на атакуемый объект одиночных запросов. Ответы на эти запросы атакующему не нужны. Подобную УА можно назвать также однонаправленной УА. Примером однонаправленных атак является типовая УА «DoS-атака».

Классификация атак по условию начала осуществления воздействия.

Удалённое воздействие, также как и любое другое, может начать осуществляться только при определённых условиях. В РВС существуют три вида таких условных атак:

1. атака по запросу от атакуемого объекта,
2. атака по наступлению ожидаемого события на атакуемом объекте,
3. безусловная атака.

Воздействие со стороны атакующего начнётся при условии, что потенциальная цель атаки передаст запрос определённого типа. Такую атаку можно назвать атакой по запросу от атакуемого объекта. Данный тип УА наиболее характерен для РВС. Примером подобных запросов в сети Интернет может служить DNS- и ARP-запросы, а в Novell NetWare – SAP-запрос.

Атака по наступлению ожидаемого события на атакуемом объекте. Атакующий непрерывно наблюдает за состоянием ОС удалённой цели атаки и начинает воздействие при возникновении конкретного события в этой системе. Атакуемый объект сам является инициатором начала атаки. Примером такого события может быть прерывание сеанса работы пользователя с сервером без выдачи команды LOGOUT в Novell NetWare.

Безусловная атака осуществляется немедленно и безотносительно к состоянию операционной системы и атакуемого объекта. Следовательно, атакующий является инициатором начала атаки в данном случае.

При нарушении нормальной работоспособности системы преследуются другие цели и получение атакующим незаконного доступа к данным не предполагается. Его целью является вывод из строя ОС на атакуемом объекте и невозможность доступа для остальных объектов системы к ресурсам этого объекта. Примером атаки такого вида может служить УА «DoS-атака».

Классификация атак по расположению субъекта атаки относительно атакуемого объекта:

1. межсегментное,
2. внутрисегментное.

Некоторые определения:

Источник атаки (субъект атаки) – программа (возможно оператор), ведущая атаку и осуществляющая непосредственное воздействие.

Хост (host) – компьютер, являющийся элементом сети.

Маршрутизатор (router) – устройство, которое обеспечивает маршрутизацию пакетов в сети.

Подсетью (subnetwork) называется группа хостов, являющихся частью глобальной сети, отличающихся тем, что маршрутизатором для них выделен одинаковый номер подсети. Так же можно сказать, что подсеть есть логическое объединение хостов посредством маршрутизатора. Хосты внутри одной подсети могут непосредственно взаимодействовать между собой, не задействовав при этом маршрутизатор.

Сегмент сети – объединение хостов на физическом уровне.

С точки зрения удалённой атаки крайне важным является взаимное расположение субъекта и объекта атаки, то есть находятся ли они в разных или в одинаковых сегментах. Во время внутрисегментной атаки, субъект и объект атаки располагаются в одном сегменте. В случае межсегментной атаки субъект и объект атаки находятся в разных сетевых сегментах. Этот классификационный признак дает возможность судить о так называемой «степени удалённости» атаки.

Внутрисегментную атаку осуществить намного проще, чем межсегментную. Отметим так же, что межсегментная удалённая атака представляет куда большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

Классификация атак по уровню эталонной модели ISO/OSI, на котором осуществляется воздействие:

1. физический,
2. канальный,
3. сетевой,
4. транспортный,
5. сеансовый,
6. представительный,
7. прикладной.

Международной организацией по стандартизации (ISO) был принят стандарт ISO 7498, который описывает взаимодействие открытых систем (OSI), к которым принадлежат также и РВС. Каждый сетевой протокол обмена, также как и каждую сетевую программу, удаётся так или иначе спроецировать на эталонную 7-уровневую модель OSI. Такая многоуровневая проекция даёт возможность описать в терминах модели OSI использующиеся в сетевом протоколе или программе функции. УА – сетевая программа, и логично рассматривать её с точки зрения проекции на эталонную модель ISO/OSI.

Рассмотрим популярные типы удалённых атак.

Снифинг (sniffing) – перехват данных при помощи специальных программ – сниферов. Как правило, они устанавливаются на маршрутизаторе и перехватывают пакеты во всей локальной сети. В пакетах может содержаться как мусор, так и важная информация, но взломщиков интересуют обычно только пароли на различные сервисы. Именно эти данные снифер и старается поймать.

Сканирование портов – поиск хостов сети, в которых открыты определённые порты. Такие мероприятия проводятся системными администраторами для проверки безопасности их сетей и злоумышленниками для взлома сети.

Сканирование портов может являться первым шагом в процессе взлома или предупреждения взлома, помогая определить потенциальные цели атаки.

http://funkyimg.com/i/Z9jd.jpg

Рис. 1.1. Примеры удалённых атак: снифинг (sniffing) – перехват данных и сканирование портов для поиска уязвимостей.

Троянская программа (троян) – вредоносная программа, предоставляющая злоумышленнику удалённый доступ к ресурсам сети. Троянские программы, в отличие от вирусов и червей, распространяются людьми – как непосредственно загружаются в компьютерные системы злоумышленниками, так и побуждают обычных пользователей загружать и/или запускать их на своих системах.

http://funkyimg.com/i/Z9je.jpg

Рис. 1.2. Использование троянских программ для удалённого доступа к ресурсам локальной сети.

В роли трояна может выступить даже антивирусная программа. Для этого достаточно только подменить сервер антивирусных обновлений (рис.1.3).

