- Подписка на печатную версию:
- Подписка на электронную версию:
- Подшивки старых номеров журнала (печатные версии)
LXF98:Сравнение
Материал из Linuxformat.
| Строка 19: | Строка 19: | ||
Любая оболочка должна «уметь» не только составлять элементарные правила iptables, но и настраивать трансляцию адресов, поддерживать | Любая оболочка должна «уметь» не только составлять элементарные правила iptables, но и настраивать трансляцию адресов, поддерживать | ||
маршрутизацию, подсчитывать трафик и многое другое. | маршрутизацию, подсчитывать трафик и многое другое. | ||
| + | |||
== Введение == | == Введение == | ||
| + | |||
Брандмауэр – современный цифровой аналог крепостного рва и подъемного моста: захватчики не пройдут, друзей – милости просим. | Брандмауэр – современный цифровой аналог крепостного рва и подъемного моста: захватчики не пройдут, друзей – милости просим. | ||
Это первая линия Интернет-обороны, и очень важно его установить, независимо от масштабов вашей крепости – крупная ли это сеть или одиночная | Это первая линия Интернет-обороны, и очень важно его установить, независимо от масштабов вашей крепости – крупная ли это сеть или одиночная | ||
| Строка 44: | Строка 46: | ||
вашу безопасность. | вашу безопасность. | ||
| - | === | + | ==KMyFirewall== |
| + | |||
| + | ''Бесхитростное название прозрачно намекает на принадлежность KDE…'' | ||
| + | |||
| + | Будучи солидным приложением, ''KMyFirewall'' предлагает пользователю два вида интерфейсов. | ||
| + | <font color=darkblue>Generic Interface</font> предоставляет сравнительно простой, но не особо мощный интерфейс для ''iptables''. | ||
| + | |||
| + | Зато <font color=darkblue>Iptables Interface</font> позволяет добраться почти до любого параметра настройки брандмауэра. | ||
| + | Но пользоваться этим интерфейсом ненамного проще, чем писать правила ''iptables'', так как необходимо | ||
| + | все-таки иметь представление о сути вопроса. | ||
| + | |||
| + | Запустив ''KMyFirewall'' не как суперпользователь, вы тем не менее будете вынуждены | ||
| + | назвать его пароль, чтобы сделанные изменения, требующие особых привилегий, вступили | ||
| + | в силу. Предоставляется много готовых образцов, среди которых варианты для рабочей | ||
| + | станции, NAT-маршрутизатора и web-сервера.Можно начать и с совершенно новой, чистой | ||
| + | конфигурации. | ||
| + | |||
| + | Нас с ходу расстроило стартовое заявление ''KMyFirewall'' о том, что наборы правил, | ||
| + | составленные в предыдущих версиях, работать не будут, «даже не пытайтесь». Это | ||
| + | обижает пользователей прежних версий и заставляет заподозрить, что будущие смены | ||
| + | версий тоже проигнорируют обратную совместимость, и трудоемкий процесс придется | ||
| + | начинать с нуля. | ||
| + | |||
| + | В <font color=darkblue>Generic</font>-режиме интерфейс пользователя состоит из нескольких страниц с параметрами | ||
| + | настройки. Первая, <font color=darkblue>Access Control</font> (<font color=darkblue>Управление доступом</font>), позволяет указать | ||
| + | протоколы, по которым разрешены входящие и исходящие подключения. Вторая, <font color=darkblue>Special | ||
| + | Hosts</font> (<font color=darkblue>Особые хосты</font>), дает возможность указать хосты, отношения с которыми оговариваются | ||
| + | особо – например, серверы, контакт с которыми запрещен. | ||
| + | |||
| + | Управление пакетами ''Internet Control Message Protocol'' (ICMP) возможно лишь до | ||
| + | некоторой степени, поэтому мы удивились, увидев подпись под одним из параметров: | ||
| + | «Ограничив число ping-запросов, можно избежать DoS (Denial of Service)-атак». Да, до | ||
| + | некоторой степени защититься можно, но «избежать» – явное преувеличение. | ||
| + | |||
| + | Трансляция настраивается на следующей странице. Жалко, что ''KMyFirewall'' в режиме | ||
| + | <font color=darkblue>Generic</font>, похоже, не поддерживает проброс портов. | ||
| + | |||
| + | Нажав кнопку, можно предварительно просмотреть полученный брандмауэр. Это полезно | ||
| + | для изучения механизма работы ''iptables''. В <font color=darkblue>Iptables Interface</font> возможен доступ почти к | ||
