Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материала

Реферат

Содержание domain порт 53 tftp, порт 69 finger, порт 79 www, порт 80 рор2, порт 109 и рорЗ, порт 110

Подобный материал:

• Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
• Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
• Программное обеспечение ЭВМ, 209.59kb.
• Программное обеспечение вычислительной системы, 824.71kb.
• Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
• Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
• Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
• Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
• Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
• Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.

domain порт 53

Порт 53 используется системой доменных имен DNS (Domain Name System). В нормальном режиме — то есть при поступлении запроса на определение IP-адреса некоторого узла с известным доменным именем — информация передается с использованием UDP через IP. Однако в некоторых случаях DNS использует TCP — например, для выполнения трансфера зоны. Это происходит потому, что в ходе трансфера зоны через сеть требуется передать объем данных, который, как правило, значительно превышает размер пакета UDP.

Демон DNS (также известный как BIND, Berkeley Internet Nameserver Daemon), запускаемый под именем named (name server daemon), часто подвергается атакам с целью получения доступа к системе на уровне привилегий root. В главе 14 мы подробнее рассмотрим демон сервера имен. В этой главе я расскажу вам о том, как следует установить и запустить этот демон в рамках тюрьмы с измененным корнем файловой системы (change root jail). Другие демоны также могут работать подобным образом. Ранее я уже упоминал о том, что подобная тюрьма применяется также для обеспечения доступа к системе по протоколу FTP.

Некоторые демоны, в особенности web-сервер Apache и FTP-сервер с анонимным доступом, создают свои собственные тюрьмы с измененным корнем, поэтому описываемая процедура может применяться не только в отношении какого-то конкретного демона. Однако эти демоны могут работать и без создания подобной тюрьмы. При необходимости пользователей системы также можно размещать в тюрьме с измененным корнем, однако при этом администрирование системы существенно усложняется. Как правило, традиционная политика безопасности, основанная на частных пользовательских группах и ограничениях прав доступа внутри файловой системы, является более эффективной и предусматривает более простое администрирование.

tftp, порт 69

Упрощенный протокол передачи файлов TFTP (Trivial File Transfer Protocol) может стать причиной сильной головной боли сетевого администратора, так как именно благодаря TFTP в вашей системе защиты могут открыться очень серьезные дыры. Именно по этой причине я упоминаю этот протокол в данной книге, ведь на практике этот протокол используется относительно редко. Протокол TFTP основан на UDP, однако он создает псевдосоединение. Изначально этот протокол был предназначен для совместного использования с ARP (Address Resolution Protocol) и ВООТР (Bootstrap Ptotocol) и использовался для передачи через сеть файловой системы на рабочую станцию, не оснащенную жестким диском. Если вы хотите обеспечить функционирование бездисковой рабочей станции, используйте поддерживаемый на уровне ядра протокол ВООТР или RARP (Reverse Address Resolution Protocol) и монтируйте файловую систему с использованием NFS. Это значительно более надежный способ, чем использование TFTP. Если только в вашей сети отсутствуют очень старые системы, которые не могут работать без TFTP, вы должны отключить tftp в файле /etc/inetd.conf, так как приемлемых способов защиты этого протокола не существует.

finger, порт 79

Демон finger является постоянным источником информации о вашей системе для внешних взломщиков. В состав OpenLinux входит демон под названием safe_finger. Этот демон можно использовать на локальном узле, не открывая при этом порта. Данная утилита может использоваться также для подключения к демону finger, работающему на удаленном компьютере. По умолчанию в OpenLinux даже эта утилита доступна только для пользователя root. Как я уже отмечал несколько раз, передача подобной информации удаленным узлам не оправданна с точки зрения безопасности.

www, порт 80

Более подробно о web-сервере Apache и его механизмах безопасности будет рассказано в главе 20. Если в системе нет места для столь мощного сервера, как Apache, вы можете воспользоваться небольшим web-сервером, встроенным в ядро версии 2.4.x. Этот web-сервер может быть встроен прямо в ядро или может загружаться в память в виде модуля ядра. Благодаря этому механизму небольшие системы получают возможность использовать небольшой компактный web-сервер для обслуживания простых web-страниц. Помимо сервера Apache в операционной среде Linux можно использовать также другие web-серверы. Все зависит от того, каким образом и для какой цели вы намерены обеспечивать доступ к системе через HTTP. Встроенный в ядро Linux демон http, конечно же, не может полностью заменить собою полноценный сервер httpd, однако этот маленький демон может оказаться весьма полезным. В главе 20 эта новая возможность Linux будет рассмотрена подробнее. Также будет рассказано о том, как этот механизм можно использовать для повышения уровня зашиты в ходе совместного использования с сервером Apache.

рор2, порт 109 и рорЗ, порт 110

Протокол для чтения почты POP (Post Office Protocol) — это достаточно защищенный протокол, который, как правило, не является источником проблем с точки зрения безопасности. Этот протокол активно используется провайдерами Интернета для обеспечения доступа к электронной почте для своих клиентов. Вместо устаревшего рор2 рекомендуется использовать более новый рорЗ, однако ни один из этих протоколов не содержит каких-либо бросающихся в глаза уязвимых мест. Следует, однако, учитывать, что в рамках POP пароли передаются через сеть в незашифрованном виде. Это еще одна хорошая причина не использовать учетную запись root для чтения почты.

Служба POP обладает модулем рат, в котором по умолчанию (для OpenLinux) содержится информация, показанная в листинге 12.8.

Листинг 12.8. Модуль рат, по умолчанию используемый службой POP

auth required /1ib/security/pam_pwdb.so shadow null ok

auth required /lib/security/pam_nologin.so

account required /1ib/security/pam_pwdb.so

password required /1ib/security/pam_pwdb.so shadow null ok use_authtok

session required /1ib/security/pam_pwdb.so

Содержимое этого файла вполне понятно: четыре модуля, которые требуют аутентификацию с использованием пары «имя_пользователя/пароль», и один модуль, который проверяет наличие или отсутствие файла /etc/nologin, запрещающего или разрешающего доступ (соответственно).