Раздел: Документация

0 ... 67 68 69 70 71 72 73 ... 125

Пакет TCP Wrappers

Этот набор программ был создан Вейтцем Венема для защиты сети университета Eindhoven University of Technology, в котором он тогда работал. Данные программы были предназначены для того, чтобы поместить в клиент-серверную модель сетевых сервисов TCP/IP еще один уровень для контроля доступа и регистрации.

TCP Wrappers использует демон tcpd, который запускается вместо настоящих сетевых служб, указанных в файле inetd. conf. В обычных условиях демон inetd ожидает входящие запросы на установку сетевого соединения. Он сопоставляет номеру порта запроса службу, заданную в файле /etc/services. Затем на основе имени службы и информации из файла inetd.conf демон inetd определяет нужный протокол и параметры запуска соответствующего демона.

Более подробную информацию о портах TCP и UDP см. в разделе «Порты TCP и UDP» главы 2.

Список стандартных портов TCP и UDP вы найдете в приложении I.

Проблема такого подхода заключается в том, что он не обеспечивает контроля доступа к службам. В некоторых из запускаемых служб, таких как FTP или Telnet, реализован собственный контроль доступа за счет проверки имени пользователя и пароля. Но этого недостаточно для того, чтобы полностью защитить систему или сеть, в которой она находится. Почему? Потому, что подобные утилиты, как и многие другие, передают имя пользователя и пароль в незашифрованном виде, и даже не слишком опытный хакер способен перехватить их. Кроме того, нельзя разрешить доступ только с определенных узлов, находящихся в вашей сети или известных вам.

Пакет TCP Wrappers дает вам такую возможность. К тому же он восполняет еще один недостаток демона inetd: TCP Wrappers регистрирует запросы к службам и имена узлов, с которых они поступают. Эта информация может оказаться неоценимой при попытке обнаружить наличие проникновения в сеть.

Для работы с TCP Wrappers необходимо вначале загрузить его исходный текст и скомпилировать его. Документация к пакету описывает компиляцию кода в наиболее популярных системах UNIX. После компиляции программы для настройки ее работы выполняется редактирование несколько файлов:

О inetd. conf - в данном файле вместо tcpd нужно подставить имя программы, которую демон inetd обычно вызывает для обработки запроса. Сама программа передается в качестве аргумента демону tcpd, отвечающему за проверку прав доступа, регистрацию запроса и запуск настоящего демона службы;

О hosts. allow - это нестандартный файл настроек UNIX. Его применяет только программа TCP Wrappers. В нем создается список правил, определяющих узлы, которым разрешен доступ к заданным службам. В эти правила можно включать имена узлов, доменов, а также IP-адреса и команды оболочки;

---

Демон syslogd и файл настройки syslogd.conf подробнее описаны в разделе «Применение утилиты syslog» главы 8.

TCP Wrappers - очень популярная утилита. Она даже включена в состав некоторых версий UNIX и многих версий Linux. Хотя сам по себе этот пакет не является полноценным межсетевым экраном, он послужит хорошим дополнительным средством защиты для любых компьютеров, предоставляющих сетевые службы.

TCP Wrappers загружается с сайта ftp://ftp.porcupine.org/pub/security/.

В главе 13 приведено более подробное описание данного продукта, показано, как редактировать файл inetd. conf и создавать правила в файлах hosts . allow и hosts.deny.

Пакет TIS Firewall Toolkit

Пакет Trusted Information Systems Internet Firewall Toolkit (Набор для создания брандмауэра компании Trusted Information Systems), который обычно называется просто FWTK, существует уже довольно давно. Образовавшаяся в результате слияния Trusted Information Systems (TIS) с Network Associates компания поставляет также брандмауэр Gauntlet. Последний первоначально разрабатывался в качестве коммерческой версии FWTK, но был значительно доработан, и сейчас большая часть его кода не совпадает с кодом FWTK.

Поскольку FWTK создавался для агентства DARPA, его код является открытым. Вы можете бесплатно загрузить его из Internet, предварительно приняв лицензионное соглашение. Для этого достаточно послать запрос в TIS по электронной почте. Через несколько минут вы автоматически получите ответное сообщение с именем временного каталога (доступного в течение 12 часов), из которого сумеете загрузить данное программное обеспечение по протоколу FTP.

Как и TCP Wrappers, FWTK доступен в виде исходного текста на языке С, поэтому его необходимо вначале скомпилировать. В отличие от пакета TCP Wrappers, который просто добавляет возможности регистрации и контроля доступа к уже существующим в системе службам, компоненты FWTK являются настоящими proxy-серверами. При правильной настройке эти proxy-серверы обеспечивают работу сетевых служб через межсетевой экран, не позволяя IP-пакетам напрямую перемещаться между защищенной локальной сетью и внешним миром.

О hosts . deny - в противоположность файлу host. allow, данный файл содержит правила, запрещающие доступ к службам для определенных узлов, доменов или IP-адресов.

Демон TCP Wrappers осуществляет регистрацию с помощью демона syslogd и записывает данные туда же, куда и демон sendmail. Для настройки работы демона syslogd отредактируйте файл syslogd.conf.

---

См. разделы «Применение укрепленного и беззащитного компьютеров» и «При- менение proxy-сервера» в главе 4, а также главы 6 и 7.j

Основными компонентами FWTK являются proxy-серверы для большинства популярных служб TCP/IP, в том числе:

О netacl - для Telnet, Finger и списков контроля доступа к сети; О smap и smapd - для защиты службы SMTP; О ftp -gw - для FTP; О tn -gw - для Telnet; О rlogin -gw - для Rlogin; О plug -gw - proxy-сервер общего назначения; О authd - для создания службы «строгой аутентификации»; О telnetd - сервер Telnet, который может служить для управления брандмауэром;

О login -sh - доработанная программа входа в систему, поддерживающая аутентификацию при помощи аппаратных ключей, таких как смарт-карты; О sys logd - замена соответствующего стандартного демона регистрации UNIX.

Компонент netacl обычно нужен для доступа к самому брандмауэру тогда как другие proxy-серверы, такие как tn -gw и ftp -gw, обеспечивают сквозной доступ - позволяют внешним пользователям обращаться к серверам во внутренней локальной сети и наоборот.

I В главе 14 более подробно рассказано о том, как работает этот пакет, и о на-I стройке входящих в него proxy-серверов для функционирования в системе UNIX.

Протокол SOCKS

SOCKS - это протокол, предназначенный для работы в среде клиент-сервер. Сервер SOCKS действует на брандмауэре в качестве proxy-сервера. Когда клиент защищенной снаружи локальной сети собирается подключиться к определенному серверу, он устанавливает прямое соединение, если это возможно. Если нет, он пытается подключиться к proxy-серверу SOCKS и, обмениваясь сообщениями, определенными в протоколе SOCKS, устанавливает proxy-соединение. После установки соединения клиент взаимодействует с сервером SOCKS при помощи протокола SOCKS. По отношению к серверу локальной сети сервер SOCKS выступает как клиент.

В настоящее время существует две версии протокола SOCKS. Версия 4 широко распространена и поддерживает только приложения, основанные на TCP. В описаннойв нескольких RFC версии 5 добавлена поддержка протокола UDP и аутентификации.

0 ... 67 68 69 70 71 72 73 ... 125