1
2 III. Защита локальных вычислительных сетей образовательных учреждений от
3 интернет-угроз .............................................................................................................................2
4 1. Введение.................................................................................................................................2
5 1.1. Информационная безопасность и Интернет............................................................................ 2
6 1.2. Понятие многоуровневой системы защиты сети образовательного учреждения................ 7
7 2. Программное обеспечение для защиты от вирусов и всех других типов
8 вредоносных программ, а также от хакерских атак и спама (KlamAV+ClamAV, alterator-
9 firewall) .....................................................................................................................................16
10 2.1. Антивирус ClamAV .................................................................................................................. 16
11 2.2. Графическая оболочка KlamAV .............................................................................................. 23
12 2.3. Межсетевой экран netfilter/iptables.......................................................................................... 31
13 3. Программное обеспечение для исключения доступа учащихся к интернет-ресурсам,
14 несовместимым с задачами их воспитания (Squid и модуль сопряжения с федеральным
15 сервером фильтрации контента) ............................................................................................65
16 3.1. Кэширующий прокси-сервер Squid......................................................................................... 65
17 3.2. Модуль сопряжения с федеральным сервером фильтрации контента................................. 78
18
19
20
21
22 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 1 из 94
23 III. Защита локальных вычислительных сетей
24 образовательных учреждений от интернет-угроз
25
26 1. Введение
27
28 1.1. Информационная безопасность и Интернет
29 Классификация угроз при работе в сети Интернет
30 Если ранее подавляющее большинство атак сводилось к проникновению на
31 компьютер пользователя той или иной вредоносной программы, сегодня множество угроз
32 – хакерская атака, реклама, фишинг, реализуются удаленно и не нуждаются в
33 дополнительных модулях на компьютере-жертве. Поэтому, при проведении
34 классификации угроз в первую очередь следует разделить угрозы на два больших
35 подмножества:
36 · угрозы, реализация которых требует внедрения программных компонентов
37 на компьютере-жертве, иначе именуемых вредоносные программы:
38 ü компьютерные вирусы;
39 ü черви;
40 ü троянские программы;
41 ü потенциально опасное ПО – рекламные утилиты и т.д.;
42 · угрозы, реализация которых внедрения программных компонентов не
43 требует:
44 ü спам;
45 ü фишинг;
46 ü внешняя, применительно к компьютеру, реклама, к примеру – баннеры и
47 всплывающие окна;
48 ü хакинг.
49
50 Ущерб от вредоносных программ
51 Для вредоносных программ характерны следующие формы вредоносных действий:
52 · перегрузка каналов связи – вид ущерба, связанный с тем, что во время
53 масштабных эпидемий по Интернет-каналам передаются огромные количества
54 запросов, зараженных писем или непосредственно копий вредоносного кода;
55 · DDoS (Distributed Denial-of-service) атаки, распределённые атаки «отказ в
56 обслуживании» – вид вредоносного воздействия, выражающийся в одновременном
57
58 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 2 из 94
59 обращении большого количества, иногда до миллиона и более, инфицированных систем
60 к определенному Интернет-ресурсу, что приводит к полному его блокированию;
61 · потеря данных – поведение вредоносного кода, связанное с намеренным
62 уничтожением определенных данных на компьютере пользователя;
63 · нарушение работы ПО – из-за ошибок в самом вредоносном ПО,
64 зараженные приложения могут работать с ошибками или не работать вовсе;
65 · загрузка ресурсов компьютера – интенсивное использование ресурсов
66 компьютера вредоносными программами ведет к снижению производительности как
67 системы в целом, так и отдельных приложений.
68 Помимо этого заражение компьютера и включение его в состав ботнета приводит к
69 тому, что в журналах атакуемых систем как источник атаки значится именно этот
70 компьютер, что может привести к судебным искам против владельца зараженного
71 компьютера или блокированию доступа к Интернет-ресурсу с этого компьютера.
72
73 Угрозы, не требующие внедрения программных компонентов
74 Все угрозы этого класса, не считая хакерских, преимущественно используют
75 методы социальной инженерии (социотехники) для достижения результата.
76 Спам
77 Спам – это анонимная массовая незапрошенная рассылка.
78 Данное определение довольно хорошо соотносится с мировой практикой и
79 определениями спама, положенными в основу американского и европейского
80 законодательства о спаме. Кроме того, это определение можно эффективно использовать
81 на практике.
82 Анонимная рассылка: все страдают в основном именно от автоматических
83 рассылок, со скрытым или фальсифицированным обратным адресом. В настоящее время
84 не существует спамеров, которые не скрывали бы своего адреса и места рассылки.
85 Массовая рассылка: именно массовые рассылки, и только они, являются
86 настоящим бизнесом для спамеров и настоящей проблемой для пользователей. Небольшая
87 рассылка, сделанная по ошибке человеком, не являющимся профессиональным спамером,
88 может быть нежелательной почтой, но не спамом.
89 Незапрошеная рассылка: очевидно, что подписные рассылки и конференции не
90 должны попадать в категорию «спама» (хотя условие анонимности и так в значительной
91 мере это гарантирует).
92 Пять основных тематик покрывают около 50% всего потока спама, как в Рунете,
93 так и в Интернете в целом. Состав тематических «лидеров» практически не менялся за
94 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 3 из 94
95 последние годы и не зависит от региона распространения спама. Лидирующие тематики
96 спама следующие:
97 · спам «для взрослых»;
98 · здоровый образ жизни и медикаменты;
99 · компьютеры и Интернет;
100 · личные финансы;
101 · образование.
102 Очень большая часть спама не преследует рекламных или коммерческих целей.
103 Существуют рассылки политического и агитационного спама, есть также
104 «благотворительные» спамерские письма (призывающие помочь каким-нибудь
105 несчастным). Отдельную категорию составляют мошеннические письма, а также письма,
106 направленные на кражу паролей и номеров кредитных карт. Еще бывают так называемые
107 «цепочечные письма», то есть письма с просьбой переслать их знакомым («страшилки»,
108 «письма счастья») и т. п. Есть также вирусные письма, содержащие завлекательный текст
109 и вирусы под видом игрушек, картинок, программ.
110
111 Сбор и верификация списков адресов
112 Для рассылки спама необходимо иметь список адресов электронной почты
113 потенциальных получателей («спам-базу», email database). Сбор адресов осуществляется
114 следующими методами:
115 · подбор по словарям имен собственных, «красивых слов», частых сочетаний
116 «слово-цифра» (например, «john@», «cool@», «alex-2@»);
117 · метод аналогий — если существует адрес Masha.Orlova@mail.ru, то вполне
118 резонно поискать Masha.Orlova в почтовых доменах inbox.ru, gmail.ru, yandex.ru и т.п.;
119 · сканирование всех доступных источников информации — веб-сайтов,
120 форумов, чатов, досок объявлений, Usenet, баз данных Whois на сочетание «
121 слово1@слово2.слово3» (при этом на конце такого сочетания должен быть домен
122 верхнего уровня — com, ru, info и т.д.);
123 · воровство баз данных сервисов, провайдеров и т.п.;
124 · воровство персональных данных пользователей при помощи компьютерных
125 вирусов и прочих вредоносных программ.
126 При сканировании доступных источников информации (способ 3) можно пытаться
127 определить «круг интересов» пользователей данного источника, что дает возможность
128 получить тематические базы данных. В случае воровства данных у провайдеров
129
130
131 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 4 из 94
132 достаточно часто имеется дополнительная информация о пользователе, что тоже
133 позволяет провести персонализацию.
134 Фишинг
135 Фишинг (англ. phishing) — вид Интернет-мошенничества, цель которого —
136 получить идентификационные данные пользователей. Фишинг – это компьютерное
137 преступление, мошенничество, основанное на принципах социотехники.
138 Злоумышленником создается практически точная копия сайта выбранного Интернет-
139 ресурса: банка, платёжной системы и т.п. Затем, при помощи спам-технологий
140 рассылается письмо, составленное таким образом, чтобы быть максимально похожим на
141 настоящее письмо от выбранной организации. Используются логотипы организации,
142 имена и фамилии реальных руководителей. В таком письме, как правило, сообщается о
143 том, что из-за смены программного обеспечения в системе оказания Интернет-услуг
144 пользователю необходимо подтвердить или изменить свои учетные данные. В качестве
145 причины для изменения данных могут быть названы выход из строя ПО или же нападение
146 хакеров. Во всех случаях цель таких писем одна — заставить пользователя нажать на
147 приведенную ссылку, а затем ввести свои конфиденциальные данные на ложном сайте.
148 Как выглядят phishing-атаки?
149 Мошенники со временем становятся все более изощренными, то же самое
150 происходит и с phishing-сообщениями электронной почты и всплывающими окнами. Они
151 часто используют официальные логотипы реальных организаций и другую
152 идентифицирующую информацию, взятую непосредственно с надежного веб-узла.
