LXF98:Сравнение

Материал из Linuxformat.

Версия 18:56, 11 марта 2008

Оболочки брандмауэров

Излишне разъяснять важность обороны от интернет-вторжений. Крис Хауэллс подобрал несколько программ, призванных нас защитить.

Про наш тест…

Тест проводился в системе Kubuntu 7.04 Feisty Fawn, установленной на Lenovo ThinkPad X60s с 1,5 ГБ RAM и 1,66-ГГц процессором Intel Core Duo. Программы сравнивались по следующим критериям:

• Простота Задача такого рода приложения – облегчить настройку брандмауэра. Поэтому программа должна быть

интуитивно-понятной и, желательно,подвластной человеку, плохо представляющему, что такое брандмауэр.

• Документация Столь критичному участку безопасности сети необходима хорошая документация: пользователь

должен знать, на чем зиждется его защищенность. Мы сравнивали документацию программ по детальности, качеству написания и количеству и качеству предоставленных образцов брандмауэров.

• Функционал Сети имеют обыкновение разрастаться, а инструмент должен поспевать за их ростом, обладая запасом необходимых функций.

Любая оболочка должна «уметь» не только составлять элементарные правила iptables, но и настраивать трансляцию адресов, поддерживать маршрутизацию, подсчитывать трафик и многое другое.

Введение

Брандмауэр – современный цифровой аналог крепостного рва и подъемного моста: захватчики не пройдут, друзей – милости просим. Это первая линия Интернет-обороны, и очень важно его установить, независимо от масштабов вашей крепости – крупная ли это сеть или одиночная рабочая станция.

Следует признать, что постройка брандмауэра на Linux – далеко не тривиальная задача. Обычно защиту настраивают при помощи инструмента командной строки iptables, причем требуются немалые познания и понимание различных концепций, связанных с данным вопросом, что достигается лишь чтением изрядного количества документации.

Хорошо, что существуют различные оболочки, значительно упрощающие сборку брандмауэров для Linux-машин, взяв на себя многие мелкие, но трудоемкие операции. Такие оболочки бывают двух типов. Полностью графические решения позволяют настроить брандмауэр выбором различных параметров в графическом интерфейсе.

Второй вид оболочек предоставляет вам самостоятельно описать брандмауэр с помощью особого языка программирования, синтаксис которого несколько отличен от традиционных команд iptables. После этого программа настройки брандмауэра конвертирует написанные правила в конфигурацию iptables, которую можно загружать и контролировать, как обычно.

Подобные программы умеют составлять не только простые правила iptables. Технология трансляции адресов (Network Address Translation, NAT) позволяет скрыть многочисленные частные IP-адреса за одним общим IP-адресом (подробности см. http://www.ietf.org/rfc/rfc1918.txt). Вам может также понадобиться помощь в пробросе портов, шейпинге и учете трафика.

В общем, имеете ли вы дело со скромным настольным ПК, или с обширной сетью – найдутся программы, призванные обеспечить вашу безопасность.

KMyFirewall

Бесхитростное название прозрачно намекает на принадлежность KDE…

Будучи солидным приложением, KMyFirewall предлагает пользователю два вида интерфейсов. Generic Interface предоставляет сравнительно простой, но не особо мощный интерфейс для iptables.

Зато Iptables Interface позволяет добраться почти до любого параметра настройки брандмауэра. Но пользоваться этим интерфейсом ненамного проще, чем писать правила iptables, так как необходимо все-таки иметь представление о сути вопроса.

Запустив KMyFirewall не как суперпользователь, вы тем не менее будете вынуждены назвать его пароль, чтобы сделанные изменения, требующие особых привилегий, вступили в силу. Предоставляется много готовых образцов, среди которых варианты для рабочей станции, NAT-маршрутизатора и web-сервера.Можно начать и с совершенно новой, чистой конфигурации.

Нас с ходу расстроило стартовое заявление KMyFirewall о том, что наборы правил, составленные в предыдущих версиях, работать не будут, «даже не пытайтесь». Это обижает пользователей прежних версий и заставляет заподозрить, что будущие смены версий тоже проигнорируют обратную совместимость, и трудоемкий процесс придется начинать с нуля.

В Generic-режиме интерфейс пользователя состоит из нескольких страниц с параметрами настройки. Первая, Access Control (Управление доступом), позволяет указать протоколы, по которым разрешены входящие и исходящие подключения. Вторая, Special Hosts (Особые хосты), дает возможность указать хосты, отношения с которыми оговариваются особо – например, серверы, контакт с которыми запрещен.

Управление пакетами Internet Control Message Protocol (ICMP) возможно лишь до некоторой степени, поэтому мы удивились, увидев подпись под одним из параметров: «Ограничив число ping-запросов, можно избежать DoS (Denial of Service)-атак». Да, до некоторой степени защититься можно, но «избежать» – явное преувеличение.

