Брандмауэры и специальное программное обеспечение




страница1/42
Дата15.02.2017
Размер6.16 Mb.
Просмотров1409
Скачиваний0
ТипАнализ
  1   2   3   4   5   6   7   8   9   ...   42

Содержание
Предисловие............................................................................................................................................................................. 8
Часть 1. Ваш узел............................................................................................................................................................. 9
Часть 2. Ваша сеть ........................................................................................................................................................... 9
Часть 3. Брандмауэры и специальное программное обеспечение............................................................................... 9
Часть 4. Аудит системы безопасности........................................................................................................................... 9
Приложения...................................................................................................................................................................... 9
Обозначения ..................................................................................................................................................................... 9
Введение ................................................................................................................................................................................. 11
Что такое безопасность ..................................................................................................................................................... 12
Анализ задач безопасности............................................................................................................................................... 12
Разработка политики безопасности.................................................................................................................................. 13
Часть I Ваш узел ....................................................................................................................................................................... 15
Пользователи, группы и безопасность................................................................................................................................. 16
Общий взгляд на пользователей....................................................................................................................................... 16
Привилегированные и непривилегированные пользователи......................................................................................... 17
Файл /etc/passwd................................................................................................................................................................. 18
Подробнее о /etc/passwd ................................................................................................................................................ 18
Файл /etc/shadow ............................................................................................................................................................ 20
Подробнее о /etc/shadow................................................................................................................................................ 21
Последнее замечание..................................................................................................................................................... 22
Файл /etc/groups ................................................................................................................................................................. 22
Подробнее о /etc/group................................................................................................................................................... 23
Файл /etc/gshadow .............................................................................................................................................................. 23
Файл /etc/login.defs ............................................................................................................................................................ 24
Изменение информации об устаревании пароля ............................................................................................................ 24
Система безопасности РАМ.............................................................................................................................................. 25
Типы модулей РАМ........................................................................................................................................................... 27
Управляющие флаги.......................................................................................................................................................... 28
Модули РАМ...................................................................................................................................................................... 28
О модулях подробнее ........................................................................................................................................................ 29
Некоторые примеры .......................................................................................................................................................... 32
Записи РАМ в файлах журналов ...................................................................................................................................... 33
Заключение......................................................................................................................................................................... 34
Безопасность уровня пользователей и групп ............................................................................................................. 35
Группа по умолчанию ....................................................................................................................................................... 35
Частные группы пользователей........................................................................................................................................ 36
Изменение пользователя/группы ..................................................................................................................................... 37
Далее про X .................................................................................................................................................................... 38
Изменение пользователя ................................................................................................................................................... 38
Безопасность и пользователи............................................................................................................................................ 40
Безопасность и пароли ...................................................................................................................................................... 41
Взлом паролей.................................................................................................................................................................... 45
Заключение......................................................................................................................................................................... 46
Файлы и права доступа ......................................................................................................................................................... 47
Linux: файловая система ................................................................................................................................................... 47
Типы файлов ...................................................................................................................................................................... 47
Базовые разрешения на доступ к файлу .......................................................................................................................... 50
Режим доступа по умолчанию.......................................................................................................................................... 53
Изменение разрешений на доступ к файлу ..................................................................................................................... 53
Заключение......................................................................................................................................................................... 54
Атрибуты SUID/SGID для файлов и каталогов .................................................................................................................. 55
Атрибуты SUID/SGID ....................................................................................................................................................... 55
Опасность применения атрибутов SUID/SGID............................................................................................................... 56
Контроль над SUID/SGID файлами ................................................................................................................................. 57
Настройка атрибутов ......................................................................................................................................................... 58
Атрибуты файловой системы ext2 ................................................................................................................................... 59
Использование команды chattr ......................................................................................................................................... 60
Использование команды Isattr .......................................................................................................................................... 60
Заключение......................................................................................................................................................................... 61
Структура файловой системы............................................................................................................................................... 62
Точки монтирования ......................................................................................................................................................... 62
