ALTLinuxEdu
   1  
   2  III. Защита локальных вычислительных сетей образовательных учреждений от
   3  интернет-угроз .............................................................................................................................2
   4     1. Введение.................................................................................................................................2
   5         1.1. Информационная безопасность и Интернет............................................................................ 2
   6         1.2. Понятие многоуровневой системы защиты сети образовательного учреждения................ 7
   7     2. Программное обеспечение для защиты от вирусов и всех других типов
   8     вредоносных программ, а также от хакерских атак и спама (KlamAV+ClamAV, alterator-
   9     firewall) .....................................................................................................................................16
  10         2.1. Антивирус ClamAV .................................................................................................................. 16
  11         2.2. Графическая оболочка KlamAV .............................................................................................. 23
  12         2.3. Межсетевой экран netfilter/iptables.......................................................................................... 31
  13     3. Программное обеспечение для исключения доступа учащихся к интернет-ресурсам,
  14     несовместимым с задачами их воспитания (Squid и модуль сопряжения с федеральным
  15     сервером фильтрации контента) ............................................................................................65
  16         3.1. Кэширующий прокси-сервер Squid......................................................................................... 65
  17         3.2. Модуль сопряжения с федеральным сервером фильтрации контента................................. 78
  18  
  19  
  20  
  21  
  22  Академия АйТи                        Установка и администрирование ПСПО. Лекции. Часть 3                                       Страница 1 из 94
  23          III. Защита локальных вычислительных сетей
  24  образовательных учреждений от интернет-угроз
  25  
  26          1. Введение
  27  
  28  1.1. Информационная безопасность и Интернет
  29          Классификация угроз при работе в сети Интернет
  30          Если ранее подавляющее большинство атак сводилось к проникновению на
  31  компьютер пользователя той или иной вредоносной программы, сегодня множество угроз
  32  – хакерская атака, реклама, фишинг, реализуются удаленно и не нуждаются в
  33  дополнительных            модулях     на    компьютере-жертве.            Поэтому,   при    проведении
  34  классификации угроз в первую очередь следует разделить угрозы на два больших
  35  подмножества:
  36            ·       угрозы, реализация которых требует внедрения программных компонентов
  37    на компьютере-жертве, иначе именуемых вредоносные программы:
  38                  ü компьютерные вирусы;
  39                  ü черви;
  40                  ü троянские программы;
  41                  ü потенциально опасное ПО – рекламные утилиты и т.д.;
  42            ·       угрозы, реализация которых внедрения программных компонентов не
  43    требует:
  44                  ü спам;
  45                  ü фишинг;
  46                  ü внешняя, применительно к компьютеру, реклама, к примеру – баннеры и
  47       всплывающие окна;
  48                  ü хакинг.
  49  
  50          Ущерб от вредоносных программ
  51          Для вредоносных программ характерны следующие формы вредоносных действий:
  52            ·       перегрузка каналов связи – вид ущерба, связанный с тем, что во время
  53    масштабных эпидемий по Интернет-каналам передаются огромные количества
  54    запросов, зараженных писем или непосредственно копий вредоносного кода;
  55            ·       DDoS (Distributed Denial-of-service) атаки, распределённые атаки «отказ в
  56    обслуживании» – вид вредоносного воздействия, выражающийся в одновременном
  57  
  58  Академия АйТи                Установка и администрирование ПСПО. Лекции. Часть 3           Страница 2 из 94
  59    обращении большого количества, иногда до миллиона и более, инфицированных систем
  60    к определенному Интернет-ресурсу, что приводит к полному его блокированию;
  61            ·     потеря данных – поведение вредоносного кода, связанное с намеренным
  62    уничтожением определенных данных на компьютере пользователя;
  63            ·     нарушение работы ПО – из-за ошибок в самом вредоносном ПО,
  64    зараженные приложения могут работать с ошибками или не работать вовсе;
  65            ·     загрузка ресурсов компьютера – интенсивное использование ресурсов
  66    компьютера вредоносными программами ведет к снижению производительности как
  67    системы в целом, так и отдельных приложений.
  68          Помимо этого заражение компьютера и включение его в состав ботнета приводит к
  69  тому, что в журналах атакуемых систем как источник атаки значится именно этот
  70  компьютер, что может привести к судебным искам против владельца зараженного
  71  компьютера или блокированию доступа к Интернет-ресурсу с этого компьютера.
  72  
  73  Угрозы, не требующие внедрения программных компонентов
  74          Все угрозы этого класса, не считая хакерских, преимущественно используют
  75  методы социальной инженерии (социотехники) для достижения результата.
  76          Спам
  77          Спам – это анонимная массовая незапрошенная рассылка.
  78          Данное определение довольно хорошо соотносится с мировой практикой и
  79  определениями      спама,   положенными          в   основу      американского   и   европейского
  80  законодательства о спаме. Кроме того, это определение можно эффективно использовать
  81  на практике.
  82          Анонимная рассылка: все страдают в основном именно от автоматических
  83  рассылок, со скрытым или фальсифицированным обратным адресом. В настоящее время
  84  не существует спамеров, которые не скрывали бы своего адреса и места рассылки.
  85          Массовая рассылка: именно массовые рассылки, и только они, являются
  86  настоящим бизнесом для спамеров и настоящей проблемой для пользователей. Небольшая
  87  рассылка, сделанная по ошибке человеком, не являющимся профессиональным спамером,
  88  может быть нежелательной почтой, но не спамом.
  89          Незапрошеная рассылка: очевидно, что подписные рассылки и конференции не
  90  должны попадать в категорию «спама» (хотя условие анонимности и так в значительной
  91  мере это гарантирует).
  92          Пять основных тематик покрывают около 50% всего потока спама, как в Рунете,
  93  так и в Интернете в целом. Состав тематических «лидеров» практически не менялся за
  94  Академия АйТи            Установка и администрирование ПСПО. Лекции. Часть 3         Страница 3 из 94
  95  последние годы и не зависит от региона распространения спама. Лидирующие тематики
  96  спама следующие:
  97            ·     спам «для взрослых»;
  98            ·     здоровый образ жизни и медикаменты;
  99            ·     компьютеры и Интернет;
 100            ·     личные финансы;
 101            ·     образование.
 102          Очень большая часть спама не преследует рекламных или коммерческих целей.
 103  Существуют       рассылки      политического        и     агитационного         спама,   есть     также
 104  «благотворительные»       спамерские       письма       (призывающие           помочь    каким-нибудь
 105  несчастным). Отдельную категорию составляют мошеннические письма, а также письма,
 106  направленные на кражу паролей и номеров кредитных карт. Еще бывают так называемые
 107  «цепочечные письма», то есть письма с просьбой переслать их знакомым («страшилки»,
 108  «письма счастья») и т. п. Есть также вирусные письма, содержащие завлекательный текст
 109  и вирусы под видом игрушек, картинок, программ.
 110  
 111          Сбор и верификация списков адресов
 112          Для рассылки спама необходимо иметь список адресов электронной почты
 113  потенциальных получателей («спам-базу», email database). Сбор адресов осуществляется
 114  следующими методами:
 115            ·     подбор по словарям имен собственных, «красивых слов», частых сочетаний
 116    «слово-цифра» (например, «john@», «cool@», «alex-2@»);
 117            ·     метод аналогий — если существует адрес Masha.Orlova@mail.ru, то вполне
 118    резонно поискать Masha.Orlova в почтовых доменах inbox.ru, gmail.ru, yandex.ru и т.п.;
 119            ·     сканирование всех доступных источников информации — веб-сайтов,
 120    форумов, чатов, досок объявлений, Usenet, баз данных Whois на сочетание «
 121    слово1@слово2.слово3» (при этом на конце такого сочетания должен быть домен
 122    верхнего уровня — com, ru, info и т.д.);
 123            ·     воровство баз данных сервисов, провайдеров и т.п.;
 124            ·     воровство персональных данных пользователей при помощи компьютерных
 125    вирусов и прочих вредоносных программ.
 126          При сканировании доступных источников информации (способ 3) можно пытаться
 127  определить «круг интересов» пользователей данного источника, что дает возможность
 128  получить тематические базы данных. В случае воровства данных у провайдеров
 129  
 130  
 131  Академия АйТи            Установка и администрирование ПСПО. Лекции. Часть 3              Страница 4 из 94
 132  достаточно часто имеется дополнительная информация о пользователе, что тоже
 133  позволяет провести персонализацию.
 134          Фишинг
 135          Фишинг (англ. phishing) — вид Интернет-мошенничества, цель которого —
 136  получить идентификационные данные пользователей. Фишинг – это компьютерное
 137  преступление,     мошенничество,         основанное          на       принципах     социотехники.
 138  Злоумышленником создается практически точная копия сайта выбранного Интернет-
 139  ресурса: банка, платёжной системы и т.п. Затем, при помощи спам-технологий
 140  рассылается письмо, составленное таким образом, чтобы быть максимально похожим на
 141  настоящее письмо от выбранной организации. Используются логотипы организации,
 142  имена и фамилии реальных руководителей. В таком письме, как правило, сообщается о
 143  том, что из-за смены программного обеспечения в системе оказания Интернет-услуг
 144  пользователю необходимо подтвердить или изменить свои учетные данные. В качестве
 145  причины для изменения данных могут быть названы выход из строя ПО или же нападение
 146  хакеров. Во всех случаях цель таких писем одна — заставить пользователя нажать на
 147  приведенную ссылку, а затем ввести свои конфиденциальные данные на ложном сайте.
 148          Как выглядят phishing-атаки?
 149          Мошенники со временем становятся все более изощренными, то же самое
 150  происходит и с phishing-сообщениями электронной почты и всплывающими окнами. Они
 151  часто     используют   официальные        логотипы       реальных       организаций    и    другую
 152  идентифицирующую информацию, взятую непосредственно с надежного веб-узла.