Трансляция настраивается на следующей странице. Жалко, что KMyFirewall в режиме Generic, похоже, не поддерживает проброс портов.

Нажав кнопку, можно предварительно просмотреть полученный брандмауэр. Это полезно для изучения механизма работы iptables. В Iptables Interface возможен доступ почти к любому параметру настройки брандмауэра. Интерфейс пользователя по сложности почти идентичен самой iptables. Например, можно получить непосредственный доступ к любой из трех цепочек пакетных фильтров iptables: INPUT, OUTPUT и FORWARD. Можно составить собственные правила, установить политику по умолчанию (например, предписать отклонять все пакеты, кроме точно соответствующих установленным критериям отбора) и многое другое.

К сожалению, мы нашли здесь ошибку: установленные правила не появляются в списке, пока не выбран хотя бы один из пунктов в группе флажков Table. Ошибка простая и легко устраняемая, но пользователей такое поведение не радует.

Сохраняем настройки

Настройку брандмауэра можно сохранить, а затем загрузить в формате KMyFirewall Generic Ruleset (.kmfgrs), а можно и экспортировать как обычный скрипт оболочки, где все правила описаны с помощью команд iptables. Предписать KMyFirewall перенести брандмауэр на другую систему тоже несложно: программа создает tar-архив (содержащий правила в виде скрипта) и инсталляционный скрипт для копирования правил в указанное место целевой системы.

В основе KMyFirewall лежит модульная архитектура, и почти каждое правило для брандмауэра реализуется как отдельный модуль. Поэтому программу нетрудно преобразовать, добавив новые модули. В документации создание модулей описано подробно – по сути, для этого достаточно составить XML -файл описания и немного потрудиться в C++ для привязки к графическому интерфейсу. Документация добротна, хотя и без изысков.

KMyFirewall не очень-то изменилась со времен версии 1.0 2005 года. Обещана поддержка создания брандмауэров для других систем, включая pf в OpenBSD. Интересно было бы посмотреть.

Сайт: http://kmyfirewall.sourceforge.net
Цена: Бесплатно под GPL

• Отважная попытка, с двумя режимами на выбор при брандмауэре любой сложности.
  

Рейтинг: 8/10

FireHOL

Очевидно, «брандмауэр для людей»!

Приложение реализовано как bash-скрипт, который сам себя устанавливает на целевую Linux-систему. Брандмауэр формируется введением различных правил в файл конфигурации. Этот файл также является bash-скриптом, что упрощает написание собственных правил.

Как и в Shorewall, прежде всего придется почитать документацию: программа не очень-то понятна интуитивно. Сайт FireHOL полон документов и примеров. Особенно полезно Tutorial (Руководство), в котором дотошно описан каждый шаг процесса.

Правила брандмауэра состоят из спецификаций сетевого интерфейса (например, eth0), сопровождаемых ключевыми словами server или client. Подстановка server относит правило к входящим подключениям, а client – к исходящим. Затем необходимо указать название протокола для брандмауэра. Заканчивается процесс указанием действия (например, accept). Законченное правило может выглядеть так: server http accept (допустить входящие HTTP-запросы). Кроме брандмауэра, FireHOL позволяет контролировать NAT и маршрутизацию.

Брандмауэром управляет служба, размещаемая в большинстве дистрибутивов в каталоге /etc/init.d. Скрипт принимает ряд параметров, таких как start, для загрузки правил. Параметр try загружает правила брандмауэра на 30 секунд, если не последует commit для подтверждения; это удобно, если в процессе постройки брандмауэра для удаленной системы сделана ошибка, способная привести к разрыву связи и невозможности устранения проблемы.

Документация FireHOL написана прекрасно. Сайт программы несколько перегружен сообщениями типа “Added FireHOL_DROP_ORPHAN_TCP_ACK_FIN for busy servers” с минимальными комментариями.

Сайт: http://firehol.sourceforge.net/
Цена: Бесплатно под GPL

• Легкими движениями руки построить брандмауэр в FireHOL – одно удовольствие.
  

Рейтинг: 7/10

Guarddog

Четвероногий друг подает лапу помощи…

Интерфейс еще одной программы KDE – окно с четырьмя вкладками.

Правильно она работает только под суперпользователем. Guarddog совместим с функциональностью брандмауэров, заложенную в ядра 2.2, 2.4 и 2.6.

В первой вкладке устанавливаются зоны. Зона – это, по сути, IP-адрес или IP-сеть, поэтому может состоять из одной или нескольких машин. Концепция зоны – ключевая для программы; по умолчанию имеется зона Интернет и Локальная зона. Можно добавлять другие зоны, указывая их названия, IP-адреса и сетевые маски.

