[ Pobierz całość w formacie PDF ]
P
ROFESJONALNE
U
SŁUGI
B
EZPIECZEŃSTWA
Procedura instalacji i konfiguracji Linux Red Hat jako platformy dla
systemu zabezpieczeń Check Point VPN-1/FireWall-1
Przygotował: Mariusz Pyrzyk
Instalacja systemu operacyjnego
Linux Red Hat
a)
Zalecane jest, aby system operacyjny Linux zainstalować od początku, nawet jeżeli
komputer został dostarczony razem z zainstalowanym oprogramowaniem. Komputer w
czasie instalacji nie powinien być podłączony do sieci.
b)
Dla przeprowadzenia procesu instalacji Check Point VPN-1/FireWall-1 wymagane jest
zainstalowanie następujących komponentw:
-
systemu operacyjnego Linux Red Hat, wersja 6.0, 6.1, 6.2 lub 7.0,
-
jądra systemu operacyjnego w wersji 2.2.x,
-
gawk w wersji 3.0 lub nowszej,
-
fileutils w wersji 4.0 lub nowszej,
-
grep w wersji 2.3 lub nowszej,
-
sh-utils w wersji 1.16 lub nowszej,
-
tcsh w wersji 6.08 lub nowszej,
-
vim-minimal sed w wersji 3.02 lub nowszej,
-
textutils w wersji 1.22 lub nowszej,
-
net-tools w wersji 1.51 lub nowszej,
-
findutils w wersji 4.1 lub nowszej,
-
sharutils w wersji 4.2 lub nowszej.
Poniżej przedstawiono przykładowy wykaz zasobw wystarczający do przeprowadzenia
instalacji zgodnej z w/w wymogami:
-
płyta instalacyjna Red Hat 7.0 Î binaria,
-
kernel-2.2.19-6.2.7.i686.rpm,
-
rpm-4.0.2-6x.i386.rpm,
-
mount-2.10r-0.6.x.i386.rpm,
-
tcsh-6.09-4.i386.rpm,
c)
Przykładowa procedura instalacji systemu operacyjnego i wymaganych komponentw:
-
Instalacja systemu operacyjnego:
»
należy wybrać typ instalacji Custom (w oknie áInstalation TypeÑ),
»
system należy zainstalować w wersji minimalnej Î w oknie wyboru pakietw
instalacyjnych áPackage Group SelectionÑ wszystkie pola wyboru powinny
pozostać puste,
»
w systemie powinno istnieć tylko jedno konto użytkownika Î root
-
Instalacja pakietu:
rpm ÎUvh rpm-4.0.2-6x.i386.rpm,
-
Instalacja pakietu:
rpm ÎUvh mount-2.10r-0.6.x.i386.rpm,
-
Uaktualnienie jądra systemu operacyjnego :
rpm ÎUhv kernel-2.2.19-6.2.7.i686.rpm,
-
Utworzenie RAM-dysku dla modułw:
mkinitdir /boot/initrd-2.2.19-6.2.7.img 2.2.19-6.2.7,
CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Krakw; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
-
Aktualizacja LILO:
»
edytować plik konfiguracyjny LILO:
vi /etc/lilo.conf,
»
modyfikować odpowiednią sekwencję, np.:
image=/boot/vmlinuz-2.2.19-6.2.7
label=linux
initrd=/boot/initrd-2.2.19-6.2.7.img
read-only
root=/dev/hda6
# wskaznie głwnego systemu plikw
»
wykonać komendę:
lilo,
-
Instalacja pakietu:
rpm Îivh tcsh-6.09-4.i386.rpm,
d)
Obecność w systemie pakietw wymienionych w pkt b) należy sprawdzić przy pomocy
komend:
-
rpm Îq kernel
,
-
rpm Îq gawk
,
-
rpm Îq fileutils
, itd.
Brakujące pakiety znajdują się na dysku CD w katalogu á/RedHat/RPMSÑ. Instalacja
pakietw odbywa się przy pomocy komend:
- rpm Îivh tcsh-6.09-4.i386.rpm
itp.
e)
System należy wyposażyć we wszystkie wymagane i zalecane przez producenta
poprawki Î
patches
f)
W celu umożliwienia zarządzania systemu FireWall-1 przez użytkownika root należy w
pliku /root/.bash_profile zdefiniować i wyeksportować niezbędne zmienne środowiskowe:
/root/.bash_profile
< ... >
PATH= <początkowa zawartość> : /etc/fw/bin
FWDIR=/etc/fw
<...>
export <początkowa zawartość > FWDIR
<...>
g)
W celu przetestowania poprawnej konfiguracji zmiennych środowiskowych należy
wylogować się, zalogować jako użytkownik root i wykonać komendy:
-
echo $FWDIR ,
poprawny wynik powinien brzmieć: /etc/fw,
-
echo $PATH,
poprawny wynik powinien zawierać wartość : /etc/fw/bin.
2
© CLICO Centrum Oprogramowania, 1991-2002.
