przystajnik

Monthly Archives: Sierpień 2008

Powroty

Jak się gdzieś pojedzie, to trzeba wrócić. I tak zakończył się tydzień urlopowania – powrotem.
Anegdoty z wyjazdu, jak też fotorelacja (skrócona, bez obaw – materiału zdjęciowego mam na 20ścia albumów opiewających miejsce pobytu i okolice) muszą poczekać. Aż na nowo zaznajomię się z obsługą komputera i innymi zdobyczami cywilizacji (jak tak teraz patrzę na TV, to już wiem, dlaczego przez tydzień nie odczułem jego braku).

Gdziem bywał i com widział… No ciekawe, czy ktoś rozpozna i odgadnie teren i nazwę własną obiektu widocznego na zdjęciu.

rownina1.jpg

Igrzyska i marchewka

Patrząc na dokonania naszej kadry sportowców, wszystko się zgadza i przebiega zgodnie z planem. Po raz kolejny dokonują historycznych osiągnięć, pokonują bariery i życiowe wyniki.

Tylko coś medali nie dostają…

Przepaść między światem a naszymi wynikami przeraża. Albo klimat Pekinu im nie służy (ale tam przecież swojski smog zalega), albo reszta świata żre jakieś odżywki o których my jeszcze nie wiemy. Jednak na samej marchewce Igrzysk nie wygramy…

Vista i euforia

Mało piszę, a wręcz w ogóle o systemach pochodzących od Microsoftu, a jak już nawet piszę, to złośliwości nie ma końca. Ale wiadomo – kto się czubi, ten się lubi.

Dziś miałem pierwszą w życiu okazję konfigurować coś przez pięć minut na Windows Vista. Podczas pierwszego kontaktu z tym systemem, nie ułożyło się nam – to była próba uruchomienia go na moim świeżo zakupionym laptopie (nie to, że się nie uruchomił – był preinstalowany). Zatem dziś drugi kontakt z tym systemem i budująca konsternacja.

Zadanie polegało na skonfigurowaniu połączenia radiowego. Specyfika połączenia wymagała odczytania numeru MAC karty radiowej i dopuszczenie tego adresu do ruchu na radiówce. Odczytanie numeru MAC mogłem uzyskać tylko po skonfigurowaniu połączenia, którego nie mogłem skonfigurować, bo urządzenie radiowego (AP) nie dopuszczało radiówki z laptopa do ruchu. ‚Hehe’, zaśmiałem się w duchu i przekonfigurowałem radiówkę AP, bo po prostu nie miałem czasu zgłębiać wiedzę, jak odczytać adres MAC bez uruchamiania połączenia (dla interfejsu przewodowego jakoś się dało, radiówka nigdzie mi się na spisie nie pokazała).

Rzecz trywialna, jak teraz pomyślałem, to pewnie można to znaleźć gdzieś w menadżerze urządzeń (?), może nie do końca przejrzałem dokładnie panelu sterowania (?), nie umiałem włączyć jakiegoś terminala (nie znalazłem w menu pozycji ‚uruchom’). Ale na pierwszy rzut oka, skoro mogę uzyskać parametry przewodowego połączenia (nie wiem dlaczego mogłem, przez wpięty kabel?), to dlaczego nie radiowe.

Na tym etapie algorytmu komunikacji z użytkownikiem system otrzymuje ode mnie Złoty Klawisz Mądrości (adminfriendly +5).


Powyższe nie ma na celu gnębienie produktu o nazwie Vista. Powyższe dotyczy pierwszego poważniejszego kontaktu z rzeczonym produktem osoby wychowanej na innym oprogramowaniu systemowym.

Gufw – podaj cegłę

Jak uruchomić w Linuksie obronę przed niechcianymi pakietami? Dla nowoprzybyłych do tego systemu to nie lada wyzwanie, a dla pracujących od lat w trybie tekstowym to niemal pstryknięcie palcem. Dezorientacja często doprowadza do pytań ‚czy w Linuksie jest w ogóle firewall?’. Bo w Linuksie firewall’a nie widać. Kluczowa jest tutaj niewiedza o istnieniu programów (nazwach) do tego zadań.

W innych systemach są ciekawe ikonki na pasku, monity systemu o arcy-niebezpiecznych transmisjach pakietów w stronę komputera, itp. A w Linuksie cisza.

Ale to nie powód do obaw, czy wręcz utraty wiary w poziom zabezpieczeń tego systemu. W Linuksie panuje cisza, bo jego ‚wbudowany’ pseudo-firewall, iptables (narzędzie do filtracji pakietów, nie tylko odbijania ich od ściany), po prostu sobie działa. Działa, o ile ktoś go nakarmi odpowiednimi regułkami. W przeciwnym wypadku, ludzie przez lata używają Linuksa bez skonfigurowanego firewall’a i jakoś to wszystko dalej funkcjonuje.

Osoby obdarzone bujną wyobraźnią przekuły sobie zwrot ‚nakarmi odpowiednimi regułkami’ w obraz zalany czernią konsoli, jaśniejącymi tajemniczo komendami, upstrzonymi dziwnymi parametrami, znaczkami, cyferkami. W rezultacie ta sama wyobraźnia podsuwa obraz niemocy zwykłego użytkownika, gdy bezwiednie wklejane komendy blokują internet, powodują ogólnosystemowy krach i reinstalacje Linuksa. A komputer miał być przyjacielem człowieka.

No właśnie, a co jeśli ktoś skuszony przyjaznością Linuksa stanie przed problemem stworzenia firewall’a na swoim komputerze. Miało być pięknie, przyjaźnie, bezpiecznie i łatwo, a tu trzeba zmagać się z jakimś poleceniem ‚iptables’. Dla wielu zrozumienie jego regułek, łańcuchów, sposobu filtracji pakietów, co gdzie najpierw wchodzi, gdzie wychodzi, jest zadaniem przerastającym. Smutek i przerażenie bijący z twarzy o wyrazie „A ja sobie chciałem tylko port 445 zablokować…”.

Z nastaniem Ubuntu 8.04 mocno reklamowano jego firewall’a. Takiego wbudowanego. Wielu odetchnęło z ulgą, bo w końcu technika blokowania pakietów/portów miała dla nich stać się prosta i przejrzysta, i co tu owijać w bawełnę, klikalna. Okazało się, że ufw (Uncomplicated Firewall), to narzędzie tak samo tekstowe jak i ‚iptables’. Wiele twarzy znowu pogrążyło się w smutku, bo znowu pojawiły się jakieś regułki, komendy, parametry. Nie da się inaczej?

Ależ pewnie, że się da. Ufw to nic innego jak nakładka na iptables, zatem, odkrywcze w niej jest tylko skrócenie i uproszczenie wszystkich reguł. Dlaczego nie zaprezentowano tego od razu w wersji z GUI? Nie wiem. Ale sprawa jest dynamicznie rozwijana i niedawno pojawiła się kolejna wersja programu Gufw. Gufw to nic innego jak z kolei nakładka graficzna na ufw (ach, ta linuksowa modułowość). Wystarczy pobrać paczkę, zainstalować (dpkg, lub dwuklik jak ktoś lubi) i można przystąpić do budowania swojej zapory ogniowej.

Po uruchomieniu program poprosi o hasło administratora. Gufw nie posiada jeszcze polskiego tłumaczenia, stąd wymagane jest minimum zaangażowania w anglojęzyczne komendy. Ale cała sprawa jest banalnie prosta. Firewall można włączyć lub nie (Firewall Enabled). Regułki można aktywować (Deny incoming traffic), lub nie (Allow incoming traffic).

W połowie ekranu konfiguracyjnego mamy trzy zakładki, Simple, Preconfigured, Advanced. W każdej można dodać na różnym poziomie reguły obsługi pakietów.

Simple, podajemy numer portu który chcemy zablokować (Deny)/dopuścić do ruchu (Allow), wybieramy protokół (Both/tcp/udp), dodajemy regułkę (obsługuje ruch do komputera),

Preconfigured, podobnie jak wyżej, tylko port wybieramy z listy skonfigurowanych zestawów – idealne, gdy ktoś nie wie na których portach działa FTP, lub inna usługa/program (obsługuje ruch do komputera),

Advanced, tutaj mamy największe pole do popisu. Możemy odrzucać pakiety nie tylko pod kątem docelowego portu, ale również źródłowego. Dodatkowo, wybór może się opierać na adresach ip źródłowych/docelowych. Ta zakładka jest dla bardziej doświadczonych budowniczych firewall’i (obsługuje ruch w obie strony).

Na samym dole znajduje się przycisk do usuwania pojedynczej reguły (Remove), lub wyczyszczenia wszystkich (Remove all). Menu u samej góry (File) umożliwia zabanowanie adresów IP (z pliku tekstowego), oraz eksport i import reguł.

Prawda, że wygląda to mniej skomplikowanie niż np. komenda: ‚iptables -A INPUT -m state –state RELATED -j ACCEPT’. Choć ‚iptables’ daje większą kontrolę, to dla zwykłego zjadacza chleba jest po prostu nie do przejścia.

Dlaczego Gufw, a nie istniejący i bardziej rozbudowany program Firestarter? Firestarter też umożliwia zbudowanie skutecznego firewall’a, posiada więcej opcji, oferuje jakieś statystyki itp. Jednak, jego stopień skomplikowania w konfiguracji jest nieco wyższy niż Gufw. Gufw, jak sami autorzy się reklamują, to firewall dla ludu.

Jedyne co mi się w programie nie do końca podoba, to ta ikona tarczy. Ja ją już gdzieś widziałem…

Trucizna na DNS’a

Ale zrobił się szum medialny wokół zatruwania DNS’ów fałszywymi danymi. Ponieważ tematyka utrzymania sprawnego serwera nazw interesuje mnie co nie miara, wyszperałem w sieci przepis na przetestowanie swojej maszyny. Najciekawszy, bo konsolowy (przepis), działa w oparciu o komendę ‚dig’ i procedurę sprawdzającą na serwerze dns-oarc.net. Czy zatem codzienne aktualizowanie Debiana coś przynosi?

Komenda sprawdzająca:

$ dig +short @twoj.numer.ip.serwera porttest.dns-oarc.net txt

A mój wynik to:

porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
„ip.mojego.serwera is GREAT: 26 queries in 5.0 seconds from 26 ports with std dev 18714”

Nie jest źle. Możliwe wyniki to POOR, GOOD, GREAT. I o co tyle krzyku…

Translate »