Руководство системного администратора • третье издание { h h y с п п т п р



Pdf просмотр
страница65/82
Дата12.11.2016
Размер7.94 Mb.
Просмотров13853
Скачиваний0
ТипРуководство
1   ...   61   62   63   64   65   66   67   68   ...   82
JTO предположение. Поскольку некоторые хакеры достаточно умны и подделывают контрольные суммы модифицированных файлов, программа tripwire использует два разных метода вычисления контрольных сумм. История программы tripwire несколько необычна первоначально ома распространялась бесплатно, но впоследствии была приватизирована и превратилась в коммерческий продукт. К счастью, невозможно запретить то, что когда-то было бесплатным Компания Tripwire. Inc., любезно продолжает предоставлять бесштатную версию программы и даже выпустила к ней высококлассную документацию и обновления. Все это
ДОСТУПНО
иа узле www.tripwiresecurity.com.
ТСТ: криминалистическая экспертиза Еще одним полезным средством зашиты стал пакет Т СТ инструментарии следователя, написанный все теми же Даном
Фармером и Витсом Венема. Т СТ л о коллекция утилит, помогающих анализировать систему после проннкновення в нее нарушителя. Пакет работает вино не в HP-UX (пока. С помошью пакета Т СТ можно определить, что произошло и как это случилось. Иногда даже удается восстановить данные, уничтоженные в результате нападения. Особенно интересной представляется утилита mactime. отслеживающая время изменения, доступа и модификации индексного дескриптора каждого файла в системе На момент подготовки нашей книги к печати эта утилита еще не была готова к открытому распространению, но когда выбудете ее читать, утилита, возможно, уже появится по адресу www.fish.com/securiiy.
7 0 6
Чость II. Робота в сетях

21.8. Системы криптографической защиты Большинство широко используемых в UNIX протоколов было создано до появления W W W и изобретения современных криптографических систем Поэтому во многих протоколах понятие безопасности вообще ие предусмотрено. Там же, где оно якобы учитывается, реализованные механизмы дискредитируются передачей паролей в незашифрованном виде или отсутствием проверки на то. с надежного ли компьютера или порта поступил пакет. Сегодня УТИ протоколы эксплуатируются в кишащих хакерами и прочей нечистью глобальных сетях, где. по определению, весь трафик открыт для прослушивания. Более того, любой может вмешаться в сетевой диалог. Как удостовериться в личности собеседника Криптография — это решение многих проблем. Уже давно существует возможность шифровать сообшения так. чтобы даже в случае перехвата их нельзя было прочитать, но это лишь одно из чудес криптографии. Такие разработки, как шифрование с открытым ключом и защитное хэширование, сделали возможным построение криптосистем, удовлетворяющих самым строгим требованиям. К сожалению, все эти математические открытия не удалось преобразовать в надежное, полезное программное обеспечение, которое было бы повсеместно распространено и удобно в применении. Разработчиков программных криптографических систем больше интересовало доказательство их правильности и абсолютной безопасности, чем то. представляет чи такая система практический интерес. Почти все современные программы в данной области выглядят слишком заумными, поэтому неудивительно, что пользователи при первой же возможности с радостью избавляются от них Сегодня практической криптографией занимаются фанатики, параноидальные сторонники теории всемирного заговора, а также ге. кому не оставляет другого выбора политика, проводимая руководством их организаций Непонятно, появится ли что-нибудь более разумное в данной области в ближайшие годы. А пока мы познакомимся стем. что сегодня имеется на рынке.
Kerberos: унифицированный подход к сетевой безопасности Система Kerberos. разработанная в Массачусетском технологическом институте, ориентирована на решение задач, связанных с обеспечением безопасности компьютерных сетей. Kerberos — это система аутентификации, предоставляющая "гарантию" того, что пользователи и сервисные программы на самом деле являются теми, за кого себя выдают. Никаких дополнительных проверок и шифрования передаваемых данных не предусмотрено. Используя алгоритм DES. Kerberos создает вложенные наборы идентификаторов. называемых бшепшлш. Билеты передаются посети с целью подтверждения личности пользователе и предоставления ему доступа к сетевым службам. В каждой организации, где используется Kerberos. должен выделяться чотя бы один физически защищенный компьютер (называемый сервером аутентификации) дня выполнения демона Kerberos. Этот демон выдает билеты пользователями сервисным программам, требующим аутентификации, на основании предъявляемых ими "удостоверений, таких как Тем, кого интересуют вопросы криптографии, рекомендуем обратиться к двум великолепным источникам ресурсу 'RSA Labs" Frequently Asked Questions. about Today's Cryptography"
(www.rsasecurity.com/rsalabs/faq)
и РАО-архиву телеконференции sci.crypt, доступному на
FTP-уаде rtfm
.mit.edu.
Гпово 21 Ьезопосиосгь
7 0 7
пароли. По сути, Kerberos улучшает традиционную систему парольной зашиты в UNIX всего двумя способами пароли никогда не передаются посети и незашифрованном виде, а пользователи избавляются от необходимости многократно вводить пароли.