После очередного обновления с ложного сервера антивирусные программы начнут действовать по схеме нужной злоумышленнику. Ведь антивирусная программа, по сути своей, является лишь программным агентом, выполняющим инструкции, скачиваемые с сервера обновлений.

http://funkyimg.com/i/Z9jf.jpg

Рис. 1.3. Подмена сервера антивирусных обновлений.

Наличие серьёзных угроз, в том числе и рассмотренных выше, обосновывает необходимость проведения адекватных мероприятий по обеспечению безопасности сети предприятия.

Артемьев Эдуард Иосифович, Чебоксары, 2015

Глава 2. Настройка шлюза локальной сети

Есть локальная сеть, клиентам которой необходимо предоставить доступ в Интернет. Одним из решений данной задачи является настройка шлюза, который будет принимать запросы клиентов и пересылать их во внешний мир, а поступающие ответы, передавать обратно.

Для работы понадобятся: 1) компьютер с двумя сетевыми картами, который будет выполнять функцию шлюза; 2) клиентский компьютер, для проверки работы шлюза.

Предполагается, что на сервере уже установлена операционная система Debian. На клиентской машине может быть установлена любая популярная операционная система: Linux, Windows, Mac OS и пр.

http://funkyimg.com/i/Z9jg.jpg

Рис. 2.1. Схема сети со шлюзом.

Сервер имеет два сетевых интерфейса: eth0 – подключение к сети Интернет, eth1 – подключение к локальной сети.

Сетевой интерфейс eth0, подключенный к Интернету может иметь как статический IP-адрес, так и динамический, получаемый с DHCP-сервера компании-провайдера. Ниже рассмотрим оба случая настройки этого сетевого интерфейса.

Сетевой интерфейс eth1 будет иметь статический IP-адрес 192.168.6.1 и маску сети 255.255.255.0.

Сначала настраиваем сетевые интерфейсы сервера.

В командной консоли открываем сеанс пользователя root:

#sudo su

Вводим пароль.

Настройку сетевых интерфейсов, осуществляем путём редактирования конфигурационного файла /etc/network/interfaces в текстовом редакторе nano. Для этого выполняем команду:

#nano /etc/network/interfaces

В текстовом файле записываем настройки сетевого интерфейса eth0, по которому осуществляется подключение к Интернету.

Вариант №1. Интерфейс eth0 получает IP-адрес по DHCP от провайдера:

auto eth0
iface eth0 inet dhcp
hwaddress ether 01:02:03:04:05:06

Вариант №2. Интерфейс eth0 имеет статический IP-адрес, задаваемый настройщиком.

auto eth0
iface eth0 inet static
address A.A.A.A
netmask B.B.B.B
gateway C.C.C.C
dns-nameservers D.D.D.D E.E.E.E
hwaddress ether 01:02:03:04:05:06

Вместо X.X.X.X вписываем данные полученные от провайдера:

A.A.A.A – внешний (белый) IP-адрес нашего сервера,
B.B.B.B – маска подсети,
C.C.C.C – шлюз, через который наш сервер будет получать Интернет,
D.D.D.D E.E.E.E – IP-адреса одного или нескольких DNS-серверов, указанные в одну строчку через пробелы.

В обоих вариантах присутствует необязательный параметр hwadress ether, который позволяет назначить сетевому интерфейсу eth0 альтернативный MAC-адрес. Иначе говоря, с помощью этой строчки можно сделать подмену физического адреса сетевой карты, что бывает необходимо в сетях с контролем доступа по MAC-адресу.

Далее записываем настройки сетевого интерфейса eth1, который «смотрит» в локальную сеть. Он имеет статический IP-адрес.

auto eth1
iface eth1 inet static
address 192.168.6.1
netmask 255.255.255.0

В результате описанных действий у нас должен получиться файл interfaces, примерно, следующего содержания:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address A.A.A.A
netmask B.B.B.B
gateway C.C.C.C
dns-nameservers D.D.D.D E.E.E.E
hwaddress ether 01:02:03:04:05:06

auto eth1
iface eth1 inet static
address 192.168.6.1
netmask 255.255.255.0

По окончании редактирования сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Для перезапуска сетевых служб с новыми настройками выполняем консольную команду:

#/etc/init.d/networking restart

Переходим к настройкам клиентского ПК. Т.к. в нашей локальной сети нет DHCP-сервера, то IP-адрес назначим вручную.

Настройки клиента:

IP-адрес 192.168.6.2
Mask (маска подсети) 255.255.255.0
Gate (шлюз) 192.168.6.1
DNS-сервер (сервер имён) 192.168.6.1

Из консоли на компьютере-клиенте пробуем «пинговать» наш сервер:

#ping 192.168.6.1

Запросы должны доходить нормально.

Снова переходим к настройкам шлюза.

Установим пакет dnsmasq, он необходим для перенаправления DNS запросов, вышестоящим серверам.

#apt-get install dnsmasq

Возвращаемся к клиенту, выполняем на нем

#nslookup mail.ru

В ответ подучаем:

    Сервер: UnKnown
    Address: 192.168.6.1
    Имя: mail.ru
    Addresses: 94.100.191.201
    94.100.191.204
    94.100.191.203
    94.100.191.202

Отлично, разрешение имен работает, но если мы попробуем открыть страницу mail.ru, то у нас ничего не получится, потому что не настроена маршрутизация пакетов.

Настроим маршрутизацию пакетов.

