Date: Sat, 16 May 2009 18:58:41 GMT From: Gabor Pali <pgj@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 162172 for review Message-ID: <200905161858.n4GIwf19061567@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=162172 Change 162172 by pgj@petymeg on 2009/05/16 18:57:49 MFen (doc): 1.86 -> 1.87 hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml Affected files ... .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml#16 edit Differences ... ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml#16 (text+ko) ==== @@ -7,7 +7,7 @@ <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> %SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml - %SRCID% 1.86 + %SRCID% 1.87 --> <chapter id="firewalls" lang="hu"> @@ -155,19 +155,38 @@ Csak azt a forgalmat engedik át, amirõl van szabály és minden mást blokkolnak.</para> - <para>Az inkluzív tûzfalak általában - biztonságosabbak az exkluzív - társaiknál, mivel esetükben jelentõs - mértékben visszaszorul a nem kívánatos - átfolyó forgalom.</para> + <para>Az inkluzív tûzfalak alkalmazásával + sokkal jobban kezünkbentudjuk tartani a + hálózatunk kimenõ forgalmát, + ezért leginkább az internetes + szolgáltatásokat futtató rendszerek + esetében bizonyulhat jobb választásnak. + Emellett az internetrõl a hálózatunk + felé irányuló forgalmat is képes + szabályozni. Ekkor az egyetlen szabályra sem + illeszkedõ csomagokat egyszerûen eldobjuk és + naplózzuk. Az inkluzív tûzfalak + általában biztonságosabbak az exkluzív + típusú társaiknál, mivel + esetükben jelentõs mértékben visszaszorul + a nem kívánatos átfolyó + forgalom.</para> + + <note> + <para>Hacsak nem emeljük ki külön, a fejezet + további részében minden + példaként megadott szabályrendszer + inkluzív tûzfalat hoz létre.</para> + </note> <para>Ez a típusú védelem még - tovább fokozható az <quote>állapottartó - tûzfalak</quote> (stateful firewall) - használatával. Ilyenkor a tûzfal szemmel - tartja a rajta keresztül megnyitott kapcsolatokat, és - vagy csak a már meglevõ kapcsolathoz tartozó - forgalmat engedi át, vagy nyit egy újat. Az + tovább fokozható az + <quote>állapottartó tûzfalak</quote> (stateful + firewall) használatával. Az ilyen + típusú tûzfalak szemmel tartják a rajtuk + keresztül megnyitott kapcsolatokat, és vagy csak a + már meglevõ kapcsolathoz tartozó forgalmat + engedik át vagy nyitnak egy újat. Az állapottartó tûzfalak hátránya, hogy a <quote>Denial of Service</quote> (<acronym>DoS</acronym>) típusú támadásokkal szemben sokkal @@ -199,10 +218,10 @@ beépített csomagot tartalmaz: ez az &man.altq.4; és a &man.dummynet.4;. Általában a Dummynet az <acronym>IPFW</acronym>, míg az <acronym>ALTQ</acronym> - a <acronym>PF</acronym> partnere. Az <acronym>IPFILTER</acronym> - esetében maga az <acronym>IPFILTER</acronym> végzi a - címfordítást és a szûrést, - a sávszélességet pedig az + a <acronym>PF</acronym> partnere. Az IPFILTER esetében + maga az IPFILTER végzi a címfordítást + és a szûrést, a + sávszélességet pedig az <acronym>IPFW</acronym> a &man.dummynet.4; <emphasis>vagy</emphasis> a <acronym>PF</acronym> az <acronym>ALTQ</acronym> segítségével. Az @@ -232,8 +251,7 @@ fejlécének bizonyos mezõinek alapján dolgozik, ezért a tûzfal szabályrendszerét megalkotó egyénnek - teljesen tisztában kell lennie a - <acronym>TCP</acronym>/<acronym>IP</acronym> + teljesen tisztában kell lennie a <acronym>TCP/IP</acronym> mûködésével, továbbá azzal, hogy ezekben a mezõkben milyen értékek szerepelhetnek és ezeket hogyan használják @@ -387,9 +405,9 @@ megoldásával párosítva így akár hibatûrõ tûzfalak is kialakíthatóak a <acronym>PF</acronym>-fel. A - <acronym>CARP</acronym>-ról bõvebb - ismertetést a kézikönyv <xref - linkend="carp">e ad.</para> + <acronym>CARP</acronym> megoldásáról a + kézikönyvben bõvebb ismertetést a <xref + linkend="carp"> ad.</para> <para>A <acronym>PF</acronym> rendszermag konfigurációs beállításai a @@ -592,10 +610,10 @@ <acronym>ALTQ</acronym> rendszert engedélyezi.</para> <para>Az <literal>options ALTQ_CBQ</literal> engedélyezi a - osztályozás alapú besorolást (Class - Based Queuing, <acronym>CBQ</acronym>). A - <acronym>CBQ</acronym> használatával a - kapcsolatunkhoz tartozó + osztályozás alapú besorolást + (<emphasis>Class Based Queuing</emphasis>, + <acronym>CBQ</acronym>). A <acronym>CBQ</acronym> + használatával a kapcsolatunkhoz tartozó sávszélességet különbözõ osztályokra vagy sorokra tudjuk bontani és a szûrési @@ -603,17 +621,18 @@ segítségükkel a forgalmat.