Раздел: Документация

0 ... 78 79 80 81 82 83 84 ... 125

менее, хотя межсетевой экран и способен обезопасить вас от злоупотребления этими службами нарушителями извне, он не в состоянии предотвратить подобные действия со стороны внутренних пользователей. В принципе не следует применять службы удаленного доступа при большом числе пользователей и жестких требованиях к безопасности сети.

Сервер smap

В числе программ, которые многократно использовались для взлома из-за присутствующих в них ошибок, есть и пресловутая программа sendmail. Поскольку sendmail выполняется с правами root, ей удается получить доступ ко всей системе. Например, при переполнении буфера данных может быть перезаписано не только его содержимое, но и код самой программы. В этом случае результаты непредсказуемы - обычно программа аварийно завершает работу, как при атаке типа «отказ от обслуживания», но иногда хакеру удается подменить часть кода программы и получить доступ в систему с правами администратора.

Около десяти лет назад печально известный червь «Internet Worm» сумел с помощью sendmail скомпрометировать тысячи и тысячи систем за очень короткое время. Неоднократно предпринимались попытки исправить и обновить программу sendmail. Но из-за ее сложности и большого размера (более 20000 строк), трудно даже предположить, что эта программа вообще может быть безопасной. Еще одна причина, по которой sendmail (как и многие другие почтовые программы) становится источником проблем безопасности, состоит в том, что она обычно выполняется с правами системы. Поэтому с помощью обнаруженных ошибок можно проникнуть в систему, и предотвратить это не в состоянии обычная защита ресурсов.

Пакет FWTK содержит программы smap и smapd, способные сделать доставку электронной почты немного безопаснее. При работе с этими программами вам не придется перенастраивать почтовую программу или редактировать ее файлы конфигурации. Вместо этого вам нужно будет настроить smap и smapd так, чтобы трафик от внешнего почтового сервера к обычному почтовому серверу вашей сети шел через них.

Механизм работы этих двух программ очень прост. Клиентская программа smap запускается при старте системы и ожидает подключения к порту SMTP (обычно это порт 25, заданный в файле /etc/services). Когда демон smap получает почтовое сообщение, он не пытается передать его адресату, а записывает в специальный каталог. Сервер smapd периодически проверяет наличие новых файлов в этом каталоге и в случае обнаружения таковых вызывает настоящий почтовый сервер, такой как sendmail, который и доставляет сообщение адресату. После того, как сообщение будет передано почтовому серверу, smapd удаляет соответствующий файл из временного каталога.

Благодаря тому, что между внутренним и внешним SMTP-серверами находятся smap и smapd, эти серверы никогда не связываются напрямую. Хотя это уже

---

многократно повторялось, еще раз подчеркнем, что proxy-серверы не сумеют защитить вас от вирусов или других программ, которые могут быть посланы вам по электронной почте. Все, на что способны эти две программы, - это предотвратить злоупотребление sendmail (или другой почтовой программой), чтобы нельзя было воспользоваться ее слабостями и скомпрометировать вашу систему или сеть.

Ключевые слова, которые служат в файле netperm-table для настройки smap и smapd, представлены соответственно в табл. 14.6 и 14.7.

В отличие от других proxy-серверов из пакета, которые запускаются при запросе на установку соединения, эти две программы должны стартовать во время начальной загрузки системы. Обычно для этого нужно поместить соответствующую запись в файл /etc/гс . local, например:

/usr/local/etc/smap Таблица 14.6. Ключевые слова,

применяемые для настройки клиентской программы smap

. Ключевое слово Описание

directory каталог Каталог, в который перейдет smap прежде, чем начать обработку почты.

Таблица 14.7. Ключевые слова, применяемые для настройки proxy-сервера smapd

timeout секунд

groupid группа

В этот каталог токже будут записываться сообщения, передаваемые прогромме smapd

Группа, в которой будет роботать smap

Время в секундох, по истечении которого smap разорвет соединение

userid пользователь

при отсутствии активности

Идентификатор пользователя, под именем которого работает smap

Ключевое слово

bododmin пользователь

Если демон smapd не в состоянии доставить почту, он перешли. пользователю, заданному с помощью этого ключевого слово. В качестве имени пользователя может быть указано как его настоящее имя, так и псевдоним (alias)

При невозможности доставить почту демон smapd поместит ее в указанный каталог. Каталог должен находиться на том же устройстве, чта и каталог для временных файлов, заданный ключевым словом directory, и иметь того же владельца и те же права доступа

baddir каталог

directory каталог

executable программа

Каталог, в который перейдет smapd, прежде чем начать обработку почты. Из этого каталога программа будет получать сообщения

Обязательный параметр - имя самой программы smapd. Чтобы доставлять сообщения почтовому серверу, smapd будет повторно запускать сваю навую копию для каждого из сообщений

groupid группа maxchildren число

Группа, в которой будет работать smapd

Ограничивает число дочерних процессов, создаваемых smapd

---

Таблица 14.7. Ключевые слова, применяемые для настройки proxy-сервера smapd /окончание/

Ключевое слоноОписание5

sendmail программаУказывает путь к пачтовай программе почтового сервера локальной сети

wakeup секундВремя в секундах, на которое smapd приостанавливает свою работу

перед повторной проверкой каталога временных файлов на наличие новых сообщений. Если это значение не задано явно, оно равно 60 с

userid пользователь Идентификатор пользователя, пад именем которого работает smapd. Сервер smapd запускается таким же образом, как и все остальные proxy-серверы, если только у вас не слишком старая версия пакета

Укажите межсетевой экран в качестве почтового сервера в таблицах DNS

Не забудьте проверить таблицы DNS для своего домена, чтобы убедиться, что в них присутствует запись MX (mail exchanger - почтовый сервер); благодаря этой записи трафик SMTP будет направляться на межсетевой экран, на котором работает smap. Более подробную информацию о DNS вы найдете в главе 2.

Универсальный proxy-сервер plug-gw

Обеспечить работу других служб, proxy-серверы которых не входят в пакет (например, протокола передачи новостей NNTP - Network News Transport Protocol), может программа plug-gw. В отличие от других proxy-серверов из пакета, plug-gw не содержит встроенных команд для какой-то определенной службы. Например, proxy-сервер tn-gw позволяет пользователю с помощью команды connect подключаться к серверу в локальной сети после аутентификации на брандмауэре. Программа plug-gw всего лишь создает «канал», соединяющий внешний источник с внутренним, поддерживая работу протокола через межсетевой экран. Единственная защита, которую предлагает plug-gw, - предоставляемая любым proxy-сервером возможность блокирования непосредственной передачи 1Р-трафика через межсетевой экран. Кроме того, как и все proxy-серверы из пакета, plug-gw реализует аудит, что позволяет анализировать проходящий через межсетевой экран трафик. Осуществляя обмен данными на прикладном уровне, plug-gw просто соединяет между собой две стороны канала связи.

Для каждой из работающих с plug-gw служб создается отдельный фоновый процесс. Программа plug-gw может запускаться как из файла inetd.conf, так и из файла /etc/гс. local. Для запуска его демоном inetd нужно добавить в файл inetd. conf примерно такую строку:

nntp streamtcp nowaitroot /usr/local/etc/plug-gw plug-gw 119

В данном случае proxy-сервер используется для обслуживания запросов к серверу групп новостей. Заглянув в файл /etc/services, мы обнаружим, что 119

0 ... 78 79 80 81 82 83 84 ... 125