153 Ниже приведен пример phishing-сообщения электронной почты (Рис. 1.). Для
154 придания phishing-сообщению еще более надежного вида мошенники могут поместить в
155 него ссылку, на первый взгляд ведущую к надежному веб-узлу (1), хотя на самом деле она
156 ведет на поддельный веб-узел мошенников (2) или вызывает всплывающее окно, которое
157 выглядит так же, как официальный веб-узел. Эти фальшивые узлы называют также
158 подложными веб-узлами. Попав на такой веб-узел, вы можете предоставить мошенникам
159 личную информацию. Полученная информация чаще всего используется для
160 приобретения товаров, получения новой кредитной карточки или хищения личных
161 данных.
162 В некоторых случаях злоумышленники размещают на подобных сайтах различные
163 эксплойты уязвимостей MS Internet Explorer для побочной установки на компьютер
164 пользователей каких-либо троянских программ. Появление в конце 2003 года экплойта
165 уязвимости с подменой реального URL привело к появлению новой разновидности
166
167 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 5 из 94
168 фишинга, получившего название «спуфинг» (spoofing). В случае использования данной
169 уязвимости атакуемый пользователь визуально может наблюдать настоящий адрес
170 банковского сайта в адресной строке браузера, но находиться сам при этом будет на сайте
171 поддельном. Успеху фишинг-афёр способствует низкий уровень осведомленности
172 пользователей о правилах работы компаний, от имени которых действуют преступники. В
173 частности, почти половина пользователей не знают простого факта: банки не рассылают
174 писем с просьбой подтвердить в онлайне номер своей кредитной карты и её PIN-код. Для
175 защиты от фишинга производители основных Интернет-браузеров договорились о
176 применении одинаковых способов информирования пользователей о том, что они
177 открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии
178 браузеров обладают такой возможностью.
179
180
181
182
183 Рис. 1. Пример phishing-сообщения электронной почты со ссылкой на
184 мошеннический веб-узел
185 Реклама
186 Реклама сегодня присутствует везде и постоянно – на улице, на телевидении, в
187 журналах и газетах и, разумеется, в Интернет. Рекламу в Интернет можно разделить на
188 внешнюю и внутреннюю применительно к компьютеру. Внутренней в этом случае будет
189 самореклама программ, установленных на компьютере, реклама, демонстрируемая в
190 качестве дополнения к основному функционалу загруженных из Интернет бесплатных
191 программ, а также разного рода скрытые и полускрытые утилиты для демонстрации
192 рекламы, установленные на компьютере. Последние три типа программ относятся к
193
194 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 6 из 94
195 категории adware и причислены к потенциально опасному ПО, так как, не нанося явного
196 вреда системе, они, тем не менее, загружают канал передачи данных и отнимают время у
197 пользователя.
198 Внешней, применительно к целевому компьютеру, рекламой, обычно считаются
199 всплывающие окна на сайтах, иногда без возможности закрытия и многочисленные
200 банеры, показываемые в процессе интерактивной работы с Интернет, а также спамовые
201 рекламные рассылки, уже рассмотренные ранее. В отличие от платного телевидения,
202 покупка чистого от рекламы Интернета в настоящий момент не представляется
203 возможной, а количество рекламы в Интернет постоянно возрастает, что автоматически
204 поднимает вопрос о необходимости уменьшения этого количества. С рекламой,
205 приходящей по электронной почте, очевидно, должны бороться антиспамовые фильтры,
206 тогда как для уменьшения количества всплывающих окон и демонстрируемых баннеров
207 нужны другие специальные средства.
208 Хакерские атаки
209 Под хакерскими атаками подразумевается два вида атак – с автоматическим
210 внедрением вредоносных программ стандартными способами и реализуемые вручную,
211 когда целью злоумышленника является взлом отдельной системы. Наилучшее средство
212 борьбы с атаками второго рода – разработка и реализация правил безопасности, четко
213 описывающих допустимые и недопустимые информационные потоки в сети. Для
214 практической реализации политики безопасности в случае хакерских атак, как правило,
215 используются пакетные фильтры, межсетевые экраны и системы обнаружения вторжений
216 (Intrusion Detection System, IDS).
217
218 1.2. Понятие многоуровневой системы защиты сети образовательного
219 учреждения
220 Современные информационные системы имеют сложную структуру. Они содержат
221 пользовательские приложения, работающие во взаимодействии с различными
222 операционными системами, установленными на компьютерах, объединенных в локальную
223 сеть, часто связанную тем или иным образом с сегментом глобальной сети. Обеспечение
224 безопасности такой системы требует проведения целого комплекса мероприятий в
225 соответствии с разработанной на предприятии политикой информационной безопасности.
226 Существует два возможных направления политики информационной безопасности.
227 В первом случае (ограничительная политика), пользователь имеет право использовать
228 любые ресурсы, кроме тех, доступ к которым ограничен или закрыт. Во втором случае
229
230
231
232 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 7 из 94
233 (нормативная политика), пользователь имеет право использовать только те ресурсы,
234 которые ему явным образом выделены.
235 Первая схема политики безопасности применяется, как правило, на предприятиях с
236 большим набором функционально различных групп достаточно квалифицированных
237 пользователей. Вторая схема применима там, где производится много действий с одним и
238 тем же набором приложений, причем круг этих приложений может быть очерчен заранее,
239 а любое нестандартное действие рассматривается как попытка нарушения режима
240 информационной безопасности.
241 В соответствии с принятой терминологией, информационная безопасность
242 обеспечена в случае, если для любых информационных ресурсов в системе
243 поддерживается определенный уровень конфиденциальности (невозможности
244 несанкционированного получения какой-либо информации), целостности (невозможности
245 несанкционированной либо случайной ее модификации) и доступности (возможности за
246 разумное время получить требуемую информацию). При этом должна учитываться не
247 только вероятность нарушения какого-либо из аспектов безопасности в результате
248 умышленных либо неумышленных действий пользователей, но и вероятность выхода из
249 стоя каких-либо узлов информационной системы. В этом смысле средства повышения
250 надежности также входят в комплекс информационной безопасности предприятия.
251
252 Многоуровневая защита информационной системы
253 Невозможно анализировать безопасность информационной системы без
254 рассмотрения ее структуры, хотя бы в самом общем виде. Подобная структура достаточно
255 хорошо описывается четырехуровневой моделью.
256
257
258
259
260 Рис. 2. Четырехуровневая модель информационной системы
261 Ниже приведена краткая характеристика каждого из уровней:
262 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 8 из 94
263 1. Внешний уровень определяет взаимодействие информационной системы
264 организации с глобальными ресурсами и системами других организаций.
265 Функционально этот уровень характеризуется, с одной стороны, информационными
266 (главным образом, сетевыми) сервисами, предоставляемыми данной организацией, с
267 другой стороны, аналогичными сервисами, запрашиваемыми из глобальной сети. На
268 этом уровне должны отсекаться, как попытки внешних пользователей
269 несанкционированно получить доступ к внутренним сервисам, так и попытки
270 собственных пользователей осуществить подобные операции по отношению к
271 внешним сервисам или несанкционированно переслать информацию в глобальную
272 сеть.
273 2. Сетевой уровень связан с доступом к информационным ресурсам внутри
274 локальной сети организации. Безопасность информации на этом уровне
275 обеспечивается средствами проверки подлинности пользователей и разграничением
276 доступа к ресурсам локальной сети (аутентификация и авторизация).
277 3. Системный уровень связан, прежде всего, с управлением доступом к
278 ресурсам ОС. Именно на этом уровне происходит непосредственное взаимодействие с
279 пользователями, запускаются приложения, и, самое главное, определяются «правила
280 игры» между информационной системой и пользователем (задается либо изменяется
281 конфигурация системы). В этой связи, естественно понимать защиту информации на
282 данном уровне, как четкое разделение, к каким ресурсам ОС, какой пользователь и
283 когда может быть допущен. Важность именно этого уровня можно проиллюстрировать
284 тем фактом, что долгое время вопросы информационной безопасности сводились
285 исключительно к рассмотрению защиты на уровне и средствами ОС.
286 4. Уровень приложений связан с использованием прикладных ресурсов
287 информационной системы. Поскольку именно приложения на содержательном уровне
288 работают с пользовательскими данными, для них, вообще говоря, нужны собственные
289 механизмы обеспечения информационной безопасности.
290
291 Многоуровневая защита с точки зрения сетевой архитектуры
292 Концепция многоуровневой системы безопасности состоит в наращивании числа
293 «линий обороны» с целью повышения степени защищенности охраняемого объекта. Такая
294 система защиты многократно увеличивает затраты, необходимые для проведения атаки.
