Система защиты информации в локальной сети предприятия

#

# policies

#

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD DROP

Цепочка bad_tcp_packets предназначена для фильтрования пакетов с "неправильными" заголовками и решения ряда других проблем. Здесь отфильтровываются все пакеты, которые распознаются как NEW, но не являются SYN пакетами, а так же обрабатываются SYN/ACK-пакеты, имеющие статус NEW. Эта цепочка использована для защиты от вторжения и сканирования портов.

#

# rule bad_tcp_packets

#

$IPTABLES -N bad_tcp_packets

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \

-m state --state NEW -j REJECT --reject-with tcp-reset

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \

--log-prefix "New not syn:"

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

Цепочка allowed используется как дополнительная проверка после цепочки bad_tcp_packets. Первое правило проверяет, является ли пакет SYN пакетом, т.е. запросом на соединение. Такой пакет мы считаем допустимым и пропускаем.

#

# ICMP rules

#

$IPTABLES -N icmp_packets

$IPTABLES -A icmp_packets -i $INET_IFACE -p ICMP -j DROP

$IPTABLES -A icmp_packets -i $LAN_IFACE -p ICMP -s $LAN_IP_RANGE -j ACCEPT

#

# Rules for special networks not part of the Internet

#

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

Это правило отвечает за трафик который идет с сети интернет, зависимости от протокола идет переключению на соответствующую цепочку

#

# Rules for incoming packets from the internet.

#

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state -state \ ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j bad_tcp_packets

$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

#

# FORWARD chain

# Bad TCP

#

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

#

# OUTPUT chain

# Bad TCP

#

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

#

# Special OUTPUT rules to decide which IP's to allow.

#

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

Здесь задаем правила доступа для создания VPN шлюза.

#

# Internet IPsec connect

# key

$IPTABLES -A INPUT -p udp --sport 500 --dport 500 -s $IP_FIL -j ACCEPT

$IPTABLES -A OUTPUT -p udp --sport 500 --dport 500 -d $IP_FIL -j ACCEPT

# esp

$IPTABLES -A INPUT -p 50 -s $IP_FIL-j ACCEPT

$IPTABLES -A OUTPUT -p 50 -d $IP_FIL -j ACCEPT

# ah

$IPTABLES -A INPUT -p 51 -s $IP_FIL -j ACCEPT

$IPTABLES -A OUTPUT -p 51 -d $IP_FIL -j ACCEPT

Разрешаем доступ Прокси сервера в сеть интернет.

#

# PRX to Internet

#

$IPTABLES -A FORWARD -i $LAN_IFACE -s $LAN_PROXY_IP -o $INET_IFACE -j ACCEPT

Разрешаем доступ Терминал сервера в локальную сеть.

#

# TSRV to LAN

#

$IPTABLES -A FORWARD -i $LAN_VIFACE -o $LAN_IFACE -d $BASE_IP -j ACCEPT

$IPTABLES -A FORWARD -i $LAN_VIFACE -o $LAN_IFACE -d $DOMEN_IP -j ACCEPT

}

case "$1" in

start) echo -n "Starting"

start_fw

echo "."

;;

stop) echo -n "Stopping"

iptables -F

iptables -X

echo "."

;;

save) echo -n "Saving"

iptables-save > /etc/rules-save

echo "."

;;

restart) echo -n "Restarting"

iptables -F

iptables -X

cat /etc/rules-save | iptables-restore

echo "."[C

;;

*) echo "Usage: iptables start|stop|save|restart"

exit 1

;;

esac

exit 0

Приложение 2

Защита информации в IP сетях

Конфигурация VPN шлюза

# /etc/ipsec.conf - конфигурационный файл FreeS/WAN

# Примеры конфигурационных файлов находятся в каталоге

# doc/examples исходных кодов.

config setup

# Сетевой интерфейс, используемый IPSec

interfaces="IPSEC0=eth0"

# Запрет на выдачу отладочных сообщений

# all - включение выдачи отладочных сообщений

klipsdebug=none

plutodebug=none

# Автоматическая установка соединений и аутентификация

# при запуске IPSec

plutoload=%search

plutostart=%search

# Параметры соединения между локальными сетями

# Название соединения (произвольная строка)

conn Moscow_Fil

# Исходные данные для шлюза в Москвe

# IP адрес

left=212.45.28.123

# Описание локальной сети

leftsubnet=192.168.150.0/24

# IP ближайшего к шлюзу в Москве роутера

# (может быть определен с помощью traceroute)

leftnexthop=62.117.82.145

# Исходные данные для шлюза в филиале

# IP адрес

right=212.111.80.21

# Описание локальной сети

rightsubnet=192.168.1.0/24

# IP ближайшего к шлюзу в филиале роутера

rightnexthop=212.111.78.1

# Количество попыток проверки ключей

# 0 - до достижения положительного результата

keyingtries=0

# Тип аутентификации(AH или ESP)

auth=ah

#Опции устанавливаемые для использования RSA-ключей

authby=rsasig

leftrsasigkey=

rightrsasigkey=

# Устанавливать соединение при запуске IPSec

auto=start

Размещено на Allbest.ru