</para> <para>Az <literal>options ALTQ_RED</literal> a véletlen - korai észlelés (Random Early Detection, - <acronym>RED</acronym>) használatát - engedélyezi. A <acronym>RED</acronym> a - hálózati forgalomban keletkezõ - torlódások elkerülésére - alkalmas. A <acronym>RED</acronym> ezt a - problémát úgy oldja meg, hogy méri a - sorok hosszát és összeveti a - hozzátartozó minimális és - maximális küszöbértékekkel. Ha a - sor hossza meghaladja a számára elõírt + korai észlelés (<emphasis>Random Early + Detection</emphasis>, <acronym>RED</acronym>) + használatát engedélyezi. A + <acronym>RED</acronym> a hálózati forgalomban + keletkezõ torlódások + elkerülésére alkalmas. A + <acronym>RED</acronym> ezt a problémát úgy + oldja meg, hogy méri a sorok hosszát és + összeveti a hozzátartozó minimális + és maximális + küszöbértékekkel. Ha a sor hossza + meghaladja a számára elõírt maximális értéket, akkor az új csomagokat eldobja. Nevéhez hûen a <acronym>RED</acronym> az eldobásra ítélt @@ -627,18 +646,19 @@ <para>Az <literal>options ALTQ_HFSC</literal> a pártatlan hierachikus szolgáltatási görbe alapú - csomagütemezõt (Hierarchical Fair Service Curve Packet - Scheduler, <acronym>HFSC</acronym>) engedélyezi. Vele - kapcsolatban a <ulink - url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>; + csomagütemezõt (<emphasis>Hierarchical Fair Service + Curve Packet Scheduler</emphasis>, <acronym>HFSC</acronym>) + engedélyezi. Vele kapcsolatban a <ulink + url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>; címen találhatunk bõvebben olvasnivalót (angolul).</para> <para>Az <literal>options ALTQ_PRIQ</literal> a prioritásos - besorolást (Priority Queuing, <acronym>PRIQ</acronym>) - teszi elérhetõvé. A <acronym>PRIQ</acronym> - mindig elsõként a nagyobb értékû - sorban levõ forgalmat továbbítja.</para> + besorolást (<emphasis>Priority Queuing</emphasis>, + <acronym>PRIQ</acronym>) teszi elérhetõvé. A + <acronym>PRIQ</acronym> mindig elsõként a nagyobb + értékû sorban levõ forgalmat + továbbítja.</para> <para>Az <literal>options ALTQ_NOPCC</literal> az <acronym>ALTQ</acronym> <acronym>SMP</acronym>, vagyis @@ -657,11 +677,6 @@ <secondary>IPFILTER</secondary> </indexterm> - <note> - <para>Ez a szakasz fejlesztés alatt áll. Ennek - megfelelõen a tartalma nem minden esetben pontos.</para> - </note> - <para>Az IPFILTER szerzõje Darren Reed. Az IPFILTER nem kötõdik egyik rendszerhez sem: ez egy olyan nyílt forráskódú alkalmazás, amelyet @@ -700,10 +715,10 @@ drámai mértékben korszerûsítették a szabályok feldolgozásának elvét. Az IPF hivatalos - dokumentációja tartalmazza a régi - szabályok létrehozását és azok - feldolgozásának leírását. A - korszerûsített funkciók csak + dokumentációja csak a régi szabályok + létrehozását és azok + feldolgozásának leírását + tartalmazza. A korszerûsített funkciók csak kiegészítésképpen jelennek meg, és az általuk felkínált elõnyök megértése egy sokkal magasabb @@ -718,34 +733,20 @@ tûzfalszabályok létrehozásának alapjai.</para> - <para>Az inkluzív tûzfalak csak olyan csomagokat - engednek keresztül, amelyek megfelelnek a - szabályoknak. Ezen módon képesek vagyunk - megmondani, hogy a tûzfal mögül milyen - szolgáltatások érhetõek el az interneten - és segítségével azt is megadhatjuk, - hogy az internetrõl a belsõ hálózatunkon - milyen szolgáltatásokat érhetnek el. A - tûzfal alapból minden mást visszautasít - és naplóz. Az inkluzív tûzfalak sokkal, - de sokkal megbízhatóbbak az exkluzív - tûzfalaknál, ezért itt most csak ilyenekkel - foglalkozunk.</para> - <para>A régi típusú szabályokról a <ulink - url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>; + url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>; és <ulink - url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>; + url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>; címeken olvashatunk (angolul).</para> <para>Az IPF gyakran ismételt kérdései a <ulink - url="http://www.phildev.net/ipf/index.html"></ulink>; címen + url="http://www.phildev.net/ipf/index.html"></ulink>; címen érhetõek el (angolul).</para> <para>A nyílt forrású IPFILTER levelezési lista kereshetõ archívumait a <ulink - url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>; + url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>; címen találjuk (angolul).