Az illetéktelen hálózati hozzáféréseket megakadályozó szoftveres vagy hardveres eszköz, amely a kommunikáció folyamatába beépülve figyeli és szabályozza az átáramló forgalmat.
A tűzfalakat általában az Internetre kapcsolt számítógépek és helyi hálózatok védelmére alkalmazzák, hogy illetéktelenek ne nyerhessenek hozzáférést a hálózathoz és a számítógépeken tárolt adatokhoz.
Csomagszűrő tűzfal A tűzfalak leggyakrabban alkalmazott fajtája, amely az átáramló csomagok mindegyikét megvizsgálja, és egy a felhasználó által beállított szabályrendszer alapján dönt továbbításukról, vagy megsemmisítésükről.
A csomagszűrő tűzfalak nagyon gyors és univerzális megoldást jelentenek, azonban üzemeltetésük általában kiterjedt háttérismereteket, és a különböző hálózati és alkalmazási protokollok beható ismeretét igényli.
Hálózati Címfordítás A csomagszűrő tűzfalak kiegészítő szolgáltatása, amely lehetővé teszi a belső hálózatra kötött gépek közvetlen kommunikációját tetszőleges protokollokon keresztül külső gépekkel a nélkül, hogy azoknak saját nyilvános IP címmel kellene rendelkezniük.
A hálózati címfordító a belső gépekről érkező csomagokat az Internetre továbbítás előtt úgy módosítja, hogy azok feladójaként saját magát tünteti fel, így az azokra érkező válaszcsomagok is hozzá kerülnek továbbításra, amiket - a célállomás címének módosítása után - a belső hálózaton elhelyezkedő eredeti feladó részére továbbít.
Proxy szerver Speciális tűzfal-típus, amely a közvetlen kommunikációt a külső és a védett hálózat között nem teszi lehetővé. E helyett a belső hálózatról érkező kéréseket feldolgozza, majd azokkal azonos értelmű kérést küld a külső szerver felé, az azokra érkező válaszokat pedig ismét a belső hálózat felé továbbítja. A proxy szerverek igen biztonságosak és általában egyszerűen konfigurálhatóak, azonban kizárólag olyan jellegű kommunikációra alkalmasak, aminek értelmezésére képesek. A proxy szerverek sok esetben tartalmi gyorsítótárat is magukban foglalnak, így bizonyos esetekben jelentős mértékben csökkenthetik a kifelé irányuló forgalmat.
A lokális hálózatot IP Masquerading megvalósításával alakítottuk ki. Ennek a megoldásnak több előnye is van: 1. Egymástól eltérő paraméterű hálózatokat kapcsolhatunk össze 2. A helyi hálózatot és a külső hálózatot összekötő átjáró tűzfal funkciókat láthat el, azaz korlátozhatjuk a kimenő, bejövő vagy átmenő forgalmat
3. A külső hálózattal csak az átjáróként használt gép van közvetlen kapcsolatban, így ha ez a gép biztonsági szempontból kellően szilárd, a belső hálózat gépeit nem fenyegeti betörés veszélye. 4. A helyi hálózatról a külvilággal kommunikáló gépek mind az átjárónak használt gép IP számával jelennek meg a külső hálózaton, így a rendelkezésre álló szűkös IP címtartománytól függetlenül bővíthetjük a belső hálózaton elhelyezkedő gépek számát.
