Раздел: Документация

0 ... 17 18 19 20 21 22 23 ... 169

успешной. Один из путей сделать это — сразу после попытки применения эксплоита посмотреть, нет ли соединений удаленной системы с вашей. Если имеет место успешный вход из удаленной системы, то попытка применения эксплоита оказалась удачной.

Другой признак — появление новых пользователей типа «moof>, «rewt>, «сгакО» или «wOrm» в файле /etc/passwd. Эти пользователи (с UID=0) добавляются многими распространенными сценариями-экс-плоитами. Как только черная шляпа получила доступ к вашей системе, первая вещь, которую она обычно делает, — это очистка регистрационных журналов и установкаподсистемы регистрации (см. «Они получают права root»).

С этого момента вы не сможете получать регистрационную информацию от вашей системы, так как все уже скомпрометировано. Что делать дальше, является темой отдельной статьи. А тем временем я рекомендуювамизучитьдокумент http://www.cert.org/nav/recovering.html.

Чтобы облегчить себе процесс поиска аномалий в регистрационных журналах, я написал специальный сценарий (см. ниже), который осуществляет проверку журналов. Дополнительную информацию по разбору и сортировке журналов можно получить из письма, опубликованного Маркусом Ранумом.

Korn shell script

Заключение

Регистрационные журналы вашей системы могут очень много

рассказать о вашем противнике. Однако первым шагом должно стать обеспечение их целостности. Одним из лучших решений этой проблемы является организация выделенногособирающего регистрационную информацию со всех систем. После как журналы защищены, вы можете использовать их для поиска в них характерных последовательностей. На базе этой информации вы сможете определить, какие цели преследует черная шляпа и, возможно, какими средствами она пользуется.

Полученные сведения помогут вам наилучшим образом организовать защиту вашей системы.

62

---

Защита от взлома

Десять советов по защите серверов для Web-коммерции:

1. Следует ограничить число людей, имеющих удаленный доступ к управлению вашим Web-сервером, и тщательно следить за этим доступом. Дистанционное администрирование (как и доступ к корневому каталогу) — отличная лазейка для хакера.

2.Проверьте, правильно ли сконфигурированы списки доступа и вносятся ли в них каждодневные изменения, отражающие состояние деловой жизни компании (такие, например, как добавление новых пользователей и клиентов, удаление старых ).

3.Насколько возможно, отделите ваш коммерческий сервер от прочих услуг. Можно дополнительно укрепить сервер, отменив все необязательные функции приложений и операционных систем. Если вы не в состоянии этого сделать, следует всерьез подумать об использовании сторонних услуг (outsourcing).

4.Установите систему обнаружения вторжений, которая немедленно будет ставить в известность администратора сети обо всех проблемах, требующих устранения. Помните, что обнаружить хакера -это полдела; главная задача состоит в пресечении его деятельности.

5.Система должна реагировать на любые необычные события,

происходящие на серверах. Невозможно остановить злоумышленника, не зная, что он делает.

6.Неправильно написанные, сконфигурированные и установленные скрипты Perl и CGI (Common Gateway Interface) могут стать причиной возникновения «дыр» в системе защиты. Этими средствами надо пользоваться осторожно; все скрипты должны проверяться опытными специалистами.

7.Для обеспечения безопасности некоторых коммерческих серверов использования паролей недостаточно. Стоит обдумать возможность раздачи клиентам физических и электронных жетонов (они стоят примерно 50 дол. за штуку).

8.Следует обеспечивать и аутентификацию администраторов. Все большее распространение получают различные биометрические средства идентификации по голосу, отпечаткам пальцев и узору сетчатки (они стоят примерно по 300 дол. в расчете на одного пользователя).

9.При переводе денежных сумм (с использованием кредитных карточек или путем обращения к мэйнфрейму, где поддерживаются полномасштабные банковские операции) ваш узел обращается к дру-

63

---

гим сетям. При взаимодействии с критически важными системами следует применять такие средства обеспечения безопасности, как Secure Socket Layer, Secure Hypertext Transfer Protocol или Kerberos.

10. Подумайте, не стоит ли снабдить критически важные данные и соответствующие им системные файлы оболочками для обеспечения их целостности. Криптографические оболочки вокруг этих файлов позволят не допустить их модификации или внесения вредоносного кода.

Как работать соценивающей

надежность системы информационной безопасности

Выберите себе консультанта с хорошей репутацией.

Потребуйте, чтобы в группе велись подробные контрольные

журналы в течение всего срока работ.

Необходимо, чтобы группа оценки могла приостановить свою деятельность за несколько минут, если начнет происходить нечто нежелательное.

Группа должна выдать несколько различных отчетов, рассчитанных на технических специалистов, руководителей среднего звена и высшее руководство компаний.

Ознакомьтесь с результатами проверки и используйте их как руководство к действию.

Десять недорогих способов укрепления системы обеспечения внутренней безопасности

1.Стоит выяснить о нанимаемых на работу людях несколько больше, чем можно узнать из их резюме; особенно это касается таких

критически важных должностей, как системный администратор. Подумайте, не надо ли ввести систему психотестов, которые позволят выявить этические принципыих особенности.

2.Рассмотрите вопрос о снятии дисководов с пользовательских ПК. Это затруднит сотрудникам установку своего собственного программного обеспечения и компьютерных помешает им заражать систему вирусами и «выносить» из компании закрытую информацию. Такая мера позволит избежать и еще одной угрозы для информационной безопасности — диски, разбросанные на столе сотрудника, легко могут пропасть.

64

0 ... 17 18 19 20 21 22 23 ... 169