WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 | 2 || 4 |

«ББК 32.973 Максим Левин УДК 681.3 Руководство для хакеров Максим Левин Л80 Руководство для хакеров. — М.: Бук пресс, 2006. — 416 с. ...»

-- [ Страница 3 ] --

что с электронной коммерцией связана Computer Security Institute (CSI, повышенная опасность для информационной Сан Франциско) совместно с Отделом системы, наталкиваются на глухое непонимание.

международных компьютерных преступлений ФБР Конечно, на администратора немедленно тщательно обследовал 428 организаций:

накинутся поставщики систем для электронной коммерческих компаний из списка Fortune 500, коммерции: Надо просто пересылать все финансовых и медицинских учреждений, транзакции в зашифрованном виде. Этим правительственных организаций и крупных настырным людям надо посмотреть прямо в глаза университетов. Результаты этого исследования и сказать: «Шифровка транзакций беспокоит меня показывают полную неготовность этих меньше всего». организаций к защите от компьютерных преступлений и наводят на мысль о том, что Энтузиасты электронной коммерции в угроза таких преступлений вполне реальна.

самой компании тоже постараются снизить накал Например, 42% респондентов указали, что в страстей вокруг защиты данных. Скорей всего, течение последних 12 месяцев им приходилось они станут заламывать руки и вопить: «О сталкиваться с использованием компьютеров без назовите, назовите мне хоть один пример того, разрешения.

как электронная коммерция через Internet довела кого нибудь до разорения!» Достойным ответом Респонденты также указали, что их для этих людей будет такой: «Не спешите. Все еще информационные системы подвергались попыткам впереди». вторжения через разные точки входа. Причем речь здесь не идет об игре в компьютерные игры в рабочее время — респонденты указали целый ряд Глава 2: Чем вы рискуете?

нешуточных злоумышленных действий, от грубых попыток угадать пароль до нарушения работы Противнику надо смотреть прямо в лицо.

системы (denial of service) и порчи данных (data Жизнь приносит нам все новые и новые примеры diddling).

компьютерных преступлений, и каждый, в ком есть хоть крупица здравого смысла, поймет, что 231 Деньги и хакинг Деньги и хакинг Многие респонденты, опрошенные в ходе Конечно, можно испытывать какой угодно опроса, проведенного Computer Security Institute скептицизм по поводу этих результатов, однако (CSI, Сан Франциско) совместно с ФБР, заявили, достаточно просмотреть заголовки газет, чтобы что их сеть подвергались нападению с разных понять, до какой степени насущна проблема сторон. Было опрошено 428 коммерческих компьютерной преступности.

компаний, правительственных учреждений и В 1994 году IBM, General Electric и NBC университетов.

стали жертвой хакеров в День Благодарения.

Наибольшее беспокойство, однако, Предполагаемые преступники — загадочная вызывает то, до какой степени организации не группа, именующая себя «Фронт освобождения готовы бороться с уже произошедшим Internet»;

вторжение вызвало серьезные вторжением. Более чем в 50% неприятности. В 1995 году русские хакеры вошли организаций респондентов отсутствуют в сеть Citibank с мобильного компьютера и письменные инструкции о действиях в случае незаконно перевели 10 миллионов долларов на вторжения в сеть. Более 60% организаций не различные счета в разных странах мира.

имеют инструкций о сохранении вещественных Не так давно появились подозрения, что доказательств вторжения для последующего ряд сотрудников Управления социального представления на гражданском или уголовном страхования (Social Security Administration) судебном разбирательстве.

передали сведения об 11 000 человек (в том числе Мало того, более 20% организаций вообще номер страхового полиса и девичью фамилию не знают, подвергались они вторжению или нет. матери) группе преступников, занимающихся мошенничеством с кредитными карточками.

Согласно третьему ежегодному опросу ErnstYoung/Information Week, 80% респондентов Список получился коротким, однако не считают, что угроза безопасности данных может потому, что такие случаи редки, а потому что исходить от сотрудников компании, 70% считают, большинство из них не получает огласки. Менее что в роли компьютерных злоумышленников могут 17 респондентов совместного опроса CSI и ФБР выступать их конкуренты, и почти 50% сообщили, заявили, что сообщили о вторжениях органам что нарушение защиты информационной системы правопорядка;

более 70% сообщили, что боятся, привело к финансовым потерям. По данным что огласка таких событий может им повредить.

исследования, проведенного университетом штата Цена таких инцидентов может быть Мичиган, более 40% респондентов оказывались ошеломляюще высока. Например, 30 респондентов жертвами компьютерных преступлений более проведенного CSI опроса 1995 Crypto Survey раз.

233 Деньги и хакинг Деньги и хакинг заявили, что понесли финансовые потери в опросила ряд аналогичных фирм с целью результате вторжений в информационную систему. выяснить убытки, понесенные их Общая сумма потерь 32 респондентов составила 66 клиентами — коммерческими и финансовыми миллионов долларов. Распределение убытков по организациями — в результате мошенничества.

способам нанесения таково: Круг опрошенных был не слишком широк, и тем не менее общая сумма убытков составила 1 миллион приходится на подслушивание миллионов долларов — и всего это за один год переговоров (правда, во всем мире). Сюда входят только 300 000 — на разного рода фальсификации реальные убытки, причем лишь те, о которых 1 миллион — на прямые врезки в кабельную клиенты сочли нужным сообщить опрошенным систему компаниям. На американские компании приходится более 400 миллионов долларов. В 1 миллион и 10 миллионов — на данную цифру не входят потери от порчи данных злоупотребления конфиденциальной или временной потери доступа к данным, а кроме информацией того, трудно количественно оценить неизвестные 50 миллионов (да да, это не опечатка) — на потери от прямого вмешательства конкурентов проникновения в систему.

(например, промышленного шпионажа).

По данным компании Klarence M. Kelly Эта проблема имеет международный Investigations, средний убыток от мошенничества масштаб. По оценкам, проведенным Британской сотрудников составляет 23 500 долларов;

если же ассоциацией банков, в 1999 году ущерб от мошенничество совершается с применением компьютерного мошенничества составил компьютера, сумма убытка возрастает до 500 миллиардов долларов, то есть 97 миллионов долларов.

долларов в день.

Во время недавних сенатских слушаний по безопасности киберпространства на свет божий Глава 3: Не всякое лекарство была извлечена еще одна ошеломляющая новость.

помогает Дэн Гелбер, советник сенатора Сэма Нанна, сообщил о результатах расследования, Итак, мы убедились, что угроза проведенного неназванной компанией, компьютерного преступления вполне реальна. Тем занимающейся обеспечением безопасности не менее систему безопасной электронной (включая принятие контрмер) частных коммерции построить вполне можно. Это как промышленных компаний. Данная компания собирать детскую головоломку — из большого 235 Деньги и хакинг Деньги и хакинг числа разрозненных деталей получается единое самым надежным механизмом защиты является целое. Secure Sockets Layer (SSL). SSL смело можно назвать лидером, уже по одному тому, что, Например, когда клиент связывается с благодаря усилиям Netscape, он установлен на Secuirty First Network Bank и запрашивает текущее огромном числе настольных станций. Клиентам не состояние счета, изображение сломанного ключа в придется принимать какое то специальное нижней части экрана Netscape сменяется решение относительно SSL — он настолько изображением целого ключа — это означает, что общепринят, что браузерами, не клиент успешно установил соединение с поддерживающими SSL, просто никто не банковской системой. После этого клиент может пользуется. Как обычно, наиболее широко просмотреть информацию о том, каким органом применяемая программа становится отраслевым выдан банковский сертификат — в данном случае стандартом. Клиентам, использующим SSL, не это VeriSign. Далее клиент вводит номер своего придется устанавливать какое либо другое счета и свой личный номер (personal identification программное обеспечение на своих машинах.

number, PIN). При обращении к системе Шифровка по методу RSA, управление ключами, электронной торговли, от клиента, скорее всего, поддержка сертификатов — все эти функции потребуется еще и номер кредитной карточки. В встроены в SSL. В качестве сертификационного свою очередь, торговая организация свяжется с органа выступает VeriSign. Для проверки компанией Verifone, чтобы проверить платежеспособности кредитных карточек платежеспособность карточки.

используется Verifone. Все основные строительные Уильям Муррей из компании Deloitte and элементы электронной коммерции уже встали на Touche, горячий сторонник защиты информации, место, — рассказывает г н Муррей.

говорит, что в настоящее время уже существуют Тем не менее надо отметить, что с несколько видов безопасной электронной применением различных прикладных программ коммерции. Если знать, у кого покупать серверы, сопряжены риски разной природы, и поэтому для то уже сейчас вполне можно без всякой опасности разных приложений нужны различные средства обмениваться информацией через Internet. Можно, обеспечения безопасности. Маркус Ранум, в свое например, установить коммерческие серверы, время разрабатывавший брандмауэры для которые не допускают вмешательства компаний Digital Equipment и Trusted Information посторонних и поддерживают безопасные Systems, а сейчас работающий ведущим научным протоколы, — говорит г н Муррей. Как указывает сотрудником компании V One, подчеркивает, что Уильям Муррей, для покупок по кредитным для выработки правильной стратегии электронной карточкам и онлайновых банковских систем, 237 Деньги и хакинг Деньги и хакинг коммерции компания должна в первую очередь долларов — это не слишком большие деньги. С внимательно изучить собственную бизнес схему. другой стороны, брокерская компания не имеет Необходимая степень защиты системы права допустить, чтобы хакер получил доступ к электронной коммерции в значительной степени портфелю богатого клиента — в противном случае зависит от характера бизнеса компании. ответственность может быть весьма велика.

Например, цветочный магазин и брокерская Другая серьезная проблема, с которой контора должны использовать совершенно может столкнуться брокерская компания, — это различные модели электронной коммерции. запрет на признание сделки недействительной.

Цветочный магазин, скорее всего, сочтет Представьте себе, что станется с рынком акций, правильным организовать что то вроде если клиент позвонит в биржевой комитет и электронной витрины, а брокерская контора почти скажет: «Слушайте, ребята, это не я продал наверняка воспользуется бизнес моделью миллион акций Netscape в пятницу, когда они партнерства в киберпространстве. При работе в стояли на 30 пунктах. Я собирался сделать это рамках модели электронной витрины любой сегодня, когда они стоят на 110 пунктах». Ясно, покупатель, имеющий электронные наличные или что биржевой комитет не никак не может такого платежеспособную кредитную карту, может допустить.

совершить необходимую ему операцию. Модель Чтобы гарантировать безопасность бизнеса, партнерства, напротив, предполагает, что у брокерские конторы должны иметь возможность брокерской конторы имеются зарегистрированные идентифицировать клиентов и обеспечить запрет клиенты, которые перед началом работы должны на расторжение сделки. По мнению Маркуса проходить процедуру идентификации.

Ранума, это весьма серьезная проблема: «Меня Компании этих двух типов работают по пугает, что некоторые брокерские конторы принципиально различным бизнес моделям и пользуются соединением под SSL для сталкиваются с принципиально различными установления прямого канала обмена уровнями ответственности. Цветочный магазин, зашифрованной информацией. По этому каналу работающий через Internet, рискует понести клиент посылает свой пароль. Затем на убытки, равные стоимости цветов или 50 брокерской фирме говорят: «Э, да это, похоже, долларов — в зависимости от того, какая сумма Маркус. Пускай продает свои акции». А что если я больше. Сумма ответственности клиентов работаю с Netscape из окна Unix (Unix box), где цветочного магазина (в зависимости от условий запущен X Window? Откуда известно, я ли это на договора на использование кредитной карточки) самом деле или кто то влез в мой сеанс? А может также не превышает стоимости цветов или 50 быть, кто то запустил программу ищейку (sniffer), 239 Деньги и хакинг Деньги и хакинг которая перехватывает все, что я набираю на может быть выполнена процедура электронной клавиатуре через свой X терминал? Может быть, подписи и другие необходимые действия.

Netscape запущен где то на сервере, а я работаю с Например, ключи PGP (Pretty Good Privacy) ним через X терминал? Поэтому, несмотря на то, нужно где то хранить. Что будет с клиентом, что между брокерской конторой и сервером работающим с брокерской конторой, если действительно существует надежный канал кто нибудь украдет его ключи? Ничего хорошего.

обмена, между X терминалом и рабочей станцией Если же у клиента имеется интеллектуальная мой пароль передается открытым текстом. Такие карточка, то он может переписать ключи на нее, и вещи случаются отнюдь не редко.

тогда они будут менее уязвимы. Недостаток Для разных бизнес моделей требуются интеллектуальных карточек состоит в том, что с их разные средства обеспечения безопасности. приобретением связаны дополнительные расходы.

Компании, торгующей цветами или продающей Но тут, опять таки, надо вспомнить, что авиабилеты, стоит позаботиться о защите необходимый уровень безопасности определяется транзакций, а потом оценить, насколько ее характером бизнес модели — чем можно рискнуть устраивает существующий уровень и на какие расходы компания готова пойти, чтобы ответственности. Эту ответственность следует застраховать себя от возможных потерь.

затем учесть при подсчете себестоимости (cost of Следует также подумать, где и каким doing business). Напротив, если в бизнес модели образом размещать на Internet коммерческую заложена серьезная ответственность, а кроме того, прикладную систему. Стоит ли заводить свой требуется обеспечить строгий запрет на собственный Web site и обеспечивать его расторжение сделки, то компании придется безопасность самостоятельно? Или стоит раскошелиться на установку более сложных и воспользоваться услугами Internet провайдера? А безопасных решений для электронной может быть, лучше арендовать виртуальное коммерции — например, воспользоваться пространство (virtual real estate) на стороне? Как интеллектуальными карточками (smart card).

определить, какое решение приведет к наилучшим Интеллектуальные карточки представляют результатам? Уильям Муррей (Deloitte and Touche) собой высокозащищенный оффлайновый дает глубокомысленный ответ: «Ответ на все компьютер со своей собственной постоянной трудные вопросы в области информационных памятью. Интеллектуальные карточки могут технологий один и тот же: все зависит от загружать в свою память те части транзакций, где конкретной ситуации». Никому такой ответ не требуется идентификация пользователя. Далее нравится — каждый хотел бы услышать некий универсальный рецепт, который позволил бы 241 Деньги и хакинг Деньги и хакинг избавиться от ответственности за принятие коммерции полностью решается построением решения. И все же необходимо внимательно брандмауэра и шифровкой транзакций. Они ознакомиться с работой приложения и с упускают из виду еще один критически важный операционной средой, где его предполагается момент — безопасность внутренней сети использовать. Задолго до того, как установить компании».

