Оборона
UNIX
Многие
организации в мире сегодняшнего
бизнеса перестраивают свою
деятельность в соответствии с моделью
клиент/сервер, в том числе управление
важной научной, финансовой и
юридической информацией. Unix здесь -
одна из основных операционных систем. В
прошлом вычислительные мощности и
данные располагались на одной системе
и ее закрытость была гарантией
безопасности данных. Однако в модели
клиент/сервер и операционная система, и
приложения используют при работе сеть.
В этих системах безопасность сетевых
приложений напрямую
связана с безопасностью сети и систем в
этой сети.
Заприте
дверь на ключ
Вход в
систему и пароль - это первая линия
обороны в системе Unix. В файле паролей
перечислены все пользователи с правом
доступа в систему. В большинстве систем
зашифрованный пароль хранится в файле
паролей, доступном для чтения.
Предполагается, что расшифровать
пароль невозможно, но, тем не менее,
открытость зашифрованного пароля
делает систему уязвимой; пользователь
может задать пароль, зашифровать его и
сравнить зашифрованный результат с
содержимым новой строки файла паролей.
Большинство последних версий
операционных систем Unix предполагают
возможность использования скрытых
файлов паролей. В них зашифрованный
пароль помещается из файла паролей в
файл, который доступен для чтения
только для суперпользователей. Такая
мера весьма эффективна. Одноразовый
код доступа и механизм пароль/отзыв
помогают сделать пароль еще более
неуязвимым, так как пароли в этом
случае действительны только на один
сеанс. Если взломщик каким-либо образом
узнал пароль, то войти в систему он
сможет только один раз. Примерами
подобных механизмов служат Defender
компании Digital Pathways (Маунтейн-Вью, шт.
Калифорния), SecurID компании
Security Dynamics (Кэмбридж,
шт. Миннесота) и S/Key компании Bellcore (Пискатавей,
шт. Нью-Джерси). В сетях с высокой
степенью секретности, например
финансовых, весьма
эффективно
использование одного из механизмов
ограничения доступа. Помните, что по
статистике ФБР 85% взломов производится
сотрудниками.
Оставайтесь
в команде
Команда finger в
чужих руках способна значительно
облегчить взлом сети. У пользователя
есть возможность выполнить данную
команду без входа в систему и получить
информацию о всех пользователях сети.
Это небезопасно по многим причинам.
Например, получив с помощью команды finger
имена пользователей, номера комнат и
номера телефонов, содержащиеся в файле
паролей (см. Рис. 1), взломщик может
использовать их для регистрации под
именем одного из пользователей, а также
для взлома защиты системы в целом.
Сетевые системы Unix подвергаются
наибольшему риску из-за использования
удаленных команд (r-команды), таких как
rsh, rcp и rlogin. Эти команды дают
пользователю возможность с правом
доступа к нескольким системам
установить доверительные отношения
между этими системами. Причем
пользователь получает доступ в систему
без дальнейшей идентификации и
аутентификации. Эти
"доверительные"
отношения определяются для
пользователей в файлах. rhosts в домашних
каталогах и для систем в
конфигурационном файле удаленных
команд /etc/host.equiv файл.
К сожалению,
многие производители предпочитают
выпускать "дружественные для сети"
разработки с целью увеличения легкости
их использования. Один из способов - это
включить символ (+) в файл /etc/host.equiv, что
позволит любому человеку, работающему
в локальной или глобальной сети,
получить доступ к системе в качестве
любого пользователя, даже в качестве
суперпользователя (администратора).
Вообще, "доверительные" отношения
между сетями не рекомендуются. Однако
многие организации используют их,
чтобы упростить администрирование
сети. А при таком положении дел важно,
чтобы только небольшое подмножество
систем находилось в "доверительных"
отношениях друг с другом. Например,
разрешить подобный доступ только с
сервера к клиенту, но не с клиента к
серверу и разрешить
чтение файла
rhosts только его владельцу. Network File System
(NFS) и Network Information Service (NIS) позволяют
упростить доступ к файлам и
администрирование сети. (NIS носила
раньше имя Yellow Pages, и многие команды
отражают этот факт в своих названиях:
ypwhich, ypcat и т. п.) NFS реализует механизм,
благодаря которому доступ к файлам
является прозрачным для пользователя
вне зависимости от их местоположения.