Kerberos существует уже долгое время и поддерживается многими поставщиками операционных систем. Такие системы готовы работать с
Kerberos при наличии сервера аутентификации. Сам пакет, возможно потребуется получить из внешних источников (один из них — web mit.edu/ker- beros). Что касается наших тестовых систем, то Kerberos поддерживается в Solaris и HP-UX, а во FreeBSD этот пакет является частью системы. Определенная поддержка имеется также в маршрутизаторах Cisco, хотя раньше применение пакета часто сопровождалось возникновением ошибок. Компания Microsoft заявила о расширенной поддержке Kerberos в Windows 2000, однако эта реализация обладает целым рядом несовместимостей. Сообщество пользователей Kerberos может похвастаться одним из самых толковых и приятных документов, посвященных криптосистемам, а именно
"Designing an Authentication System: a Dialogue in Four Scenes" (Проектирование системы аутентификации, диалог в четырех актах, написанным Биллом
Брайантом (Bill Bryant;. Документ будет интересно прочесть любому, кто интересуется темой криптографии. Документ можно найти по адресу http://web.mil.edu/kerberos/www/dialogue.litmI Имеется также хороший архив http://www.nrI.navy.mil/CCS/people/kenh/kerberos-faq.html Лучше использовать Kerberos, чем полностью отказаться от системы зашиты как таковой. К сожалению, Kerberos нельзя назвать вполне безопасной системой, а ее инсталляция и запуск — не самое приятное занятие. В тоже время она не заменяет собой пи одну из программ, описанных в данной главе. По нашему мнению, большинство организаций благополучно может обойтись и без нес. Регулярная проверка Kerberos и применение системы шифрования удаленных соединений, скажем SSH или SRP (см. ннже). позволяют обеспечить достаточно приемлемый уровень безопасности пользователей высокая конфиденциальность Пакет PGP (Pretty Good Privacy), написанный Филипом Циммерманом
(Philip Zimmermann), содержит криптографические утилиты, широко применяемые для обеспечения безопасности систем электронной почты. Посредством можно шифровать данные, генерировать сигнатуры и проверять источники происхождения файлов и сообщений. Попытки то отрегулировать, то остановить распространение пакета привели к появлению разнообразных его вариантов. Сегодня он существует в нескольких версиях, включая ряд коммерческих продуктов от компании
Network Associates (www.nai.com). В США используется версия PGP. одобренная правительством. Международная его версия с более сильным шифром доступна на узле www.pgpi.org.
PGP — это наиболее популярная криптографическая программа. Правда, работать с ней в UNIX может лишь тот, кто очень хорошо разбирается н криптографии. С другой стороны, к пакету прилагается страничный учебник по криптографии, с которым может ознакомится любой желаюшии
7 0 8
Чость II. Робота в сетях
В целом, пакет PGP может оказаться полезным, номы не рекомендуем пользователям работать с ним из-за нетривиальности процесса обучения. Гораздо удобнее использовать версию PGP, чем команду pgp с ее 38 различными режимами. Программные пакеты, распространяемые через Internet, часто содержат файл сигнатуры PGP. подтверждающий их подлинность и целостность Но проверить эти сигнатуры не так-то легко людям, не являющимся фанатиками
PGP. Не потому, что процесс проверки сложена потому, что при использовании PGP истинная безопасность достигается только путем создания персональной коллекции открытых ключей тех людей, которые были проверены напрямую. Загрузка дистрибутива с открытым ключом и файлом сигнатуры примерно также безопасна, как и загрузка одного дистрибутива.
SSH: безопасный интерпретатор команд Пакет SSH (Secure Shell), написанный Тагу Илёнеиом (Tatu Ylonen), является безопасной заменой программ rlogin, гср и telnet. Он использует криптографическую аутентификацию для подтверждения личности пользователя и шифрует любые соединения между двумя компьютерами. Протокол
SSH уже хорошо изучен it проходит процесс стандартизации в IETF. Подобно программе tripwire, пакет SSH трансформировался из бесплатно распространяемой открытой системы (SSHI) в коммерческий продукт (SSH2). И точно также остается доступной и его бесплатная версия. Тем не менее базовый протокол изменился, поэтому версии стали несовместимыми. В принципе, пакет SSH2 доступен для использования в некоммерческих целях, но условия лицензии достаточно жесткие. Мы советуем работать с пакетом SSH1, который довольно надежен. Первоначальную версию SSH1 можно найти по адресу ftp.ssh.com/pub/ssh. Но похоже, что активная ее разработка прекращена. Группа OpenBSD взяла в свои руки управление исходным текстом пакета, внеся некоторые изменения в его структуру, но принципы работы пакета и его администрирования не изменились. Данная версия называется OpenSSH и описана на узле www.openssh.com. Она функционирует лучше, чем оригинал, но порядок получения исходных текстов в настоящее время слишком утомителен. Возможно, в будлшем ситуация изменится В любом случае стоит упомянуть о несколько неопределенном правовом статусе пакета SSH в США, гак как он использует запатентованную систему шифрования RSA. а срок действия патента должен был истечь в сентябре
2000 гола. Основными компонентами пакета SSH являются серверный лемон sslid и две иро!раммы пользовательского уровня ssh. предназначенная для удаленной регистрации, и scp. предназначенная для копирования файлов. Среди остальных компонентов отмстим программу ssh-keygen, генерирующую пары открытых ключей, и несколько утилит, необходимых для поддержки безопасных серверов X Windows. Демон sshd способен аутептпфиипровать пользователей различными способами. Выбор остается за администратором. Метод А. Если имя удаленного компьютера, с которого регистрируется пользователь, указано в файле "Y.rhosts,
/.sl»osts, /etc/hosts.
