С самого своего рождения операционная система UNIX развивалась как система с открытой архитектурой, с интегрированными возможностями поддержки коммуникационных средств. Такие ее свойства порой доставляют сильную головную боль тем, кто хочет использовать UNIX в сетевых средах с чрезвычайно высокими требованиями к безопасности. Вы, наверное, слышали "страшные истории" о том, что некоторые разработчики диалектов UNIX поставляют свои продукты в изначально незащищенных конфигурациях с известными (или секретными) паролями для входа и активизированными анонимными службами.
Однако любая система UNIX может быть превращена во вполне защищенную. Это делается путем ужесточения требований к ее конфигурации, когда только реально требующиеся для работы сетевые компоненты оставляются активными. Начните с отключения всех сетевых служб. Затем постепенно включайте только абсолютно необходимые. Убедитесь, что для каждой службы запущен демон (daemon) самой последней версии (программа, выполняющая прослушивание сообщений этой службы), установите все последние пакеты обновлений, которые распространяет поставщик конкретного демона.
Укрепление сервера UNIX поднимает планку профессиональных знаний и количества усилий, которые злоумышленнику потребуется предпринять для взлома вашей сети. Это сильно охладит пыл любителей легких побед. Вместе тем анализ неудавшихся атак - тоже ценный материал, на котором можно многому научиться. Регистрировать как удачные, так и неудачные попытки взлома сервера позволяет большое число свободно распространяемых программ. Зафиксировав подозрительную сетевую активность, вы получаете шанс предотвратить вторжение в сеть со стороны потенциального взломщика. Что еще более важно - вы можете отследить (а иногда и идентифицировать) злоумышленника, который совершил атаку на сеть.
Придерживаясь следующих рекомендаций, вы значительно усилите безопасность наиболее часто используемых сетевых служб UNIX.
Первый шаг, который должен предпринять пользователь для защиты своих информационных ресурсов, состоит в применении подхода, который называют "методом наименьших привилегий". Суть его в том, что каждый пользователь получает лишь те права, которые ему безусловно необходимы для выполнения поставленной задачи. Простейший способ реализации этого метода - это создание бюджетов пользователей с минимальными правами и количеством вхождений в группы. Дополнительные права доступа к файлам и ресурсам пользователям следует предоставлять в соответствии со стандартной процедурой по формальному запросу, при этом они должны сообщить перечень решаемых задач, продолжительность работы над каждым проектом и имя его руководителя.
Не менее важным является введение практики подробного протоколирования и мониторинга событий. Большинство приобретаемых вами приложений UNIX способно фиксировать события с помощью системного процесса Syslog - главного средства протоколирования этой операционной системы. Содержимое журнальных файлов следует просматривать ежедневно (/var/adm/messages), при этом Syslog лучше сконфигурировать на перенаправление информации о высокоприоритетных событиях (типа crit, alert и emerg) на чей-либо пейджер. Кроме того, важные данные о неудачных попытках установления соединений содержит журнал работы утилиты TCP Wrappers.
Пароли - следующая область вашего внимания. Помимо использования надежных паролей (включения в них специальных символов, определения минимальной длины пароля и др.) рекомедуется регулярно проверять их устойчивость к взлому путем запуска программы Crack. Эта утилита позволяет отгадывать "слабые" пароли путем слепого перебора вариантов с помощью небольшого встроенного многоязыкового словаря. Для оценки надежности своих паролей программу следует испытать на собственном файле паролей /etc/passwd. Некоторые эксперты в области компьютерной безопасности могут не согласиться с такой методикой, но если эту операцию не проделаете вы, то это вполне может сделать кто-то другой. Тем пользователям, чей пароль был отгадан, предложите выбрать другой, более надежный.
Помимо тестирования паролей систему защиты требуется подвергать периодическому аудиту: она должна быть достаточно динамична, так как методы атак постоянно меняются. Время от времени пытайтесь взломать собственные серверы. Это "упражнение" имеет два полезных следствия: во-первых, вы влезете в "шкуру" взломщика и поймете его тактику, а во-вторых, идентифицируете потенциально слабые места в механизмах защиты.