 153          Ниже приведен пример phishing-сообщения электронной почты (Рис. 1.). Для
 154  придания phishing-сообщению еще более надежного вида мошенники могут поместить в
 155  него ссылку, на первый взгляд ведущую к надежному веб-узлу (1), хотя на самом деле она
 156  ведет на поддельный веб-узел мошенников (2) или вызывает всплывающее окно, которое
 157  выглядит так же, как официальный веб-узел. Эти фальшивые узлы называют также
 158  подложными веб-узлами. Попав на такой веб-узел, вы можете предоставить мошенникам
 159  личную     информацию.    Полученная        информация         чаще     всего   используется     для
 160  приобретения товаров, получения новой кредитной карточки или хищения личных
 161  данных.
 162          В некоторых случаях злоумышленники размещают на подобных сайтах различные
 163  эксплойты уязвимостей MS Internet Explorer для побочной установки на компьютер
 164  пользователей каких-либо троянских программ. Появление в конце 2003 года экплойта
 165  уязвимости с подменой реального URL привело к появлению новой разновидности
 166  
 167  Академия АйТи          Установка и администрирование ПСПО. Лекции. Часть 3            Страница 5 из 94
 168  фишинга, получившего название «спуфинг» (spoofing). В случае использования данной
 169  уязвимости атакуемый пользователь визуально может наблюдать настоящий адрес
 170  банковского сайта в адресной строке браузера, но находиться сам при этом будет на сайте
 171  поддельном. Успеху фишинг-афёр способствует низкий уровень осведомленности
 172  пользователей о правилах работы компаний, от имени которых действуют преступники. В
 173  частности, почти половина пользователей не знают простого факта: банки не рассылают
 174  писем с просьбой подтвердить в онлайне номер своей кредитной карты и её PIN-код. Для
 175  защиты от фишинга производители основных Интернет-браузеров договорились о
 176  применении одинаковых способов информирования пользователей о том, что они
 177  открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии
 178  браузеров обладают такой возможностью.
 179  
 180  
 181  
 182  
 183          Рис.    1.   Пример   phishing-сообщения         электронной       почты   со   ссылкой      на
 184  мошеннический веб-узел
 185          Реклама
 186          Реклама сегодня присутствует везде и постоянно – на улице, на телевидении, в
 187  журналах и газетах и, разумеется, в Интернет. Рекламу в Интернет можно разделить на
 188  внешнюю и внутреннюю применительно к компьютеру. Внутренней в этом случае будет
 189  самореклама программ, установленных на компьютере, реклама, демонстрируемая в
 190  качестве дополнения к основному функционалу загруженных из Интернет бесплатных
 191  программ, а также разного рода скрытые и полускрытые утилиты для демонстрации
 192  рекламы, установленные на компьютере. Последние три типа программ относятся к
 193  
 194  Академия АйТи            Установка и администрирование ПСПО. Лекции. Часть 3            Страница 6 из 94
 195  категории adware и причислены к потенциально опасному ПО, так как, не нанося явного
 196  вреда системе, они, тем не менее, загружают канал передачи данных и отнимают время у
 197  пользователя.
 198          Внешней, применительно к целевому компьютеру, рекламой, обычно считаются
 199  всплывающие окна на сайтах, иногда без возможности закрытия и многочисленные
 200  банеры, показываемые в процессе интерактивной работы с Интернет, а также спамовые
 201  рекламные рассылки, уже рассмотренные ранее. В отличие от платного телевидения,
 202  покупка чистого от рекламы Интернета в настоящий момент не представляется
 203  возможной, а количество рекламы в Интернет постоянно возрастает, что автоматически
 204  поднимает вопрос о необходимости уменьшения этого количества. С рекламой,
 205  приходящей по электронной почте, очевидно, должны бороться антиспамовые фильтры,
 206  тогда как для уменьшения количества всплывающих окон и демонстрируемых баннеров
 207  нужны другие специальные средства.
 208          Хакерские атаки
 209          Под хакерскими атаками подразумевается два вида атак – с автоматическим
 210  внедрением вредоносных программ стандартными способами и реализуемые вручную,
 211  когда целью злоумышленника является взлом отдельной системы. Наилучшее средство
 212  борьбы с атаками второго рода – разработка и реализация правил безопасности, четко
 213  описывающих допустимые и недопустимые информационные потоки в сети. Для
 214  практической реализации политики безопасности в случае хакерских атак, как правило,
 215  используются пакетные фильтры, межсетевые экраны и системы обнаружения вторжений
 216  (Intrusion Detection System, IDS).
 217  
 218  1.2. Понятие многоуровневой системы защиты сети образовательного
 219  учреждения
 220          Современные информационные системы имеют сложную структуру. Они содержат
 221  пользовательские     приложения,       работающие        во     взаимодействии   с   различными
 222  операционными системами, установленными на компьютерах, объединенных в локальную
 223  сеть, часто связанную тем или иным образом с сегментом глобальной сети. Обеспечение
 224  безопасности такой системы требует проведения целого комплекса мероприятий в
 225  соответствии с разработанной на предприятии политикой информационной безопасности.
 226          Существует два возможных направления политики информационной безопасности.
 227  В первом случае (ограничительная политика), пользователь имеет право использовать
 228  любые ресурсы, кроме тех, доступ к которым ограничен или закрыт. Во втором случае
 229  
 230  
 231  
 232  Академия АйТи           Установка и администрирование ПСПО. Лекции. Часть 3          Страница 7 из 94
 233  (нормативная политика), пользователь имеет право использовать только те ресурсы,
 234  которые ему явным образом выделены.
 235          Первая схема политики безопасности применяется, как правило, на предприятиях с
 236  большим набором функционально различных групп достаточно квалифицированных
 237  пользователей. Вторая схема применима там, где производится много действий с одним и
 238  тем же набором приложений, причем круг этих приложений может быть очерчен заранее,
 239  а любое нестандартное действие рассматривается как попытка нарушения режима
 240  информационной безопасности.
 241          В соответствии с принятой терминологией, информационная безопасность
 242  обеспечена      в   случае,   если   для     любых      информационных          ресурсов    в   системе
 243  поддерживается        определенный         уровень        конфиденциальности         (невозможности
 244  несанкционированного получения какой-либо информации), целостности (невозможности
 245  несанкционированной либо случайной ее модификации) и доступности (возможности за
 246  разумное время получить требуемую информацию). При этом должна учитываться не
 247  только вероятность нарушения какого-либо из аспектов безопасности в результате
 248  умышленных либо неумышленных действий пользователей, но и вероятность выхода из
 249  стоя каких-либо узлов информационной системы. В этом смысле средства повышения
 250  надежности также входят в комплекс информационной безопасности предприятия.
 251  
 252          Многоуровневая защита информационной системы
 253          Невозможно       анализировать        безопасность       информационной        системы        без
 254  рассмотрения ее структуры, хотя бы в самом общем виде. Подобная структура достаточно
 255  хорошо описывается четырехуровневой моделью.
 256  
 257  
 258  
 259  
 260          Рис. 2. Четырехуровневая модель информационной системы
 261          Ниже приведена краткая характеристика каждого из уровней:
 262  Академия АйТи             Установка и администрирование ПСПО. Лекции. Часть 3              Страница 8 из 94
 263              1. Внешний уровень определяет взаимодействие информационной системы
 264      организации      с   глобальными       ресурсами        и    системами      других    организаций.
 265      Функционально этот уровень характеризуется, с одной стороны, информационными
 266      (главным образом, сетевыми) сервисами, предоставляемыми данной организацией, с
 267      другой стороны, аналогичными сервисами, запрашиваемыми из глобальной сети. На
 268      этом    уровне       должны     отсекаться,       как       попытки     внешних      пользователей
 269      несанкционированно получить доступ к внутренним сервисам, так и попытки
 270      собственных пользователей осуществить подобные операции по отношению к
 271      внешним сервисам или несанкционированно переслать информацию в глобальную
 272      сеть.
 273              2. Сетевой уровень связан с доступом к информационным ресурсам внутри
 274      локальной     сети     организации.      Безопасность         информации      на     этом    уровне
 275      обеспечивается средствами проверки подлинности пользователей и разграничением
 276      доступа к ресурсам локальной сети (аутентификация и авторизация).
 277              3. Системный уровень связан, прежде всего, с управлением доступом к
 278      ресурсам ОС. Именно на этом уровне происходит непосредственное взаимодействие с
 279      пользователями, запускаются приложения, и, самое главное, определяются «правила
 280      игры» между информационной системой и пользователем (задается либо изменяется
 281      конфигурация системы). В этой связи, естественно понимать защиту информации на
 282      данном уровне, как четкое разделение, к каким ресурсам ОС, какой пользователь и
 283      когда может быть допущен. Важность именно этого уровня можно проиллюстрировать
 284      тем фактом, что долгое время вопросы информационной безопасности сводились
 285      исключительно к рассмотрению защиты на уровне и средствами ОС.
 286              4. Уровень приложений связан с использованием прикладных ресурсов
 287      информационной системы. Поскольку именно приложения на содержательном уровне
 288      работают с пользовательскими данными, для них, вообще говоря, нужны собственные
 289      механизмы обеспечения информационной безопасности.
 290  
 291          Многоуровневая защита с точки зрения сетевой архитектуры
 292          Концепция многоуровневой системы безопасности состоит в наращивании числа
 293  «линий обороны» с целью повышения степени защищенности охраняемого объекта. Такая
 294  система защиты многократно увеличивает затраты, необходимые для проведения атаки.