equi> или
/etc/sliosts.equiv, то пользователь автоматически получает доступ к системе без проверки пароля. Подобная схема моделирует работу старой программы п. по нашему мнению, неприемлема для широкого использо вами я
Глово 21 Безопосность " 0 9
Метод Б. В дополнение к методу А демои sshd может применять шифрование с открытым ключом для проверки подлинности удаленного компьютера. Чтобы это стало возможным, открытый ключ данного компьютера (генерируется при инсталляции пакета) должен находиться в файле /elc/ssh_Jknown_hosts локального узла или в файле "/.ssh/known_hosts пользователя. Если удаленный компьютер предоставляет соответствующий секретный ключ (обычно он хранится в файле
/etc/sshhostkey. недоступном для чтения рядовым пользователям, пользователю разрешается войти в систему без проверки пароля. Мы полагаем, что данный метод еще недостаточно безопасен. Если удаленный компьютер подвергся взлому, локальный узел также окажется под угрозой. Метод В Демон sshd может применять шифрование с открытым ключом для идентификации пользователя. На зтапе регистрации пользователь должен иметь доступ к файлу своего секретного ключа и предоставить пароль для его дешифрования Этот метод самый безопасный, ио он утомляет пользователей. Он также делает невозможной регистрацию в системе мобильных пользователей (разве что они носят с собой копию файла секретного ключа. Метод Г. Наконец, демон sshd может просто попросить пользователя ввести свой регистрационный пароль. Это делает программу ssh подобной программе telnet, за исключением того, что шифрованию подлежат пароль и весь сеанс. Основной недостаток данного метода заключается в том, что пароли окашваюгея относительно слабыми (часто их длина ограничена символами, и уже существуют готовые программы (например, crack) для взлома таких паролей. Тем не менее данный метод, как правило, подходит для повседневного использования. Правила аутентификации задаются в файле /etc/sshd config Этот файл уже заполнен разного рода конфигурационным "мусором, большую часть из которого можно спокойно проигнорировать. Параметры, касающиеся аутентификации, перечислены в табл. 21.1. То блица. Пор оме т р ы оутентифиноции, з од о вое ы е в ф ой л е / e t c / s s h d _ c o n f i g
Порометр Метод По ум о л ч о и и ю
R h o s t s A u t h e n t J . c a t i o n
R h o s t s R S A A u t h e n - t x c a t i o n
I g r o r e R h o s t s
I g n o r e R o o t R h o s с s
R S A A u t h e r i t x c a t i o n
P a s s w o r d A u t h e n - t i c a t i o n А. Ь
I Но з но ч е ни е , когда включен Разрешает регистрацию через файлы "/.shosls, /etc/shosts.equiv и др. Разрешает регистрацию через файл
/.shosts и его эквиваленты. но также требует от компьютера предоставления ключа Задает игнорирование файлов
/.rbosts и hosts.equiv" Предотвращает аутентификацию пользователя root через файлы .rhosls и .shosls Разрешает аутентификацию пользователей по методу шифрования с открытым ключом Разрешает использование обычных регистрационных паролей Методы аутентификации, к которым относится данный параметр-
Файлы "/.shosls и shosts.equiv продолжают использоваться. По умолчанию равен значению параметра i g n o r e R h o s t s .
7 1 0
Чость II. Робота в сетях
Рекомендуемая нами конфигурация, в которой разрешаются методы В и Г, ноне Аи Б, такова
R h o s t s A u t h e n t i c a L i o n n o
R h o s t s R S A A u t h e n t i c a t i o n n o
R S A A u t h e n t i c a t i o n y e s
P a s s w o r d A u t h e n t i c a t i o n y e s
SRP: безопасные удаленные пароли Протокол SRP (Secure Remote Password), разработанный Томасом By
(Thomas Wu) из Стэнфордского университета, реализует простои, быстрый, беспатентный и высоконадежный способ проверки паролей в общедоступных сетям. Этот протокол пока что менее распространен, чем SSH, но он кажется нам более элегантным. Его программное обеспечение проще сточки зрения администрирования, асам протокол легче адаптировать к существующим сервисам. Вместо того чтобы переключаться на новый набор команд, как того требует SSH, пользователи могут продолжать работать с программами telnet и ftp. Единственное отличие заключается в том, что все сетевые соединения будут незаметно шифроваться. Если говорить конкретно о программах telnet и ftp. то клиенты и серверы SRP будут обратно совместимы со своими стандартными аналогами. Аутентификация и шифрование используются только тогда, когда они поддерживаются обеими сторонами. К сожалению, применяемый в UNIX стандартный алгоритм шифрования
DES математически неприемлем для протокола SRP, поэтому пароли SRP должны храниться вне файла /etc/passwd. Существующая версия пакета SRP доступна на узле srp.stanford.edu) создает иечто вроде файла теневых паролей (/etc/tpasswd). в котором содержатся версии паролей всех пользователей Имеется замена стандартной команды passwd, позволяющая синхронизировать пароли в обоих файлах.