Наконец, никакая стратегия защиты не будет полной без наличия плана восстановления сети в случае аварии. Как правило, злонамеренная атака на сеть компании нарушает функционирование информационной системы.
Telnet. Самым распространенным способом взлома защиты telnet является неавторизованный доступ, выполняемый методом слепого подбора пароля. Это чрезвычайно просто - написать сценарий, который будет периодически осуществлять попытки соединения по telnet с удаленным сервером с указанием каждый раз нового пароля. Защититься от такого нападения можно, если настроить демон telnet таким образом, чтобы он запрещал установление соединения на предопределенное время после заданного числа неудачных попыток. Идеальным вариантом было бы увеличение времени задержки, пропорциональное числу попыток регистрации.
NFS. В ранних версиях протокола NFS (Network File System) обмен данными между клиентом и сервером осуществлялся с помощью вызова удаленных процедур (Remote Procedure Call, RPC). Это делало сервер NFS уязвимым для неавторизованного доступа, поскольку процедуры RPC используют примитивные формы идентификации пользователя. Чтобы никто не мог замаскироваться под клиента NFS, все серверы NFS на базе UNIX вашей сети должны поддерживать протокол SecureRPC. В отличие от традиционного RPC, SecureRPC для идентификации каждого удаленного запроса к NFS использует стандарт шифрования DES (Data Encryption Standard) и экспоненциальный обмен ключами.
FTP. Основной угрозой защите при работе с протоколом FTP (File Transfer Protocol) является наличие анонимного сервера FTP, с помощью которого пользователь может зарегистрироваться и загрузить (а иногда и передать) нужные ему файлы. Если вам не требуется предоставлять подобные услуги, то уберите из файла /etc/passwd пользовательское имя FTP. Помимо этого, обязательно удалите соответствующий домашний каталог. Если же ваша организация в обязательном порядке должна иметь анонимный сервер FTP, то разместите его на компьютере вне своей сети Intranet, в так называемой "демилитаризованной зоне" (Demilitarized Zone, DMZ).
Другой разновидностью сетевой атаки является "отказ в обслуживании" (Denial-of-Service, DoS), когда атакующий инициирует множество сеансов связи с анонимным сервером FTP в попытке занять всю его пропускную способность. Чтобы снизить остроту ситуации, многие версии серверов FTP предоставляют возможность задать максимальное число поддерживаемых ими одновременно сеансов связи. Если поставщик UNIX не поддерживает эту функцию, то вы можете воспользоваться одной из общедоступных версий сервера FTP (см. врезку "Ресурсы Internet").
POP3. Использование третьей версии протокола POP (Post Office Protocol) сопряжено с серьезной опасностью для системы защиты, поскольку почтовые пароли пользователей передаются по сети открытым текстом. Применяя стандартные средства прослушивания сети, атакующий может легко перехватить комбинацию "имя пользователя/пароль" и воспользоваться ею для неавторизованного доступа ко многим другим сетевым ресурсам. Противодействовать этому можно путем установки сервера РОР3, поддерживающего работу с командой АРОР (Authenticated POP). Данная команда является изящным расширением набора команд протокола РОР3. Она дает пользователю возможность выполнения уникальной односторонней процедуры шифрования пароля перед его передачей серверу. Например, компания Qualcomm предлагает бесплатный демон РОР3 для UNIX, реализующий эту команду. Загрузить его можно с сервера РОР Qpopper этой компании по адресу: https://eudora.qualcomm.com/free/servers.html.
Sendmail. Старые версии агента передачи сообщений Sendmail изобиловали дырами в системе защиты, некоторые из них были очень серьезными и открывали злоумышленнику легкий путь проникновения в систему. Сегодня большинство поставщиков диалектов UNIX используют версии Sendmail оригинального дистрибутива UC Berkeley, свободно распространяемые некоммерческим Sendmail Consortium. Секрет защиты Sendmail - в установке последней версии со всеми "заплатками" для предотвращения проникновения в сеть через какую-либо из ранее выявленных "дыр". Учитывая факт появления коммерческих версий с задержкой, наиболее правильным подходом будут установка и конфигурация самой последней (бесплатной) версии, полученной с узла рассылки Sendmail (https://www.sendmail.org/).