295 Она воздвигает множество препятствий на пути злоумышленника. Эшелонированная
296 оборона предотвращает как прямые атаки на критически важные системы, так и попытки
297 «прощупывания» вашей сети. Кроме того, такое построение системы защиты
298
299 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 9 из 94
300 предполагает и реверсный эффект – предотвращение несанкционированных действий
301 собственных пользователей по отношению к внешним ресурсам. С точки зрения сети
302 образовательного учреждения такой подход представляется наиболее актуальным.
303 При организации защиты от Интернет-угроз важным является понятие периметра
304 – укреплённой границы сети. Периметр может состоять из различных подсистем, как
305 представленных различными аппаратными и программными средствами, так и
306 объединёнными в единый программно-аппаратный комплекс. Такими подсистемами
307 обычно являются:
308 · маршрутизаторы (routers);
309 · межсетевые экраны (брандмауэры, firewalls);
310 · прокси-серверы;
311 · системы обнаружения вторжений (IDS);
312 · средства создания виртуальных частных сетей (VPN);
313 · антивирусные средства;
314 · экранированные подсети.
315
316 Пограничный маршрутизатор
317 Маршрутизаторы (routers) осуществляют управление трафиком, поступающим в
318 сеть, выходящим из сети или трафиком внутри самой сети. Пограничный маршрутизатор
319 (border router) является последним маршрутизатором непосредственно перед выходом во
320 внешнюю сеть. В силу того, что весь Интернет-трафик организации проходит через этот
321 маршрутизатор, последний часто функционирует в роли первой и последней линии
322 защиты сети, обеспечивая фильтрацию входящего и исходящего трафика.
323 Межсетевой экран
324 Межсетевой экран — комплекс аппаратных или программных средств,
325 осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на
326 различных уровнях модели OSI в соответствии с заданными правилами.
327 Основной задачей межсетевого экрана является защита компьютерных сетей или
328 отдельных узлов от несанкционированного доступа. Также межсетевые экраны часто
329 называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты,
330 не подходящие под критерии, определённые в конфигурации.
331 Некоторые межсетевые экраны также позволяют осуществлять трансляцию
332 адресов — динамическую замену адресов назначения или источника – Network Address
333 Translation (NAT).
334
335
336 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 10 из 94
337 Другие названия
338 Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин,
339 являющийся аналогом английского firewall в его оригинальном значении (стена, которая
340 разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в
341 области компьютерных технологий в немецком языке употребляется слово «firewall».
342 Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией
343 английского термина firewall, эквивалентного термину межсетевой экран, в настоящее
344 время не является официальным заимствованным словом в русском языке.
345 Разновидности межсетевых экранов
346 Межсетевые экраны подразделяются на различные типы в зависимости от
347 следующих характеристик:
348 · обеспечивает ли экран соединение между одним узлом и сетью или между
349 двумя или более различными сетями;
350 · происходит ли контроль потока данных на сетевом уровне или более
351 высоких уровнях модели OSI;
352 · отслеживаются ли состояния активных соединений или нет.
353 В зависимости от охвата контролируемых потоков данных межсетевые экраны
354 делятся на:
355 · традиционный межсетевой экран — программа (или неотъемлемая часть
356 операционной системы) на шлюзе (сервере передающем трафик между сетями) или
357 аппаратное решение, контролирующие входящие и исходящие потоки данных между
358 подключенными сетями;
359 · персональный межсетевой экран — программа, установленная на
360 пользовательском компьютере и предназначенная для защиты от
361 несанкционированного доступа только этого компьютера.
362 Вырожденный случай — использование традиционного межсетевого экрана
363 сервером, для ограничения доступа к собственным ресурсам.
364 В зависимости от уровня модели OSI, на котором происходит контроль доступа,
365 существует следующее разделение межсетевых экранов:
366 · функционирующие на сетевом уровне, когда фильтрация происходит на
367 основе адресов отправителя и получателя пакетов, номеров портов транспортного
368 уровня модели OSI и статических правил, заданных администратором;
369 · функционирующие на сеансовом уровне (также известные как stateful) —
370 отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих
371 спецификации TCP/IP, часто используемых в злонамеренных операциях —
372 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 11 из 94
373 сканировании ресурсов, взломах через неправильные реализации TCP/IP,
374 обрыв/замедление соединений, инъекция данных;
375 · функционирующие на уровне приложений, фильтрация на основании
376 анализа данных приложения, передаваемых внутри пакета: такие типы экранов
377 позволяют блокировать передачу нежелательной и потенциально опасной информации,
378 на основании политик и настроек.
379 Некоторые решения, относимые к межсетевым экранам уровня приложения,
380 представляют собой прокси-серверы с некоторыми возможностями межсетевого экрана,
381 реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности
382 прокси-сервера и многопротокольная специализация делают фильтрацию значительно
383 более гибкой, чем на классических межсетевых экранах, но такие приложения имеют все
384 недостатки прокси-серверов (например, анонимизация трафика).
385 В зависимости от возможности отслеживания активных соединений межсетевые
386 экраны подразделяются на:
387 · stateless (простая фильтрация), которые не отслеживают текущие
388 соединения (например, TCP), а фильтруют поток данных исключительно на основе
389 статических правил;
390 · stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с
391 отслеживанием текущих соединений и пропуском только таких пакетов, которые
392 удовлетворяют логике и алгоритмам работы соответствующих протоколов и
393 приложений: такие типы межсетевых экранов позволяют эффективнее бороться с
394 различными видами DoS-атак и уязвимостями некоторых сетевых протоколов, кроме
395 того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и
396 т.п., которые используют сложные схемы передачи данных между адресатами, плохо
397 поддающиеся описанию статическими правилами, и, зачастую, несовместимых со
398 стандартными, stateless межсетевыми экранами.
399
400 Прокси-серверы
401 Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба в
402 компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим
403 сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-
404 либо ресурс (например, e-mail или веб-сайт), расположенный на другом сервере. Затем
405 прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо
406 возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В
407 некоторых случаях запрос клиента или ответ сервера может быть изменён
408
409 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 12 из 94
410 прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать
411 клиентский компьютер от некоторых сетевых атак.
412 Чаще всего прокси-серверы применяются для следующих целей:
413 · обеспечение доступа с компьютеров локальной сети в Интернет;
414 · кэширование данных: если часто происходят обращения к одним и тем же
415 внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по
416 запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение
417 клиентом запрошенной информации;
418 · сжатие данных: прокси-сервер загружает информацию из Интернета и
419 передаёт информацию конечному пользователю в сжатом виде, такие прокси-серверы
420 используются в основном с целью экономии внешнего трафика;
421 · защита локальной сети от внешнего доступа: например, можно настроить
422 прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам
423 только через него, а внешние компьютеры не смогут обращаться к локальным вообще
424 (они «видят» только прокси-сервер).
425 · ограничение доступа из локальной сети к внешней: например, можно
426 запретить доступ к определённым веб-сайтам, ограничить использование интернета
427 каким-то локальным пользователям, устанавливать квоты на трафик или полосу
428 пропускания, фильтровать рекламу и вирусы;
429 · анонимизация доступа к различным ресурсам: прокси-сервер может
430 скрывать сведения об источнике запроса или пользователе; в таком случае целевой
431 сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет
432 возможности определить истинный источник запроса, существуют также искажающие
433 прокси-серверы, которые передают целевому серверу ложную информацию об
434 истинном пользователе.
435 Многие прокси-серверы используются для нескольких целей одновременно.
436 Некоторые прокси-серверы ограничивают возможность использования только нескольких
437 наиболее популярных протоколов: http - tcp/80, https – tcp/443 (шифрованное соединение
438 http), ftp – tcp/20 и tcp/21.
439 В отличие от шлюза, прокси-сервер чаще всего не пропускает ICMP-трафик
440 (невозможно проверить доступность машины командами ping и tracert).
441 Прокси-сервер, к которому может получить доступ любой пользователь сети
442 интернет, называется открытым.
443 Прозрачный прокси — это такой прокси-сервер, который принимает трафик от
444 клиентов сети через маршрутизатор, способный различать какой трафик должен быть
445 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 13 из 94
446 направлен через прокси-сервер. То есть клиенту не нужно проводить конфигурацию ПО
447 для работы через прокси-сервер, маршрутизатор сам направит трафик клиента на прокси-
448 сервер.
449
450 Системы обнаружения вторжений
451 IDS (Intrusion Detection System) – система обнаружения вторжений выполняет роль
452 охранной сигнализации сети и применяется для обнаружения и извещения обо всех
453 сетевых пакетах, являющихся частью вредоносного или потенциально опасного трафика.
454 Система, как правило, содержит множество детекторов различного типа, размещенных в
455 стратегических точках сети. Детекторы IDS ищут заданные сигнатуры нежелательных
456 событий и могут выполнять заранее предопределённые действия, подобно тому, как
457 антивирус определяет наличие вируса в файле.