</para> <sect2> @@ -881,8 +882,8 @@ <indexterm><primary><command>ipf</command></primary></indexterm> - <para>Az <command>ipf</command> parancs használható - a szabályokat tartalmazó állomány + <para>Az &man.ipf.8; parancs használható a + szabályokat tartalmazó állomány betöltésére. Általában egy állományba írjuk össze a tûzfal szabályait és ezzel a paranccsal @@ -1049,7 +1050,7 @@ <para>Az <command>ipmon</command> megfelelõ mûködéséhez be kell kapcsolnunk a - rendszermag IPFILTER_LOG + rendszermag <literal>IPFILTER_LOG</literal> beállítását. Ez a parancs két különbözõ módban használható. Ha parancsot a <option>-D</option> @@ -1065,7 +1066,7 @@ &os; beépítve tartalmaz olyan lehetõséget, aminek révén magától cseréli a rendszernaplókat. - Ezért ha átküldjük a syslogd + Ezért ha átküldjük a &man.syslogd.8; démonnak a naplózandó üzeneteket, akkor sokkal jobban járunk, mintha egyszerûen csak mezei állományba naplóznánk. Az @@ -1141,12 +1142,13 @@ <screen>&prompt.root; <userinput>touch /var/log/ipfilter.log</userinput></screen> - <para>A syslog mûködését az + <para>A &man.syslogd.8; mûködését az <filename>/etc/syslog.conf</filename> állományban szereplõ definíciók vezérlik. A <filename>syslog.conf</filename> állomány számottevõ mértékben képes - meghatározni azt, ahogy a syslog az IPF és a + meghatározni azt, ahogy a + <application>syslog</application> az IPF és a hozzá hasonló alkalmazásoktól kapott rendszerszintû üzeneteket kezeli.</para> @@ -1167,8 +1169,8 @@ újraindítjuk a számítógépet vagy az <command>/etc/rc.d/syslogd reload</command> paranccsal - megkérjük a syslog programot, hogy olvassa - újra az <filename>/etc/syslog.conf</filename> + megkérjük a &man.syslogd.8; démont, hogy + olvassa újra az <filename>/etc/syslog.conf</filename> állományt.</para> <para>Az imént létrehozott naplót ne @@ -1203,7 +1205,7 @@ </listitem> <listitem> - <para>Annak a felületnek a neve, ahol a csomag + <para>Azon interfész a neve, ahol a csomag feldolgozásra került, például <devicename>dc0</devicename></para> </listitem> @@ -1295,8 +1297,9 @@ következõ példában láthatjuk.</para> - <para>Az itt alkalmazott felírás kompatibilis az sh, - csh és tcsh parancsértelmezõkkel.</para> + <para>Az itt alkalmazott felírás kompatibilis az + &man.sh.1;, &man.csh.1; és &man.tcsh.1; + parancsértelmezõkkel.</para> <para>A szimbolikus helyettesítést egy dollárjellel fejezzük ki: @@ -1314,7 +1317,7 @@ <programlisting>######### Az IPF szabályait tartalmazó szkript eleje ########### -oif="dc0" # a kimenõ felület neve +oif="dc0" # a kimenõ interfész neve odns="192.0.2.11" # az internet szolgáltató névszerverének IP-címe myip="192.0.2.7" # a szolgáltatótól kapott statikus IP-címünk ks="keep state" @@ -1389,7 +1392,8 @@ állományba.</para> <para>Tegyünk egy, az alábbi szkripthez - hasonlót az <filename>/usr/local/etc/rc.d/</filename> + hasonlót az <filename + class="directory">/usr/local/etc/rc.d/</filename> könyvtárba. A szkriptnek adjuk valamilyen értelmes nevet, például <filename>ipf.loadrules.sh</filename>. Az @@ -1416,24 +1420,29 @@ <sect2> <title>Szabályrendszerek az IPF-ben</title> - <para>Az ipf esetében a szabályrendszer olyan + <para>Az IPF esetében a szabályrendszer olyan szabályokból áll, amelyek a csomagokról tartalmuk alapján eldöntik, hogy át kell engedni vagy vissza kell tartani. A gépek közt két irányban áramló csomagok egy munkamenet alapú társalgást - képeznek. A tûzfal szabályrendszere minden - csomagot kétszer dolgoz fel: egyszer, amikor befut az - internetrõl, illetve még egyszer, amikor - visszatér az internetre. Mindegyik TCP/IP - szolgáltatást (például telnet, www, - levelezés stb.) elõre meghatározza a - hozzátartozó protokoll, cél és - forrás IP-cím vagy port. Ez az alapja a - szolgáltatások - engedélyezésérõl vagy - tiltásáról szóló - szabályok megfogalmazásának.</para> + képeznek. A tûzfalhoz tartozó + szabályrendszer egyaránt feldolgozza a + internetrõl a hálózatunk felé + igyekvõ csomagokat, illetve a hálózatunk + ezekre adott válaszait. Az egyes + <acronym>TCP/IP</acronym> szolgáltatásokat (mint + például telnet, www, levelezés stb.) a + hozzájuk tartozó protokol és + szabványos (fogadó) portszám írja + le. Ezekre a forrásról általában + valamilyen nem szabványos (magasabb + értékû) portról érkeznek + csomagok. Ekkor a kommunikáció összes + paramétere (vagyis a portok és címek) + bármelyike alapján definiálhatunk + blokkolást vagy továbbengedést + leíró szabályokat.