8 Дослiдження механiзмiв забеспечення мережной безпеки
Linux спочатку замислювався як система з підтримкою роботи в мережі, а також вшитий в ядро підтримкою firewall. При відсутності підключення до мережі не потрібно забезпечувати про мережеву безпеку, тому що загроз з мережі бути не може. Забезпечення мережевої безпеки актуально тільки в тому випадку, коли ПК підключений до мережі Інтернет. Мережева безпека є доповнюючим ланкою локальної безпеки, які разом визначають загальну безпеку системи в цілому. В принципі, локальну безпеку можна вважати останнім бар'єром у загальну безпеку системи.
Для захисту локальної мережі використовується комплекс програмного забезпечення, відомий як firewall (брандмауер, мережевий екран). Брандмауер дозволяє відгородити систему від зовнішньої мережі. Він використовується для запобігання отримання сторонніми доступу до мережі, що захищається, а також для контролю за зовнішніми ресурсами, до яких мають доступ користувачі вашої мережі. Використання брандмауера (при правильній його конфігурації) може сильно ускладнити зломщику завдання. Найчастіше брандмауер - це програми маршрутизації і фільтрації мережевих пакетів. Такі програми дозволяють визначити, чи можна пропустити цей пакет і якщо можна, то відправити його точно за призначенням. Для того щоб брандмауер міг зробити це, йому необхідно визначити набір правил фільтрації. Основне завдання брандмауера - вирішувати функціонування тільки тим службам, яким було явно дозволено працювати у вашій мережі або що захищається комп'ютері.
У Linux Mint вбудований брандмауер представлений в консольному вигляді, а також у графічному вигляді (у вигляді надбудови над консольної версією) для зручного управління.
Консольний додаток називається iptables. Для роботи з протоколом IPv6 існує окрема версія утиліти - Ip6tables. Правила для ipv6 задаються окремо. Щоб мати змогу користуватися Iptables потрібні повноваження супер (root). У цю програму крім файлів документації та модулів, підвантажуваних в ядро і використовуваних для здійснення фільтрації за різними критеріями, включає наступні виконувані файли:
iptables - основна програма пакета, за допомогою якої проводиться маніпулювання правилами в ланцюжках. Ця програма дозволяє здійснювати з правилами і призначеними для користувача ланцюжками всі доступні дії.
iptables-save - програма, яка зберігає всі поточні правила в одному файлі для подальшого їх відновлення. У мене цей файл є /etc/iptables.rules.
iptables-restore - ця програма дозволяє зчитувати правила і ланцюжки, збережені раніше програмою iptables-save.
На рис. 8.1 показано схема роботи брандмауера.
Рисунок 8.1 – Схема брандмауера
Всі записи в iptables складаються з правил. Типи правил:
Input - відповідають за контроль поведінки вхідних з'єднань.
Forward - відповідають за обробку вхідних повідомлень, кінцевий пункт яких не є поточним сервером.
Output - Такі ланцюжки використовуються для вихідних з'єднань.
Структура команд: $ iptables -t таблиця дію ланцюжок дополнітельние_параметри. На прикладі ПК під управлінням Linux Mint можна розглянути управління і налаштування iptables.
На рис. 8.2 показана налаштування iptables.
Рисунок 8.2 – Скидання налаштувань iptables
На рис. 8.2 показаний процес скидання правил мережевого екрану. Установка стандартних правил проводилася з bash скрипта для більшого комфорту і можливості подальшої оптимізації. Після скидання система пропускала пакети в обидві сторони без обробки.
На рис. 8.3 показано налаштування мережевого екрану.
Рисунок 8.3 – Базове налаштування iptables
На рис. 8.3 показаний процес базової настройки правил мережевого екрану. Установка правил проводилася з bash скрипта для більшого комфорту і можливості подальшої оптимізації. Для комфорта налаштування проводилось iз-під root запису.
Висновки
У данiй курсовiй роботi я провiв дослiдження та опис функцiонування та побудови механiзмiв захисту в ОС Mint що вмонтованi до системи та доступнi одразу пiсля установки системи на диск.
В ходi роботи були розглянутi такi механiзми:
Механiзми аутентифiкацiї та авторизацiї користувачiв. Бібліотека PAM, її можливості, перелік модулів та їх опис, формат конфігураційних файлів PAM.
Механiзми управлiння облiковими записами. Додавання та видалення користувачів. Редагування облiкових записiв користувачiв. Структура файлу паролів, файлу з облiковими даними. Програми управління записами useradd, usermod і userdel, програма установки пароля користувача passwd.
Порядок надання дозволiв користувачам в ОС для доступа до ресурсiв системи. Вбудована система. Пакет програм Linux ACLs, листи обмеження доступу на основі розширених атрибутів. Використання програми getfacl та setfacl.
Механiзми шифрування iнформацiї в операцiйнiй системi. Типи шифрування. Практична реалiзацiя рiзних видiв шифрування в системi для пiдвищення безпеки iнформацiї. Повнодискове, шифрування ФС, шифрування окремих файлiв. Використання програми GPG для шифрування файлiв, створення та робота з ЕЦП.
Полiтика паролiв для облiкових записiв. Безпека зберiгання паролiв та даних облiкових записiв. Редагування конфiгурацiйних файлiв для управлiння полiтикою паролiв.
Можливості файлової системи ext4. Права доступу, атрибути файлiв. Програми консолi для зміни прав доступу для файлiв chmod, атрибути файлів. Програми для роботи з атрибутами chattr.
Резервне копiювання. Розглянув рiзнi види резервного копiювання данних. Дослiдив роботу, можливостi та можливостi рiзних типiв копiювання системи.
Механiзми забеспечення мережевой безпеки. Програмний пакет iptables. Використання iptables для налаштування мережевого екрана для безпечного користування мережею в ОС Linux.
Перелiк джерел та посилань
Алексей Стахнов «Linux. Наиболее полное руководство в подлиннике», 2-е издание
Марк Дж. Рочкинд «Программирование для UNIX. Наиболее полное руководство в подлиннике», 2-е издание
Эви Немеет, Гарт Снайдер, Скотт Сибасс, Трент Р.Хейн «UNIX. Руководство системного администратора для профессионалов», 3-е издани
"Linux. Руководство по операционной системе". Р. Петерсен.
"Операционная система UNIX". А. Робачевский.