458
459 Виртуальные частные сети
460 VPN (Virtual Private Network) – виртуальная частная сеть представляет собой
461 защищенный сеанс, для организации которого используются незащищенные каналы,
462 например, Интернет.
463 Антивирусные средства
464 Антивирусные средства предназначены для борьбы с вредоносными программами
465 и иными угрозами и, как правило, интегрируются с другими подсистемами сетевого
466 периметра.
467 Экранированная подсеть
468 Представляет собой изолированную сеть, соединенную с определенным
469 интерфейсом межсетевого экрана или другого фильтрующего трафик устройства. Сеть
470 образовательного учреждения, защищённая с помощью продуктов из комплекта поставки
471 СПО, может рассматриваться как экранированная подсеть.
472
473 Организация многоуровневой защиты сети образовательного
474 учреждения с использованием комплекта ПСПО
475 В комплекте ПСПО поставляется несколько продуктов, предназначенных для
476 построения защищённого периметра сети образовательного учреждения:
477 · межсетевой экран netfilter/iptables;
478 · модульный конфигуратор Alterator, используемый, в том числе, и для
479 управления работой межсетевого экрана netfilter/iptables;
480 · антивирус ClamAV;
481 · графический интерфейс настройки и управления антивирусом KlamAV;
482 · кэширующий прокси-сервер Squid;
483 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 14 из 94
484 · система контентной фильтрации (СКФ).
485 Общая схема совместной работы указанных компонентов представлена на
486 диаграмме:
487
488
489 Веб-прокси Интернет
490 клиент
491
492 j Прокси-сервер l
493 Netfilter Netfilter l
494 Squid
495 k k
496 Антивирус СКФ
497 ClamAV
498 Рис. 3. Схема обработки исходящих запросов из сети образовательного учреждения
499
500 Порядок взаимодействия компонентов в вышеприведённой схеме следующий:
501 1. Ученик обращается с компьютера, сконфигурированного как клиент прокси-
502 сервера Squid к Интернет-ресурсу.
503 2. Межсетевой экран Netfilter принимает запрос и, опираясь на список своих
504 правил, сформированных для внутреннего интерфейса, принимает решение о
505 разрешении или запрете дальнейшей обработки запроса. При положительном решении
506 запрос попадает к прокси-серверу Squid.
507 3. Прокси-сервер Squid, опираясь на собственный список правил, также
508 принимает решение о возможности дальнейшей обработки запроса. В качестве
509 критериев принятия решения выступают также ответы от антивируса и СКФ, к
510 которым прокси-сервер Squid обращается в процессе обработки запроса. При
511 положительном решении запрос перенаправляется на внешний интерфейс прокси-
512 сервера.
513 4. Межсетевой экран Netfilter обрабатывает запрос, опираясь на список своих
514 правил, сформированных для внешнего интерфейса. При положительном решении
515 запрос передаётся в Интернет.
516
517
518 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 15 из 94
519 5. Обработка ответа происходит в обратном порядке. При этом, если
520 антивирус обнаружит в ответе вредоносный код, он передаст отрицательный ответ
521 прокси-серверу, и компьютер ученика не получит несущую угрозу информацию с
522 Интернет-ресурса.
523
524 2. Программное обеспечение для защиты от вирусов и всех
525 других типов вредоносных программ, а также от хакерских атак и
526 спама (KlamAV+ClamAV, alterator-firewall)
527 В предыдущем разделе была приведена схема совместного использования
528 продуктов из комплекта ПСПО. Для её практического использования требуется
529 установить и настроить каждый из компонентов.
530
531 2.1. Антивирус ClamAV
532 Clam AntiVirus — это антивирусный набор с открытым исходным кодом (GPL) для
533 UNIX, предназначенный, прежде всего, для сканирования электронной почты на почтовых
534 шлюзах. Он предоставляет некоторое количество утилит, включая гибкий и
535 масштабируемый многопоточный демон, сканер командной строки и продвинутый
536 инструмент для автоматических обновлений баз данных. Ядром набора является
537 антивирусный механизм, доступный в форме разделяемой библиотеки.
538 Общие сведения
539 Вот список основных возможностей:
540 · сканер командной строки;
541 · быстрый, многопоточный демон с поддержкой сканирования при доступе;
542 · milter-интерфейс для sendmail;
543 · модуль обновления баз сигнатур угроз с возможностью получения
544 частичных обновлений и использованием цифровых подписей файлов обновлений;
545 · C-библиотека вирусного сканера;
546 · сканирование при доступе (Linux® и FreeBSD®);
547 · вирусная база данных, обновляемая несколько раз в день (смотрите
548 домашнюю страницу относительно общего числа сигнатур);
549 · встроенная поддержка различных архивных форматов, включая Zip, RAR,
550 Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS и другие;
551 · встроенная поддержка почти всех форматов почтовых файлов;
552
553
554 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 16 из 94
555 · встроенная поддержка выполняемых файлов ELF и Portable Executable,
556 сжатых UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack и замаскированных SUE,
557 Y0da Cryptor и другими;
558 · встроенная поддержка общераспространённых форматов документов,
559 включая файлы MS Office и MacOffice, HTML, RTF и PDF.
560 Принцип функционирования антивируса схематично изображён на следующем
561 рисунке:
562
563 Приложения
564 sendmail clamdscan Squid clamscan freshclam
565
566
567 Интерфейсы
568 clamav- clamd
569 milter
570
571
572 Исполнительный
573 Антивирусное механизм
574 ядро
575 (libclamav) База сигнатур
576
577
578
579 Рис. 4. Принципиальная схема функционирования антивируса
580
581 Процесс поддержания баз сигнатур угроз в актуальном состоянии
582 База сигнатур угроз поддерживается в актуальном состоянии, не в последнюю
583 очередь, благодаря помощи сообщества СПО. Группа создателей сигнатур старается не
584 отставать от создателей и распространителей новых угроз, выпуская обновление базы
585 сигнатур меньше, чем через час после начала распространения нового вредоносного кода.
586 При обнаружении нового вируса, который не смог обнаружить ClamAV, необходимо
587 заполнить форму на сайте http://www.clamav.net/sendvirus. Группа создателей сигнатур
588 проверит полученную информацию и при необходимости обновит базу сигнатур.
589
590 2.1.1. Установка ClamAV
591 Устанавливать приложения из комплекта ПСПО лучше всего с использованием
592 менеджера пакетов Synaptic, т.к. это гарантирует совместимость всех программным
593 модулей комплекта друг с другом. Если вы планируете произвести установку из
594 rpm-пакетов, то обратитесь к документации разработчика:
595 http://www.clamav.net/doc/latest/clamdoc.pdf
596 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 17 из 94
597 Для установки из репозитария необходимо запустить менеджер пакетов, выбрать
598 пакет clamav и отметить его для установки. После чего применить изменения, и антивирус
599 будет установлен. Если антивирус уже установлен, то этот шаг можно пропустить.
600 По окончании установки в системе будут присутствовать следующие исполняемые
601 файлы:
602 · /usr/sbin/clamd – антивирусный демон, прослушивающий подключения к
603 UNIX или TCP-сокетам и сканирующий каталоги по требованию;
604 · /usr/bin/clamscan – утилита командной строки, предназначенная для
605 проверки файлов и каталогов на предмет наличия вирусов;
606 · /usr/bin/clamdscan – простой интерфейс к демону clamd, позволяет также
607 сканировать файлы и каталоги, при этом используются те же параметры, что и в
608 clamscan;
609 · /usr/bin/freshclam – утилита автоматического обновления вирусной базы
610 данных через Интернет, позволяющая держать ее в актуальном состоянии;
611 · /usr/bin/sigtool – генерирует вирусную сигнатуру, используя внешний
612 антивирусный сканер, который способен обнаружить вирус. Может создавать
613 шестнадцатеричный дамп и формировать и распаковывать CVD-базу данных (ClamAV
614 Virus Database).
615
616 2.1.2. Настройка ClamAV
617 Для успешного функционирования исполняемых модулей, входящих в состав
618 антивируса ClamAV, потребуется создать в системе учетные записи пользователя и
619 группы с именем clamav. Именно эти учётные записи используются для доступа к
620 директориям и файлам со служебной информацией. Их можно создать, например, с
621 помощью следующей последовательности команд:
622 # groupadd clamav
623 # useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav
624 Необходимо заблокировать несанкционированный доступ к вновь созданным
625 учетным записям.
626 Если антивирус был установлен из репозитария, то он уже настроен на
627 использования учётной записи пользователя mail, входящего в состав группы mail.
628 Антивирус ClamAV использует для настройки параметров функционирования
629 своих компонентов два конфигурационных файла: clamd.conf для демона clamd и
630 freshclam.conf для утилиты обновления баз сигнатур freshclam. Если установка
631 производилась средствами менеджера пакетов Synaptic, то эти файлы будут расположены
632 в директории /etc/clamav, и их редактирование без необходимости не требуется.