Файлы могут
располагать я
как на локальном диске, так и на
файловом сервере локальной или
глобальной сети. Для правильной работы
NFS пользовательская и системная
информация должны быть согласованы
между используемыми системами.
Согласованность обеспечивает NIS
посредством централизованного
копирования файлов конфигурации и
паролей на сервер NIS. Это позволяет
администратору изменять информацию
непосредственно на NFS-сервере, причем
изменения становятся доступны
клиентам NIS. NFS внутренне уязвима,
поскольку она базируется на выводах
удаленных процедур. Удаленные вызовы
процедур содержат идентифицирующую
пользователя информацию (UID), но не
имеют механизма определения наличия
ограничений на использование ресурсов
и того, что пользователь действительно
является тем, за кого себя выдает. Таким
образом, заинтересованное лицо может
написать
маскирующуюся
под систему программу с тем, чтобы
монтировать файловые системы или
создавать, читать, модифицировать или
удалять файлы напрямую. Для
назначения систем, имеющих доступ к
файловым системам на сети, можно
использовать команды exportfs и файл
/etc/exports. Некоторые производители
выпускают системы с экспортом каталога
/AND/USR во внешний мир. А стало быть,
каждый пользователь этой сети может из
любой точки монтировать такие файловые
системы. Вообще, никакие файловые
системы не должны экспортироваться во
внешний мир и, везде, где только
возможно, они должны экспортироваться
только для чтение. Безусловно, рабочий
каталог пользователя необходимо
сделать доступным как для чтения, так и
для записи. Команда exportfs без
параметров выдает список
экспортированных файлов.Команда showmount-a
показывает, какие из экспортированных
файлов смонтированы клиентами.
Набор
инструментов для взломщика
Привилегии
суперпользователя для клиента NIS
должны жестко контролироваться. Когда
пользователь входит в систему, NIS
сначала проверяет локальный файл
паролей и затем файл паролей NIS.
Взломщику ничего не стоит использовать
эту возможность, чтобы выдать себя за
легитимного пользователя внутри NIS.
Локальный пользователь с привилегиями
суперпользователя может добавить UID
другого пользователя, чтобы получить
его привилегии.
К примеру,
ниже приведено содержимое NIS-пароля:
vip:
encrypted passwd: 23456:
2002:Very Important Person:
/u/vip:/bin/ksh
Локальный
суперпользователь может добавить ту же
или аналогичную информацию в локальный
файл паролей:
vip:new
encrypted passwd:
23456:2002: Very Important
Person:/u/vip:/bin/ksh
или
cdc:encrypted passwd:23456:2002
:fictitious information:/u/vip
:/bin/ksh
Заметим, что
идентификатор пользователя/идентификатор
группы (23456) и групповой ID (2002) в этих
строках один и тот же; именно он, а не
входной идентификатор (VIP или CDC),
контролирует доступ к файлам.
Локальный суперпользователь может
затем войти как VIP или CDC и получить
доступ ко всем файлам на /U/VIP/ или может
просто зарегистрироваться как
пользователь
через команду SU CDC. У суперпользователя
появляется возможность создавать,
читать, модифицировать или удалять
файлы. Этот тип нарушения доступа
особенно трудно установить, поскольку
локальный суперпользователь
контролирует файлы регистрации
использования ресурсов и доступа к
защищенным данным в системе. Замести
все следы доступа - относительно
простая задача. Клиенты и серверы NFS
не осуществляют проверку
аутентичности друг друга.
Следовательно, клиент может стать
сервером при помощи команды ypserve или
создать клиента при помощи команды ypbind.
Клиенты NIS связываются при
включении с
первым ответившим сервером. Ложный
сервер обычно и отвечает первым. Сервер
NFS позволяет любой системе стать
клиентом. Эти вопросы безопасности
разрешены в новой версии NIS, названной
NIS+. Однако функции безопасности NFS+
частично не блокируются при
взаимодействии с NIS. Тривиальный
протокол передачи файлов (tftp) и
протокол передачи файлов (ftp)
применяются для перемещения файлов из
одной системы в другую, а ftp - это
фундаментальный
ресурс Internet (см. "Объезд
супермагистрали" о дополнительной
информации по
защите вашей сети от доступа из Internet).
