Кругова оборона Unix

Сінді Куллен, Linux RSP Web Site

Адміністратор мережі просто не в змозі надійно контролювати всю

мережу в архітектурі клієнт / сервер, що загрожує несанкціонованим доступом.

Непродумані дії ще більше посилюють цю небезпеку.

Зміст

Замкніть двері на ключ

Залишайтеся в команді

Набір інструментів для зломщика

Збереження миру


Неминучі попутники

Об'їзд супермагістралі


При поганій захисту електроннцю пошту зможе прочитати кожен

Запечатайте електронну пошту

Багато організацій у світі сьогоднішнього бізнесу перебудовують свою діяльність

відповідно до моделі клієнт / сервер, у тому числі управління важливої наукової,

фінансової та юридичної інформацією. Unix тут – одна з основних операційних

систем. У минулому обчислювальні потужності і дані розташовувалися на одній

системі і її закритість була гарантією безпеки даних. Проте в моделі

клієнт / сервер і операційна система, і додатки використовують при роботі

мережу. У цих системах безпеку мережних додатків безпосередньо пов'язана

з безпекою мережі і систем у цій мережі.

Замкніть двері на ключ

Вхід і пароль – це перша лінія оборони в системі Unix. У

файлі паролів перераховані всі користувачі з правом доступу до системи.

У більшості систем зашифрований пароль зберігається у файлі паролів, доступному

для читання. Перед-покладається, що розшифрувати пароль неможливо, але, тим

Проте, відкритість зашифрованого пароля робить систему вразливою; користувач

може задати пароль, зашифрувати його і порівняти зашифрований результат

з вмістом нового рядка файлу паролів.

Більшість останніх версій операційних систем Unix припускають можливість

використання прихованих файлів паролів. У них зашифрований пароль поміщається

з файлу паролів в файл, який доступний для читання лише для суперкористувача.

Така міра дуже ефективна.

Одноразовий код доступу та механізм пароль / відгук допомагають зробити пароль

ще більш невразливим, тому що паролі в цьому випадку дійсні тільки

на один сеанс. Якщо зломщик яким-небудь чином дізнався пароль, то ввійти

в систему він зможе тільки один раз. Прикладами подібних механізмів служать

Defender компанії Digital Pathways (Маунтейн-В'ю, шт. Каліфорнія), SecurID

компанії Security Dynamics (Кембридж, шт. Міннесота) і S / Key компанії Bellcore

(Піскатавей, шт. Нью-Джерсі).

У мережах з високим ступенем секретності, наприклад фінансових, вельми

ефективне використання одного з механізмів обмеження доступу. Пам'ятайте,

що за статистикою ФБР 85% зломів проводиться співробітниками.

Залишайтеся в команді

Команда finger в чужих руках здатна значно полегшити злом мережі.

У користувача є можливість виконати дану команду без входу в систему

і отримати інформацію про всіх користувачів мережі. Це небезпечно з багатьох

причин. Наприклад, отримавши за допомогою команди finger імена користувачів,

номери кімнат та номери телефонів, що містяться у файлі паролів (див. Рис.

1), зломщик може використовувати їх для реєстрації під ім'ям одного

з користувачів, а також для злому захисту системи в цілому.

Мережеві системи Unix піддаються найбільшому ризику через використання

віддалених команд (r-команди), таких як rsh, rcp і rlogin. Ці команди

дають користувачеві можливість з правом доступу до декількох систем встановити

довірчі відносини між цими системами. Причому користувач отримує

доступ до системи без подальшої ідентифікації і аутентифікації. Ці "довірчі"

відносини визначаються для користувачів у файлах. rhosts в домашніх каталогах

і для систем в конфігураційному файлі віддалених команд / etc / host.equiv

файл.

На жаль, багато виробників воліють випускати "дружні

для мережі "розробки з метою збільшення легкості їх використання.

Один зі способів – це включити символ (+) у файл / etc / host.equiv, що

дозволить будь-якій людині, що працює в локальній або глобальній мережі,

отримати доступ до системи в якості будь-якого користувача, навіть як

суперкористувача (адміністратора).

Взагалі, "довірчі" відносини між мережами не рекомендуються.

Проте багато організацій використовують їх, щоб спростити адміністрування

мережі. А при такому положенні справ важливо, щоб тільки невелику підмножину

систем знаходилося в "довірчих" відносинах один з одним.

Наприклад, вирішити подібний доступ тільки з сервера до клієнта, але не з

клієнта до сервера і дозволити читання файлу rhosts тільки його власнику.

Network File System (NFS) і Network Information Service (NIS) дозволяють

спростити доступ до файлів і адміністрування мережі. (NIS носила раніше

ім'я Yellow Pages, і багато команд відображають цей факт у своїх назвах:

ypwhich, ypcat і т. п.) NFS реалізує механізм, завдяки якому доступ

до файлів є прозорим для користувача незалежно від їх місця розташування.

Файли можуть розташовуватися як на локальному диску, так і на файловому сервері

локальної або глобальної мережі. Для правильної роботи NFS користувальницька

і системна інформація повинні бути узгоджені між використовуваними системами.

Узгодженість забезпечує NIS вигляді централізованого копіювання

файлів конфігурації та паролів на сервер NIS. Це дозволяє адміністратору

змінювати інформацію безпосередньо на NFS-сервері, причому зміни стають

доступні клієнтам NIS.

NFS внутрішньо вразлива, оскільки вона базується на висновках віддалених

процедур. Віддалені виклики процедур містять ідентифікаційну користувача

інформацію (UID), але не мають механізму визначення наявності обмежень

на використання ресурсів і того, що користувач дійсно є

тим, за кого себе видає. Таким чином, зацікавлена особа може написати

маскується під систему програму з тим, щоб монтувати файлові системи

або створювати, читати, модифікувати або видаляти файли безпосередньо.

Для призначення систем, що мають доступ до файлових систем на мережі, можна

використовувати команди exportfs і файл / etc / exports. Деякі виробники

випускають системи з експортом каталогу / AND / USR у зовнішній світ. А отже

бути, кожен користувач цієї мережі може з будь-якої точки монтувати такі

файлові системи. Взагалі, ніякі файлові системи не повинні експортуватися

у зовнішній світ і, скрізь, де тільки можливо, вони повинні експортуватися

тільки для читання. Безумовно, робочий каталог користувача необхідно

зробити доступним як для читання, так і для запису.

Команда exportfs без параметрів видає список експортованих файлів.

Команда showmount-a показує, які з експортованих файлів змонтовані

клієнтами.

Набір інструментів для зломщика

Привілеї суперкористувача для клієнта NIS повинні жорстко контролюватися.

Коли користувач входить в систему, NIS спочатку перевіряє локальний файл

паролів і потім файл паролів NIS. Зломщикові нічого не варто використовувати

цю можливість, щоб видати себе за легітимного користувача всередині NIS.

Локальний користувач з привілеями root, зможе додати

UID іншого користувача, щоб отримати його привілеї.

Наприклад, нижче наведено вміст NIS-пароля:

vip: encrypted passwd: 23456:

2002:Very Important Person:

/u/vip:/bin/ksh

Локальний root може додати ту ж або аналогічну інформацію

в локальний файл паролів:

vip:new encrypted passwd:

23456:2002: Very Important

Person:/u/vip:/bin/ksh

або

cdc:encrypted passwd:23456:2002

:fictitious information:/u/vip

:/bin/ksh

Зауважимо, що ідентифікатор користувача / ідентифікатор групи (23456)

та групової ID (2002) в цих рядках один і той же; саме він, а не вхідний

ідентифікатор (VIP або CDC), контролює доступ до файлів.

Локальний root може потім увійти як VIP або CDC і отримати

доступ до всіх файлів на / U / VIP / або може просто зареєструватися як

користувач через команду SU CDC. У суперкористувача з'являється можливість

створювати, читати, модифікувати або видаляти файли. Цей тип порушення

доступу особливо важко встановити, оскільки локальний суперкористувач

контролює файли реєстрації використання ресурсів і доступу до захищених

даними в системі. Замести всі сліди доступу – щодо просте завдання.

Клієнти і сервери NFS не здійснюють перевірку автентичності один одного.

Отже, клієнт може стати сервером за допомогою команди ypserve або

створити клієнта за допомогою команди ypbind. Клієнти NIS зв'язуються при

включенні з першим сервером. Помилковий сервер зазвичай і відповідає

першим. Сервер NFS дозволяє будь-якій системі стати клієнтом. Ці питання

безпеки дозволені в новій версії NIS, названої NIS +. Однак функції

безпеки NFS + частково не блокуються при взаємодії з NIS.

Тривіальний протокол передачі файлів (tftp) і протокол передачі файлів

(Ftp) застосовуються для переміщення файлів з однієї системи в іншу, а ftp

– Це фундаментальний ресурс Internet (див. "Об'їзд

супермагістралі "про додаткову інформацію щодо захисту вашої мережі

від доступу з Internet). Tftp особливо уразливий, оскільки дозволяє передачу

файлів без контролю прав доступу. Він найбільш часто використовується з Bootstrap

Protocol (BOOTP) для поширення конфігураційних файлів на бездискові

робочі станції, X-термінали і елементи мережі, наприклад на маршрутизатори.

Tftp слід дезактивувати, навіть коли в цьому немає явної необхідності.

Щоб обмежити область уразливості, встановіть tftp в каталог chroot.

Chroot дозволяє доступ тільки до файлів у цьому каталозі і підкаталогам.

Також обмежте використання tftp локальною мережею.

Щоб протестувати надійність захисту конфігурації tftp, виконайте

наступні команди:

# tftp <systemname>

tftp> get /etc/passwd test

tftp> quite

Перевірте, чи містить файл test реальний файл паролів для системного

імені. Якщо це так, то tftp не захищений.

Група Computer Emergency Response Team (CERT) виявила кілька

вразливих місць tftp. CERT була організована агентством DARPA для моніторингу

комп'ютерної безпеки і спроб подолання захисту. З ним можна зв'язатися

за адресою: cer@sei.cmu.edu.

Конфігурація ftp часто здійснюється некоректно. Ніхто не повинен входити

в систему як суперкористувач ftp. Якщо підтримується анонімний ftp,

то всі файли в каталозі ftp, включаючи сам каталог, повинні знаходитися в розпорядженні

суперкористувача (root). Якщо сконфигурирован анонімний ftp, то не створюйте

каталог, відкритий для читання і запису. Ці відкриті на запис каталоги

часто використовуються для нелегального розповсюдження програмного забезпечення,

а також для поширення вірусів.

Simple Mail Transfer Protocol (SMTP) став притчею во язицех з точки

зору уразливості. SMTP часто виконується як root (суперкористувач)

або bin (інший привілейований користувач), і в багатьох організаціях

SMTP – єдина служба, до якої є доступ з Internet. Це робить

sendmail вельми привабливою для виявлення вразливих місць системи.

Так, несанкціонований доступ до системи можна отримати за допомогою

команд wiz, debug і kill. Щоб виявити "чорний хід", введіть

команди:

# telnet – name> 25

wiz

debug

kill

exit

Якщо "чорного ходу" не існує, відповідь на кожне введення буде:

500 Command unrecognized.

Ще одна проблема – можливість замаскуватися за допомогою агента передачі

даних Unix sendmail під будь-якого користувача мережі. Mail виглядає як законний

користувач. Електронна пошта за протоколом SMTP надсилається відкритим текстом

і може бути перехоплена або зчитана з мережі. Тому не включайте ніяку

інформацію, яку не можна було б написати на звичайній поштовій картці.

Широке поширення отримали нині деякі системи електронної

пошти, що забезпечують секретність даних. Pretty Good Privacy (PGP) і Privacy

Enchanced Mail (PEM) – приклади безпечних версій електронної пошти (див.

"Запечатати електронну пошту"). Ці системи

забезпечують таємність вмісту повідомлення на всьому шляху від відправника

до адресата.

Стандартом Windows для Unix є X Window. Зазвичай його називають просто

X. Секретність інформації в X забезпечується кінцевим користувачем. Терміни

"Клієнт" і "сервер" у X часто взаємозамінні, а монітор,

відображає X, названий дисплейної станцією. Користувач може не забезпечити

достатній захист дисплейної станції. Доступом системи до дисплейної станції

управляє команда xhost, в той час як доступом користувача до дисплейної

станції управляє xauthorities. Доступ дозволяє здійснювати відображення

вікон або програм і моніторинг дисплейної станції. Наявний інструментарій

дозволяє відслідковувати введення в різні вікна і здійснювати віддалений введення

даних у відкриті вікна.

Коли активована xauthorities, то необхідний ключ Data Encryption Standard

(DES) для того, щоб користувач міг виводити зображення на дисплейних

станцію. Кожного разу при відкритті сеансу генерується новий ключ. Ключі

зберігаються в кореневому каталозі користувача у файлі. XAUTHORITY. Щоб інший

користувач зміг отримати доступ до дисплейної станції, ключ повинен бути

витягнутий з файлу. XAUTHORITY та додано до файлу. XAUTHORITY іншого користувача.

Те ж саме повинно бути зроблено для того ж користувача в іншій системі.

