Usando el sistema Linux enmascarado contra ataques de hackers

Los cortafuegos se pueden dividir en diferentes niveles de seguridad. En Linux, debido a que hay muchos programas de firewall diferentes para elegir, la seguridad puede ser baja o alta, y el software más complejo brinda una protección casi impenetrable. Sin embargo, el kernel de Linux tiene un mecanismo simple incorporado llamado "disfraz" que, además de los ataques de hacking más especializados, puede soportar la mayoría de los ataques.

Cuando conectamos a Internet, a nuestra computadora se le asignará una dirección IP que le permite a otros en la red devolver los datos a nuestra computadora. Los hackers usan su IP para acceder a los datos en su computadora. El método de "camuflaje de IP" utilizado por Linux es ocultar su IP y no dejar que otros en la red lo vean. Existen varios conjuntos de direcciones IP que están reservadas para el uso de la red local. Los enrutadores de red troncal de Internet no se reconocen. La IP de la computadora del autor es 192.168.1.127, pero si ingresa esta dirección en su navegador, creo que no se puede recibir nada, ya que la red troncal de Internet no reconoce la IP de 192.168.X.X. Hay innumerables computadoras en otras intranets, y usan la misma IP. Ya que no puedes acceder a ellas en absoluto, no puedes invadirlas o descifrarlas.

Por lo tanto, resolver el problema de seguridad en Internet parece ser un asunto simple. Simplemente elija una dirección IP a la que su otra computadora no pueda acceder para su computadora y todo se resolverá. Equivocado Porque cuando navegas por Internet, también necesitas que el servidor te devuelva los datos, de lo contrario no puedes ver nada en la pantalla, y el servidor solo puede devolver los datos a la dirección IP legal registrada en la red troncal de Internet.

"Camuflaje IP" es la tecnología utilizada para resolver este dilema. Cuando tiene una computadora con Linux instalado y desea usar "enmascaramiento de IP", se conectará a las redes internas y externas e interpretará automáticamente las direcciones IP desde adentro hacia afuera o desde afuera hacia adentro. Generalmente, esta acción Traducción de la dirección de red llamada.

El "camuflaje IP" real es más complicado que el anterior. Básicamente, un servidor de "enmascaramiento de IP" se coloca entre dos redes. Si usa un módem de acceso telefónico analógico para acceder a los datos en Internet, esta es una de las redes, su red interna generalmente corresponde a una tarjeta Ethernet, que es la segunda red. Si está utilizando un módem DSL o un módem por cable, habrá una segunda tarjeta Ethernet en el sistema en lugar de un módem analógico. Linux puede administrar todas las direcciones IP de estas redes, por lo que si tiene una computadora con Windows (IP 192.168.1.25) y está en la segunda red (Ethernet eth1), necesita acceder a Internet (Ethernet eth0) En el módem por cable (207.176.253.15), Linux "enmascaramiento de IP" interceptará todos los paquetes TCP /IP enviados desde su navegador, extraerá la dirección local original (192.168.1.25) y luego la verdadera Dirección (207.176.253.15) reemplazada. Luego, cuando el servidor devuelve los datos a 207.176.253.15, Linux también interceptará automáticamente el paquete devuelto y completará la dirección local correcta (192.168.1.25).

Linux puede administrar varios equipos locales (como 192.168.1.25 y 192.168.1.34 en el diagrama de "enmascaramiento de IP" de Linux) y procesar cada paquete sin confusión. El autor tiene una computadora 486 antigua con SlackWare Linux que puede manejar paquetes enviados por cuatro computadoras al módem por cable al mismo tiempo, sin ralentizarse.

Antes de la segunda edición del núcleo, el "Módulo de gestión de transmisión de IP" (IPFWADM, IP fw adm) gestionaba "enmascaramiento de IP". Aunque la segunda versión del núcleo proporciona IPCHAINS más rápidos y complejos, el contenedor IPFWADM aún se proporciona para mantener la compatibilidad con versiones anteriores. Por lo tanto, en este artículo, el autor usará IPFWADM como ejemplo para explicar cómo configurar el "camuflaje IP". .

Además, algunas aplicaciones, como los paquetes no estándar utilizados por RealAudio y CU-SeeME, requieren módulos especiales, y también puede obtener información relevante de los sitios web anteriores.

El servidor del autor tiene dos tarjetas Ethernet, que se configuran en eth0 y eth1 durante la activación del núcleo. Ambas tarjetas son tarjetas compatibles con ISA estilo SN2000 sin un puente, y la mayoría de Linux reconoce estas dos tarjetas. El procedimiento de inicialización de Ethernet del autor se establece en rc.inet1 con el siguiente comando:

IPADDR = "207.175.253.15"

#Cambie la dirección IP de su cable módem.

NETMASK = "255.255.255.0"

#Cambie su escudo de red.

NETWORK = "207.175.253.0"

#Cambie su dirección de red.

BROADCAST = "207.175.253.255"

#Cambie su dirección de transmisión.

GATEWAY = "207.175.253.254"

#Cambie su dirección de pasarela.