| + | любому параметру настройки брандмауэра. Интерфейс пользователя по сложности почти | ||
| + | идентичен самой ''iptables''. Например, можно получить непосредственный доступ к любой | ||
| + | из трех цепочек пакетных фильтров iptables: INPUT, OUTPUT и FORWARD. Можно составить | ||
| + | собственные правила, установить политику по умолчанию (например, предписать отклонять | ||
| + | все пакеты, кроме точно соответствующих установленным критериям отбора) и многое | ||
| + | другое. | ||
| + | |||
| + | К сожалению, мы нашли здесь ошибку: установленные правила не появляются в списке, | ||
| + | пока не выбран хотя бы один из пунктов в группе флажков <font color=darkblue>Table</font>. Ошибка простая и легко | ||
| + | устраняемая, но пользователей такое поведение не радует. | ||
| + | |||
| + | ===Сохраняем настройки=== | ||
| + | |||
| + | Настройку брандмауэра можно сохранить, а затем загрузить в формате ''KMyFirewall'' | ||
| + | Generic Ruleset ('''.kmfgrs'''), а можно и экспортировать как обычный скрипт оболочки, где все | ||
| + | правила описаны с помощью команд ''iptables''. Предписать ''KMyFirewall'' перенести брандмауэр на | ||
| + | другую систему тоже несложно: программа создает tar-архив (содержащий правила в виде скрипта) | ||
| + | и инсталляционный скрипт для копирования правил в указанное место целевой системы. | ||
| + | |||
| + | В основе ''KMyFirewall'' лежит модульная архитектура, и почти каждое правило для | ||
| + | брандмауэра реализуется как отдельный модуль. Поэтому программу нетрудно преобразовать, | ||
| + | добавив новые модули. В документации создание модулей описано подробно – по сути, для | ||
| + | этого достаточно составить XML -файл описания и немного потрудиться в C++ для привязки к | ||
| + | графическому интерфейсу. Документация добротна, хотя и без изысков. | ||
| + | |||
| + | ''KMyFirewall'' не очень-то изменилась со времен версии 1.0 2005 года. Обещана поддержка создания | ||
| + | брандмауэров для других систем, включая ''pf'' в OpenBSD. Интересно было бы посмотреть. | ||
Версия 18:12, 11 марта 2008
Содержание |
Оболочки брандмауэров
Излишне разъяснять важность обороны от интернет-вторжений. Крис Хауэллс подобрал несколько программ, призванных нас защитить.
Про наш тест…
Тест проводился в системе Kubuntu 7.04 Feisty Fawn, установленной на Lenovo ThinkPad X60s с 1,5 ГБ RAM и 1,66-ГГц процессором Intel Core Duo. Программы сравнивались по следующим критериям:
- Простота Задача такого рода приложения – облегчить настройку брандмауэра. Поэтому программа должна быть
интуитивно-понятной и, желательно,подвластной человеку, плохо представляющему, что такое брандмауэр.
- Документация Столь критичному участку безопасности сети необходима хорошая документация: пользователь
должен знать, на чем зиждется его защищенность. Мы сравнивали документацию программ по детальности, качеству написания и количеству и качеству предоставленных образцов брандмауэров.
- Функционал Сети имеют обыкновение разрастаться, а инструмент должен поспевать за их ростом, обладая запасом необходимых функций.
Любая оболочка должна «уметь» не только составлять элементарные правила iptables, но и настраивать трансляцию адресов, поддерживать маршрутизацию, подсчитывать трафик и многое другое.
Введение
Брандмауэр – современный цифровой аналог крепостного рва и подъемного моста: захватчики не пройдут, друзей – милости просим. Это первая линия Интернет-обороны, и очень важно его установить, независимо от масштабов вашей крепости – крупная ли это сеть или одиночная рабочая станция.
Следует признать, что постройка брандмауэра на Linux – далеко не тривиальная задача. Обычно защиту настраивают при помощи инструмента командной строки iptables, причем требуются немалые познания и понимание различных концепций, связанных с данным вопросом, что достигается лишь чтением изрядного количества документации.
Хорошо, что существуют различные оболочки, значительно упрощающие сборку брандмауэров для Linux-машин, взяв на себя многие мелкие, но трудоемкие операции. Такие оболочки бывают двух типов. Полностью графические решения позволяют настроить брандмауэр выбором различных параметров в графическом интерфейсе.