633 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 18 из 94
634 При установке из rpm-пакетов с параметрами по умолчанию конфигурационные
635 файлы располагаются в директории /usr/local/etc и требуют обязательного
636 первоначального редактирования. Редактирование заключается в комментировании
637 строки со словом Example. Прочие параметры настраиваются по необходимости.
638 Файл clamd.conf содержит следующие основные настройки:
639 1. User – имя учётной записи, используемой для работы демоном clamd,
640 например:
641 User clamav
642 2. LogFile – полный путь к файлу журнала демона clamd, например:
643 LogFile /var/log/clamav/clamd.log
644 Для правильного и корректного функционирования демона clamd необходимо
645 вручную создать указанный файл и сделать его владельцем пользователя, указанного в
646 параметре User.
647 3. DatabaseDirectory - полный путь к директории, в которой хранятся файлы
648 базы сигнатур, например:
649 DatabaseDirectory /var/lib/clamav
650 Необходимо, чтобы пользователь, указанный в параметре User, имел доступ на
651 чтение к указанной директории.
652 4. TemporaryDirectory - полный путь к директории, в которую демон clamd
653 будет сохранять временные файлы, например:
654 TemporaryDirectory /var/tmp
655 Необходимо, чтобы пользователь, указанный в параметре User, имел доступ на
656 чтение и запись к указанной директории.
657 5. LocalSocket - полный путь к файлу сокета, который демон clamd будет
658 использовать для взаимодействия с другими программами, например:
659 LocalSocket /var/lib/clamav/clamd.socket
660 Для правильного и корректного функционирования демона clamd необходимо
661 вручную создать указанный файл и сделать его владельцем пользователя, указанного в
662 параметре User.
663 6. LogFileMaxSize – максимальный размер файла журнала, значение «0»
664 означает отсутствие ограничений. Например:
665 LogFileMaxSize 1M
666 7. TCPAddr – IP-адрес сетевого интерфейса компьютера, по которому демон
667 принимает запросы на проверку файлов от внешних приложений, например:
668 TCPAddr 192.168.10.1
669 По умолчанию запросы принимаются через любой интерфейс.
670
671 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 19 из 94
672 8. TCPSocket – порт протокола TCP, по которому демон принимает запросы
673 на проверку файлов от внешних приложений, например:
674 TCPSocket 3310
675 9. AlgorithmicDetection – указание использовать эвристический алгоритм для
676 обнаружения вредоносного кода, например:
677 AlgorithmicDetection yes
678 10. Указания проверять различные типы файлов, используя собственные
679 алгоритмы анализа структуры соответствующих типов файлов. Например:
680 ScanPE yes
681 ScanELF yes
682 ScanOLE2 yes
683 ScanPDF yes
684 11. Указания проверять присутствие атаки фишинг в сообщениях электронной
685 почты и способы реакции на такое событие:
686 PhishingSignatures yes
687 PhishingScanURLs yes
688 PhishingRestrictedScan yes
689 PhishingAlwaysBlockSSLMismatch no
690 PhishingAlwaysBlockCloak no
691 12. ScanHTML – указание нормализовать HTML-заголовки с целью выявления
692 злонамеренно модифицированных заголовков, например:
693 ScanHTML yes
694 13. ScanArchive – указание проверять файлы архивных форматов, например:
695 ScanArchive yes
696 С прочими настройками можно ознакомиться в конфигурационном файле,
697 созданном программой установки антивируса. В нём содержится полный список всех
698 параметров и достаточно подробное описание синтаксиса и назначения каждого из них.
699 Неиспользуемые параметры закомментированы.
700
701 2.1.3. Настройка получения обновлений антивирусных баз
702 Обновление антивирусных баз может осуществляться в двух режимах:
703 интерактивном – путём однократного запуска утилиты freshclam командной строки, и в
704 автоматическом – путём запуска утилиты freshclam как демона. Утилита freshclam
705 поддерживает возможность частичного получения обновлений антивирусных баз, что
706 позволяет не передавать полный CVD-файл при каждом обновлении, а только изменения
707 между текущим состоянием антивирусных баз на сервере и на обновляемом компьютере.
708
709
710
711 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 20 из 94
712 Для настройки утилиты обновления баз сигнатур freshclam используется
713 конфигурационный файл freshclam.conf. Он располагается в той же директории, что и
714 файл clamd.conf, и принципы его редактирования те же.
715 Файл freshclam.conf содержит следующие основные настройки:
716 1. DatabaseDirectory - полный путь к директории, в которой хранятся файлы
717 базы сигнатур, например:
718 DatabaseDirectory /var/lib/clamav
719 Путь к этой директории должен быть тем же самым, что и в файле clamd.conf.
720 2. DatabaseOwner – имя учётной записи, используемой для записи файлов в
721 директорию, указанную в параметре DatabaseDirectory, например:
722 DatabaseOwner clamav
723 Этой учётной записи необходимо предоставить права чтения и записи в
724 директорию, указанную в параметре DatabaseDirectory. Лучше использовать ту же
725 учётную запись, что и в настройках демона clamd.
726 3. UpdateLogFile – полный путь к файлу журнала утилиты freshclam,
727 например:
728 UpdateLogFile /var/log/clamav/freshclam.log
729 Для правильного и корректного функционирования утилиты freshclam
730 необходимо вручную создать указанный файл и сделать его владельцем пользователя,
731 указанного в параметре DatabaseOwner.
732 С прочими настройками можно ознакомиться в конфигурационном файле,
733 созданном программой установки антивируса. В нём содержится полный список всех
734 параметров и достаточно подробное описание синтаксиса и назначения каждого из них.
735 Неиспользуемые параметры закомментированы.
736 Проверка правильности функционирования
737 1. Для проверки правильности функционирования утилиты freshclam
738 необходимо в консольном окне выполнить команду:
739 # freshclam
740 Если всё настроено правильно, то утилита подключится к серверу обновлений и
741 скопирует последние файлы сигнатур угроз.
742 2. Для запуска утилиты freshclam в режиме демона необходимо выполнить
743 команду:
744 # freshclam –d
745 Проверить, что утилита успешно запустилась можно командой:
746 # ps fealxw | grep freshclam
747
748
749 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 21 из 94
750 3. Для проверки возможности обнаружения вирусов с помощью утилиты
751 сканирования нужно загрузить с сайта http://eicar.org тестовые образцы «вируса»
752 Eicar в директорию /tmp. Затем выполнить команду:
753 # clamscan -r -l scan.txt /tmp
754 Антивирус должен найти тестовые файлы и сохранить результаты
755 сканирования в файл scan.txt.
756 4. Для проверки работоспособности демона clamd необходимо запустить его и
757 использовать команду clamdscan:
758 # clamdscan -l scan.txt /tmp
759 Обратите внимание, что сканируемые файлы должны быть доступны учетной
760 записи демона clamd, иначе будет сгенерировано сообщение об ошибке при попытке
761 доступа.
762
763 Антивирусная проверка файлов при обращении
764 Для организации расширенной обработки событий обращения к файлам со стороны
765 процессов, исполняющихся в среде ОС Linux, был разработан дополнительный модуль
766 Dazuko, который доступен для скачивания на сайте http://dazuko.org/. По сути, он
767 выполняет функцию файлового монитора, перехватывающего обращения к файлам и
768 передающего их на обработку сторонним программам, которые зарегистрированы у него
769 как дополнительные обработчики данного события. Такие обработчики проверяют
770 параметры запроса по своим правилам и возвращают своё решение о допустимости или
771 недопустимости разрешить данное обращение.
772 Текущая версия демона clamd позволяет встроиться в цепочку обработчиков
773 события доступа к файлам в списке модуля Dazuko, тем самым реализуя совместно с ним
774 функционал антивирусного монитора. Модуль Dazuko является экспериментальным и не
775 обязательным для запуска и успешного функционирования демона clamd.
776 Для взаимодействия с модулем Dazuko в демоне clamd используется специальный
777 интерфейс – Clamuko, реализованный в форме отдельного потока. Этот поток принимает
778 от модуля Dazuko сигнал о попытке получить доступ к файлу и передаёт информацию о
779 файле основному потоку демона, который с помощью антивирусных баз проверяет файл
780 на наличие вирусов. Если вирус не был обнаружен, то через интерфейс Clamuko
781 передаётся положительное решение о доступе к файлу, в противном случае -
782 отрицательное.