OPIE: универсальные одноразовые пароли Одно из неудобств, с которыми сталкиваются системы SSH и SRP. заключается в том, что обе стороны соединения должны поддерживать специальный протокол, обеспечивающий безопасность соединения. Обычно это не вызывает проблем, по иногда пользователи оказываются в затруднительном положении. Клиенты SSH имеются не во всех операционных системах, поэтому мобильным пользователям приходится регистрироваться в системе через компьютеры других людей. Стандарт OTP (One-Time Password — одноразовый пароль, определенный в документе RFC 1938. реализует несколько иной подход к безопасности паролей вместо того чтобы их шифровать, он убеждается, что они используются однократно. В таком случае обычные текстовые пароли можно свободно передавать посети, не беспокоясь о том. что их кто-нибудь перехватит. 11ользователи обычно распечатывают группу паролей и носят этот список с собой. В оишчис от обычных паролей, одноразовые пароли генерируются от имени пользователя, их ис приходится выбирать самостоятельно. В настоящее время наиболее распространенной системой является
OPIE (One-time Passwords In Everything — универсальные одноразовые пароли. Она представляет собой модификацию более ранней системы S/Kev компании Bellcore (теперь Telcordia Technologies), усовершенствованной в
Гпово 21. Безопосность
7 1 1
научно-исследовательских лабораториях военно-морского флота США. Основными элементами OPIE являются совместимые версии демонов telnetd и ftpd, а также утилиты для генерирования списков паролей и управления ими. Пакет OPIE доступен по адресу www.inner.net/pub/opie. Необходимо отметить, что системы решают только проблемы, связанные с кражей паролей. Они не шифруют сами данные, передаваемые через сетевое соединение. Любой, кто тайно подключится к сеансу telnet, даже не сумев полутать пароля, наверняка сможет многое узнать о пользователе. Каждый пароль, набранный после входа в систему (в программе sudo, например, окажется совершенно незащищенным. С учетом растущей популярности систем наподобие SSH, остается все меньше и меньше причин применять пакет OPIE. Еслн нет крайней необходимости, не используйте данный пакет его неудобно инсталлировать и сопровождать, да и порядок работы с ним не совсем привычен для пользователей
21.9. Брандмауэры Наряду с защитой отдельных компьютеров можно предпринять меры и по обеспечению безопасности на сетевом уровне. Основной инструмент сетевой защиты — брандмауэр. Существует три категории брандмауэров пакетный, сервисный и анализирующий. Фильтрация пакетов Брандмауэр, фильтрующий пакеты, ограничивает трафик через Iniernei- шлюз (или через внутренний шлюз, соединяющий домены в пределах организации, основываясь па информации из заголовка пакетов. Вы указываете, какие целевые адреса, номера портов и типы протоколов являются допустимыми, а брандмауэр просто отбрасывает (в некоторых случаях также регистрирует) все пакеты, которые не соответствуют заданному критерию. Фильтрацию выполняют специализированные маршрутизаторы (например, выпускаемые компанией Cisco). Возможна также программная фильтрация все зависит от компьютера, выполняющего функции шлюза, и его конфигурации. В целом фильтрующие брандмауэры значительно повышают безопасность, ие требуя существенных финансовых затрат и особо сложной настрои ки. В Red Hal и FreeBSD имеется программный фильтр пакетов (см. параграфы 13.14 и 13.15). Лля этой пели можно купить коммерческую программу. Все они позволят обеспечить разумную защиту домашнего компьютера или небольшого офиса Но прочитайте еще раз начало главы, прежде чем рассматривать систему в качестве корпоративного брандмауэра" Это тот случай, когда действительно стоит вложить деньги в покупку специализированного сетевого оборудования, например брандмауэра PIX компании Cisco. Отсюда правило пользователи не должны запрашивать дополнительные ОГР-паролн, зарегистрировавшись в системе по протоколу OTP Все эти пароли будут переданы в незащищенном виде. Мы также предполагаем, что пользователям не приходят в голову тупые идеи наподобие тою, как сделать Windows платформой для брандмауэра. Неужели при мысли о Windows \ кого-то возникает чувство безопасности Давайте ие будем заниматься ерундой Windows — для настольных компьютеров.
7 1 2
Чость II. Робота в сетях
Принципы фильтрации сервисов Большинству "известных" сервисов назначается сетевой порт в файле
/etc/services (или его системно-зависимом эквиваленте. Демоны, которые реализуют соответствующие сервисы, постоянно опрашивают порты, ожидая запросов на установление соединений со стороны удаленных компьютеров. Большинство таких портов — "привилегированные. Это значит, что их номера находятся в диапазоне от 1 дои что порты могут использоваться только процессами, работающими от имени пользователя root. Порты с номерами 1024 и выше являются непривилегированными. Фильтрация сервисов основана на предположении, что клиент (компьютер, инициирующий соединение по протоколу TCP или UDP) будет использовать непривилегированный порт для установления контакта с привилегированным портом сервера. Например, если компьютеру с адресом
192.108.21.200 нужно разрешить только входящие соединения, то следует установить фильтр, который позволит посылать пакеты поэтому адресу только через порти отправлять пакеты сданного адреса через любой порт. Способ инсталляции такого фильтра будет зависеть от типа маршрутизатора. Некоторые сервисы, например FTP. еше больше усложняют эту головоломку- При пересылке файла по протоколу FTP устанавливается на самом деле два соединения одно — для команд, другое — для данных. Клиент инициирует командное соединение, а сервер — информационное. Следовательно. если необходимо получать файлы из Iniernei по протоколу FTP, нужно разрешить вход в систему через все непривилегированные порты, так как неизвестно, какой из них будет использован для установления информационного соединения.
