Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материала

Реферат

Содержание Охрана сети Linux Глава 10. Стандартные службы Глава 15. Использование оболочек TCP (TCP Wrappers)

Подобный материал:

• Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
• Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
• Программное обеспечение ЭВМ, 209.59kb.
• Программное обеспечение вычислительной системы, 824.71kb.
• Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
• Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
• Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
• Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
• Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
• Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.

Охрана сети Linux

Исходя из всего вышесказанного становится очевидно, что разные системы должны защищаться по-разному. О защите сетей и уязвимых местах сетевой архитектуры Linux будет рассказано в следующей части книги, здесь же мы остановимся на физическом доступе к клиентским системам.

Если вы имеете дело с сетью любых размеров, скорее всего, у вас в сети существует несколько различных категорий систем. В частности, у вас наверняка есть клиентские системы, с которыми работает большая часть пользователей. В сети существует также сервер (или два), который хранит на себе пользовательские файлы и обеспечивает доступ к сетевым службам печати (как правило, домашние каталоги всех пользователей при помощи NFS монтируются в рамках клиентских файловых систем, то же самое происходит с электронной почтой и другими данными). Если сеть обладает подключением к Интернету, скорее всего, в ней установлена система, выполняющая функции брандмауэра, а также, возможно, функции маскировки внутренних IP-адресов (IP-masquerading).

Давайте рассмотрим некоторые уязвимые места, присущие клиентам Linux, работающим в вашей сети, и их влияние на защиту серверов.

В зависимости от используемой сетевой модели на клиентах Linux могут существовать учетные записи различных видов. Как правило, на клиентских машинах размещается существенно сокращенный файл /etc/password. Однако вне зависимости от того, используете ли вы NIS, клиенты с полными запаролеными учетными записями или xdm, благодаря чему клиенты подключаются напрямую к серверу, файл /etc/shadow, размещенный на клиентских машинах, следует считать уязвимым местом. Это означает, что вы обязаны включить в него учетную запись root в самой первой позиции, однако пароль этой учетной записи на клиентских машинах должен отличаться от пароля учетной записи root на сервере, который в свою очередь должен отличаться от пароля учетной записи root на системе, выполняющей функции брандмауэра, который опять же должен отличаться от пароля учетной записи root на любой из машин, напрямую подключенных к Интернету.

При этом вы также должны убедиться в том, что клиенты доверяют серверам, но при этом серверы не доверяют клиентам. Не существует никаких причин, по которым сервер должен доверять клиентам. Необходимо также всегда рассматривать клиентские системы как наиболее уязвимые элементы сети.

Заключение

Данная глава завершает собой дискуссию о загрузке операционной системы, которая была начата в предыдущей главе. Ознакомившись с этим материалом, вы, должно быть, поняли, насколько уязвимой является система в процессе начальной загрузки. Вы узнали о том, что любой знающий человек может использовать перезагрузку системы для того, чтобы получить доступ ко всем элементам системы, даже тем, которые доступны только для учетной записи root, в том числе и самой учетной записи root.

Данная глава затрагивает вопросы, связанные с безопасностью не только самой системы, но и безопасностью резервных копий. Как вы узнаете позднее, чем больший объем информации вы предоставляете кому-либо о системе, тем проще для этого человека получить полный доступ к этой системе.


Часть II
Ваша сеть

Глава 9. Основные сведения о сети

Глава 10. Стандартные службы

Глава И. inetd, inetd.conf и сетевые атаки

Глава 12. Уязвимые службы и протоколы

Глава 13. Атаки DoS и как они работают

Глава 14. Устранение уязвимых мест

Глава 15. Использование оболочек TCP (TCP Wrappers)


₉

Основные сведения о сети


В данной главе рассматриваются следующие вопросы:

- основы функционирования сетей;

- протокол IP;

- протокол ICMP;

- сетевая маршрутизация;

- технология CIDR;

- маршрутизация IP;

- внедрение CIDR с использованием VLSM;

- использование ifconfig; - использование route.


Во второй части книги вы узнаете о том, как устроена сеть и какие в ней есть уязвимые места. Необходимо учитывать, что большинство атак будет осуществляться через сеть, так как вряд ли ваша система установлена прямо на многолюдной улице, где каждый желающий может получить к ней доступ. Если ваша система установлена в публично доступном месте, прочитайте главу 8 для того, чтобы узнать об уязвимых местах, связанных с консольными атаками.

Несколько лет назад для того, чтобы атаковать систему с некоторой реальной вероятностью получить к ней доступ, вы должны были быть профессиональным опытным системным инженером, действительно разбирающимся в том, как работает система. Со временем количество системных инженеров росло, и среди них все чаще стали появляться люди с искаженными этическими представлениями. Эти люди стали заниматься разработкой программ, специально предназначенных для автоматизированного взлома систем с использованием существующих слабых мест в защите. С распространением Интернета подобные программы стали свободно доступны для всех, кто обладает доступом к Интернету. Многие подобные программы можно легко найти на hell.com/ и других аналогичных web-узлах. Официально они предназначены для инженеров и сетевых администраторов, однако загрузить их может любой желающий. Таким образом, инструменты, предназначенные для взлома системы безопасности, попадают в руки людей, которые не являются ни программистами, ни компьютерными инженерами, у многих из них представления об этических нормах весьма сомнительны.

Среди этих людей множество весьма устоявшихся категорий. В частности, многие из них — это подростки с огромным количеством свободного времени и тотальным отсутствием уважения к чему-либо, в особенности к взрослым. Все они уверены в том, что действуют в рамках Интернета абсолютно анонимно. Любой подобный молокосос, который подчас даже плохо понимает, что он делает, способен стать причиной головной боли для профессиональных системных администраторов. В последнее время подобные отбросы общества стали настоящим бедствием для всего Интернета. Средства массовой информации и некомпетентные в компьютерах люди ошибочно называют их «хакерами» (hackers), хотя на самом деле этот сброд зачастую даже не умеет программировать. Эти люди лишь хотят выглядеть в чужих глазах крутыми компьютерными взломщиками и нарушителями общепринятого порядка, фактически в их деятельности нет ничего конструктивного, что можно было бы обозначить термином «хакинг» (hacking).

В данной главе речь пойдет об основах, на которых базируется рабочая среда, в которой действуют все эти люди. В глубоком понимании принципов работы сети нет надобности, однако знакомство с наиболее основополагающими принципами необходимо. Я расскажу вам об устройстве технологии IPv4 (Internet Protocol version 4), на которой базируется весь современный Интернет. Эту технологию для краткости зачастую называют просто IP. Ядро Linux поддерживает также и другие протоколы, включая IPv6 — дальнейшее развитие IPv4, которое до сих пор находится в стадии экспериментирования. На момент написания данной книги IPv6 все еще не получил широкого распространения.