приложение в своей компании, следует Как утверждает Линда Маккарти, если ознакомиться с работой прототипа, затем внутренняя сеть не обеспечивает безопасность, попытаться установить прототип в своей системе, защита Internet соединения лишена смысла. Если причем здесь не обойтись без помощи хакер может проникнуть во внутреннюю сеть, то кого нибудь, кто уже имеет опыт работы с все брандмауэры и шифрованные линии связи Web серверами — например можно поговорить с никакой роли не играют — хакер может попросту каким нибудь известным Internet провайдером, о вломиться в финансовые приложения и делать все, котором имеются положительные отзывы и что ему заблагорассудится, — говорит г жа который хорошо знает, как обеспечивать Маккарти. — Если компания хочет заниматься компьютерную безопасность при работе в Internet.

безопасной электронной коммерцией, то ей следует потратиться на обеспечение безопасности внутренней сети — сиюминутная экономия может Глава 4: Волк в овечьей шкуре обернуться колоссальными расходами (а то и Когда речь заходит об электронной полным разорением) в будущем.

коммерции, всякий норовит поговорить о технике По словам Уильяма Муррея, волк уже готов шифровки и обеспечении безопасности сбросить овечью шкуру. Кем бы злоумышленник транзакций. Между тем существует еще довольно ни оказался — знакомым (например нечестным много проблем, о которых часто забывают. Линда сотрудником) или незнакомым (скажем Маккарти, менеджер по безопасности хакером) — наиболее вероятно, что удар будет коммерческих систем для Internet компании Sun нанесен где то в пределах внутренней сети.

Microsystems, поясняет: «Многие компании Наиболее серьезная проблема состоит в том, стремительно переходят к использованию Internet;

чтобы корректно передать данные с Web сервера они готовы потратить деньги на то, чтобы через корпоративную сеть на обслуживающий застраховать себя от возможных рисков. Слишком приложение компьютер, — отмечает Уильям часто, однако, руководители компаний, от Муррей. — Именно там бандиты на вас и которых зависит принятие решений, считают, что нападут — там же, где и всегда нападали. И вы задача обеспечения безопасности электронной еще надеялись отсидеться за брандмауэром!

243 Деньги и хакинг Деньги и хакинг Рассмотрим организацию, до сих пор безопасностью сети? Одну из этих проблем всегда довольствовавшуюся минимальным уровнем связи игнорируют».

с Internet. Может быть, ее сотрудники Другими словами, если внутренняя сеть не пользовались электронной почтой и выходом в обеспечивает достаточной безопасности, то Internet или, возможно, у организации было нечто, защищать соединение через Internet не имеет что казалось администратору сети надежным никакого смысла. Напротив, если сеть защищена, брандмауэром. И вот руководство возжаждало то добиться безопасности на Internet не слишком заняться электронной коммерцией. Администратор сложно.

сети приводит консультанта, и тот объясняет: «Хе, К несчастью, во многих компаниях выход в ребята, да в вашу сеть только ленивый не залезет».

Internet осуществляется через несколько точек, Разумеется, никакой документации на причем руководство, как правило, не имеет ни конфигурацию сети нет. Консультант заводит малейшего представления о числе таких точек.

разговор о слежении за изменениями в Проверки систем безопасности проводятся крайне конфигурации сети, но выясняется, что редко. Хочешь увидеть ошеломленное статистических данных об основном состоянии лицо — спроси любого администратора сети (baseline) тоже нет. Администратор клянется, информационной системы, сколько модемов что с завтрашнего же дня запретит производить насчитывается в его сети. Разумеется, в такой изменения в сети без специальной санкции, ситуации не имеет ни малейшего значения, однако сам тут же понимает, что это лишено установлен ли в системе надежный брандмауэр и всякого смысла — если об основном состоянии шифруются ли передаваемые транзакции, сети ничего не известно, то каким образом можно поскольку нет возможности защититься ни от узнать, является ли данное изменение внешней, ни от внутренней угрозы.

конфигурации проявлением злого умысла, Так с чего же начать? В идеале следует элементом основного состояния или организовать несколько доменов безопасности санкционированным изменением. Ни разу (security domain) — например, офис, производство, администратору сети не приходило в голову, что опытные разработки, Internet, деловые партнеры.

такое пренебрежение документацией может Затем надо нарисовать табличку (матрицу), в помешать подключению организации к Internet.

каждой клетке которой следует указать, какие Маркус Ранум формулирует типы связи и сетевых услуг разрешены для вышеописанную проблему в форме парадокса: «В каждого домена. Допустим, в домене опытных чем разница между безопасностью на Internet и разработок можно пользоваться протоколом telnet, в офисном домене следует прибегать к услугам 245 Деньги и хакинг Деньги и хакинг электронной почты, а для связи с Остается надеяться, что подробный рассказ о бизнес партнерами нужно прибегать к ftp. Эту рисках и угрозах, связанных с продажей товаров и матрицу, в свою очередь, можно рассматривать услуг через Internet, заставит руководство как план реализации защитной системы, куда компаний наконец раскошелиться на реализацию могут входить брандмауэры, маршрутизаторы, долгосрочных программ защиты корпоративной различные программы, системы шифровки и сети.

прочие защитные средства (spit, duct tape, bailing wire, glue). Таким образом можно защитить сеть и от внешних, и от внутренних опасностей. Многие администраторы сети уже осознали, что сеть надо делить на домены, к защите каждого из которых надо подходить в индивидуальном порядке.

Однако во многих случаях администратор просто не в состоянии сделать это;

к несчастью, они вынуждены рассматривать сеть как один большой домен. (Более подробную информацию о том, как защитить корпоративную сеть от внешних и внутренних опасностей можно найти во врезке Как защитить свое электронное достояние.) Задача обеспечения безопасности сети необычайно сложна. Защитить сеть — это все равно что менять корпус судна, находясь в плавании. Хорошего результата тут добиться невозможно. Обычно приходиться слышать:

«Наплюй и забудь — нам плыть надо, нам надо добраться до берега». Однако при таком подходе не приходится надеяться на улучшение положения в целом.

Электронной коммерцией все равно будут заниматься — независимо от отношения к ней какой то конкретной организации. Всегда найдутся люди, готовые забыть об опасности.

247 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet Некоторое время назад один банкир, Часть десятая прочитав в каком то дорогом журнале статью об Как защитить и/или информационной безопасности, сделал для себя вывод, что защищаться бесполезно — слишком атаковать Intranet велик арсенал потенциального злоумышленника.

Он перестал рассматривать предложения по защите компьютерной системы банка, считая их заведомо бесполезными. К фаталистам этого банкира не отнесешь, однако масса технических Глава 1: А безопасен ли Intranet?

деталей, приведенных в журнальной статье, совершенно запутала и подавила его. Сжав голову Архитектура Intranet подразумевает руками, он ходил из угла в угол, бормоча: «Пароли подключение к внешним открытым сетям, перехватываются, соединения крадутся, получить использование внешних сервисов и привилегии root — раз плюнуть и т.д. и т.п.» предоставление собственных сервисов вовне, что Попытки указать ему на то, что в статье допущен предъявляет повышенные требования к защите ряд чисто технических ошибок, что не оговорены информации.

условия, при которых возможна та или иная атака, В Intranet системах используется подход что, наконец, отсутствует комплексный подход к клиент сервер, а главная роль на сегодняшний проблеме безопасности, успеха не имели.

день отводится Web сервису.

Так совпало, что вскоре дела банка, где Web серверы должны поддерживать работал наш банкир, стали идти все хуже и хуже.

традиционные защитные средства, такие как Более удачливые конкуренты, казалось, все время аутентификация и разграничение доступа;

кроме предугадывали его ходы, постоянно оказываясь на того, необходимо обеспечение новых свойств, в полшага впереди… особенности безопасности программной среды и Формирование режима информационной на серверной, и на клиентской сторонах.

безопасности — проблема комплексная. Меры по Таковы, если говорить совсем кратко, ее решению можно разделить на четыре уровня:

задачи в области информационной безопасности, законодательный (законы, нормативные акты, возникающие в связи с переходом на технологию стандарты и т.п.);

Intranet. Далее мы рассмотрим возможные подходы к их решению.

Позволим себе небольшое отступление… 249 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet административный (действия общего проводит Государственная техническая комиссия характера, предпринимаемые руководством (Гостехкомиссия) при Президенте Российской организации);

Федерации. В рамках серии руководящих документов (РД) Гостехкомиссии подготовлен процедурный (конкретные меры проект РД, устанавливающий классификацию безопасности, имеющие дело с людьми);

межсетевых экранов (firewalls, или брандмауэров) программно технический (конкретные по уровню обеспечения защищенности от технические меры).

несанкционированного доступа (НСД). Это принципиально важный документ, позволяющий упорядочить использование защитных средств, Глава 2: Законодательный уровень необходимых для реализации технологии Intranet.

В настоящее время наиболее подробным законодательным документом в области Глава 3: Разработка сетевых информационной безопасности является Уголовный кодекс. аспектов политики безопасности В разделе IX (Преступления против Политика безопасности определяется как общественной безопасности) имеется глава совокупность документированных управленческих 28 — Преступления в сфере компьютерной решений, направленных на защиту информации и информации. Она содержит три статьи — ассоциированных с ней ресурсов.

(Неправомерный доступ к компьютерной При разработке и проведении ее в жизнь информации), 273 (Создание, использование и целесообразно руководствоваться следующими распространение вредоносных программ для ЭВМ) принципами:

и 274 — Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Уголовный кодекс невозможность миновать защитные средства;

стоит на страже всех аспектов информационной усиление самого слабого звена;

безопасности — доступности, целостности, невозможность перехода в небезопасное конфиденциальности, предусматривая наказания состояние;

за уничтожение, блокирование, модификацию и минимизация привилегий;

копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

разделение обязанностей;

Весьма энергичную работу в области эшелонированность обороны;

современных информационных технологий разнообразие защитных средств;

251 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet простота и управляемость информационной Принцип минимизации привилегий системы;

предписывает выделять пользователям и администраторам только те права доступа, которые обеспечение всеобщей поддержки мер необходимы им для выполнения служебных безопасности.

обязанностей.

Поясним смысл перечисленных принципов.

Принцип разделения обязанностей Если у злоумышленника или недовольного предполагает такое распределение ролей и пользователя появится возможность миновать ответственности, при котором один человек не защитные средства, он, разумеется, так и сделает.

может нарушить критически важный для Применительно к межсетевым экранам данный организации процесс. Это особенно важно, чтобы принцип означает, что все информационные предотвратить злонамеренные или потоки в защищаемую сеть и из нее должны неквалифицированные действия системного проходить через экран. Не должно быть тайных администратора.

модемных входов или тестовых линий, идущих в Принцип эшелонированности обороны обход экрана.

предписывает не полагаться на один защитный Надежность любой обороны определяется рубеж, каким бы надежным он ни казался.

самым слабым звеном. Злоумышленник не будет За средствами физической защиты должны бороться против силы, он предпочтет легкую следовать программно технические средства, победу над слабостью. Часто самым слабым за идентификацией и аутентификацией идет звеном оказывается не компьютер или программа, управление доступом и, как последний а человек, и тогда проблема обеспечения рубеж, — протоколирование и аудит.

информационной безопасности приобретает Эшелонированная оборона способна по крайней нетехнический характер.

мере задержать злоумышленника, а наличие такого Принцип невозможности перехода в рубежа, как протоколирование и аудит, небезопасное состояние означает, что при любых существенно затрудняет незаметное выполнение обстоятельствах, в том числе нештатных, защитное злоумышленных действий.

средство либо полностью выполняет свои Принцип разнообразия защитных средств функции, либо полностью блокирует доступ.

рекомендует организовывать различные по своему Образно говоря, если в крепости механизм характеру оборонительные рубежи, чтобы от подъемного моста ломается, мост должен потенциального злоумышленника требовалось оставаться в поднятом состоянии, препятствуя овладение разнообразными и, по возможности, проходу неприятеля.

253 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet несовместимыми между собой навыками Анализ рисков — важнейший этап (например, умением преодолевать высокую ограду выработки политики безопасности. При оценке и знанием слабостей нескольких операционных рисков, которым подвержены Intranet системы, систем). нужно учитывать следующие обстоятельства:

новые угрозы по отношению к старым сервисам, Очень важен принцип простоты и вытекающие из возможности пассивного или управляемости информационной системы в целом активного прослушивания сети. Пассивное и защитных средств в особенности.

прослушивание означает чтение сетевого трафика, Только для простого защитного средства а активное — его изменение (кражу, дублирование можно формально или неформально доказать его или модификацию передаваемых данных).

корректность. Только в простой и управляемой Например, аутентификация удаленного клиента с системе можно проверить согласованность помощью пароля многократного использования не конфигурации разных компонентов и осуществить может считаться надежной в сетевой среде, централизованное администрирование. В этой независимо от длины пароля;

новые (сетевые) связи важно отметить интегрирующую роль сервисы и ассоциированные с ними угрозы.

Web сервиса, скрывающего разнообразие Как правило, в Intranet системах следует обслуживаемых объектов и предоставляющего придерживаться принципа все, что не разрешено, единый, наглядный интерфейс. Соответственно, запрещено, поскольку лишний сетевой сервис если объекты некоторого вида (скажем таблицы может предоставить канал проникновения в базы данных) доступны через Web, необходимо корпоративную систему. В принципе, ту же мысль заблокировать прямой доступ к ним, поскольку в выражает положение все непонятное опасно.

противном случае система будет сложной и трудноуправляемой.

Глава 4: Процедурные меры Последний принцип — всеобщая поддержка мер безопасности — носит нетехнический В общем и целом Intranet технология не характер. Если пользователи и/или системные предъявляет каких либо специфических администраторы считают информационную требований к мерам процедурного уровня. На наш безопасность чем то излишним или даже взгляд, отдельного рассмотрения заслуживают враждебным, режим безопасности сформировать лишь два обстоятельства:

заведомо не удастся. Следует с самого начала описание должностей, связанных с предусмотреть комплекс мер, направленный на определением, наполнением и поддержанием обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.

255 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet корпоративной гипертекстовой структуры Подчеркнем, что они не должны иметь прав на официальных документов;

модификацию корпоративного дерева и отдельных документов. Их дело — передать свой труд поддержка жизненного цикла информации, редактору.

наполняющей Intranet.

Кроме официальных, корпоративных, в При описании должностей целесообразно Intranet могут присутствовать групповые и личные исходить из аналогии между Intranet и документы, порядок работы с которыми (роли, издательством. В издательстве существует права доступа) определяется, соответственно, директор, определяющий общую направленность групповыми и личными интересами.

