Linux_system zabezpieczeń(1).pdf

P ROFESJONALNE U SŁUGI B EZPIECZEŃSTWA

Procedura instalacji i konfiguracji Linux Red Hat jako platformy dla

systemu zabezpieczeń Check Point VPN-1/FireWall-1

Przygotował: Mariusz Pyrzyk

Instalacja systemu operacyjnego Linux Red Hat

a) Zalecane jest, aby system operacyjny Linux zainstalować od początku, nawet jeżeli

komputer został dostarczony razem z zainstalowanym oprogramowaniem. Komputer w

czasie instalacji nie powinien być podłączony do sieci.

b) Dla przeprowadzenia procesu instalacji Check Point VPN-1/FireWall-1 wymagane jest

zainstalowanie następujących komponentw:

- systemu operacyjnego Linux Red Hat, wersja 6.0, 6.1, 6.2 lub 7.0,

- jądra systemu operacyjnego w wersji 2.2.x,

- gawk w wersji 3.0 lub nowszej,

- fileutils w wersji 4.0 lub nowszej,

- grep w wersji 2.3 lub nowszej,

- sh-utils w wersji 1.16 lub nowszej,

- tcsh w wersji 6.08 lub nowszej,

- vim-minimal sed w wersji 3.02 lub nowszej,

- textutils w wersji 1.22 lub nowszej,

- net-tools w wersji 1.51 lub nowszej,

- findutils w wersji 4.1 lub nowszej,

- sharutils w wersji 4.2 lub nowszej.

Poniżej przedstawiono przykładowy wykaz zasobw wystarczający do przeprowadzenia

instalacji zgodnej z w/w wymogami:

- płyta instalacyjna Red Hat 7.0 Î binaria,

- kernel-2.2.19-6.2.7.i686.rpm,

- rpm-4.0.2-6x.i386.rpm,

- mount-2.10r-0.6.x.i386.rpm,

- tcsh-6.09-4.i386.rpm,

c) Przykładowa procedura instalacji systemu operacyjnego i wymaganych komponentw:

- Instalacja systemu operacyjnego:

» należy wybrać typ instalacji Custom (w oknie áInstalation TypeÑ),

» system należy zainstalować w wersji minimalnej Î w oknie wyboru pakietw

instalacyjnych áPackage Group SelectionÑ wszystkie pola wyboru powinny

pozostać puste,

» w systemie powinno istnieć tylko jedno konto użytkownika Î root

- Instalacja pakietu: rpm ÎUvh rpm-4.0.2-6x.i386.rpm,

- Instalacja pakietu: rpm ÎUvh mount-2.10r-0.6.x.i386.rpm,

- Uaktualnienie jądra systemu operacyjnego : rpm ÎUhv kernel-2.2.19-6.2.7.i686.rpm,

- Utworzenie RAM-dysku dla modułw:

mkinitdir /boot/initrd-2.2.19-6.2.7.img 2.2.19-6.2.7,

CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Krakw; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;

E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl

Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1

- Aktualizacja LILO:

edytować plik konfiguracyjny LILO: vi /etc/lilo.conf,

modyfikować odpowiednią sekwencję, np.:

image=/boot/vmlinuz-2.2.19-6.2.7

label=linux

initrd=/boot/initrd-2.2.19-6.2.7.img

read-only

root=/dev/hda6

# wskaznie głwnego systemu plikw

» wykonać komendę: lilo,

- Instalacja pakietu: rpm Îivh tcsh-6.09-4.i386.rpm,

d) Obecność w systemie pakietw wymienionych w pkt b) należy sprawdzić przy pomocy

komend:

- rpm Îq kernel ,

- rpm Îq gawk ,

- rpm Îq fileutils , itd.

Brakujące pakiety znajdują się na dysku CD w katalogu á/RedHat/RPMSÑ. Instalacja

pakietw odbywa się przy pomocy komend:

- rpm Îivh tcsh-6.09-4.i386.rpm itp.

e) System należy wyposażyć we wszystkie wymagane i zalecane przez producenta

poprawki Î patches

f) W celu umożliwienia zarządzania systemu FireWall-1 przez użytkownika root należy w

pliku /root/.bash_profile zdefiniować i wyeksportować niezbędne zmienne środowiskowe:

/root/.bash_profile

< ... >

PATH= <początkowa zawartość> : /etc/fw/bin

FWDIR=/etc/fw

<...>

export <początkowa zawartość > FWDIR

<...>

g) W celu przetestowania poprawnej konfiguracji zmiennych środowiskowych należy

wylogować się, zalogować jako użytkownik root i wykonać komendy:

- echo $FWDIR ,

poprawny wynik powinien brzmieć: /etc/fw,

- echo $PATH,

poprawny wynik powinien zawierać wartość : /etc/fw/bin.

Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1

Konfiguracja parametrw sieci

a) Konfiguracja interfejsw sieciowych - w przypadku kart sieciowych typu ethernet,

parametry interfejsu zapisane są w pliku /etc/sysconfig/network-scripts/ifcfg-ethN (gdzie

N Î numer interfejsu)

przykładowa konfiguracja interfejsu eth0

/etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0

# nazwa urządzenia

IPADDR=1.1.1.1

# adres IP interfejsu

NETMASK=255.255.255.0

# maska sieci

NETWORK=1.1.1.0

# adres sieci

BROADCAST=1.1.1.255

# adres rozgłoszeniowy

ONBOOT=yes

# karta uaktywniana jest podczas startu systemu

BOOTPROTO=none

# nie jest używane dhcp lub bootp

b) Konfiguracja DNS Î definiowanie w pliku /etc/resolv.conf serwerw DNS oraz

definiowanie sposobu (kolejności) rozwiązywania nazw w pliku /etc/host.conf

przykładowa definicja serwerw DNS

/etc/resolv.conf

nameserver 1.1.1.5

# podstawowy serwer DNS

nameserver 1.1.1.6

# zapasowy serwer DNS

przykładowa definicja sposobu rozwiązywania nazw

/etc/host.conf

order hosts, bind

# w procesie rozwiązywania nazwy w pierwszej

kolejności następuje # odwołanie do pliku

/etc/hosts a następnie odwołanie do serwera DNS

c) Konfiguracja oglnych parametrw sieci Î IP forwarding, default gateway etc.

przykładowa definicja oglnych parametrw sieci

/etc/sysconfig/network

NETWORKING=yes

# obsługa sieci włączona

FORWARD_IPV4=yes

# retransmisja pakietw IP włączona

HOSTNAME=bastion

# nazwa komputera

GATEWAY=1.1.1.254

# adres bramy domyślnej

GATEWAYDEV=eth0

# interfejs, poprzez ktry następuje komunikacja

z bramą domyślną

d) Konfiguracja znanych adresw sieciowych w pliku /etc/hosts

przykładowa definicja znanych nazw komputerw

/etc/hosts

127.0.0.1 localhost

1.1.1.1

loghost

# głwny (zewnętrzny) interfejs komputera

bastion

Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1

e) Konfiguracja niezbędnych dla poprawnego działania CP statycznych tras rutingu

przykładowa definicja statycznych tras rutingu

/etc/sysconfig/static-routes

eth1 host 193.193.74.3 gw 10.10.10.1

eth1 host 193.193.74.4 gw 10.10.10.2

f) Restartusług sieciowych:

/etc/rc.d/init.d/network restart

g) Kontrola poprawności konfiguracji parametrw sieci

- zalecane jest wykonanie restartu całego systemu (komenda init 6 ) w celu

przetestowania átrwałościÑ konfiguracji

- w wyniku działania komendy ifconfig powinny wyświetlić się wszystkie zdefiniowane

interfejsy sieciowe, wraz z poprawną konfiguracją adresw IP, masek sieciowych etc.

- w wyniku działania komendy route În powinna zostać wyświetlona aktualna tablica

trasowania, z ktrej powinno wynikać, że działa retransmisja pakietw (IP forwarding)

i ustawiona jest brama domyślna.

Usunięcie bądź zablokowanie zbędnych komponentw systemu

a) Zalecane jest zablokowanie większości usług uruchamianych w trzecim trybie pracy

systemu (trybie wieloużytkownikowym, z uruchomionymi usługami sieciowymi):

- w pliku /etc/rc.d/rcd.3 należy pozostawić jedynie następujące skrty (można także

usunąć z katalogu /etc/rc.d/init.d wszystkie pliki binarne, ktre nie są powiązane z

poniższymi plikami)

i. S10network

ii. S12syslog

iii. S20random

iv. S56rawdevices

v. S75keytable

vi. S90crond

vii. S99local.

Wzmocnienie zabezpieczeń systemu

a) Dodanie do pliku /etc/host.conf parametru zabezpieczającego przed atakiem typu

áIP SpoofingÑ

/etc/host.conf

nospoof on

# funkcja zabezpieczająca przed ÐIP SpoofingÑ

Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1

Instalacja oprogramowania Check Point VPN-1/FireWall-1

Do instalacji oprogramowania Check Point VPN-1/FireWall-1 v4.1/SPx należy

wykorzystać nośnik instalacyjny CD-ROM (Check Point 2000 v4.1.x). Proces instalacji

odbywa się w następującej kolejności:

#./InstallU

#rpm -i --replacefiles CPfw1-41.5-SP5.i386.rpm

#upgrade do SP5

W razie problemw z instalacją SP5 należy wykonać komendę:

#rpm --rebuilddb

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: