Раздел: Документация
0 ... 74 75 76 77 78 79 80 ... 125 Что такое прозрачный ящик? Для описания системы, у которой заданы только входы и выходы, а внутреннее устройство неизвестно, обычно употребляется термин «черный ящик». В данном пакете принята другая философия - «прозрачный ящик» (crystal box). Вместо поставки скомпилированных компонентов, их исходный текст сделан общедоступным. Идея такого подхода состоит в том, что если код компонентов набора доступен — и пользователям, и хакерам (которые попытаются отыскать его слабые места), в нем легко находить ошибки, исправлять их и распространять исправления через Internet. Вместо того, чтобы ждать, пока производитель отреагирует на новую угрозу безопасности, поддерживающие пакет пользователи сумеют быстро доработать код или составить рекомендации по устранению проблемы и предоставить их для общего доступа. Например, при построении межсетевого экрана необходимо настроить его так, чтобы исключить риск прямого подключения к сетевым службам вашей сети любого узла из небезопасного окружения (например, из Internet). Доступ ко всем сетевым службам должен осуществляться с помощью простых приложений, а не больших программ, сложных для понимания, которые подвержены ошибкам. После настройки межсетевого экрана следует тщательно протестировать его, чтобы не сомневаться в том, что он работает так, как и ожидалось. Во втором компоненте, «практических рекомендациях по настройке», отмечается, что настройка межсетевого экрана должна быть выполнена в соответствии с архитектурой и политикой безопасности сети. В главе 4 уже рассматривались основные стратегии создания брандмауэра, такие как двухканальный узел, экранированный узел и экранированная подсеть. Также обсуждалась возможность формирования демилитаризованных зон, в которых можно размещать укрепленные компьютеры для функционирования сетевых служб, доступных из Internet. Прежде чем приступить к работе с программами из пакета FWTK, постарайтесь представить себе, какая из стратегий лучше всего подойдет для ваших нужд. В качестве примера здесь описана настройка службы FTP и применение программы netacl с целью обезопасить доступ к анонимному FTP. Пакет включает в себя следующие программы: О netacl - поддерживает списки доступа к Telnet, FTP и сети; О smap и smapcl - защищенная служба SMTP; О f tp-gw - proxy-сервер FTP; О tn-gw— proxy-сервер Telnet; О rlogin-gw- proxy-сервер Rlogin; О plug-gw - proxy-сервер общего назначения; О authd - служба, обеспечивающая «строгую аутентификацию»; О telnetd - сервер Telnet, позволяющий управлять брандмауэром; О login-sh - программа входа в систему с расширенными свойствами, поддерживающая аппаратные ключи, такие как смарт-карты; О syslogd - заменяет стандартный демон аудита. Оставшаяся часть настоящей главы посвящена подробному обсуждению наиболее полезных из этих компонентов. Программа netacl Программа netacl служит для управления доступом к сетевым службам и должна обеспечить большую безопасность некоторых из них. Так, с ее помощью нельзя запускать сервер Telnet на Ьратгдмау эре, разреши доступ тотллчъ "i, •слкде.-ленных узлов - например с рабочей станции сетевого администратора. Соответствующая настройка netacl позволяет запускать различные демоны Telnet для разных пользователей. Скажем, при использовании netacl администратором на брандмауэре можно запускать несколько других сетевых служб. Поскольку эта программа применяется для доступа к брандмауэру администратора, рассмотрим сначала ее, а затем перейдем к описанию входящих в пакет ргоху-серверов. Как и другие proxy-серверы пакета, программа netacl определяет доступность службы по IP-адресу или по имени узла клиента на основе записей в файле /usr/ local/etc/netperm-table. Чтобы понять работу netacl, посмотрим, каким образом обычно запускаются сетевые службы. В системах UNIX за запуск сетевых служб отвечает демон inetd, который настраивается с помощью редактирования файла /etc/inetd.conf. Этот файл содержит список служб и информацию, необходимую демону inetd для ее запуска. Поля строк файла настроек приведены в табл. 13.1. Демон inetd выполняется в качестве фюнового процесса и ожидает сетевых запросов (см. рис. 14.1). При запросе серверу посылается пакет, содержащий IP-адрес сервера и номер порта. Номер порта служит демону для определения запрашиваемой службы. Программа ищет имя службы, соответствующей номеру порта, в файле /etc/services, если находит его, то использует информацию из файла /etc/inetd.conf для проверки доступности службы на этом сервере и, если доступ к ней разрешен, запускает соответствующую программу для обслуживания запроса. Приведем в качестве примера фрагмент файла /etc/inetd. conf: /usr/etc/ln.ftpd In.ftpd /usr/etc/ln.telnetd In.telnetd /usr/etc/in.rshd in.rshd /usr/etc/ln.rloglnd in.rlogind /usr/etc/in.tftpd in.tftpd /usr/etc/in.fingerd in.fingerd # /etc/inetd.conf
# end Демон inetd получает запрос к сетевой службе от клиента. Соответствует ли номер порта записи в файле /etc/services? ЬНет- Нет доступа к службе Да t По имени службы в файле /etc/services поискать ее в файле /etc/inetd.conf. Есть ли соответствующая запись? Да г-Нет- Запуститьдля выполнения запроса к сетевой службе программу, указанную в файле /etc/inetd.conf. Вернуться в режим ожидания запроса к порту сетевой службы Рис. 14.1 Демон inetd ожидает запроса к сетевой службе и запускает программу, обслуживающую запрос Бт0™е™Ф°б»Ую»»Ф°Р"ацию о партах TCP и UDP вы найдете в разделе «Парты l СГ и ШР» главы 2. Список стандартных портов TCP и UDP имеется в приложении 1. Вы видите, что для работы стандартных сетевых служб, таких как FTP или Telnet, запускается соответствующая программа. Но доступ к ней никак не контролируется. Демон inetd просто выполняет то, что записано в строке данного файла. В нем нет механизма, который позволял бы определить, разрешено ли определенному узлу, осуществляющему запрос, использовать службу. Все сводится к обычной системной процедуре аутентификации, состоящей в проверке имени пользователя и пароля, записанных в файле /etc/passwd. Поскольку это не слишком безопасный метод аутентификации (достаточно сказать, что сервер telnet передает незашифрованные имена и пароли пользователей по сети), он не в состоянии обеспечить надежную защиту служб на брандмауэре. Программа netacl не поддерживает протокол UDP Программа netacl подходит только для служб, работающих с протоколом TCP. be нельзя использовать для служб на базе протокола UDP. Это связано с тем что проверить отправителя пакета UDP почти невозможно. Если вам требуются службы, основанные на UDP, применяйте TCP Wrapper. Усилить контроль доступа позволяет программа netacl. Чтобы обеспечить ее работу с сетевой службой, необходимо отредактировать файл /etc/inetd conf тогда для обслуживания запроса FTP вместо программы in. f tpd будет вызываться программа netacl, запускающая сервер. После этого строка для службы FTP в файле /etc/inetd.conf приобретет такой вид: ftp stream tcp nowait root /usr/local/etc/netacl in.ftpd 0 ... 74 75 76 77 78 79 80 ... 125
|