деятельности. В Intranet ему соответствует Web администратор, решающий, какая Переходя к вопросам поддержки корпоративная информация должна жизненного цикла Intranet информации, присутствовать на Web сервере и как следует напомним о необходимости использования средств структурировать дерево (точнее, граф) конфигурационного управления. Важное HTML документов. достоинство Intranet технологии состоит в том, что основные операции конфигурационного В многопрофильных издательствах управления — внесение изменений (создание существуют редакции, занимающиеся новой версии) и извлечение старой версии конкретными направлениями (математические документа — естественным образом вписываются книги, книги для детей и т.п.). Аналогично, в в рамки Web интерфейса. Те, для кого это Intranet целесообразно выделить должность необходимо, могут работать с деревом всех версий публикатора, ведающего появлением документов всех документов, подмножеством которого отдельных подразделений и определяющего является дерево самых свежих версий.

перечень и характер публикаций.

У каждой книги есть титульный редактор, Глава 5: Управление доступом путем отвечающий перед издательством за свою работу.

В Intranet редакторы занимаются вставкой фильтрации информации документов в корпоративное дерево, их Мы переходим к рассмотрению мер коррекцией и удалением. В больших организациях программно технического уровня, направленных слой публикатор/редактор может состоять из на обеспечение информационной безопасности нескольких уровней.

систем, построенных в технологии Intranet. На Наконец, и в издательстве, и в Intranet первое место среди таких мер мы поставим должны быть авторы, создающие документы.

257 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet межсетевые экраны — средство разграничения дальнейшую декомпозицию, связанную с доступа, служащее для защиты от внешних угроз и обслуживанием различных сетевых протоколов.

от угроз со стороны пользователей других Межсетевой экран — это полупроницаемая сегментов корпоративных сетей.

мембрана, которая располагается между Отметим, что бороться с угрозами, защищаемой (внутренней) сетью и внешней присущими сетевой среде, средствами средой (внешними сетями или другими универсальных операционных систем не сегментами корпоративной сети) и контролирует представляется возможным. Универсальная все информационные потоки во внутреннюю сеть ОС — это огромная программа, наверняка и из нее. Контроль информационных потоков содержащая, помимо явных ошибок, некоторые состоит в их фильтрации, то есть в выборочном особенности, которые могут быть использованы пропускании через экран, возможно, с для получения нелегальных привилегий. выполнением некоторых преобразований и извещением отправителя о том, что его данным в Современная технология программирования пропуске отказано. Фильтрация осуществляется на не позволяет сделать столь большие программы основе набора правил, предварительно безопасными. Кроме того, администратор, загруженных в экран и являющихся выражением имеющий дело со сложной системой, далеко не сетевых аспектов политики безопасности всегда в состоянии учесть все последствия организации.

производимых изменений (как и врач, не ведающий всех побочных воздействий Целесообразно разделить случаи, когда рекомендуемых лекарств). Наконец, в экран устанавливается на границе с внешней универсальной многопользовательской системе (обычно общедоступной) сетью или на границе бреши в безопасности постоянно создаются между сегментами одной корпоративной сети.

самими пользователями (слабые и/или редко Соответственно, мы будет говорить о внешнем и изменяемые пароли, неудачно установленные внутреннем межсетевых экранах.

права доступа, оставленный без присмотра Как правило, при общении с внешними терминал и т.п.).

сетями используется исключительно семейство Как указывалось выше, единственный протоколов TCP/IP. Поэтому внешний межсетевой перспективный путь связан с разработкой экран должен учитывать специфику этих специализированных защитных средств, которые в протоколов. Для внутренних экранов ситуация силу своей простоты допускают формальную или сложнее, здесь следует принимать во внимание неформальную верификацию. Межсетевой экран помимо TCP/IP по крайней мере протоколы как раз и является таким средством, допускающим SPX/IPX, применяемые в сетях Novell NetWare.

259 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet Иными словами, от внутренних экранов нередко мало отличаются от экранирующих требуется многопротокольность. маршрутизаторов.

Ситуации, когда корпоративная сеть При принятии решения пропустить/не содержит лишь один внешний канал, является, пропустить, межсетевые экраны могут скорее, исключением, чем правилом. использовать не только информацию, содержащуюся в фильтруемых потоках, но и Напротив, типична ситуация, при которой данные, полученные из окружения, например корпоративная сеть состоит из нескольких текущее время.

территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования. Таким образом, возможности межсетевого В этом случае каждое подключение должно экрана непосредственно определяются тем, какая защищаться своим экраном. Точнее говоря, можно информация может использоваться в правилах считать, что корпоративный внешний межсетевой фильтрации и какова может быть мощность экран является составным, и требуется решать наборов правил. Вообще говоря, чем выше задачу согласованного администрирования уровень в модели ISO/OSI, на котором (управления и аудита) всех компонентов. функционирует экран, тем более содержательная информация ему доступна и, следовательно, тем При рассмотрении любого вопроса, тоньше и надежнее экран может быть касающегося сетевых технологий, основой служит сконфигурирован. В то же время фильтрация на семиуровневая эталонная модель ISO/OSI.

каждом из перечисленных выше уровней обладает Межсетевые экраны также целесообразно своими достоинствами, такими как дешевизна, классифицировать по тому, на каком уровне высокая эффективность или прозрачность для производится фильтрация — канальном, сетевом, пользователей. В силу этой, а также некоторых транспортном или прикладном. Соответственно, других причин, в большинстве случаев можно говорить об экранирующих используются смешанные конфигурации, в концентраторах, маршрутизаторах, о транспортном которых объединены разнотипные экраны.

экранировании и о прикладных экранах.

Наиболее типичным является сочетание Существуют также комплексные экраны, экранирующих маршрутизаторов и прикладного анализирующие информацию на нескольких экрана.

уровнях.

Эта конфигурация называется Мы не будем рассматривать экранирующие экранирующей подсетью. Как правило, сервисы, концентраторы, поскольку концептуально они которые организация предоставляет для внешнего применения (например представительский 261 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet Web сервер), целесообразно выносить как раз в Помимо блокирования потоков данных, экранирующую подсеть. нарушающих политику безопасности, межсетевой экран может скрывать информацию о защищаемой Помимо выразительных возможностей и сети, тем самым затрудняя действия допустимого количества правил качество потенциальных злоумышленников. Так, межсетевого экрана определяется еще двумя очень прикладной экран может осуществлять действия важными характеристиками — простотой от имени субъектов внутренней сети, в результате применения и собственной защищенностью. В чего из внешней сети кажется, что имеет место плане простоты использования первостепенное взаимодействие исключительно с межсетевым значение имеют наглядный интерфейс при экраном. При таком подходе топология задании правил фильтрации и возможность внутренней сети скрыта от внешних централизованного администрирования составных пользователей, поэтому задача злоумышленника конфигураций. В свою очередь, в последнем существенно усложняется.

аспекте хотелось бы выделить средства централизованной загрузки правил фильтрации и Более общим методом сокрытия проверки набора правил на непротиворечивость. информации о топологии защищаемой сети является трансляция внутренних сетевых адресов, Важен и централизованный сбор и анализ которая попутно решает проблему расширения регистрационной информации, а также получение адресного пространства, выделенного организации.

сигналов о попытках выполнения действий, запрещенных политикой безопасности. Ограничивающий интерфейс также можно рассматривать как разновидность экранирования.

Собственная защищенность межсетевого На невидимый объект трудно нападать, особенно с экрана обеспечивается теми же средствами, что и помощью фиксированного набора средств. В этом защищенность универсальных систем. При смысле Web интерфейс обладает естественной выполнении централизованного защитой, особенно в том случае, когда администрирования следует еще позаботиться о гипертекстовые документы формируются защите информации от пассивного и активного динамически. Каждый видит лишь то, что ему прослушивания сети, то есть обеспечить ее положено.

(информации) целостность и конфиденциальность.

Экранирующая роль Web сервиса наглядно Хотелось бы подчеркнуть, что природа проявляется и тогда, когда этот сервис экранирования (фильтрации), как механизма осуществляет посреднические (точнее, безопасности, очень глубока.

интегрирующие) функции при доступе к другим ресурсам, в частности таблицам базы данных.

263 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet Здесь не только контролируются потоки запросов, пользователя, от имени которого выполняется но и скрывается реальная организация баз данных. Web сервер.

В технологии Intranet, если заботиться о качестве и выразительной силе пользовательского Глава 6: Безопасность программной интерфейса, возникает нужда в перемещении среды программ с Web серверов на клиентские компьютеры — для создания анимации, Идея сетей с так называемыми активными выполнения семантического контроля агентами, когда между компьютерами передаются при вводе данных и т.д. Вообще, активные не только пассивные, но и активные исполняемые агенты — неотъемлемая часть технологии Intranet.

данные (то есть программы), разумеется, не нова.

Первоначально цель состояла в том, чтобы В каком бы направлении ни перемещались уменьшить сетевой трафик, выполняя основную программы по сети, эти действия представляют часть обработки там, где располагаются данные повышенную опасность, т.к. программа, (приближение программ к данным). На практике полученная из ненадежного источника, может это означало перемещение программ на серверы.

содержать непреднамеренно внесенные ошибки Классический пример реализации подобного или целенаправленно созданный зловредный код.

подхода — это хранимые процедуры в Такая программа потенциально угрожает всем реляционных СУБД.

основным аспектам информационной безопасности:

Для Web серверов аналогом хранимых процедур являются программы, обслуживающие доступности (программа может поглотить все общий шлюзовой интерфейс (Common Gateway наличные ресурсы);

Interface — CGI). CGI процедуры располагаются целостности (программа может удалить или на серверах и обычно используются для повредить данные);

динамического порождения HTML документов.

конфиденциальности (программа может Политика безопасности организации и прочитать данные и передать их по сети).

процедурные меры должны определять, кто имеет право помещать на сервер CGI процедуры. Проблему ненадежных программ осознавали Жесткий контроль здесь необходим, поскольку давно, но, пожалуй, только в рамках системы выполнение сервером некорректной программы программирования Java впервые предложена может привести к сколь угодно тяжелым целостная концепция ее решения.

последствиям. Разумная мера технического характера состоит в минимизации привилегий 265 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet Java предлагает три оборонительных рубежа: Интересный подход предлагают специалисты компании Sun Microsystems для надежность языка;

обеспечения безопасного выполнения командных контроль при получении программ;

файлов. Речь идет о среде Safe Tcl (Tool Comman контроль при выполнении программ.

Language, инструментальный командный язык).

Sun предложила так называемую ячеечную модель Впрочем, существует еще одно, очень интерпретации командных файлов. Существует важное средство обеспечения информационной главный интерпретатор, которому доступны все безопасности — беспрецедентная открытость возможности языка. Если в процессе работы Java системы. Исходные тексты Java компилятора приложения необходимо выполнить сомнительный и интерпретатора доступны для проверки, поэтому командный файл, порождается подчиненный велика вероятность, что ошибки и недочеты командный интерпретатор, обладающий первыми будут обнаруживать честные ограниченной функциональностью (например, из специалисты, а не злоумышленники.

него могут быть удалены средства работы с В концептуальном плане наибольшие файлами и сетевые возможности). В результате трудности представляет контролируемое потенциально опасные программы оказываются выполнение программ, загруженных по сети.

заключенными в ячейки, защищающие Прежде всего, необходимо определить, какие пользовательские системы от враждебных действия считаются для таких программ действий. Для выполнения действий, которые допустимыми. Если исходить из того, что считаются привилегированными, подчиненный Java — это язык для написания клиентских частей интерпретатор может обращаться с запросами к приложений, одним из основных требований к главному. Здесь, очевидно, просматривается которым является мобильность, загруженная аналогия с разделением адресных пространств программа может обслуживать только операционной системы и пользовательских пользовательский интерфейс и осуществлять процессов и использованием последними сетевое взаимодействие с сервером. Программа не системных вызовов.

может работать с файлами хотя бы потому, что на Подобная модель уже около 30 лет является Java терминале их, возможно, не будет. Более стандартной для многопользовательских ОС.

содержательные действия должны производиться на серверной стороне или осуществляться программами, локальными для клиентской системы.

267 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet Разумеется, защита системы, на которой Глава 7: Защита WEB серверов функционирует Web сервер, должна следовать Наряду с обеспечением безопасности универсальным рекомендациям, главной из программной среды, важнейшим будет вопрос о которых является максимальное упрощение. Все разграничении доступа к объектам Web сервиса.

ненужные сервисы, файлы, устройства должны Для решения этого вопроса необходимо уяснить, быть удалены. Число пользователей, имеющих что является объектом, как идентифицируются прямой доступ к серверу, должно быть сведено к субъекты и какая модель управления минимуму, а их привилегии — упорядочены в доступом — принудительная или соответствии со служебными обязанностями.

произвольная — применяется.

Еще один общий принцип состоит в том, В Web серверах объектами доступа чтобы минимизировать объем информации о выступают универсальные локаторы ресурсов сервере, которую могут получить пользователи.

(URL — Uniform (Universal) Resource Locator). За Многие серверы в случае обращения по имени этими локаторами могут стоять различные каталога и отсутствия файла index.HTML в нем, сущности — HTML файлы, CGI процедуры и т.п.

выдают HTML вариант оглавления каталога. В этом оглавлении могут встретиться имена файлов Как правило, субъекты доступа с исходными текстами CGI процедур или с иной идентифицируются по IP адресам и/или именам конфиденциальной информацией. Такого рода компьютеров и областей управления.

дополнительные возможности целесообразно Кроме того, может использоваться отключать, поскольку лишнее знание парольная аутентификация пользователей или (злоумышленника) умножает печали (владельца более сложные схемы, основанные на сервера).

криптографических технологиях.

В большинстве Web серверов права Глава 8: Аутентификация в открытых разграничиваются с точностью до каталогов (директорий) с применением произвольного сетях управления доступом. Могут предоставляться Методы, применяемые в открытых сетях для права на чтение HTML файлов, выполнение подтверждения и проверки подлинности CGI процедур и т.д.

субъектов, должны быть устойчивы к пассивному Для раннего выявления попыток и активному прослушиванию сети. Суть их нелегального проникновения в Web сервер важен сводится к следующему.

регулярный анализ регистрационной информации.

269 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet Субъект демонстрирует знание секретного Единственное реальное достоинство — это ключа, при этом ключ либо вообще не передается гарантированная пропускная способность по сети, либо передается в зашифрованном виде. выделенных линий, а вовсе не какая то повышенная защищенность. Впрочем, Субъект демонстрирует обладание современные оптоволоконные каналы способны программным или аппаратным средством удовлетворить потребности многих абонентов, генерации одноразовых паролей или средством, поэтому и указанное достоинство не всегда работающим в режиме запрос ответ. Нетрудно облечено в реальную форму.

