Geum.ru

Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материалаРеферат

Содержание


sunrpc, порт 11
auth, порт 113
netbios, порты 137-139
Подобный материал:
1   ...   43   44   45   46   47   48   49   50   ...   101

sunrpc, порт 11


Технология RFC (Remote Procedure Call), разработанная компанией Sun Microsystems, предназначена для монтирования файловых систем через сеть, однако может использоваться для решения многих других задач. Служба sunrpc используется системой для регистрации других программ RPC. Через этот же порт клиент nfs впервые подключается к серверу nfs через сеть. В зависимости от конкретного приложения это может быть обмен данными UDP или TCP.

Чтобы посмотреть на sunrpc в действии, воспользуйтесь командой rpcinfo -p имя_узла. Вы увидите по крайней мере процесс portmapper, связанный с портом 111 по протоколам TCP и UDP. Однако в отображенном на экране листинге могут быть перечислены также и другие службы RPC, как показано в листинге 12.9.

Листинг 12.9. Вывод утилиты rpcinfo

[david@chiriqui david]$ rpcinfo -p volcan

program vers proto port

100000 2 tcp 111 portmapper

100000 2 udp 111 portmapper
300019 1 tcp 743 amq
300019 1 udp 744 amq
100021 1 udp 1024 nlockmgr
100021 3 udp 1024 nlockmgr
100021 1 tcp 1024 nlockmgr
100021 3 tcp 1024 nlockmgr

100001 5 udp 781 rstatd
100001 3 udp 781 rstatd
100001 2 udp 781 rstatd
100001 1 udp 781 rstatd

Службы RPC регистрируются при помощи номера программы. Версия необходима только для того, чтобы клиент смог узнать о возможностях сервера. В третьей колонке указываются доступные протоколы. В большинстве случаев доступными являются оба протокола: как UDP, так и TCP. Сведения о портах являются полезными в том смысле, что вы можете определить, какие из портов можно заблокировать с использованием netfilter (или ipchains) чтобы блокировать несанкционированный доступ. Обратите внимание, что за исключением процесса portmapper для большей части программ RPC какие-либо записи в файле /etc/ services отсутствуют.

Службы RPC являются более безопасными, чем такие службы, как tftp, однако их можно обмануть с использованием трюка, когда злоумышленник выдает себя за того, кем он на самом деле не является. Службы RPC не осуществляют подобных проверок и верят клиенту «на слово». Для всех систем, которые позволяют доступ чтения/записи, сервер должен быть настроен на выполнение процедуры root_squash (подавление корня) — иными словами, он должен отображать любые запросы на доступ для root (UID 0) на пользователя nobody. Доступ к службам RPC необходимо тщательно контролировать.


ПРИМЕЧАНИЕ

Технология RPC позволяет удаленным системам обращаться к системным вызовам локальной системы через сеть. В общем и целом набор доступных вызовов определяется локальной системой, однако все системы знают, как осуществляются чтение и запись данных файловой системы. Таким образом, эти вызовы на удаленной системе преобразуются в эквивалентные вызовы локальной системы, и если это разрешено, выполняется соответствующая операция.

auth, порт 113


Служба аутентификации запускает демон identd. В настоящее время этот демон почти не используется, так как в Интернете подавляющее число клиентов являют-

ся клиентами Microsoft и не поддерживают службу аутентификациию В Интеренте

почти не осталось серверов, которые запрещают соединение с клиентом в случае, если клиент не отвечает на соответствующий запрос аутентификации, однако многие службы по-прежнему нуждаются в этом.

Некоторые версии Caldera OpenLinux включают в себя версию identd, которая не может корректно завершить работу. В результате система заполняется сотнями работающих процессов inetd. Учитывая тот факт, что данная служба в большинстве мест не используется, вы можете просто отключить ее.

netbios, порты 137-139


Любая система, использующая протокол LanMan (включая системы Linux, на которых работает сервер Samba), использует порты от 137 до 139 для поиска других систем. Именно эти порты используются клиентами Microsoft для поиска узлов в Network Neighbornhood (Сетевое окружение). Если вы используете Samba, вы должны самостоятельно решить, разрешаете ли вы отвечать на запросы на подключение, поступающие через эти порты, и если да, то разрешаете ли вы устанавливать соединения только в рамках внутренней сети или вы планируете обслуживать также внешние соединения.

В системах, не являющихся системами Microsoft (равно как и в системах Microsoft, в которых используется только стек TCP, а прямая поддержка NetBIOS не загружена), любые обращения к NetBIOS обслуживаются с использованием TCP. Если передача данных NetBIOS осуществляется с использованием TCP, эти данные могут передаваться значительно дальше, чем в случае использования протокола NetBIOS в чистом виде. Протокол NetBIOS основан на широковещательной передаче данных, а широковещательная передача данных осуществляется только в рамках локальной сети. Это означает, что широковещательные пакеты не передаются из сети в сеть через шлюзы и маршрутизаторы, и передача данных системам, располагающимся в других сетевых сегментах, не может быть осуществлена. Однако если для передачи пакетов NetBIOS используется TCP, это ограничение может быть снято. Это означает, что сообщения могут быть адресованы системам, располагающимся в других сетевых сегментах, а значит, взломщики получают еще одну потенциальную возможность проникнуть в вашу систему. Таким образом, эти порты необходимо заблокировать для доступа со стороны любых систем, кроме локальных.