RDM/2 The Russian Electronic Developer Magazine  
RDM/2 Русский электронный журнал разработчика  
ДомойОт редактораПишите намОбратная связьRU/2

TCP/IP v4.1 Security - Первые шаги.

Copyright (C) 1998 by В. Тимчишин
Итак, в TCPIP 4.1 для ОС/2 (а именно в MPTN 5.3) фирма IBM включила файрвол, к которому забыла положить документацию. К счастью нашлись люди, которые нашли этот файрвол и разобрались
как им пользоваться.

Они обнаружили, что система комманд управления очень похожа на систему укравления файрвол для AIX. Документацию по файрволу для AIX можно найти на hobbes.nmsu.edu (ipfwdocs.zip).

Собрав всю информацию можно получить шаги для установки файрвола:

1. Проверить наличие в config.sys строк

  DEVICE=C:\MPTN\PROTOCOL\IPSEC.SYS
  DEVICE=C:\MPTN\PROTOCOL\FWIP.SYS
  DEVICE=C:\MPTN\PROTOCOL\CDMF.SYS
  DEVICE=C:\MPTN\PROTOCOL\MD5.SYS
Если их нет, то добавить

2.Создать файлы конфигурации

%ETC%\fwsecad.cnf список secure интерфейсов (Файрвол для ОС/2 различает два типа сетевых интерфейсов: secure(защищенный) и non-secure(незащищенный))
В каждой строке файла указываем один ip адрес. Адреса, которых нет в списке считаются non-secure.
%ETC%\security\fwfiltrs.cnf список правил для файрвола
Пример правил для файрвола:
deny 0.0.0.0 0.0.0.0 0 0 icmp any 0 any 0 both both inbound
Эта строка запрещает обработку входящих icmp пакетов

3. Для включения файрвола запустить

   cfgfilt -u -i
   inetcfg -s firewall 1
Эти строки лучше добавить в \MPTN\BIN\SETUP.CMD, так как они должны запускаться при старте компьютера.

4.Описание файла fwfiltrs.cnf

 Файл fwfiltrs.cnf состоит из строк, каждая из которых является правилом для. Файрвол при получении пакета проверяет файл сверху-вниз до:
  1. Нахождения запрещающего правила - пакет не обрабатывается
  2. Нахождения разрешающего правила - пакет обрабатывается
  3. Конца списка правил. При этом пакет не обрабатывается
Строка правила состоит из полей, разделенных пробелами:
1) Тип правила
deny: запрещающее
permit: разрешающее

2, 3) Адрес отправления пакета
Два поля: адрес и маска. Могут задаваться в двух нотациях: Десятичной вида x.y.z.u и шестнадцатиричной вида 0xFFFFFFFF

4, 5) Адрес получателя пакета
См. 2,3

6) Протокол. Тип протокола IP пакета
any - любой пакет
icmp - только запросы ICMP
udp - только пакеты UDP
tcp - только пакеты TCP
tcp/ack - только пакеты TCP с установленным битом "acknowledgment"
ipsp - только IPSP (протокол, используемый IBM при тунелировании)

7, 8) Порт отправления / Тип ICMP
Первое поле определяет операцию сравнения, второе номер порта (для ICMP это тип ICMP). Возможные варианты операций сравнения: any(любой), eq(=), neq(<>), lt(<), gt (>), le(<=), ge (>=).

9, 10) Порт назначения / Код ICMP
Используются также, как и предыдущие. Для ICMP пакетов это поле Код ICMP

11) Адаптер. Тип адаптера.
secure - защищенный
non-secure - не защищенный
both -оба

12) Маршрутизирование
Обозначает тип пакета по отношению к данному компьютеру. Возможные варианты:
local - отправителем или назначением пакета является данный компьютер
route - пакет проходит через данный компьютер
both - оба варианта

13) Направление
Определяет входящие/исходящие пакеты
inbound - входящий
outbound - исходящий
both - оба варианта

ВНИМАНИЕ! Необязательные поля задаются в форме имя=значение. Пример:
deny 0.0.0.0 0.0.0.0 0 0 icmp eq 8 any 8 both both inbound l=yes f=only t=0

14) Контроль протоколирования. Имя поля "l" (необязательное)
Определяет протоколировать ли прохождение пакета, подпадающего под даное правило.
yes - протоколировать (значение по-умолчанию для запрещенных пакетов)
no - не протоколировать (значение по-умолчанию для разрешенных пакетов)

15) Контроль фрагментации. Имя поля "f" (необязательное)
yes - проверять заголовки, фрагменты и нефрагментированые пакеты
no - проверять только нефрагментированые пакеты
only - проверять только заголовки и фрагменты

16) ИД тунелирования. Имя поля "t"(необязательное)
Определяет тунель, через который посылать пакет. Значение 0 обозначает не применять тунели.
Если у кого нибудь есть, что добавить: tvv@pharma.viaduk.net

---
Интересные ссылки:

---

---
Комментариев к странице: 0 | Добавить комментарий
---
Редактор: Дмитрий Бан
Оформление: Евгений Кулешов


(C) Russian Underground/2