Procedura instalacji i konfiguracji Linux Red Hat jako

Procedura instalacji i konfiguracji Linux Red Hat jako

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
Procedura instalacji i konfiguracji Linux Red Hat jako platformy dla
systemu zabezpieczeń Check Point VPN-1/FireWall-1
Przygotował: Mariusz Pyrzyk
Instalacja systemu operacyjnego Linux Red Hat
a) Zalecane jest, aby system operacyjny Linux zainstalować od początku, nawet jeżeli
komputer został dostarczony razem z zainstalowanym oprogramowaniem. Komputer w
czasie instalacji nie powinien być podłączony do sieci.
b) Dla przeprowadzenia procesu instalacji Check Point VPN-1/FireWall-1 wymagane jest
zainstalowanie następujących komponentów:
- systemu operacyjnego Linux Red Hat, wersja 6.0, 6.1, 6.2 lub 7.0,
- jądra systemu operacyjnego w wersji 2.2.x,
- gawk w wersji 3.0 lub nowszej,
- fileutils w wersji 4.0 lub nowszej,
- grep w wersji 2.3 lub nowszej,
- sh-utils w wersji 1.16 lub nowszej,
- tcsh w wersji 6.08 lub nowszej,
- vim-minimal sed w wersji 3.02 lub nowszej,
- textutils w wersji 1.22 lub nowszej,
- net-tools w wersji 1.51 lub nowszej,
- findutils w wersji 4.1 lub nowszej,
- sharutils w wersji 4.2 lub nowszej.
Poniżej przedstawiono przykładowy wykaz zasobów wystarczający do przeprowadzenia
instalacji zgodnej z w/w wymogami:
- płyta instalacyjna Red Hat 7.0 – binaria,
- kernel-2.2.19-6.2.7.i686.rpm,
- rpm-4.0.2-6x.i386.rpm,
- mount-2.10r-0.6.x.i386.rpm,
- tcsh-6.09-4.i386.rpm,
c) Przykładowa procedura instalacji systemu operacyjnego i wymaganych komponentów:
- Instalacja systemu operacyjnego:
» należy wybrać typ instalacji Custom (w oknie „Instalation Type”),
» system należy zainstalować w wersji minimalnej – w oknie wyboru pakietów
instalacyjnych „Package Group Selection” wszystkie pola wyboru powinny
pozostać puste,
» w systemie powinno istnieć tylko jedno konto użytkownika – root
- Instalacja pakietu: rpm –Uvh rpm-4.0.2-6x.i386.rpm,
- Instalacja pakietu: rpm –Uvh mount-2.10r-0.6.x.i386.rpm,
- Uaktualnienie jądra systemu operacyjnego : rpm –Uhv kernel-2.2.19-6.2.7.i686.rpm,
- Utworzenie RAM-dysku dla modułów:
mkinitdir /boot/initrd-2.2.19-6.2.7.img 2.2.19-6.2.7,
CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
Aktualizacja LILO:
»
edytować plik konfiguracyjny LILO: vi /etc/lilo.conf,
»
modyfikować odpowiednią sekwencję, np.:
image=/boot/vmlinuz-2.2.19-6.2.7
label=linux
initrd=/boot/initrd-2.2.19-6.2.7.img
read-only
root=/dev/hda6
# wskaznie głównego systemu plików
»
wykonać komendę: lilo,
- Instalacja pakietu: rpm –ivh tcsh-6.09-4.i386.rpm,
d) Obecność w systemie pakietów wymienionych w pkt b) należy sprawdzić przy pomocy
komend:
- rpm –q kernel,
- rpm –q gawk,
- rpm –q fileutils, itd.
Brakujące pakiety znajdują się na dysku CD w katalogu „/RedHat/RPMS”. Instalacja
pakietów odbywa się przy pomocy komend:
- rpm –ivh tcsh-6.09-4.i386.rpm itp.
e) System należy wyposażyć we wszystkie wymagane i zalecane przez producenta
poprawki – patches
f) W celu umożliwienia zarządzania systemu FireWall-1 przez użytkownika root należy w
pliku /root/.bash_profile zdefiniować i wyeksportować niezbędne zmienne środowiskowe:
-
/root/.bash_profile
< ... >
PATH= <początkowa zawartość> : /etc/fw/bin
FWDIR=/etc/fw
<...>
export <początkowa zawartość > FWDIR
<...>
g) W celu przetestowania poprawnej konfiguracji zmiennych środowiskowych należy
wylogować się, zalogować jako użytkownik root i wykonać komendy:
- echo $FWDIR ,
poprawny wynik powinien brzmieć: /etc/fw,
- echo $PATH,
poprawny wynik powinien zawierać wartość : /etc/fw/bin.
2
© CLICO Centrum Oprogramowania, 1991-2002.