Сначала разрешим перенаправление пакетов:

#nano /etc/sysctl.conf

В конфигурационном файле необходимо раскомментировать строку

net.ipv4.ip_forward=1

Для этого найдём её и удалим символ # в начале строки.

Сохраняем изменения и выходим из nano.

Теперь добавим в файл автозапуска /etc/rc.local правила для маршрутизации пакетов:

#nano /etc/rc.local

Перед строкой exit 0 впишем

iptables -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

Такая система правил маршрутизации не обеспечивает защиту от атак из внешней сети через сетевой интерфейс eth0. Усилим защиту, добавив несколько дополнительных правил, делающих сервер недоступным для запросов из внешней сети по интерфейсу eth0.

iptables -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j DROP
iptables -A INPUT -i eth1 -j ACCEPT

Сохраняем изменения, и перезагружаем сервер:

#reboot

Дождемся загрузки сервера и с компьютера-клиента пробуем открыть сайт mail.ru – всё должно открываться.

Вот так, настраивается шлюз для локальной сети. При необходимости можно организовать доступ в Интернет с нескольких клиентских машин. Для организации такой сети можно использовать Switch (коммутатор).

http://funkyimg.com/i/Z9ji.jpg

Рис. 2.2. Схема сети со шлюзом и коммутатором.

Пока в локальной сети отсутствует DHCP-сервер, работа по назначению статических IP-адресов клиентским компьютерам выполняется системным администратором. В рассмотренном примере это могут быть адреса 192.168.6.2, 192.168.6.3, 192.168.6.4 и т.д.

Настройка DHCP-сервера, выполняющего работу по автоматическому назначению IP-адресов компьютерам подсети, будет рассмотрена в следующей главе.

Глава 3. Настройка DHCP сервера

В предыдущей главе была рассмотрена настройка шлюза для локальной сети. Дополним созданную ранее локальную сеть DHCP-сервером.

DHCP (англ. Dynamic Host Configuration Protocol – протокол динамической настройки узла) – сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к так называемому серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве сетей TCP/IP.

Переходим к настройке компьютера-сервера.

В командной консоли открываем сеанс пользователя root:

#sudo su

Вводим пароль.

Установим пакет DHCP-сервера:

#apt-get install isc-dhcp-server

Система автоматически подтянет зависимые пакеты.

Адресное пространство, в нашей локальной сети, будет находиться в диапазоне 192.168.6.0/24. Т.е. в нашей подсети может находиться максимум 254 сетевых устройства.

Сначала укажем на каком сетевом интерфейсе будет работать наш DHCP-сервер.

#nano /etc/default/isc-dhcp-server

В открывшемся файле ищем строку INTERFACES. Т.к. подключение к локальной сети происходит через eth1, то соответственно редактируем строку:

INTERFACES="eth1"

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Теперь нам необходимо настроить конфигурационный файл DHCP сервера:

#nano /etc/dhcp/dhcpd.conf

Сервер планируется единственным в сети, поэтому будет работать в авторитарном режиме, для этого снимаем комментарий (символ #) со строки:

authoritative;

Закомментируем некоторые строки, они нам не понадобятся, все параметры будут храниться в одном месте, но об этом дальше.

default-lease-time 600;
max-lease-time 7200;

Теперь сконфигурируем нашу подсеть. Диапазон динамических IP-адресов у нас будет начинаться с 192.168.6.10 и заканчиваться на 192.168.6.254. Маска подсети 255.255.255.0 (или 24 bit). В качестве шлюза, DNS сервера у нас выступает сам сервер, указываем IP-адрес сетевого интерфейса eth1 192.168.6.1.

Время аренды адреса, указывается в секундах. Укажем 7 дней.

subnet 192.168.6.0 netmask 255.255.255.0 {
range 192.168.6.10 192.168.6.254;
option domain-name-servers 192.168.6.1;
option domain-name "example.org";
option routers 192.168.6.1;
option broadcast-address 192.168.6.255;
default-lease-time 604800;
max-lease-time 604800;
}

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Перезапустим DHCP-сервер

#/etc/init.d/isc-dhcp-server restart

Переходим к тестовому клиентскому ПК, устанавливаем в настройках сетевого соединения получение IP адреса от DHCP-сервера. Перезагружаем клиентский компьютер и проверяем подключение к Интернету.

Если есть необходимость в резервировании IP-адреса за определенной машиной, то это можно сделать прямо в настройках DHCP-сервера. После выполнения резервирования некоторый IP-адрес будет назначаться только компьютеру с определённым MAC-адресом сетевой карты.

Делается это путём конфигурирования:

#nano /etc/dhcp/dhcpd.conf

В dhcpd.conf добавляется следующее:

host testhost {
  hardware ethernet 00:01:8a:e3:s8:92;
  fixed-address 192.168.6.11;
}

Например, компьютер с MAC-адресом сетевой карты 00:01:8a:e3:s8:92 всегда будет получать IP-адрес 192.168.6.11.

Если понадобилось посмотреть, какие адреса были выданы, а также узнать их статус (свободен/занят), то смотрим файл:

#nano /var/lib/dhcp/dhcpd.leases

Артемьев Эдуард Иосифович, Чебоксары, 2015

Глава 4. Настройка прокси-сервера Privoxy для локальной сети

Прокси-сервер (от англ. proxy – «представитель, уполномоченный») – служба (комплекс программ) в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс, расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него. В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Прокси-сервер позволяет защищать компьютер клиента от некоторых сетевых атак и помогает сохранять анонимность клиента.