Подробнее о конфигурировании FTP-cepeepa рассказывается в параграфе 22.6.
Это сводит на нет преимущества фильтрации пакетов, поскольку некоторые общеизвестные сервисы, славящиеся своей незащищенностью, работают с непривилегированными портах™ (например, XII — порт 6000). Кроме того, не в меру любознательные пользователи в организации получают возможность запускать собственные сервисные программы (например, сервер telnet на нестандартном и непривилегированном порте, к которым они и их друзья могут обращаться из Internet. Самый безопасный способ использования фильтра пакетов — начать с конфигурации, в которой не допускается ничего, кроме входящего SMTP- трафика. Затем можно постепенно ослаблять фильтр по мере того, как будет обнаруживаться, что отдельные полезные сервисы не работают. В некоторых фирмах, уж очень заботящихся о безопасности, используется двухступенчатая фильтрация. Один фильтр в этой схеме подключен к Internet как шлюза второй находится между этим шлюзом и остальной частью локальной сети. Идея состоит в том, чтобы оставить наружный шлюз относительно открытым, а внутренний сделать очень жестким. Если промежуточный компьютер административно отделен от остальной части сети, появляется возможность предоставлять различные сервисы Internet с меньшим риском. Во многих случаях задачу ожидания берет на себя демон mefd. Подробнее об этом рассказывается в параграфе 2S.3. Порт 25 — это порт SMTP, определенный в файле /etc/scrvices.
Гпово 21. Беэогосность
7 1 3
Наиболее разумный способ урегулирования проблем с FTP — разрешить выход по протоколу РТР во внешний мир только с одного этого изолированного компьютера. Пользователи смогут регистрироваться на нем, когда им понадобится выполнять другие сетевые операции, запрещенные во внутренней сети. Поскольку копирование всех пользовательских учетных записей на сервер противоречит сути административного деления, можно создавать учетные записи только по заявкам. Естественно, на сервере должен работать полный комплект средств зашиты. Сервисные брандмауэры Сервисные брандмауэры перехватывают входящие и исходящие запросы на соединение и устанавливают собственные подключения к сервисам в пределах сети, играя роль преграждающего затвора либо посредника между двумя мирами. По своей архитектуре сервисные брандмауэры менее гибкие и быстродействующие, чем обычные фильтры пакетов. Они должны иметь специальный модуль декодирования и перенаправления пакетов для каждого протокола, трафик которого проходит через брандмауэр. Вначале х гг. это было относительно несложно сделать, так как широко использовалось лишь небольшое число протоколов. Сегодня, путешествуя в паутине глобальной сети, пользователь за один час может задействовать несколько десятков протоколов. Поэтому сервисные брандмауэры относительно непопулярны в организациях, где основной средой взаимодействия стала сеть Iniernei. Анализирующие брандмауэры В основе анализирующих брандмауэров лежит следующий принцип при внимательном прослушивании всех диалогов (на всех языках) в толпе аэропорта можно узнать, не планирует ли кто-нибудь пронести с собой в самолет бомбу. Такие брандмауэры проверяют проходящий через них трафик и сравнивают реальную сетевую активность стой, которая, по их мнению, должна быть. Например, если в пакетах, передаваемых' в процессе обмена командами, указывается порт, 4cpei который должно быть установлено информационное соединение, брандмауэр обязан убедиться, что запрос придет именно к этому порту. Попытки удаленных узлов подключиться к другим портам будут считаться ошибочными, а следовательно, игнорироваться. К сожалению, суровая действительность вносит свои коррективы. Нереально отслеживать состояние сетевых соединений для тысяч компьютеров и сотен протоколов, как нереально пытаться подслушать каждый разговор в переполненном аэропорту. Возможно, когда-нибудь, когда процессорные мощности и объемы оперативной памяти возрастут на порядок, этот замысел и воплотится в жизнь. Так что женам пытаются продать под маркой "анализирующие брандмауэры Такие системы либо контролируют очень ограниченное число соединений и протоколов, либо ищут определенные "неправильные" ситуации. Это, конечно, неплохо. Полезна любая технология, позволяющая выявлять аномалии графика. Нов данном конкретном случае нужно помнить о том. что большинство рекламных заявлений подобного рода таки остаются рекламными Насколько безопасны брандмауэры Фильтрация пакетов не должна быть основным средством зашиты от незваных гостей. Это всего лишь вспомогательная мера. При применении
7 . I
Чость II. Робота в сетях
брандмауэра у пользователя порой создается ложное впечатление, будто уровень его безопасности является исключительно высоким. Если, доверив- цшсь брандмауэру, ослабить бдительность на других рубежах, это отрица-
тельно скажется на защищенности информации в вашей организации Каждый компьютер необходимо защищать индивидуально и регулярно проверять, пользуясь такими средствами, как crack, tcpd. nmap, COPS и tripwire. В противном случае за твердой оболочкой окажется мягкая, податливая сердцевина — настоящая "конфетка" для голодных хакеров. В идеале локальные пользователи должны иметь возможность подключаться к любому сервису Internet, но доступ к локальным сервисам со стороны узлов следует огранич!ггь. Например, к архивному серверу может быть разрешен доступа к серверу электронной почты — доступ только по соединениям Чтобы канал функционировал с максимальной эффективностью, советуем все же обратить особое внимание на удобство работы и доступность. В коние концов, сеть становится безопасной благодаря бдительности системного администратора, а не благодаря "навороченному" брандмауэру.