</para> <indexterm> <primary>IPFILTER</primary> @@ -1462,20 +1471,6 @@ létrehozásának egyik alapeszköze.</para> - <para>Az inkluzív tûzfalak csak olyan - szolgáltatásokat engednek át, amelyek - megfelelnek valamelyik szabálynak. Ezzel - lényegében meg tudjuk adni, hogy milyen - szolgáltatások érhetõek el a - tûzfal mögül az internet felé, valamint az - internetrõl a magánhálózatunkon. A - tûzfal minden mást elutasít és - alapértelmezés szerint naplóz. Az - inkluzív tûzfalak sokkal, de sokkal - biztonságosabbak az exkluzív - tûzfalaknál, ezért itt most csak ezzel az - egyetlen típussal foglalkozunk.</para> - <warning> <para>A tûzfal szabályainak összeállítása során @@ -1540,7 +1535,7 @@ <para><replaceable>BE-KI</replaceable> = in | out</para> <para><replaceable>OPCIÓK</replaceable> = log | quick | on - <replaceable>felületnév</replaceable></para> + <replaceable>interfész</replaceable></para> <para><replaceable>SZÛRÉS</replaceable> = proto <replaceable>érték</replaceable> | @@ -1595,20 +1590,19 @@ esetében kötelezõ egyértelmûen nyilatkozunk arról, hogy a bemenõ vagy a kimenõ forgalomra vonatkozik. Ezért a - következõ kulcsszó vagy az <quote>in</quote> - vagy pedig az <quote>out</quote>, de közülük - egyszerre csak az egyiket szabad használni, - máskülönben a szabály hibásnak - minõsül.</para> + következõ kulcsszó vagy az + <literal>in</literal> vagy pedig az <literal>out</literal>, de + közülük egyszerre csak az egyiket szabad + használni, máskülönben a + szabály hibásnak minõsül.</para> <para>Az <literal>in</literal> jelenti, hogy a szabályt - az internet felõl az adott felületen + az internet felõl az adott interfészen beérkezõ csomagokra kell alkalmazni.</para> <para>Az <literal>out</literal> jelenti, hogy a szabályt - az internet felé az adott felületen + az internet felé az adott interfészen kiküldött csomagokra kell alkalmazni.</para> - </sect3> <sect3> @@ -1640,10 +1634,10 @@ <para>Az <literal>on</literal> használatával a szûrés feltételei közé bevonhatjuk a csomaghoz tartozó hálózati - felületet. Itt a felületek az &man.ifconfig.8; - által megjelenített formában - adhatóak meg. Az opció - megadásával csak az adott felületen az + interfészt. Itt az interfészek az + &man.ifconfig.8; által megjelenített + formában adhatóak meg. Az opció + megadásával csak az adott interfészen az adott irányba (befelé/kifelé) közlekedõ csomagokra fog illeszkedni a szabály. Ez az opció a @@ -1652,12 +1646,12 @@ nélkülözhetetlen.</para> <para>Amikor naplózunk egy csomagot, akkor a - hozzátartozó fejléc az IPL - csomagnaplózó pszeudo eszközhöz - kerül. A log kulcsszó után - közvetlenül a következõ - minõsítõk szerepelhetnek (a - következõ sorrendben):</para> + hozzátartozó fejléc az + <acronym>IPL</acronym> csomagnaplózó pszeudo + eszközhöz kerül. A <literal>log</literal> + kulcsszó után közvetlenül a + következõ minõsítõk szerepelhetnek + (a következõ sorrendben):</para> <para>A <literal>body</literal> jelzi, hogy a csomag tartalmának elsõ 128 byte-ját még @@ -1665,13 +1659,12 @@ <para>A <literal>first</literal> minõsítõt akkor érdemes használnunk, amikor a - <literal>log</literal> kulcsszót a <quote>keep - state</quote> opcióval együtt alkalmazzuk, mivel + <literal>log</literal> kulcsszót a <literal>keep + state</literal> opcióval együtt alkalmazzuk, mivel ilyenkor csak a szabályt kialakító csomag kerül naplózásra és nem minden olyan, ami illeszkedik az állapottartási feltételekre.</para> - </sect3> <sect3> @@ -1732,15 +1725,17 @@ felépítése: a <literal>from</literal> és <literal>to</literal> kulcsszavak az IP-címek illesztésére használhatóak. - Ilyenkor a szabályokban a forrás ÉS a - cél paramétereknek is szerepelniük kell. - Az <literal>any</literal> egy olyan speciális + Ilyenkor a szabályokban a forrás + <emphasis>és</emphasis> a cél + paramétereknek is szerepelniük kell. Az + <literal>any</literal> egy olyan speciális kulcsszó, amely tetszõleges IP-címre illeszkedik. Néhány példa az - alkalmazására: <quote>from any to any</quote> - vagy <quote>from 0.0.0.0/0 to any</quote>, <quote>from any to - 0.0.0.0/0</quote>, <quote>from 0.0.0.0/0 to any</quote> vagy - <quote>from any to 0.0.0.0</quote>.</para> + alkalmazására: <literal>from any to + any</literal> vagy <literal>from 0.0.0.0/0 to any</literal>, + <literal>from any to 0.0.0.0/0</literal>, <literal>from + 0.0.0.0/0 to any</literal> vagy <literal>from any to + 0.0.0.0</literal>.</para> <para>Az IP-címek megadhatóak pontozott numerikus formában a hálózati maszk bitekben @@ -1749,12 +1744,16 @@ <para>Nincs lehetõség olyan IP-címtartományok illesztésére, - amelyek nem adhatóak meg kényelmesen a maszk - hosszával. A hálózati maszkok - hosszának megállapításban - segíthet a következõ (angol nyelvû) - honlap: <ulink url="http://jodies.de/ipcalc"></ulink>.</para>; - + amelyek nem adhatóak meg kényelmesen ponttal + elválasztott számok és maszk + hosszával. A <filename + role="package">net-mgmt/ipcalc</filename> port az ilyen + számításokat könnyíti meg. A + hálózati maszkok hosszának + megállapításban segíthet az + említett segédprogram (angol nyelvû) + honlapja: <ulink + url="http://jodies.de/ipcalc"></ulink>.</para>; </sect3> <sect3> @@ -1769,18 +1768,19 @@ portok számát vagy az <filename>/etc/services</filename> állományban szereplõ nevüket. Amikor a port egy - <quote>from</quote> típusú objektum + <literal>from</literal> típusú objektum leírásában jelenik meg, akkor automatikusan a forrásportot jelenti, míg a - <quote>to</quote> objektum leírásában + <literal>to</literal> objektum leírásában pedig a célportot. A <literal>to</literal> objektumoknál a port megadása elengedhetetlen a korszerûsített szabályfeldolgozás elõnyeinek kihasználásához. - Példa: <quote>from any to any port = 80</quote>.</para> + Példa: <literal>from any to any port = + 80</literal>.</para> - <para>A portokat különbözõ mûveletek - segítségével, numerikusan + <para>Az egyes portokat különbözõ + mûveletek segítségével, numerikusan hasonlíthatjuk össze, ahol akár porttartományt is megadhatunk.</para> @@ -1799,7 +1799,6 @@ korszerûsített szabályfeldolgozás mûködéséhez.</para> </warning> - </sect3> <sect3> @@ -1884,7 +1883,7 @@ <para>Ami ilyenkor történik:</para> - <para>Az internethez csatlakozó felületen + <para>Az internethez csatlakozó interfészen keresztül kifelé haladó csomagokat elõször egy dinamikus állapottábla alapján illesztjük, és ha a csomag @@ -1892,20 +1891,22 @@ következõként várt csomagra, akkor átmegy a tûzfalon és a dinamikus állapottáblában frissül a kapcsolat - állapota, a fennmaradó csomagok pedig a - kimenõ szabályrendszer szerint kerülnek + állapota. Az aktív munkameneten kívül + csomagok pedig egyszerûen a kimenõ + szabályrendszer szerint kerülnek ellenõrzésre.</para> <para>Hasonlóan az elõzõhöz, az internethez - csatlakozó felületen keresztül befelé - haladó csomagokat elõször egy dinamikus - állapottábla alapján illesztjük, - és ha a csomag illeszkedik az aktív kapcsolatban - következõként várt csomagra, akkor - átmegy a tûzfalon és a dinamikus - állapottáblában frissül a kapcsolat - állapota, a fennmaradó csomagok pedig a - bejövõ szabályrendszer szerint kerülnek + csatlakozó interfészen keresztül + befelé haladó csomagokat elõször egy + dinamikus állapottábla alapján + illesztjük, és ha a csomag illeszkedik az + aktív kapcsolatban következõként + várt csomagra, akkor átmegy a tûzfalon + és a dinamikus állapottáblában + frissül a kapcsolat állapota. Az aktív + munkamenethez nem tartozó csomagok pedig egyszerûen + a bejövõ szabályrendszer szerint kerülnek ellenõrzésre.</para> <para>Amikor egy kapcsolat befejezõdik, automatikusan @@ -1929,7 +1930,6 @@ nyújtani a behatolók részérõl alkalmazott megannyi különbözõ támadási módszer ellen.</para> - </sect2> <sect2> @@ -1942,67 +1942,82 @@ inkluzív tûzfalak csak a szabályainak megfelelõ szolgáltatásokat engedik keresztül, és alapértelmezés szerint - minden mást blokkolnak. Minden tûzfal - legalább két felülettel dolgozik, melyek - mindegyikéhez írnunk kell szabályokat a - tûzfal megfelelõ - mûködéséhez.</para> + minden mást blokkolnak. Egy hálózat + gépeit védõ tûzfalnak, amelyet gyakran + <quote>hálózati tûzfalnak</quote> (network + firewall) is neveznek, legalább két + hálózati interfésszel kell rendelkeznie. + Ezeket az interfészeket általában + úgy állítják be, hogy + tökéletesen megbíznak az egyik oldalban (a + helyi hálózatban), a másikban (az + internetben) pedig egyáltalán nem. A + tûzfalat egyébként úgy is + beállíthatjuk, hogy csak a tûzfalat + mûködtetõ gépet védje — ezt + <quote>egyrendszeres tûzfalnak</quote> (host based + firewall) nevezik. Az ilyen típusú + megoldásokat nem biztonságos + hálózaton keresztül kommunikáló + szervereknél alkalmaznak.