 295  Она воздвигает множество препятствий на пути злоумышленника. Эшелонированная
 296  оборона предотвращает как прямые атаки на критически важные системы, так и попытки
 297  «прощупывания» вашей сети. Кроме того, такое построение системы защиты
 298  
 299  Академия АйТи             Установка и администрирование ПСПО. Лекции. Часть 3             Страница 9 из 94
 300  предполагает и реверсный эффект – предотвращение несанкционированных действий
 301  собственных пользователей по отношению к внешним ресурсам. С точки зрения сети
 302  образовательного учреждения такой подход представляется наиболее актуальным.
 303          При организации защиты от Интернет-угроз важным является понятие периметра
 304  – укреплённой границы сети. Периметр может состоять из различных подсистем, как
 305  представленных различными аппаратными и программными                           средствами, так и
 306  объединёнными в единый программно-аппаратный комплекс. Такими подсистемами
 307  обычно являются:
 308            ·     маршрутизаторы (routers);
 309            ·     межсетевые экраны (брандмауэры, firewalls);
 310            ·     прокси-серверы;
 311            ·     системы обнаружения вторжений (IDS);
 312            ·     средства создания виртуальных частных сетей (VPN);
 313            ·     антивирусные средства;
 314            ·     экранированные подсети.
 315  
 316          Пограничный маршрутизатор
 317          Маршрутизаторы (routers) осуществляют управление трафиком, поступающим в
 318  сеть, выходящим из сети или трафиком внутри самой сети. Пограничный маршрутизатор
 319  (border router) является последним маршрутизатором непосредственно перед выходом во
 320  внешнюю сеть. В силу того, что весь Интернет-трафик организации проходит через этот
 321  маршрутизатор, последний часто функционирует в роли первой и последней линии
 322  защиты сети, обеспечивая фильтрацию входящего и исходящего трафика.
 323          Межсетевой экран
 324          Межсетевой экран — комплекс аппаратных или программных средств,
 325  осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на
 326  различных уровнях модели OSI в соответствии с заданными правилами.
 327          Основной задачей межсетевого экрана является защита компьютерных сетей или
 328  отдельных узлов от несанкционированного доступа. Также межсетевые экраны часто
 329  называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты,
 330  не подходящие под критерии, определённые в конфигурации.
 331          Некоторые межсетевые экраны также позволяют осуществлять трансляцию
 332  адресов — динамическую замену адресов назначения или источника – Network Address
 333  Translation (NAT).
 334  
 335  
 336  Академия АйТи            Установка и администрирование ПСПО. Лекции. Часть 3         Страница 10 из 94
 337          Другие названия
 338          Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин,
 339  являющийся аналогом английского firewall в его оригинальном значении (стена, которая
 340  разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в
 341  области компьютерных технологий в немецком языке употребляется слово «firewall».
 342          Файрво́лл,   файрво́л,     файерво́л,     фаерво́л     —      образовано     транслитерацией
 343  английского термина firewall, эквивалентного термину межсетевой экран, в настоящее
 344  время не является официальным заимствованным словом в русском языке.
 345          Разновидности межсетевых экранов
 346          Межсетевые экраны подразделяются на различные типы в зависимости от
 347  следующих характеристик:
 348            ·     обеспечивает ли экран соединение между одним узлом и сетью или между
 349    двумя или более различными сетями;
 350            ·     происходит ли контроль потока данных на сетевом уровне или более
 351    высоких уровнях модели OSI;
 352            ·     отслеживаются ли состояния активных соединений или нет.
 353          В зависимости от охвата контролируемых потоков данных межсетевые экраны
 354  делятся на:
 355            ·     традиционный межсетевой экран — программа (или неотъемлемая часть
 356    операционной системы) на шлюзе (сервере передающем трафик между сетями) или
 357    аппаратное решение, контролирующие входящие и исходящие потоки данных между
 358    подключенными сетями;
 359            ·     персональный     межсетевой        экран     —     программа,      установленная      на
 360    пользовательском        компьютере          и       предназначенная          для     защиты         от
 361    несанкционированного доступа только этого компьютера.
 362          Вырожденный случай — использование традиционного межсетевого экрана
 363  сервером, для ограничения доступа к собственным ресурсам.
 364          В зависимости от уровня модели OSI, на котором происходит контроль доступа,
 365  существует следующее разделение межсетевых экранов:
 366            ·     функционирующие на сетевом уровне, когда фильтрация происходит на
 367    основе адресов отправителя и получателя пакетов, номеров портов транспортного
 368    уровня модели OSI и статических правил, заданных администратором;
 369            ·     функционирующие на сеансовом уровне (также известные как stateful) —
 370    отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих
 371    спецификации       TCP/IP,     часто   используемых         в    злонамеренных      операциях       —
 372  Академия АйТи            Установка и администрирование ПСПО. Лекции. Часть 3            Страница 11 из 94
 373    сканировании        ресурсов,       взломах      через      неправильные         реализации     TCP/IP,
 374    обрыв/замедление соединений, инъекция данных;
 375            ·     функционирующие на уровне приложений, фильтрация на основании
 376    анализа данных приложения, передаваемых внутри пакета: такие типы экранов
 377    позволяют блокировать передачу нежелательной и потенциально опасной информации,
 378    на основании политик и настроек.
 379          Некоторые решения, относимые к межсетевым экранам уровня приложения,
 380  представляют собой прокси-серверы с некоторыми возможностями межсетевого экрана,
 381  реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности
 382  прокси-сервера и многопротокольная специализация делают фильтрацию значительно
 383  более гибкой, чем на классических межсетевых экранах, но такие приложения имеют все
 384  недостатки прокси-серверов (например, анонимизация трафика).
 385          В зависимости от возможности отслеживания активных соединений межсетевые
 386  экраны подразделяются на:
 387            ·     stateless   (простая      фильтрация),       которые       не     отслеживают    текущие
 388    соединения (например, TCP), а фильтруют поток данных исключительно на основе
 389    статических правил;
 390            ·     stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с
 391    отслеживанием текущих соединений и пропуском только таких пакетов, которые
 392    удовлетворяют логике и алгоритмам работы соответствующих протоколов и
 393    приложений: такие типы межсетевых экранов позволяют эффективнее бороться с
 394    различными видами DoS-атак и уязвимостями некоторых сетевых протоколов, кроме
 395    того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и
 396    т.п., которые используют сложные схемы передачи данных между адресатами, плохо
 397    поддающиеся описанию статическими правилами, и, зачастую, несовместимых со
 398    стандартными, stateless межсетевыми экранами.
 399  
 400          Прокси-серверы
 401          Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба в
 402  компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим
 403  сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-
 404  либо ресурс (например, e-mail или веб-сайт), расположенный на другом сервере. Затем
 405  прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо
 406  возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В
 407  некоторых       случаях     запрос    клиента      или     ответ    сервера       может   быть   изменён
 408  
 409  Академия АйТи               Установка и администрирование ПСПО. Лекции. Часть 3            Страница 12 из 94
 410  прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать
 411  клиентский компьютер от некоторых сетевых атак.
 412          Чаще всего прокси-серверы применяются для следующих целей:
 413            ·     обеспечение доступа с компьютеров локальной сети в Интернет;
 414            ·     кэширование данных: если часто происходят обращения к одним и тем же
 415    внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по
 416    запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение
 417    клиентом запрошенной информации;
 418            ·     сжатие данных: прокси-сервер загружает информацию из Интернета и
 419    передаёт информацию конечному пользователю в сжатом виде, такие прокси-серверы
 420    используются в основном с целью экономии внешнего трафика;
 421            ·     защита локальной сети от внешнего доступа: например, можно настроить
 422    прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам
 423    только через него, а внешние компьютеры не смогут обращаться к локальным вообще
 424    (они «видят» только прокси-сервер).
 425            ·     ограничение доступа из локальной сети к внешней: например, можно
 426    запретить доступ к определённым веб-сайтам, ограничить использование интернета
 427    каким-то локальным пользователям, устанавливать квоты на трафик или полосу
 428    пропускания, фильтровать рекламу и вирусы;
 429            ·     анонимизация доступа к различным ресурсам: прокси-сервер может
 430    скрывать сведения об источнике запроса или пользователе; в таком случае целевой
 431    сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет
 432    возможности определить истинный источник запроса, существуют также искажающие
 433    прокси-серверы, которые передают целевому серверу ложную информацию об
 434    истинном пользователе.
 435          Многие прокси-серверы используются для нескольких целей одновременно.
 436  Некоторые прокси-серверы ограничивают возможность использования только нескольких
 437  наиболее популярных протоколов: http - tcp/80, https – tcp/443 (шифрованное соединение
 438  http), ftp – tcp/20 и tcp/21.
 439          В отличие от шлюза, прокси-сервер чаще всего не пропускает ICMP-трафик
 440  (невозможно проверить доступность машины командами ping и tracert).
 441          Прокси-сервер, к которому может получить доступ любой пользователь сети
 442  интернет, называется открытым.
 443          Прозрачный прокси — это такой прокси-сервер, который принимает трафик от
 444  клиентов сети через маршрутизатор, способный различать какой трафик должен быть
 445  Академия АйТи              Установка и администрирование ПСПО. Лекции. Часть 3   Страница 13 из 94
 446  направлен через прокси-сервер. То есть клиенту не нужно проводить конфигурацию ПО
 447  для работы через прокси-сервер, маршрутизатор сам направит трафик клиента на прокси-
 448  сервер.
 449  
 450          Системы обнаружения вторжений
 451          IDS (Intrusion Detection System) – система обнаружения вторжений выполняет роль
 452  охранной сигнализации сети и применяется для обнаружения и извещения обо всех
 453  сетевых пакетах, являющихся частью вредоносного или потенциально опасного трафика.
 454  Система, как правило, содержит множество детекторов различного типа, размещенных в
 455  стратегических точках сети. Детекторы IDS ищут заданные сигнатуры нежелательных
 456  событий и могут выполнять заранее предопределённые действия, подобно тому, как
 457  антивирус определяет наличие вируса в файле.