заметить, что перехват и последующее воспроизведение одноразового пароля или ответа Любопытно упомянуть, что в мирное время на запрос ничего не дает злоумышленнику. 95% трафика Министерства обороны США передается через сети общего пользования (в Субъект демонстрирует подлинность своего частности через Internet). В военное время эта местоположения, при этом используется система доля должна составлять лишь 70%. Можно навигационных спутников.

предположить, что Пентагон — не самая бедная организация. Американские военные полагаются Глава 9: Виртуальные частные сети на сети общего пользования потому, что развивать собственную инфраструктуру в условиях быстрых Одной из важнейших задач является защита технологических изменений — занятие очень потоков корпоративных данных, передаваемых по дорогое и бесперспективное, оправданное даже открытым сетям.

для критически важных национальных Открытые каналы могут быть организаций только в исключительных случаях.

надежно защищены лишь одним Представляется естественным возложить на методом — криптографическим.

межсетевой экран задачу шифрования и Отметим, что так называемые выделенные дешифрования корпоративного трафика на пути линии не обладают особыми преимуществами во внешнюю сеть и из нее. Чтобы такое перед линиями общего пользования в плане шифрование/дешифрование стало возможным, информационной безопасности. Выделенные должно произойти начальное распределение линии хотя бы частично будут располагаться в ключей. Современные криптографические неконтролируемой зоне, где их могут повредить технологии предлагают для этого целый ряд или осуществить к ним несанкционированное методов.

подключение.

После того как межсетевые экраны осуществили криптографическое закрытие 271 Как защитить и/или атаковать Intranet Как защитить и/или атаковать Intranet корпоративных потоков данных, территориальная Обслуживание и администрирование разнесенность сегментов сети проявляется лишь в клиентских рабочих мест — занятие чрезвычайно разной скорости обмена с разными сегментами. В сложное, дорогое и чреватое ошибками.

остальном вся сеть выглядит как единое целое, а Технология Intranet за счет простоты и от абонентов не требуется привлечение каких либо однородности архитектуры позволяет сделать дополнительных защитных средств. стоимость администрирования клиентского рабочего места практически нулевой. Важно и то, что замена и повторный ввод в эксплуатацию Глава 10: Простота и однородность клиентского компьютера могут быть осуществлены архитектуры очень быстро, поскольку это клиенты без состояния, у них нет ничего, что требовало бы Важнейшим аспектом информационной длительного восстановления или безопасности является управляемость системы.

конфигурирования.

Управляемость — это и поддержание высокой На стыке клиентской и серверной частей доступности системы за счет раннего выявления и Intranet системы находится Web сервер. Это ликвидации проблем, и возможность изменения позволяет иметь единый механизм регистрации аппаратной и программной конфигурации в пользователей и наделения их правами доступа с соответствии с изменившимися условиями или последующим централизованным потребностями, и оповещение о попытках администрированием. Взаимодействие с нарушения информационной безопасности многочисленными разнородными сервисами практически в реальном времени, и снижение оказывается скрытым не только от пользователей, числа ошибок администрирования, и многое, но и в значительной степени от системного многое другое.

администратора.

Наиболее остро проблема управляемости Задача обеспечения информационной встает на клиентских рабочих местах и на стыке безопасности в Intranet оказывается более простой, клиентской и серверной частей информационной чем в случае произвольных распределенных системы. Причина проста — клиентских мест систем, построенных в архитектуре клиент/сервер.

гораздо больше, чем серверных, они, как правило, Причина тому — однородность и простота разбросаны по значительно большей площади, их архитектуры Intranet. Если разработчики используют люди с разной квалификацией и прикладных систем сумеют в полной мере привычками.

воспользоваться этим преимуществом, то на программно техническом уровне им будет 273 Как защитить и/или атаковать Intranet Почта — защита и нападение достаточно нескольких недорогих и простых в Часть одиннадцатая освоении продуктов. Правда, к этому необходимо присовокупить продуманную политику Почта — защита и безопасности и целостный набор мер нападение процедурного уровня.

Глава 1: Как защитить свой электронный почтовый ящик Один из главных недостатков старейшего и наиболее известного инструмента Internet — электронной почты — возможность «перлюстрации». Системные администраторы, технический персонал узлов, наконец, пресловутые хакеры без особого труда могут читать ваши письма.

Правда, сегодня электронной почтой передается очень много сообщений, и вероятность того, что кто то случайно «вскроет» именно ваше, невелика. Но иногда информация бывает настолько конфиденциальной, что даже такой риск неприемлем. Более того, администрации узлов Internet технически несложно осуществить простой автоматический анализ проходящей почты и выделить те сообщения, которые содержат определенные слова, например «кокаин», «динамит» или, образно говоря, какой нибудь «славянский шкаф».

275 Почта — защита и нападение Почта — защита и нападение Однако существует способ обезопасить свою Лишь через несколько лет Филипп переписку, — правда, при этом у вас могут обнаружил описание той же самой схемы в возникнуть трения с законом. нескольких обзорных статьях и учебных материалах по криптографии. Его алгоритм В 1990 г. Филипп Циммерман, приводился в качестве домашнего упражнения на многоопытный эксперт консультант в области применение элементарных криптоаналитических программирования из университетского городка методов, без труда вскрывающих шифр.

Боулдер (шт. Колорадо), славящегося давними традициями свободомыслия, задумал и написал Этот отрезвляющий опыт позволил первую версию программы, своего рода «охранной Филиппу понять, насколько легко при разработке грамоты». Он назвал ее PGP — по первым буквам шифров, поддаться ложному чувству безопасности.

английской фразы Pretty Good Privacy. Не видя Большинство людей не представляют себе, что удачного русского эквивалента английскому слову создать алгоритм, выдерживающий длительный и privacy, вольно перевести эту фразу можно как настойчивый нажим располагающего «тайна останется тайной». Эта программа соответствующими инструментами распространяется бесплатно. Используя ее, можно специалиста, — очень трудная задача. Многие обмениваться информацией, не тревожась, что программисты, не обладавшие специальными кто то, даже государственные спецслужбы, знаниями в области криптографии, разрабатывали использующие мощнейшие суперкомпьютеры, наивные способы шифровки, зачастую повторяя сможет ее прочесть. друг друга. Эти алгоритмы затем включались в коммерческие шифровальные программы, которые Создание надежной криптографической за большие деньги покупались тысячами ничего не системы — занятие для профессионалов. Филипп подозревающих пользователей.

рассказывает: «Учась в университете (дело было в начале семидесятых), я придумал, по моему Компания AccessData за 185 долларов мнению, блестящий способ шифрования. К продает программу, вскрывающую зашифрованные последовательности текстовых кодов добавлялась встроенными в соответствующие программы несложная псевдослучайная последовательность алгоритмами файлы WordPerfect, Lotus 1 2 3, MS чисел — и шифровка готова. На первый взгляд, Excel, Symphony, Quattro Pro, Paradox и MS Word.

такой способ исключал всякую возможность Программа не просто угадывает пароль, а применить частотный анализ, а значит, оказывался выполняет настоящий криптоанализ. Иногда эту не по зубам даже наиболее могущественным программу покупают, забыв пароль к собственным государственным разведслужбам. Я, как индюк, файлам. Стражи порядка приобретают ее, чтобы надулся от гордости». читать конфискованные файлы.

277 Почта — защита и нападение Почта — защита и нападение Эрик Томпсон, написавший эту программу, «закрытая» одним ключом, «открывается» другим однажды признался, что разгадывание шифров (и никак иначе, если только у кого то в запасе нет занимает доли секунды, а остальное время нескольких тысяч лет). Поскольку, зная один программа просто симулирует работу, чтобы ключ, другой вычислить невозможно, можно (и пользователь часом не понял, насколько это нужно, если вы хотите вести тайную переписку) просто. Он рассказал также, что шифрованные сообщить один всем желающим. Пользуясь им, архивы, получаемые с помощью архиватора они с помощью программы PGP кодируют свои PKZIP, зачастую вскрываются столь же легко. письма, отправляемые вам.

В своей программе PGP Филипп Забавно, что, зашифровав письмо, сам автор Циммерман использовал открытые сравнительно уже не может расшифровать его — второй то, недавно революционные криптографические «открывающий» ключ у вас! Если любопытный алгоритмы. Вкратце суть их такова. Алгоритм недоросль или специалист в штатском перехватит использует не один, а два ключа, при этом оба отправленное вам письмо, то, даже зная они генерируются на основании действительно «закрывающий» ключ, о котором вы раструбили случайных данных. Для этого пользователю по всему свету, он ничего не сможет ни прочесть, предлагается в течение определенного времени ни изменить. Значит, вам и вашему произвольно нажимать клавиши, а затем корреспонденту нет нужды изобретать безопасный промежутки между нажатиями и коды введенных способ передачи самого ключа — любой способ в символов дополнительно обрабатываются для того, данном случае безопасен. Из за этой особенности чтобы усилить фактор произвольности. После того такие алгоритмы называют еще алгоритмами с как ключи изготовлены, послужившие им публичным, или открытым ключом.

«сырьем» случайные числа навсегда стираются.

Этот метод шифровки открывает и новые Процедура изготовления двух ключей такова, что возможности, например, посылка писем с нет (и самое важное — не может быть) никакого «электронной подписью». Дело в том, что текст в способа восстановить один по другому, кроме электронной форме теряет своеобразие примитивного перебора наудачу всех возможных рукописного и очень легко поддается изменениям, вариантов. Такой перебор даже на самых мощных что является огромным преимуществом, когда в современных компьютерах займет века — здесь и документ нужно внести исправления (нет нужды кроется изюминка алгоритма.

разбирать чужие каракули), но превращается в Ключи в паре равноправны. Каждый из них досадную помеху, если надо быть уверенным, что можно использовать как для шифрования, так и текст, который вы читаете, действительно написан для расшифровки, при этом информация, тем человеком, чье имя указано в конце, и 279 Почта — защита и нападение Почта — защита и нападение получен вами именно в том виде, в каком автор и для его использования необходимо ввести его отправил. Байты «не пахнут», и никаких фразу пароль, которую вы должны, однажды характерных росчерков в подписи «Ваш Евгений выбрав или придумав, помнить всегда. Но Онегин» вы не обнаружите. Вот в этом случае и лишившись одной степени защиты, можно выручает шифрование с публичным ключом: вы лишиться и второй. Не следует оставлять свои можете быть уверены, что автор письма — именно секретные ключи на том компьютере, где вы тот, кто его подписал. Можно выбрать и работаете, тем более если этот компьютер — узел облегченный способ — зашифровать своим Internet и поэтому подвержен атакам ключом не само сообщение, а определенным «взломщиков». Взломав его защиту, хакер может образом вычисляемую контрольную сумму их украсть (скопировать), а с помощью составляющих его символов, и результат «троянского коня» (программы, тайно «подклеить» в конце — получится как бы дублирующей и передающей по сети своему электронная печать вроде сургучной. «хозяину» вводимые с клавиатуры символы) узнать тайную фразу пароль, необходимую для работы с Сообщение, как обычное письмо, будет при вашими ключами. И тогда вы пропали, ведь этом читаться и без PGP, однако с помощью PGP теперь становится возможной подделка всех ваших вы, зная публичный ключ, сможете удостовериться предыдущих электронных подписей. Так что в авторстве.

лучше носите ключи с собой на дискете, а фразу Если вы хотите послать секретное письмо с запомните наизусть.

подписью, то сообщение (или его контрольную Дезавуировать старый ключ и объявить сумму) следует зашифровать двумя новый технически несложно, но для этого вы ключами — сначала вашим секретным, а потом должны каким то образом проведать, что старый публичным адресата. Адресат, получив письмо, стал известен не только вам, — а как вы это вскрывает его «зеркальным» образом — сначала узнаете?

своим секретным (это может сделать только он — секретность), а потом публичным вашим Основной опасностью, слабым местом (убеждаясь в авторстве — подпись). вообще всех систем с публичным ключом является не кража секретных ключей, а подделка Есть здесь, конечно, и подводные камни.

публичных. Поясню на примере. Предположим, Раскрытие тайны секретного ключа не так уж и вы хотите написать тайное послание Остапу вероятно, однако полностью сбрасывать со счетов Бендеру. Вы находите публичный ключ с его такую возможность не следует. В программе PGP именем и шифруете им письмо. Однако вы не реализована двойная защита — каждый секретный знаете, что на самом деле этот ключ создан и ключ, в свою очередь, тоже надежно зашифрован, 281 Почта — защита и нападение Почта — защита и нападение помещен на сервер не Остапом, а неким именно автора в том, что он как бы «вывез» из злоумышленником, который хочет Бендера страны написанную им программу, по меньшей подставить. Этот лиходей перехватывает ваше мере нелепо, эта нелепость грозит обернуться для письмо и, поскольку он настоящий создатель Филиппа несколькими годами тюремного ключа и, следовательно, у него есть и парный заключения. Пока же существует странное секретный, спокойно вскрывает его. Более того, положение дел, при котором одну и ту же он может написать вам и поддельный ответ. программу PGP можно получить по Internet с нескольких разных компьютеров, как Конечно, это не так просто — преступник американских, так и расположенных вне США, должен не только объявить самодельную отмычку однако при этом копирование ее с американской ключом Остапа, но и суметь перехватить ваше машины является контрабандой и должно письмо и подделать адрес Бендера на фальшивке, преследоваться по закону, в то время как которую он отправит вам от его имени. Это копирование, скажем, с итальянского узла непросто, но технически вполне возможно.

преступлением не является. Столь бессмысленная Поэтому в PGP предусмотрены ситуация лишний раз подчеркивает, насколько дополнительные средства, которые с большим или правительства опасаются отмены ограничений на меньшим успехом помогают избежать такого распространение криптографической защиты, с поворота событий.

одной стороны, и насколько у них нет никаких конструктивных идей о том, как именно следует контролировать это распространение, с другой.

Глава 2: Юридическая сторона ФБР не оставляет попыток добиться вопроса принятия законов, согласно которым PGP и подобные ей программы производители шифровального оборудования и представляют собой настолько мощное средство программ должны будут оставлять в своих защиты информации, что с его помощью любой продуктах специальные «лазейки», через которые может с успехом скрыть свои записи даже от сотрудники спецслужб — при наличии судебного всевидящего ока спецслужб.