Дополнительные параметры различных файловых систем ........................................................................................... 65
Amiga affs ....................................................................................................................................................................... 66
Linux ext2........................................................................................................................................................................ 66

FAT, MSDOS, UMSDOS, VFAT ................................................................................................................................... 67
OS/2 HPFS ...................................................................................................................................................................... 67
CD-ROM ISO9660.......................................................................................................................................................... 68
PROC............................................................................................................................................................................... 68
Заключение......................................................................................................................................................................... 68
Файловая система /proc ......................................................................................................................................................... 69
Файловая система /ргос..................................................................................................................................................... 69
Каталог /proc/sys ................................................................................................................................................................ 73
Файловая система /dev/pts................................................................................................................................................. 74
Соображения безопасности для /ргос .............................................................................................................................. 74
Заключение......................................................................................................................................................................... 75
Процесс загрузки ................................................................................................................................................................... 76
Процесс загрузки ............................................................................................................................................................... 76
init — место, откуда начинается инициализация системы............................................................................................. 77
Структура inittab ................................................................................................................................................................ 79
inittab от начала и до конца............................................................................................................................................... 80
Сценарии rс, часть первая ................................................................................................................................................. 81
Сценарии rс, часть вторая ................................................................................................................................................. 83
Заключение......................................................................................................................................................................... 88
Физическая безопасность и консольные атаки ................................................................................................................... 90
До загрузки ядра ................................................................................................................................................................ 90
LILO .................................................................................................................................................................................... 91
Параметры загрузки для непредвиденных ситуаций...................................................................................................... 92
Восстановление пароля root.............................................................................................................................................. 94
Резервное копирование ..................................................................................................................................................... 94
Охрана сети Linux.............................................................................................................................................................. 95
Заключение......................................................................................................................................................................... 96
Часть II Ваша сеть .................................................................................................................................................................... 97
Основные сведения о сети .................................................................................................................................................... 98
Основополагающие понятия............................................................................................................................................. 99
Базовые сведения об IP ................................................................................................................................................... 100
Заголовок пакета IP ..................................................................................................................................................... 101
Пакет данных IP........................................................................................................................................................... 102
Коротко об ICMP ............................................................................................................................................................. 103
Сеть и маршрутизация в Интернете............................................................................................................................... 104
Что такое CIDR ................................................................................................................................................................ 105
Предпосылки................................................................................................................................................................ 105
Базовые сведения о маршрутизации IP.......................................................................................................................... 106
Реализация CIDR с использованием VLSM .................................................................................................................. 107
Использование ipconfig ................................................................................................................................................... 109
Использование route ........................................................................................................................................................ 111
Заключение....................................................................................................................................................................... 112
Стандартные службы........................................................................................................................................................... 113
Что такое службы ............................................................................................................................................................ 113
Утилита netstat ................................................................................................................................................................. 118
Отображаемая информация ........................................................................................................................................ 118
Заключение....................................................................................................................................................................... 121
inetd, inetd.conf и сетевые атаки ......................................................................................................................................... 123
inetd ................................................................................................................................................................................... 123
Работа с inetd.conf........................................................................................................................................................ 125
Защита от сетевых атак ................................................................................................................................................... 128
Что такое горшок с медом?............................................................................................................................................. 130
Заключение....................................................................................................................................................................... 131
Уязвимые службы и протоколы ......................................................................................................................................... 132
FTP, порты 21 и 20........................................................................................................................................................... 132
telnet, порт 23 ................................................................................................................................................................... 136
smtp, порт 25..................................................................................................................................................................... 136
domain порт 53 ................................................................................................................................................................. 139