Наприклад, якщо користувач VIP користується дисплейної станцією MAPLE і

хоче відобразити програми із системи OAK в MAPLE, ключ повинен бути введений

у файл. XAUTHORITY в OAK. Використання та xhost, і xauthority необхідно

для забезпечення секретності в X. Користувач повинен бути досить грамотний

для забезпечення збереження інформації в X.

Збереження миру

Мережу під Unix може бути засекречена. Перший крок полягає в забезпеченні

жорсткого контролю за все доступу в мережу і системи. Потім слід забезпечити

всі вузли мережі за допомогою надійного конфігурування протоколів і додатків

і використовувати шифрування всіх даних, що проходять через незахищені мережі,

якою є найбільша у світі відкрита мережа Internet. LAN

Сінді Куллен – Старший системний інженер компанії Bell

Communications Research (Піскатавей, шт. Нью-Джерсі). З нею можна зв'язатися

через Internet за адресою: cdc@bellcore.com

$ finger username@systemname

Login name: username (messages off)

Directory:/u/username

On since Jun 23 10:11:57 on ttyq1

No Plan.

In real life: Actual Name

Shell:/bin/ksh

13 seconds Idle Time

$ finger @ systemname

Login

console

cdc

vip

Name

root-C. Cullen – group XXXXX

C. Cullen, 555-1212

very important person, guest of Cindy Cullen

TTY

console

p0

p5

Idle

12

9

When

Thu 03:36

Sat 05:34

Sun 12:25

Малюнок 1.

У цьому прикладі представлена частина висновку за виконання команди finger (зверніть

увагу на інформацію в поле імені). У листопаді 1988 року Роберт Т. Морріс-молодший,

в той час студент, що вивчає комп'ютерні технології в Корнельському університеті,

створив Morris Worm, самокопіюються і самораспространяющемуся програму,

яка буквально вразила Internet. У програмі використовувалася саме

команда finger.

Неминучі попутники

Об'їзд супермагістралі

Firewall – це механізм, що використовується для захисту мережі по всьому периметру.

Його найбільш популярне застосування – захист корпоративних мереж від несанкціонованого

доступу з Internet. Існують два основні підходи, які використовуються в firewalls.

Набір фільтрів firewall, як випливає з його назви, фільтрує або відсіває

непотрібні пакети, керуючись безліччю правил, названим списком контролю

доступу (access control list).

Firewall для сервера додатків або посередника – це програма. Такий

firewall фільтрує або визначає напрямок з'єднання для протоколів

telnet, SMTP, ftp і World Wide Web. Користувач повинен мати відповідне

програмне забезпечення клієнта і бути авторизований в firewall. Це дозволяє

контролювати доступ на рівні користувача і реєструвати трафік їх

мережі в мережу.

Сервери додатків і посередники забезпечують жорсткий контроль вхідних

і вихідних даних. Наприклад, функції ftp можуть обмежуватися тільки "puts"

або "gets" і кожна транзакція може бути зареєстрована.

При поганій захисту електроннцю пошту зможе прочитати кожен

Запечатайте електронну пошту

Pretty Good Privacy (PGP) може використовуватися для шифрування файлів

та електронної пошти, а також для підписання документів із засвідченою електронної

підписом. PGP використовує техніку шифрування відкритим ключем і секретним

ключем. При посилці зашифрованою електронної пошти, повідомлення необхідно

зашифрувати відкритим ключем одержувача, секретний ключ повинен бути посланий

одержувачам під захистом їхніх відкритих ключів. Таким чином, тільки легітимний

одержувач здатний розшифрувати повідомлення за допомогою свого особистого ключа.

Особистий ключ кожного користувача може бути використаний для підпису

документа. Відповідний відкритий ключ використовується для визначення автентичності

документа.

PGP розповсюджується безкоштовно для некомерційного використання, хоча

існують і комерційні версії. Він доступний для більшості систем під

Unix, DOS, Windows, OS / 2 і Macintosh. Експортні обмеження поширюються

на PGP. Однак сумісне з PGP програмне забезпечення доступне і за

межами Сполучених Штатів.

Privacy Enhanced Mail (PEM) – це стандарт шифрування електронної пошти,

розроблений групою інженерної підтримки Internet (IETF). PEM можна використовувати

для підписування і шифрування повідомлень електронної пошти. Підтримка PEM

доступна для додатків на ПК в системах Unix і Macintosh. PEM теж використовує

шифрування з відкритими ключами.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*