 458  
 459          Виртуальные частные сети
 460          VPN (Virtual Private Network) – виртуальная частная сеть представляет собой
 461  защищенный сеанс, для организации которого                  используются незащищенные каналы,
 462  например, Интернет.
 463          Антивирусные средства
 464          Антивирусные средства предназначены для борьбы с вредоносными программами
 465  и иными угрозами и, как правило, интегрируются с другими подсистемами сетевого
 466  периметра.
 467          Экранированная подсеть
 468          Представляет     собой     изолированную          сеть,    соединенную   с   определенным
 469  интерфейсом межсетевого экрана или другого фильтрующего трафик устройства. Сеть
 470  образовательного учреждения, защищённая с помощью продуктов из комплекта поставки
 471  СПО, может рассматриваться как экранированная подсеть.
 472  
 473          Организация многоуровневой защиты сети образовательного
 474  учреждения с использованием комплекта ПСПО
 475          В комплекте ПСПО поставляется несколько продуктов, предназначенных для
 476  построения защищённого периметра сети образовательного учреждения:
 477            ·     межсетевой экран netfilter/iptables;
 478            ·     модульный конфигуратор Alterator, используемый, в том числе, и для
 479    управления работой межсетевого экрана netfilter/iptables;
 480            ·     антивирус ClamAV;
 481            ·     графический интерфейс настройки и управления антивирусом KlamAV;
 482            ·     кэширующий прокси-сервер Squid;
 483  Академия АйТи             Установка и администрирование ПСПО. Лекции. Часть 3        Страница 14 из 94
 484            ·      система контентной фильтрации (СКФ).
 485          Общая схема совместной работы указанных компонентов представлена на
 486  диаграмме:
 487  
 488  
 489             Веб-прокси                                                                 Интернет
 490               клиент
 491  
 492                       j                      Прокси-сервер                                        l
 493                                            Netfilter       Netfilter                              l
 494                                                      Squid
 495                                                     k                     k
 496                             Антивирус                                            СКФ
 497                              ClamAV
 498          Рис. 3. Схема обработки исходящих запросов из сети образовательного учреждения
 499  
 500          Порядок взаимодействия компонентов в вышеприведённой схеме следующий:
 501                1. Ученик обращается с компьютера, сконфигурированного как клиент прокси-
 502      сервера Squid к Интернет-ресурсу.
 503                2. Межсетевой экран Netfilter принимает запрос и, опираясь на список своих
 504      правил, сформированных для внутреннего интерфейса, принимает решение о
 505      разрешении или запрете дальнейшей обработки запроса. При положительном решении
 506      запрос попадает к прокси-серверу Squid.
 507                3. Прокси-сервер Squid, опираясь на собственный список правил, также
 508      принимает решение о возможности дальнейшей обработки запроса. В качестве
 509      критериев принятия решения выступают также ответы от антивируса и СКФ, к
 510      которым прокси-сервер Squid обращается в процессе обработки запроса. При
 511      положительном решении запрос перенаправляется на внешний интерфейс прокси-
 512      сервера.
 513                4. Межсетевой экран Netfilter обрабатывает запрос, опираясь на список своих
 514      правил, сформированных для внешнего интерфейса. При положительном решении
 515      запрос передаётся в Интернет.
 516  
 517  
 518  Академия АйТи             Установка и администрирование ПСПО. Лекции. Часть 3     Страница 15 из 94
 519                 5. Обработка ответа происходит в обратном порядке. При этом, если
 520        антивирус обнаружит в ответе вредоносный код, он передаст отрицательный ответ
 521        прокси-серверу, и компьютер ученика не получит несущую угрозу информацию с
 522        Интернет-ресурса.
 523  
 524  2.       Программное обеспечение для защиты от вирусов и всех
 525  других типов вредоносных программ, а также от хакерских атак и
 526  спама (KlamAV+ClamAV, alterator-firewall)
 527           В предыдущем разделе была приведена схема совместного использования
 528  продуктов из комплекта ПСПО. Для её практического использования требуется
 529  установить и настроить каждый из компонентов.
 530  
 531           2.1. Антивирус ClamAV
 532           Clam AntiVirus — это антивирусный набор с открытым исходным кодом (GPL) для
 533  UNIX, предназначенный, прежде всего, для сканирования электронной почты на почтовых
 534  шлюзах.        Он     предоставляет     некоторое       количество       утилит,   включая   гибкий     и
 535  масштабируемый многопоточный демон, сканер командной строки и продвинутый
 536  инструмент для автоматических обновлений баз данных. Ядром набора является
 537  антивирусный механизм, доступный в форме разделяемой библиотеки.
 538           Общие сведения
 539           Вот список основных возможностей:
 540             ·        сканер командной строки;
 541             ·        быстрый, многопоточный демон с поддержкой сканирования при доступе;
 542             ·        milter-интерфейс для sendmail;
 543             ·        модуль обновления баз сигнатур угроз с возможностью получения
 544       частичных обновлений и использованием цифровых подписей файлов обновлений;
 545             ·        C-библиотека вирусного сканера;
 546             ·        сканирование при доступе (Linux® и FreeBSD®);
 547             ·        вирусная база данных, обновляемая несколько раз в день (смотрите
 548       домашнюю страницу относительно общего числа сигнатур);
 549             ·        встроенная поддержка различных архивных форматов, включая Zip, RAR,
 550       Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS и другие;
 551             ·        встроенная поддержка почти всех форматов почтовых файлов;
 552  
 553  
 554  Академия АйТи                Установка и администрирование ПСПО. Лекции. Часть 3         Страница 16 из 94
 555             ·     встроенная поддержка выполняемых файлов ELF и Portable Executable,
 556    сжатых UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack и замаскированных SUE,
 557    Y0da Cryptor и другими;
 558             ·     встроенная поддержка общераспространённых форматов документов,
 559    включая файлы MS Office и MacOffice, HTML, RTF и PDF.
 560          Принцип функционирования антивируса схематично изображён на следующем
 561  рисунке:
 562  
 563                                                                                     Приложения
 564       sendmail          clamdscan                  Squid               clamscan       freshclam
 565  
 566  
 567                                                                                      Интерфейсы
 568         clamav-              clamd
 569          milter
 570  
 571  
 572                                                                                   Исполнительный
 573                  Антивирусное                                                           механизм
 574                       ядро
 575                   (libclamav)                                База сигнатур
 576  
 577  
 578  
 579          Рис. 4. Принципиальная схема функционирования антивируса
 580  
 581          Процесс поддержания баз сигнатур угроз в актуальном состоянии
 582          База сигнатур угроз поддерживается в актуальном состоянии, не в последнюю
 583  очередь, благодаря помощи сообщества СПО. Группа создателей сигнатур старается не
 584  отставать от создателей и распространителей новых угроз, выпуская обновление базы
 585  сигнатур меньше, чем через час после начала распространения нового вредоносного кода.
 586  При обнаружении нового вируса, который не смог обнаружить ClamAV, необходимо
 587  заполнить форму на сайте http://www.clamav.net/sendvirus. Группа создателей сигнатур
 588  проверит полученную информацию и при необходимости обновит базу сигнатур.
 589  
 590  2.1.1. Установка ClamAV
 591          Устанавливать приложения из комплекта ПСПО лучше всего с использованием
 592  менеджера пакетов Synaptic, т.к. это гарантирует совместимость всех программным
 593  модулей комплекта друг с другом. Если вы планируете произвести установку из
 594  rpm-пакетов,          то         обратитесь             к         документации      разработчика:
 595  http://www.clamav.net/doc/latest/clamdoc.pdf
 596  Академия АйТи              Установка и администрирование ПСПО. Лекции. Часть 3       Страница 17 из 94
 597          Для установки из репозитария необходимо запустить менеджер пакетов, выбрать
 598  пакет clamav и отметить его для установки. После чего применить изменения, и антивирус
 599  будет установлен. Если антивирус уже установлен, то этот шаг можно пропустить.
 600          По окончании установки в системе будут присутствовать следующие исполняемые
 601  файлы:
 602            ·     /usr/sbin/clamd – антивирусный демон, прослушивающий подключения к
 603    UNIX или TCP-сокетам и сканирующий каталоги по требованию;
 604            ·     /usr/bin/clamscan – утилита командной строки, предназначенная для
 605    проверки файлов и каталогов на предмет наличия вирусов;
 606            ·     /usr/bin/clamdscan – простой интерфейс к демону clamd, позволяет также
 607    сканировать файлы и каталоги, при этом используются те же параметры, что и в
 608    clamscan;
 609            ·     /usr/bin/freshclam – утилита автоматического обновления вирусной базы
 610    данных через Интернет, позволяющая держать ее в актуальном состоянии;
 611            ·     /usr/bin/sigtool – генерирует вирусную сигнатуру, используя внешний
 612    антивирусный сканер, который способен обнаружить вирус. Может создавать
 613    шестнадцатеричный дамп и формировать и распаковывать CVD-базу данных (ClamAV
 614    Virus Database).
 615  
 616  2.1.2. Настройка ClamAV
 617          Для успешного функционирования исполняемых модулей, входящих в состав
 618  антивируса ClamAV, потребуется создать в системе учетные записи пользователя и
 619  группы с именем clamav. Именно эти учётные записи используются для доступа к
 620  директориям и файлам со служебной информацией. Их можно создать, например, с
 621  помощью следующей последовательности команд:
 622          # groupadd clamav
 623          # useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav
 624          Необходимо заблокировать несанкционированный доступ к вновь созданным
 625  учетным записям.
 626          Если антивирус был установлен из репозитария, то он уже настроен на
 627  использования учётной записи пользователя mail, входящего в состав группы mail.