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
Konfiguracja parametrw sieci
a) Konfiguracja interfejsw sieciowych - w przypadku kart sieciowych typu ethernet,
parametry interfejsu zapisane są w pliku /etc/sysconfig/network-scripts/ifcfg-ethN (gdzie
N Î numer interfejsu)
przykładowa konfiguracja interfejsu eth0
/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
# nazwa urządzenia
IPADDR=1.1.1.1
# adres IP interfejsu
NETMASK=255.255.255.0
# maska sieci
NETWORK=1.1.1.0
# adres sieci
BROADCAST=1.1.1.255
# adres rozgłoszeniowy
ONBOOT=yes
# karta uaktywniana jest podczas startu systemu
BOOTPROTO=none
# nie jest używane dhcp lub bootp
b) Konfiguracja DNS Î definiowanie w pliku /etc/resolv.conf serwerw DNS oraz
definiowanie sposobu (kolejności) rozwiązywania nazw w pliku /etc/host.conf
przykładowa definicja serwerw DNS
/etc/resolv.conf
nameserver 1.1.1.5
# podstawowy serwer DNS
nameserver 1.1.1.6
# zapasowy serwer DNS
przykładowa definicja sposobu rozwiązywania nazw
/etc/host.conf
order hosts, bind
# w procesie rozwiązywania nazwy w pierwszej
kolejności następuje # odwołanie do pliku
/etc/hosts a następnie odwołanie do serwera DNS
c) Konfiguracja oglnych parametrw sieci Î IP forwarding, default gateway etc.
przykładowa definicja oglnych parametrw sieci
/etc/sysconfig/network
NETWORKING=yes
# obsługa sieci włączona
FORWARD_IPV4=yes
# retransmisja pakietw IP włączona
HOSTNAME=bastion
# nazwa komputera
GATEWAY=1.1.1.254
# adres bramy domyślnej
GATEWAYDEV=eth0
# interfejs, poprzez ktry następuje komunikacja
z bramą domyślną
d) Konfiguracja znanych adresw sieciowych w pliku /etc/hosts
przykładowa definicja znanych nazw komputerw
/etc/hosts
127.0.0.1 localhost
1.1.1.1
loghost
# głwny (zewnętrzny) interfejs komputera
3
© CLICO Centrum Oprogramowania, 1991-2002.
bastion
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
e) Konfiguracja niezbędnych dla poprawnego działania CP statycznych tras rutingu
przykładowa definicja statycznych tras rutingu
/etc/sysconfig/static-routes
eth1 host 193.193.74.3 gw 10.10.10.1
eth1 host 193.193.74.4 gw 10.10.10.2
f) Restartusług sieciowych:
/etc/rc.d/init.d/network
restart
g) Kontrola poprawności konfiguracji parametrw sieci
-
zalecane jest wykonanie restartu całego systemu (komenda
init 6
) w celu
przetestowania átrwałościÑ konfiguracji
-
w wyniku działania komendy
ifconfig
powinny wyświetlić się wszystkie zdefiniowane
interfejsy sieciowe, wraz z poprawną konfiguracją adresw IP, masek sieciowych etc.
-
w wyniku działania komendy
route În
powinna zostać wyświetlona aktualna tablica
trasowania, z ktrej powinno wynikać, że działa retransmisja pakietw (IP forwarding)
i ustawiona jest brama domyślna.
Usunięcie bądź zablokowanie zbędnych komponentw systemu
a) Zalecane jest zablokowanie większości usług uruchamianych w trzecim trybie pracy
systemu (trybie wieloużytkownikowym, z uruchomionymi usługami sieciowymi):
- w pliku
/etc/rc.d/rcd.3
należy pozostawić jedynie następujące skrty (można także
usunąć z katalogu
/etc/rc.d/init.d
wszystkie pliki binarne, ktre nie są powiązane z
poniższymi plikami)
i. S10network
ii. S12syslog
iii. S20random
iv. S56rawdevices
v. S75keytable
vi. S90crond
vii. S99local.
Wzmocnienie zabezpieczeń systemu
a) Dodanie do pliku /etc/host.conf parametru zabezpieczającego przed atakiem typu
áIP SpoofingÑ
/etc/host.conf
nospoof on
# funkcja zabezpieczająca przed ÐIP SpoofingÑ
4
© CLICO Centrum Oprogramowania, 1991-2002.
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
Instalacja oprogramowania Check Point VPN-1/FireWall-1
Do instalacji oprogramowania Check Point VPN-1/FireWall-1 v4.1/SPx należy
wykorzystać nośnik instalacyjny CD-ROM (Check Point 2000 v4.1.x). Proces instalacji
odbywa się w następującej kolejności:
#./InstallU
#rpm -i --replacefiles CPfw1-41.5-SP5.i386.rpm
#upgrade do SP5
W razie problemw z instalacją SP5 należy wykonać komendę:
#rpm --rebuilddb
5
© CLICO Centrum Oprogramowania, 1991-2002.
[ Pobierz całość w formacie PDF ]