Mielőtt a Guarddogal részletesebben megismerkednénk, fontos néhány szóban áttekinteni azt is, hogy egyáltalán mit jelent a tűzfal fogalma. A tűzfal (angolul firewall) a számítástechnikában egy szoftveres vagy hardveres architektúra, amelynek célja annak biztosítása, hogy a hálózaton keresztül egy adott számítógépbe ne történhessen illetéktelen behatolás.
A tűzfalaknak többféle típusa van:
Dinamikus csomagszűrés esetén, ha a számítógép kapcsolatban akar lépni a tűzfal által védett hálózattal, a tűzfal tárolja a távoli gép IP-címét és a port számát, melyen keresztül várja a választ, és megnyit egy véletlenszerűen kiválasztott portot, amelyen keresztül csak a tárolt IP-címről fogad csomagokat.
Az állapotfüggő csomagfelügyelet olyan tűzfal architektúra, amely - a statikus csomagfelügyelettel ellentétben - értelmezi a csomagok egymásutániságát, és "követi" az összetartozó csomagok által alkotott logikai adatfolyamok állapotát
Az alkalmazás-szintű szűrés már a puszta adatcsomag fejléceken túl a csomagok tartalmát is elemzi, és ismeri az alkalmazói programok adataival kapcsolatos szabályokat.
Csomagszűrés a Linuxban
A Linux operációs rendszer alatt a kernel végzi a csomagszűrést. Az újabb kernelekben ( 2.4 és afelett) az iptables nevű alkalmazás látja el a csomagszűrő tűzfal feladatát. Ebből is következik, hogy a program beállítása-konfigurálása parancssorból történik.
Véleményem szerint a Guarddog viszonylag könnyen kezelhető, jól látható az, hogy mit is engedélyezek, vagy tiltok a tűzfal beállításakor.
Fontos még azt is leszögezni, hogy Linux rendszer használatakor is szükséges a megfelelő védekezés, tehát a forgalom ellenőrzése és a károkozó programok elleni védelem kiépítése és fenntartása.
Annak ellenére hogy a Linux rendszerek biztonságos kiépítésűek, az operációs rendszer alatt tárolt adatok még hozzáférhetők. A különböző grafikus programok segítségével pedig igen könnyű Linux alá is készíteni mindenféle kémprogramot. Ezért a védekezésnek csak az egyik lépése a tűzfal beállítása, a másik lépés a védelmi program, vagy közismertebb nevén a vírusirtó telepítése.
Telepítés
Indítás
A tűzfalbeállító elindítására csak a rendszergazda/root jogosult. Grafikus környezetben a KDE környezet K-menüjében a megfelelő ikonra kattintva indul az alkalmazás, szöveges módban a guarddog parancs beírásával indítjuk a tűzfalbeállítót.
Beállítás
A Guarddog program ablaka a könnyebb áttekinthetőség miatt lapokra van osztva. Az első lap, ami megjelenik indításkor a Zone (zóna). Ezek a Zónák azok a hálózati területek, amelyekkel kapcsolatot tarthat a számítógép, ilyen előre létrehozott hálózati zónák az: Internet, és Local. A nevük mindent elárul. Mivel az olvasó és e sorok írója is legtöbbször a saját otthoni számítógépét szeretné védelmezni, az Internet zónát használja.
A rendszergazdák számára lehet érdekes még a helyi hálózatot megjelenítő Local zóna. Természetesen lehet több zónát is definiálni, ezzel kezelhető az olyan helyzet, amikor például egy iskolában kell külön választani az egyes számítástechnika termek számítógépeit.
internetböngészés: http, esetleg https
fájlátvitel: ftp
csevej: irc, icq
levelezés: smtp, pop3
egyéb: cvs, dns
Ilyen csoportok lehetnek:
Chat
Data Server
File Transfer
Game
Interactive Session
Media
User Defined
A Logging fülre kattintva egy olyan lapot találunk, ahol a naplózással kapcsolatos beállítások vannak. Az itt található beállításokat nem érdemes megváltoztatni. Egy egyszerű munkaállomás számára bőven elegendő az alapértelmezés.