Прокси-серверы являются самым популярным способом выхода в Интернет из локальных сетей предприятий и организаций. Этому способствуют следующие обстоятельства:

1. Основной используемый в интернете протокол – HTTP, в стандарте которого описана поддержка работы через прокси;
2. Поддержка прокси большинством браузеров и операционных систем;
3. Контроль доступа и учёт трафика по пользователям;
4. Фильтрация трафика (интеграция прокси с антивирусами);
5. Прокси-сервер – может работать с минимальными правами на любой ОС с поддержкой сети (стека TCP/IP);
6. Многие приложения, использующие собственные специализированные протоколы, могут использовать HTTP как альтернативный транспорт или SOCKS-прокси как универсальный прокси, подходящий для практически любого протокола;
7. Отсутствие доступа в Интернет по другим (нестандартным) протоколам может повысить безопасность в корпоративной сети.

В настоящее время, несмотря на возрастание роли других сетевых протоколов, переход к тарификации услуг сети Интернет по скорости доступа, а также появлением дешёвых аппаратных маршрутизаторов с функцией NAT, прокси-серверы продолжают широко использоваться на предприятиях, так как NAT не может обеспечить достаточный уровень контроля над использованием Интернета (аутентификацию пользователей, фильтрацию контента).

Privoxy – это свободный веб-прокси с расширенными возможностями фильтрования интернет-контента для защиты конфиденциальности (приватности) пользователей сети Интернет, изменения содержания веб-страниц, управления cookies, ограничения доступа к некоторым сайтам и удаления рекламы, баннеров, всплывающих окон, а также любого другого нежелательного контента («интернет-мусора»).

Имеем:

1. Компьютер с двумя сетевыми интерфейсами, который мы настроим как прокси-сервер;
2. Локальная компьютерная сеть на основе коммутатора.

http://funkyimg.com/i/Z9jk.jpg

Рис. 4.1. Схема сети с прокси-сервером и коммутатором.

Настройка прокси-сервера.

Устанавливаем на серверный компьютер операционную систему Linux. Описываемые методики были отработаны на машинах под управлением операционной системы Debian 7. В принципе можно использовать и другие линукс-системы.

Настройку сервера проводим с правами root. В командной консоли открываем сеанс пользователя root:

#sudo su

Вводим пароль.

Устанавливаем пакет privoxy из репозиториев:

#apt-get install privoxy

Удаляем конфигурационный файл Privoxy, установленный по умолчанию:

#rm /etc/privoxy/config

Создаем новый конфигурационный файл с помощью консольного текстового редактора nano:

#nano /etc/privoxy/config

Вставляем в файл новое содержимое

confdir /etc/privoxy
logdir /var/log/privoxy
actionsfile default.action
actionsfile user.action
filterfile default.filter
logfile logfile
debug 4096
debug 8192
user-manual /usr/share/doc/privoxy/user-manual
listen-address 192.168.6.1:8118
toggle 1
enable-remote-toggle 0
enable-edit-actions 0
enable-remote-http-toggle 0
buffer-limit 4096

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Настраиваем систему для работы с прокси.

Укажем системе, как скачивать новые программы и обновления. Для этого с помощью редактора nano редактируем конфигурационный файл /etc/apt/apt.conf :

#nano /etc/apt/apt.conf

Добавим строки

Acquire::http::proxy "http://192.168.6.1:8118/";
Acquire::https::proxy "https://192.168.6.1:8118/";
Acquire::ftp::proxy "ftp://192.168.6.1:8118/";

Сохраним изменения (Ctrl+O), и выйдем из редактора nano (Ctrl+X).

Зададим общесистемные настройки прокси. Для этого редактируем конфигурационный файл /etc/environment :

#nano /etc/environment

Добавим строки

http_proxy="http://192.168.6.1:8118/"
https_proxy="https://192.168.6.1:8118/"
ftp_proxy="ftp://192.168.6.1:8118/"

Сохраним изменения (Ctrl+O), и выйдем из редактора nano (Ctrl+X).

Кстати, задавать общесистемные настройки прокси-сервера – ослабление защищённости системы. Поэтому не стоит делать это без крайней необходимости.

Теперь запретим все выходы в Интернет, кроме Privoxy. Для этого создадим файл с правилами маршрутизации.

#nano /etc/iptables.up.rules

Добавим в файл строки

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A OUTPUT -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -d 192.168.6.1/24 -j ACCEPT
-A OUTPUT -m owner --uid-owner privoxy -j ACCEPT
COMMIT

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Откроем файл настройки сети:

#nano /etc/network/interfaces

Допишем команду загрузки правил:

pre-up iptables-restore < /etc/iptables.up.rules

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

В результате у нас должен получиться файл interfaces, примерно, следующего содержания:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 192.168.6.1
netmask 255.255.255.0
pre-up iptables-restore < /etc/iptables.up.rules

Теперь нужно перезагрузить сервер.

#reboot

Настройка компьютеров локальной сети

Выход в интернет компьютеры локальной сети могут иметь только через прокси-сервер 192.168.6.1:8118. Именно такие адрес 192.168.6.1 и порт 8118 нужно указать в настройках прокси тех программ, которым мы хотим разрешить выход в Интернет.

Примеры программ которые имеет смысл настроить на работу с прокси-сервером:

1. веб-браузер, которым мы пользуемся;
2. антивирус, которому требуется регулярное обновление антивирусных баз;
3. другие важные программы, правильная работа которых невозможна без доступа во всемирную сеть Интернет.

В современных операционных системах можно также осуществить общесистемную настройку прокси-сервера, при которой выход в интернет получат все приложения. Такой подход ощутимо ослабит безопасность системы: многим приложениям Интернет нужен только для отправки статистики и другой разведывательной информации на сервера своих разработчиков. Стоит ли оставлять в системе такую уязвимость?

Артемьев Эдуард Иосифович, Чебоксары, 2015

Глава 5. Privoxy. Доступ в Интернет по «белому» списку

Перед многими системными администраторами встает вопрос ограничения доступа пользователей к тем или иным ресурсам сети интернет. В большинстве случаев в трудоёмкой и сложной контент-фильтрации нет необходимости, вполне достаточно URL-списков. Реализовать такой метод вполне возможно средствами прокси-сервера Privoxy, не привлекая стороннего ПО.

Метод «черных» и «белых» списков идеально подходит для ограничения доступа к ресурсам, адреса которых заранее известны, но по какой-либо причине являются нежелательными, например социальные сети. По сравнению с контентной фильтрацией (фильтрацией по содержимому) такой способ имеет множество недостатков, но с другой стороны он гораздо проще в реализации и требует гораздо меньше вычислительных ресурсов.

Метод ограничения доступа по «чёрному» списку. Прокси-сервер поддерживает связь со всеми серверами сети Интернет, кроме «плохих», которые перечислены в «чёрном» списке. Недостатком такого метода является невозможность заранее просчитать все «плохие» веб-сервера. Например, как показывает практика, несмотря на все ухищрения системных администраторов по блокированию доступа к социальным сетям, пользователи всё равно находят свежие «лазейки», не внесённые в списки блокировки.

Метод ограничения доступа по «белому» списку. Прокси-сервер блокирует связь со всеми серверами сети Интернет, кроме «хороших», которые перечислены в «белом» списке. Недостатком такого метода является лишь необходимость постоянного пополнения белого списка адресами сайтов, доступ к которым согласуется с задачами организации. Но этот недостаток вполне компенсируется абсолютным контролем к сети Интернет.

Настройка Privoxy для работы с «белым» списком.

Настройку сервера проводим с правами root. В командной консоли открываем сеанс пользователя root:

#sudo su

Вводим пароль.

Прежде всего создадим файл «белого» списка etc/privoxy/whitelist.action:

#nano /etc/privoxy/whitelist.action

Запишем в него следующее содержимое.

############################################################
# Blacklist
############################################################
{ +block }
/ # Block *all* URLs
############################################################
# Whitelist
############################################################
{ -block }
-----general-----
.*2ip.ru
.*akinator*.*
.*bing.com
.*canonical*.*
.*certifications*.*
.*fsdn*.*     # for sourceforge
.*google*.*
.*habrahabr*.*
.*lurkmore*.*
.*mail.ru
.*mailru.su
.*narod*.*
.*opennet*.*
.*rambler*.*
.*sourceforge*.*
.*torproject*.*
.*wiki*.*
.*ya.ru
.*yandex*.*
.*yastatic*.*     # for yandex
-----systems-----
.*centos*.*
.*debian*.*
.*fedora*.*
.*freebsd*.*
.*gentoo*.*
.*knoppix*.*
.*linux*.*
.*mandrake*.*
.*mandriva*.*
.*minix*.*
.*openbsd*.*
.*puppy*.*
.*redhat*.*
.*slackware*.*
.*slax*.*
.*solaris*.*
.*suse*.*
.*ubunt*.*
-----programms-----
.*apach*.*
.*comodo*.*
.*denwer.ru
.*mozilla*.*
.*nginx*.*
.*zilla*.*

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Теперь подключим наш список. Чтобы Privoxy учитывал в своей работе белый список /etc/privoxy/whitelist.action надо добавить ссылку на него в конфигурационный файл /etc/privoxy/config:

#nano /etc/privoxy/config

Добавляем в текст строчку

actionsfile whitelist.action

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Перезапустим Privoxy:

#service privoxy restart

Попробуем посетить сайт, не учтённый в «белом» списке, если все сделано правильно, то мы увидим сообщение Privoxy о запрете доступа к данному ресурсу.

Использование «белых» списков является дополнительной защитой от утечек информации, инициированных программными агентами (троянами). Если само по себе использование прокси-сервера является серьёзной (но не критической) помехой для работы программ-троянов, то правильно настроенный список доступных серверов делает их работу абсолютно невозможной. Ведь, согласитесь, невозможно «слить» информационный пакет на сервер microsoft.com или xakep.ru, если соответствующие доменные имена не внесены в «белый» список.

Отметим также, что использование «белого» списка окажется полезным также при использовании в школах и других образовательных учреждениях для организации работы по ограничению доступа обучающихся образовательных учреждений к ресурсам сети «Интернет», содержащим информацию, не совместимую с задачами образования.

Раз уж тема коснулась защиты компьютерной сети школы, то полезным будет упоминание безопасных DNS-сервисов.

DNS (англ. Domain Name System — система доменных имён) — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства).

По сути, DNS — это адресная книга интернета, где указан цифровой адрес (IP) каждого сайта. Например, yandex.ru находится по адресу 213.180.204.11. Каждый раз, когда пользователь заходит на веб-страницу, браузер ищет её IP-адрес в системе DNS.