Az alternatíva egy repeater vagy bridge lett volna, ami a fentiek közül csak az 1. pontban vázoltak elérését tette volna lehetővé... +----------+ | | Belső hálózat | 1. gép |:::::: | |2 :192.168.1.x +----------+ : : +----------+ +----------+ : 1| Linux | IP cím | | ::::| átjáró |:::::::::// Internet | 2. gép |:::::: | | | |3 : +----------+ +----------+ : : +----------+ : | | : | 3. gép |:::::: | |4 +----------+
1. ábra: Egy tipikus példa az IP Masquerading-ra
Ebben az elrendezésben a belső hálózatra kötött gépek (1-3. gép) ugyanúgy kommunikálnak egymással, mint normál esetben. Az Internetet viszont csak az átjáróként használt gépen keresztül érik el. Az átjáróként használt gépben két hálózati kártya van: az egyik a lokális hálózatra kapcsolódik, ennek megfelelően lokáli IP címe van. A másik kártya a külső hálózatra csatlakozik, s ennek a kártyánk az azonosítója az az IP szám, amivel az átjáróként használt gépet a külvilág azonosítja. A belső hálózaton levő gépek úgy tudnak kommunikálni a külvilággal, hogy az átjáró gép rendszermagja továbbítja az üzenetcsomagokat az átjáró gép két hálózati kártyája között. Egyúttal kicseréli a belső hálózat IP számait a saját, hivatalos IP azonosítójára. A külvilágból érkező válasz üzenetcsomagoknál ennek az ellenkezőjét csinálja, azaz visszacseréli a célállomás számát a belső hálózati IP címre, s a csomagot a belő hálózatra továbbítja. fentieken túlmenően mind a beérkező, mind a kimenő, mind az átmenő csomagoknál lehetőség van az üzenetcsomagok szűrésére IP cím és kapcsolódási cím (service port) alapján, így a két hálózat közötti kapcsolat a belső hálózat biztonsága érdekében tetszés szerint korlátozható, illetve ellenőrizhető.
Red Hat Linux 6.0 (vagy a 2.2.x verziójú kernelt tartalmazó újabb disztribúciók) már fel vannak készítve az IP Masquerading-ra. A rendszer konfigurálását az IPMasqueradingHOWTO dokumentum alapján az alábbiakban foglalhatjuk össze:
1. Az átjáróként használt gépen két hálózati kártyát kell installálni (eth0 és eth1), egyikhez a hivatalos (külső) IP számot, a másikhoz pedig egy lokális IP számot (például 192.168.1.1) rendelünk hozzá. 2. Engedélyezni kell a kernel számára az üzenetcsomagok továbbítását: at /etc/rc.d/rc.local állomány végére írjuk be: 3.
echo "1" > /proc/sys/net/ipv4/ip_forwarding
(Red Hat Linuxnál pedig ugyanezt az eredményt úgy érhetjük el, hogy az /etc/sysconfig/network állományban a FORWARD_IPV4=false beírást FORWARD_IPV4=true bejegyzésre változtatjuk.) 4. Bizonyos típusú kapcsolatok esetén nem elegendő a kernel által nyújtott üzenettovábbító szolgáltatás, speciális kiegészítő modulokra is szükség van. Tipikusan ilyen pl. az FTP kapcsolat. Ezen kiegészítő kernel modul minden redzserrindításnál végbemenő betöltését az /etc/rc.d/rc.local állomány végén elhelyezett /sbin/modprobe ip_masq_ftp
paranccsal írhatjuk elő. 5. A belső hálózaton használt címek vagy címtartomány függvényében beállítjuk az IP asqueradingot (ezt is az /etc/rc.d/rc.local állomány végére írjuk): 6. 7.
ipchains -P forward DENY ipchains -A forward -s 192.168.1.0/24 -j MASQ
Ez a teljes 192.168.1.0 számú lokális hálóra engedélyezi az internet kapcsolatot (a /24 jelzés a 255.255.255.0 netmask-kal ekvivalens). A hálózati forgalom engedélyezését külön-külön gépenként is végezhetjük: ipchains -P forward DENY ipchains -A forward -s 192.168.1.2/32 -j MASQ ipchains -A forward -s 192.168.1.8/32 -j MASQ
Ez csak a 192.168.1.2 és 192.168.1.8 lokális IP számú gép átmenő forgalmát engedélyezi. 8. Fenti beállítások után a rendszert vagy újra kell indítani (egy vérbeli Linuxos ilyet aligha csinál, elvégre nem Windows ez, hogy csak úgy szíre-szóra újra kelljen indítani a rendszert!) vagy a fenti sorrendben direktben ki kell adni az /etc/rc.d/rc.local végére írt parancsokat.
A fentieken túlmenő biztonsági beállításokat (beérkező csomagok szűrése stb.) a felmerülő igények szerint, az ipchains dokumentációja és a IP_Firewalling-HOWTO leírása alapján végezhetjük el.
