Проблемы безопасности для RELS в интернете

[McStrauth]

[root@rosa ~]# uname -a
Linux rosa.soho.msk 2.6.32-431.17.1.res6.i686 #1 SMP Mon May 12 06:41:55 EDT 2014 i686 i686 i386 GNU/Linux
[root@rosa ~]# cat /etc/rosa-release
ROSA Enterprise Linux Server release 6.5 (Helium)

После установки компонента "Прокси-сервер" возникло желание посмотреть, почему всё заработало. Среди прочего было обнаружено, что с таблице INPUT правила для iptables отсутствуют. Иными словами, из интернета к серверу RELS могут подключаться все желающие и делать всё, что сочтут нужным. При этом на внешнем интерфейсе сервера слушает множество разного рода компонентов - LDAP, Python, Apache и т.д. Таким образом, злоумышленнику даётся прекрасная возможность потренироваться во взломе такого сервера.

Предлагаю дополнить /etc/sysconfig/iptables следующими правилами:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

В данном случае eth0 - внешний интерфейс сервера RELS (смотрит в интернет), eth1 - внутренний интерфейс сервера RELS (смотрит в локальную сеть).

[andrew.lukoshko]

В теории звучит неплохо, но мы заранее не можем предугадать, какой интерфейс будет внешним, а какой внутренним, и сколько их будет вообще.
Поэтому просто по умолчанию дополнять файлы чем бы то ни было мы не можем, нужен интерфейс для настройки, где будут заданы соответствующие вопросы.
Это не проблема, просто нужно немного продумать как это сделать наиболее удобным образом.

[McStrauth]

Как вариант, воспользоваться аналогичным функционалом от прокси-сервера. При установке этого компонента третьим шагом следует его постинсталляционная настройка, в ходе которой пользователя просят указать, какой интерфейс смотрит в интернет, а какой - в локальную сеть. Что характерно, после этого SQUID, например, слушает только на внутреннем интерфейсе. Иными словами, у вас уже практически есть готовое решение - достаточно дополнить им постинсталляционную настройку RELS.

[McStrauth]

Кстати, ещё добавим сюда же...

При установке прокси-сервера в прозрачном режиме пользователи на рабочих станциях смогут посещать только те сайты в интернете, которые работают по протоколу HTTP. Сайты по протоколу HTTPS им будут недоступны. Также им будут недоступны внешняя почта для почтовых клиентов, всяческого рода обмен мгновенными сообщениями и т.д. Причина в том, что при установке прокси-сервера в прозрачном режиме в iptables добавляются только следующие правила:

Код: Выделить всё

-A PREROUTING ! -d 10.0.0.106/32 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.56.2:3128 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Обратите внимание - только 80 порт TCP. При этом изрядная доля интернет-сайтов работает по HTTPS - тот же Гугль. Проблема может быть решена добавлением в iptables - вместе с указанными двумя правилами - такого правила:

Код: Выделить всё

-A POSTROUTING -o eth0 -j MASQUERADE

Здесь eth0 - внешний интерфейс сервера RELS.

[Yamah]

Опаньки! Не знал, что уже есть такое решение с прокси-сервером.

Найти внешний интерфейс на шлюзе можно определением интерфейса на котором прописан гетвей по умолчанию.

[McStrauth]

Найти внешний интерфейс на шлюзе можно определением интерфейса на котором прописан гетвей по умолчанию.

Найти внешний интерфейс можно миллионом способов, вы правы. Однако суть данной темы в том, что его нужно найти - иначе с интернетами в офисе будет беда. На этом и остановимся - дальнейшая дискуссия о способах закончится оффтопом и приведёт нас в тупик.