LINUX-сервер пошаговые инструкции инсталляции и настройки - Бруй В. В. , Карлов С. В

В случае прихода нежелательных пакетов они задерживаются и регистрируются. Если система будет подвергнута атаке путем отправки на ее сетевые интерфейсы большого числа нежелательных пакетов, файл регистрации быстро заполнит все свободное дисковое пространство. Чтобы избежать этого, мы устанавливаем ограничение на количество сообщений в файлы регистрации с помощью параметров LOG_LIMIT и

LOG_LIMIT_BURST.

Параметр LOG_LIMIT_BURST

определяет максимальное число нежелательных пакетов, информация о которых заносится в файл регистрации в течение интервала времени, величина которого определяется числом, стоящим перед знаком "/", а единица измерения ключом, стоящим после (секунда - /second или /s, минута - /minute или /m, час - /hour или /h и день - /day или /d). Таким образом, пара значений параметров

NETWORK1_LOG_LIMIT="9/m" и NETWORK1_LOG_LIMIT_BURST="11" в рассмотренном примере оз-

начает, что в течение 9 минут в файл регистрации будут внесена информация не более чем об 11 первых нежелательных пакетах.

Регистрационная информация посылается в файл /var/log/messages.

Параметры, с помощью которых устанавливается запрет на установку любых соединений с определенных IP-адресов, содержатся в секции Network Ghouls:

#Network Ghouls

#Refuse any connection from problem sites

#The /etc/rc.d/rc.giptables.blocked file contains a list of ip addresses that

#will be blocked from having any kind of access to your server on all your

#interfaces if the next option is "yes"

NETWORK_GHOULS="yes"

#If you would like to block an ip address from having any kind of access

to

#your server on a specific interface, please use the options below

REFUSE_CONNECTION_IPADDR[0]="1.1.1.1"

INTERFACE0_REFUSE_CONNECTION[0]="yes"

INTERFACE1_REFUSE_CONNECTION[0]="yes"

NETWORK1_REFUSE_CONNECTION[0]="yes"

REFUSE_CONNECTION_IPADDR[1]="2.2.2.2"

INTERFACE0_REFUSE_CONNECTION[1]="yes"

INTERFACE1_REFUSE_CONNECTION[1]="yes"

NETWORK1_REFUSE_CONNECTION[1]="yes"

Для включения или отключения блокирования сетевых подключений с определенных IP-адресов используется параметр NETWORK_GHOULS="yes"/"no". Если установлено значение параметра – "yes", то установка любых сетевых соединений с IP-адресов, перечисленных в файле /etc/rc.d/rc.giptables.blocked, запрещается. Если установлено значение параметра "no", то список запрещенных IP-адресов игнорируется.

Параметры

REFUSE_CONNECTION_IPADDR[0] INTERFACE0_REFUSE_CONNECTION[0] NTERFACE1_REFUSE_CONNECTION[0]

NETWORK1_REFUSE_CONNECTION[0]

используются для ограничения установки сетевых соединений с нежелательными адресами только для определенных сетевых интерфейсов.

Для конфигурирования системы защиты от одного из видов DoS-атак – "SYN-flood" – используются параметры секции Syn-flood protection:

#Syn-flood protection

#Limit the number of incoming tcp connections

SYN_FLOOD_PROTECTION="yes"

INTERFACE1_IN_DROP_ALL_FRAGMENTS="yes"

NETWORK1_IN_DROP_ALL_FRAGMENTS="yes"

используются для включения режима, в котором отфильтровываются и регистрируются все некорректные пакеты.

Параметры

INTERFACE0_IN_DROP_XMAS_PACKETS="yes"

INTERFACE1_IN_DROP_XMAS_PACKETS="yes"

NETWORK1_IN_DROP_XMAS_PACKETS="yes"

используются для включения режима, в котором отфильтровываются и регистрируются все некорректные

XMAS-пакеты.

Параметры

INTERFACE0_IN_DROP_NULL_PACKETS="yes"

INTERFACE1_IN_DROP_NULL_PACKETS="yes"

NETWORK1_IN_DROP_NULL_PACKETS="yes"

используются для включения режима, в котором отфильтровываются и регистрируются все NULL-пакеты, обычно генерируемые программами-сканерами портов.

В заголовках пакетов содержатcя исходный адрес, адрес назначения и тип протокола сообщения (ICMP, UDP или TCP). Наличие в заголовках пакетов исходного адреса и использование его для идентификации отправителя может быть использовано и для получения несанкционированного доступа к системе. Существует, по крайней мере, семь разновидностей исходных адресов, которые должны отфильтровываться внешним (ориентированным в сторону Интернет) интерфейсом (адреса, зарезервированные для локальных сетей, интерфейса возвратной петли и неиспользуемые Интернет адреса).

