From owner-p4-projects@FreeBSD.ORG Sat May 16 18:58:42 2009 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 100F61065674; Sat, 16 May 2009 18:58:42 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id AA1F01065672 for ; Sat, 16 May 2009 18:58:41 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id 97B918FC1C for ; Sat, 16 May 2009 18:58:41 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.3/8.14.3) with ESMTP id n4GIwfJW061569 for ; Sat, 16 May 2009 18:58:41 GMT (envelope-from pgj@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.3/8.14.3/Submit) id n4GIwf19061567 for perforce@freebsd.org; Sat, 16 May 2009 18:58:41 GMT (envelope-from pgj@FreeBSD.org) Date: Sat, 16 May 2009 18:58:41 GMT Message-Id: <200905161858.n4GIwf19061567@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to pgj@FreeBSD.org using -f From: Gabor Pali To: Perforce Change Reviews Cc: Subject: PERFORCE change 162172 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 16 May 2009 18:58:42 -0000 http://perforce.freebsd.org/chv.cgi?CH=162172 Change 162172 by pgj@petymeg on 2009/05/16 18:57:49 MFen (doc): 1.86 -> 1.87 hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml Affected files ... .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml#16 edit Differences ... ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml#16 (text+ko) ==== @@ -7,7 +7,7 @@ @@ -155,19 +155,38 @@ Csak azt a forgalmat engedik át, amirõl van szabály és minden mást blokkolnak. - Az inkluzív tûzfalak általában - biztonságosabbak az exkluzív - társaiknál, mivel esetükben jelentõs - mértékben visszaszorul a nem kívánatos - átfolyó forgalom. + Az inkluzív tûzfalak alkalmazásával + sokkal jobban kezünkbentudjuk tartani a + hálózatunk kimenõ forgalmát, + ezért leginkább az internetes + szolgáltatásokat futtató rendszerek + esetében bizonyulhat jobb választásnak. + Emellett az internetrõl a hálózatunk + felé irányuló forgalmat is képes + szabályozni. Ekkor az egyetlen szabályra sem + illeszkedõ csomagokat egyszerûen eldobjuk és + naplózzuk. Az inkluzív tûzfalak + általában biztonságosabbak az exkluzív + típusú társaiknál, mivel + esetükben jelentõs mértékben visszaszorul + a nem kívánatos átfolyó + forgalom. + + + Hacsak nem emeljük ki külön, a fejezet + további részében minden + példaként megadott szabályrendszer + inkluzív tûzfalat hoz létre. + Ez a típusú védelem még - tovább fokozható az állapottartó - tûzfalak (stateful firewall) - használatával. Ilyenkor a tûzfal szemmel - tartja a rajta keresztül megnyitott kapcsolatokat, és - vagy csak a már meglevõ kapcsolathoz tartozó - forgalmat engedi át, vagy nyit egy újat. Az + tovább fokozható az + állapottartó tûzfalak (stateful + firewall) használatával. Az ilyen + típusú tûzfalak szemmel tartják a rajtuk + keresztül megnyitott kapcsolatokat, és vagy csak a + már meglevõ kapcsolathoz tartozó forgalmat + engedik át vagy nyitnak egy újat. Az állapottartó tûzfalak hátránya, hogy a Denial of Service (DoS) típusú támadásokkal szemben sokkal @@ -199,10 +218,10 @@ beépített csomagot tartalmaz: ez az &man.altq.4; és a &man.dummynet.4;. Általában a Dummynet az IPFW, míg az ALTQ - a PF partnere. Az IPFILTER - esetében maga az IPFILTER végzi a - címfordítást és a szûrést, - a sávszélességet pedig az + a PF partnere. Az IPFILTER esetében + maga az IPFILTER végzi a címfordítást + és a szûrést, a + sávszélességet pedig az IPFW a &man.dummynet.4; vagy a PF az ALTQ segítségével. Az @@ -232,8 +251,7 @@ fejlécének bizonyos mezõinek alapján dolgozik, ezért a tûzfal szabályrendszerét megalkotó egyénnek - teljesen tisztában kell lennie a - TCP/IP + teljesen tisztában kell lennie a TCP/IP mûködésével, továbbá azzal, hogy ezekben a mezõkben milyen értékek szerepelhetnek és ezeket hogyan használják @@ -387,9 +405,9 @@ megoldásával párosítva