21.10. Источники информации на тему безопасности В битве за безопасность системы немалая доля успеха зависит от знания современных разработок в данной области. Если система оказалась взломанной. это вряд листало следствием применения технологической новинки Скорее всего, маленькая трещинка в броне системы широко обсуждалась в какой-нибудь группе новостей, и одному из неофитов захотелось ее заметно увеличить. Организация CERT В связи с бурной реакцией общественности на вторжение червя" организация DARPA (Defense Advanced Research Projects Agency — Управление перспективных исследовательских программ Министерства обороны США) учредила новую структуру C E R T (Computer Emergency Response
Team — группа компьютерной "скорой помоши") В ее обязанности входит сбор информации, касаюшейся компьютерной безопасности. C E R T до сих пор остается наиболее известным консультативным органом, хотя со временем оиа ствла весьма медлительной и бюрократичной. Более того, в самой организации сейчас настаивают на том. что се название не означает ничего кроме "зарегистрированной служебной марки университета Карнеги-Меллона". Хотя, согласно уставу. C E R T обязана решать возникающие на практике проблемы, наделе эта организация неспособна ни расследовать таковые, ни призывать к порядку нарушителей. Она является не более чем хранилищем "заплат, предлагаемых производителями для повышения степени зашиты программных продуктов, а также выпускает объявления о выходе новых средств. Эти "заплаты" и объявления называются "рекомендациями CERT". Новые рекомендации публикуются на узле www.cen.org ив телеконференции. а также распространяются в соответствующем списке рассылки. Чтобы подписаться на него, обратитесь по адресу http://www.cert org/contuct_cen/cenmaillist.html
Глово 21 Беэопосностъ
7 1 5
Сервер SecurityFocus.com и список рассылки BugTraq Сервер SecurityFocus.com специализируется на сборе новостей и информации на тему безопасности. В новостях публикуются как общие обзоры, таки статьи, посвященные конкретным проблемам. Имеется также обширная библиотека полезных документов, удобно отсортированных по тематике. Программный архив сервера содержит инструментальные средства для множества операционных систем Программы снабжаются аннотациями и пользовательскими рейтингами. Это наиболее глобальный и исчерпывающий из известных нам архивов подобного рода. Список рассылки BugTraq — это форум для обсуждения проблем безопасности и путей их устранения. Чтобы подписаться на него, направьте по адресу listserv@securityfocus.com письмо следующего содержания
SUBSCRIBE B U G T R A Q фамилия, имя
Объем информации, рассылаемый по списку, может оказаться довольно значительным. На узле хранится база данных с отчетами о рассмотренных в форуме BugTraq проблемах. Организация S A N S
SANS (System Administration, Networking and Security Institute — Институт системного и сетевого администрирования и проблем безопасности) — это профессиональная организация, которая спонсирует конференции и обучающие семинары, посвященные вопросам безопасности. Ее узел www.sans.org является ценным информационным ресурсом, занимающим промежуточное положение между серверами SecurityFocus.com ион не столь маниакален, как первый, но и не столь нуден, как второй.
SANS рассылает по электронной почте ряд еженедельных и ежемесячных бюллетеней, на которые можно подписаться на узле этой организации. Информационные ресурсы операционных систем Проблемы безопасности способны оказывать серьезное влияние на репутацию, поэтому поставщики операционных систем остро заинтересованы в том, чтобы помочь пользователям сделать свои системы безопасными. Многие крупные поставщики ведут собственные списки рассылки и публикуют в них бюллетени по вопросам безопасности. Этаже информация часто доступна и на узлах. Не редкость, когда защитные "загшаты" распространяются бесплатно, даже если поставщики обычно взимают плату за программную поддержх'у. Весть Web-портвлы, например www.securitvfocus.com, на которых содержится информация, касаюшаяся конкретных производителей, и имеются ссылки на последние офиииальные пресс-релизы. Чтобы подписаться на бюллетень компании Sun. посвященный вопросам безопасности, отправьте письмо по адресу security-alert@sun.com. включив в
^ тело сообшения строку 'subscribe cws ваш адрес". Программные заплаты и архивы бюллетеней находятся на узле sunsolve.sun.com. Компания Hewlett-Packard имеет узлы поддержки us-support.exter-
[ЬрД nal.hp.com — для жителей Америки и Азии и europe-suppon.extemal.lip.com — для жителей Европы. Однако найти на них информацию, касающуюся безопасности, непросто. Чтобы произвести поиск в базе, войдите в область "maintenance/support" (сопровождение/поддержка) и щелкните на ссылке "search technical knowledge base" (предварительно нужно будет зарегистрироваться. В нижней части открывшейся страницы есть ссылка на бюллетени по вопросам безопасности. По этой же ссылке можно получить доступ к защитным "заплатам. Чтобы запросить высылку бюллетеней, вернитесь на
711
Чость II. Робота в сетях
главную страницу области "maintenance/support" и щелкните на ссылке ''support information digest" в разделе "notifications". К сожалению, прямого способа подписки через электронную почту, похоже, не существует.
