Linuxシステムを使用したハッカーの攻撃に対するIPマスカレード

ファイアウォールは、さまざまなレベルのセキュリティに分類することができます。 Linuxでは、選択可能なファイアウォールソフトウェアが多数あるため、セキュリティは低くても高くてもよく、最も複雑なソフトウェアはほとんど侵入不可能な保護を提供します。しかし、Linuxカーネル自体には、最も特殊化されたハッキン​​グ攻撃に加えて、ほとんどの攻撃に耐えることができる「変装」と呼ばれる単純なメカニズムが組み込まれています。

インターネットにダイヤルアップすると、ネットワーク上の他のユーザーが自分のコンピュータにデータを返すことができるように、自分のコンピュータにIPアドレスが割り当てられます。ハッカーはあなたのIPを使ってあなたのコンピュータ上のデータにアクセスします。 Linuxで使われている "IPカモフラージュ"方法はあなたのIPを隠し、ネットワーク上の他の人に見られないようにすることです。ローカルネットワークで使用するために予約されているIPアドレスのセットがいくつかありますが、インターネットバックボーンルータは認識されません。作成者のコンピュータのIPアドレスは192.168.1.127ですが、このアドレスをブラウザに入力した場合、受信できないと考えられますこれは、インターネットバックボーンが192.168.X.XのIPアドレスを認識しないためです。他のイントラネットには無数のコンピュータがあり、それらは同じIPを使用しています。それらにはまったくアクセスできないので、侵入やクラックをすることはできません。

インターネット上のセキュリティ問題を解決するのは簡単なことのようですが、他のコンピュータがアクセスできないIPアドレスを選択するだけで、すべてが解決されます。間違っている！あなたがインターネットを閲覧するとき、あなたはまたあなたにデータを返すためにサーバを必要とします。

「IPカモフラージュ」は、このジレンマを解決するために使用される技術です。 Linuxがインストールされたコンピュータを使用していて「IPマスカレード」を使用したい場合は、内部ネットワークと外部ネットワークをブリッジし、IPアドレスを内側から外側へ、または外側から内側へ自動的に解釈します。ネットワークアドレス変換と呼ばれます。

実際の "IPカモフラージュ"は上記よりも複雑です。基本的に、 "IPマスカレード"サーバーは2つのネットワーク間に配置されます。あなたがインターネット上のデータにアクセスするためにアナログダイアルアップモデムを使うならば、これはネットワークの1つです;あなたの内部ネットワークは通常2番目のネットワークであるイーサネットカードに対応します。 DSLモデムまたはケーブルモデムを使用している場合は、システムにアナログモデムの代わりに2番目のイーサネットカードがあります。 LinuxはこれらのネットワークのすべてのIPアドレスを管理できるため、Windows（IP 192.168.1.25）を搭載したコンピュータがあり、2番目のネットワーク（Ethernet eth1）にいる場合は、インターネット（Ethernet eth0）にアクセスする必要があります。ケーブルモデム（207.176.253.15）では、Linuxの「IPマスカレード」は、ブラウザから送信されたすべてのTCP /IPパケットを傍受し、元のローカルアドレス（192.168.1.25）を抽出してからtrueになります。アドレス（207.176.253.15）が置き換えられました。その後、サーバーが207.176.253.15にデータを返すと、Linuxは自動的に返信パケットを傍受し、正しいローカルアドレス（192.168.1.25）を入力します。

Linuxは複数のローカルコンピュータ（Linuxの "IPマスカレード"図の192.168.1.25と192.168.1.34など）を管理し、混乱することなく各パケットを処理できます。作者は、SlackWare Linuxを搭載した古い486コンピュータを使用しています。これは、4台のコンピュータからケーブルモデムに送信されたパケットを、速度を落とすことなく同時に処理できます。

第2版以前の「IPマスカレード」は、IP送信管理モジュール（IPFWADM、IP fw adm）によって管理されていました。コアの2番目のバージョンではより高速でより複雑なIPCHAINSを提供していますが、下位互換性を維持するためにIPFWADMラッパーが提供されています。したがって、この記事ではIPFWADMを例として「IPカモフラージュ」の設定方法を説明します。 。

さらに、RealAudioやCU-SeeMEで使用されている非標準パッケージなどのアプリケーションには特別なモジュールが必要であり、上記のWebサイトから関連情報を入手することもできます。

作者のサーバーには2つのイーサネットカードがあり、コアのアクティブ化中にeth0とeth1に設定されます。どちらのカードもジャンパのないSN2000スタイルのISA準拠カードであり、ほとんどのLinuxはこれら2つのカードを認識します。作成者のイーサネット初期化手順は、次のコマンドを使用してrc.inet1に設定されます。

IPADDR = "207.175.253.15"

＃ケーブルモデムのIPアドレスに変更します。

NETMASK = "255.255.255.0"

＃ネットワークシールドに変更してください。

NETWORK = "207.175.253.0"

＃ネットワークアドレスに変更してください。

BROADCAST = "207.175.253.255"

＃ブロードキャストアドレスに変更します。

GATEWAY = "207.175.253.254"