783 Необходимо соблюдать следующие важные правила при интеграции демона clamd
784 с модулем Dazuko:
785
786
787 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 22 из 94
788 · демон требуется останавливать корректно, т.е. используя команду
789 SHUTDOWN или сигнал SIGTERM: в противном случае может произойти потеря
790 доступа к файлам, которые проверялись в момент некорректного завершения работы
791 демона, до перезагрузки системы;
792 · не включать в список защищаемых демоном директорию, используемую
793 почтовым сканером для распаковки вложений: доступ ко всем зараженным файлам
794 будет автоматически заблокирован и сканер (включая clamd!) не сможет определить
795 наличие вируса во вложении, как результат заражённое письмо может быть доставлено
796 получателю.
797 В качестве примера, для защиты полностью всей системы в файл clamd.conf
798 должны быть добавлены следующие строки:
799 ClamukoScanOnAccess
800 ClamukoIncludePath /
801 ClamukoExcludePath /proc
802 ClamukoExcludePath /temporary/dir/of/your/mail/scanning/software
803
804
805 2.2. Графическая оболочка KlamAV
806 KlamAV — программа KDE для обнаружения вирусов, которая позволяет
807 осуществлять сканировать файлы и директории на наличие вирусов, в том числе и по
808 расписанию, получать сведения о вирусах, обновлять антивирусную базу данных и
809 антивирусное программное обеспечение. Другими словами, это графический интерфейс
810 для взаимодействия с антивирусом ClamAV. Данный продукт, как и ClamAV
811 распространяется по лицензии GNU GPL.
812 Установку приложения KlamAV, как и антивируса ClamAV, необходимо
813 осуществлять с использованием менеджера пакетов Synaptic. Название пакета: klamav.
814 Перед началом работы с KlamAV необходимо указать два основных параметра: где
815 будут располагаться карантин и антивирусная база данных (Рис. 5):
816
817
818
819
820 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 23 из 94
821 Рис. 5. Страница Мастера первоначальной настройки KlamAV
822
823 Интерфейс Klamav состоит из ряда страниц-вкладок, каждая из которых имеет свое
824 предназначение. Ниже приведен внешний вид и указано предназначение каждой из
825 вкладок.
826 На первой вкладке – «Проверка» (Рис.6.) настраиваются задачи проверки
827 различных областей системы по требованию. Настраиваемые здесь действия аналогичны
828 действию утилиты clamscan.
829
830
831
832
833 Рис. 6. Закладка настройки задач проверки по требованию (антивирусного сканера)
834
835 При необходимости регулярного выполнения настраиваемых действий можно
836 создать расписание запуска созданных задач (Рис 7.).
837
838
839
840
841 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 24 из 94
842 Рис. 7. Настройка расписания запуска задач проверки по требованию
843
844 Используя кнопку «Параметры» можно вызвать окно общих настроек антивируса
845 (Рис. 8).
846
847
848
849
850 Рис. 8. Настройка параметров проверки архивов
851
852 В окне настроек можно сконфигурировать следующие параметры:
853 · ограничения по проверке файлов архивов (Рис. 8.);
854 · типы архивов, формат которых понимает и может проверить антивирус
855 (Рис. 9);
856 · типы файлов специального формата, которые должен обрабатывать
857 антивирус (Рис. 10);
858 · действия с объектами файловой системой, которые должны предваряться
859 проверкой антивирусом запрошенных объектов (Рис. 11);
860 · указание типов событий, которые должны фиксироваться в журнале
861 (Рис. 12).
862 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 25 из 94
863 Рис.9.Настройка типов архивов, проверяемых антивирусом
864
865
866
867
868 Рис.10.Настройка специальных типов файлов, проверяемых антивирусом
869
870
871
872
873 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 26 из 94
874 Рис.11. Настройка действий, при которых запускается проверка при доступе
875 (антивирусный монитор)
876
877
878
879
880 Рис.12. Настройка параметров ведения журнала
881
882 На закладке «Автоматическая проверка» (Рис. 13) настраивается интерфейс
883 Clamuko, а именно, за какими директориями вести постоянное наблюдение и какие
884 действия предпринимать при обнаружении вируса.
885
886
887
888
889 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 27 из 94
890 Рис. 13. Закладка настройки автоматической проверки файлов (антивирусного
891 монитора)
892
893 Закладка «Обновить» (Рис. 14) служит для настройки процесса обновления
894 антивирусных баз и модулей приложения. Здесь можно указать путь к директории, где
895 должны располагаться антивирусные базы, параметры доступа к серверу обновлений
896 через прокси-сервер, а также частоту проверки наличия обновлений. Т.е. производится
897 настройка параметров модуля freshclam.
898
899
900
901
902 Рис. .14. Закладка настройки задачи автоматического получения обновлений
903
904 Закладка «Электронная почта» (Рис. 15) служит для выбора типа почтового
905 клиента с целью интеграции с ним антивируса и запуска процесса проверки
906 входящей/исходящей почты.
907
908
909
910
911 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 28 из 94
912 Рис. 15. Закладка настройки интеграции с клиентом электронной почты
913
914 Закладка «Карантин» (Рис. 16) служит для указания директории, используемой в
915 качестве хранилища, в которое перемещаются обнаруженные вредоносные объекты, и для
916 работы с этими объектами.
917
918
919
920
921 Рис. 16. Закладка настройки параметров карантина
922
923 Закладка «Журнал» (Рис. 17) служит для просмотра событий и результатов
924 выполнения задач, запущенных программой KlamAV.
925
926
927
928
929 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 29 из 94
930 Рис. 17. Закладка просмотра журнала работы KlamAV
931
932 Закладки «Сведения о вирусах» (Рис. 18) и «О программе» (Рис. 19) позволяют
933 посмотреть справочную информацию о вирусах, которые в состоянии обнаружить
934 антивирус, в вирусной энциклопедии и информацию о самом продукте, в т.ч. на сайте
935 проекта.
936
937
938
939
940 Рис. 18. Закладка просмотра информации о вирусах, из числа имеющихся в
941 вирусной базе, в вирусной энциклопедии
942
943
944
945
946 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 30 из 94
947 Рис. 19. Закладка просмотра информации о продукте KlamAV
948
949 2.3. Межсетевой экран netfilter/iptables
950 Netfilter — межсетевой экран (брандмауэр), встроенный в ядро Linux версий 2.4 и
951 2.6.
952 Iptables — название пользовательской утилиты (запускаемой из командной строки)
953 предназначенной для управления netfilter. С её помощью администраторы создают и
954 изменяют правила, управляющие фильтрацией и перенаправлением пакетов.
955 Некоторые авторы под словом netfilter имеют в виду только те элементы
956 межсетевого экрана, которые непосредственно являются частью стека протоколов ядра
957 Linux, а всё прочее (систему таблиц и цепочек) называют iptables, другие под термином
958 iptables подразумевают и сам межсетевой экран netfilter. Поэтому, из-за не совсем ясной
959 терминологии, весь проект (внутриядерный межсетевой экран вместе с пользовательской
960 утилитой) просто именуется netfilter/iptables.
961 Межсетевой экран netfilter присутствует в ядре ОС изначально, а утилиту iptables
962 возможно придётся инсталлировать отдельно. Как и раньше, инсталляцию лучше
963 осуществлять с использованием менеджера пакетов Synaptic. Название пакета: iptables.
964 Вопреки очень распространённому мнению, ни iptables, ни netfilter не производят
965 маршрутизацию пакетов и никак ей не управляют. Netfilter только фильтрует и
966 модифицирует (в том числе, для NAT) пакеты по правилам, заданным администратором
967 через утилиту iptables.
968
969
970
971
972 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 31 из 94
973 История проекта
974 Проект netfilter/iptables был основан в 1998. Автором является Расти Расселл (англ.
975
976 Rusty Russell), он же автор проекта#предшественника ipchains. По мере развития проекта,
977
978 в 1999 г. образовалась команда Netfilter Core Team (сокращено coreteam). Разработанный
979 межсетевой экран получил официальное название netfilter. В марте 2000 г. он был
980 включен в ядро Linux 2.3.
981 Изначально разработка netfilter и iptables шла совместно, поэтому в ранней истории
982 этих проектов есть много общего. Предшественниками iptables были проекты ipchains
983 (применялась для администрирования файрвола ядрах Linux версии 2.2) и ipfwadm
984 (аналогично для ядер Linux версий 2.0). Последний был основан на BSD-утилите ipfw.
