Őrkutya

Mielőtt a Guarddogal részletesebben megismerkednénk, fontos néhány szóban áttekinteni azt is, hogy egyáltalán mit jelent a tűzfal fogalma. A tűzfal (angolul firewall) a számítástechnikában egy szoftveres vagy hardveres architektúra, amelynek célja annak biztosítása, hogy a hálózaton keresztül egy adott számítógépbe ne történhessen illetéktelen behatolás.

A tűzfalaknak többféle típusa van:

A csomagszűrő tűzfal csak a csomagok fejlécét vizsgálja, tartalmát nem. A statikus csomagszűréskor a szűrési szabályokat a forrás és célállomás adatai alapján határozza meg a tűzfal.
Dinamikus csomagszűrés esetén, ha a számítógép kapcsolatban akar lépni a tűzfal által védett hálózattal, a tűzfal tárolja a távoli gép IP-címét és a port számát, melyen keresztül várja a választ, és megnyit egy véletlenszerűen kiválasztott portot, amelyen keresztül csak a tárolt IP-címről fogad csomagokat.
Az állapotfüggő csomagfelügyelet olyan tűzfal architektúra, amely - a statikus csomagfelügyelettel ellentétben - értelmezi a csomagok egymásutániságát, és "követi" az összetartozó csomagok által alkotott logikai adatfolyamok állapotát
Az alkalmazás-szintű szűrés már a puszta adatcsomag fejléceken túl a csomagok tartalmát is elemzi, és ismeri az alkalmazói programok adataival kapcsolatos szabályokat.

Csomagszűrés a Linuxban
A Linux operációs rendszer alatt a kernel végzi a csomagszűrést. Az újabb kernelekben ( 2.4 és afelett) az iptables nevű alkalmazás látja el a csomagszűrő tűzfal feladatát. Ebből is következik, hogy a program beállítása-konfigurálása parancssorból történik.

Szerencsére sok grafikus előtétprogram létezik az iptables konfigurálásának megkönnyítésére. Csak néhány ilyen program a lehetséges kínálatból: Guarddog, Firestarter, FirewallBuilder stb... A cikk témájaként választott Guarddog egy Qt fejlesztői környezeten alapú nagyon könnyen kezelhető program.

Véleményem szerint a Guarddog viszonylag könnyen kezelhető, jól látható az, hogy mit is engedélyezek, vagy tiltok a tűzfal beállításakor.
Fontos még azt is leszögezni, hogy Linux rendszer használatakor is szükséges a megfelelő védekezés, tehát a forgalom ellenőrzése és a károkozó programok elleni védelem kiépítése és fenntartása.

Annak ellenére hogy a Linux rendszerek biztonságos kiépítésűek, az operációs rendszer alatt tárolt adatok még hozzáférhetők. A különböző grafikus programok segítségével pedig igen könnyű Linux alá is készíteni mindenféle kémprogramot. Ezért a védekezésnek csak az egyik lépése a tűzfal beállítása, a másik lépés a védelmi program, vagy közismertebb nevén a vírusirtó telepítése.

Telepítés

Sok disztribúció alapból tartalmazza a Guarddog-ot. Én e cikk írásakor az UHU Linux 2.0 dissztribúció alapján dolgoztam, de például a Mandrake és a Suse Linux alatt is megtalálható az említett grafikus környezet. Ha még sincs a Linux alatt ilyen program, akkor a www.simonzone.com/software/guarddog oldalról kell a forrást vagy a megfelelő telepítő csomagot letölteni. A telepítő csomagot a Debian Linux alatt (az UHU Linux is egy Debian változat!) a dpkg -i * parancssal telepítjük fel. Ugyanezt a feladatot a Red Hat és Fedora Core alatt használatos csomagok esetében az rpm -i * parancsal lehet elvégezni. A csillag jelöli az éppen aktuális telepítőcsomag nevét.

Indítás
A tűzfalbeállító elindítására csak a rendszergazda/root jogosult. Grafikus környezetben a KDE környezet K-menüjében a megfelelő ikonra kattintva indul az alkalmazás, szöveges módban a guarddog parancs beírásával indítjuk a tűzfalbeállítót.

Beállítás
A Guarddog program ablaka a könnyebb áttekinthetőség miatt lapokra van osztva. Az első lap, ami megjelenik indításkor a Zone (zóna). Ezek a Zónák azok a hálózati területek, amelyekkel kapcsolatot tarthat a számítógép, ilyen előre létrehozott hálózati zónák az: Internet, és Local. A nevük mindent elárul. Mivel az olvasó és e sorok írója is legtöbbször a saját otthoni számítógépét szeretné védelmezni, az Internet zónát használja.

A rendszergazdák számára lehet érdekes még a helyi hálózatot megjelenítő Local zóna. Természetesen lehet több zónát is definiálni, ezzel kezelhető az olyan helyzet, amikor például egy iskolában kell külön választani az egyes számítástechnika termek számítógépeit.


A továbbiakban azt is el kell dönteni, hogy milyen alkalmazásokat szeretnénk használni az interneten. Guarddog a portok helyett a protokollokat jeleníti meg nekünk, így jóval egyszerűbben kiválaszthatók a tűzfal által biztosított átjárók. A fontosabb feladatok és kapcsolódó protokollok a következők:
internetböngészés: http, esetleg https
fájlátvitel: ftp
csevej: irc, icq
levelezés: smtp, pop3
egyéb: cvs, dns

A Zone Properties (zóna tulajdonságok) keretben fastruktura szerűen vannak csoportosítva a protokollok. A csoportba tartozó protokollok mellett kiválasztó gombok vannak, és a keret alján lévő "piktogramokból" az is kiderül, hogy ezek három állapotúak lehetnek: Ha üres a gomb, akkor a protokoll blokkolt. Ha ki van pipálva, akkor a protokoll engedélyezett. Ha ki van ikszelve, akkor a protokoll elutasított. Nagyon helyesen alapból minden protokoll blokkolt állapotban van.

Ilyen csoportok lehetnek:
Chat
Data Server
File Transfer
Game
Interactive Session
Mail
Media
User Defined

A Logging fülre kattintva egy olyan lapot találunk, ahol a naplózással kapcsolatos beállítások vannak. Az itt található beállításokat nem érdemes megváltoztatni. Egy egyszerű munkaállomás számára bőven elegendő az alapértelmezés.


Az Advenced fülre kattintva megjelenő űrlapon keresztül érhetők el többek között olyan lehetőségek, mint az elvégzett beállítások Export gomb segítségével történő külső szövegfájlba mentése. Az Import gombbal az ilyen beállítások vissza is olvashatók. Az exportálási lehetőséget kihasználva a csak szöveges Linuxot futtató számítógépek számára is létrehozhatók a tűzfal működtetéséhez szükséges szabályok, így a rendszergazdának is jóval kevesebb munkája van, ha a tűzfalat a Guarddog segítségével létrehozott szabályokkal vezéreli.

Ezen kívül lehetőség van a tűzfal letiltására a Disable firewall gombbal, és az eredeti beállítások visszaállítására a Restore factory defaults gomb segítségével. Az eredeti visszaállítások gomb elérhetőségét érdemes megjegyezni, ugyanis főleg az első időszakban fordulhatnak elő olyan helyzetek, hogy a felhasználó esetleg annyira elállítja a tűzfalat, hogy az teljesen használhatatlan lesz. Fontos dolog még, hogy ha a hálózati címet DHCP kiszolgálón keresztül automatikus kiosztással kapja meg a számítógép, be kell kapcsolni az Enable DHCP on interface négyzetet, ahol meg kell adni, hogy melyik az a hálózati csatoló, amelyiken az azonosító címet kapja a számítógép.