 628          Антивирус ClamAV использует для настройки параметров функционирования
 629  своих компонентов два конфигурационных файла: clamd.conf                      для демона clamd и
 630  freshclam.conf для утилиты обновления баз сигнатур freshclam. Если установка
 631  производилась средствами менеджера пакетов Synaptic, то эти файлы будут расположены
 632  в директории /etc/clamav, и их редактирование без необходимости не требуется.
 633  Академия АйТи           Установка и администрирование ПСПО. Лекции. Часть 3          Страница 18 из 94
 634          При установке из rpm-пакетов с параметрами по умолчанию конфигурационные
 635  файлы     располагаются       в    директории        /usr/local/etc     и       требуют   обязательного
 636  первоначального редактирования. Редактирование заключается в комментировании
 637  строки со словом Example. Прочие параметры настраиваются по необходимости.
 638          Файл clamd.conf содержит следующие основные настройки:
 639              1. User – имя учётной записи, используемой для работы демоном clamd,
 640      например:
 641              User clamav
 642              2. LogFile – полный путь к файлу журнала демона clamd, например:
 643              LogFile /var/log/clamav/clamd.log
 644              Для правильного и корректного функционирования демона clamd необходимо
 645      вручную создать указанный файл и сделать его владельцем пользователя, указанного в
 646      параметре User.
 647              3. DatabaseDirectory - полный путь к директории, в которой хранятся файлы
 648      базы сигнатур, например:
 649              DatabaseDirectory /var/lib/clamav
 650              Необходимо, чтобы пользователь, указанный в параметре User, имел доступ на
 651      чтение к указанной директории.
 652              4. TemporaryDirectory - полный путь к директории, в которую демон clamd
 653      будет сохранять временные файлы, например:
 654              TemporaryDirectory /var/tmp
 655              Необходимо, чтобы пользователь, указанный в параметре User, имел доступ на
 656      чтение и запись к указанной директории.
 657              5. LocalSocket - полный путь к файлу сокета, который демон clamd будет
 658      использовать для взаимодействия с другими программами, например:
 659              LocalSocket /var/lib/clamav/clamd.socket
 660              Для правильного и корректного функционирования демона clamd необходимо
 661      вручную создать указанный файл и сделать его владельцем пользователя, указанного в
 662      параметре User.
 663              6. LogFileMaxSize – максимальный размер файла журнала, значение «0»
 664      означает отсутствие ограничений. Например:
 665              LogFileMaxSize 1M
 666              7. TCPAddr – IP-адрес сетевого интерфейса компьютера, по которому демон
 667      принимает запросы на проверку файлов от внешних приложений, например:
 668              TCPAddr 192.168.10.1
 669              По умолчанию запросы принимаются через любой интерфейс.
 670  
 671  Академия АйТи             Установка и администрирование ПСПО. Лекции. Часть 3             Страница 19 из 94
 672              8. TCPSocket – порт протокола TCP, по которому демон принимает запросы
 673      на проверку файлов от внешних приложений, например:
 674              TCPSocket 3310
 675              9. AlgorithmicDetection – указание использовать эвристический алгоритм для
 676      обнаружения вредоносного кода, например:
 677              AlgorithmicDetection yes
 678              10. Указания проверять различные типы файлов, используя собственные
 679      алгоритмы анализа структуры соответствующих типов файлов. Например:
 680              ScanPE yes
 681              ScanELF yes
 682              ScanOLE2 yes
 683              ScanPDF yes
 684              11. Указания проверять присутствие атаки фишинг в сообщениях электронной
 685      почты и способы реакции на такое событие:
 686              PhishingSignatures yes
 687              PhishingScanURLs yes
 688              PhishingRestrictedScan yes
 689              PhishingAlwaysBlockSSLMismatch no
 690              PhishingAlwaysBlockCloak no
 691              12. ScanHTML – указание нормализовать HTML-заголовки с целью выявления
 692      злонамеренно модифицированных заголовков, например:
 693              ScanHTML yes
 694              13. ScanArchive – указание проверять файлы архивных форматов, например:
 695              ScanArchive yes
 696          С прочими настройками можно ознакомиться в конфигурационном файле,
 697  созданном программой установки антивируса. В нём содержится полный список всех
 698  параметров и достаточно подробное описание синтаксиса и назначения каждого из них.
 699  Неиспользуемые параметры закомментированы.
 700  
 701  2.1.3. Настройка получения обновлений антивирусных баз
 702          Обновление    антивирусных          баз   может      осуществляться     в   двух   режимах:
 703  интерактивном – путём однократного запуска утилиты freshclam командной строки, и в
 704  автоматическом – путём запуска утилиты freshclam как демона. Утилита freshclam
 705  поддерживает возможность частичного получения обновлений антивирусных баз, что
 706  позволяет не передавать полный CVD-файл при каждом обновлении, а только изменения
 707  между текущим состоянием антивирусных баз на сервере и на обновляемом компьютере.
 708  
 709  
 710  
 711  Академия АйТи             Установка и администрирование ПСПО. Лекции. Часть 3         Страница 20 из 94
 712          Для настройки утилиты обновления баз сигнатур freshclam используется
 713  конфигурационный файл freshclam.conf. Он располагается в той же директории, что и
 714  файл clamd.conf, и принципы его редактирования те же.
 715          Файл freshclam.conf содержит следующие основные настройки:
 716              1. DatabaseDirectory - полный путь к директории, в которой хранятся файлы
 717      базы сигнатур, например:
 718              DatabaseDirectory /var/lib/clamav
 719              Путь к этой директории должен быть тем же самым, что и в файле clamd.conf.
 720              2. DatabaseOwner – имя учётной записи, используемой для записи файлов в
 721      директорию, указанную в параметре DatabaseDirectory, например:
 722              DatabaseOwner clamav
 723              Этой учётной записи необходимо предоставить права чтения и записи в
 724      директорию, указанную в параметре DatabaseDirectory. Лучше использовать ту же
 725      учётную запись, что и в настройках демона clamd.
 726              3. UpdateLogFile – полный путь к файлу журнала утилиты freshclam,
 727      например:
 728              UpdateLogFile /var/log/clamav/freshclam.log
 729              Для правильного и корректного функционирования утилиты freshclam
 730      необходимо вручную создать указанный файл и сделать его владельцем пользователя,
 731      указанного в параметре DatabaseOwner.
 732          С прочими настройками можно ознакомиться в конфигурационном файле,
 733  созданном программой установки антивируса. В нём содержится полный список всех
 734  параметров и достаточно подробное описание синтаксиса и назначения каждого из них.
 735  Неиспользуемые параметры закомментированы.
 736          Проверка правильности функционирования
 737              1. Для   проверки       правильности        функционирования        утилиты   freshclam
 738      необходимо в консольном окне выполнить команду:
 739              # freshclam
 740              Если всё настроено правильно, то утилита подключится к серверу обновлений и
 741      скопирует последние файлы сигнатур угроз.
 742              2. Для запуска утилиты freshclam в режиме демона необходимо выполнить
 743      команду:
 744              # freshclam –d
 745              Проверить, что утилита успешно запустилась можно командой:
 746              # ps fealxw | grep freshclam
 747  
 748  
 749  Академия АйТи             Установка и администрирование ПСПО. Лекции. Часть 3        Страница 21 из 94
 750              3. Для проверки возможности обнаружения вирусов с помощью утилиты
 751      сканирования нужно загрузить с сайта http://eicar.org тестовые образцы «вируса»
 752      Eicar в директорию /tmp. Затем выполнить команду:
 753              # clamscan -r -l scan.txt /tmp
 754              Антивирус   должен      найти      тестовые      файлы      и     сохранить     результаты
 755      сканирования в файл scan.txt.
 756              4. Для проверки работоспособности демона clamd необходимо запустить его и
 757      использовать команду clamdscan:
 758              # clamdscan -l scan.txt /tmp
 759              Обратите внимание, что сканируемые файлы должны быть доступны учетной
 760      записи демона clamd, иначе будет сгенерировано сообщение об ошибке при попытке
 761      доступа.
 762  
 763          Антивирусная проверка файлов при обращении
 764          Для организации расширенной обработки событий обращения к файлам со стороны
 765  процессов, исполняющихся в среде ОС Linux, был разработан дополнительный модуль
 766  Dazuko, который доступен для скачивания на сайте http://dazuko.org/. По сути, он
 767  выполняет функцию файлового монитора, перехватывающего обращения к файлам и
 768  передающего их на обработку сторонним программам, которые зарегистрированы у него
 769  как дополнительные обработчики данного события. Такие обработчики проверяют
 770  параметры запроса по своим правилам и возвращают своё решение о допустимости или
 771  недопустимости разрешить данное обращение.
 772          Текущая версия демона clamd позволяет встроиться в цепочку обработчиков
 773  события доступа к файлам в списке модуля Dazuko, тем самым реализуя совместно с ним
 774  функционал антивирусного монитора. Модуль Dazuko является экспериментальным и не
 775  обязательным для запуска и успешного функционирования демона clamd.
 776          Для взаимодействия с модулем Dazuko в демоне clamd используется специальный
 777  интерфейс – Clamuko, реализованный в форме отдельного потока. Этот поток принимает
 778  от модуля Dazuko сигнал о попытке получить доступ к файлу и передаёт информацию о
 779  файле основному потоку демона, который с помощью антивирусных баз проверяет файл
 780  на наличие вирусов. Если вирус не был обнаружен, то через интерфейс Clamuko
 781  передаётся положительное решение о доступе к файлу, в противном случае -
 782  отрицательное.