Второй вид оболочек предоставляет вам самостоятельно описать брандмауэр с помощью особого языка программирования, синтаксис которого несколько отличен от традиционных команд iptables. После этого программа настройки брандмауэра конвертирует написанные правила в конфигурацию iptables, которую можно загружать и контролировать, как обычно.
Подобные программы умеют составлять не только простые правила iptables. Технология трансляции адресов (Network Address Translation, NAT) позволяет скрыть многочисленные частные IP-адреса за одним общим IP-адресом (подробности см. http://www.ietf.org/rfc/rfc1918.txt). Вам может также понадобиться помощь в пробросе портов, шейпинге и учете трафика.
В общем, имеете ли вы дело со скромным настольным ПК, или с обширной сетью – найдутся программы, призванные обеспечить вашу безопасность.
KMyFirewall
Бесхитростное название прозрачно намекает на принадлежность KDE…
Будучи солидным приложением, KMyFirewall предлагает пользователю два вида интерфейсов. Generic Interface предоставляет сравнительно простой, но не особо мощный интерфейс для iptables.
Зато Iptables Interface позволяет добраться почти до любого параметра настройки брандмауэра. Но пользоваться этим интерфейсом ненамного проще, чем писать правила iptables, так как необходимо все-таки иметь представление о сути вопроса.
Запустив KMyFirewall не как суперпользователь, вы тем не менее будете вынуждены назвать его пароль, чтобы сделанные изменения, требующие особых привилегий, вступили в силу. Предоставляется много готовых образцов, среди которых варианты для рабочей станции, NAT-маршрутизатора и web-сервера.Можно начать и с совершенно новой, чистой конфигурации.
Нас с ходу расстроило стартовое заявление KMyFirewall о том, что наборы правил, составленные в предыдущих версиях, работать не будут, «даже не пытайтесь». Это обижает пользователей прежних версий и заставляет заподозрить, что будущие смены версий тоже проигнорируют обратную совместимость, и трудоемкий процесс придется начинать с нуля.
В Generic-режиме интерфейс пользователя состоит из нескольких страниц с параметрами настройки. Первая, Access Control (Управление доступом), позволяет указать протоколы, по которым разрешены входящие и исходящие подключения. Вторая, Special Hosts (Особые хосты), дает возможность указать хосты, отношения с которыми оговариваются особо – например, серверы, контакт с которыми запрещен.
Управление пакетами Internet Control Message Protocol (ICMP) возможно лишь до некоторой степени, поэтому мы удивились, увидев подпись под одним из параметров: «Ограничив число ping-запросов, можно избежать DoS (Denial of Service)-атак». Да, до некоторой степени защититься можно, но «избежать» – явное преувеличение.
Трансляция настраивается на следующей странице. Жалко, что KMyFirewall в режиме Generic, похоже, не поддерживает проброс портов.
Нажав кнопку, можно предварительно просмотреть полученный брандмауэр. Это полезно для изучения механизма работы iptables. В Iptables Interface возможен доступ почти к любому параметру настройки брандмауэра. Интерфейс пользователя по сложности почти идентичен самой iptables. Например, можно получить непосредственный доступ к любой из трех цепочек пакетных фильтров iptables: INPUT, OUTPUT и FORWARD. Можно составить собственные правила, установить политику по умолчанию (например, предписать отклонять все пакеты, кроме точно соответствующих установленным критериям отбора) и многое другое.
К сожалению, мы нашли здесь ошибку: установленные правила не появляются в списке, пока не выбран хотя бы один из пунктов в группе флажков Table. Ошибка простая и легко устраняемая, но пользователей такое поведение не радует.
Сохраняем настройки
Настройку брандмауэра можно сохранить, а затем загрузить в формате KMyFirewall Generic Ruleset (.kmfgrs), а можно и экспортировать как обычный скрипт оболочки, где все правила описаны с помощью команд iptables. Предписать KMyFirewall перенести брандмауэр на другую систему тоже несложно: программа создает tar-архив (содержащий правила в виде скрипта) и инсталляционный скрипт для копирования правил в указанное место целевой системы.
В основе KMyFirewall лежит модульная архитектура, и почти каждое правило для брандмауэра реализуется как отдельный модуль. Поэтому программу нетрудно преобразовать, добавив новые модули. В документации создание модулей описано подробно – по сути, для этого достаточно составить XML -файл описания и немного потрудиться в C++ для привязки к графическому интерфейсу. Документация добротна, хотя и без изысков.
KMyFirewall не очень-то изменилась со времен версии 1.0 2005 года. Обещана поддержка создания брандмауэров для других систем, включая pf в OpenBSD. Интересно было бы посмотреть.