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
Konfiguracja parametrów sieci
a) Konfiguracja interfejsów sieciowych - w przypadku kart sieciowych typu ethernet,
parametry interfejsu zapisane są w pliku /etc/sysconfig/network-scripts/ifcfg-ethN (gdzie
N – numer interfejsu)
przykładowa konfiguracja interfejsu eth0
/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
# nazwa urządzenia
IPADDR=1.1.1.1
# adres IP interfejsu
NETMASK=255.255.255.0
# maska sieci
NETWORK=1.1.1.0
# adres sieci
BROADCAST=1.1.1.255
# adres rozgłoszeniowy
ONBOOT=yes
# karta uaktywniana jest podczas startu systemu
BOOTPROTO=none
# nie jest używane dhcp lub bootp
b) Konfiguracja DNS – definiowanie w pliku /etc/resolv.conf serwerów DNS oraz
definiowanie sposobu (kolejności) rozwiązywania nazw w pliku /etc/host.conf
przykładowa definicja serwerów DNS
/etc/resolv.conf
nameserver 1.1.1.5
nameserver 1.1.1.6
# podstawowy serwer DNS
# zapasowy serwer DNS
przykładowa definicja sposobu rozwiązywania nazw
/etc/host.conf
order hosts, bind
# w procesie rozwiązywania nazwy w pierwszej
kolejności następuje # odwołanie do pliku
/etc/hosts a następnie odwołanie do serwera DNS
c) Konfiguracja ogólnych parametrów sieci – IP forwarding, default gateway etc.
przykładowa definicja ogólnych parametrów sieci
/etc/sysconfig/network
NETWORKING=yes
FORWARD_IPV4=yes
HOSTNAME=bastion
GATEWAY=1.1.1.254
GATEWAYDEV=eth0
# obsługa sieci włączona
# retransmisja pakietów IP włączona
# nazwa komputera
# adres bramy domyślnej
# interfejs, poprzez który następuje komunikacja
z bramą domyślną
d) Konfiguracja znanych adresów sieciowych w pliku /etc/hosts
przykładowa definicja znanych nazw komputerów
/etc/hosts
127.0.0.1 localhost
1.1.1.1
bastion
loghost
# główny (zewnętrzny) interfejs komputera
3
© CLICO Centrum Oprogramowania, 1991-2002.
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
e) Konfiguracja niezbędnych dla poprawnego działania CP statycznych tras rutingu
przykładowa definicja statycznych tras rutingu
/etc/sysconfig/static-routes
eth1 host 193.193.74.3 gw 10.10.10.1
eth1 host 193.193.74.4 gw 10.10.10.2
f)
Restart usług sieciowych:
/etc/rc.d/init.d/network restart
g) Kontrola poprawności konfiguracji parametrów sieci
-
zalecane jest wykonanie restartu całego systemu (komenda init 6) w celu
przetestowania „trwałości” konfiguracji
w wyniku działania komendy ifconfig powinny wyświetlić się wszystkie zdefiniowane
interfejsy sieciowe, wraz z poprawną konfiguracją adresów IP, masek sieciowych etc.
w wyniku działania komendy route –n powinna zostać wyświetlona aktualna tablica
trasowania, z której powinno wynikać, że działa retransmisja pakietów (IP forwarding)
i ustawiona jest brama domyślna.
Usunięcie bądź zablokowanie zbędnych komponentów systemu
a) Zalecane jest zablokowanie większości usług uruchamianych w trzecim trybie pracy
systemu (trybie wieloużytkownikowym, z uruchomionymi usługami sieciowymi):
- w pliku /etc/rc.d/rcd.3 należy pozostawić jedynie następujące skróty (można także
usunąć z katalogu /etc/rc.d/init.d wszystkie pliki binarne, które nie są powiązane z
poniższymi plikami)
i. S10network
ii. S12syslog
iii. S20random
iv. S56rawdevices
v. S75keytable
vi. S90crond
vii. S99local.
Wzmocnienie zabezpieczeń systemu
a) Dodanie do pliku /etc/host.conf parametru zabezpieczającego przed atakiem typu
„IP Spoofing”
/etc/host.conf
nospoof on
# funkcja zabezpieczająca przed “IP Spoofing”
4
© CLICO Centrum Oprogramowania, 1991-2002.
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
Instalacja oprogramowania Check Point VPN-1/FireWall-1
Do instalacji oprogramowania Check Point VPN-1/FireWall-1 v4.1/SPx należy
wykorzystać nośnik instalacyjny CD-ROM (Check Point 2000 v4.1.x). Proces instalacji
odbywa się w następującej kolejności:
#./InstallU
#rpm -i --replacefiles CPfw1-41.5-SP5.i386.rpm
#upgrade do SP5
W razie problemów z instalacją SP5 należy wykonać komendę:
#rpm --rebuilddb
5
© CLICO Centrum Oprogramowania, 1991-2002.