így akár hibatûrõ tûzfalak is kialakíthatóak a PF-fel. A - CARP-ról bõvebb - ismertetést a kézikönyv e ad. + CARP megoldásáról a + kézikönyvben bõvebb ismertetést a ad. A PF rendszermag konfigurációs beállításai a @@ -592,10 +610,10 @@ ALTQ rendszert engedélyezi. Az options ALTQ_CBQ engedélyezi a - osztályozás alapú besorolást (Class - Based Queuing, CBQ). A - CBQ használatával a - kapcsolatunkhoz tartozó + osztályozás alapú besorolást + (Class Based Queuing, + CBQ). A CBQ + használatával a kapcsolatunkhoz tartozó sávszélességet különbözõ osztályokra vagy sorokra tudjuk bontani és a szûrési @@ -603,17 +621,18 @@ segítségükkel a forgalmat. Az options ALTQ_RED a véletlen - korai észlelés (Random Early Detection, - RED) használatát - engedélyezi. A RED a - hálózati forgalomban keletkezõ - torlódások elkerülésére - alkalmas. A RED ezt a - problémát úgy oldja meg, hogy méri a - sorok hosszát és összeveti a - hozzátartozó minimális és - maximális küszöbértékekkel. Ha a - sor hossza meghaladja a számára elõírt + korai észlelés (Random Early + Detection, RED) + használatát engedélyezi. A + RED a hálózati forgalomban + keletkezõ torlódások + elkerülésére alkalmas. A + RED ezt a problémát úgy + oldja meg, hogy méri a sorok hosszát és + összeveti a hozzátartozó minimális + és maximális + küszöbértékekkel. Ha a sor hossza + meghaladja a számára elõírt maximális értéket, akkor az új csomagokat eldobja. Nevéhez hûen a RED az eldobásra ítélt @@ -627,18 +646,19 @@ Az options ALTQ_HFSC a pártatlan hierachikus szolgáltatási görbe alapú - csomagütemezõt (Hierarchical Fair Service Curve Packet - Scheduler, HFSC) engedélyezi. Vele - kapcsolatban a + csomagütemezõt (Hierarchical Fair Service + Curve Packet Scheduler, HFSC) + engedélyezi. Vele kapcsolatban a címen találhatunk bõvebben olvasnivalót (angolul). Az options ALTQ_PRIQ a prioritásos - besorolást (Priority Queuing, PRIQ) - teszi elérhetõvé. A PRIQ - mindig elsõként a nagyobb értékû - sorban levõ forgalmat továbbítja. + besorolást (Priority Queuing, + PRIQ) teszi elérhetõvé. A + PRIQ mindig elsõként a nagyobb + értékû sorban levõ forgalmat + továbbítja. Az options ALTQ_NOPCC az ALTQ SMP, vagyis @@ -657,11 +677,6 @@ IPFILTER - - Ez a szakasz fejlesztés alatt áll. Ennek - megfelelõen a tartalma nem minden esetben pontos. - - Az IPFILTER szerzõje Darren Reed. Az IPFILTER nem kötõdik egyik rendszerhez sem: ez egy olyan nyílt forráskódú alkalmazás, amelyet @@ -700,10 +715,10 @@ drámai mértékben korszerûsítették a szabályok feldolgozásának elvét. Az IPF hivatalos - dokumentációja tartalmazza a régi - szabályok létrehozását és azok - feldolgozásának leírását. A - korszerûsített funkciók csak + dokumentációja csak a régi szabályok + létrehozását és azok + feldolgozásának leírását + tartalmazza. A korszerûsített funkciók csak kiegészítésképpen jelennek meg, és az általuk felkínált elõnyök megértése egy sokkal magasabb @@ -718,34 +733,20 @@ tûzfalszabályok létrehozásának alapjai. - Az inkluzív tûzfalak csak olyan csomagokat - engednek keresztül, amelyek megfelelnek a - szabályoknak. Ezen módon képesek vagyunk - megmondani, hogy a tûzfal mögül milyen - szolgáltatások érhetõek el az interneten - és segítségével azt is megadhatjuk, - hogy az internetrõl a belsõ hálózatunkon - milyen szolgáltatásokat érhetnek el. A - tûzfal alapból minden mást visszautasít - és naplóz. Az inkluzív tûzfalak sokkal, - de sokkal megbízhatóbbak az exkluzív - tûzfalaknál, ezért itt most csak ilyenekkel - foglalkozunk. - A régi típusú szabályokról a + url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"> és + url="http://coombs.anu.edu.au/~avalon/ip-filter.html"> címeken olvashatunk (angolul). Az IPF gyakran ismételt kérdései a címen + url="http://www.phildev.net/ipf/index.html"> címen érhetõek el (angolul). A nyílt forrású