Если по каким-то причинам вы не можете использовать Sendmail, то загрузите и установите Qmail - более современный, более быстрый и более простой в конфигурации агент передачи сообщений. Эта программа поддерживает большинство известных функций Sendmail. Кроме того, Qmail может устанавливаться на место Sendmail. Получить утилиту можно с официального узла Qmail: https://www.qmail.org/.
WWW. Хорошей практикой защиты сервера НТТР от излишне любопытных пользователей Web является предотвращение возможности просмотра закрытых разделов сервера. При этом сервер не должен функционировать с полномочиями корня (root permissions), поскольку большинство атак нацелено на получение привилегированного доступа ко всем ресурсам компьютера. Вы также должны знать, что демон НТТР, выпущенный Национальным центром по разработке приложений для суперкомпьютеров (National Center for Supercomputing Applications, NCSA) в марте 1995 года, содержит ошибку, дающую возможность запускать на сервере любые команды.
Поскольку самым распространенным в мире сервером Web сейчас является Apache, то вероятность обновления его демона HTTP при обнаружении дыры выше, чем у других. Поэтому, если вы серьезно заботитесь о защите своего сервера Web, рекомендуется загрузить и установить с сервера https://www.apache.org/ самую последнюю версию Apache.
Независимо от того, какой сервер НТТР вы выбрали, будьте особенно внимательны при работе со сценариями CGI (Common Gateway Interface). Эти исполняемые программы обычно располагаются в каталоге CGI-BIN на сервере. Ваш сервер Web должен быть сконфигурирован таким образом, чтобы исполняемые сценарии могли размещаться только в этом каталоге. Благодаря этому они всегда будут находиться под неусыпным контролем.
Заключение
Основой информационной безопасности любого предприятия является политика безопасности, которая включает в себя технические, организационные и правовые аспекты.
Основными элементами политики безопасности являются субъект, объект и отношения между ними. Выделяют ряд моделей доступа, среди которых маркерный доступ, списки пользователя (субъект-объектный доступ) и произвольное управление доступом (субъект-субъектный доступ).
В операционной системе UNIX субъектом является процесс пользователя, а объектом файл. Права группируются по владельцу объекта, группе владельцев и остальным и состоят из базовых прав: чтение, запись и исполнение, а также дополнительных прав (подмены субъекта и разделяемости каталога).
Аутентификация пользователя при входе в систему состоит в проверке пароля, соответствующего имени пользователя.
Информация о пользователях системы хранится в специальном файле /etc/passwd. Существует набор системных команд по изменению базы данных пользователей и групп.
В UNIX можно устанавливать динамические ограничения на сеанс пользователя.
Список использованной литературы
1. Брайан Хатч, Джеймс Ли, Джордж Курц. Секреты хакеров. Безопасность Linux-готовые решения.- Пер. с англ. - М.: Издательский дом <<Вильямс>>, 2004.
. Стивен Норткат, Джуди Новак. Обнаружение нарушений безопасности в сетях. Пер. с англ. - М.: Издательский дом <<Вильямс>>, 2003.
. Олифер В.Г., Олифер Н.А. Сетевые операционные системы.-СПб.:Питер, 2002.
. Скотт Манн, Эленн Митчелл, Митчелл Крелл Безопасность Linux. - М.: Вильямс, 2003. - 624 с.: ил.
. Курячий Г.В. Операционная система UNIX. - М.: Интуит.Ру, 2004. - 292 с.: ил.
6. Робачевский А.М., Немнюгин С.А., Стесик О.Л. Операционная система UNIX. - 2-е изд. - СПб.: БХВ-Петербург, 2010. - 656 с.