Tftp особенно уязвим, поскольку
разрешает передачу файлов без контроля
прав доступа. Он наиболее часто
используется с Bootstrap Protocol (BOOTP) для
распространения конфигурационных
файлов на бездисковые рабочие станции,
X-терминалы и элементы сети, например на
маршрутизаторы. Tftp следует
дезактивировать, даже когда в этом нет
явной необходимости. Чтобы ограничить
область уязвимости, установите tftp в
каталог chroot. Chroot разрешает доступ
только к файлам в этом
каталоге и
подкаталогам. Также ограничьте
использование tftp локальной сетью.
Чтобы протестировать надежность
защиты конфигурации tftp, выполните
следующие команды:
# tftp
<systemname>
tftp>
get /etc/passwd test
tftp>
quite
Проверьте,
содержит ли файл test реальный файл
паролей для системного имени. Если это
так, то tftp не защищен. Группа Computer
Emergency Response Team (CERT) обнаружила несколько
уязвимых мест tftp. CERT была организована
агентством DARPA для мониторинга
компьютерной
безопасности и попыток преодоления
защиты. С ним можно связаться по адресу:
cer@sei.cmu.edu. Конфигурация ftp часто
осуществляется некорректно. Никто не
должен входить в систему как
суперпользователь ftp. Если
поддерживается анонимный ftp, то все
файлы в каталоге ftp, включая сам каталог,
должны находиться в распоряжении
суперпользователя (root). Если
сконфигурирован анонимный ftp, то не
создавайте каталог, открытый для
чтения и записи. Эти открытые на запись
каталоги часто используются для
нелегального распространения
программного обеспечения, а также для
распространения вирусов. Simple Mail
Transfer Protocol (SMTP) стал притчей во языцех с
точки зрения уязвимости. SMTP часто
выполняется как root (суперпользователь)
или bin (другой привилегированный
пользователь), и во многих организациях
SMTP - единственная служба, к которой есть
доступ из Internet. Это делает sendmail весьма
привлекательной для выявления
уязвимых мест системы. Так,
несанкционированный доступ к системе
можно получить при помощи команд wiz, debug
и kill. Чтобы обнаружить "черный ход",
введите команды:
# telnet
- name> 25
wiz
debug
kill
exit
Если "черного
хода" не существует, ответ на каждый
ввод будет:
500
Command unrecognized.
Еще одна
проблема - возможность замаскироваться
с помощью агента передачи данных Unix
sendmail под любого пользователя сети. Mail
выглядит как законный пользователь.
Электронная почта по протоколу SMTP
посылается открытым текстом и может
быть перехвачена или считана с сети.
Поэтому не включайте никакую
информацию, которую нельзя было бы
написать на обычной почтовой карточке.
Широкое распространение получили ныне
некоторые системы электронной почты,
обеспечивающие секретность данных. Pretty
Good Privacy (PGP) и Privacy Enchanced Mail (PEM) - примеры
безопасных версий электронной почты (см.
"Запечатайте
электронную
почту"). Эти системы обеспечивают
секретность содержимого сообщения на
всем пути от отправителя до адресата.
Стандартом Windows для Unix является X Window.
Обычно его называют просто X.
Секретность информации в X
обеспечивается конечным пользователем.
Термины "клиент" и "сервер" в X
часто взаимозаменяемы, а монитор,
отображающий X,
назван
дисплейной станцией. Пользователь
может не обеспечить достаточную защиту
дисплейной станции. Доступом системы к
дисплейной станции управляет команда
xhost, в то время как доступом
пользователя к дисплейной станции
управляет xauthorities. Доступ позволяет
осуществлять отображение окон или
приложений и мониторинг дисплейной
станции. Имеющийся инструментарий
позволяет отслеживать ввод в различные
окна и осуществлять удаленный ввод
данных в открытые окна. Когда
активирована xauthorities, то необходим ключ
Data Encryption Standard (DES) для того, чтобы
пользователь мог выводить изображение
на дисплейную станцию. Каждый раз при
открытии сеанса генерируется новый
ключ. Ключи хранятся в корневом
каталоге пользователя в файле. XAUTHORITY.
Чтобы другой пользователь смог
получить доступ к дисплейной станции,
ключ должен быть извлечен из файла.