ордера — могли бы шпионить за переговорами и перепиской.

В Америке уже давно принят закон, запрещающий экспорт из страны сильных средств Пока все такие попытки, после активных криптозащиты. Именно на основании этого закона протестов граждан, на той или иной стадии против Филиппа Циммермана начато судебное оканчивались неудачей. Четвертый пункт Указа преследование. Хотя в век Internet обвинять Президента РФ № 334 от 3 апреля 1995 г., в 283 Почта — защита и нападение Защищаем и атакуем Linux частности, обязывает «запретить деятельность Часть двенадцатая юридических и физических лиц, связанную с разработкой, производством, реализацией и Защищаем и атакуем Linux эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, Чем более безопасна ваша система, тем более предоставлением услуг в области шифрования навязчивой становится ваша система безопасности.

информации, без лицензий, выданных Вы должны решить, где находится баланс между Федеральным агентством правительственной связи удобством использования системы и необходимым и информации при Президенте Российской уровнем безопасности в вашей работе. Например, вы Федерации». Каков будет порядок выполнения могли бы требовать от всех удаленных положений этого Указа, еще предстоит уточнить.

пользователей вашей системы использовать модемы с запросом на дозвон (call back modem), чтобы ваша система дозванивалась к ним на их домашний телефон. Это более безопасно, но если кто нибудь захочет войти в вашу систему не из дома, то ему будет довольно трудно зарегистрироваться. Вы также можете установить вашу Linux систему без сети или связи с Internet, но это повлечет за собой невозможность Web серфинга.

Если у вас система средних или больших размеров, вам нужно установить «Политику Безопасности», которая определит, насколько сильной должна быть у вас система безопасности и какой должен быть аудит для ее проверки.

285 Защищаем и атакуем Linux Защищаем и атакуем Linux пользователя в вашей системе или еще какой либо Глава 1: Что именно вы пытаетесь системе, он может его использовать для получения защитить?

доступа к другим системам и другим счетам.

До того, как вы начнете настраивать Опасность обычно исходит от кого нибудь, безопасность вашей системы, вы должны имеющего желание получить неразрешенный определить, какому уровню угрозы вы должны доступ к вашей сети или компьютеру. Вы должны противостоять, какой уровень риска вы должны решить, кому вы доверяете доступ к вашей или не должны принимать, и насколько уязвима системе, и какую угрозу они могут представлять.

после этого будет ваша система. Вы должны Существует несколько типов взломщиков, проанализировать вашу систему, чтобы знать, что поэтому полезно помнить отличающие их вы защищаете, почему вы это защищаете, какую характеристики во время создания системы это имеет ценность, и кто несет ответственность за безопасности.

ваши данные и другие ценности.

Любопытный. Этому типу взломщика в Риск — это вероятность того, что взломщик основном интересно выведать, какого типа у вас может одержать победу в своих попытках получить система и что за данные вы используете.

доступ к вашему компьютеру. Сможет ли Злобный. Этот тип взломщика стремится взломщик читать или писать файлы, или либо «вырубить» вашу систему, либо обезобразить выполнять программы, которые могут нанести ваш Web узел, либо сделать другую пакость, ущерб? Может ли взломщик удалить критические отбирающую у вас время и деньги на данные? Помешать вам или вашей компании восстановление.

завершить очень важную работу? Не забудьте, что кто то, получив доступ к вашему счету (account), Высококлассный взломщик. Этот тип или вашей системе, может притвориться вами. взломщика пытается использовать вашу систему для получения популярности. Он может Кроме того, возникновение одного использовать взлом вашей хорошо защищенной небезопасного счета в вашей системе может системы для рекламы своих способностей.

подвергнуть риску всю вашу сеть. Имея единичного пользователя, которому позволено Конкурент. Этот тип взломщика регистрироваться в системе, используя rhosts файл, интересуется данными, которые вы имеете в или разрешено использовать небезопасный сервис, вашей системе. Это может быть кто то, кто такой как tftp, вы рискуете, поскольку взломщик думает, что вы имеете что то, что принесет ему может использовать это, чтобы «открыть ногой денежную либо какую нибудь другую прибыль.

вашу дверь». Как только взломщик заимел счет 287 Защищаем и атакуем Linux Защищаем и атакуем Linux Понятие уязвимость описывает, насколько кому разрешено инсталлировать программное хорошо защищен ваш компьютер от других в сети, обеспечение в системе;

а также возможность получения кем либо кто владеет данными, проводит неразрешенного доступа к вашей системе.

восстановление и, соответственно, использует Что будет, если кто то вломится в вашу систему.

систему? Конечно, важность домашнего Общепринятая политика безопасности пользователя с динамическим РРР соединением начинается с фразы:

отличается от того, кто имеет выход в Internet или «То, что не разрешено — запрещено» другую большую сеть через сеть своей компании.

Это значит, что до тех пор, пока вы не Сколько времени необходимо на разрешите доступ пользователю к определенному восстановление или воссоздание данных, которые сервису, этот пользователь не сможет использовать были утеряны? Изначально потраченное время этот сервис. Убедитесь, что политика работает, сейчас может сэкономить в десять раз больше зарегистрировавшись обычным пользователем, времени потом, когда вам будет нужно воссоздать поскольку реплики типа: «Ах, как я не люблю эти утерянные данные. Вы уже проверили вашу ограничения прав доступа, я просто сделаю все стратегию резервирования как администратор (root)» могут привести к (backup strategy), а позже проверяли данные на образованию очень очевидных «дыр» в системе целостность?

безопасности, и даже таких, с которыми еще не известно как бороться.

Глава 2: Политика безопасности Глава 3: Метод защиты вашего узла Создайте простую, общую политику для вашей системы, чтобы ваши пользователи могли Мы обсудим различные способы, с быстро ее понять и следовать ей. Это должно помощью которых вы можете обезопасить активы, сберечь данные, которые вы охраняете, а также которые вы тяжело нарабатывали: ваш локальный конфиденциальность пользователей. Есть компьютер, данные, пользователей, сеть и даже несколько вещей для дополнительного вашу репутацию. Что случится с вашей рассмотрения:

репутацией, если взломщик удалит данные кто должен иметь доступ к системе (Может некоторых ваших пользователей? Или обезобразит ли мой друг использовать мой счет?);

ваш web узел? Или обнародует проект корпоративного плана вашей компании на 289 Защищаем и атакуем Linux Защищаем и атакуем Linux следующий квартал? Если вы планируете поддержка хороших регистрационных записей и структуру сети, существует очень много факторов, обновление программ, в которых обнаружены которые вы должны принять во внимание, прежде «дыры» — вот некоторые из тех вещей, за чем добавить какой либо новый компьютер к выполнение которых отвечает локальных вашей сети. администратор безопасности. Хотя это абсолютно необходимо, это может стать пугающей задачей, Даже если вы имеете один коммутируемый когда ваша сеть становится больше.

РРР счет, или просто маленький узел, это не значит, что взломщик не заинтересуется вашей системой. Целью являются не только большие Глава 5: Безопасность вашей сети широкопрофильные сети, многие взломщики Безопасность сети также необходима как и просто хотят исследовать как можно больше сетей, безопасность локального сервера. В вашей независимо от их размера. К тому же, они могут единичной системе, распределенной использовать «дыры» в безопасности вашей сети вычислительной сети, Internet существуют сотни, для получения доступа к другим сетям или узлам, если не тысячи, компьютеров, соединенных в одну с которыми вы соединены.

сеть, и вы не можете быть уверены, что все они Взломщики имеют много времени для своих будут безопасны. Убедиться, что только делишек, и могут, не раздумывая над тем как вы авторизованным пользователям разрешено скрыли вашу систему, просто перепробовать все использовать ресурсы вашей сети, построение возможности в нее попасть. Существует также щитов (firewalls), использование надежной системы несколько причин, по которым взломщик может шифрования, отслеживание появления быть заинтересован в вашей системе.

жульничающих или небезопасных машин в сети — все это часть обязанностей администратора Глава 4: Безопасность сервера сетевой безопасности.

Вероятно область безопасности, в которой Глава 6: Безопасность через сконцентрировано максимум усилий, — это безопасность сервера. Обычно это подразумевает сокрытие постоянный контроль безопасности вашей Одним из типов безопасности, который собственной системы, и надежду, что все необходимо рассмотреть, является «безопасность остальные в вашей сети делают то же. Выбор через сокрытие». Это значит, что любые действия, хороших паролей, поддержка безопасности подобно изменению регистрационного имени из сервисов локальной сети вашего сервера, 291 Защищаем и атакуем Linux Защищаем и атакуем Linux root на toor, например, чтобы попытаться в офисе, вам может понадобиться, а может и нет, предотвратить вхождение кого нибудь в вашу обезопасить вашу машину на несколько часов или систему под root, являются лишь ложным пока вы вышли. В некоторых компаниях оставить чувством безопасности и могут привести к терминал незащищенным считается нежелательным последствиям. Многие непростительным проступком.

удостоверились, что любой атакующий систему взломщик очень быстро и легко пройдет через Глава 8: Запирание компьютера такие пустые меры безопасности. Просто то, что у вас небольшая сеть или относительно Многие современные компьютерные узкопрофильный узел, не означает, что взломщик корпуса содержат «замок». Обычно это гнездо на не захочет посмотреть, что вы имеете.

передней панели корпуса, вставив ключ в которое вы можете запереть либо отпереть компьютер.

Запирание корпуса может помочь предупредить Глава 7: Физическая безопасность воровство вашего ПК или вскрытие корпуса и Первым «уровнем» безопасности, который прямое манипулирование/воровство компонентов вы должны принять во внимание, является вашего ПК. Это также может иногда физическая безопасность систем вашего предотвратить загрузку кем либо компьютера со компьютера. Кто имеет прямой физический доступ своей дискеты или другого оборудования.

к вашей машине? Должен ли он/она его иметь?

Эти замки делают различные вещи в Можете ли вы защитить вашу машину от их зависимости от установленной материнской платы возможно вредного действия? Должны ли вы это и конструкции корпуса. На многих ПК они делать?

устроены так, что если замок заперт, то вы Степень физической безопасности, которая должны фактически сломать корпус, чтобы нужна в вашей системе, очень сильно зависит от попасть внутрь. На некоторых других они сделаны вашей ситуации и/или бюджета. так, что вы не сможете подключить новую клавиатуру и мышь. Посмотрите в инструкцию к Если вы домашний пользователь, вероятно вашей материнской плате или корпусу для более вам не нужна сильная защита (хотя вам может детальной информации. Это иногда может быть понадобиться защитить вашу машину от вредных очень полезным качеством, даже если замки детей или надоедливых родственников). Если вы в обычно очень низкого качества и легко могут быть лаборатории, то вам нужна уже значительно вскрыты взломщиком с помощью отмычек.

большая защита, но пользователям все еще будет нужна возможность работать на машинах. Если вы 293 Защищаем и атакуем Linux Защищаем и атакуем Linux Некоторые корпуса (по большей мере Многие x86 BIOS позволяют вам установить спарки (sparcs) и маки (macs)) имеют dongle на различные другие меры безопасности. Посмотрите задней стенке, и если вы через него пропустите в руководство по вашему BIOS или загляните в кабель, то взломщик будет вынужден либо его него во время очередного перезапуска.

отрезать, либо сломать корпус, чтобы попасть Некоторыми примерами являются: запрет загрузки внутрь. Использование вместе с этим висячего или с дискеты, а также назначение пароля некоторым комбинированного замка является хорошим пунктам BIOS.

средством устрашения для желающих своровать На Linux/Sparc ваш SPARC EEPROM может ваш компьютер.

быть установлен так, чтобы при запуске спрашивать пароль. Это должно задержать взломщика.

Глава 9: Безопасность BIOS Важно: Если у вас сервер и вы установили BIOS является самым нижним уровнем загрузочный пароль, то ваша машина не сможет программного обеспечения, которое без вмешательства загрузиться. Помните, что вы конфигурирует или управляет вашим х должны войти и ввести пароль после сбоев оборудованием. LILO и другие методы загрузки электропитания.

Linux обращаются к BIOS, чтобы узнать как загружать ваш компьютер. Другое оборудование, Глава 10: Безопасность стартового на котором можно запускать Linux, имеет подобное программное обеспечение (OpenFirmware загрузчика (boot loader) на маках (macs) и новых санах (suns), sun boot prom и другие). Вы можете использовать ваш BIOS для Различные загрузчики Linux также имеют предотвращения взломщиком перезапуска возможность установки стартового пароля.

компьютера и управления вашей Linux системой. Используя lilo, обратите внимание на свойства restricted и password. password позволит вам Многие BIOS ПК, работающих под установить стартовый пароль. restricted позволит Linux/x86, позволяют установить стартовый загружать систему до тех пор, пока не встретится пароль. Это не предоставляет полной безопасности установленная опция lilo: сообщение, подобное (BIOS может быть перезаписан или удален, если single.

кто нибудь заберется внутрь корпуса), но может быть хорошим сдерживающим фактором Помните, что когда вы устанавливаете все (например, это заберет время и оставит следы эти пароли — вы должны помнить их. Также взлома). помните, что все эти пароли задержат 295 Защищаем и атакуем Linux Защищаем и атакуем Linux определенного взломщика. Однако это может не Конечно, запирание вашей консоли помешать кое кому загрузиться с дискеты и помешает кое кому прямо нанести вред вашей примонтировать ваш корневой каталог. Если вы работе, однако не помешает перезагрузить вашу скомбинируете средства безопасности вместе с машину или каким либо другим образом возможностями стартового загрузчика, вы можете разрушить вашу работу. Оно также не предотвратить загрузку с дискеты в вашем BIOS, а предотвратит попыток доступа к вашей машине с также назначить пароль в BIOS. других машин в сети и последующих проблем.

Глава 11: xlock и vlock Глава 12: Определение нарушений физической безопасности Если вы время от времени покидаете ваше рабочее место, было бы неплохо иметь Первое, что сразу замечается, это то, что возможность «запереть» вашу консоль так, чтобы машина была перегружена. Поскольку Linux никакой злоумышленник не мог подсмотреть вашу надежная и стабильная система, то перегружаться работу. Есть две программы, которые решают эту она должна только когда вы ее выключаете для задачу: xlock и vlock.

обновления ОС, манипуляций с компонентами хlock — это замок X экрана. Скорее всего, ПК, или подобных случаях. Если ваша машина он включен во все Linux дистрибутивы, которые была перегружена без вас, включайте сигнал поддерживают Х. Чтобы узнать о нем и его опциях тревоги. Многие из способов, которыми ваша больше, посмотрите man страницы, но в общем вы защита может быть сломана, требуют от можете запустить xlock с любого xterm на вашей взломщика перегрузки или выключения атакуемой консоли, при этом он «запрет» дисплей и запросит машины.