A lokális IP számok kiosztásánál figyelembe kell venni az RFC 1957 ajánlását, amely az alábbi IP címtartományokat jelöli ki a helyi hálózatok számára (ezek a címek nyilvános hálózaton nem jelenhetnek meg): 10.0.0.0 172.16.0.0 192.168.0.0
-
10.255.255.255 (class A) 172.31.255.255 (class B) 192.168.255.255 (class C)
Ha például C osztályú helyi hálózatot építünk, akkor az 1. ábrán szereplő számozást is használhatjuk (192.168.1.1, 1.92.168.1.2, 1.92.168.1.3, ..., 192.168.1.x). Általában 192.168.1.1 az átjáró számára fentartott cím, 192.168.1.0 a hálózat száma, 192.168.1.255 pedig a broadcast üzenetek számára van fenntartva. Ezeket tehát ne használjuk a munkaállomások azonosítására.
Gemini Projekt Elekronspektroszópiai Osztály, MTA ATOMKI, Debrecen
Windows XP: jelszóvédelem
Hiába él együtt az ember huzamosabb ideig egy Windows XP-vel, teljesen kiismerni soha nem fogja. Ha csak egy kicsit is letéved a megszokott ösvényről, máris újabb változások nyomára bukkan. Így jártam én is a jelszókezeléssel... Connect As...
Vegyünk két Windows XP-t, melyek nem ugyanannak a tartománynak a tagjai. (Kössük össze például gondolatban az én laptopomat a tiéddel.) Ha saját gépünkön bejelentkezünk a saját nevünkben, természetesen hozzáférünk saját adatainkhoz. Ha azonban a másik gép megosztott erőforrására szeretnénk csatlakozni, feljön a szokásos „Connect As...”, vagy „bejelentkezés más néven” ablak, amit megfelelően ki kell töltenünk a sikeres csatlakozás érdekében – vagyis egy olyan név-jelszó párost kell megadnunk, mely a Te gépeden érvényes. Emlékeztetőül, erről az ablakról beszélek:
Átjelentkezés egy másik számítógépre, más felhasználó nevében Ha gyakran szükség lenne erre a kapcsolatra, érdemes lenne elmenteni a név-jelszó párost a „Remember...” pipa bejelölésével. Hopp! Windows 2000-ben nem létezett ilyen pipa! Hálózati meghajtók betűhöz rendelésénél (map) találunk ugyan pipát, de ezt: „Reconnect at logon” (bejelentkezéskor újracsatlakoztatás)! A két dolog nem ugyanaz, noha mindkettő mögött a név-jelszó páros lementése húzódik meg. (Egyébként a profilba kerülnek ezek az adatok. Hogy milyen titkosítással? Az titok!) Míg azonban Windows 2000 esetén semmilyen eszközt nem kaptunk a mentett jelszavak kezelésére és/vagy törlésére, a Windows XP lehetővé teszi ezen kényes, személyes adatok kezelését! Felhasználókezelés XP-vel A jó öreg, egységes Felhasználókezelőtől (User Manager) az NT4-gyel együtt elbúcsúztunk. A Windows 2000 Professional egy MMC modult tartalmaz ugyanezen feladatok elvégzésére, melynek neve: Helyi felhasználók és csoportok (Local Users and Groups). (Fellelési helye: Sajátgép, jobbklikk->Kezelés. A bal oldali fában látható.) A Windows XP újdonságainak lekezelésére azonban ezt a jószágot nem készíteték fel, sok feladat kizárólag a Vezérlőpult megfelelő ikonjával végezhető el. Ha a „Felhasználói fiókok” ikon mögött kiválasztunk egy felhasználót, lehetővé válik nemcsak a piktogram megváltoztatása, hanem egyéb, értelmes feladatok elvégzése is.
A felhasználókezelés „mélységei”: piktogramot választunk! A képcserét kizárólag annak illusztrálására hoztam fel, hogy vannak olyan feladatok, amelyekkel az MMC modul nem tud megbirkózni. Vannak bizony értelmes feladatok is. A
következő ábra bal felső téglalapjában, a „Kapcsolódó feladatok” között találjuk például a hálózati jelszavak kezelését!