tftp, порт 69....................................................................................................................................................................... 140
finger, порт 79................................................................................................................................................................... 140
www, порт 80.................................................................................................................................................................... 140
рор2, порт 109 и рорЗ, порт 110...................................................................................................................................... 140
sunrpc, порт 11.................................................................................................................................................................. 141
auth, порт 113 ................................................................................................................................................................... 142
netbios, порты 137-139..................................................................................................................................................... 142
imap2, порт 143 и imap3, порт 220.................................................................................................................................. 142
xdmcp, порт 177 (UDP).................................................................................................................................................... 143
printer, порт 515................................................................................................................................................................ 143
Команды «r» (rsh, rexec, rlogin), порты 512, 513, 514 ................................................................................................... 144
Другие службы................................................................................................................................................................. 145
Заключение....................................................................................................................................................................... 146
Атаки DoS и как они работают........................................................................................................................................... 147
Что такое ping flooding .................................................................................................................................................... 147
Что такое атаки SYN DoS и как с ними бороться......................................................................................................... 149
Более старые атаки .......................................................................................................................................................... 150
Смягчение последствий атак DoS .................................................................................................................................. 151
Заключение....................................................................................................................................................................... 152
Устранение уязвимых мест................................................................................................................................................. 153
Ограничение повреждений ............................................................................................................................................. 154
Другие меры ..................................................................................................................................................................... 158
Восстановление после атаки........................................................................................................................................... 158
Подготовка к неизбежному............................................................................................................................................. 161
Заключение....................................................................................................................................................................... 162
Использование оболочек TCP (TCP Wrappers) ................................................................................................................. 163
Реализация TCP Wrappers ............................................................................................................................................... 165
Использование демонов и символьных шаблонов ....................................................................................................... 166
Клиенты, образцы и имена узлов ................................................................................................................................... 167
Формы и операторы......................................................................................................................................................... 167
Правила............................................................................................................................................................................. 167
Символьные расширения ................................................................................................................................................ 169
Разнообразные особенности ........................................................................................................................................... 170
tcpdchk............................................................................................................................................................................... 170
tcpdmatch........................................................................................................................................................................... 171
Заключение....................................................................................................................................................................... 172
Часть III Брандмауэры и специальное программное обеспечение...................................................................................... 173
Применение брандмауэров, фильтрующих пакеты.......................................................................................................... 174
Введение в технологию брандмауэров .......................................................................................................................... 174
Пакетные фильтры....................................................................................................................................................... 174
Какой тип использовать? ............................................................................................................................................ 175
Физические конфигурации ............................................................................................................................................. 176
Сетевой узел, выполняющий функции брандмауэра................................................................................................ 176
Настройка ядра для брандмауэра ............................................................................................................................... 177
Сетевые параметры...................................................................................................................................................... 178
Немного о программном обеспечении........................................................................................................................... 183
Другие соображения........................................................................................................................................................ 183
Простой брандмауэр фильтрации пакетов .................................................................................................................... 183
Планирование............................................................................................................................................................... 184
Общие сведения об ipchains........................................................................................................................................ 184
Параметры ipchains...................................................................................................................................................... 185
Встроенные цепочки.................................................................................................................................................... 187
Цепочки, определяемые пользователем .................................................................................................................... 188
Как работает ipchains....................................................................................................................................................... 188
Простые политики брандмауэра..................................................................................................................................... 189
Что фильтровать и где................................................................................................................................................. 189
Что не следует отфильтровывать ............................................................................................................................... 189
Внедрение политик.......................................................................................................................................................... 190
Тестирование политик..................................................................................................................................................... 191
Наблюдение...................................................................................................................................................................... 191
Перенаправление портов................................................................................................................................................. 192
Ядра Linux семейства 2.4.x и netfilter............................................................................................................................. 192