 783          Необходимо соблюдать следующие важные правила при интеграции демона clamd
 784  с модулем Dazuko:
 785  
 786  
 787  Академия АйТи           Установка и администрирование ПСПО. Лекции. Часть 3               Страница 22 из 94
 788            ·     демон   требуется     останавливать        корректно,      т.е.   используя   команду
 789    SHUTDOWN или сигнал SIGTERM: в противном случае может произойти потеря
 790    доступа к файлам, которые проверялись в момент некорректного завершения работы
 791    демона, до перезагрузки системы;
 792            ·     не включать в список защищаемых демоном директорию, используемую
 793    почтовым сканером для распаковки вложений: доступ ко всем зараженным файлам
 794    будет автоматически заблокирован и сканер (включая clamd!) не сможет определить
 795    наличие вируса во вложении, как результат заражённое письмо может быть доставлено
 796    получателю.
 797          В качестве примера, для защиты полностью всей системы в файл clamd.conf
 798  должны быть добавлены следующие строки:
 799          ClamukoScanOnAccess
 800          ClamukoIncludePath /
 801          ClamukoExcludePath /proc
 802          ClamukoExcludePath /temporary/dir/of/your/mail/scanning/software
 803  
 804  
 805  2.2. Графическая оболочка KlamAV
 806          KlamAV — программа KDE для обнаружения вирусов, которая позволяет
 807  осуществлять сканировать файлы и директории на наличие вирусов, в том числе и по
 808  расписанию, получать сведения о вирусах, обновлять антивирусную базу данных и
 809  антивирусное программное обеспечение. Другими словами, это графический интерфейс
 810  для взаимодействия с антивирусом ClamAV. Данный продукт, как и ClamAV
 811  распространяется по лицензии GNU GPL.
 812          Установку приложения KlamAV, как и антивируса ClamAV, необходимо
 813  осуществлять с использованием менеджера пакетов Synaptic. Название пакета: klamav.
 814          Перед началом работы с KlamAV необходимо указать два основных параметра: где
 815  будут располагаться карантин и антивирусная база данных (Рис. 5):
 816  
 817  
 818  
 819  
 820  Академия АйТи            Установка и администрирование ПСПО. Лекции. Часть 3            Страница 23 из 94
 821          Рис. 5. Страница Мастера первоначальной настройки KlamAV
 822  
 823          Интерфейс Klamav состоит из ряда страниц-вкладок, каждая из которых имеет свое
 824  предназначение. Ниже приведен внешний вид и указано предназначение каждой из
 825  вкладок.
 826          На первой вкладке – «Проверка» (Рис.6.) настраиваются задачи проверки
 827  различных областей системы по требованию. Настраиваемые здесь действия аналогичны
 828  действию утилиты clamscan.
 829  
 830  
 831  
 832  
 833          Рис. 6. Закладка настройки задач проверки по требованию (антивирусного сканера)
 834  
 835          При необходимости регулярного выполнения настраиваемых действий можно
 836  создать расписание запуска созданных задач (Рис 7.).
 837  
 838  
 839  
 840  
 841  Академия АйТи          Установка и администрирование ПСПО. Лекции. Часть 3   Страница 24 из 94
 842          Рис. 7. Настройка расписания запуска задач проверки по требованию
 843  
 844          Используя кнопку «Параметры» можно вызвать окно общих настроек антивируса
 845  (Рис. 8).
 846  
 847  
 848  
 849  
 850          Рис. 8. Настройка параметров проверки архивов
 851  
 852          В окне настроек можно сконфигурировать следующие параметры:
 853              ·   ограничения по проверке файлов архивов (Рис. 8.);
 854              ·   типы архивов, формат которых понимает и может проверить антивирус
 855    (Рис. 9);
 856              ·   типы файлов специального формата, которые должен обрабатывать
 857    антивирус (Рис. 10);
 858              ·   действия с объектами файловой системой, которые должны предваряться
 859    проверкой антивирусом запрошенных объектов (Рис. 11);
 860              ·   указание типов событий, которые должны фиксироваться в журнале
 861    (Рис. 12).
 862  Академия АйТи            Установка и администрирование ПСПО. Лекции. Часть 3   Страница 25 из 94
 863          Рис.9.Настройка типов архивов, проверяемых антивирусом
 864  
 865  
 866  
 867  
 868          Рис.10.Настройка специальных типов файлов, проверяемых антивирусом
 869  
 870  
 871  
 872  
 873  Академия АйТи          Установка и администрирование ПСПО. Лекции. Часть 3   Страница 26 из 94
 874          Рис.11. Настройка действий, при которых запускается проверка при доступе
 875  (антивирусный монитор)
 876  
 877  
 878  
 879  
 880          Рис.12. Настройка параметров ведения журнала
 881  
 882          На закладке «Автоматическая проверка» (Рис. 13) настраивается интерфейс
 883  Clamuko, а именно, за какими директориями вести постоянное наблюдение и какие
 884  действия предпринимать при обнаружении вируса.
 885  
 886  
 887  
 888  
 889  Академия АйТи          Установка и администрирование ПСПО. Лекции. Часть 3   Страница 27 из 94
 890          Рис. 13. Закладка настройки автоматической проверки файлов (антивирусного
 891  монитора)
 892  
 893          Закладка «Обновить» (Рис. 14) служит для настройки процесса обновления
 894  антивирусных баз и модулей приложения. Здесь можно указать путь к директории, где
 895  должны располагаться антивирусные базы, параметры доступа к серверу обновлений
 896  через прокси-сервер, а также частоту проверки наличия обновлений. Т.е. производится
 897  настройка параметров модуля freshclam.
 898  
 899  
 900  
 901  
 902          Рис. .14. Закладка настройки задачи автоматического получения обновлений
 903  
 904          Закладка «Электронная почта» (Рис. 15) служит для выбора типа почтового
 905  клиента с целью интеграции с ним антивируса и запуска процесса проверки
 906  входящей/исходящей почты.
 907  
 908  
 909  
 910  
 911  Академия АйТи          Установка и администрирование ПСПО. Лекции. Часть 3   Страница 28 из 94
 912          Рис. 15. Закладка настройки интеграции с клиентом электронной почты
 913  
 914          Закладка «Карантин» (Рис. 16) служит для указания директории, используемой в
 915  качестве хранилища, в которое перемещаются обнаруженные вредоносные объекты, и для
 916  работы с этими объектами.
 917  
 918  
 919  
 920  
 921          Рис. 16. Закладка настройки параметров карантина
 922  
 923          Закладка «Журнал» (Рис. 17) служит для просмотра событий и результатов
 924  выполнения задач, запущенных программой KlamAV.
 925  
 926  
 927  
 928  
 929  Академия АйТи          Установка и администрирование ПСПО. Лекции. Часть 3   Страница 29 из 94
 930          Рис. 17. Закладка просмотра журнала работы KlamAV
 931  
 932          Закладки «Сведения о вирусах» (Рис. 18) и «О программе» (Рис. 19) позволяют
 933  посмотреть справочную информацию о вирусах, которые в состоянии обнаружить
 934  антивирус, в вирусной энциклопедии и информацию о самом продукте, в т.ч. на сайте
 935  проекта.
 936  
 937  
 938  
 939  
 940          Рис. 18. Закладка просмотра информации о вирусах, из числа имеющихся в
 941  вирусной базе, в вирусной энциклопедии
 942  
 943  
 944  
 945  
 946  Академия АйТи          Установка и администрирование ПСПО. Лекции. Часть 3   Страница 30 из 94
 947          Рис. 19. Закладка просмотра информации о продукте KlamAV
 948  
 949  2.3. Межсетевой экран netfilter/iptables
 950          Netfilter — межсетевой экран (брандмауэр), встроенный в ядро Linux версий 2.4 и
 951  2.6.
 952          Iptables — название пользовательской утилиты (запускаемой из командной строки)
 953  предназначенной для управления netfilter. С её помощью администраторы создают и
 954  изменяют правила, управляющие фильтрацией и перенаправлением пакетов.
 955          Некоторые авторы под словом netfilter имеют в виду только те элементы
 956  межсетевого экрана, которые непосредственно являются частью стека протоколов ядра
 957  Linux, а всё прочее (систему таблиц и цепочек) называют iptables, другие под термином
 958  iptables подразумевают и сам межсетевой экран netfilter. Поэтому, из-за не совсем ясной
 959  терминологии, весь проект (внутриядерный межсетевой экран вместе с пользовательской
 960  утилитой) просто именуется netfilter/iptables.
 961          Межсетевой экран netfilter присутствует в ядре ОС изначально, а утилиту iptables
 962  возможно придётся инсталлировать отдельно. Как и раньше, инсталляцию лучше
 963  осуществлять с использованием менеджера пакетов Synaptic. Название пакета: iptables.
 964          Вопреки очень распространённому мнению, ни iptables, ни netfilter не производят
 965  маршрутизацию пакетов и никак ей не управляют. Netfilter только фильтрует и
 966  модифицирует (в том числе, для NAT) пакеты по правилам, заданным администратором
 967  через утилиту iptables.
 968  
 969  
 970  
 971  
 972  Академия АйТи             Установка и администрирование ПСПО. Лекции. Часть 3   Страница 31 из 94
 973          История проекта
 974          Проект netfilter/iptables был основан в 1998. Автором является Расти Расселл (англ.
 975  
 976  Rusty Russell), он же автор проекта#предшественника ipchains. По мере развития проекта,
 977  
 978  в 1999 г. образовалась команда Netfilter Core Team (сокращено coreteam). Разработанный
 979  межсетевой экран получил официальное название netfilter. В марте 2000 г. он был
 980  включен в ядро Linux 2.3.
 981          Изначально разработка netfilter и iptables шла совместно, поэтому в ранней истории
 982  этих проектов есть много общего. Предшественниками iptables были проекты ipchains
 983  (применялась для администрирования файрвола ядрах Linux версии 2.2) и ipfwadm
 984  (аналогично для ядер Linux версий 2.0). Последний был основан на BSD-утилите ipfw.