985 Iptables сохраняет идеологию, ведущую начало от ipfwadm: функционирование
986 файрвола определяется набором правил, каждое из которых состоит из критерия и
987 действия, применяемого к пакетам, подпадающим под этот критерий. В ipchains
988 появилась концепция цепочек — независимых списков правил. Были введены отдельные
989 цепочки для фильтрации входящих (INPUT), исходящих (OUTPUT) и транзитных
990 (FORWARD) пакетов. В продолжении этой идеи, в iptables появились таблицы —
991 независимые группы цепочек. Каждая таблица решала свою задачу — цепочки таблиц
992 filter отвечали за фильтрацию, цепочки таблиц nat — за преобразование сетевых адресов
993 (NAT), к задачам цепочки таблиц mangle относились прочие модификации заголовков
994 пакетов (например, изменение TTL или TOS). Кроме того, была слегка изменена логика
995 работы цепочек: в ipchains все входящие пакеты, включая транзитные, проходили цепочку
996 INPUT. В iptables через INPUT проходят только пакеты, адресованные самому хосту.
997 Такое разделение функционала позволило iptables при обработке отдельных
998 пакетов использовать информацию о соединениях в целом (ранее это было возможно
999 только для NAT). В этом iptables значительно превосходит ipchains, так iptables может
1000 отслеживать состояние соединения (сеанса) и перенаправлять, изменять или
1001 отфильтровывать пакеты, основываясь не только на данных из их заголовков (источник,
1002 получатель) или содержимого пакетов, но и на основании данных о соединении. Такая
1003 возможность файрвола называется stateful-фильтрацией, в отличие от реализованной в
1004 ipchains примитивной stateless-фильтрации.
1005 В будущем, разработчики netfilter планируют заменить iptables на nftables —
1006 инструмент нового поколения, пока находящийся в ранней стадии разработки.
1007
1008 Архитектура
1009 Ключевыми понятиями iptables являются:
1010 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 32 из 94
1011 · критерий — логическое выражение, анализирующее свойства пакета и/или
1012 соединения и определяющее, подпадает ли данный конкретный пакет под действие
1013 текущего правила;
1014 · действие — описание единичной операции, которую нужно произвести над
1015 пакетом и/или соединением в том случае, если они подпадают под действие этого
1016 правила;
1017 · счётчик — компонент правила, обеспечивающий учет количества пакетов,
1018 которые попали под критерий данного правила, также счётчик учитывает суммарный
1019 объем таких пакетов в байтах;
1020 · правило — состоит из критерия, действия и счётчика, если пакет
1021 соответствует критерию, к нему применяется действие, и он учитывается счётчиком;
1022 критерия может и не быть — тогда неявно предполагается критерий «все пакеты»,
1023 указывать действие тоже не обязательно: в отсутствие действия правило будет работать
1024 только как счётчик;
1025 · цепочка — упорядоченная последовательность правил, цепочки можно
1026 разделить на пользовательские и базовые;
1027 · базовая цепочка — цепочка, создаваемая по умолчанию при инициализации
1028 таблицы; каждый пакет, в зависимости от того, предназначен ли он самому хосту,
1029 сгенерирован им или является транзитным, должен пройти положенный ему набор
1030 базовых цепочек различных таблиц; кроме того, базовая цепочка отличается от
1031 пользовательской наличием «действия по умолчанию» (default policy), это действие
1032 применяется к тем пакетам, которые не были обработаны другими правилами этой
1033 цепочки и вызванных из нее цепочек; имена базовых цепочек всегда записываются в
1034 верхнем регистре: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING;
1035 · пользовательская цепочка — цепочка, созданная пользователем, может
1036 использоваться только в пределах своей таблицы; рекомендуется не использовать для
1037 таких цепочек имена в верхнем регистре, чтобы избежать путаницы с базовыми
1038 цепочками и встроенными действиями;
1039 · таблица — совокупность базовых и пользовательских цепочек,
1040 объединенных общим функциональным назначением; имена таблиц записываются в
1041 нижнем регистре, так как в принципе не могут конфликтовать с именами
1042 пользовательских цепочек: при вызове команды iptables таблица указывается в формате
1043 -t имя_таблицы, при отсутствии явного указания, используется таблица filter.
1044
1045
1046
1047 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 33 из 94
1048 Описание функционирования
1049 Для понимания функционирования netfilter/iptables далее будет использоваться
1050 следующая схема обработки IP-пакета, наложенная на модель OSI:
1051
1052 Сеансовый
1053 уровень
1054
1055
1056
1057
1058 OUTPUT
1059 INPUT
1060 Сетевой
1061 IP уровень
1062
1063 ò FORWARD
1064
1065
1066
1067
1068 POSTROUTING
1069 PREROUTING
1070
1071
1072
1073
1074 Канальный
1075 уровень
1076
1077
1078
1079 eth0 eth1
1080
1081 Рис. 20. Схема обработки IP-пакетов в стеке TCP/IP
1082
1083 В рассматриваемой схеме на канальном уровне функционируют два сетевых
1084 интерфейса: через eth0 в систему поступает входящий трафик, а через eth1 исходящий
1085 трафик покидает систему. На сетевом уровне функционирует протокол IP и происходит
1086 принятие решения о маршрутизации входящего трафика. На сеансовом и более высоких
1087 уровнях функционируют прикладные протоколы, принимающие поступающие пакеты и
1088 генерирующие исходящие пакеты.
1089 Ключевым для понимания функционирования сетевого фильтра netfilter/iptables
1090 является понятие цепочки. Цепочка — это часть пути, проходимого пакетом в системе,
1091 где могут применяться те или иные правила обработки (фильтрации). На приведённой
1092 схеме цепочки изображены стрелками.
1093 Изначально в систему встроены пять типов цепочек, называемых базовыми
1094 цепочками:
1095 · PREROUTING — цепочка, предназначенная для обработки только что
1096 поступивших пакетов, по которым не принято никакого решения по маршрутизации,
1097 т.е. ещё неизвестно адресованы они процессу, функционирующему на данном
1098 компьютере или должны быть переданы обратно в сеть через другой сетевой
1099 интерфейс;
1100
1101
1102 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 34 из 94
1103 · INPUT — цепочка, предназначенная для обработки пакетов, адресованных
1104 процессу, функционирующему на данном компьютере (клиенту или серверу);
1105 · FORWARD — цепочка, предназначенная для обработки пакетов,
1106 адресованных процессу, функционирующему на другом компьютере, т.е. транзитных
1107 пакетов;
1108 · OUTPUT — цепочка, предназначенная для обработки пакетов,
1109 сгенерированных локальными процессами, независимо от того адресованы они
1110 процессу на этом же компьютере или будут переданы в сеть на другой компьютер;
1111 · POSTROUTING — цепочка, предназначенная для окончательной
1112 обработки исходящих пакетов, независимо от того транзитные это пакеты или
1113 сгенерированные на том же самом компьютере.
1114 Помимо понятия цепочки используется понятие таблица. Каждая таблица
1115 применяется для осуществления вполне определенных действий с пакетами и может быть
1116 частью тех или иных цепочек. Таблицы бывают четырёх типов:
1117 · таблица filter содержит правила, которые занимаются собственно
1118 фильтрацией пакетов, т.е. выполняет функции межсетевого экрана; этот тип таблиц
1119 может быть использован в трёх цепочках: INPUT, FORWARD и OUTPUT;
1120 · таблица mangle предназначена для внесения изменений в заголовки пакетов,
1121 например, для изменения параметров QoS, ToS, TTL, и нестандартных действий с
1122 пакетами, свойственных ОС Linux; этот тип таблиц может быть использован во всех
1123 пяти цепочках: PREROUTING, POSTROUTING, INPUT, FORWARD и OUTPUT;
1124 · таблица nat используется для преобразования IP-адресов по технологии
1125 Network Address Translation (NAT), что, вообще говоря, тоже является изменением
1126 заголовков, но поскольку это затрагивает адреса отправителя и получателя (а
1127 следовательно, непосредственно влияет на решение о маршрутизации), то вынесено в
1128 отдельную таблицу; этот тип таблиц может быть использован в трёх цепочках:
1129 PREROUTING, POSTROUTING и OUTPUT;
1130 · таблица raw существует для обработки пакетов без отслеживания IP-
1131 соединения, по которому они проходят и позволяет, соответственно, обрабатывать
1132 произвольные пакеты до передачи их системе определения состояний; ввиду узкой
1133 специфики использования эта таблица по умолчанию пуста; этот тип таблиц может
1134 быть использован в двух цепочках: PREROUTING и OUTPUT.
1135
1136
1137
1138
1139 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 35 из 94
1140 Порядок обработки сетевых пакетов
1141 Несмотря на то, что в netfilter используется несколько таблиц и цепочек, пакет не
1142 может параллельно обрабатываться ими всеми. Он проходит через таблицы и цепочки
1143 последовательно. Запомнить порядок прохождения таблиц несложно, т.к. он одинаков для
1144 любого типа цепочки: raw → mangle → nat → filter. В зависимости от типа цепочки не
1145 используются те типы таблиц, которые в них неприменимы (см. описание типов таблиц,
1146 приведённое выше).