Во вкладке Protocol указывается трафик, допустимый в разных зонах, выбором флажков рядом с названиями протоколов в списке. Многие распространенные протоколы (например, HTTP и FTP) «зашиты» в программу, и не надо запоминать детали связанных с ними служб. Определить новые протоколы можно через вкладку Advanced (Дополнительно).

Вкладка Logging (Регистрация) открывает доступ ко всяким полезным функциям, например, ограничению на подключения: можно задать число одновременных подключений за определенный период времени и настроить многие другие параметры для управления количеством регистрируемой информации.

Брандмауэр нетрудно экспортировать через вкладку Advanced: будет составлен bash-скрипт с набором текущих правил. Это означает, что брандмауэр можно передать даже на машину без Guarddog. В принципе, Guarddog предназначен для работы на машине с действующим брандмауэром, поэтому правила можно корректировать прямо на месте.

На последней вкладке, Port Reference (О портах), собраны сведения о портах с различными номерами.

Сайт: www.simonzone.com/software/guarddog/
Цена: Бесплатно под GPL

• Сравнительно простая и нетребовательная к ресурсам программа. Хороша для домашних пользователей, но для крупной сети слабовата.
  

Рейтинг: 6/10

Firestarter

Вообще-то мы предпочли бы огнетушитель
[firestarter – поджигатель, – прим. пер.]!

Программа замечательно «легковесная», написана с использованием Gnome-библиотек, а работать с ней дозволено только суперпользователю. В главном окне – три вкладки, панель инструментов и строка меню. Первая вкладка, Status (Состояние), выдает некоторые общие сведения о состоянии сетевого подключения (сколько переслано данных, включен ли брандмауэр и т.п.).

Во второй вкладке, Events (События), собраны сведения о подключениях, блокированных брандмауэром, а именно номер порта, протокол и источник вторжения.

Наконец, во вкладке Policy (Политика) устанавливаются правила управления брандмауэром. По умолчанию входящие подключения блокируются. Входящий и исходящий трафик можно контролировать, указывая номера портов и IP-адреса. Перенаправление портов настраивается здесь же.

Другой способ настройки Firestarter – режим мастера: процесс пошаговых ответов на вопросы (например, о методе подключения вашей локальной сети). Удобно, что здесь же можно настроить разделяемый доступ к Интернету, обычно включив NAT и запустив DHCP-сервер для автоматической настройки других хостов, входящих в состав локальной сети.

Пользоваться Firestarter несложно – панель инструментов содержит контекстно-зависимые значки для управления основными функциями программы. Например, во вкладке Status есть кнопка Lock Firewall (Запереть брандмауэр), останавливающая весь трафик целиком, а другой кнопкой (Start/Stop) можно, соответственно, остановить или запустить защиту.

Документация составлена неплохо, с рисунками и примерами. Небольшая загвоздка: при выборе пункта Help (Справка) программа пытается открыть сайт Firestarter в Mozilla – это никак не спасет, если сеть еще не подключена! Было бы гораздо полезнее предоставлять справочные материалы локально.

Сайт: www.fs-security.com
Цена: Бесплатно под GPL

• Очень простой и эффективный брандмауэр для домашних, но не для производственных, целей.
  

Рейтинг: 6/10

Firewall Builder

Кроссплатформенный полиглот.

Графическая, кроссплатформенная, пригодная для Windows, Mac OS X и Linux, Firewall Builder – просто универсальная программа. Она способна составлять правила для многих типов брандмауэров, включая pf для OpenBSD, PIX-устройств Cisco и, конечно, Linux-iptables.

Для управления брандмауэрами Firewall Builder использует концепцию объектов. Например, каждый хост рассматривается как объект, которому можно присвоить сетевой интерфейс и IP-адрес (тоже объекты). Объекты выделяются в «дереве» левой части окна, а обрабатываются в правой части. Добавляются объекты щелчком на подходящем участке дерева и выбором New (Создать) – конкретное название зависит от контекста. Расположение объекта можно изменить копированием/вставкой.

Firewall Builder снабжен значительным количеством объектов, описывающих большинство известных протоколов вроде SMTP и HTTP, хотя эстеты могут определять собственные службы. Есть и пространное 116-страничное руководство в формате PDF, но, к сожалению, устаревшее, и примеры в нем не соответствуют функциональности современной версии программы. На сайте полно «образцовых» брандмауэров, но нет доходчивого разъяснения о том, как же они работают. Позор.

На наш взгляд, задумана программа неплохо – тем обиднее видеть убогую реализацию. Приступить к использованию программы было нелегко, поскольку она плохо понятна интуитивно, а документации недостает четких инструкций о построении брандмауэра «с нуля».

Сайт: www.fwbuilder.org
Цена: Бесплатно под GPL

• Мы искренне пытались полюбить Firewall Builder, но не смогли, из-за путаного дизайна и устаревшей документации.
  

Рейтинг: 3/10