пароль, если вы захотите продолжить работу.

Проверьте наличие следов взлома на vlock простая маленькая программа, которая корпусе и ближнем окружении. Хотя многие позволяет вам «запереть» некоторые или все взломщики скрывают за собой всякие следы виртуальные консоли вашей Linux системы. Вы присутствия, стирая системные журналы, все таки можете «запереть» только ту, на которой будет неплохо все осмотреть на предмет каких работаете, или их все. Если вы «запрете» только либо нарушений.

одну, кто то может войти и использовать консоль, Вот некоторые вещи, которые нужно он просто не сможет использовать вашу vty, пока проверить в ваших системных журналах:

вы не отопрете ее. vlock распространяется с Red Hat Linux, но ваш дистрибутив может отличаться.

297 Защищаем и атакуем Linux Защищаем и атакуем Linux Короткие или незаконченные системные Локальные пользователи также могут журналы. причинить достаточно вреда в вашей системе, даже (особенно) если они и являются теми, за Системные журналы содержат странные кого себя выдают. Предоставлять счета людям, временные метки.

которых вы не знаете или о которых не имеете Системные журналы содержат неверные контактной информации, является очень плохой права доступа или права собственности.

идеей.

Присутствуют записи перегрузки или Создание новых счетов перезапуска сервисов.

Вы должны быть уверены, что Отсутствуют системные журналы.

предоставляете пользователям счета с Точка входа или регистрация su со странного минимальными допусками, необходимыми для места.

выполняемых ими задач. Если вы даете счет вашему сыну (возраста 10 лет), то вы можете позволить ему доступ к текстовому процессору или Глава 13: Локальная безопасность графической программе, но не к удалению Следующим пунктом, рассматриваемым в данных, которые ему не принадлежат.

безопасности вашей системы, является защита от Существует несколько неписанных правил, атак со стороны локальных пользователей.

которых необходимо придерживаться при Получение доступа, как локальный предоставлении законного доступа к вашей Linux пользователь — это один из первых шагов, машине:

которые попытается сделать взломщик на пути к Предоставляйте минимальное количество получению счета администратора. При небрежной привилегий.

локальной безопасности он (взломщик) — может Отслеживайте когда/откуда происходит затем «перерегистрировать» свой счет с рядового регистрация или ведите журнал.

пользователя на администратора, используя различные ошибки (bugs) и неправильно Не забудьте удалить счет, если он больше не настроенные локальные сервисы. Если вы используется.

обеспечите достаточный уровень вашей локальной Большинство счетов локальных безопасности, то взломщик будет иметь еще один пользователей, которые используются для прорыва барьер для проникновения.

системы безопасности, являются счетами, которые не использовались месяцы, а то и годы. Поскольку 299 Защищаем и атакуем Linux Защищаем и атакуем Linux никто их не использует, они являются идеальным ли вы хотите удалить все файлы. (Это атакующим транспортом. происходит таким образом, что ваш shell сначала распознает i и передаст ее, как Безопасность администратора опцию для rm). Однако это не поможет для Наиболее искомым счетом на вашей rm команд без * в теле.

машине является счет суперпользователя — Регистрируйтесь как администратор только администратора (root). Этот счет имеет доступ ко для выполнения одиночных специфических всем ресурсам машины, который также может задач. Если вы вдруг поймаете себя на том, включать доступ к другим машинам в сети.

что вы пытаетесь выяснить как что то Помните, что вы должны использовать счет работает или как что то сделать, — сейчас же администратора только для очень ограниченного перерегистрируйтесь как обычный набора определенных задач, а в большинстве пользователь и не возвращайтесь к счету случаев должны регистрироваться как обычный администратора, пока вы действительно не пользователь. Работать все время как будете уверены, что нужно сделать администратор является очень плохой идеей.

администратору.

Несколько приемов, чтобы избежать Очень важными являются пути по умолчанию последствий из за путаницы в счетах, с которыми администратора. Путь по умолчанию, или вы работаете:

переменная окружения PATH, определяет то Когда выполняете некоторую комплексную место, где shell ищет программы.

команду, попытайтесь сначала запустить ее в Попытайтесь ограничить пути по умолчанию неразрушающем виде. администратора, насколько это возможно и никогда не используйте точку, обозначающую Особенно команды, содержащие заменители «текущий каталог», в ваших установках (wildmarks): например, вы собираетесь сделать PATH. Кроме этого, никогда не разрешайте rm foo*.bak, а вместо этого сначала сделайте ls запись в каталоги, прописанные в foo*.bak и убедитесь, что вы собираетесь переменной PATH, поскольку это может удалить действительно то, что думаете. Также позволить взломщику модифицировать помогает использование подтверждений при существующие или записать новые выполнении таких команд.

программы в этих каталогах, разрешив им Некоторые находят полезным делать таким образом запустить эту программу touch / i в их системах. Это заставит команды администратору в тот момент, когда типа rm rf * спрашивать вас, действительно 301 Защищаем и атакуем Linux Защищаем и атакуем Linux ему понадобится выполнить данную вашей машине, существует несколько программу. инструментов, которые могут помочь. Sudo позволяет пользователям использовать их пароли Никогда не используйте набор утилит для получения доступа к ограниченному набору rlogin/rsh/rexec (называемых r утилитами) команд администратора. Это позволит вам, будучи администратором. Они являются например, разрешить пользователям менять и предметом интереса многих типов монтировать сменные диски в вашей системе, но взломщиков и являются прямой опасностью не даст других привилегий. Sudo также ведет при запуске администратором.

журнал всех удачных и неудачных запусков, Никогда не создавайте файл.rhosts будучи позволяя вам отслеживать кто и для чего администратором.

использовал эту команду. Поэтому sudo работает Файл /etc/securetty содержит список хорошо даже в тех местах, где несколько человек терминалов, с которых может имеют права администратора, — используя зарегистрироваться администратор. По возможности sudo, вы можете отследить, какие умолчанию (в RedHat Linux) все установлено были сделаны изменения.

только на локальные виртуальные консол Хотя sudo может использоваться для (vtys). Будьте очень осторожны, добавляя предоставления определенным пользователям что либо еще в этот файл. Вы можете определенных привилегий для специфических зарегистрироваться удаленно как обычный задач, эта утилита имеет несколько недостатков.

пользователь, а затем использовать su, Она должна использоваться только для если вам действительно это нужно (полезн ограниченного набора задач, подобных через ssh или другой зашифрованный канал), перезагрузке сервера, или добавления новых таким образом нет необходимости прямо пользователей. Любая программа, которая егистрироваться как администратор.

предоставляет возможность выхода из shell, дает Никогда не спешите и обдумывайте каждый пользователю права администратора. Например, шаг, работая администратором. Ваши это свойственно многим редакторам. Также такие действия могут затронуть многие безобидные программы, как /bin/cat могут вещи. Думайте, прежде чем что либо использоваться для перезаписи файлов, которые выполнить.

могут позволить эксплуатировать счет Если вам абсолютно положительно администратора. Рассматривайте sudo как средство необходимо разрешить кому либо (обычно очень учета, и не ожидайте, что заменив им доверенному) иметь доступ как администратор к суперпользователя, вы будете в безопасности.

303 Защищаем и атакуем Linux Защищаем и атакуем Linux Установите лимит использования файловой Глава 14: Безопасность файлов и системы вместо разрешения неограниченного файловой системы использования, что установлено по умолчанию.

Вы можете контролировать лимиты каждого Несколько минут подготовки и пользователя, используя специальный модуль планирования, прежде чем открыть вашу систему лимитов ресурсов PAM и /etc/pam.d/limits.conf.

Internet может помочь защитить как ее, так и Например, лимиты для группы users могут имеющиеся в ней данные.

выглядеть следующим образом:

Нет ни одной причины, по которой нужно @users hard core было бы разрешать запуск SUID/SGID программ из пользовательских домашних каталогов. Для тех @users hard nproc разделов, в которые разрешена запись не только @users hard rss администратору, в /etc/fstab поставьте опцию Это запрещает создание core файлов, nosuid. Вы также можете захотеть использовать ограничение количества процессов значением 50, nodev и noexec для домашних каталогов, а также и ограничение использования памяти 5МВ на /var, которые запретят выполнение программ и пользователя.

создание символьных и блочных устройств, которые и так никогда не нужны. Файлы /var/log/wtmp и /var/run/utmp содержат записи регистрации для всех Если вы экспортируете файловые системы, пользователей в вашей системе. Их накопление используя NFS, обязательно отконфигурируйте должно поддерживаться постоянно, поскольку их /etc/exports с максимально возможными можно использовать для определения, когда и ограничениями. Это означает: не использовать откуда пользователь (или потенциальный символы подстановки (wildcards);

не разрешать взломщик) вошел в вашу систему. Эти файлы запись администратору удаленной системы, а должны иметь маску прав доступа 644, чтобы не также монтирование с правами «только чтение», нарушать нормальной работы системы.

где только возможно.

Для предотвращения случайного удаления Настройте umask создания файлов для или перезаписи файлов, которые должны быть ваших пользователей, настолько ограничивающей, защищены, можно использовать иммунный бит.

насколько это возможно. Общеупотребительными Он также предотвращает создание кем бы то ни являются 022, 033, и наиболее ограничивающая было символьной связи на этот файл, что является 077, и добавьте все это к /etc/profile.

одним из методов атаки с целью удаления /etc/passwd или /etc/shadow.

305 Защищаем и атакуем Linux Защищаем и атакуем Linux SUID и SGID файлы в вашей системе правами на запись, поскольку они позволяют являются потенциальными носителями риска взломщику по желанию добавлять или удалять вашей безопасности, поэтому должны быть под файлы. Для обнаружения в вашей системе всех постоянным и тщательным наблюдением. файлов с разрешенными для всех правами записи, Поскольку эти программы предоставляют выполните следующую команду:

специальные привилегии пользователям, которые root# find / perm 2 print запускают их, необходимо убедиться, что и убедитесь, что вы действительно знаете, почему небезопасные программы не установлены.

в эти файлы разрешена запись. В условиях Любимым приемом кракеров является разработка нормальной работы только для некоторых файлов программ с SUID "root", и затем оставлять их в будет разрешена запись, включая некоторые из системе как «черный ход» для получения доступа в /dev и символьные ссылки.

следующий раз, даже если изначально Файлы без владельца также могут быть использованная «дыра» уже и будет закрыта.

индикатором внедрения в вашу систему Найдите все SUID/SGID программы в взломщика. Файлы без владельца или с таковым вашей системе и посмотрите, что они из себя без принадлежности к какой либо группе, можно представляют, таким образом вы будете знать, что обнаружить с помощью команды:

любое изменение в них является индикатором root# find / nouser o nogroup print возможного взлома. Чтобы найти все SUID/SGID Обнаружение файлов.rhosts должно быть программы в вашей системе, используйте вашей регулярной обязанностью как системного следующую команду:

администратора, поскольку эти файлы ни в коем root# find / type f \( perm 04000 o perm 02000 \) случае не должны быть в вашей системе. Помните, Вы можете дискриминативно убрать все взломщику нужен только один небезопасный счет SUID или SGID права для всех подозрительных для возможного получения доступа ко всей вашей программ используя chmod(1), а сети. Вы можете обнаружить все файлы.rhosts в затем поставить обратно, если вы будете вашей системе с помощью команды:

абсолютно уверены в необходимости этого.

root# find /home name.rhosts print Файлы с разрешенными для всех правами И наконец, перед тем, как изменить права записи, особенно системные файлы, могут быть доступа каких либо системных файлов, убедитесь, «дырой» в безопасности, если взломщик получит что вы понимаете, что делаете. Никогда не доступ к вашей системе и изменит их. Кроме того, изменяйте права доступа файла только потому, что опасны каталоги с разрешенными для всех это является простым способом заставить что то 307 Защищаем и атакуем Linux Защищаем и атакуем Linux работать. Прежде чем изменять, всегда использовать только 002. Это из за того, что определяйте, почему файл имеет именно такие настройки по умолчанию определяют одного права доступа. пользователя на группу.

Глава 15: Установки umask Глава 16: Права доступа файла Команду umask можно использовать для Важно убедиться, что ваши системные определения режима создания файлов в вашей файлы закрыты для случайного редактирования системе, принимаемого по умолчанию. Она пользователями и группами, которые не должны представляет битовое дополнение до желаемого выполнять таких действий.

значения режима файла. Если файлы создаются UNIX разделяет контроль доступа к файлам без какого либо специального набора прав и каталогам по трем принадлежностям: владелец, доступа, то можно случайно разрешить чтение или группа, все остальные. Существует всегда один запись тому, кто не должен иметь таких прав.

владелец, любое количество членов группы и еще Типично принятыми umask являются 022, 027 и все остальные.

077, которые наиболее ограничивающие.

Права доступа в unix:

Нормальным будет установить значение umask в Собственность. Какой пользователь(ли) и /etc/profile, так чтобы оно применялось ко всем группа(ы) удерживает контроль установок пользователям в системе. Например, вы можете прав вершины (node) и родителя вершины.

иметь строку, подобную следующей:

Права доступа. Назначаемые или # Значение umask по умолчанию для всех переназначаемые в битовом выражении пользователей umask установки, которые разрешают некоторый Убедитесь, что значение umask для тип доступа к собственности. Права доступа к администратора составляет 077, что запрещает каталогам могут иметь отличающиеся чтение, запись и выполнение для остальных значения от оных у файлов, содержащихся в пользователей, до тех пор, пока это не будет них.

изменено явно командой chmod(1).

Чтение:

Если вы используете RedHat и Возможность просмотра содержимого файла;

придерживаетесь их схемы создания ID пользователя и группы (собственная группа Возможность чтения каталога.

пользователя), то для значения umask необходимо 309 Защищаем и атакуем Linux Защищаем и атакуем Linux Запись:

Глава 18: SUID Attribute:

Возможность добавить или изменить файл;

(для файлов) Возможность удалять или перемещать файлы Описывает set user id права на файл. Если в каталоге.

права доступа set user id установлены в поле Выполнение:

«владелец» и файл исполняемый, то процесс, Возможность запуска программы или скрипта который запускает его, получает доступ к болочки (shell script);

системным ресурсам, основываясь на правах пользователя, который создал этот процесс. Во Возможность поиска в каталоге, в многих случаях это является причиной комбинации с правом чтения.

возникновения buffer overflow.