＃ゲートウェイアドレスに変更します。

＃上記のマクロを使用して、ケーブルモデムイーサネットカードを設定します。

/sbin /ifconfig eth0 $ {IPADDR}ブロードキャスト$ {BROADCAST}ネットマスク$ {NETMASK}

＃IPルーティングテーブルを設定する

/sbin /route add -net $ {NETWORK}ネットマスク$ {NETMASK} eth0

＃イントラネットイーサネットカードeth1を設定する、マクロは使用しない

/sbin /ifconfig eth1 192.168.1.254ブロードキャスト192.168.1.255ネットマスク255.255.255.0

/sbin /route add -net 192.168.1.0ネットマスク255.255.255.0 eth1

＃次に、IP fw admの初期化を設定します。

/sbin /ipfwadm -F -p deny＃次の場所以外でアクセスを拒否する＃192.168.1.Xから転送要求を開く

/sbin /ipfwadm -F -am -S 192.168.1.0/24 -D 0.0.0.0/0

/sbin /ipfwadm -M -s 600 30 120

それでおしまいです。あなたのシステムの "IPマスカレード"は今正常に動作するはずです。より詳細な情報が必要な場合は、上記のHOWTO、またはhttp://albali.aquanet.com.br/howtos/Bridge+Firewall-4.htmlにあるMINI HOWTOを参照してください。より安全なファイアウォール技術については、ftp：//sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTOで情報を見つけることができます。

過去6か月間で、56Kアナログデータカードの価格が急落しました。しかし、ほとんどの新しいデータカードは実際にはボード上の制御マイクロプロセッサを取り外すため、システムのメインCPUに追加の負荷がかかります。Linuxはこれらの「WinModem」カードをサポートしていません。 LinuxのコアエキスパートはまだWinModemカード用のドライバを作成することができますが、10ドル節約するためにシステムパフォーマンスに影響を与えることは絶対に賢明ではないことも理解しています。

使用しているモデムカードに、COM1、COM2、COM3、およびCOM4の設定に使用できるジャンパがあることを確認してくださいこれにより、これらのデータカードはLinuxで正常に動作します。 Linux互換のデータカードの完全なリストはhttp://www.o2.net/~gromitkc/winmodem.htmlにあります。

著者がこの記事を書いたとき、彼はさまざまなデータカードのテストにしばらく時間を費やしました。 Linuxはプラグアンドプレイデバイスをサポートしているので、Amjetからジャンプしないデータカードを購入し、別の紛らわしい問題を見つけました。

テストに使用したPCは、1994年版のAMI BIOSを使用した古い486です。プラグアンドプレイデータカードを接続した後、コンピュータが起動せず、画面に「Primary hard disk failure」と表示されます。検査の結果、プラグアンドプレイＢＩＯＳは実際にはハードディスクコントローラに予約されていたはずの１５番割り込みを割り当て、それをデータカードに割り当てたことが分かった。最後に、著者は古いコンピュータでのプラグアンドプレイ製品の使用を断念しました。これらのことに時間を費やす価値がないからです。したがって、データカードを購入する前に、COM1からCOM4のジャンパを調整したかどうかを確認してください。

著者の掲示板（http://trevormarshall.com/BYTE/）で、インターネット速度を向上させるために複数のダイヤルアップ回線を使用できるかどうかを尋ねる友人が何人かいるのを見ました。ここでの最良の例は128K ISDNで、これは2つの56Kチャネルを同時に使用して128Kの速度を達成します。 ISPがそのようなサービスを提供するとき、それは実際には同じIPに接続するために2つの別々の回線を設定します。
LinuxにはEQLのようなモジュールがありますが、コンピュータでは2つのデータカードを同時に使用できますが、ISPが2セットのダイヤルアップ接続に同じIPを提供していない限り、2つのデータカード情報を送信するためだけに役立ちます。

通常のISPのPPP回線にダイヤルすると、IPアドレスが取得され、サーバーから返送されたパケットには何百万ものコンピュータが表示されます（ISPにダイヤルインするたびに）。別のIPアドレスを取得したときブラウザから送信されたパケットには、サーバデータが返すローカルIPアドレスも含まれています。 EQLはこれらの発信パケットを異なるISP回線に配信できますが、データが返されると、IPアドレス（ブラウザが使用されていると見なすアドレス）を介してのみ受信できます。 ISDNが使用される場合、ISPはこの問題を処理します;いくつかのISPは複数のセットの回線にダイヤルアップアクセスのための対応するIPアドレスを提供しますが、価格は非常に高価です。

スピードを追求するときは、Linuxファイアウォールの効率を無視しないでください。執筆者のオフィスでは、6人のユーザーが56Kアナログモデムにアクセスするために「IPカモフラージュ」ファイアウォールを使用しています。複数のISPダイヤル回線を設置する前に、「IPカモフラージュ」サーバーを設定してみることができます。複数のIPを処理するためのWindowsのアプローチはそれほど効率的ではありません。また、Windowsネットワークをモデムから分離すると、パフォーマンスが向上します。

要するに、Linuxで使われている "IPカモフラージュ"の方法はあなたのIPを隠し、ネットワーク上の他の人に見せないようにすることです。