Анализ операционной системы МСВС на предмет наличия уязвимостей
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
В°ботает в обе стороны, если внешний хост отвечает, то шлюз будет пересылать все пакеты во внутреннюю сеть нужному компьютеру. В результате все внутренние компьютеры полностью не видимы для внешнего мира, но при этом имеют туда доступ и могут получать оттуда ответы.
Основной код маскарадинга, включаемый опцией IP: masquerading, обрабатывает только TCP или UDP пакеты (и ICMP ошибки для существующих соединений). Опция IP:ICMP Masquerading включает дополнительную поддержку для маскарадинга ICMP пакетов, таких как ping или исследований проводимых программой tracer из Windows 95.
Запрещение доступа с некоторых адресов
Для того, чтобы закрыть весь доступ на ваш сервер с определённого адреса, нужно:
создать файл rc.firewall.blocked в каталоге /etc/rc.d/ и раскомментировать следующие строки в скрипте firewall:[ -f /etc/rc.d/rc.firewall.blocked ]; then.
/etc/rc.d/rc.firewall.blocked
В файл rc.firewall.blocked добавьте все IP адреса, доступ с которых вы хотите заблокировать.
Поиск .rhosts файлов
Файлы .rhosts являются частью постоянной работы системного администратора, так как этим файлам не должно найтись места на вашей системе. Помните, что нарушителю нужен только один небезопасный бюджет пользователя, чтобы в будущем получить доступ в вашу сеть. Вы можете найти файлы .rhosts используя команду:/home -name .rhosts
Настройка NFS
Если вы экспортируете свои файловые системы с использованием NFS, то необходимо сконфигурировать файл /etc/exports с максимально возможными ограничениями. В нем не следует использовать групповые символы (?, *), нельзя позволять доступ для записи пользователю root и следует монтировать только для чтения все, что только возможно.
/dir/to/export host1.mydomain.com (ro,root_squash)
/dir/to/export host2.mydomain.com (ro,root_squash)
-, - не позволять пользователю root доступа с правом на запись.и BIND сервер
Безопасность любого сервера зависит от программного обеспечение предназначенного, для защиты сервера. DNS наиболее важный сервис для IP сетей, и поэтому, все МСВС машины - клиенты DNS, должны быть, как минимум, настроены на функцию кэширования. Такая настройка на клиентской машине уменьшит загрузку сервера. Кэширующий сервер ищет ответы на DNS запросы и сохраняет их до следующего раза. В результате время ответа на тот же запрос сильно сокращается.
Из соображений безопасности, важно, чтобы между внутренними компьютерами корпоративной сети и внешними компьютерами не существовало DNS, гораздо безопаснее использовать просто IP адреса для соединения с внешними машинами и наоборот.
Для улучшения безопасности BIND/DNS сервера, можно запретить вашему серверу, контактировать со сторонними серверами, если свои сервера не работают или не отвечают.сервер
Несмотря на прошедшие годы, использование File Transfer Protocol (FTP) является одним из самых популярных способов пересылки файлов с одной машины на другую через сеть. Клиенты и сервера написаны для каждой из популярных платформ присутствующих на рынке, делая таким образом FTP наиболее удобным способом пересылки файлов.
Существует много различных путей настройки вашего FTP сервера. Один из них приватный, только для пользователей системы, который является конфигурацией по умолчанию FTP сервера; приватный FTP сервер позволяет пользователям МСВС системы соединиться с сервером по протоколу FTP и получить доступ к их файлам.
Конфигурация, охватываемая здесь, предоставляет FTP полубезопасную область файловой системы (chroot гостевой FTP доступ). Она позволит пользователю получить доступ к каталогу FTP сервера, при этом он не сможет перейти на более высокий уровень. Это наиболее безопасная конфигурация для FTP сервера.
Чрезвычайно важно, чтобы ваши пользователи FTP не имели реального командного процессора. В этом случае, если они по каким-либо причинам смогут покинуть chroot окружение FTP, то не смогут выполнить никаких задач, так как не имеют командного процессора. (есть специальное устройство (/dev/null) существующее для подобных целей).
Редактируя файл passwd, добавьте/измените строку для пользователя ftpadmin::x:502:502::/home/ftp/./ftpadmin/:/dev/null
Обратите внимание, что путь к домашнему каталогу пользователя ftpadmin нечеткий. Первая часть /home/ftp/ показывает файловую систему, которая должна стать новый корневым каталогом. Разделяющая точка . говорит, что из текущего каталога необходимо автоматически переходить в /ftpadmin/.
7. Экономическая часть
.1 Раiет трудоемкости
При проведении НИР по теме Анализ механизмов защиты информации в ОС МСВС выделяются следующие этапы:
Подготовительный этап. На этом этапе производится анализ существующей литературы по темам, касающимся проводимых исследований, разрабатывается технико-экономическое обоснование темы, выполняются необходимые раiеты, разрабатывается методика исследований и методика проведения экспериментов.
Разработка теоретической части НИР. На этом этапе выполняется научная проработка iелью обоснования параметров и характеристик разрабатываемой системы, определяется концепция построения системы, выбираются и обосновываются принципы организации и функционирования системы.
Определение перечня уязвим