</para> <para>Mindegyik &unix;-típusú rendszert, köztük a &os;-t is úgy alakították ki, hogy az operációs rendszeren belüli kommunikáció az - <devicename>lo0</devicename> felületen és a <hostid - role="ipaddr">127.0.0.1</hostid> IP-címen keresztül - történik. A tûzfal szabályai - között feltétlenül szerepelniük kell - olyanoknak, amelyek lehetõvé teszik ezen a - speciális felületen a csomagok zavartalan - mozgását.</para> + <devicename>lo0</devicename> interfészen és a + <hostid role="ipaddr">127.0.0.1</hostid> IP-címen + keresztül történik. A tûzfal + szabályai között feltétlenül + szerepelniük kell olyanoknak, amelyek lehetõvé + teszik ezen a speciális intefészen a csomagok + zavartalan mozgását.</para> - <para>Az internetre csatlakozó felülethez kell - rendelni a kifelé haladó forgalom - hitelesítését és az internetrõl - befelé irányuló - hozzáférés vezérlését. - Ez lehet a felhasználói PPP által - létrehozott <devicename>tun0</devicename> felület - vagy a DSL-, illetve kábelmodemhez csatlakozó + <para>Az internetre csatlakozó interfészhez kell + rendelni a kifelé és befelé haladó + forgalom hitelesítését é a + hozzáférésének + vezérlését. Ez lehet a + felhasználói PPP által létrehozott + <devicename>tun0</devicename> interfész vagy a DSL-, + illetve kábelmodemhez csatlakozó hálózati kártya.</para> <para>Ahol egy vagy több hálózati kártya - is csatlakozik a tûzfal mögött elhelyezkedõ - helyi magánhálózathoz, ott ezeket a - felületeket úgy kell felvenni a tûzfal - szabályai közé, hogy a helyi - hálózaton zajló forgalmat ne - akadályozzuk.</para> + is csatlakozik több különbözõ helyi + hálózathoz, úgy kell + beállítani a hozzájuk tartozó + interfészeket, hogy egymás felé és + az internet felé képesek legyenek küldeni + és fogadni.</para> <para>A szabályokat elõször három nagy - csoportba kell szerveznünk: az összes szabadon - forgalmazó felület, az internet felé - haladó kimenõ forgalom és az internet - felõl befelé haladó forgalom.</para> + csoportba kell szerveznünk: elõször jönnek a + megbízható interfészek, ezeket követik + az internet felé mutató interfészek, + végül internet felõl jövõ, nem + megbízható interfészeke.</para> <para>Az egyes csoportokban szereplõ szabályokat úgy kell megadni, hogy közülük elõre kerüljenek a leggyakrabban alkalmazottak, és a csoport utolsó szabálya blokkoljon és - naplózzon minden csomagot az adott felületen + naplózzon minden csomagot az adott interfészen és irányban.</para> <para>A kimenõ forgalomat vezérlõ - szabályrendszer csak <quote>pass</quote> (tehát - átengedõ) szabályokat tartalmazhat, amelyek - bentrõl az interneten elérhetõ - szolgáltatásokat azonosítják - egyértelmûen. Az összes ilyen - szabályban meg kell jelenni a <quote>quick</quote>, - <quote>on</quote>, <quote>proto</quote>, <quote>port</quote> - és <quote>keep state</quote> - beállításoknak. A <quote>proto tcp</quote> - szabályok esetében meg kell adni a - <quote>flag</quote> opciót is, amivel fel tudjuk + szabályrendszer csak <literal>pass</literal> + (tehát átengedõ) szabályokat + tartalmazhat, amelyek bentrõl az interneten + elérhetõ szolgáltatásokat + azonosítják egyértelmûen. Az + összes ilyen szabályban meg kell jelenni a + <literal>quick</literal>, <literal>on</literal>, + <literal>proto</literal>, <literal>port</literal> és + <literal>keep state</literal> + beállításoknak. A <literal>proto + tcp</literal> szabályok esetében meg kell adni a + <literal>flag</literal> opciót is, amivel fel tudjuk ismertetni a kapcsolatok keletkezését és ezen keresztül aktiválni az állapottartást.</para> @@ -2010,53 +2025,57 @@ <para>A bejövõ forgalmat vezérlõ szabályrendszerben elõször az eldobni kívánt csomagokat kell megadni, aminek két - eltérõ oka van. Elõször is a blokkolt - elemek lehetnek egy egyébként szabályos - csomag részei, amit a késõbbiekben a - hitelesített szolgáltatások alapján - beengedünk. Másodszor ezzel az olyan - rendszertelenül érkezõ csomagokat tudjuk - blokkolni, amelyeket nem akarunk a naplóban látni, - mivel ilyenkor a csoport utolsójaként megadott - blokkoló és naplózó - szabályhoz már nem jut el. A csoport - utolsó tagjaként megadott szabály blokkolja - és naplózza az illétektelen - hozzáféréseket, amit akár jogi - bizonyítékként is felhasználhatunk a - rendszerünket megtámadók ellen.