Безопасность распределенных вычислительных систем в Интернет 111
Удаленные атаки на телекоммуникационные службы Причины существования уязвимостей в UNIX-системах
1)Наличие демонов.
2)Механизм SUID/SGID-процессов.
Эти механизмы, являющиеся неотъемлемой частью идеологии UNIX, были и будут лакомым кусочком для хакеров, т. к. в этом случае пользователь всегда взаимодействует с процессом, имеющим большие привилегии, чем у него самого, и поэтому любая ошибка или недоработка в нем автоматически ведет к возможности использования этих привилегий.
3) Излишнее доверие.
Об этом уже достаточно говорилось выше. Повторим, что в UNIX достаточно много служб, использующих доверие, и они могут тем или иным способом быть обмануты.
4) Человеческий фактор с весьма разнообразными способами его проявления - от легко вскрываемых паролей у обычных пользователей до ошибок у квалифицированных системных администраторов, многие из которых как раз и открывают путь для использования механизмов доверия.
Безопасность распределенных вычислительных систем в Интернет 112
Удаленные атаки на телекоммуникационные службы
Простые правила и действия для защиты своего хоста на N процентов:
1)Прочитайте, наконец, руководство по администрированию вашей системы, и наверняка вы найдете там некоторые полезные советы, которые захотите применить.
2)Поставьте последние версии sendmail, ftpd и httpd. Этим вы сразу отсеете до 30% (самых невежественных или ленивых) кракеров.
3)Запустите программу автоматизированного контроля вашего хоста, типа SATAN или ISS.
4)Сходите в CERT или CIAC и внимательно прочитайте их бюллетени за последнее время. Установите все рекомендуемые патчи (patch). Этим вы отсеете еще 20% взломщиков, так что уже 70% вы сможете остановить
5)Правильно настройте (или установите) ваш файрвол. Из этого не следует, что вы должны запретить все и всем, запретите лишь все неиспользуемые вами порты и протоколы. Поставьте сетевой монитор безопасности или IDS. Уже более 80% злоумышленников будет скрежетать зубами от злости.
Безопасность распределенных вычислительных систем в Интернет 113
Удаленные атаки на телекоммуникационные службы
6)Станьте на несколько часов хакером и напустите на файл /etc/passwd (или затененный (shadow) аналог / etc/ shadow) последний взломщик паролей. Здесь у вас большое преимущество перед хакерами - этот файл слишком просто получить, и грех не воспользоваться такой удачей. С теми пользователями, пароли которых были вскрыты автоматически, надо усилить разъяснительную работу. Не забудьте затенить ваш файл паролей. Еще 10% кракеров будет убито наповал, и вы победили уже 90% из них.
7)Попросите разрешения у администраторов всех доверенных хостов, просканировать их хосты на предмет безопасности. Для этого можно воспользоваться тем же SATAN'ом, но вам нужно смотреть в первую очередь не на найденные им уязвимости (они вряд ли уже актуальны), а на список использованных сервисов и программ-демонов, их поддерживающих. Это можно сделать, вручную проанализировав файл с результатами работы SATAN. Если вы найдете уязвимую программу там, попросите соседнего администратора обновить ее. Если он не зря занимает свое место, то он с благодарностью это сделает. Итак, 99% кракеров никогда не попадут на ваш, уже почти полностью безопасный хост.
Безопасность распределенных вычислительных систем в Интернет 114
Удаленные атаки на телекоммуникационные службы
8) Придумайте какую-нибудь собственную изюминку, очень простую, но которая
сможет привести слишком умных кракеров в тупик, типа переименования какой- нибудь важной команды или сообщения на входе "FSB host. Vvedite vashe imya i zvanie:" .
9)Поставьте монитор всех входящих соединений. Этим вы сможете если не остановить, то хоть увидеть следы кракера и понять его логику для дальнейшего закрытия этой лазейки.
10)Избавьтесь от sendmail, поставьте другой SMTP-демон.
11)Поставьте proxy-сервер для дополнительной аутентификации извне, а также для скрытия адресов и топологии внутренней подсети.
12)Перенесите весь сервис, требующий входящих соединений (http, SMTP), на отдельную машину и оставьте ее в открытой сети. Удалите с этой машины все программы и информацию, не относящуюся к ее назначению. Все остальные машины спрячьте за файрволом с полным отключением входящего трафика.
Безопасность распределенных вычислительных систем в Интернет 115
Удаленные атаки на телекоммуникационные службы Средства автоматизированного контроля безопасности
SATAN (Security Administrator Tool for Analyzing Networks) — это утилита для анализирования сети и выявления дыр в различных узлах. SATAN представляет собой мощный сетевой сканер, который сканирует порты всех компьютеров вашей (и не только вашей) сети и информирует вас о возможной дыре в системе безопасности того или иного узла.
SAINT (Security Administrator's Integrated Network Tool) используется для обнаружения уязвимостей на удаленных системах, включая сервера, рабочие станции, сетевые устройства и др. Программа также может собирать информацию о типе операционной системы и открытых портов. Программа содержит встроенный графический интерфейс, позволяющий управлять конфигурацией сканирования, заданиями и анализировать данные полученные в результате сканирования. Это интегральная сетевая утилита администратора безопасности) – это ещё одна коммерческая утилита для оценки уязвимости (как Nessus, ISS Internet Scanner). Она запускается под UNIX и раньше была бесплатной и с открытым исходным кодом, но сейчас это коммерческий продукт.
ISS Internet Scanner от фирмы ISS - это средство сканирования сетевых систем оказывает сетевым администраторам большую помощь в поиске и исправлении дефектов системы безопасности сетей любого масштаба, хотя оно лишено функции мониторинга в реальном масштабе времени. Ориентированный на оценку уязвимости на уровне приложений, Internet Scanner начинал свой путь в 92-ом году как крошечный сканер с открытым исходным кодом, созданный Кристофером Клаусом (Christopher Klaus). Сейчас он позволил вырасти ISS до компании - долларового миллиардера с несметным числом продуктов безопасности
Безопасность распределенных вычислительных систем в Интернет 116
Оценка безопасности Internet
Исходно сеть создавалась как незащищенная открытая система, предназначенная для информационного общения все возрастающего числа пользователей.
При этом подключение новых пользователей должно было быть максимально простым, а доступ к информации — наиболее удобным. Вывод: Internet создавался как незащищенная система, не предназначенная для хранения и обработки конфиденциальной информации. Более того, защищенный Internet не смог бы стать той системой, которой он сейчас является и не превратился бы в информационный образ мировой культуры, ее прошлого и настоящего. В этом самостоятельная ценность Сети и, возможно, ее небезопасность есть плата за такое
высокое назначение.
Следствие: Имеется множество пользователей, заинтересованных в том, чтобы Internet стал системой с категорированной информацией и полномочиями пользователями, подчиненными установленной политике безопасности.
На наш взгляд, в Сети не должна находиться информация, раскрытия которой приведет к серьезным последствиям. Наоборот, в Сети необходимо размещать информацию, распространение которой желательно ее владельцу. При этом всегда необходимо учитывать тот факт, что в любой момент эта информация может быть перехвачена, искажена или может стать недоступной. Следовательно, речь должна идти не о защищенности Internet, а об обеспечении разумной достаточности информационной безопасности Сети.
Конечно, это не отменяет необходимости ознакомления пользователя с богатым и все время возрастающим арсеналом программных и аппаратных средств обеспечения информационной безопасности сети. Тем не менее отметим, что они не в состоянии превратить Internet в защищенную среду, что означило бы изменение ее природы.