Сервисы безопасных DNS-серверов обеспечивают базовую веб-защиту и родительский контроль, фильтруя и блокируя небезопасные, вредоносные и нежелательные веб-сайты на первом рубеже доступа к сети Интернет. Для установки такой защиты, необходимо указать в сетевых настройках операционной системы или настройках маршрутизатора безопасные DNS-сервера.

Одним из примеров безопасных DNS является сервис «Яндекс.DNS».

«Базовый»
Быстрый и надежный DNS
77.88.8.8
77.88.8.1

«Безопасный»
Без мошеннических сайтов и вирусов
77.88.8.88
77.88.8.2

«Семейный»
Без сайтов для взрослых
77.88.8.7
77.88.8.3

Защита от опасных сайтов.

Некоторые сайты в интернете содержат вредоносный код, способный заразить компьютер. Иногда вирус можно подхватить и на проверенном сайте. Другие страницы созданы злоумышленниками, чтобы красть пароли и данные или вытягивать деньги с телефонных счетов. При попытке открыть такой сайт Яндекс.DNS в «Безопасном» и «Семейном» режиме остановит загрузку данных и покажет пользователю предупреждение. В Яндекс.DNS используется собственный антивирус, работающий на алгоритмах Яндекса и сигнатурной технологии Sophos.

Защита от «взрослых» материалов.

Многие пользователи хотят оградить себя или своих детей от сайтов для взрослых. Алгоритмы семейного поиска Яндекса умеют выявлять эротику и порно. При открытии порносайта на компьютере или в сети с Яндекс.DNS в «Семейном» режиме пользователь увидит только заглушку.

Защита от ботов.

Сегодня злоумышленники создают целые сети из чужих компьютеров, чтобы с их помощью атаковать сервера, взламывать украденные пароли, рассылать спам. Пользователь обычно и не подозревает, что его компьютер состоит в такой сети — программа-бот никак не проявляет себя. Для получения инструкций боты подключаются к специальным управляющим серверам. Яндекс.DNS в «Безопасном» и «Семейном» режимах блокирует попытки соединения с такими серверами — даже если компьютер заражён, злоумышленники не смогут им управлять. Данные о действующих сетях ботов и управляющих серверах предоставляет система Virus Tracker.

Наряду с «Яндекс.DNS» упомянем схожие сервисы: «MetaCert DNS», «Norton ConnectSafe», «OpenDNS Premium DNS», «Comodo Secure DNS».

Глава 6. Прокси-сервер Privoxy в связке с сервером Tor

Некоторые политические активисты, некоммерческие организации и бизнесмены вынуждены использовать многоуровневый анонимайзер Tor в своей работе. Для них окажется полезным использование прокси-сервера, осуществляющего соединение с Интернетом через анонимную сеть Tor.

http://funkyimg.com/i/Z9jm.jpg

Рис. 6.1. Схема сети с Tor-прокси и коммутатором.

Tor (сокр. от англ. The Onion Router) – свободное и открытое программное обеспечение для реализации второго поколения так называемой луковой маршрутизации. Это система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение, защищённое от прослушивания. Рассматривается как анонимная сеть виртуальных туннелей, предоставляющая передачу данных в зашифрованном виде.

С помощью Tor пользователи могут сохранять анонимность в интернете при посещении сайтов, ведении блогов, отправке мгновенных и почтовых сообщений, а также при работе с другими приложениями, использующими протокол TCP. Анонимизация трафика обеспечивается за счёт использования распределённой сети ретрансляторов. Технология Tor также обеспечивает защиту от механизмов анализа трафика, которые ставят под угрозу не только приватность в интернете, но также конфиденциальность коммерческих тайн, деловых контактов и тайну связи в целом.

Частные лица используют Tor для защиты неприкосновенности частной жизни и получения доступа к информации, заблокированной интернет-цензурой. Неправительственные организации используют Tor для подключения своих сотрудников к нужным сайтам, когда есть смысл не афишировать их работу. Общественные организации используют Tor для обеспечения безопасности своих членов. Корпорации используют Tor как безопасный способ проведения анализа на конкурентном рынке. Спецслужбы используют Tor для обеспечения секретности при выполнении особых задач.

Итак, имеем:

1. Компьютер с установленной ОС Debian 7 и двумя сетевыми картами, который мы настроим как прокси-сервер;
2. Локальная компьютерная сеть на основе коммутатора.

Настройка прокси-сервера.

Настройку сервера проводим с правами root. В командной консоли открываем сеанс пользователя root:

#sudo su

Вводим пароль.

Теперь укажем системе дополнительный источник для скачивания программ (репозиторий). Для этого редактируем файл /etc/apt/sources.list:

#nano /etc/apt/sources.list

В конец текста добавляем строку

deb http://deb.torproject.org/torproject.org wheezy main

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Здесь сразу же отметим, что на месте слова «wheezy» нужно указать название своего дистрибутива Linux. Я описываю настройку Dedian 7 Wheezy, поэтому и в конфигурационном файле указываю «wheezy». Доступность репозитория для вашей версии Linux можно проверить с помощью веб-браузера по адресу http://deb.torproject.org/torproject.org/.

Получаем ключи, обновляем список ПО, установливаем Tor, Vidalia, Privoxy, для чего в терминале выполняем последовательно:

#gpg --keyserver keys.gnupg.net --recv 886DDD89
#gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -
#apt-get update
#apt-get install privoxy vidalia deb.torproject.org-keyring

При установке пакета Vidalia будет задан вопрос какого пользователя добавить в группу debian-tor. Никого не добавляем.