</para> + eltérõ oka van. Elõször is + elõfordulhat, hogy a veszélyes csomagok + részleges illeszkedés miatt szabályosnak + tûnnek. Az ilyen csomagokat értelemszerûen nem + lenne szabad beengedni a szabályok részleges + megfelelése alapján. A másodszor az eleve + ismerten problémás és értelmetlen + csomagokat csendben el kellene vetni, mielõtt a szakaszhoz + tartozó utolsó szabály fogná meg + és naplózná. Ez az utolsó + szabály egyébként szükség + esetén felhasználható a + támadók elleni bizonyítékok + begyûjtésére.</para> <para>A másik, amire még oda kell figyelnünk, hogy a blokkolt csomagok esetében semmilyen válasz - nem keletkezik, egyszerûen csak eltûnnek. Így - a támadó nem fogja tudni, hogy a csomagjai vajon - elérték-e a rendszerünket. Minél - kevesebb információt tudnak + nem keletkezzen, egyszerûen csak tûnjenek el. + Így a támadó nem fogja tudni, hogy a + csomagjai vajon elérték-e a rendszerünket. + Minél kevesebb információt tudnak összegyûjteni a rendszerünkrõl a támadók, annál több idõt kell szánniuk csínytevéseik - kieszelésére. Javasolt a beérkezõ - <quote>OS fingerprint</quote> jellegû - kéréseket az elsõ alkalmommal - naplózni, mert ez az elsõ jele annak, amikor valaki - meg akar támadni minket.</para> + kieszelésére. A <literal>log first</literal> + opciót tartalmazó szabályok csak az + illeszkedésnél fogják naplózni a + hozzájuk tartozó eseményt. Erre + láthatunk példát az <literal>nmap OS + fingerprint</literal> szabálynál. Az <filename + role="package">security/nmap</filename> segédprogramot + a támadók gyakran alkalmazzák a + megtámadni kívánt szerver + operációs rendszerének + felderítésére.</para> - <para>Amikor a <quote>log first</quote> szabály - alapján keletkezõ üzeneteket akarjuk - látni, hívjuk meg a <command>ipfstat - -hio</command> parancsot, ahol megjelenik, hogy melyik - szabályra mennyi csomag illeszkedett. Ennek - alapján el tudjuk dönteni, hogy éppen - elárasztanak-e bennünket, tehát meg akarnak-e - támadni.</para> + <para>Minden <literal>log first</literal> opcióval megadott + szabály illeszkedésénél a + <command>ipfstat -hio</command> parancs + meghatározódik az eddigi illeszkedések + aktuális száma. Nagyobb értékek + esetében következtethetünk arra, hogy a + rendszerünket megtámadták (vagyis csomagokkal + árasztják éppen el).</para> - <para>Ha ismeretlen porthoz tartozó csomagokat - naplózunk, akkor az <filename>/etc/services</filename> - állományban vagy a <ulink - url="http://www.securitystats.com/tools/portsearch.php"></ulink>; - (angol nyelvû) honlap segítségével - tudjuk kideríteni, hogy pontosan melyik portról - van szó.</para> + <para>Az ismeretlen portszámok + felderítésére az + <filename>/etc/services</filename> állomány, + esetleg a <ulink + url="http://www.securitystats.com/tools/portsearch.php"></ulink>; + (angol nyelvû) honlap használható.</para> <para>Érdemes továbbá megnézni a trójai programok által használt portokat a @@ -2066,26 +2085,26 @@ <para>A következõ szabályrendszer egy olyan biztonságos <quote>inkluzív</quote> - típusú tûzfal, amelyet maga a szerzõ is - használ. Ha ezt átvesszük egy az egyben, - akkor abból semmilyen bajunk nem származhat. - Egyszerûen csak vegyük ki azokat a szabályokat, - amelyek olyan szolgáltatásokra vonatkoznak, amiket - nem akarunk hitelesíteni.</para> + típusú tûzfal, amelyet éles rendszeren + is használnak. Ezt a rendszerünkön nem + használt szolgáltatásokra vonatkozó + <literal>pass</literal> szabályok + törlésével könnyedén a + saját igényeink szerint + alakíthatjuk.</para> - <para>Ha nem akarunk látni bizonyos üzeneteket a - naplóban, akkor vegyünk fel hozzájuk egy - <quote>block</quote> típusú szabályt a - befelé irányuló forgalomhoz tartozó + <para>Ha nem akarunk látni bizonyos üzeneteket, akkor + vegyünk fel hozzájuk egy <literal>block</literal> + típusú szabályt a befelé + irányuló forgalomhoz tartozó szabályok közé.</para> - <para>Ne felejtsük el minden szabályban - átírni a <devicename>dc0</devicename> felület - nevét annak a hálózati - kártyának a felületére, amelyen - keresztül csatlakozunk az internethez. A - felhasználói PPP esetében ez a - <devicename>tun0</devicename> lesz.</para> + <para>A szabályokban írjuk át a + <devicename>dc0</devicename> interfész nevét annak + a hálózati kártyának az + interfészére, amelyen keresztül csatlakozunk + az internethez. A felhasználói PPP + esetében ez a <devicename>tun0</devicename> lesz.