Глава 17: Save Text Attribute: (для Глава 19: SGID Attribute:

каталогов) (для файлов) sticky бит также имеет отличное значение, Если установлен в правах доступа «группы», применимое к каталогам. Если sticky бит этот бит контролирует set group id статус файла.

установлен для каталога, то пользователь может При этом он работает также как и SUID, только удалять только те файлы, владельцем которых он задействована при этом группа, а не отдельный является, или к которым ему явно заданы права пользователь.

записи, несмотря на то, что ему разрешена запись в этот каталог. Это сделано для каталогов, подобных /tmp, в которые разрешена запись всем, Глава 20: SGID Attribute:

но в которых не желательно разрешать любому (для каталогов) пользователю удалять файлы от нечего делать.

sticky бит видно как t в полном режиме Если вы установите SGID бит для каталога отображения содержимого каталога.

(командой chmod g+s directory), то файлы, (long listing).

содержащиеся в этом каталоге будут иметь установки группы такие, как у каталога.

311 Защищаем и атакуем Linux Защищаем и атакуем Linux ночь и посылку результатов вам по почте утром.

Глава 21: SUID Shell Scripts Что то наподобие этого:

SUID скрипты командного интерпретатора # установить получателя являются также риском безопасности, по этой MAILTO=kevin причине ядро не обслуживает их. Независимо от вашего мнения о том, насколько безопасным # запустить tripwire является скрипт, он может быть переделан для 15 05 * * * root /usr/local/adm/tcheck/tripwire выдачи взломщику оболочки администратора.

будет отсылать вам по почте отчет каждое утро в 5:15.

Глава 22: Проверка целостности с Tripwire может быть всевышним в обнаружении взломщиков еще до того, как вы помощью Tripwire заметите их. Как только в системе появится Другим хорошим способом обнаружить некоторое количество измененных файлов, вы локальные (а также сетевые) атаки на вашу должны понимать, что имеет место деятельность систему является использование тестеров взломщика, и знать, что делать вам самим.

целостности (integrity checkers), подобных Tripwire.

Tripwire вычисляет контрольные суммы для всех Глава 23: «Троянские кони» важных бинарных и конфигурационных файлов в вашей системе и сравнивает их с предыдущими, Термин «Троянский Конь» взят из великого хорошо известными, из базы данных. Таким творения Гомера. Идея состоит в том, что вы образом, любые изменения в файлах будут создаете программу, которая чем либо замечены.

привлекательна, и каким либо способом Хорошей идеей будет записать tripwire на заставляете других людей скачать ее и запустить дискету, а затем установить на нее защиту от как администратор. Затем, пока они не записи. Таким образом, взломщик не сможет разобрались, вы можете разрушить их систему.

подделать tripwire или изменить базу данных. Как Пока они думают, что программа, которую они только вы установили tripwire, будет неплохо только что вытянули, делает одну вещь (и может включить в свои обязанности администратора даже очень хорошо), она также разрушает их безопасности проверку с помощью него на систему безопасности.

предмет каких либо изменений.

Вы должны быть очень внимательны при Вы можете даже добавить в список задач установке новых программ на вашу машину. Red crontab запуск tripwire c вашей дискеты каждую 313 Защищаем и атакуем Linux Защищаем и атакуем Linux Hat предоставляет MD5 контрольные суммы и Шифрование очень полезно, возможно даже PGP ключи для RPM файлов, так что вы можете необходимо в это время и в этом месте.

проверить, действительно ли вы инсталлируете Существует большое количество разных методов реальные продукты. Другие дистрибутивы имеют шифрования данных, каждый из которых имеет подобные методы. Вы никогда не должны свой собственный набор характеристик.

запускать из под администратора бинарники, для Большинство Unix (и Linux не исключение) которых у вас нет исходников, или о которых вы в основном используют односторонний алгоритм ничего не слышали! Немногие взломщики имеют шифрования, называемый DES (стандарт желание выложить на всеобщее обозрение шифрования данных, Data Encription Standard), исходный код.

для шифрования ваших паролей. Эти Также может быть общим совет брать зашифрованные пароли затем сохраняются исходники некоторых программ с их реальных (обычно) в файле /etc/passwd или (реже) в дистрибутивных серверов. Если программу нужно /etc/shadow. Когда вы пытаетесь запускать из под администратора, проверьте зарегистрироваться, все, что вы набираете, снова исходный код сами или дайте на проверку тому, шифруется и сравнивается с содержимым файла, в кому вы доверяете. котором хранятся ваши пароли. Если они совпадают, должно быть это одинаковые пароли, и вам разрешают доступ. Хотя DES является Глава 24: Безопасность паролей и двусторонним (вы можете закодировать, а затем шифрование раскодировать сообщение, давая верный ключ), большинство Unix используют односторонний Одними из наиболее важных свойств вариант. Это значит, что невозможно на безопасности, используемых сегодня, являются основании содержания файла /etc/passwd (или пароли. Важно как вам, так и вашим /etc/shadow) провести расшифровку для получения пользователям иметь безопасные, не очевидные паролей.

пароли. Большинство из наиболее последних Атаки «методом грубой силы», такие как дистрибутивов Linux включают программу passwd, «Взлом» или «John the Ripper», могут часто угадать которая не позволит вам установить легко ваш пароль, если он не достаточно угадываемый пароль. Убедитесь, что ваша рандомизирован. PAM модули позволяют вам программа passwd современна и имеет это использовать различные программы шифрования свойство.

для ваших паролей (такие как MD5 или подобные).

315 Защищаем и атакуем Linux Защищаем и атакуем Linux США на экспорт — сильное шифрование Глава 25: PGP и криптование рассматривается как военное оружие и запрещено открытым ключом (Public Key к распространению в электронной форме за Cryptography) пределами страны.

Криптование открытым ключом, подобного SSL, S HTTP, HTTPS и S/MIME как для PGP, происходит таким образом, что Очень часто пользователи спрашивают о шифрование производится одним ключом, а различиях между различными протоколами расшифровка — другим. Традиционно в безопасности и шифрования, и как их криптографии как для шифрования так и для использовать.

расшифровки используется один ключ. Этот SSL или Secure Sockets Layer, является «личный ключ» (private key) должны знать обе методом шифрования разработанным стороны — передающая и получающая — а также Netscape для обеспечения безопасности в кто то, кто передаст его от одной стороны другой.

Сети. Он поддерживает несколько различных Криптование открытым ключом снимает протоколов шифрования, и обеспечивает необходимость секретно передавать ключ, который идентификацию (authentication) как на уровне используется для шифрования, использованием клиента так и на уровне сервера. SSL двух различных ключей: публичного ключа и работает на транспортном уровне, создает личного ключа. Публичный ключ каждого безопасный шифрованный канал данных, и, человека доступен любому другому для таким образом, может бесшовно шифровать выполнения шифрования, в то же время каждый данные многих типов. Наиболее часто это человек имеет его/ее личный ключ для случается, когда вы посещаете защищенный дешифрации сообщений, зашифрованных узел для просмотра в режиме online правильным публичным ключом.

секретного документа с помощью Есть преимущества как в использовании Communicator, который обеспечивает вас публичного (открытого) ключа, так и базовыми услугами безопасности связи, а криптографии личного ключа.

также многими другими видами шифрования данных.

PGP (Pretty Good Privacy) довольно хорошо поддерживается в Linux. Известно, что хорошо S HTTP является еще одним протоколом, работают версии 2.6.2 и 5.0. Убедитесь, что вы который реализует в Internet сервис используете версию, применимую в вашей стране, безопасности. Он был разработан для поскольку существуют ограничения правительства предоставления конфиденциальности, 317 Защищаем и атакуем Linux Защищаем и атакуем Linux опознавания, сохранности, а также реализации сетевого протокола называемую х non repudiability, в то же время имея ядро. В двух словах, х ядро является методом механизмы управления многими ключами и передачи сообщений на уровне ядра, что криптографические алгоритмы путем позволяет более простую реализацию.

выборочного согласования между Как и с другими формами криптографии, участниками в каждой транзакции.

этот метод не распространяется с ядром из за S HTTP ограничен специфическим ограничений на экспорт.

программным обеспечением, которое реализует его, и шифрует каждое Глава 27: SSH (Secure Shell), stelnet сообщение индивидуально.

S/MIME или Secure Multipurpose Internet SSH и stelnet — это программы, которые Mail Extension, является стандартом позволяют вам зарегистрироваться на удаленном шифрования, используемым в электронной сервере и иметь шифрованное соединение.

почте, или других типах сообщений в Internet.

SSH является набором программ, Это открытый стандарт, который разработан используемым как более безопасный заменитель RSA, и поэтому очень вероятно, что мы для rlogin, rsh и rcp. Он использует криптографию скоро увидим его в Linux.

открытого ключа для шифрования соединения между двумя машинами, а также для опознавания Глава 26: Реализация IPSEC в x ядре пользователей. Его можно использовать для безопасной регистрации на удаленном сервере или Linux копировании данных между двумя машинами, в то Наряду с CIPE и другими формами же время предотвращая атаки путем шифрования данных, существует также реализация присоединения посредине (session hijacking) и IPSEC для Linux. IPSEC создан усилиями IETF обманом сервера имен (DNS spoffing). Он для обеспечения криптографически безопасных предоставляет компрессию данных в вашем соединений на уровне IP сети, который также соединение и безопасное X11 соединение между предоставляет опознавание, сохранность, контроль двумя машинами.

доступа и конфиденциальность.

Вы также можете использовать SSH с вашей Реализация для Linux, которая была рабочей станции под Windows, обращаясь к разработана в Университете Аризоны, использует вашему Linux SSH серверу.

объектно ориентированную структуру для SSLeay является бесплатной реализацией 319 Защищаем и атакуем Linux Защищаем и атакуем Linux протокола Secure Sockets Layer от Netscape и На лету активизировать теневые пароли состоит из нескольких приложений, таких как (shadow password).

Secure telnet, модуль для Apache, нескольких баз Разрешать определенным пользователям данных, а также нескольких алгоритмов, включая регистрироваться только в определенное DES, IDEA и Blowfish.

время и/или с определенного места.

Используя эту библиотеку, был создан За несколько часов установки и настройки secure telnet, который выполняет шифрование вашей системы вы можете предотвратить много через telnet соединение. В противовес атак еще до их возникновения. Например, SSH, stelnet использует SSL (Secure Sockets Layer) используйте PAM для запрещения широкого протокол, разработанный Netscape.

использования в системе файлов.rhosts в домашних каталогах пользователей добавлением этих строк к /etc/pam.d/login:

Глава 28: PAM — Pluggable # Authentication Modules # Запретить для пользователей rsh/rlogin/rexec Новые версии дистрибутива RedHat # распространяются с унифицированной схемой идентификации, называемой PAM. PAM позволяет login auth required pam_rhosts_auth.so no_rhosts вам налету изменять ваши методы идентификации, требования, инкапсулировать все ваши локальные Глава 29: Криптографическая методы идентификации без перекомпиляции IP инкапсуляция (CIPE) ваших программ.

Вот несколько вещей, которые вы можете Главной целью этого программного делать с PAM:

обеспечения является предоставление средств для безопасной (против подслушивания, включая Использовать не DES шифрование для ваших анализ траффика, и подставления поддельных паролей. (Делая их более устойчивыми к сообщений) связи между подсетями через взлому методом «грубой силы»).

небезопасные пакетные сети, такие как Internet.

Устанавливать лимиты на ресурсы для ваших CIPE шифрует данные на сетевом уровне.

пользователей, чтобы они не могли Шифруются пакеты, которые передаются между выполнить сервисную атаку (количество компьютерами в сети. Шифрующий код процессов, количество памяти, и т.п.).

321 Защищаем и атакуем Linux Защищаем и атакуем Linux помещается недалеко от драйвера, который Глава 30: Kerberos посылает и принимает пакеты.

Kerberos является идентификационной Это не схоже с SSH, который шифрует системой, разработанной по проекту Athena в данные по соединениям — на гнездовом уровне. В MIT. Во время регистрации пользователя, Kerberos этом случае шифруется логическое соединение идентифицирует его (используя пароль) и между программами, запущенными на разных предоставляет пользователю способ доказать его машинах.

идентичность другим серверам и компьютерам, CIPE можно также использовать при разбросанным в сети.

тунеллировании (tunnelling) для создания Эта идентификация затем используется Виртуальных Частных Сетей (Virtual Private Net программами, такими как rlogin, для разрешения works). Преимущество низкоуровневого пользователю регистрации на других компьютерах шифрования состоит в том, что оно позволяет без пароля (в месте.rhosts файла). Идентификация прозрачную работу между двумя сетями, также используется почтовой системой для того, соединенными в VPN, без каких либо изменений чтобы гарантировать, что почта доставлена в программном обеспечении.

правильному адресату, а также для гарантии того, IPSEC стандарты определяют набор что посылающий является тем, за кого себя протоколов, которые можно использовать (среди выдает.

прочих) для построения шифрованных VPN.

Общий эффект использования Kerberos и Однако, IPSEC является скорее тяжеловесным и других программ, которые поставляются вместе с сложным с большим количеством опций, ним, состоит в сущности в полном исключении реализация полного набора протоколов все еще какой либо возможности пользователям обмануть редко используется и некоторые вещи (такие как систему по поводу своей принадлежности. К управление ключами) еще не до конца решены.

сожалению, установка Kerberos довольно CIPE использует более простой подход, в котором трудоемкая, требующая модификации или замены многие вещи, которые можно параметризовать большого количества стандартных программ.

(такие, как выбор текущего алгоритма шифрования), устанавливаются единожды во время инсталляции. Это ограничивает гибкость, но Глава 31: Теневые пароли (Shadow позволяет более простую (и поэтому passwords) эффективную, простую в отладке) реализацию.

Теневые пароли означают сокрытие секретной информации о ваших шифрованных 323 Защищаем и атакуем Linux Защищаем и атакуем Linux паролях от обыкновенных пользователей. Обычно the Ripper». Конечно, они заберут много вашего эти шифрованные пароли находятся у вас в процессорного времени, но вы сможете с /etc/passwd и открыты всем для чтения. Таким уверенностью сказать, сможет ли взломщик с образом, на этот файл можно напустить помощью них получить ваши пароли, — сначала программу расшифровщик, чтобы попытаться себе, а затем и пользователям указать слабые определить значения паролей. Пакет shadow пароли. Заметьте, что взломщик для получения записывает информацию о паролях в файл passwd должен был бы сначала использовать /etc/shadow, который могут читать только другие дыры в системе, но это уже более широкий привилегированные пользователи. Для того, чтобы вопрос, чем вы можете подумать.