Конфигурационные изменения по сравнению с ядрами 2.2.x ................................................................................. 192
Новые модули netfilter................................................................................................................................................. 193
Некоторые базовые правила netfilter.......................................................................................................................... 194
Заключение....................................................................................................................................................................... 196
Применение брандмауэров proxy с использованием Squid ............................................................................................. 197
Конфигурация по умолчанию......................................................................................................................................... 198
NETWORK OPTIONS.................................................................................................................................................. 201
Алгоритм выбора соседа ............................................................................................................................................. 202
Размер кэша.................................................................................................................................................................. 202
LOGFILE PATHNAMES AND CACHE DIRECTORIES........................................................................................... 203
EXTERNAL SUPPORT PROGRAMS......................................................................................................................... 203
TUNING THE CACHE................................................................................................................................................. 203

TIMEOUTS ................................................................................................................................................................... 203
ACCESS CONTROLS .................................................................................................................................................. 204
ADMINISTRATIVE PARAMETERS.......................................................................................................................... 205
CACHE REGISTRATION SERVICE .......................................................................................................................... 206
HTTPD-ACCELERATOR OPTIONS .......................................................................................................................... 206
MISCELLANEOUS ...................................................................................................................................................... 206
DELAY POOL PARAMETERS ................................................................................................................................... 206
Базовый конфигурационный файл ................................................................................................................................. 206
Самый первый запуск squid ............................................................................................................................................ 207
Параметры командной строки squid .............................................................................................................................. 207
Отладка ............................................................................................................................................................................. 208
На стороне клиента.......................................................................................................................................................... 208
Расширение squid............................................................................................................................................................. 208
Заключение....................................................................................................................................................................... 209
Маскировка IP и перенаправление портов ........................................................................................................................ 210
Другие соображения........................................................................................................................................................ 214
Маскировка IP.................................................................................................................................................................. 217
Перенаправление портов................................................................................................................................................. 218
Ядро Linux 2.4.x ............................................................................................................................................................... 220
Заключение....................................................................................................................................................................... 221
Безопасность Samba............................................................................................................................................................. 223
Samba ................................................................................................................................................................................ 223
SWAT — средство администрирования Samba ............................................................................................................ 224
Подготовка к запуску SWAT ...................................................................................................................................... 224
Запуск SWAT с использованием inetd ....................................................................................................................... 224
Запуск SWAT с использованием Apache ................................................................................................................... 226
Использование SWAT ..................................................................................................................................................... 226
Сетевая рабочая среда Microsoft .................................................................................................................................... 228
Сервер NT в качестве РDС в локальной сети................................................................................................................ 228
Вхождение в домен NT ............................................................................................................................................... 229
Связь через сеть с РDС, расположенным в удаленной подсети .................................................................................. 229
Сервер Samba в одноранговых сетях Microsoft (NT и/или Windows 9x) .................................................................... 230
Использование Linux в качестве замены РDС .............................................................................................................. 230
Общий доступ к каталогам ............................................................................................................................................. 231
Base options................................................................................................................................................................... 231
Security options ............................................................................................................................................................. 232
Logging options ............................................................................................................................................................. 232
Tuning options............................................................................................................................................................... 232
Filename handling ......................................................................................................................................................... 232
Browse options .............................................................................................................................................................. 232
Locking options ............................................................................................................................................................. 233
Miscellaneous options.................................................................................................................................................... 233
Общая папка Homes..................................................................................................................................................... 234
Ограничение доступа к службам.................................................................................................................................... 234
Переменные, используемые в Samba ............................................................................................................................. 235
Конфигурационная страница Global .............................................................................................................................. 236
Безопасность при локальном использовании Samba .................................................................................................... 239
Безопасность Samba при соединении подсетей через Интернет ................................................................................. 240
Заключение....................................................................................................................................................................... 240
Установка и запуск web-сервера Apache ........................................................................................................................... 241
Сборка Apache.................................................................................................................................................................. 241
Получение необходимых пакетов .............................................................................................................................. 242