_ Список рекомендаций по вопросам зашиты системы Red Hat можно
( t j получить по адресу www.redhai.com/suppon/errata. На момент написания книги не существовало официального списка рассылки поданной тематике, спонси- руемого поставщиком Red Hat. Нов Сети есть множество ресурсов, касающихся
Linux. Большая часть информации в них напрягло применима к Red Hat.
.. Информация о безопасности системы FreeBSD находится по адресу
FT, www.freebsd.oig/security. Имеется формальный список рекомендаций по w
7
FreeBSD, а также ряд неофициальных списков рассылки. Вся работа системы проходит под наблюдением "офицера контрразведки" (security officer), за которым скрывается целая группа преданных ей профессионалов. Информация о безопасности продуктов Cisco распространяется в виде практических замечаний, список которых находится по адресу www.cis- co.com/warp/public/770. Чтобы подписаться на список рассылки, посвященный вопросам безопасности Cisco, направьте письмо по адресу majordomo@cisco.com, включив в тело сообщения строку "subscribe cust-security-announce". Другие списки рассылки и Web-уэлы Перечисленные выше контактные адреса — это лишь небольшая часть ресурсов по вопросам безопасности, которые доступны в Internet. В предыдущем издании книги мы упоминали некоторые из них. но учитывая объем имеющейся на сегодняшний день информации, а также скорость, с которой появляются и исчезают различные ресурсы, мы посчитали целесообразным указать несколько "метаресурсов".
Хорошой стартовой площадкой в вашем поиске может стать узел Х (xforce.iss.net) компании Internet Security Systems, где содержится множество полезных F АО-архивов. Там можно найти текущий перечень списков рассылки по вопросам безопасности, а также информацию по конкретным операционным системами "заплатам" к ним. И конечно же, нельзя не упомянуть портал www.yahoo.com, содержащий множество полезных ссылок на интересующую нас тему. Лучше искать их в общем разделе "Computers and Internet", так как раздел, посвященный UNIX, слишком анемичен.
21.11. Что нужно делать в случае атаки на сервер Ключ к отражению атаки прост не паниковать. Весьма вероятно, что к моменту обнаружения факта вторжения большая часть ущерба уже нанесена. Возможно, хакер "гулял" по системе несколько недель ипн даже месяцев. Вероятность того, что вы поймали вора, прокравшегося в систему всего час назад, близка к нулю. Мудрая сова в подобном случае посоветовала бы сделать глубокий вздохи начать тщательно продумывать стратегию устранения "взлома. Старайтесь не вспугнуть злоумышленника, во всеуслышание заявляя о происшествии или выполняя какие-то действия, которые покажутся ненормальными для того, кто, возможно, наблюдает за деятельностью организации на протяжении нескольких недель. (Подсказка в данный момент неплохо было бы выполнить резервное копирование. Надеемся, это не удивит нарушителя Если создание резервных копий не является "нормальным" действием в вашей организации, то обнаружение взлома окажется самой незначительной из ожидающих вас проблем.