Для включения и конфигурирования фильтрации пакетов на внешнем интерфейсе системы исполь-

зуйте параметры секции Spoofing and bad addresses.

# Spoofing and bad addresses

#

REFUSE_SPOOFING="yes"

# Refuse incoming packets claiming to be from the ip addresses of our interfaces

REFUSE_SPOOFING_IPADDR[0]=$INTERFACE0_IPADDR

INTERFACE0_IN_REFUSE_SPOOFING[0]="yes"

INTERFACE1_IN_REFUSE_SPOOFING[0]="yes"

NETWORK1_IN_REFUSE_SPOOFING[0]="yes"

REFUSE_SPOOFING_IPADDR[1]=$INTERFACE1_IPADDR

INTERFACE0_IN_REFUSE_SPOOFING[1]="yes"

INTERFACE1_IN_REFUSE_SPOOFING[1]="yes"

NETWORK1_IN_REFUSE_SPOOFING[1]="yes"

#Refuse incoming packets claiming to be from broadcast-src address range

REFUSE_SPOOFING_IPADDR[2]="0.0.0.0/8"

#If you provide DHCP services on one of your interfaces, do not forget

to

#set the following option related to that interface to "no"

INTERFACE0_IN_REFUSE_SPOOFING[2]="yes"

INTERFACE1_IN_REFUSE_SPOOFING[2]="yes"

NETWORK1_IN_REFUSE_SPOOFING[2]="yes"

# Refuse incoming packets claiming to be from reserved loopback address range

REFUSE_SPOOFING_IPADDR[3]="127.0.0.0/8"

INTERFACE0_IN_REFUSE_SPOOFING[3]="yes"

INTERFACE1_IN_REFUSE_SPOOFING[3]="yes"

NETWORK1_IN_REFUSE_SPOOFING[3]="yes"

# Refuse incoming packets claiming to be from class A private network

#Copyright (C) 2002 Adrian Pascalau <apascalau@openna.com>

#GATEWAY main configuration file

#

# -----------------------------------------------------------------------

-

#This file is part of GIPTables Firewall

#GIPTables Firewall is free software; you can redistribute it and/or modify

#it under the terms of the GNU General Public License as published by

#the Free Software Foundation; either version 2 of the License, or

#(at your option) any later version.

#

#This program is distributed in the hope that it will be useful,

#but WITHOUT ANY WARRANTY; without even the implied warranty of

#MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the

#GNU General Public License for more details.

#

#You should have received a copy of the GNU General Public License

#along with this program; if not, write to the Free Software

#Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA

# -----------------------------------------------------------------------

-----

# DEBUG

#

DEBUG="off"

# -----------------------------------------------------------------------

-----

#Some definitions for easy maintenance

#Edit these to suit your system

#Если вы следовали нашим рекомендациям, то код iptables включен в код ядра.

MONOLITIC_KERNEL="yes"

#Interface 0: This is our external network interface

#It is directly connected to Internet

#Установите параметры внешнего интерфейса.

INTERFACE0="eth0" INTERFACE0_IPADDR="x.x.x.x" ANY_IPADDR="0/0"

#Interface 1: This is our internal network interface

#It is directly connected to our internal Network 1

#Проверьте, правильно ли указаны параметры внутренней сети.

INTERFACE1="eth1"

INTERFACE1_IPADDR="192.168.1.254"

NETWORK1="192.168.1.0/24"

#Do you need Network Address Translation for your internal network?

NETWORK1_NAT="yes"

#Your name servers ip address

#Установите правильные значения IP-адресов ваших DNS-серверов.

#Использование чужих DNS–серверов - плохой тон !!!

ISP_PRIMARY_DNS_SERVER="a.a.a.a"

ISP_SECONDARY_DNS_SERVER="b.b.b.b"

# SYSLOG server ip address

#Если для хранения файлов регистрации используется шлюз - что не очень

#хорошо с точки зрения безопасности - укажите IP-адрес внутреннего

#интерфейса. Если же файлы регистрации хранятся на другой системе внутри

#локальной сети, то укажите ее IP-адрес.

SYSLOG_SERVER="c.c.c.c"

# Loopback interface

# Port declarations, do not change them

PRIV_PORTS="0:1023"

UNPRIV_PORTS="1024:65535"

# -----------------------------------------------------------------------

# Loading custom firewall rules from /etc/rc.d/rc.giptables.custom

#

#Если вы следовали нашим рекомендациям, то /etc/rc.d/rc.giptables.custom

#не содержит никаких дополнительных правил. Если в последующем они будут

#созданы и добавлены, не забудьте изменить значение параметра на "yes".

