Раздел: Документация

0 ... 41 42 43 44 45 46 47 ... 125

НАРУШЕНИЕ ЗАЩИТЫ УКРЕПЛЕННОГО КОМПЬЮТЕРА 135

методы ведения log-файлов и мониторинга, такие как демон syslogd в UNIX и Event Viewer (Просмотр событий) в Windows NT. Кроме того, следует ввести процедуры, обеспечивающие частую проверку собранных данных и быстрое обнаружение любой подозрительной активности. Эти меры, важные для обеспечения безопасности всех систем в сети, имеют особое значение для укрепленного компьютера.

Выполнение proxy-сервера на укрепленном компьютере

Укрепленный компьютер часто используется для работы какого-либо proxy-сервера. Proxy-серверы могут обеспечивать функционирование стандартных утилит TCP/IP (таких как FTP и Telnet), относительно новых протоколов (например HTTP) или важных функций (скажем, электронной почты - протокол SMTP).

,.

! Proxy-серверы и шлюзы приложений описаны более подробно в главе 7.

I )

В этой главе мы обсуждали необходимость обеспечения максимальной защиты укрепленного компьютера и отмечали, что следует оставлять на нем только компоненты, необходимые для выполнения им своей функции. Эта функциональность определяется программами proxy-серверов. Если позволяют средства, лучше предусмотреть для каждого из важных proxy-серверов отдельный сервер, что позволит распределить нагрузку и, возможно, уменьшить время отклика.

При наличии нескольких компьютеров для одной службы можно также распределять нагрузку между несколькими серверами. Например, и Microsoft Proxy Server, и SQUID обеспечивают поддержку совместной работы нескольких proxy-серверов, позволяя тем самым выполнять обработку запросов при помощи распределенной иерархической сети серверов. В большой сети иерархия ргоху-серверов гарантирует большую эффективность обслуживания запросов, чем один сервер.

Применение нескольких серверов потребует дополнительных усилий при установке и обслуживании. Но если каждая система будет использоваться только для одного proxy-сервера, поддерживать ее будет немного проще. Еще одно преимущество такого подхода состоит в том, что при отказе одного сервера другие службы не будут затронуты. Если несколько серверов предназначено для одной службы, то при потере одного из них запросы клиентов будут по-прежнему обслуживаться.

Нарушение защиты укрепленного компьютера

Поскольку укрепленный компьютер находится ближе всего к Internet, вероятность проникновения нарушителя именно в него самая высокая. Вот почему мы посвятили целую главу обсуждению создания максимально защищенной системы. Задачу

---

хакера удается значительно осложнить, однако не существует метода, гарантирующего стопроцентное предотвращение всех типов атак, в частности из-за того, что постоянно появляются новые атаки.

При строгом аудите можно быстро обнаружить проникновение в систему. Но независимо от того, сколько времени на это потребуется, всегда остается риск, что будет слишком поздно, чтобы предотвратить разрушительные действия. Не исключено, что злоумышленник уже успел изменить системные файлы, или внедрить «троянского коня», или изменить файлы proxy-сервера. Поэтому нельзя просто поменять пароль и снова запустить сервер. Следует переустановить его я систему «с нуля» и убедиться, что укрепленный компьютер действительно соответствует своему названию.

Не поддавайтесь искушению просто восстановить систему укрепленного ком-wbTOTe-pawa-peaepBuouK.OTiviw.этот м.етод оиасиее,чем.сл:ашу&ка. «сн.уз\я> снадрж-ных носителей. Если защита укрепленного компьютера была нарушена, нельзя быть стопроцентно уверенным в том, что атака началась недавно. Например, если возник сбой в работе компьютера, то чем это вызвано - недавней загрузкой на него вредоносной программы или же срабатыванием «троянского коня», ожидавшего своего часа несколько месяцев?

Существует несколько утилит, таких как Trip Wire, которые помогут вам проконтролировать защиту укрепленного компьютера. Более подробную информацию о подобных программах вы можете найти в приложении 2.

При нарушении защиты укрепленного компьютера следует проверить также все другие компьютеры в демилитаризованной зоне. Если нарушитель проник на одну систему, полученная им в результате взлома информация послужит ему для дальнейшего проникновения в сеть. После нарушения защиты укрепленного компьютера необходимо просмотреть все взаимодействующие с ним узлы, такие как маршрутизаторы и шлюзы, чтобы убедиться в правильности вашей оценки размеров нанесенного ущерба.

Резюме

Настройка системы для использования в качестве укрепленного компьютера состоит в выполнении всех шагов, гарантирующих его надежную защиту от почти всех предполагаемых атак (и многих из тех, о которых вы не знаете). Для этого нужно задействовать все встроенные средства защиты ресурсов операционной системы и убедиться в правильности ее установки. В следующей главе мы рассмотрим работу proxy-серверов на укрепленных компьютерах.

---

-J

/

Шлюзы

ПРИЛОЖЕНИЙ

И PROXY-

СЕРВЕРЫ

Применение proxy-серверов

В отличие от пакетных фильтров, функционирующих на сетевом уровне и проверяющих заголовки IP- и других протоколов, proxy-серверы работают на прикладном уровне и служат для обеспечения различных сетевых служб. Proxy-сервер, через который должны проходить все сетевые пакеты определенного соединения, образует шлюз между клиентом и сервером. Поэтому для обозначения proxy-сервера часто употребляется термин шлюз приложения (application gateway). Кроме того, proxy-серверы не передают пакеты между внутренней и внешней сетями напрямую, как это делают пакетные фильтры. Proxy-сервер получает запрос от клиента и самостоятельно выполняет запрос к серверу от имени клиента. При этом исходные IP-пакеты от клиента не попадают к серверу. Proxy-сервер выступает в качестве посредника и обеспечивает взаимодействие двух сторон соединения.

Одно из основных отличий пакетного фильтра от proxy-сервера состоит в том, что proxy-сервер должен понимать логику работы приложения. Пакетный фильтр пропускает или отбрасывает пакеты на основе ограниченного объема информации из заголовка пакета. Proxy-сервер привязан к конкретному приложению и может разрешать или запрещать выполнение определенных функций службы, к которым пользователь желает получить доступ.

На рис. 7.1 показано блокирование proxy-сервером прямого IP-трафика между локальной сетью и Internet. Пользователь пытается загрузить Web-страницу из Internet. Поскольку его браузер настроен так, чтобы отправлять все HTTP-запросы через proxy-сервер, они никогда не будут посылаться Web-серверу напрямую.

Запрос поступит к proxy-серверу по подключенному к локальной сети адаптеру. Proxy-сервер не осуществляет маршрутизацию (или пересылку) IP-пакета с запросом заданному серверу в Internet. Вместо этого proxy-сервер, руководствуясь заданными администратором правилами, проверяет, разрешен ли запрос. Если да, то pror.y-сервер формулирует запрос страницы от своего имени, используя в качестве адреса отправителя адрес своего внешнего сетевого адаптера (подключенного к Internet). Принявший этот запрос Web-сервер в Internet считает proxy-сервер клиентом, запросившим страницу, и возвращает данные ему.

0 ... 41 42 43 44 45 46 47 ... 125