Ezen kívül lehetőség van a tűzfal letiltására a Disable firewall gombbal, és az eredeti beállítások visszaállítására a Restore factory defaults gomb segítségével. Az eredeti visszaállítások gomb elérhetőségét érdemes megjegyezni, ugyanis főleg az első időszakban fordulhatnak elő olyan helyzetek, hogy a felhasználó esetleg annyira elállítja a tűzfalat, hogy az teljesen használhatatlan lesz. Fontos dolog még, hogy ha a hálózati címet DHCP kiszolgálón keresztül automatikus kiosztással kapja meg a számítógép, be kell kapcsolni az Enable DHCP on interface négyzetet, ahol meg kell adni, hogy melyik az a hálózati csatoló, amelyiken az azonosító címet kapja a számítógép.
A New Protocol gomb segítségével lehet létrehozni saját protokollokat, ha olyanra van szükségünk.
A Guarddog a grafikus felületen beállított szabályokból egy szkriptet, parancssort hoz létre rc.firewall néven a /etc könyvtárba. Ebben vannak azok a szűrési, forgalomirányítási szabályok amelyeket meghatároztunk.
Ha szeretnénk, hogy a tűzfal minden bekapcsoláskor elinduljon, akkor gondoskodni kell arról, hogy ez a szkript minden induláskor lefusson. Ez minden Linux rendszeren más lehet.
Summary=Firewall
Summary[hu]=Tűzfal
Description=Firewall config
Description[hu]=Tűzfal config
Script=/etc/rc.firewall
SupportsReload=yes
Runlevels=2345
Sequence=20
A /etc/runlevel/custom könyvtárba egy üres fájlt kell elhelyezni ugyanilyen névvel.
Hardverkövetelmények
Minimális Hardverkövetelmények: Pentium III. processzor, 128 MB memória kell ahhoz, hogy a minimálisan szükséges grafikus környezet elinduljon.
Szoftver követelmények
2.2 verziójú kernel és 3-as verziójú KDE grafikus felület már alatt működik. Azonban amennyiben a számítógép állapota engedi ajánlatos az ennél újabb verziójú kernel és KDE grafikus felület használata. A KDE a 4-es verziószámnál tart. A legfrissebb stabil kernel verzió pedig a 2.6.24-es.
Haladó felhasználóknak és rendszergazdáknak a szöveges üzemmódban ilyen követelmények nincsenek. Viszont nem egyszerű dolog kézzel megírni a tűzfalszabályokat. Megoldás lehet a tűzfalszabályok grafikus felület alatti elkészítése és későbbi importálása az adott számítógépen.
Pozitívumok
A grafikus felület a lehetőségekhez képest könnyen áttekinthető, így aki nincs otthon komolyan a hálózatok és a Linux világában az is könnyen el tudja készíteni a megfelelő szabályokat.
A grafikus felület ikonjai segítenek eligazodni azokban az esetekben is, amikor nem tudja az ember, hogy az adott protokoll mire is való.
Negatívumok
Itt a korábban megszokottakkal szemben most nem a program hibáival foglalkozom. Ennek oka az, hogy egy tűzfal hatékony működése elsősorban attól függ, hogy azt a tűzfalat hogy állították be. Ezért inkább néhány olyan észrevételt és megjegyzést teszek, amelyek figyelembevételével felhasználói szinten már egy jól működő tűzfalas védelmet lehet felépíteni:
Minden tűzfal hatékonysága attól függ, hogy mennyire átgondoltan lettek beállítva a szűrési szabályok. Ezért a szabályok beállítása előtt érdemes átgondolni hogy mire akarja használni az ember a világhálót. A felesleges, várhatóan soha nem használt szolgáltatások igénybevételét tiltani kell. Ha esetleg nem tudjuk melyik szolgáltatás mire való a tűzfal beállításakor az adott szolgáltatást tiltani kell.
A program használójának rendkívül körültekintően kell eljárnia. Könnyen előfordulhatnak olyan esetek, hogy valamely protokoll letiltásával a kommunikációt lehetetlenné teszi a felhasználó.
Bizony így, a guarddog használatával is hosszadalmas munka még egy munkaállomás tűzfalának beállítása is. Sajna másképp nem megy, csak ha az ember végignézi és végigelemzi, hogy kellenek-e neki az adott hálózati szolgáltatások.
Fontosabb adatok
Név: guarddog
URL: http://www.simonzone.com/software/guarddog/
Gyártó: www.symantec.hu
Disztribúció: Linux
Szint: haladó
Verzió: 2.6.0
Megjelenés: 2007 május