 985          Iptables сохраняет идеологию, ведущую начало от ipfwadm: функционирование
 986  файрвола определяется набором правил, каждое из которых состоит из критерия и
 987  действия, применяемого к пакетам, подпадающим под этот критерий. В ipchains
 988  появилась концепция цепочек — независимых списков правил. Были введены отдельные
 989  цепочки для фильтрации входящих (INPUT), исходящих (OUTPUT) и транзитных
 990  (FORWARD) пакетов. В продолжении этой идеи, в iptables появились таблицы —
 991  независимые группы цепочек. Каждая таблица решала свою задачу — цепочки таблиц
 992  filter отвечали за фильтрацию, цепочки таблиц nat — за преобразование сетевых адресов
 993  (NAT), к задачам цепочки таблиц mangle относились прочие модификации заголовков
 994  пакетов (например, изменение TTL или TOS). Кроме того, была слегка изменена логика
 995  работы цепочек: в ipchains все входящие пакеты, включая транзитные, проходили цепочку
 996  INPUT. В iptables через INPUT проходят только пакеты, адресованные самому хосту.
 997          Такое разделение функционала позволило iptables при обработке отдельных
 998  пакетов использовать информацию о соединениях в целом (ранее это было возможно
 999  только для NAT). В этом iptables значительно превосходит ipchains, так iptables может
1000  отслеживать     состояние    соединения       (сеанса)     и    перенаправлять,   изменять     или
1001  отфильтровывать пакеты, основываясь не только на данных из их заголовков (источник,
1002  получатель) или содержимого пакетов, но и на основании данных о соединении. Такая
1003  возможность файрвола называется stateful-фильтрацией, в отличие от реализованной в
1004  ipchains примитивной stateless-фильтрации.
1005          В будущем, разработчики netfilter планируют заменить iptables на nftables —
1006  инструмент нового поколения, пока находящийся в ранней стадии разработки.
1007  
1008          Архитектура
1009          Ключевыми понятиями iptables являются:
1010  Академия АйТи           Установка и администрирование ПСПО. Лекции. Часть 3        Страница 32 из 94
1011            ·     критерий — логическое выражение, анализирующее свойства пакета и/или
1012    соединения и определяющее, подпадает ли данный конкретный пакет под действие
1013    текущего правила;
1014            ·     действие — описание единичной операции, которую нужно произвести над
1015    пакетом и/или соединением в том случае, если они подпадают под действие этого
1016    правила;
1017            ·     счётчик — компонент правила, обеспечивающий учет количества пакетов,
1018    которые попали под критерий данного правила, также счётчик учитывает суммарный
1019    объем таких пакетов в байтах;
1020            ·     правило — состоит из критерия, действия и счётчика, если пакет
1021    соответствует критерию, к нему применяется действие, и он учитывается счётчиком;
1022    критерия может и не быть — тогда неявно предполагается критерий «все пакеты»,
1023    указывать действие тоже не обязательно: в отсутствие действия правило будет работать
1024    только как счётчик;
1025            ·     цепочка — упорядоченная последовательность правил, цепочки можно
1026    разделить на пользовательские и базовые;
1027            ·     базовая цепочка — цепочка, создаваемая по умолчанию при инициализации
1028    таблицы; каждый пакет, в зависимости от того, предназначен ли он самому хосту,
1029    сгенерирован им или является транзитным, должен пройти положенный ему набор
1030    базовых цепочек различных таблиц; кроме того, базовая цепочка отличается от
1031    пользовательской наличием «действия по умолчанию» (default policy), это действие
1032    применяется к тем пакетам, которые не были обработаны другими правилами этой
1033    цепочки и вызванных из нее цепочек; имена базовых цепочек всегда записываются в
1034    верхнем регистре: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING;
1035            ·     пользовательская цепочка — цепочка, созданная пользователем, может
1036    использоваться только в пределах своей таблицы; рекомендуется не использовать для
1037    таких цепочек имена в верхнем регистре, чтобы избежать путаницы с базовыми
1038    цепочками и встроенными действиями;
1039            ·     таблица     —     совокупность        базовых       и    пользовательских    цепочек,
1040    объединенных общим функциональным назначением; имена таблиц записываются в
1041    нижнем регистре, так как в принципе не могут конфликтовать с именами
1042    пользовательских цепочек: при вызове команды iptables таблица указывается в формате
1043    -t имя_таблицы, при отсутствии явного указания, используется таблица filter.
1044  
1045  
1046  
1047  Академия АйТи             Установка и администрирование ПСПО. Лекции. Часть 3          Страница 33 из 94
1048          Описание функционирования
1049          Для понимания функционирования netfilter/iptables далее будет использоваться
1050  следующая схема обработки IP-пакета, наложенная на модель OSI:
1051  
1052                                                                                       Сеансовый
1053                                                                                       уровень
1054  
1055  
1056  
1057  
1058                                                                      OUTPUT
1059                             INPUT
1060                                                                                       Сетевой
1061                                                  IP                                   уровень
1062  
1063                            ò                FORWARD
1064  
1065  
1066  
1067  
1068                                                                      POSTROUTING
1069                             PREROUTING
1070  
1071  
1072  
1073  
1074                                                                                       Канальный
1075                                                                                       уровень
1076  
1077  
1078  
1079                  eth0                                                              eth1
1080  
1081          Рис. 20. Схема обработки IP-пакетов в стеке TCP/IP
1082  
1083          В рассматриваемой схеме на канальном уровне функционируют два сетевых
1084  интерфейса: через eth0 в систему поступает входящий трафик, а через eth1 исходящий
1085  трафик покидает систему. На сетевом уровне функционирует протокол IP и происходит
1086  принятие решения о маршрутизации входящего трафика. На сеансовом и более высоких
1087  уровнях функционируют прикладные протоколы, принимающие поступающие пакеты и
1088  генерирующие исходящие пакеты.
1089          Ключевым для понимания функционирования сетевого фильтра netfilter/iptables
1090  является понятие цепочки. Цепочка — это часть пути, проходимого пакетом в системе,
1091  где могут применяться те или иные правила обработки (фильтрации). На приведённой
1092  схеме цепочки изображены стрелками.
1093          Изначально в систему встроены пять типов цепочек, называемых базовыми
1094  цепочками:
1095            ·     PREROUTING — цепочка, предназначенная для обработки только что
1096    поступивших пакетов, по которым не принято никакого решения по маршрутизации,
1097    т.е. ещё неизвестно адресованы они процессу, функционирующему на данном
1098    компьютере или должны быть переданы обратно в сеть через другой сетевой
1099    интерфейс;
1100  
1101  
1102  Академия АйТи           Установка и администрирование ПСПО. Лекции. Часть 3              Страница 34 из 94
1103            ·     INPUT — цепочка, предназначенная для обработки пакетов, адресованных
1104    процессу, функционирующему на данном компьютере (клиенту или серверу);
1105            ·     FORWARD         —     цепочка,     предназначенная         для     обработки       пакетов,
1106    адресованных процессу, функционирующему на другом компьютере, т.е. транзитных
1107    пакетов;
1108            ·     OUTPUT       —      цепочка,      предназначенная         для      обработки       пакетов,
1109    сгенерированных локальными процессами, независимо от того адресованы они
1110    процессу на этом же компьютере или будут переданы в сеть на другой компьютер;
1111            ·     POSTROUTING           —     цепочка,      предназначенная          для   окончательной
1112    обработки исходящих пакетов, независимо от того транзитные это пакеты или
1113    сгенерированные на том же самом компьютере.
1114          Помимо понятия цепочки используется понятие таблица. Каждая таблица
1115  применяется для осуществления вполне определенных действий с пакетами и может быть
1116  частью тех или иных цепочек. Таблицы бывают четырёх типов:
1117            ·     таблица   filter    содержит      правила,      которые         занимаются     собственно
1118    фильтрацией пакетов, т.е. выполняет функции межсетевого экрана; этот тип таблиц
1119    может быть использован в трёх цепочках: INPUT, FORWARD и OUTPUT;
1120            ·     таблица mangle предназначена для внесения изменений в заголовки пакетов,
1121    например, для изменения параметров QoS, ToS, TTL, и нестандартных действий с
1122    пакетами, свойственных ОС Linux; этот тип таблиц может быть использован во всех
1123    пяти цепочках: PREROUTING, POSTROUTING, INPUT, FORWARD и OUTPUT;
1124            ·     таблица nat используется для преобразования IP-адресов по технологии
1125    Network Address Translation (NAT), что, вообще говоря, тоже является изменением
1126    заголовков, но поскольку это затрагивает адреса отправителя и получателя (а
1127    следовательно, непосредственно влияет на решение о маршрутизации), то вынесено в
1128    отдельную таблицу; этот тип таблиц может быть использован в трёх цепочках:
1129    PREROUTING, POSTROUTING и OUTPUT;
1130            ·     таблица raw существует для обработки пакетов без отслеживания IP-
1131    соединения, по которому они проходят и позволяет, соответственно, обрабатывать
1132    произвольные пакеты до передачи их системе определения состояний; ввиду узкой
1133    специфики использования эта таблица по умолчанию пуста; этот тип таблиц может
1134    быть использован в двух цепочках: PREROUTING и OUTPUT.
1135  
1136  
1137  
1138  
1139  Академия АйТи             Установка и администрирование ПСПО. Лекции. Часть 3                Страница 35 из 94
1140          Порядок обработки сетевых пакетов
1141          Несмотря на то, что в netfilter используется несколько таблиц и цепочек, пакет не
1142  может параллельно обрабатываться ими всеми. Он проходит через таблицы и цепочки
1143  последовательно. Запомнить порядок прохождения таблиц несложно, т.к. он одинаков для
1144  любого типа цепочки: raw → mangle → nat → filter. В зависимости от типа цепочки не
1145  используются те типы таблиц, которые в них неприменимы (см. описание типов таблиц,
1146  приведённое выше).
