Свежеустановленная копия Linux защищена лучше, чем большинство других операционных систем. Но это только пока ваш компьютер не подключен к Internet. Настольная копия Linux, в своем стремлении быть полезной как можно большему числу людей, оставляет достаточно простора для атак и вторжений. Но не пугайтесь. Помощь ждет вас в терминале.
В состав всех дистрибутивов Linux входит lptables, часть ядра, позволяющая системным администраторам фильтровать сетевые пакеты. Ручная настройка lptables - непосильная задача для всех, кроме немногочисленной элиты; но, в истинном духе открытого кода, сообщество предлагает ряд графических клиентов, благодаря которым настройка межсетевого фильтра становится не сложнее, чем прогулка по парку. Один из таких графических брандмауэров - Firestarter.
Firestarter упрощает процесс настройки брандмауэра. Он может ограничить доступ к портам, на которых работают сервисы, уязвимые для атак извне, и из него можно просматривать сетевой трафик, проходящий через компьютер, на котором он работает. Большинство дистрибутивов содержат Firestarter в своих репозиториях, и с его установкой проблем быть не должно.
При запуске брандмауэра в первый раз после установки он вызовет простую программу-мастер, и та предложит вам выбрать сетевой интерфейс, на котором она будет активна. Если у вас несколько машин, одна из которых подключена к внутренней сети, Firestarter может действовать как шлюз и доставлять Internet-соединение остальной части сети. По умолчанию, Firestarter фильтрует только те соединения, которые отвечают на запросы об установлении соединений с хоста брандмауэра. Преимущество этого подхода в блокировке доступа к сервисам типа Telnet, которые могут быть использованы для получения доступа к вашему компьютеру без вашего ведома.
Настройка брандмауэра тоже не требует особых усилий. Если у вас есть приложение, требующее доступа к определенным портам, например, торрент-клиент, сделайте "проколы" в вашей "противопожарной стене", разрешив входящие соединения. Это несложно сделать через вкладку Policy. Щелкните правой кнопкой мыши под опцией Allow Service и выберите опцию Add Rule. Из раскрывающегося меню выберите сервис, который хотите разрешить - скажем, Samba; выберите исходный IP - и готово.
Чтобы ограничить исходящий трафик, выберите в раскрывающемся списке опцию Outbound Traffic Policy, после чего можно выбрать опцию "Разрешать" либо "Ограничивать". В первом случае потребуется добавить в "черный список" хосты, которые необходимо блокировать. Опция "Ограничивать" прямо противоположна - она разрешает соединения только для хостов из "белого списка" и блокирует все остальные. При работе в ограничительном режиме Firestarter регистрирует все отказы в установлении соединения на вкладке Events. Увидев соединение, которое вы хотите разрешить пользователям, щелкните по нему правой кнопкой мыши и выберите опцию, которая либо разрешит соединение всем, либо сделает это при условии, что запрос на установление соединения исходит из определенного источника.
Через основной интерфейс Firestarter возможен мониторинг активных соединений с брандмауэром. Firestarter выведет вам статус сервиса, список входящих и исходящих соединений и объем данных, переданных через интерфейс, а также список источников и пунктов назначения сетевого трафика, порт, через который передаются данные, сервис, работающий на этом порту, и программу, берущую на себя руководство. Если один из пользователей сети "съедает" всю полосу пропускания, Firestarter легко отследит его и заблокирует.
Некоторые дистрибутивы, например, Fedora, имеют собственный графический клиент для lptables. Вы можете загрузить клиентскую часть либо командой system-config-firewall, либо через меню System > Administration > Firewall.
Встроенный брандмауэр Fedora, как и Firestarter, включает мастер настройки, помогающий выполнить базовую настройку брандмауэра. Брандмауэр может работать в двух режимах - базовом (Basic) и режиме эксперта (Expert); естественно, в последнем случае доступно больше опций. Некоторые сервисы, например, SSH, определены как доверенные (Trusted). Рядом с каждым из сервисов, перечисленных в списке, есть флажок, устанавливая (или сбрасывая) который, вы можете указать, что сервис является доверенным. Работая в режиме Expert, вы можете воспользоваться разделом Other Ports и добавить новые порты, отсутствующие в списке Trusted Services, чтобы и там фильтровать трафик. Кроме того, можно определить индивидуальные порты для сервисов, не включенных в список.
Завершив настройку, нажмите кнопку Apply, чтобы сохранить правила, и активизируйте брандмауэр, нажав кнопку Reload.
Можно защитить браузер брандмауэром. Многие атаки из Web осуществляются вредоносными скриптами. Расширение NoScript для браузеров на основе Mozilla, например, Firefox, блокирует скрипты всех типов, включая JavaScript, Java, Flash и Silverlight. После установки в строке статуса браузера появляется значок NoScript, через который можно просматривать блокированные скрипты и, при желании, временно разрешать их исполнение. По умолчанию это расширение поддерживает список сайтов, которые оно блокирует, и список сайтов, которым доверяет. Вы можете добавлять сайты в оба списка, и для сайта можно временно активизировать модули расширения одним щелчком мыши. Кроме скриптов, расширение NoScript блокирует разнообразные атаки - например, атаки типа "злоумышленный посредник", чтобы предотвратить перехват трафика. Его модуль ABE действует как брандмауэр для каждого конкретного web-приложения, будь то почта с web-интерфейсом или приложение Internet-банкинга.
Даже простейший брандмауэр лучше, чем ничего.
Александр БОБРОВ
Комментарии
На самом деле освоить lptables не намного труднее, чем Firestarter, но гораздо полезнее. Хотя и Firestarter тоже сгодится, особенно, если заставить его регистрировать события и, кстати, не забудьте поместить его в автозагрузку, если уж прибегаете к его услугам.