Глово 21 Безопосность " 7 1 7
Стоит также напомнить самому себе о том. что, сотттасно исследованиям, в 60% инцидентов, связанных с нарушением безопасности, присутствовал "внутренний враг. Не изучив всех фактов, старайтесь не посвящать в проблему лишних людей, кем бы они ни были. Приведем короткий план, который, будем надеяться, поможет администратору пережить кризис Этап 1: прекратите панику. Во многих случаях проблема обнаруживается только спустя какое-то время. Еще один-два часа или пара дней уже ничего не решают. Но имеет значение, какой будет реакция на событие панической или рациональной. Часто в результате возникшей паники ситуация только усугубляется уничтожением важной информации. Этап 2: определите адекватную степень реакции. Никому невыгодно раздувание инцидента. Будьте благоразумны. Решите, кто из персонала будет участвовать в решении возникшей проблемы и какне ресурсы при этом должны быть задействованы. Остальные будут помогать осуществлять 'вынос тела, когда все закончится. Этап 3: соберите всю возможную информацию. Проверьте учетные н журнальные файлы Попробуйте определить, где первоначально произошел 'взлом. Выполните резервное копирование всех систем. Убедитесь в том, что резервные ленты физически защищены от записи, если вы вставляете их в дисковод для чтения. Этап 4: оцените нанесенный ущерб. Определите, какая важная информация если таковая имеется) 'покинула" компанию, и выработайте стратегию смягчения возможных последствий. Оцените степень будущего риска. Этап 5: выдерните шнур. Если это необходимо и возможно, отключите "взломанные" компьютеры от сети. Остановите кровотечение и перевяжите раны. В архиве Compromise FAQ компании ISS даны дельные технические советы относительно того, что следует делать в случае "взлома" системы. Архив доступен по адресу http://xforce.iss.net/securiLyJibrary/faqs/coinpromise.php3 Этап 6: разработайте стратегию восстановления. Соберите толковых людей и обсудите план восстановления. Не заносите его в компьютер. Сосредоточьтесь на том, чтобы свести ущерб к минимуму. Постарайтесь никого не обвинять и не нагнетать обстановку. Помните отом психологическом ударе, который могут испытать пользователи. Этап 7: сообщите о своем плане. Расскажите пользователями управляющему персоналу о последствиях "взлома, возможных проблемах и предварительной стратеге и восстановления. Будьте честны и откровенны. Инциденты, связанные с безопасностью, являются неотъемлемой частью современной сетевой жнзни. Это не отражение ваших способностей как системного администратора или чего-то другого, чего можно было бы стыдиться. Открытое признание возникшей проблемы — 90% победы, поскольку тем самым вы демонстрируете, что у вас есть план выхода из ситуации. Этап 8: воплотите план в жизиь Вызнаете свои системы и сети лучше, чем кто-либо другой. Доверьтесь плану и инстинктам. Посоветуйтесь с коллегами из других организаций, чтобы убедиться в правильности выбранного направления. Этап 9: сообщите об инциденте в компетентные органы. Если в инциденте участвовал "внешний игрок, сообщите об этом случаев организацию CERT адрес ее электронной почты — cert@cert.org). предоставив как можно больше информации Стандартная форма отчета находится на узле www.cert.org. Ниже перечислено, что желательно в него включить
7 1 8
Чость II. Робота в сетях
информацию о моделях и архитектуре "взломанных" компьютеров, а также об установленных на них операционных системах список "заплат, которые были установлены в системе на момент инцидента список учетных записей, подвергшихся нападению имена и адреса удаленных компьютеров, вовлеченных в инцидент соответствующие журнальные записи и учетные данные контактную информацию. Если входе инцидента была обнаружена ранее неизвестная прореха в программном обеспечении, следует сообщить о ней компании-разработчику.
21.12. Рекомендуемая литература
• Bryant, William. '"Designing an Authentication System: a Dialogue in Four
Scenes". web. mil.edu/kerberos/www/diaIogue.html.
• C E R T Coordination Center. "Intruder Detection Checklist". www.cert.org/tech_tips/intruder_detection_checkIist.html.
• C E R T Coordination Center. "UNIX Configuration Guidelines". www.cen.org/tech_tips/unix_conriguration_fuidelines.htmI.
• Cheswick, William R., and Steven M, Bellovin. Firewalls and Internet Security,
Second Edition. Reading, MA; Addison-Wesley. 2000.
• Curtin. Mali, and Marcus Ranum. "Internet Firewalls. Frequently Asked
Quest ions". www. interhack. net /pubs/fwfaq.
• Fanner. Dan. and Wietse Venema. "Improving the Security of Your Site by
Breaking Into it". 1993. www.fish.com/security.
• Fraser, В, Editor RFC2196: Site Security Handbook, www.rfc-editor.org.
• GaiTmkel, Simson, and Gene Spafford. Practical UNIX and Internet Security.
Sebastopol: O'Reilly & Associates, 1996.
• Kerby, Fred, et al. "SANS Intrusion Detection and Response FAQ". www.sans.org/newlook/resources/I DFAQ/I D_FAQ.htm.
• Mann, Scott, and Ellen L. Mitchell. Linux System Security: The Admmisirator's Guide
to Open Source Security Tools. Upper Saddle River, NJ: Prentice Hall PTR. 2000.
• Morris, Robert, and Ken Thompson. "Password Secunty: A Case History".
Communications of the A C M , 22 (11): 594-597. November 1979- Перепечатано в UNIX System Manager's Manual. 4.3 Berkeley Software Distribution.
University of California, Berkeley. April 1986.
• Pichnarczyk, Karyn. Steve Weeber, and Richard Feingold. "'UNIX Incident
Guide: How to Detect an Intrusion". Computer Incident Advisory Capability.
U.S. Department of Energy. 1994. http://www.ciac.org/cgt-bin/index/docu- nients.
• Ritchie. Dennis M. "On the Security of UNIX". May 1975. Перепечатано в UNIX System Manager's Manual. 4.3 Berkeley Software Distribution. University of California, Berkeley. April 1986.
• Schneier, Bruce. Applied Cryptography: Protocols. Algorithms, and Source Code
in C. New York, NY: Wiley. 1995.
• Thompson. Ken. "Reflections on Trusting Trust". Опубликовано в A C M
Turing Award Lectures: The First Twenty Years 1966-1985. Reading, MA: A C M
Press (Addison-Wesley). 1987.
• Zimmermann. Philip R. The Official PGP User's Guide. Cambridge: MIT Press,
1995.
Гпово 21. Безопосность
7 1 9
1   ...   61   62   63   64   65   66   67   68   ...   82


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал