Сохранение
безопасности в сети
Даже если отдельная система
Linux в локальной сети хорошо защищена, в случае, когда ЛВС имеет выход в internet,
оставшаяся часть локальной сети открыта для самых разнообразных атак.
Защита сети - сложная работа,
требующая детальных знаний о сетевой безопасности. В основе обеспечения минимальной
безопасности сети лежат две технологии (и их вариации).
Напомним, что сеть соединена
с internet посредством некоторого маршрутизатора, который перемещает данные
из локальной сети и обратно. Маршрутизатор может обеспечить некоторый уровень
защиты и гарантировать, что большинство атак злоумышленников не проникнут в
локальную сеть.
Защита на уровне маршрутизатора
обычно выполняется одним из двух способов.
Использование брандмауэра
(firewall), фильтрующего пакеты.
Фильтрация пакетов -
это задача, которую
способен выполнить любой маршрутизатор. Каждый раз, когда маршрутизатор получает
пакет информации из internet, предназначенный для компьютера в ЛВС, iP-адрес
отправителя, iP-адрес адресата и порт соединения проверяются и сравниваются
с таблицей, чтобы проверить может ли ЛВС получить пакет. Если пакет получить
нельзя, он уничтожается. В рамках этого подхода соединения указанных хост-компьютеров
с указанными хост-компьютерами или для специфических портов (а также их комбинаций)
можно разрешить или запретить.
Использование прокси-брандмауэра.
Прокси-брандмауэр (Proxy firewall) -
другой подход, основанный на
предотвращении прямых соединений между компьютерами с внутренней стороны брандмауэра
и со стороны internet. Если хост-компьютер локальной сети соединяется с хост-компьютером
internet, то он соединяется с прокси-системой. Прокси-система выполняет соединение
с системой в internet, осуществляя переключение для всех передающихся данных.
Proxy играет аналогичную роль посредника тогда, когда разрешены любые входящие
соединения с ЛВС. Для защиты локальной сети и полного отделения от internet
прокси-бранд-мауэр имеет возможность фильтрации пакетов. Его можно сконфигурировать
для поддержки определенных типов трафика через брандмауэр в каждом направлении
или для запрета соединений на основе различных переменных, включая iP-адрес
отправителя, iP-адрес адресата и используемый порт соединения.
Чтобы понять основы безопасности
в сети, ознакомьтесь с Linux Security НОWTO на http: / / www.linuxdoc.org/HOWTO/Security-HOWTO.html.
Систему Linux легко сконфигуриронать как маршрутизатор между локальной сетью и internet С поддержкой соединения через стандартный аналоговый телефонный модем или линии iSDN. Этот маршрутизатор можно сконфигурировать как фильтр пакетов или прокси-брандмауэр. Установка маршрутизатора на основе Linux дешевле, чем покупка полного аппаратного решения для обеспечения маршрутизации и предлагает больше опций защиты, чем многие аппаратные маршрутизаторы.