Предварительная подготовка...................................................................................................................................... 242
Компоновка пакетов .................................................................................................................................................... 243
Конфигурирование Apache ............................................................................................................................................. 246
Записи SSL ....................................................................................................................................................................... 251
Первые запуск и обращение к Apache ........................................................................................................................... 252
Использование файлов .htaccess..................................................................................................................................... 253
Дополнительные замечания, связанные с безопасностью ........................................................................................... 253
Замечания, связанные с suEXEC .................................................................................................................................... 254
Ядро Linux 2.4.x и khttpd................................................................................................................................................. 255
Заключение....................................................................................................................................................................... 256
Использование оболочки Secure Shell и сетей VPN ......................................................................................................... 258
Secure Shell ....................................................................................................................................................................... 259
Компоновка и установка SSH..................................................................................................................................... 259
Использование SSH ..................................................................................................................................................... 261

Конфигурация SSH и SSHD........................................................................................................................................ 262
FreeS/WAN ....................................................................................................................................................................... 263
Компоновка и установка FreeS/WAN ........................................................................................................................ 264
Конфигурирование FreeS/WAN ................................................................................................................................. 265
Расширение сети .......................................................................................................................................................... 265
Добавление дополнительных сетей ........................................................................................................................... 266
OpenSSH ........................................................................................................................................................................... 267
Заключение....................................................................................................................................................................... 267
Часть IV Аудит системы безопасности ................................................................................................................................. 268
Конфигурирование syslog ................................................................................................................................................... 269
Базовая конфигурация syslog.......................................................................................................................................... 270
Демон syslogd............................................................................................................................................................... 274
Что искать в файлах журналов? ..................................................................................................................................... 276
Заключение....................................................................................................................................................................... 277
Просмотр и анализ журналов syslog .................................................................................................................................. 278
Файлы, расположенные в каталоге /var/log................................................................................................................... 278
Как работает система протоколирования ...................................................................................................................... 280
Чтение файлов журналов ................................................................................................................................................ 281
Файлы utmp, wtmp и last log............................................................................................................................................ 282
Заключение....................................................................................................................................................................... 285
Использование средств наблюдения за защитой сети...................................................................................................... 286
Когда система загружена ................................................................................................................................................ 286
Перекомпоновка ядра...................................................................................................................................................... 287
Установка и настройка ipchains...................................................................................................................................... 288
Ежедневные/еженедельные/ежемесячные процедуры обеспечения безопасности ................................................... 288
Дополнительные замечания............................................................................................................................................ 293
Заключение....................................................................................................................................................................... 294
Средства наблюдения за сетью .......................................................................................................................................... 295
Программа courtney ......................................................................................................................................................... 295
Программа nmap .............................................................................................................................................................. 298
Параметры сканирования nmap.................................................................................................................................. 300
Общие параметры nmap .............................................................................................................................................. 301
Вывод программы nmap .............................................................................................................................................. 303
Сравнение nmap и netstat................................................................................................................................................. 304
Заключение....................................................................................................................................................................... 305
Где найти сведения о безопасности ................................................................................................................................... 306
Где искать информацию?................................................................................................................................................ 306
Списки рассылки ............................................................................................................................................................. 307
Web-узлы, посвященные компьютерной безопасности ............................................................................................... 307
Узлы сомнительной направленности............................................................................................................................. 312
Последнее замечание....................................................................................................................................................... 313
Заключение....................................................................................................................................................................... 313
Обзор средств сетевого сканирования и утилит безопасности ....................................................................................... 314
Алфавитный указатель ........................................................................................................................................................ 319


Моей любящей жене Сильвии и детям, Лизе и Ванессе


Предисловие
Основной причиной, по которой возникла идея создания данной книги, стало все возрастающее количество домашних пользователей, которые соединены с Интернетом 24 часа в сутки семь дней в неделю. Это происходит благодаря все большей доступности и надежности таких служб, как Road Runner, и каналов связи adsl/ xdsl, предлагаемых телефонными компаниями. К этой аудитории можно присовокупить также небольшие предприятия, осознавшие важность Web и пришедшие к выводу, что поддержка своих web-ресурсов собственными силами предприятия обойдется им дешевле, чем использование для этой цели услуг сторонних компаний. Однако при этом руководители подобных предприятий понимают, что они не могут позволить себе принять на работу специального сотрудника, который является экспертом в области безопасности.