XAUTHORITY и добавлен к файлу. XAUTHORITY другого
пользователя. То же самое должно быть
проделано для того же пользователя в
другой системе. Например, если
пользователь VIP пользуется дисплейной
станцией MAPLE и хочет отобразить
программы из системы OAK в MAPLE, ключ
должен быть введен в файл. XAUTHORITY в OAK.
Использование и xhost, и xauthority необходимо
для обеспечения секретности в X.
Пользователь должен быть довольно
грамотен для
обеспечения сохранности информации в X.
Сохранение
мира
Сеть под Unix
может быть засекречена. Первый шаг
заключается в обеспечении жесткого
контроля всего доступа в сеть и системы.
Затем следует обеспечить все узлы сети
посредством надежного
конфигурирования протоколов и
приложений и использовать шифрование
всех данных, проходящих через
незащищенные сети, какой является
самая большая в мире открытая сеть
Internet. LAN Синди Куллен - старший
системный инженер компании Bell Communications
Research (Пискатавей,
шт. Нью-Джерси). С ней можно связаться
через Internet по адресу: cdc@bellcore.com
$
finger username@systemname
Login
name: username (messages off)
Directory:/u/username
On since
Jun 23 10:11:57 on ttyq1
No Plan.
In real life: Actual Name
Shell:/bin/ksh
13 seconds Idle Time
$ finger
@ systemname
Login
console
cdc
vip
Name
root-C. Cullen - group XXXXX
C. Cullen, 555-1212
very important person, guest of Cindy Cullen
TTY
console
p0
p5
Idle
12
9
When
Thu 03:36
Sat 05:34
Sun 12:25
В этом
примере представлена часть вывода по
выполнении команды finger (обратите
внимание на информацию в поле имени). В
ноябре 1988 года Роберт Т. Моррис-младший,
в то время студент, изучающий
компьютерные технологии в Корнельском
университете, создал Morris Worm,
самокопирующуюся и
самораспространяющуюся программу,
которая буквально поразила Internet. В
программе использовалась именно
команда finger.
Неизбежные
попутчики
Объезд
супермагистрали
Firewall - это
механизм, использующийся для защиты
сети по всему периметру. Его наиболее
популярное применение - защита
корпоративных сетей от
несанкционированного доступа из Internet.
Существуют два основных подхода,
используемых в firewalls. Набор фильтров
firewall, как следует из его названия,
фильтрует или отсеивает ненужные
пакеты, руководствуясь множеством
правил, названным списком контроля
доступа (access control list). Firewall для
сервера приложений или посредника - это
программа. Такой firewall фильтрует или
определяет направление соединения для
протоколов telnet, SMTP, ftp и World Wide Web.
Пользователь должен иметь
соответствующее программное
обеспечение клиента и быть авторизован
в firewall. Это позволяет контролировать
доступ на уровне пользователя и
регистрировать трафик их сети в сеть.
Серверы приложений и посредники
обеспечивают жесткий контроль
входящих и
исходящих
данных. Например, функции ftp могут
ограничиваться только "puts" или
"gets" и каждая транзакция может
быть зарегистрирована.
Запечатайте
электронную почту
Pretty Good Privacy
(PGP) может использоваться для
шифрования файлов и электронной почты,
а также для подписания документов с
заверенной электронной подписью. PGP
использует технику шифрования
открытым ключом и секретным ключом. При
посылке зашифрованной электронной
почты, сообщение необходимо
зашифровать открытым ключом
получателя, секретный же ключ должен
быть послан получателям под защитой их
открытых ключей. Таким образом, только
легитимный получатель способен
расшифровать сообщение при помощи
своего личного ключа. Личный ключ
каждого пользователя может быть
использован для подписи документа.
Соответствующий открытый ключ
используется для определения
подлинности
документа. PGP распространяется
бесплатно для некоммерческого
использования, хотя существуют и
коммерческие версии. Он доступен для
большинства систем под Unix,
DOS, Windows, OS/2 и
Macintosh. Экспортные ограничения
распространяются на PGP. Однако
совместимое с PGP программное
обеспечение доступно и за пределами
Соединенных Штатов.
Privacy Enhanced Mail (PEM)
- это стандарт шифрования электронной
почты, разработанный группой
инженерной поддержки Internet (IETF). PEM можно
использовать для подписывания и
шифровки сообщений электронной почты.
Поддержка PEM доступна для приложений на
ПК в системах Unix и Macintosh. PEM тоже
использует шифрование с открытыми
ключами.
|