активизировать теневые пароли, вам необходимо убедиться, что все ваши утилиты, которым Глава 33: CFS и TCFS необходим доступ к паролям, скомпилированы с поддержкой теневых паролей. PAM, кстати, CFS — это метод шифрования всей позволяет вам просто подключить shadow модуль и файловой системы, который позволяет не требует перекомпиляции программ.

пользователям сохранять в ней зашифрованные файлы. Он использует NFS сервер, запущенный на локальной машине.

Глава 32: «Crack» и «John the Ripper» TCFS является улучшенным вариантом CFS, Если по какой либо причине ваша поскольку более интегрирован с файловой программа passwd не может отслеживать легко системой, и, таким образом, прозрачен для всех узнаваемые пароли, вы можете использовать пользователей, использующих зашифрованную взламывающую пароли программу, чтобы файловую систему.

убедиться в безопасности паролей ваших пользователей.

Глава 34: X11, SVGA и экранная Взламывающие пароли программы безопасность основаны на простой идее. Они перебирают каждое слово и его вариации из словаря. Они Очень важно для вас защитить ваш зашифровывают это слово и сравнивают его с графический экран, чтобы предотвратить вашим зашифрованным паролем. Если они взломщика от действий, подобных воровству совпадают, значит задача выполнена.

вашего пароля во время набора без вашего ведома, Существует целый ряд таких программ, чтению документов или информации, оставленной наиболее заметные из них это «Crack» and «John вами на экране или даже использованию дыр для 325 Защищаем и атакуем Linux Защищаем и атакуем Linux получения прав суперпользователя. Запуск Безопасным будет использовать xdm для удаленных Х приложений через сеть также может регистрации на вашей консоли, а затем быть чреват опасностями, давая возможность использовать ssh для перехода на удаленную взломщику перехватить ваше взаимодействие с машину, с которой вы хотите запустить X удаленным компьютером. программу.

Х имеет целый ряд механизмов контроля Программы, основанные на SVGAlib, доступа. Наиболее простой из них — обычно являются SUID root, для того чтобы иметь машинозависимый (host based). Вы можете доступ ко всем видео ресурсам вашего использовать xhost для определения тех машин, с компьютера. Это делает их очень опасными. Если которых разрешен доступ к вашему экрану. Но в они дают сбой, то обычно вам нужно общем, это не очень безопасный метод. Если кто перезагрузить компьютер, чтобы опять получить то имеет доступ к вашей машине, он может доступ к консоли. Убедитесь, что все SVGA выполнить: xhost + его машина и, таким образом, программы, которые вы запускаете, подлинны, и легко войти. Также, если вам нужно разрешить как минимум такие, которым вы доверяете. А доступ с ненадежной машины, любой может лучше — не запускайте их вообще.

подвергнуть риску ваш дисплей.

Проект GGI для Linux является попыткой Если для регистрации используется xdm (x решить несколько проблем с видео интерфейсом в display manager), вы получаете намного лучший Linux. GGI будет передавать небольшие куски метод доступа: видео кода в ядро Linux, и таким образом MIT MAGIC COOKIE 1. Генерируется 128 битный контролировать доступ к видео системе. Это cookie и сохраняется в вашем файле.Xauthorty. значит, что GGI будет способен восстановить вашу Если вы хотите удаленной машине разрешить консоль в любое время к известному рабочему доступ к вашему дисплею, то для предоставления состоянию. Он также позволит использовать ключ доступа именно этому соединению вы можете безопасности (secure attention key), так что вы использовать команду xauth и информацию из сможете быть уверены, что на вашей консоли нет вашего файла.Xauthority. ни одного запущенного «Троянского коня», пытающегося зарегистрироваться.

Вы можете также использовать ssh для разрешения безопасных Х соединений. Это имеет также преимущество, поскольку прозрачно Глава 35: Безопасность ядра конечному пользователю, и означает то, что не Поскольку ядро контролирует поведение зашифрованные данные не передаются по сети.

вашего компьютера в сети, очень важно, чтобы 327 Защищаем и атакуем Linux Защищаем и атакуем Linux ядро было само очень безопасно, и его нельзя ваша машина в сети, то вы можете теперь было каким либо образом взломать или ретранслировать данные из одной сети в другую, и подвергнуть риску. Чтобы предотвратить можете, таким образом, разрушить существующий некоторые из последних известных методов щит, поставленный именно для того, чтобы этого сетевых атак, вы должны использовать последние не происходило. Обыкновенным dial up стабильные версии ядра. пользователям лучше выключить это, а другим нужно сконцентрироваться на безопасной реализации этой опции. В компьютере щите эту Глава 36: Опции компиляции ядра опцию нужно активировать и использовать вместе с программным обеспечением, реализующим щит IP: Drop source routed frames (firewall).

Эта опция должна быть включена.

Вы можете включить либо выключить IP Пришедшие кадры (Source routed frames) содержат forwarding динамически, используя команду для полный путь их назначения внутри пакета. Это включения:

значит, что маршрутизатору, через который root# echo 1 > /proc/sys/net/ipv4/ip_forward проходят пакеты, не нужно их проверять, а просто и для выключения передавать их дальше. В противном случае это могло бы привести к тому, что входящие в вашу root# echo 0 > /proc/sys/net/ipv4/ip_forward систему данные имели бы потенциальную Этот файл (и много других файлов в /proc) возможность деструктивных действий.

всегда отображаются с нулевой длиной, но на самом деле это не так. Это новое свойство ядра, IP: Firewalling так что убедитесь, что ваше ядро имеет версию Эта опция необходима, если вы 2.0.33 или выше.

намереваетесь сконфигурировать вашу машину как щит (firewall), настроить маскарад (masquerading), IP: firewall packet logging или хотите защитить вашу станцию с Эта опция дает вам информацию о пакетах, коммутирующимися соединениями от кого либо, которые приходят на ваш щит, как то отправитель, желающего проникнуть через ваш PPP dial up получатель, порт и т.п.

интерфейс.

IP: always defragment IP: forwarding/gatewaying Обычно эта опция выключена, но если вы Если вы включили IP forwarding, ваша Linux создаете систему щит или настраиваете маскарад станция в сущности стала маршрутизатором. Если 329 Защищаем и атакуем Linux Защищаем и атакуем Linux (masquerading), вам желательно включить ее. Когда Устройства ядра данные посылаются с одной системы в другую, Существует несколько блочных и передача не всегда происходит одним пакетом, символьных устройств в Linux, которые также скорее всего данные фрагментированы на помогут вам в вопросах безопасности.

несколько частей. Проблема при этом состоит в Два устройства — /dev/random и /dev/uran том, что информация о номере порта сохраняется dom, предоставляются ядром для получения в только в первом фрагменте. Это означает, что кто любой момент времени случайных чисел.

то может вставить чужеродную информацию в И /dev/random и /dev/urandom должны быть оставшиеся фрагменты в вашем соединении, достаточно безопасны, чтобы использоваться в которая вообще там не предполагалась.

генераторах PGP ключей, SSH вызовах и других IP: syn cookies приложениях, в которых используются случайные числа. Взломщик не должен иметь возможности SYN атака генерирует «отказ в предугадать следующее число, выданное любой предоставлении сервиса», который поглощает все начальной последовательностью чисел из этих ресурсы вашей системы, что в результате приводит генераторов. Было приложено огромное к перезагрузке. Поэтому нет ни одной причины, количество усилий для обеспечения того, чтобы по которой эту опцию не нужно было бы числа, которые вы получаете от этих генераторов, включать.

были случайны в полном смысле слова Packet Signatures «случайный».

Эта опция доступна в ядрах серии 2.1, Разница состоит только в том, что /dev/ran которая активирует подпись NCP пакетов для dom оканчивается на случайном байте и это большей безопасности. Обычно вы можете заставляет вас больше ждать до полного оставить ее выключенной, но если она вам накопления. Заметьте, что в некоторых системах, понадобится, то она есть.

это может на длительное время заблокировать ввод при генерации в системе записи о новом IP: Firewall packet netlink device пользователе. Поэтому вы должны с Это действительно искусная опция, которая осторожностью использовать /dev/random.

позволяет вам проанализировать первые (Возможно, наилучшим будет использовать его, байтов в пакетах от пользовательских программ, и когда вы генерируете чувствительную к регистру определить, на основании их достоверности, информацию, и вы говорите пользователю принять или отклонить пакет.

331 Защищаем и атакуем Linux Защищаем и атакуем Linux постоянно стучать по клавишам, пока вы не все больше и больше из них поставляются с выдадите: «ОК, достаточно»). дистрибутивами Linux.

/dev/random является высококачественной энтропией, генерируемой из измерения времени Глава 38: Пакетные ищейки внутренних прерываний, или чего то в этом роде.

(Packet Sniffers) Он блокируется до тех пор, пока не Одним из наиболее общих методов, которые наберется достаточно бит случайных данных.

взломщики могут использовать для получения Работа /dev/urandom подобна, но когда доступа ко многим машинам в вашей сети, памяти под энтропию становиться мало, он является применение пакетного ищейки с уже возвращает криптографически надежные взломанных машин. Этот «ищейка» просто случайные данные (hash) того, что есть на момент слушает Ethernet порт на предмет наличия Pass останова. Это не настолько же безопасно, но word, Login или su в потоке пакетов и записывает в достаточно для большинства приложений.

журнал всю информацию, идущую следом. При Вы можете читать с этих устройств таком способе, взломщик получает пароли систем, используя что то наподобие:

которые он даже и не пробовал пока взламывать.

root# head c 6 /dev/urandom | uuencode Очень уязвимы к этому виду атаки не зашифрованные пароли, которые передаются Эта команда выдаст 6 случайных символов простым текстом.

на консоль — удобно для генерации пароля.

Пример: На компьютере А была взломана система безопасности. Взломщик инсталлировал Глава 37: Безопасность сети ищейку. Ищейка записал процесс регистрации администратора с компьютера В на компьютер Б.

Безопасность сети становиться все более и Таким образом, он получил персональный пароль более важной, поскольку люди все больше и системного администратора для регистрации на Б.

больше времени проводят в сети. Прорвать Затем, для решения своих задач администратор безопасность сети часто проще, нежели набирает su. Таким образом, взломщик получает физическую или локальную безопасность, и это администраторский пароль компьютера Б. Позже является намного более обыкновенным событием.

администратор разрешает кому то запустить telnet Существует большое количество хороших из его счета на компьютер Г в другой сети. Теперь инструментов для поддержки безопасности сети, и взломщик знает пароль/счет на компьютере Г.

333 Защищаем и атакуем Linux Защищаем и атакуем Linux В наше время для выполнения подобных Вы также можете удалить (или операций взломщику даже не нужно взламывать закомментрировать) соответствующие сервисы в какую либо систему, он может просто принести файле /etc/services. Это означает, что локальный ноутбук или ПК в здание и присоединиться к клиент также не сможет использовать эти сервисы вашей сети. (например, если вы удалите ftp, а затем попробуете сделать ftp связь с этой машины на удаленный Использование ssh или других методов компьютер, вы получите ошибку типа шифрования паролей срывает подобные атаки.

«неизвестный сервис»). Обычно не стоит удалять Для POP счетов мешают проведению таких атак сервисы, если это не приносит дополнительного пакеты подобные APOP. (Обычная pop повышения уровня безопасности. Если локальный регистрация беззащитна от подобных атак, пользователь хочет использовать ftp в том случае, поскольку, как и все остальное, пароли по сети когда вы его уже закомментировали, он может передаются открытым текстом.) создать своего собственного клиента, который будет использовать общий ftp порт и отлично Глава 39: Системные сервисы и работать.

tcp_wrappers Вот некоторые из сервисов, которые вам нужно оставить включенными:

Как только вы подключаете вашу Linux ftp систему к любой сети, вам сразу же нужно решить, какие сервисы предоставлять. Сервисы, telnet которые вы не будете предоставлять, должны быть mail, такие как pop 3 или imap выключены, чтобы у вас было меньше вещей, о identd которых вам нужно беспокоиться, и взломщику будет меньше мест для выискивания дыр. time Существует много способов выключить Если вы знаете, что вы не собираетесь сервисы в Linux. Вы можете посмотреть в файле использовать какие то пакеты, лучше их /etc/inetd.conf, какие сервисы у вас полностью удалить. В дистрибутиве RedHat предоставляются через inetd. Чтобы выключить полностью удаляет пакет команда rpm e. В Debian все, что вам не нужно, просто закомментируйте подобные вещи делает dpkg.

соответствующие строчки, а затем пошлите Дополнительно вам действительно лучше в вашему inetd SIGHUP.

файле /etc/inetd.conf выключить rsh/rlogin/rcp, включая login (используется rlogin), shell 335 Защищаем и атакуем Linux Защищаем и атакуем Linux (используется rcp) и exec (используется rsh). Эти Если вы являетесь домашним пользователем протоколы чрезвычайно небезопасны и часто были с коммутируемым доступом, то мы рекомендуем в прошлом причиной взломов. вам запретить доступ всем (deny ALL). tcpd также протоколирует все неудачные попытки доступа к Вы должны также проверить ваши сервисам, так что это позволят отследить /etc/rc.d/rcN.d, где N стартовые уровни вашей возможные атаки. Если вы добавляете новые системы, на предмет наличия сервисов в этих сервисы, вы обязательно должны каталогах, которые вам не нужны. Файлы в сконфигурировать их, чтобы использовать, /etc/rc.d/rcN.d фактически являются символьными основываясь на tcp_wrappers. Например, ссылками на файлы в каталоге /etc/rc.d/init.d.

обыкновенный dial up пользователь может Переименование файлов в каталоге init.d запретить доступ к своему компьютеру извне, и в выключит все символьные ссылки в то же время иметь возможность забирать почту и /etc/rc.d/rcN.d. Если вы хотите выключить сервис путешествовать в Internet.

только в определенном стартовом уровне, то переименуйте соответствующий файл, чтобы он Чтобы это сделать, вам нужно добавить к начинался с маленькой буквы s, а не с большой файлу /etc/hosts.allow:

как надо (скажем, S45dhcpd).

ALL: 127.

Если у вас rc файлы в стиле BSD, вам И конечно же /etc/hosts.deny должен нужно проверить /etc/rc* для обнаружения содержать:

ненужных программ.

ALL: ALL Большинство дистрибутивов Linux что запретит внешние соединения к вашей поставляется с tcp_wrapper, которые машине, позволяя тем не менее вам изнутри «заворачивают» все ваши tcp сервисы. tcp_wrapper соединяться с серверами в Internet.

Pages:     | 1 | 2 || 4 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.