1147 Обработка сетевого пакета может происходить по одному из трёх возможных
1148 сценариев:
1149 · пакет поступает на сетевой интерфейс компьютера и в качестве получателя
1150 выступает процесс этого же компьютера, т.е. пакет является входящим;
1151 · пакет передаётся в сеть через сетевой интерфейс компьютера и в качестве
1152 отправителя выступает процесс этого же компьютера, т.е. пакет является исходящим;
1153 · пакет должен быть передан с одного сетевого интерфейса компьютера на
1154 другой, т.к. и отправителем и получателем выступают процессы, функционирующие на
1155 других компьютерах, т.е. пакет является транзитным.
1156 Необходимо отметить, что когда происходит пересылка пакета между процессами
1157 одного и того же компьютера, то пакет уходит в интерфейс loopback и тут же из него
1158 появляется (в этом случае задействуются сразу и первый, и второй пункты приведённого
1159 списка). Последовательность обработки пакетов таблицами и цепочками,
1160 задействованными в каждом из сценариев, приведена в таблице:
1161
1162 Таблица 1. Порядок использования таблиц и цепочек при обработке различных
1163 типов пакетов
1164 Таблица Цепочка
1165 Транзитные пакеты
1166 raw PREROUTING
1167 mangle PREROUTING
1168 nat PREROUTING
1169 mangle FORWARD
1170 filter FORWARD
1171 mangle POSTROUTING
1172 nat POSTROUTING
1173 Входящие пакеты
1174 mangle PREROUTING
1175 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 36 из 94
1176 nat PREROUTING
1177 mangle INPUT
1178 filter INPUT
1179 Исходящие пакеты
1180 raw OUTPUT
1181 mangle OUTPUT
1182 nat OUTPUT
1183 filter OUTPUT
1184 mangle POSTROUTING
1185 nat POSTROUTING
1186 Каждая таблица представляет собой упорядоченный набор (список) правил вида
1187 «если для пакета выполняется такое-то условие, сделать то-то», т.е. это просто пары
1188 «условие-действие». Принятие решения по пакету при прохождении его по цепочкам и
1189 таблицам осуществляется следующим образом:
1190 · пакет поступает на обработку в цепочку и последовательно проверяется на
1191 соответствие правилам всех включённых в цепочку таблиц;
1192 · если на основании какого-либо правила текущей таблицы по пакету было
1193 принято решение: отбросить, то любая дальнейшая обработка пакета немедленно
1194 прекращается, пакет уничтожается и никуда больше не передаётся;
1195 · если на основании какого-либо правила текущей таблицы по пакету было
1196 принято решение: пропустить, то обработка пакета данной таблицей немедленно
1197 прекращается, указанное в правиле действие применяется, и пакет передаётся
1198 следующей таблице текущей цепочки;
1199 · если список правил текущей таблицы был исчерпан и решение по пакету не
1200 было принято, то для базовых цепочек применяется действие по умолчанию, а для
1201 пользовательских цепочек никакого действия над пакетом не производится, и пакет
1202 передаётся следующей таблице текущей цепочки;
1203 · если в текущей цепочке больше нет таблиц, то пакет передаётся на
1204 обработку в следующую цепочку.
1205 Следует отметить, что не может сложиться ситуация, что к пакету не будет
1206 применено хотя бы одно правило, т.к. в базовых цепочках всегда будет применено
1207 действие по умолчанию - default policy.
1208 Т.о алгоритм обработки пакета сетевым фильтром netfilter/iptables может быть
1209 представлен так, как это изображено на рисунке (Рис. 21):
1210
1211 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 37 из 94
1212 Рис. 21. Общая схема проверки пакета в netfilter
1213
1214 Необходимо отметить, что пользовательская документация iptables рассматривает
1215 взаимосвязь таблиц и цепочек с точки зрения программной реализации, а именно,
1216 основной логической единицей является таблица, в которой записаны правила с
1217 указанием, в какой цепочке это правило применять. Это неудобно при планировании
1218 применения и настройке продукта. Поэтому правильнее говорить о цепочках таблиц, т.к.
1219 пакет обрабатывается правилами, помещёнными в таблицу, в пределах текущей цепочки.
1220 И невозможно перейти в другую цепочку принудительно, пока полностью не завершится
1221 обработка пакета правилами текущей цепочки. Эта концепция отражена и в приведённой
1222 выше схеме (Рис. 21).
1223
1224 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 38 из 94
1225 Управление цепочками с помощью iptables
1226 Управление цепочками производится с помощью программы iptables. Для её
1227 использования привилегии суперпользователя (root).
1228 Чтобы посмотреть, какие правила действуют в настоящий момент в системе,
1229 необходимо выполнить команду:
1230 [root@mlinux ~]# iptables-save
1231 # Generated by iptables-save v1.3.7 on Tue Sep 22 14:36:40 2009
1232 *filter
1233 :INPUT ACCEPT [2998:1441761]
1234 :FORWARD ACCEPT [0:0]
1235 :OUTPUT ACCEPT [2617:220737]
1236 :stdin - [0:0]
1237 COMMIT
1238 # Completed on Tue Sep 22 14:36:40 2009
1239 В приведённом примере никаких заданных администратором правил нет.
1240
1241 Как строить правила
1242 Каждая строка, которую вы вставляете в ту или иную цепочку, должна содержать
1243 отдельное правило. Каждое правило - это строка, содержащая в себе критерии
1244 определяющие, подпадает ли пакет под действие данного правило, и действие, которое
1245 необходимо выполнить в случае выполнения критерия. В общем виде команда создания
1246 правила выглядит следующим образом:
1247 iptables [-t table] command [match] [target/jump]
1248 Нигде в документации не утверждается, что описание действия (target/jump)
1249 должно стоять последним в строке, однако, такая нотация наиболее удобна. Как бы то ни
1250 было, но чаще всего встречается именно такой способ записи правил.
1251 Если в правило не включается спецификатор -t table, то по умолчанию
1252 предполагается использование таблицы filter, если же предполагается использование
1253 другой таблицы, то это требуется указать явно. Спецификатор таблицы так же можно
1254 указывать в любом месте строки правила, однако стандартом считается указание таблицы
1255 в начале правила.
1256 Непосредственно за именем таблицы, должна стоять команда. Если спецификатора
1257 таблицы нет, то команда всегда должна стоять первой. Команда определяет действие для
1258 программы iptables, например: вставить правило, или добавить правило в конец цепочки,
1259 или удалить правило и т.п.
1260 Раздел match задает критерии проверки, по которым определяется подпадает ли
1261 пакет под действие данного правила или нет. Можно указать различные критерии: IP-
1262
1263 Академия АйТи Установка и администрирование ПСПО. Лекции. Часть 3 Страница 39 из 94
1264 адрес источника пакета или сети, IP-адрес получателя пакета, порт, протокол, сетевой
1265 интерфейс и т.д.
1266 Раздел target указывает, какое действие должно быть произведено при условии
1267 выполнения критериев, указанных в правиле. Межсетевой экран netfilter может передать
1268 пакет в другую цепочку правил, отбросить пакет, отправить источнику пакета сообщение
1269 об ошибке и т.п.
1270 Таблицы
1271 Опция -t указывает на используемую таблицу. По умолчанию используется
1272 таблица filter. Описание значений параметра –t и их назначение приведено в следующей
1273 таблице:
1274 Таблица 2. Таблицы
1275 Таблица Описание
1276 nat Таблица nat используется главным образом для преобразования
1277 сетевых адресов (Network Address Translation). Через эту таблицу
1278 проходит только первый пакет из потока. Преобразования адресов
1279 автоматически применяется ко всем последующим пакетам, поэтому не
1280 следует осуществлять какую-либо фильтрацию в этой таблице.
1281 В цепочке PREROUTING таблица используется для внесения
1282 изменений в пакеты на входе в брандмауэр. В цепочке OUTPUT
1283 таблица используется для преобразования адресов в пакетах, созданных
1284 приложениями внутри брандмауэра, перед принятием решения о
1285 маршрутизации. И в цепочке POSTROUTING - для преобразования
1286 пакетов перед передачей их в сеть.
1287 mangle Эта таблица используется для внесения изменений в заголовки
1288 пакетов. Примером может служить изменение полей TTL или TOS.
1289 В цепочке PREROUTING таблица используется для внесения
1290 изменений на входе в брандмауэр, перед принятием решения о
1291 маршрутизации. В цепочке POSTROUTING - для внесения изменений
1292 на выходе из брандмауэра, после принятия решения о маршрутизации.
1293 В цепочке INPUT - для внесения изменений в пакеты перед тем как они
1294 будут переданы локальному приложению внутри брандмауэра. В
1295 цепочке OUTPUT - для внесения изменений в пакеты, поступающие от
1296 приложений внутри брандмауэра. В цепочке FORWARD - для внесения
1297 изменений в транзитные пакеты после первого принятия
1298
ALTLinuxHeap: FrBrGeorge/DraftsAndJunk/PspoItRu/APSPO Programm-лекции ч3 (last edited 2009-10-27 12:57:34 by FrBrGeorge)