Удаляем текущий файл настроек Privoxy:

#rm /etc/privoxy/config

Создаем новый конфигурационный файл Privoxy:

#nano /etc/privoxy/config

Вставляем строки

forward-socks4a / 192.168.6.1:9050 .
confdir /etc/privoxy
logdir /var/log/privoxy
actionsfile default.action
actionsfile user.action
filterfile default.filter
logfile logfile
debug 4096
debug 8192
user-manual /usr/share/doc/privoxy/user-manual
listen-address 192.168.6.1:8118
toggle 1
enable-remote-toggle 0
enable-edit-actions 0
enable-remote-http-toggle 0
buffer-limit 4096

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Удаляем текущий файл настроек Tor:

#rm /etc/tor/torrc

Создаем новый конфигурационный файл Tor:

#nano /etc/tor/torrc

Вставляем строки

SocksPort 192.168.6.1:9050
SocksPolicy accept 192.168.6.0/24

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Настраиваем систему для работы с прокси-сервером.

Укажем системе, как скачивать новые программы и обновления. Для этого с помощью редактора nano редактируем конфигурационный файл /etc/apt/apt.conf :

#nano /etc/apt/apt.conf

Добавим строки

Acquire::http::proxy "http://192.168.6.1:8118/";
Acquire::https::proxy "https://192.168.6.1:8118/";
Acquire::ftp::proxy "ftp://192.168.6.1:8118/";

Сохраним изменения (Ctrl+O), и выйдем из редактора nano (Ctrl+X).

Зададим общесистемные настройки прокси. Для этого редактируем конфигурационный файл /etc/environment :

#nano /etc/environment

Добавим строки

http_proxy="http://192.168.6.1:8118/"
https_proxy="https://192.168.6.1:8118/"
ftp_proxy="ftp://192.168.6.1:8118/"

Сохраним изменения (Ctrl+O), и выйдем из редактора nano (Ctrl+X).

Теперь запретим все выходы в Интернет, кроме Tor. Для этого создадим файл с правилами маршрутизации.

#nano /etc/iptables.up.rules

Добавим в файл строки

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A OUTPUT -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -d 192.168.6.1/24 -j ACCEPT
-A OUTPUT -m owner --uid-owner debian-tor -j ACCEPT
COMMIT

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Откроем файл настройки сети:

#nano /etc/network/interfaces

Допишем команду загрузки правил:

pre-up iptables-restore < /etc/iptables.up.rules

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

В результате у нас должен получиться файл interfaces, примерно, следующего содержания:

auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet static
address 192.168.6.1
netmask 255.255.255.0
pre-up iptables-restore < /etc/iptables.up.rules

Теперь нужно перезагрузить сервер.

#reboot

Настройка компьютеров локальной сети

Выход в интернет компьютеры локальной сети могут иметь через один из двух прокси- серверов:

1) 192.168.6.1:8118 – HTTP-прокси Privoxy;
2) 192.168.6.1:9050 – SOCKS-прокси Tor.

На прокси-сервере со стороны локальной сети открыты порты 8118 и 9050. В зависимости от особенностей программ-клиентов, в их настройках можно указывать подключение к Интернету через 8118-й или 9050-й порт. Но независимо от выбора порта весь трафик от клиентов будет передаваться по шифрованным каналам Tor. Это связанно с тем, что Privoxy имеет доступ к Интернету через Tor. Иначе говоря, Tor является родительским прокси (parent proxy, forward proxy) для Privoxy.

http://funkyimg.com/i/Z9jn.jpg

Рис. 6.2. Схема взаимодействия Privoxy и Tor.

Такая организация прокси-сервера расширяет возможности настройки сети, т.к. некоторые клиентские приложения умеют работать только с HTTP-прокси, а некоторые – только с SOCKS.

Теперь, из-за использования технологии Tor, сетевая разведка за интернет-трафиком организации неимоверно усложняется: противник не может анализировать содержимое сетевого трафика организации и определять адреса, к которым происходит подключение. Также обеспечивается защита от несанкционированного доступа к ресурсам локальной сети извне, обусловленное настройками IPTables.

Артемьев Эдуард Иосифович, Чебоксары, 2015

Глава 7. Настройка демилитаризованной зоны

Демилитаризованная зона (ДМЗ) – сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.

http://funkyimg.com/i/Z9jo.jpg

Рис. 7.1. Схема сети с DMZ и одним межсетевым экраном.

Конфигурация с одним межсетевым экраном .

Для создания сети с ДМЗ может быть использован один межсетевой экран, имеющий минимум три сетевых интерфейса: один – для соединения с провайдером (WAN), второй – с внутренней сетью (LAN), третий – с ДМЗ. Подобная схема проста в реализации, однако предъявляет повышенные требования к оборудованию и администрированию: межсетевой экран должен обрабатывать весь трафик, идущий как в ДМЗ, так и во внутреннюю сеть. При этом он становится единой точкой отказа, а в случае его взлома (или ошибки в настройках) внутренняя сеть окажется уязвимой напрямую из внешней.

Конфигурация с двумя межсетевыми экранами .