Данная книга посвящена компьютерной безопасности в операционной среде Linux и ориентирована на домашних пользователей и небольшие предприятия, которые не могут позволить себе содержание полноценной хорошо оснащенной компьютерной службы. В книге содержатся базовые сведения о компьютерной безопасности. Многие из читателей могут скептически отнестись к предположению, что материал данной книги будет для них понятным и полезным. Многие считают, что если такие большие и серьезные организации, как NASA и другие, могут подвергнуться успешным атакам взломщиков, несмотря на то, что в таких организациях на обеспечение защиты тратятся огромные средства, а безопасность обеспечивают множество людей, которые действительно являются экспертами в этой области, то что же можно сказать о домашних компьютерах и сетях небольших предприятий; очевидно, что злоумышленники могут взломать их даже с большим успехом. Однако на самом деле проблемы безопасности, стоящие перед компьютерными отделами крупных организаций, значительно серьезнее, чем проблемы, стоящие перед домашними пользователями и небольшими предприятиями. Во-первых, компьютерная система крупной организации вроде NASA — это более крупная и более привлекательная для злоумышленников цель. Во- вторых, сеть крупной организации обладает существенно более сложной структурой, в нее входит значительно большее количество систем, становится очень сложно следить за тем, чтобы каждая из этих систем использовала наиболее свежее, наиболее неуязвимое программное обеспечение. В-третьих, крупные организации обеспечивают доступ к огромному количеству служб для огромного количества пользователей и при этом пытаются находиться на самом переднем фронте компьютерных технологий.
Любой, кто пытается удержаться на этом рубеже, рано или поздно оказывается под ударом и несет потери. Самой безопасной и самой хорошо защищенной системой следует считать компьютер, который еще не извлечен из продажной упаковки, не включен в сеть и заперт в потайной комнате. Однако вряд ли такую систему можно назвать полезной.
Данная книга поможет вам понять устройство вашей системы с точки зрения безопасности. Глава за главой, концепция за концепцией вы будете овладевать основными понятиями и принципами защиты компьютерных систем. Прочитав книгу, вы не сможете стать экспертом в области компьютерной защиты, однако у вас появится базовый набор знаний, благодаря которым вы сможете приступить к освоению более сложного материала.
Книга представляет собой руководство не только для новичков, но и для профессионалов, поскольку содержит сведения, не слишком часто освещаемые в литературе. Когда я писал данную книгу, я в основном работал с Caldera OpenLinux и использовал средства, ориентированные на Caldera OpenLinux, однако рассматриваемые концепции применимы в отношении всех разновидностей Linux.
Не только начинающие, но и многие профессионалы ошибочно полагают, что комплекты Linux различных поставщиков существенно отличаются друг от друга, как это было в далеком 1988 году, когда на рынке в одно и то же время существовали две похожие операционные системы: MS-DOS и DR-DOS.
Однако в действительности это не так. Ядро Linux, компоновку которого вы можете выполнить самостоятельно, получается с использованием одних и тех же файлов исходного кода — этот код используется во всех комплектах Linux. Демон telnet рекомендуется отключить в любой системе Linux, вне зависимости от поставщика. Различные комплекты Linux отличаются друг от друга в основном процедурами установки, а также различными наборами средств администрирования. Однако при этом каждый из комплектов Linux использует одни и те же библиотеки, одни и те же серверные программы, одну и ту же базовую структуру файловой системы, кроме того, разным комплектам Linux свойственны одни и те же недостатки и уязвимые места.
Таким образом, если вас интересуют базовые сведения о безопасности Linux, если вы хотите досконально разобраться в том, что это такое, как она работает и как ее улучшить, значит, это — ваша
книга. Тот факт, что вы дочитали данное короткое предисловие до конца, лишний раз подтверждает вашу заинтересованность в изучении рассматриваемой здесь тематики.
Как организована книга
Книга состоит из четырех частей.


Поделитесь с Вашими друзьями:
  1   2   3   4   5   6   7   8   9   ...   42


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал