Раздел: Документация
0 ... 35 36 37 38 39 40 41 ... 125 : Пакеты обновлений и исправления Windows NT Последние пакеты обновлений (service packs) для Windows NT можно найти на сайте htip://www.microsoft, com, щелкнув по кнопке download на его начальной странице. Обнаруживаемые проблемы безопасности обычно немедленно устра-\ няются, поэтому нет нужды несколько месяцев ждать выхода нового пакета обновлений. Вместо этого лучше периодически проверять наличие новых исправлений (hotfixes) на следующем FTP-сайте: ftp://ftp, microsoft, com/bussys/ winnt/winnt-public/fixes/. Некоторые системы, например OpenVMS, способны загружаться и работать с компакт-диска. Размещение операционной системы на компакт-диске или в разделе, доступном только для чтения, не позволяет потенциальному хакеру изменить или испортить системные файлы. Некоторые популярные брандмауэры посредством этого метода повышают безопасность операционной системы и файлов важных приложений. Файлы, которые открываются для записи или обновления, лучше размещать в другом разделе. В некоторых системах важные данные находятся в другой системе. Например, многие системы UNIX допускают такую настройку, при которой демон syslogd посылает регистрационную информацию в другую систему. Рекомендуется также устанавливать на укрепленный компьютер лишь одну операционную систему. Любые файлы на диске являются потенциальной целью атаки хакера, когда ему удается проникнуть в систему. На укрепленном компьютере не должно быть не только файлов ненужных приложений, но и лишних файлов другой операционной системы. В системах UNIX следует работать с теневым (shadow) файлом паролей, если он входит в пакет установки. Эта дополнительная мера безопасности не позволяет нарушителю просто загрузить файл /etc/passwd и затем взломать пароли, если он располагает достаточным временем. В отличие от обычного файла паролей, теневой файл не является общедоступным для чтения. Имеет смысл также применить методы надежной аутентификации, такие как SecurelD или Skey. Использование механизма одноразовых паролей дает возможность значительно повысить безопасность. С помощью аппаратного ключа, например карточки SecurelD, которая допускает синхронизацию с компьютером, несанкционированное проникновение на укрепленный компьютер превращается в весьма сложную задачу. систему заново, чем пытаться оценить, нет ли в ней уязвимых мест. Проверьте наличие у производителя исправлений или обновлений для системы и остановитесь обязательно на версии, которая применяется- достаточно долго, чтобы быть уверенным в том, что в ней уже были обнаружены основные ошибки и слабые места. 118 УКРЕПЛЕННЫЙ ХОСТ-КОМПЬЮТЕР л .......t......„,.„,,.„ Удаление ненужных служб и приложений В системах UNIX фоновые процессы, обеспечивающие выполнение служб, называются демонами (daemons). Демоны способны выполнять множество задач, не все из которых нужны на укрепленном компьютере. Службы Windows NT также представляют собой фоновые процессы и нередко становятся угрозой при работе на укрепленном компьютере. Мы будем рассматривать эти типы систем отдельно, поскольку в них применяются различные методы управления фоновыми службами. Системы UNIX В системах UNIX демоны обычно запускаются одним из трех способов: О при помощи демона inetd; О из файлов загрузки; О в составе ядра. Демон inetd отвечает на сетевые запросы и использует информацию из файла настроек /etc/inetd.conf/ для запуска обслуживающего запрос сервера. Путем редактирования этого файла удается предотвратить запуск некоторых ненужных служб. Например, если вы будете работать с укрепленным компьютером только с локальной консоли, то удалите из файла настроек ссылки на службы FTP и Telnet. Запуск служб, настройка и содержимое файла inetd. conf описаны более подробно в разделе «Редактирование файла inetd. conf» главы 13. Вы можете закомментировать - или полностью удалить из файла inetd. conf -следующие службы: О r-службы. С такими утилитами, как г login, rep и г exec, удобно работать не только вам, но и хакерам. При условии, что им удастся изменить файлы hosts . equiv или . rhosts, они смогут делать с системой все, что угодно. Если вам необходимы г-службы, замените их службами ssh (Secure Shell -безопасная оболочка), которые выполняют практически те же функции, но обеспечивают шифрование и надежную аутентификацию; О FTP. Предусмотрите для этой службы proxy-сервер. Стандартные службы FTP и Telnet пересылают по сети незашифрованные пароли, которые легко перехватить. Обезопасить обмен файлами с брандмауэром по протоколу FTP можно с помощью TIS Internet Firewall Toolkit (FWTK); Более подробное описание FWTK см. в главе 14. О Telnet. Как и для FTP, пользуйтесь proxy-сервером, например из пакета FWTK; О uucp. Хотя сейчас программа Unix to Unix Copy Program (Программа копирования между системами UNIX, uucp) и не так широко распространена, как раньше, она еще иногда встречается. Эта утилита была написана на заре появления Internet и TCP/IP и не гарантирует надежной защиты при передаче информации. Функциональность uucp обеспечивается сейчас другими утилитами, более простыми в эксплуатации и безопасными; О finger. Стандартная утилита UNIX, сообщает сведения о пользователях сети. Но укрепленный компьютер должен выдавать как можно меньше информации. Если вам обязательно работать с f inger, замените стандартный исполняемый файл одной из его «безопасных» версий, доступных в Internet; О inetcl. Допускается удалить и сам демон inetd, поскольку многие коммерческие продукты реализуют его функции самостоятельно. Для замены г-служб попробуйте использовать SSH. См. приложение 2. Что такое Secure Shell? Secure Shell - это набор утилит, использующих протокол SSH и уменьшающих опасность работы со службами, аналогичными r-сервисами Berkeley. Для обеспечения безопасности применяется шифрование и строгая аутентификация. Последняя версия протокола - SSH2 - включает поддержку протокола безопасной передачи файлов (Secure File Transfer Protocol, SFTP) и алгоритмы с несколькими ключами. Более подробную информацию о Secure Shell вы найдете на сайтах www.ssh.ora и www.ssh.com/products/ssh. Если вам требуется одна из стандартных сетевых служб, например Telnet или FTP, или необходимо управлять удаленным узлом, то установите на укрепленном компьютере пакет TCP Wrappers или другой аналогичный ему. TCP Wrappers позволяет создавать относительно безопасные сеансы Telnet с помощью шлюза Telnet. В TCP Wrappers полезно включить строгую аутентификацию и регистрацию всех успешных и неудачных попыток доступа при помощи syslogd. Более подробную информацию о пакете TCP Wrappers и его настройке вы можете найти в главе 13. Просмотрите файл inetd. conf и найдите в нем все небезопасные службы или такие, в необходимости которых вы не уверены. Например, сложно найти оправдание присутствию на укрепленном компьютере демона talkd, предназначенного для общения пользователей по сети. В некоторых компаниях приняты 0 ... 35 36 37 38 39 40 41 ... 125
|