</para> <para>Tehát a következõket kell beírni az <filename>/etc/ipf.rules</filename> @@ -2100,13 +2119,13 @@ #pass in quick on xl0 all ################################################################# -# A belsõ felületen szintén ne korlátozzunk semmit. +# A belsõ interfészen szintén ne korlátozzunk semmit. ################################################################# pass in quick on lo0 all pass out quick on lo0 all ################################################################# -# Az internet felé forgalmazó felület (kimenõ kapcsolatok) +# Az internet felé forgalmazó interfész (kimenõ kapcsolatok) # A saját hálózatunkról belülrõl vagy errõl az átjáróról # kezdeményezett kapcsolatokat vizsgáljuk az internet felé. ################################################################# @@ -2155,14 +2174,14 @@ # mindenképpen szükségünk lesz. pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state -# Kifelé engedélyezzük a biztonságos FTP, telnet és SCP szolgáltatások -# elérését az SSH (secure shell) használatával. +# Kifelé engedélyezzük az ssh/sftp/scp # (biztonságos telnet/rlogin/FTP) +# szolgáltatások # elérését az SSH (secure shell) használatával. pass out quick on dc0 proto tcp from any to any port = 22 flags S keep state # Kifelé engedélyezzük a nem biztonságos telnet elérését. pass out quick on dc0 proto tcp from any to any port = 23 flags S keep state -# Kifelé engedélyezzük FreeBSD CVSUP funkcióját. +# Kifelé engedélyezzük FreeBSD CVSUp funkcióját. pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state # Kifelé engedélyezzük a pinget. @@ -2172,12 +2191,11 @@ pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state # Minden mást eldobunk és naplózzuk az elsõ elõfordulásukat. -# Ezzel a szabállyal állítjuk be, hogy alapértelmezés szerint minden -# blokkolva legyen. +# Ez a szabály blokkol alapértelmezés szerint mindent. block out log first quick on dc0 all ################################################################# -# Az internet felõli felület (bejövõ kapcsolatok) +# Az internet felõli interfész (bejövõ kapcsolatok) # A saját hálózatunk felé vagy erre az átjáróra # nyitott kapcsolatokat vizsgáljuk az internet felõl. ################################################################# @@ -2248,19 +2266,17 @@ # Töröljük ezt a szabályt, ha nem használunk telnet szervert. #pass in quick on dc0 proto tcp from any to any port = 23 flags S keep state -# Befelé engedélyezzük az internetrõl érkezõ biztonságos FTP, telnet és SCP -# kapcsolatokat az SSH (secure shell) használatával. +# Befelé engedélyezzük az internetrõl # érkezõ ssh/sftp/scp (biztonságos +# telnet/rlogin/FTP) # kapcsolatokat az SSH (secure shell) használatával. pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state # Minden mást dobjuk el és naplózzuk az elsõ elõfordulásukat. # Az elsõ alkalom naplózásával elejét tudjuk venni a "Denial of # Service" típusú támadásoknak, amivel egyébként lehetséges lenne a # napló elárasztása. -# Ez a szabály gondoskodik arról, hogy a rendszer alapértelmezés -# szerint mindent eldobjon. +# Ez a szabály blokkol alapértelmezés szerint mindent. block in log first quick on dc0 all ################### Itt van a szabályok vége ##############################</programlisting> - </sect2> <sect2> @@ -2278,8 +2294,8 @@ <see>NAT</see> </indexterm> - <para>A <acronym>NAT</acronym> jelentése <quote>Network - Address Translation</quote>, vagyis hálózati + <para>A <acronym>NAT</acronym> jelentése <emphasis>Network + Address Translation</emphasis>, vagyis hálózati címfordítás. A &linux; esetében ezt <quote>IP masqueradingnak</quote>, vagyis IP maszkolásnak hívják. A hálózati @@ -2301,9 +2317,8 @@ utal, hogy a címünk minden alkalommal változik, amikor betárcsázunk a szolgáltatóhoz vagy amikor ki- és - bekapcsoljuk a modemünket. Ez az IP-cím lesz az, - ami alapján az interneten elérhetõek - leszünk.</para> + bekapcsoljuk a modemünket. Ez a dinamikus IP-cím + fog azonosítani minket az interneten.</para> <para>Most tegyük fel, hogy öt gépünk van otthon, viszont csak egyetlen elõfizetéssel @@ -2329,22 +2344,6 @@ esetében mindez visszafelé történik meg.</para> - <para>A hálózati címfordítás - gyakran a szolgáltató engedélye vagy - éppen tudta nélkül történik, - és ha a szolgáltató rájön, - akkor a legtöbb esetben ez az elõfizetés - megszûntetésével jár. Az üzleti - felhasználók jóval többet fizetnek az >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200905161858.n4GIwf19061567>