A fiókokkal végezhető feladatok között találjuk a hálózati jelszavak kezelését és a gondűző flopilemez készítését Hálózati jelszavak kezelése A jelszókezelő ablakkal saját, korábban megadott (és elmentett) jelszavaink karbantartására nyílik mód. Kattintsunk rá, és megtekinthetjük, hányféle jelszót mentett el a rendszer eddigi futása során! Én például meglepetve tapasztaltam, hogy egyik gépünk azért nem kér tőlem sohasem jelszót, mert Fülöp Miki valaha egyszer az életben az én bejelentkezett munkamenetemből arra csámborgott, és el is mentette saját jelszavát! Tudtál róla, mICK?
Elmentett jelszavak különböző hálózati erőforrásokhoz történő csatlakozás céljára Szintén megfigyelhető, hogy az erőforrások nevében dzsókerkarakterek szerepelhetnek (mindjárt a legelső mentett jelszónál: *.netacademia.net). Ezzel az ügyes húzással drámai mértékben lecsökkenthető az elmentett jelszavak száma! A „Hozzáadás” nyomógombbal tetszőleges kiszolgálóhoz tetszőleges név-jelszó párost felvehetünk. A tökéletes élményhez már csak egyetlen dolog hiányzik: az Internet Explorer-integráció. Sajnos az Explorer mind a mai napig saját jelszótárolót üzemeltet. Mentségére legyen
mondva, hogy nála a jelszavak csupán űrlapelemek, melyeket az automatikus kiegészítés részeként a többi űrlapmező értékével együtt kezel, tárol, töröl. Elfelejtettem a jelszavam! Ez baj, nagy baj! De ma már nemcsak hackermódszerek léteznek a probléma orvoslására, hanem a Windows XP is tartalmaz beépített búfelejtő megoldást, melynek neve: „Jelszó elfelejtésének megelőzése”! Ennek két szintje van. Egyfelől a felhasználó jelszavának beállításakor megadható egy emlékeztető mondat, amit a feledékeny ember megtekinthet hibás bejelentkezései alatt. (Ez a lehetőség csak a helyi felhasználói fiókokra vonatkozik egyelőre, az Active Directory nem tudja!)
Emlékeztető mondat a feledékenység ellen! A másik lehetőség a búfelejtő flopi használata. Ennek működése a legromantikusabb hackertúlokéra hasonlít: csak bedugunk egy flopit a gépbe, és hipp-hopp átírjuk vele a rendszergazda jelszavát! Előtte azonban létre kell hoznunk a csodaflopit. (Ismét olyan vizeken evezünk, ahol Active Directory még nem járt! Csak a helyi fiókok jelszavának helyreállítása lehetséges ilyen módon!) Az elfelejtett jelszavak varázslója Ez az eszköz arra képes, hogy még most, teljes öntudatunk birtokában készítsünk egy olyan flopilemezt, melynek segítségével későbbi, öntudatlan önmagunkon segíthetünk. A Felhasználókezelőből indítva egy-két lépés után kezünkben a „biztonságot” nyújtó flopi, melyen mindössze egy két kilobájtos, userkey.psw névre hallgató fájl található.
Jelszókiadó varázsló Talán meglepő ha azt mondom, ezen a lemezen nem a mi jelenlegi jelszavunk van, hanem valami egészen más. Ezt a flopit, ha lehet, nagyon dugjuk el! Ha végignézzük a felhasználás menetét, rájövünk: ennek segítségével bárki képes lesz jelszó nélkül jelszót állítani a gépünkön! A búfelejtő flopi használata 1. Megpróbálunk bejelentkezni az általunk tudni vélt jelszóval. 2. Ha nem sikerül, Windows XP esetén fejön egy ablak, ahol a „Reset password” opciót választva új jelszót adhatunk meg! 3. A jelszókiadási flopival azonosítjuk magunkat, ezután tetszőleges új jelszót megadhatunk. Vajon ezután újra el kell készítenünk a csodaflopit? Nem! Mert nincs is rajta a jelszavunk! Mit tartalamaz a lemez? Egy digitálisan aláírt adatblokkot a számítógépünkről és saját bejelentkezési nevünkről. Itt az autentikációnak egy, a hétköznapi életben gyakran, de informatikában ritkábban használt megoldásáról van szó: én vagyok én, mert birtoklok valamit. Hasonlóképpen a vállalati ajtónyitogató kártyákhoz, itt is azt feltételezzük, hogy az egyedi azonosítót hordozó valami mindig a jogosult személy birtokában van. Ha nem, akkor nem. De erről a gép már nem tehet!