A New Protocol gomb segítségével lehet létrehozni saját protokollokat, ha olyanra van szükségünk.
A Guarddog a grafikus felületen beállított szabályokból egy szkriptet, parancssort hoz létre rc.firewall néven a /etc könyvtárba. Ebben vannak azok a szűrési, forgalomirányítási szabályok amelyeket meghatároztunk.
Ha szeretnénk, hogy a tűzfal minden bekapcsoláskor elinduljon, akkor gondoskodni kell arról, hogy ez a szkript minden induláskor lefusson. Ez minden Linux rendszeren más lehet.

Az UHU Linux disztribúcióban az /etc/runlevel.d/default könyvtárba elhelyezett firewall.service fájl felelős a feladatért. A fájl tartalma a következő:
Summary=Firewall
Summary[hu]=Tűzfal
Description=Firewall config
Description[hu]=Tűzfal config
Script=/etc/rc.firewall
SupportsReload=yes
Runlevels=2345
Sequence=20
A /etc/runlevel/custom könyvtárba egy üres fájlt kell elhelyezni ugyanilyen névvel.


Hardverkövetelmények
Minimális Hardverkövetelmények: Pentium III. processzor, 128 MB memória kell ahhoz, hogy a minimálisan szükséges grafikus környezet elinduljon.

Szoftver követelmények
2.2 verziójú kernel és 3-as verziójú KDE grafikus felület már alatt működik. Azonban amennyiben a számítógép állapota engedi ajánlatos az ennél újabb verziójú kernel és KDE grafikus felület használata. A KDE a 4-es verziószámnál tart. A legfrissebb stabil kernel verzió pedig a 2.6.24-es.
Haladó felhasználóknak és rendszergazdáknak a szöveges üzemmódban ilyen követelmények nincsenek. Viszont nem egyszerű dolog kézzel megírni a tűzfalszabályokat. Megoldás lehet a tűzfalszabályok grafikus felület alatti elkészítése és későbbi importálása az adott számítógépen.

Értékelés

Pozitívumok
A grafikus felület a lehetőségekhez képest könnyen áttekinthető, így aki nincs otthon komolyan a hálózatok és a Linux világában az is könnyen el tudja készíteni a megfelelő szabályokat.
A grafikus felület ikonjai segítenek eligazodni azokban az esetekben is, amikor nem tudja az ember, hogy az adott protokoll mire is való.

Negatívumok
Itt a korábban megszokottakkal szemben most nem a program hibáival foglalkozom. Ennek oka az, hogy egy tűzfal hatékony működése elsősorban attól függ, hogy azt a tűzfalat hogy állították be. Ezért inkább néhány olyan észrevételt és megjegyzést teszek, amelyek figyelembevételével felhasználói szinten már egy jól működő tűzfalas védelmet lehet felépíteni:
Minden tűzfal hatékonysága attól függ, hogy mennyire átgondoltan lettek beállítva a szűrési szabályok. Ezért a szabályok beállítása előtt érdemes átgondolni hogy mire akarja használni az ember a világhálót. A felesleges, várhatóan soha nem használt szolgáltatások igénybevételét tiltani kell. Ha esetleg nem tudjuk melyik szolgáltatás mire való a tűzfal beállításakor az adott szolgáltatást tiltani kell.
A program használójának rendkívül körültekintően kell eljárnia. Könnyen előfordulhatnak olyan esetek, hogy valamely protokoll letiltásával a kommunikációt lehetetlenné teszi a felhasználó.
Bizony így, a guarddog használatával is hosszadalmas munka még egy munkaállomás tűzfalának beállítása is. Sajna másképp nem megy, csak ha az ember végignézi és végigelemzi, hogy kellenek-e neki az adott hálózati szolgáltatások.

Fontosabb adatok
Név: guarddog
URL: http://www.simonzone.com/software/guarddog/
Gyártó: www.symantec.hu
Disztribúció: Linux
Szint: haladó
Verzió: 2.6.0
Megjelenés: 2007 május