1147          Обработка сетевого пакета может происходить по одному из трёх возможных
1148  сценариев:
1149             ·       пакет поступает на сетевой интерфейс компьютера и в качестве получателя
1150    выступает процесс этого же компьютера, т.е. пакет является входящим;
1151             ·       пакет передаётся в сеть через сетевой интерфейс компьютера и в качестве
1152    отправителя выступает процесс этого же компьютера, т.е. пакет является исходящим;
1153             ·       пакет должен быть передан с одного сетевого интерфейса компьютера на
1154    другой, т.к. и отправителем и получателем выступают процессы, функционирующие на
1155    других компьютерах, т.е. пакет является транзитным.
1156          Необходимо отметить, что когда происходит пересылка пакета между процессами
1157  одного и того же компьютера, то пакет уходит в интерфейс loopback и тут же из него
1158  появляется (в этом случае задействуются сразу и первый, и второй пункты приведённого
1159  списка).         Последовательность       обработки        пакетов       таблицами   и     цепочками,
1160  задействованными в каждом из сценариев, приведена в таблице:
1161  
1162                   Таблица 1. Порядок использования таблиц и цепочек при обработке различных
1163                                                                                           типов пакетов
1164          Таблица                                                 Цепочка
1165          Транзитные пакеты
1166          raw                                                     PREROUTING
1167          mangle                                                  PREROUTING
1168          nat                                                     PREROUTING
1169          mangle                                                  FORWARD
1170          filter                                                  FORWARD
1171          mangle                                                  POSTROUTING
1172          nat                                                     POSTROUTING
1173          Входящие пакеты
1174          mangle                                                  PREROUTING
1175  Академия АйТи               Установка и администрирование ПСПО. Лекции. Часть 3          Страница 36 из 94
1176          nat                                                  PREROUTING
1177          mangle                                               INPUT
1178          filter                                               INPUT
1179          Исходящие пакеты
1180          raw                                                  OUTPUT
1181          mangle                                               OUTPUT
1182          nat                                                  OUTPUT
1183          filter                                               OUTPUT
1184          mangle                                               POSTROUTING
1185          nat                                                  POSTROUTING
1186          Каждая таблица представляет собой упорядоченный набор (список) правил вида
1187  «если для пакета выполняется такое-то условие, сделать то-то», т.е. это просто пары
1188  «условие-действие». Принятие решения по пакету при прохождении его по цепочкам и
1189  таблицам осуществляется следующим образом:
1190             ·     пакет поступает на обработку в цепочку и последовательно проверяется на
1191    соответствие правилам всех включённых в цепочку таблиц;
1192             ·     если на основании какого-либо правила текущей таблицы по пакету было
1193    принято решение: отбросить, то любая дальнейшая обработка пакета немедленно
1194    прекращается, пакет уничтожается и никуда больше не передаётся;
1195             ·     если на основании какого-либо правила текущей таблицы по пакету было
1196    принято решение: пропустить, то обработка пакета данной таблицей немедленно
1197    прекращается, указанное в правиле действие применяется, и пакет передаётся
1198    следующей таблице текущей цепочки;
1199             ·     если список правил текущей таблицы был исчерпан и решение по пакету не
1200    было принято, то для базовых цепочек применяется действие по умолчанию, а для
1201    пользовательских цепочек никакого действия над пакетом не производится, и пакет
1202    передаётся следующей таблице текущей цепочки;
1203             ·     если в текущей цепочке больше нет таблиц, то пакет передаётся на
1204    обработку в следующую цепочку.
1205          Следует отметить, что не может сложиться ситуация, что к пакету не будет
1206  применено хотя бы одно правило, т.к. в базовых цепочках всегда будет применено
1207  действие по умолчанию - default policy.
1208          Т.о алгоритм обработки пакета сетевым фильтром netfilter/iptables может быть
1209  представлен так, как это изображено на рисунке (Рис. 21):
1210  
1211  Академия АйТи            Установка и администрирование ПСПО. Лекции. Часть 3   Страница 37 из 94
1212          Рис. 21. Общая схема проверки пакета в netfilter
1213  
1214          Необходимо отметить, что пользовательская документация iptables рассматривает
1215  взаимосвязь таблиц и цепочек с точки зрения программной реализации, а именно,
1216  основной логической единицей является таблица, в которой записаны правила с
1217  указанием, в какой цепочке это правило применять. Это неудобно при планировании
1218  применения и настройке продукта. Поэтому правильнее говорить о цепочках таблиц, т.к.
1219  пакет обрабатывается правилами, помещёнными в таблицу, в пределах текущей цепочки.
1220  И невозможно перейти в другую цепочку принудительно, пока полностью не завершится
1221  обработка пакета правилами текущей цепочки. Эта концепция отражена и в приведённой
1222  выше схеме (Рис. 21).
1223  
1224  Академия АйТи           Установка и администрирование ПСПО. Лекции. Часть 3   Страница 38 из 94
1225          Управление цепочками с помощью iptables
1226          Управление цепочками производится с помощью программы iptables. Для её
1227  использования привилегии суперпользователя (root).
1228          Чтобы посмотреть, какие правила действуют в настоящий момент в системе,
1229  необходимо выполнить команду:
1230          [root@mlinux ~]# iptables-save
1231          # Generated by iptables-save v1.3.7 on Tue Sep 22 14:36:40 2009
1232          *filter
1233          :INPUT ACCEPT [2998:1441761]
1234          :FORWARD ACCEPT [0:0]
1235          :OUTPUT ACCEPT [2617:220737]
1236          :stdin - [0:0]
1237          COMMIT
1238          # Completed on Tue Sep 22 14:36:40 2009
1239          В приведённом примере никаких заданных администратором правил нет.
1240  
1241          Как строить правила
1242          Каждая строка, которую вы вставляете в ту или иную цепочку, должна содержать
1243  отдельное правило. Каждое правило - это строка, содержащая в себе критерии
1244  определяющие, подпадает ли пакет под действие данного правило, и действие, которое
1245  необходимо выполнить в случае выполнения критерия. В общем виде команда создания
1246  правила выглядит следующим образом:
1247  iptables [-t table] command [match] [target/jump]
1248          Нигде в документации не утверждается, что описание действия (target/jump)
1249  должно стоять последним в строке, однако, такая нотация наиболее удобна. Как бы то ни
1250  было, но чаще всего встречается именно такой способ записи правил.
1251          Если в правило не включается спецификатор -t table, то по умолчанию
1252  предполагается использование таблицы filter, если же предполагается использование
1253  другой таблицы, то это требуется указать явно. Спецификатор таблицы так же можно
1254  указывать в любом месте строки правила, однако стандартом считается указание таблицы
1255  в начале правила.
1256          Непосредственно за именем таблицы, должна стоять команда. Если спецификатора
1257  таблицы нет, то команда всегда должна стоять первой. Команда определяет действие для
1258  программы iptables, например: вставить правило, или добавить правило в конец цепочки,
1259  или удалить правило и т.п.
1260          Раздел match задает критерии проверки, по которым определяется подпадает ли
1261  пакет под действие данного правила или нет. Можно указать различные критерии: IP-
1262  
1263  Академия АйТи            Установка и администрирование ПСПО. Лекции. Часть 3   Страница 39 из 94
1264  адрес источника пакета или сети, IP-адрес получателя пакета, порт, протокол, сетевой
1265  интерфейс и т.д.
1266          Раздел target указывает, какое действие должно быть произведено при условии
1267  выполнения критериев, указанных в правиле. Межсетевой экран netfilter может передать
1268  пакет в другую цепочку правил, отбросить пакет, отправить источнику пакета сообщение
1269  об ошибке и т.п.
1270          Таблицы
1271          Опция -t указывает на используемую таблицу. По умолчанию используется
1272  таблица filter. Описание значений параметра –t и их назначение приведено в следующей
1273  таблице:
1274                                                                                Таблица 2. Таблицы
1275          Таблица           Описание
1276          nat               Таблица nat используется главным образом для преобразования
1277                     сетевых адресов (Network Address Translation). Через эту таблицу
1278                     проходит только первый пакет из потока. Преобразования адресов
1279                     автоматически применяется ко всем последующим пакетам, поэтому не
1280                     следует осуществлять какую-либо фильтрацию в этой таблице.
1281                            В цепочке PREROUTING таблица используется для внесения
1282                     изменений в пакеты на входе в брандмауэр. В цепочке OUTPUT
1283                     таблица используется для преобразования адресов в пакетах, созданных
1284                     приложениями внутри брандмауэра, перед принятием решения о
1285                     маршрутизации. И в цепочке POSTROUTING - для преобразования
1286                     пакетов перед передачей их в сеть.
1287          mangle            Эта таблица используется для внесения изменений в заголовки
1288                     пакетов. Примером может служить изменение полей TTL или TOS.
1289                            В цепочке PREROUTING таблица используется для внесения
1290                     изменений на входе в брандмауэр, перед принятием решения о
1291                     маршрутизации. В цепочке POSTROUTING - для внесения изменений
1292                     на выходе из брандмауэра, после принятия решения о маршрутизации.
1293                     В цепочке INPUT - для внесения изменений в пакеты перед тем как они
1294                     будут переданы локальному приложению внутри брандмауэра. В
1295                     цепочке OUTPUT - для внесения изменений в пакеты, поступающие от
1296                     приложений внутри брандмауэра. В цепочке FORWARD - для внесения
1297                     изменений в транзитные пакеты после первого принятия 
1298  

ALTLinuxEdu: FrBrGeorge/DraftsAndJunk/PspoItRu/APSPO Programm-лекции ч3 (last edited 2009-10-27 12:57:34 by FrBrGeorge)