Анализ операционной системы МСВС на предмет наличия уязвимостей
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
Вµ методы:
Все, что специально не разрешено - запрещено.
Этот метод блокирует весь трафик между двумя сетями, за исключением тех сервисов и приложений которым выдано разрешение. Поэтому каждую необходимую службу и приложение нужно разрешать. Никогда нельзя разрешать работу тем службам и приложениям, которые могут быть использованы для атаки на вашу систему. Это наиболее безопасный метод - отвергать все, что явно не разрешено. С другой стороны, со стороны пользователя, этот метод более ограничительный и менее удобный. Именно его мы будем использовать для построения брандмауэра в этой книге.
Все, что не запрещено, то разрешено.
Этот метод позволяет весь трафик между сетями, за исключением определенных сервисов и приложений. Поэтому каждую ненужную службу надо явно запрещать. Это очень удобный и гибкий метод для пользователей, но несущий в себе серьезные потенциальные проблемы в безопасности.
Рекомендации связанные с сетью
В ОС МСВС поддерживается большое количество сетевых функций. Настройка сетевого оборудования и всех файлов, связанных с сетью очень важно для общей системной безопасности.
Управление сетью охватывает обширный ряд тем. В общем, они включают сбор статистических данных о состоянии частей вашей сети и принятие мер в случае необходимости при возникновении сбоев или других причин.
Файл /etc/inetd.confназывается супер сервером, который запускает другие демоны по запросам из сети. В файле конфигурации inetd.conf описано какие порты слушать и какие сервисы запускать для каждого порта. Как только вы подключаете вашу систему к сети, подумайте, какие сервисы вам нужны.
Ненужные сервисы надо отключить, а лучше деинсталлировать. Просмотрите файл /etc/inetd.conf и вы увидите, какие сервисы он предлагает. Закомментируйте строки с ненужными сервисами, а затем пошлите процессу inetd сигнал sighup.
Редактируя файл inetd.conf, вы можете отключить следующие сервисы: ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth и т.д. пока вы не планируете их использовать. Чем меньше сервисов включено, тем меньше риск для системы.
Получение доступа к серверу дистанционно критично для большинства администраторов, но в любом случае удаленный доступ очень удобен.был одной из первых сетевых услуг. Он позволяет регистрироваться на удаленной машине в интерактивном режиме и выполнять некоторые команды. Это все еще основное инструментальное средство для удаленного администрирования в большинстве сред, и оно имеет почти универсальную поддержку.
Это также один из наиболее опасных протоколов, восприимчивых ко всему. Если система имеете пользователей использующих telnet для доступа к серверу Вы должны определенно выполнить chroot для их логинов, если возможно, также как ограничить доступ telnet на используемые ими хосты с помощью TCP_WRAPPERS. Самое лучшее решение для обеспечения безопасности telnet состоит в том, чтобы его отключить.
Проблемы с telnet:и пароли открытым текстом.
Все команды открытым текстом.
Атаки на подбор паролей (правда, остаются следы в файлах протоколов)._Wrappers
Используя Tcp_Wrappers, вы легко сможете оградить ваш сервер от внешних вторжений, когда это нужно. Запретите все хосты, добавив ALL: ALL@ALL, PARANOID в /etc/hosts.deny, и определите список тех, кому доступ разрешен в файле /etc/host.allow - это самая безопасная конфигурация._Wrappers контролируется двумя файлами. Поиск завершается при первом совпадении.
Доступ будет разрешен если пара (клиент, демон) найдена в файле /etc/host.allow.
Доступ будет запрещен если пара (клиент, демон) найдена в файле /etc/host.deny.
Если пары (клиент, демон) не найдена ни в одном из файлов, то доступ будет разрешен.
В ОС МСВС присутствует такое программное средство, как утилита ipchains используемая для администрирования firewall-а, IP маскарадинга и т.д.
Все IP пакеты содержат в своих заголовках IP адреса источника и получателя и тип IP протокола помещенного в пакет (TCP, UDP, ICMP). Единственным средством идентификации согласно протоколу IP является адрес источника сообщений. Это приводит к возможности подмены адреса (spoofing), когда злоумышленник заменят адрес источника на несуществующий адрес или на адрес другого сервера.
# Отбрасывание spoof-пакетов, с адресом источника
# совпадающим с вашим внешним адресом.-A input -i $EXTERNAL_INTERFACE -s $IPADDR -l -j DENY
Существует, по крайней мере, семь адресов на внешнем интерфейсе, от которых необходимо отказаться. К ним относятся:
от вашего внешнего IP адреса
от приватных IP адресов класса A
от приватных IP адресов класса B
от приватных IP адресов класса C
от широковещательного адреса класса D
от зарезервированных адресов класса E
от loopback интерфейса
Блокировка исходящих пакетов, содержащих подобные исходные адреса, за исключением вашего IP адреса, защищает от ошибок конфигурации с вашей стороны.
Другие правила используемые в скрипте брандмауэра описывают:
доступ к сервисам из внешнего мира
доступ к сервисам во внешнем мире
маскарадинг внутренних машин
Конфигурирование ОС МСВС на маскарадинг и форвардинг трафика из внутренней локальной сети требует специальных настроек ядра и вашего конфигурационного скрипта брандмауэра. Этот вид установок известен как шлюз.
Маскарадинг необходим, если один из компьютеров вашей локальной сети, для которой МСВС машина является брандмауэром, пытается послать пакеты наружу и шлюз притворяется этим компьютером. Другими словами, при пересылке всех пакетов из внутренней сети во внешнюю, шлюз делает вид, что все пакеты идут от него. Это р?/p>