IPFILTER levelezési lista kereshetõ archívumait a + url="http://marc.theaimsgroup.com/?l=ipfilter"> címen találjuk (angolul). @@ -881,8 +882,8 @@ ipf - Az ipf parancs használható - a szabályokat tartalmazó állomány + Az &man.ipf.8; parancs használható a + szabályokat tartalmazó állomány betöltésére. Általában egy állományba írjuk össze a tûzfal szabályait és ezzel a paranccsal @@ -1049,7 +1050,7 @@ Az ipmon megfelelõ mûködéséhez be kell kapcsolnunk a - rendszermag IPFILTER_LOG + rendszermag IPFILTER_LOG beállítását. Ez a parancs két különbözõ módban használható. Ha parancsot a @@ -1065,7 +1066,7 @@ &os; beépítve tartalmaz olyan lehetõséget, aminek révén magától cseréli a rendszernaplókat. - Ezért ha átküldjük a syslogd + Ezért ha átküldjük a &man.syslogd.8; démonnak a naplózandó üzeneteket, akkor sokkal jobban járunk, mintha egyszerûen csak mezei állományba naplóznánk. Az @@ -1141,12 +1142,13 @@ &prompt.root; touch /var/log/ipfilter.log - A syslog mûködését az + A &man.syslogd.8; mûködését az /etc/syslog.conf állományban szereplõ definíciók vezérlik. A syslog.conf állomány számottevõ mértékben képes - meghatározni azt, ahogy a syslog az IPF és a + meghatározni azt, ahogy a + syslog az IPF és a hozzá hasonló alkalmazásoktól kapott rendszerszintû üzeneteket kezeli. @@ -1167,8 +1169,8 @@ újraindítjuk a számítógépet vagy az /etc/rc.d/syslogd reload paranccsal - megkérjük a syslog programot, hogy olvassa - újra az /etc/syslog.conf + megkérjük a &man.syslogd.8; démont, hogy + olvassa újra az /etc/syslog.conf állományt. Az imént létrehozott naplót ne @@ -1203,7 +1205,7 @@ - Annak a felületnek a neve, ahol a csomag + Azon interfész a neve, ahol a csomag feldolgozásra került, például dc0 @@ -1295,8 +1297,9 @@ következõ példában láthatjuk. - Az itt alkalmazott felírás kompatibilis az sh, - csh és tcsh parancsértelmezõkkel. + Az itt alkalmazott felírás kompatibilis az + &man.sh.1;, &man.csh.1; és &man.tcsh.1; + parancsértelmezõkkel. A szimbolikus helyettesítést egy dollárjellel fejezzük ki: @@ -1314,7 +1317,7 @@ ######### Az IPF szabályait tartalmazó szkript eleje ########### -oif="dc0" # a kimenõ felület neve +oif="dc0" # a kimenõ interfész neve odns="192.0.2.11" # az internet szolgáltató névszerverének IP-címe myip="192.0.2.7" # a szolgáltatótól kapott statikus IP-címünk ks="keep state" @@ -1389,7 +1392,8 @@ állományba. Tegyünk egy, az alábbi szkripthez - hasonlót az /usr/local/etc/rc.d/ + hasonlót az /usr/local/etc/rc.d/ könyvtárba. A szkriptnek adjuk valamilyen értelmes nevet, például ipf.loadrules.sh. Az @@ -1416,24 +1420,29 @@ Szabályrendszerek az IPF-ben - Az ipf esetében a szabályrendszer olyan + Az IPF esetében a szabályrendszer olyan szabályokból áll, amelyek a csomagokról tartalmuk alapján eldöntik, hogy át kell engedni vagy vissza kell tartani. A gépek közt két irányban áramló csomagok egy munkamenet alapú társalgást - képeznek. A tûzfal szabályrendszere minden - csomagot kétszer dolgoz fel: egyszer, amikor befut az - internetrõl, illetve még egyszer, amikor - visszatér az internetre. Mindegyik TCP/IP - szolgáltatást (például telnet, www, - levelezés stb.) elõre meghatározza a - hozzátartozó protokoll, cél és - forrás IP-cím vagy port. Ez az alapja a - szolgáltatások - engedélyezésérõl vagy - tiltásáról szóló - szabályok megfogalmazásának. + képeznek. A tûzfalhoz tartozó + szabályrendszer egyaránt feldolgozza a + internetrõl a hálózatunk felé + igyekvõ csomagokat, illetve a hálózatunk + ezekre adott válaszait. Az egyes + TCP/IP szolgáltatásokat (mint + például telnet, www, levelezés stb.) a + hozzájuk tartozó protokol és + szabványos (fogadó) portszám írja + le. Ezekre a forrásról általában + valamilyen nem szabványos (magasabb + értékû) portról érkeznek + csomagok. Ekkor a kommunikáció összes + paramétere (vagyis a portok és címek) + bármelyike alapján definiálhatunk + blokkolást vagy továbbengedést + leíró szabályokat. IPFILTER @@ -1462,20 +1471,6 @@ létrehozásának egyik alapeszköze. - Az inkluzív tûzfalak csak olyan - szolgáltatásokat engednek át, amelyek - megfelelnek valamelyik szabálynak. Ezzel - lényegében meg tudjuk adni, hogy milyen - szolgáltatások érhetõek el a - tûzfal mögül az internet felé, valamint az - internetrõl a magánhálózatunkon. A - tûzfal minden mást elutasít és - alapértelmezés szerint naplóz. Az - inkluzív tûzfalak sokkal, de sokkal - biztonságosabbak az exkluzív - tûzfalaknál, ezért itt most csak ezzel az - egyetlen típussal foglalkozunk. - A tûzfal szabályainak összeállítása során @@ -1540,7 +1535,7 @@ BE-KI = in | out OPCIÓK = log | quick | on - felületnév + interfész SZÛRÉS = proto érték | @@ -1595,20 +1590,19 @@ esetében kötelezõ egyértelmûen nyilatkozunk arról, hogy a bemenõ vagy a kimenõ forgalomra vonatkozik. Ezért a - következõ kulcsszó vagy az in - vagy pedig az out, de közülük - egyszerre csak az egyiket szabad használni, - máskülönben a szabály hibásnak - minõsül. + következõ kulcsszó vagy az + in vagy pedig az out, de + közülük egyszerre csak az egyiket szabad + használni, máskülönben a + szabály hibásnak minõsül. Az in jelenti, hogy a szabályt - az internet felõl az adott felületen + az internet felõl az adott interfészen beérkezõ csomagokra kell alkalmazni. Az out jelenti, hogy a szabályt - az internet felé az adott felületen + az internet felé az adott interfészen kiküldött csomagokra kell alkalmazni. - @@ -1640,10 +1634,10 @@ Az on használatával a szûrés feltételei közé bevonhatjuk a csomaghoz tartozó hálózati - felületet. Itt a felületek az &man.ifconfig.8; - által megjelenített formában - adhatóak meg. Az opció - megadásával csak az adott felületen az + interfészt. Itt az interfészek az + &man.ifconfig.8; által megjelenített + formában adhatóak meg. Az opció + megadásával csak az adott interfészen az adott irányba (befelé/kifelé) közlekedõ csomagokra fog illeszkedni a szabály. Ez az opció a @@ -1652,12 +1646,12 @@ nélkülözhetetlen. Amikor naplózunk egy csomagot, akkor a - hozzátartozó fejléc az IPL - csomagnaplózó pszeudo eszközhöz - kerül. A log kulcsszó után - közvetlenül a következõ - minõsítõk szerepelhetnek (a - következõ sorrendben): + hozzátartozó fejléc az + IPL csomagnaplózó pszeudo + eszközhöz kerül. A log + kulcsszó után közvetlenül a + következõ minõsítõk szerepelhetnek + (a következõ sorrendben): A body jelzi, hogy a csomag tartalmának elsõ 128 byte-ját még @@ -1665,13 +1659,12 @@ A first minõsítõt akkor érdemes használnunk, amikor a - log kulcsszót a keep - state opcióval együtt alkalmazzuk, mivel + log kulcsszót a keep + state opcióval együtt alkalmazzuk, mivel ilyenkor csak a szabályt kialakító csomag kerül naplózásra és nem minden olyan, ami illeszkedik az állapottartási feltételekre. - @@ -1732,15 +1725,17 @@ felépítése: a from és to kulcsszavak az IP-címek illesztésére használhatóak. - Ilyenkor a szabályokban a forrás ÉS a - cél paramétereknek is szerepelniük kell. - Az any egy olyan speciális + Ilyenkor a szabályokban a forrás + és a cél + paramétereknek is szerepelniük kell. Az + any egy olyan speciális kulcsszó, amely tetszõleges IP-címre illeszkedik. Néhány példa az - alkalmazására: from any to any - vagy from 0.0.0.0/0 to any, from any to - 0.0.0.0/0, from 0.0.0.0/0 to any vagy - from any to 0.0.0.0. + alkalmazására: from any to + any vagy from 0.0.0.0/0 to any, + from any to 0.0.0.0/0, from + 0.0.0.0/0 to any vagy from any to + 0.0.0.0. Az IP-címek megadhatóak pontozott numerikus formában a hálózati maszk bitekben @@ -1749,12 +1744,16 @@ Nincs lehetõség olyan IP-címtartományok illesztésére, - amelyek nem adhatóak meg kényelmesen a maszk - hosszával. A hálózati maszkok - hosszának megállapításban - segíthet a következõ (angol nyelvû) - honlap: . - + amelyek nem adhatóak meg kényelmesen ponttal + elválasztott számok és maszk + hosszával. A net-mgmt/ipcalc port az ilyen + számításokat könnyíti meg. A + hálózati maszkok hosszának + megállapításban segíthet az + említett segédprogram (angol nyelvû) + honlapja: . @@ -1769,18 +1768,19 @@ portok számát vagy az /etc/services állományban szereplõ nevüket. Amikor a port egy - from típusú objektum + from típusú objektum leírásában jelenik meg, akkor automatikusan a forrásportot jelenti, míg a - to objektum leírásában + to objektum leírásában pedig a célportot. A to objektumoknál a port megadása elengedhetetlen a korszerûsített szabályfeldolgozás elõnyeinek kihasználásához. - Példa: from any to any port = 80. + Példa: from any to any port = + 80. - A portokat különbözõ mûveletek - segítségével, numerikusan + Az egyes portokat különbözõ + mûveletek segítségével, numerikusan hasonlíthatjuk össze, ahol akár porttartományt is megadhatunk. @@ -1799,7 +1799,6 @@ korszerûsített szabályfeldolgozás mûködéséhez. - @@ -1884,7 +1883,7 @@ Ami ilyenkor történik: - Az internethez csatlakozó felületen + Az internethez csatlakozó interfészen keresztül kifelé haladó csomagokat elõször egy dinamikus állapottábla alapján illesztjük, és ha a csomag @@ -1892,20 +1891,22 @@ következõként várt csomagra, akkor átmegy a tûzfalon és a dinamikus állapottáblában frissül a kapcsolat - állapota, a fennmaradó csomagok pedig a - kimenõ szabályrendszer szerint kerülnek + állapota. Az aktív munkameneten kívül + csomagok pedig egyszerûen a kimenõ + szabályrendszer szerint kerülnek ellenõrzésre. Hasonlóan az elõzõhöz, az internethez - csatlakozó felületen keresztül befelé - haladó csomagokat elõször egy dinamikus - állapottábla alapján illesztjük, - és ha a csomag illeszkedik az aktív kapcsolatban - következõként várt csomagra, akkor - átmegy a tûzfalon és a dinamikus - állapottáblában frissül a kapcsolat - állapota, a fennmaradó csomagok pedig a - bejövõ szabályrendszer szerint kerülnek + csatlakozó interfészen keresztül + befelé haladó csomagokat elõször egy + dinamikus állapottábla alapján + illesztjük, és ha a csomag illeszkedik az + aktív kapcsolatban következõként + várt csomagra, akkor átmegy a tûzfalon + és a dinamikus állapottáblában + frissül a kapcsolat állapota. Az aktív + munkamenethez nem tartozó csomagok pedig egyszerûen + a bejövõ szabályrendszer szerint kerülnek ellenõrzésre. Amikor egy kapcsolat befejezõdik, automatikusan @@ -1929,7 +1930,6 @@ nyújtani a behatolók részérõl alkalmazott megannyi különbözõ támadási módszer ellen. - @@ -1942,67 +1942,82 @@ inkluzív tûzfalak csak a szabályainak megfelelõ szolgáltatásokat engedik keresztül, és alapértelmezés szerint - minden mást blokkolnak. Minden tûzfal - legalább két felülettel dolgozik, melyek - mindegyikéhez írnunk kell szabályokat a - tûzfal megfelelõ - mûködéséhez. + minden mást blokkolnak. Egy hálózat + gépeit védõ tûzfalnak, amelyet gyakran + hálózati tûzfalnak (network + firewall) is neveznek, legalább két + hálózati interfésszel kell rendelkeznie. + Ezeket az interfészeket általában + úgy állítják be, hogy + tökéletesen megbíznak az egyik oldalban (a + helyi hálózatban), a másikban (az + internetben) pedig egyáltalán nem. A + tûzfalat egyébként úgy is + beállíthatjuk, hogy csak a tûzfalat + mûködtetõ gépet védje — ezt + egyrendszeres tûzfalnak (host based + firewall) nevezik. Az ilyen típusú + megoldásokat nem biztonságos + hálózaton keresztül kommunikáló + szervereknél alkalmaznak. Mindegyik &unix;-típusú rendszert, köztük a &os;-t is úgy alakították ki, hogy az operációs rendszeren belüli kommunikáció az - lo0 felületen és a 127.0.0.1 IP-címen keresztül - történik. A tûzfal szabályai - között feltétlenül szerepelniük kell - olyanoknak, amelyek lehetõvé teszik ezen a - speciális felületen a csomagok zavartalan - mozgását. + lo0 interfészen és a + 127.0.0.1 IP-címen + keresztül történik. A tûzfal + szabályai között feltétlenül + szerepelniük kell olyanoknak, amelyek lehetõvé + teszik ezen a speciális intefészen a csomagok + zavartalan mozgását. - Az internetre csatlakozó felülethez kell - rendelni a kifelé haladó forgalom - hitelesítését és az internetrõl - befelé irányuló - hozzáférés vezérlését. - Ez lehet a felhasználói PPP által - létrehozott tun0 felület - vagy a DSL-, illetve kábelmodemhez csatlakozó + Az internetre csatlakozó interfészhez kell + rendelni a kifelé és befelé haladó + forgalom hitelesítését é a + hozzáférésének + vezérlését. Ez lehet a + felhasználói PPP által létrehozott + tun0 interfész vagy a DSL-, + illetve kábelmodemhez csatlakozó hálózati kártya. Ahol egy vagy több hálózati kártya - is csatlakozik a tûzfal mögött elhelyezkedõ - helyi magánhálózathoz, ott ezeket a - felületeket úgy kell felvenni a tûzfal - szabályai közé, hogy a helyi - hálózaton zajló forgalmat ne - akadályozzuk. + is csatlakozik több különbözõ helyi + hálózathoz, úgy kell + beállítani a hozzájuk tartozó + interfészeket, hogy egymás felé és + az internet felé képesek legyenek küldeni + és fogadni. A szabályokat elõször három nagy - csoportba kell szerveznünk: az összes szabadon - forgalmazó felület, az internet felé - haladó kimenõ forgalom és az internet - felõl befelé haladó forgalom. + csoportba kell szerveznünk: elõször jönnek a + megbízható interfészek, ezeket követik + az internet felé mutató interfészek, + végül internet felõl jövõ, nem + megbízható interfészeke. Az egyes csoportokban szereplõ szabályokat úgy kell megadni, hogy közülük elõre kerüljenek a leggyakrabban alkalmazottak, és a csoport utolsó szabálya blokkoljon és - naplózzon minden csomagot az adott felületen + naplózzon minden csomagot az adott interfészen és irányban. A kimenõ forgalomat vezérlõ - szabályrendszer csak pass (tehát - átengedõ) szabályokat tartalmazhat, amelyek - bentrõl az interneten elérhetõ - szolgáltatásokat azonosítják - egyértelmûen. Az összes ilyen - szabályban meg kell jelenni a quick, - on, proto, port - és keep state - beállításoknak. A proto tcp - szabályok esetében meg kell adni a - flag opciót is, amivel fel tudjuk + szabályrendszer csak pass + (tehát átengedõ) szabályokat + tartalmazhat, amelyek bentrõl az interneten + elérhetõ szolgáltatásokat + azonosítják egyértelmûen. Az + összes ilyen szabályban meg kell jelenni a + quick, on, + proto, port és + keep state + beállításoknak. A proto + tcp szabályok esetében meg kell adni a + flag opciót is, amivel fel tudjuk ismertetni a kapcsolatok keletkezését és ezen keresztül aktiválni az állapottartást. @@ -2010,53 +2025,57 @@ A bejövõ forgalmat vezérlõ szabályrendszerben elõször az eldobni kívánt csomagokat kell megadni, aminek két - eltérõ oka van. Elõször is a blokkolt - elemek lehetnek egy egyébként szabályos - csomag részei, amit a késõbbiekben a - hitelesített szolgáltatások alapján - beengedünk. Másodszor ezzel az olyan - rendszertelenül érkezõ csomagokat tudjuk - blokkolni, amelyeket nem akarunk a naplóban látni, - mivel ilyenkor a csoport utolsójaként megadott - blokkoló és naplózó - szabályhoz már nem jut el. A csoport - utolsó tagjaként megadott szabály blokkolja - és naplózza az illétektelen - hozzáféréseket, amit akár jogi - bizonyítékként is felhasználhatunk a - rendszerünket megtámadók ellen. + eltérõ oka van. Elõször is + elõfordulhat, hogy a veszélyes csomagok + részleges illeszkedés miatt szabályosnak + tûnnek. Az ilyen csomagokat értelemszerûen nem + lenne szabad beengedni a szabályok részleges + megfelelése alapján. A másodszor az eleve + ismerten problémás és értelmetlen + csomagokat csendben el kellene