Раздел: Документация

0 ... 13 14 15 16 17 18 19 ... 125

Протокол Telnet

Telnet - это приложение для удаленного входа в систему с другого компьютера посредством интерфейса командной строки. Обычно Telnet работает поверх протокола TCP, что обеспечивает возможность установки надежного соединения. Так как большинство современных приложений для конечных пользователей обладают графическим интерфейсом, Telnet скорее нужен системным администраторам. Поскольку Telnet реализован на множестве различных операционных систем, с его помощью можно, например, войти в систему UNIX с компьютера, на котором установлена Windows NT. Но при этом вам придется на удаленной системе прибегнуть к командам UNIX. Telnet просто позволяет создать сеанс удаленной связи с другим компьютером, в котором вам придется использовать набор команд удаленного компьютера.

Сервер Telnet, как правило, использует обычный механизм аутентификации пользователей операционной системы. Это означает, что для удаленного входа в систему нужно знать имя и пароль пользователя в ней. Очевидно, что следует очень внимательно подходить к принятию решения о разрешении работы Telnet через брандмауэр. Каким бы надежным ни казался вам механизм аутентификации вашей системы, при подключении сети к Internet он может оказаться недостаточным, что сделает вашу систему потенциальной целью атаки практически из любой точки мира. Хакеры обычно умеют быстро взламывать простую схему аутентификации, основанную только на проверке имени пользователя и пароля, с помощью различных программ для подбора паролей.

Если вы собираетесь разрешить доступ в Telnet, обдумайте использование в качестве сервера укрепленного компьютера и усильте безопасность за счет введения proxy-сервера, в котором будет проверяться еще один пароль.

Укрепленные компьютеры и их конфигурация рассматриваются более по- дробно в главе 6.I

Протокол FTP

Еще один полезный сервис обеспечивается протоколом передачи файлов (File Transfer Protocol, FTP). Эта утилита позволяет передавать файлы между компьютерами. И она также является потенциально опасной, причем по нескольким причинам:

О при помощи FTP хакер в состоянии загружать в вашу систему вредоносные программы. Попав к вам в систему, «троянский конь» способен создать

Стандартные сервисы TCP/IP

Было создано большое число сервисов, работающих с набором протоколов TCP/ IP. Вы должны решить, какие из них вам нужно будет пропускать через межсетевой экран и в каком направлении.

---

новые «дыры безопасности» и даже скрыть свое присутствие от обычных системных утилит;

О если хакер уже проник в вашу систему, узнав пароль и имя пользователя, он может похитить доступные ему файлы. Защита данных в этом случае будет обеспечиваться только средствами операционной системы;

О довольно серьезные неприятностинередко доставляет просто загрузка больших файлов, пока они не займут все свободное дисковое пространство. Некоторые операционные системы аварийно завершают работу, когда заканчивается свободное место на системном диске. В любом случае не исключено, что очистка диска потребует от вас массы усилий. Некоторые службы, такие как анонимный FTP, допускают такую настройку, при которой загружаемые файлы сохраняются не на системном диске. Это предотвратит аварийное завершение работы системы при переполнении диска, однако сама служба анонимного FTP при этом прекратит работу.

Так же, как и Telnet, FTP обычно проверяет пароль и имя пользователя удаленной системы. Но в отличие от Telnet, применение которого требует знания хакером устройства системы, FTP не работает с системой команд операционной системы. Вместо этого употребляются стандартные команды FTP, такие как GET и PUT, и если вы сумели войти в систему при помощи FTP, вероятность того, что вам удастся сделать почти все, что угодно, достаточно велика.

С помощью анонимного FTP часто разрешается свободный доступ к специально предназначенному для этого серверу. При входе на подобный сервер используется имя пользователя anonymous. Паролем обычно бывает адрес электронной почты, чтобы сервер мог вести журнал посетителей сайта. Но это просто стандартный прием, и адреса не обязательно должны совпадать с записями в базе данных клиентов.

Протокол TFTP

Как и FTP, данная служба должна быть всегда отключена в брандмауэре. С помощью протокола Trivial FTP (Тривиальный FTP) обычно загружаются исправления или другие программы в сетевые устройства, такие как маршрутизаторы. В отличие от FTP, TFTP не требует задания имени пользователя или пароля! Отключите эту службу!

Протокол DNS

Система доменных имен (Domain Name System, DNS) создавалась для централизованного внесения изменений в таблицы соответствия доменных имен сетевым адресам, а также для автоматизации трансляции адресов. Вначале за поддержку файла Н05Т5,-содержавшего имена и адреса всех компьютеров в Internet, отвечала одна организация (SRI NIC в Stanford Research Institute). Администраторам приходилось сообщать в SRI NIC о внесенных изменениях, которые затем отражались в этом файле. Затем обновленную версию файла нужно было рассылать по всем компьютерам.

---

Одна из первых реализаций DNS была разработана в университете Berkeley для операционной системы BSD UNIX (версии 4.3). Поэтому можно часто услышать термин BIND (Berkeley Internet Name Domain - доменное имя Internet Berkeley) вместо DNS. Co временем в BIND было обнаружено множество уязвимых мест. Убедитесь, что на вашем компьютере установлена самая новая версия, и следите за сообщениями о появлении новых «дыр безопасности», чтобы служба DNS не стала «черным входом» в вашу сеть. Еще лучше реализовать собственный сервер DNS, и тогда сеть не будет подвергаться опасности, связанной с возможностью его обновления снаружи.

DNS использует иерархическую архитектуру, распределенную по множеству компьютеров Internet. В корневой сервер включена информация о доменах верхнего уровня (таких как .com, . edu и .gov), а каждый домен имеет собственный сервер DNS, отвечающий за имена и адреса компьютеров в домене. Когда клиентскому компьютеру нужно узнать IP-адрес другого устройства, он запрашивает сервер DNS. Если локальному серверу DNS известен ответ на запрос, он возвращает его клиентскому компьютеру. В противном случае запрос посылается вверх по цепочке DNS серверов до тех пор, пока не найдется DNS-сервер, способный сделать это.

В главе 6 описано несколько методов создания подобного устройства.

Самая верхняя запись в иерархии DNS называется корневым доменом (root domain) и обозначается точкой (.). Ниже находятся домены верхнего уровня, разделенные на две группы: географические и организационные. Географические домены служат для обозначения определенных стран. Например, домен . аи обозначает Австралию, а . uk - Великобританию. К организационным относятся следующие домены:

О сопл - коммерческие организации;

О edu - образовательные учреждения;

О gov - правительственные учреждения США;

О mil - военные организации США;

О int - международные организации;

О net - сетевые организации, такие как провайдеры Internet; О org - некоммерческие организации;

О агра - применяется для обратного поиска (имени по адресу).

Структура системы DNS похожа на перевернутое дерево (рис. 2.5). На вершине дерева находится корневой домен, под которым расположены организационные домены. Ниже домена com лежат отдельные коммерческие организации, каждая из которых имеет собственный домен, иногда, в свою очередь, содержащий домены более низкого уровня.

0 ... 13 14 15 16 17 18 19 ... 125