#Utilice la macro anterior para configurar su tarjeta Ethernet de módem por cable

/sbin /ifconfig eth0 $ {IPADDR} transmisión $ {BROADCAST} netmask $ {NETMASK}

# Establecer la tabla de enrutamiento IP

/sbin /route add -net $ {NETWORK} netmask $ {NETMASK} eth0

#Para configurar la tarjeta Ethernet de la intranet eth1, no use macros

/sbin /ifconfig eth1 192.168.1.254 transmitido 192.168.1.255 netmask 255.255.255.0

/sbin /route add -net 192.168.1.0 netmask 255.255.255.0 eth1

# A continuación, establezca IP fw adm initialization

/sbin /ipfwadm -F -p deny #Refuse access fuera de las siguientes ubicaciones # Abra la solicitud de transferencia desde 192.168.1.X

/sbin /ipfwadm -F -am -S 192.168.1.0/24 -D 0.0.0.0/0

/sbin /ipfwadm -M -s 600 30 120

¡Eso es todo! La "enmascaramiento de IP" de su sistema ahora debería funcionar bien. Si desea información más detallada, puede consultar el CÓMO mencionado anteriormente o el CÓMO MINI en http://albali.aquanet.com.br/howtos/Bridge+Firewall-4.html. Para obtener tecnologías de firewall más seguras, puede encontrar la información en ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO.

En los últimos seis meses, el precio de la tarjeta de datos analógicos 56K se ha reducido repentinamente. Sin embargo, la mayoría de las tarjetas de datos nuevas realmente eliminan el microprocesador de control de la placa, lo que provoca una carga adicional en la CPU principal del sistema, y ​​Linux no es compatible con estas tarjetas "WinModem". Aunque los expertos de Linux aún tienen la capacidad de escribir controladores para tarjetas WinModem, también entienden que definitivamente no es conveniente afectar el rendimiento del sistema para ahorrar $ 10.

Asegúrese de que la tarjeta de módem que está utilizando tenga puentes que puedan usarse para configurar COM1, COM2, COM3 y COM4. De esta manera, estas tarjetas de datos pueden funcionar normalmente en Linux. Puede encontrar una lista completa de tarjetas de datos compatibles con Linux en http://www.o2.net/~gromitkc/winmodem.html.

Cuando el autor escribió este artículo, pasó algún tiempo probando varias tarjetas de datos. Linux es compatible con dispositivos plug-and-play, así que compré una tarjeta de datos que no saltaba de Amjet y encontré otro problema confuso.

El PC utilizado para la prueba era un antiguo 486, utilizando la versión 1994 del BIOS AMI. Después de enchufar la tarjeta de datos plug-and-play, la computadora no se iniciará y la pantalla aparecerá como "Falla del disco duro principal". Tras la inspección, se encontró que el BIOS plug-and-play asignó realmente la interrupción No. 15 que debería haberse reservado al controlador del disco duro y se lo asignó a la tarjeta de datos. Finalmente, el autor abandonó el uso de productos plug-and-play en computadoras más antiguas, porque no vale la pena dedicar tiempo a estas cosas. Por lo tanto, preste atención para ver si ha ajustado el puente de COM1 a COM4 antes de comprar la tarjeta de datos.

En el tablón de anuncios del autor (http://trevormarshall.com/BYTE/), vi a varios amigos preguntándome si podía usar varias líneas de acceso telefónico para mejorar la velocidad de Internet. El mejor ejemplo aquí es el 128K ISDN, que utiliza dos canales de 56K simultáneamente para alcanzar una velocidad de 128K. Cuando un ISP proporciona tal servicio, en realidad configura dos líneas separadas para conectarse a la misma IP.
Puede ver que aunque hay módulos como EQL en Linux, puede usar dos tarjetas de datos al mismo tiempo en la computadora, pero a menos que el ISP proporcione la misma IP a los dos conjuntos de conexiones de acceso telefónico, las dos tarjetas de datos Sólo es útil para enviar la información.

Si marca una línea PPP del ISP normal, obtendrá una dirección IP y los paquetes enviados desde el servidor lo encontrarán en millones de computadoras, cada vez que ingrese al ISP Cuando obtienes una dirección IP diferente. El paquete enviado por su navegador también contiene la dirección IP local para que los datos del servidor regresen. EQL puede distribuir estos paquetes salientes a diferentes líneas de ISP, pero cuando se devuelven los datos, solo se pueden recibir a través de una dirección IP, que es la dirección que el navegador considera que se está utilizando. Si se utiliza ISDN, el ISP manejará este problema, algunos ISP proporcionarán las direcciones IP correspondientes para el acceso telefónico a múltiples conjuntos de líneas, pero el precio es muy caro.

Cuando persiga la velocidad, no ignore la eficiencia del firewall de Linux. En la oficina del autor, seis usuarios usan el firewall "Camuflaje de IP" para acceder a un módem analógico de 56 K. Las condiciones de trabajo son muy buenas y la velocidad solo disminuirá cuando alguien descargue un archivo grande. Antes de decidir instalar varias líneas de marcación ISP, puede intentar configurar un servidor de "camuflaje IP". El enfoque de Windows para manejar múltiples IP no es muy eficiente, y la separación de la red de Windows del módem lo sorprenderá con un mayor rendimiento.

En resumen, el método de "camuflaje de IP" utilizado por Linux es ocultar su IP y no permitir que otros en la red lo vean.