vetni, mielõtt a szakaszhoz + tartozó utolsó szabály fogná meg + és naplózná. Ez az utolsó + szabály egyébként szükség + esetén felhasználható a + támadók elleni bizonyítékok + begyûjtésére. A másik, amire még oda kell figyelnünk, hogy a blokkolt csomagok esetében semmilyen válasz - nem keletkezik, egyszerûen csak eltûnnek. Így - a támadó nem fogja tudni, hogy a csomagjai vajon - elérték-e a rendszerünket. Minél - kevesebb információt tudnak + nem keletkezzen, egyszerûen csak tûnjenek el. + Így a támadó nem fogja tudni, hogy a + csomagjai vajon elérték-e a rendszerünket. + Minél kevesebb információt tudnak összegyûjteni a rendszerünkrõl a támadók, annál több idõt kell szánniuk csínytevéseik - kieszelésére. Javasolt a beérkezõ - OS fingerprint jellegû - kéréseket az elsõ alkalmommal - naplózni, mert ez az elsõ jele annak, amikor valaki - meg akar támadni minket. + kieszelésére. A log first + opciót tartalmazó szabályok csak az + illeszkedésnél fogják naplózni a + hozzájuk tartozó eseményt. Erre + láthatunk példát az nmap OS + fingerprint szabálynál. Az security/nmap segédprogramot + a támadók gyakran alkalmazzák a + megtámadni kívánt szerver + operációs rendszerének + felderítésére. - Amikor a log first szabály - alapján keletkezõ üzeneteket akarjuk - látni, hívjuk meg a ipfstat - -hio parancsot, ahol megjelenik, hogy melyik - szabályra mennyi csomag illeszkedett. Ennek - alapján el tudjuk dönteni, hogy éppen - elárasztanak-e bennünket, tehát meg akarnak-e - támadni. + Minden log first opcióval megadott + szabály illeszkedésénél a + ipfstat -hio parancs + meghatározódik az eddigi illeszkedések + aktuális száma. Nagyobb értékek + esetében következtethetünk arra, hogy a + rendszerünket megtámadták (vagyis csomagokkal + árasztják éppen el). - Ha ismeretlen porthoz tartozó csomagokat - naplózunk, akkor az /etc/services - állományban vagy a - (angol nyelvû) honlap segítségével - tudjuk kideríteni, hogy pontosan melyik portról - van szó. + Az ismeretlen portszámok + felderítésére az + /etc/services állomány, + esetleg a + (angol nyelvû) honlap használható. Érdemes továbbá megnézni a trójai programok által használt portokat a @@ -2066,26 +2085,26 @@ A következõ szabályrendszer egy olyan biztonságos inkluzív - típusú tûzfal, amelyet maga a szerzõ is - használ. Ha ezt átvesszük egy az egyben, - akkor abból semmilyen bajunk nem származhat. - Egyszerûen csak vegyük ki azokat a szabályokat, - amelyek olyan szolgáltatásokra vonatkoznak, amiket - nem akarunk hitelesíteni. + típusú tûzfal, amelyet éles rendszeren + is használnak. Ezt a rendszerünkön nem + használt szolgáltatásokra vonatkozó + pass szabályok + törlésével könnyedén a + saját igényeink szerint + alakíthatjuk. - Ha nem akarunk látni bizonyos üzeneteket a - naplóban, akkor vegyünk fel hozzájuk egy - block típusú szabályt a - befelé irányuló forgalomhoz tartozó + Ha nem akarunk látni bizonyos üzeneteket, akkor + vegyünk fel hozzájuk egy block + típusú szabályt a befelé + irányuló forgalomhoz tartozó szabályok közé. - Ne felejtsük el minden szabályban - átírni a dc0 felület - nevét annak a hálózati - kártyának a felületére, amelyen - keresztül csatlakozunk az internethez. A - felhasználói PPP esetében ez a - tun0 lesz. + A szabályokban írjuk át a + dc0 interfész nevét annak + a hálózati kártyának az + interfészére, amelyen keresztül csatlakozunk + az internethez. A felhasználói PPP + esetében ez a tun0 lesz. Tehát a következõket kell beírni az /etc/ipf.rules @@ -2100,13 +2119,13 @@ #pass in quick on xl0 all ################################################################# -# A belsõ felületen szintén ne korlátozzunk semmit. +# A belsõ interfészen szintén ne korlátozzunk semmit. ################################################################# pass in quick on lo0 all pass out quick on lo0 all ################################################################# -# Az internet felé forgalmazó felület (kimenõ kapcsolatok) +# Az internet felé forgalmazó interfész (kimenõ kapcsolatok) # A saját hálózatunkról belülrõl vagy errõl az átjáróról # kezdeményezett kapcsolatokat vizsgáljuk az internet felé. ################################################################# @@ -2155,14 +2174,14 @@ # mindenképpen szükségünk lesz. pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state -# Kifelé engedélyezzük a biztonságos FTP, telnet és SCP szolgáltatások -# elérését az SSH (secure shell) használatával. +# Kifelé engedélyezzük az ssh/sftp/scp # (biztonságos telnet/rlogin/FTP) +# szolgáltatások # elérését az SSH (secure shell) használatával. pass out quick on dc0 proto tcp from any to any port = 22 flags S keep state # Kifelé engedélyezzük a nem biztonságos telnet elérését. pass out quick on dc0 proto tcp from any to any port = 23 flags S keep state -# Kifelé engedélyezzük FreeBSD CVSUP funkcióját. +# Kifelé engedélyezzük FreeBSD CVSUp funkcióját. pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state # Kifelé engedélyezzük a pinget. @@ -2172,12 +2191,11 @@ pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state # Minden mást eldobunk és naplózzuk az elsõ elõfordulásukat. -# Ezzel a szabállyal állítjuk be, hogy alapértelmezés szerint minden -# blokkolva legyen. +# Ez a szabály blokkol alapértelmezés szerint mindent. block out log first quick on dc0 all ################################################################# -# Az internet felõli felület (bejövõ kapcsolatok) +# Az internet felõli interfész (bejövõ kapcsolatok) # A saját hálózatunk felé vagy erre az átjáróra # nyitott kapcsolatokat vizsgáljuk az internet felõl. ################################################################# @@ -2248,19 +2266,17 @@ # Töröljük ezt a szabályt, ha nem használunk telnet szervert. #pass in quick on dc0 proto tcp from any to any port = 23 flags S keep state -# Befelé engedélyezzük az internetrõl érkezõ biztonságos FTP, telnet és SCP -# kapcsolatokat az SSH (secure shell) használatával. +# Befelé engedélyezzük az internetrõl # érkezõ ssh/sftp/scp (biztonságos +# telnet/rlogin/FTP) # kapcsolatokat az SSH (secure shell) használatával. pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state # Minden mást dobjuk el és naplózzuk az elsõ elõfordulásukat. # Az elsõ alkalom naplózásával elejét tudjuk venni a "Denial of # Service" típusú támadásoknak, amivel egyébként lehetséges lenne a # napló elárasztása. -# Ez a szabály gondoskodik arról, hogy a rendszer alapértelmezés -# szerint mindent eldobjon. +# Ez a szabály blokkol alapértelmezés szerint mindent. block in log first quick on dc0 all ################### Itt van a szabályok vége ############################## - @@ -2278,8 +2294,8 @@ NAT - A NAT jelentése Network - Address Translation, vagyis hálózati + A NAT jelentése Network + Address Translation, vagyis hálózati címfordítás. A &linux; esetében ezt IP masqueradingnak, vagyis IP maszkolásnak hívják. A hálózati @@ -2301,9 +2317,8 @@ utal, hogy a címünk minden alkalommal változik, amikor betárcsázunk a szolgáltatóhoz vagy amikor ki- és - bekapcsoljuk a modemünket. Ez az IP-cím lesz az, - ami alapján az interneten elérhetõek - leszünk. + bekapcsoljuk a modemünket. Ez a dinamikus IP-cím + fog azonosítani minket az interneten. Most tegyük fel, hogy öt gépünk van otthon, viszont csak egyetlen elõfizetéssel @@ -2329,22 +2344,6 @@ esetében mindez visszafelé történik meg. - A hálózati címfordítás - gyakran a szolgáltató engedélye vagy - éppen tudta nélkül történik, - és ha a szolgáltató rájön, - akkor a legtöbb esetben ez az elõfizetés - megszûntetésével jár. Az üzleti - felhasználók jóval többet fizetnek az >>> TRUNCATED FOR MAIL (1000 lines) <<<