LOAD_CUSTOM_RULES="no"

# -----------------------------------------------------------------------

#Logging

#Limit the amount of incoming dropped packets that gets sent to the logs

#Ниже выставляются параметры, устанавливающие разумный компромисс

#между объемом файлов регистрации и информативностью. Не советуем

#изменять значения этих параметров.

#We log & drop all the packets that are not expected. In order to avoid

#our logs beeing flooded, we rate limit the logging

#Interface 0 log dropped packets

INTERFACE0_LOG_DROPPED_PACKETS="yes"

INTERFACE0_LOG_LIMIT="5/m"

INTERFACE0_LOG_LIMIT_BURST="7"

# Interface 1 log dropped packets

INTERFACE1_LOG_DROPPED_PACKETS="yes"

INTERFACE1_LOG_LIMIT="7/m"

INTERFACE1_LOG_LIMIT_BURST="9"

# Network 1 log forwarded dropped packets

NETWORK1_LOG_DROPPED_PACKETS="yes"

NETWORK1_LOG_LIMIT="9/m"

NETWORK1_LOG_LIMIT_BURST="11"

# -----------------------------------------------------------------------

-

#Network Ghouls

#Refuse any connection from problem sites

#The /etc/rc.d/rc.giptables.blocked file contains a list of ip addresses that

#will be blocked from having any kind of access to your server on all your

#interfaces if the next option is "yes"

#Если вы следовали нашим рекомендациям, то

/etc/rc.d/rc.giptables.blocked

150 Часть 2. Система сетевой защиты

#-----------------------------------------------------------------------

# Spoofing and bad addresses

#

REFUSE_SPOOFING="yes"

# Refuse incoming packets claiming to be from the ip addresses of our interfaces

#Разрешаем пересылку пакетов между наружным и внешним интерфейсом,

#локальной и внешней сетями.

REFUSE_SPOOFING_IPADDR[0]=$INTERFACE0_IPADDR

INTERFACE0_IN_REFUSE_SPOOFING[0]="yes"

INTERFACE1_IN_REFUSE_SPOOFING[0]="no"

NETWORK1_IN_REFUSE_SPOOFING[0]="yes"

REFUSE_SPOOFING_IPADDR[1]=$INTERFACE1_IPADDR

INTERFACE0_IN_REFUSE_SPOOFING[1]="no"

INTERFACE1_IN_REFUSE_SPOOFING[1]="yes"

NETWORK1_IN_REFUSE_SPOOFING[1]="no"

#Refuse incoming packets claiming to be from broadcast-src address range REFUSE_SPOOFING_IPADDR[2]="0.0.0.0/8"

#If you provide DHCP services on one of your interfaces, do not forget

to

#set the following option related to that interface to "no"

INTERFACE0_IN_REFUSE_SPOOFING[2]="yes"

INTERFACE1_IN_REFUSE_SPOOFING[2]="no"

NETWORK1_IN_REFUSE_SPOOFING[2]="yes"

# Refuse incoming packets claiming to be from reserved loopback address range

REFUSE_SPOOFING_IPADDR[3]="127.0.0.0/8"

INTERFACE0_IN_REFUSE_SPOOFING[3]="yes"

INTERFACE1_IN_REFUSE_SPOOFING[3]="yes"

NETWORK1_IN_REFUSE_SPOOFING[3]="yes"

#Фильтруем пакеты, отправленные якобы с адресов, зарезервированных

#для локальных сетей. Очень важно не отфильтровать пакеты, приходящие

#из локальной сети на внутренний сетевой интерфейс.

#Refuse incoming packets claiming to be from class A private network

#Если вы используете локальную сеть класса A, то измените значения

#параметров:

#INTERFACE0_IN_REFUSE_SPOOFING[4]="yes"

#INTERFACE1_IN_REFUSE_SPOOFING[4]="no"

#NETWORK1_IN_REFUSE_SPOOFING[4]="no"

REFUSE_SPOOFING_IPADDR[4]="10.0.0.0/8"

INTERFACE0_IN_REFUSE_SPOOFING[4]="yes"

INTERFACE1_IN_REFUSE_SPOOFING[4]="yes"

NETWORK1_IN_REFUSE_SPOOFING[4]="yes"

#Refuse incoming packets claiming to be from class B private network

#Если вы используете локальную сеть класса B, то измените значения

#параметров:

#INTERFACE0_IN_REFUSE_SPOOFING[5]="yes"

#INTERFACE1_IN_REFUSE_SPOOFING[5]="no"

#NETWORK1_IN_REFUSE_SPOOFING[5]="no"

REFUSE_SPOOFING_IPADDR[5]="172.16.0.0/12"

INTERFACE0_IN_REFUSE_SPOOFING[5]="yes"

INTERFACE1_IN_REFUSE_SPOOFING[5]="yes"