Более безопасным является подход, когда для создания ДМЗ используются два межсетевых экрана: один из них контролирует соединения из внешней сети в ДМЗ, второй – из ДМЗ во внутреннюю сеть. В таком случае для успешной атаки на внутренние ресурсы должны быть скомпрометированы два устройства. Ещё более высокий уровень защиты можно обеспечить, используя два межсетевых экрана двух разных производителей – это уменьшает вероятность того, что оба устройства будут иметь одинаковую уязвимость. Например, случайная ошибка в настройках с меньшей вероятностью появится в конфигурации интерфейсов двух разных производителей; дыра в безопасности, найденная в системе одного производителя, с меньшей вероятностью окажется в системе другого. Недостатком этой архитектуры является более высокая стоимость.

http://funkyimg.com/i/Z9jp.jpg

Рис. 7.2. Схема сети с DMZ и двумя межсетевыми экранами.

В качестве примера рассмотрим настройку сети с демилитаризованной зоной, находящейся в одном сегменте сети с защищаемыми компьютерами (рис. 7.3).

Итак, имеем:

1. Компьютер с установленной ОС Debian 7 и двумя сетевыми картами, настроенный как шлюз по методике, описанной в главе 2 «Настройка шлюза локальной сети»;

2. Локальная компьютерная сеть на основе коммутатора;

3. Веб-сервер в локальной сети со статическим IP-адресом 192.168.6.22.

Настроим шлюз таким образом, чтоб 80-й порт веб-сервера был доступен из Интернета. Такую настройку в русскоязычной среде сисадминов упрощённо называют «проброс порта».

http://funkyimg.com/i/Z9jq.jpg

Рис. 7.3. Схема сети с DMZ в одном сегменте с защищаемыми хостами.

В командной консоли открываем сеанс пользователя root:

#sudo su

Вводим пароль.

Для проброса порта изменим правила маршрутизации на машине-шлюзе, описанные в файле /etc/rc.local.

#nano /etc/rc.local

Вот исходные правила маршрутизации:

iptables -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j DROP
iptables -A INPUT -i eth1 -j ACCEPT

Допишем им в конец два правила, разрешающие обращение к 80-му порту хоста 192.168.6.22 из внешней сети:

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.6.22:80
iptables -A FORWARD -i eth0 -d 192.168.6.22 -p tcp --dport 80 -j ACCEPT

Сохраняем изменения (Ctrl+O), и выходим из редактора nano (Ctrl+X).

Перезагружаем сервер:

#reboot

После описанных настроек на внешнем сетевом интерфейсе eth0 сервера будет открыт 80-порт. Все запросы, приходящие из Интернета на 80 порт интерфейса eth0, будут автоматически переадресовываться локальному web-серверу 192.168.6.22. Этот сервер будет доступен как из глобальной, так и из локальной сети.

Способом аналогичным описанному выше можно «пробросить порты» и к другим ресурсам локальной сети. Но не стоит слишком увлекаться таким «расшариванием», т.к. с увеличением количества доступных сервисов возрастает риск проникновения в систему.

Заключение

Результатом выполнения данной работы стало изложение методик обеспечения безопасности сети предприятия межсетевыми экранами на основе ОС Linux.

Вся работа проводилась в компьютерной сети на основе Линукс. Это значительно уменьшило стоимость расходов на проведение экспериментов и защитило автора от неприятностей, связанных с использованием нелегального ПО: вредоносных закладок, проблем с УК РФ и т.п.

В данной работе подробно рассмотрены действия по настройке шлюзов и прокси-серверов, приведены примеры конфигурационных файлов, даны объяснения принципов работы используемых защитных механизмов.

Простота и наглядность изложения материала делают работу доступной для понимания и практического использования даже начинающими системными администраторами nix-систем.

Артемьев Эдуард Иосифович, Чебоксары, 2015

Список использованной литературы

1. О.Р. Лапонина. Межсетевое экранирование. «ИНТУИТ», М., 2009;
2. Т.В. Оглтри. Firewalls. Практические применение межсетевых экранов. «ДМК», М., 2008;
3. Девид Чемпен, Энди Фокс. Брандмауэры Cisco Secure PIX. «Вильямс», М., 2009;
4. Т.А. Биячуев. Безопасность корпоративных сетей. Спб., 2008;
5. А.Ю. Щеглов. Защита компьютерной сети от несанкционированного доступа. «НиТ», Спб., 2009;
6. Журнал «Проблемы информационной безопасности», апрель 2008;
7. Денис Колисниченко. Анонимность и безопасность в Интернете. БХВ-Петербург, 2012;
8. Герман К.М. Профессиональное видеонаблюдение. Практика и технологии аналогового и цифрового ССТV.-М.:Секьюрити Фокус,2010. -640с.
9. Журнал «Служба Безопасности» № 9-19. М.2007.
10. Завалюев О.Н. Школа и безопасность. Образование в документах. – 2006. – №12-13.
11. Бокаев А.С. Учетная политика предприятий. – М.: Экономическая школа, 2001. – 112 с.
12. Орлов А.А. Нужные программы для Интернета – СПб.: Питер,2006. – 94 с.
13. Компьютерные сети и средства защиты информации: Учебное пособие / Камалян А.К., Кулев С.А., Назаренко К.Н. – Воронеж: ВГАУ, 2003. – 119 с.
14. Концепция информационной безопасности Федеральной налоговой службы (утв. приказом Федеральной налоговой службы от 13 января 2012 г. № ММВ-7-4/6@)
15. Шепитько Г.Е. Обеспечение безопасности расчетов в системах электронной коммерции. Учебное пособие-Москва:РГСУ,2012.-188с.