Filtrowanie w systemie operacyjnym

Dzisiaj jeszcze trochę pracy magisterskiej o zaporach ogniowych. Miłego czytania!

Użytkownik może nie zdawać sobie sprawy, że większość wersji UNIX i serwerów Windows NT zawiera moduł filtrowania pakietów w interfejsie protokołu TCP/IP. Można korzystać z tego jako dodatku do silnej ściany ogniowej i za jego pomocą nadzorować dostęp do poszczególnych serwerów. Można także wykorzystywać ten moduł do zapewnienia dodatkowego zabezpieczenia wewnątrz sieci, bez ponoszenia kosztów dodatkowych ścian ogniowych wewnątrz firmy.

Samo filtrowanie nie wystarcza do pełnej ochrony sieci, wewnętrzne filtrowanie zapewniane przez system operacyjny nie pozawala na utworzenie całkowicie bezpiecznego środowiska. Nie można polegać tylko na filtrowaniu wbudowanym do systemu operacyjnego. Funkcje filtrujące systemu operacyjnego można użyć tylko wewnątrz sieci do zbudowania filtrów, które przepuszczają dokładnie tylko te protokoły, które zamierza się obsługiwać. Zapobiega się w ten sposób niezamierzonemu działaniu oprogramowania oraz funkcjonowaniu koni trojańskich nawet wtedy, gdy udało się komuś je zainstalować.

Podstawowe filtrowanie zapewniane w systemie operacyjnym pozwala zdefiniować kryteria, na podstawie których karty sieciowe mogą akceptować przychodzące połączenia w  oparciu o:

  • numer protokołu IP
  • numer portu TCP
  • numer portu UDP

Filtrowanie to nie dotyczy zazwyczaj połączeń wychodzących (tych, które inicjowane są na serwerze użytkownika) i jest odrębne definiowane dla każdej karty w systemie. Dla systemu Windows trzeba pamiętać o tym, że Windows NT 4 w odróżnieniu od systemu Windows 2000 nie obsługuje filtrowania ruchu wychodzącego. Typowy serwer ustawia usługi tak, aby nasłuchiwały wymienionych poniżej portów. Aby usługi te mogły pracować prawidłowo, porty te muszą być otwarte w filtrze.

Podstawowe usługi TCP.IP zazwyczaj nasłuchują na następujących portach:

Tabela 1

Port Usługa TCP/IP
7 Echo
9 Discard (porzuć)
13 Time (czas)
17 Quote of Day (Cytat dnia)
19 Character Generator (Generator znaków)

Źródło własne

Serwery internetowe najczęściej nasłuchują portów:

Tabela 2

Port Serwer
21 FTP
23 Telnet
70 Gopher
80 WWW (HTTP)
119 Net News (NNTP)

Źródło własne

Serwery plików najczęściej nasłuchują portów:

Tabela 3

Port Usługa
53 DNS
135 RPC Locator Service [1]
137 NetBios Name Service [2]
139 NetBios Session Service [3]
515 LPR [4]
530 RPC [5]

Źródło własne

Serwery pocztowe najczęściej są konfigurowane tak, aby nasłuchiwać następujących portów:

Tabela 4

Port Serwer pocztowy
25 SMTP
110 POP wersja 3
143 IMAP

Źródło własne

Przy instalowaniu innej usługi trzeba upewnić się, że ustawienia filtru serwera pozwalają nasłuchiwać portów wymaganych przez usługi – w przeciwnym wypadku usługi te nie będą działać. producent oprogramowania powinien określić, które porty są wymagane dla danej usługi. nie dotyczy to granicznych ścian ogniowych, które powinny być tak skonfigurowane, aby przepuszczać tylko wtedy usługę, jeżeli zamierza się ją świadczyć publicznie.

Konfigurację filtrowania w systemie operacyjnym należy zacząć od zablokowania wszystkich protokołów i adresów. Następnie można precyzyjnie zezwalać na usługi i dostęp do hostów, które będą je świadczyły w sieci. Należy  zabronić wszystkich prób połączeń do hostów wewnątrz sieci. Zezwalając na połączenia do wewnątrz pozwala się hakerom na uzyskanie połączenia z koniami trojańskimi lub na wykorzystywanie błędów w oprogramowaniu usług.

Zaleca się odfiltrowywanie i nie odpowiadanie na komunikaty zmiany trasy ICMP oraz echo (ping). Należy odrzucać wszystkie pakiety IP z ustawionym wyborem trasy przez nadawcę. Mechanizm ten rzadko jest używany w legalnym celu. Należy także odrzucać wszystkie zmiany pochodzące z protokołów zewnętrznego routingu (RIP, OSPF) przeznaczone dla routerów wewnętrznych. Nikt z zewnątrz sieci nie powinien przesyłać zmian RIP. Trzeba umieścić hosty z usługami publicznymi (WWW i SMTP) na zewnątrz filtrów pakietów, żeby nie pozwolić na powstawanie luk w filtrze pakietów.


[1] tylko Windows NT

[2] tylko serwery WINS

[3] tylko sieć Windows i serwery SMB/CIFS

[4] usługa drukowania TCP/IP korzysta z LPR jeżeli została zainstalowana

[5] połączenie RPC jest wykorzystywane przez usługę WinLogon w Windows NT, jak również przez wiele innych sieciowych aplikacji wyższych warstw