|
Как защитить свой хост
Узнав такой впечатляющий набор фактов об уязвимости вашей системы, вы, несомненно, зададите себе вопрос: как же обеспечить защиту в сети и возможно ли это? Не будем дискутировать на философскую тему "Почему абсолютная защита невозможна". В любом случае задача каждого администратора безопасности - сделать все, чтобы максимально ее улучшить, Надеемся также, что вы уже прочитали рассуждения в главе 8 по вопросу "А есть ли что мне защищать?". Поэтому советуем придерживаться следующих концепций:
- Актуальность - защищаться надо от реальных атак, а не от фантастических или, наоборот, архаичных времен вируса Морриса.
- Разумность затрат - поскольку 100-процентной защиты мы все равно не обеспечим, надо найти тот рубеж, за которым затраты на дальнейшее повышение безопасности оказываются выше стоимости той информации, которую может украсть взломщик.
Итак, ниже (табл. 9.2) приводится список очень простых правил и действий (некоторые идеи взяты из [26]) с учетом
важности и первоочередности применения.
Таблица 9.2. Административные меры усиления защиты серверов в Internet
N
|
UNIX-системы
|
Windows NT-системы
|
1.
|
Прочитайте, наконец, руководство по администрированию вашей системы, и вы наверняка найдете там полезные советы, которыми захотите воспользоваться.
|
2.
|
Поставьте последнюю версию ядра вашей ОС и наиболее часто используемых демонов (sendmail, ftpd, httpd).
|
В обязательном порядке поставьте последние пакеты обновления не только к ОС, но и к используемым серверам (IIS, Exchange), а также новые заплатки (hot fix).
|
3.
|
Запустите программу автоматизированного контроля вашего хоста типа Internet Scanner (см. далее в этой главе). Вполне вероятно, что они посоветуют вам много из того, что предлагается ниже.
|
|
Запустите утилиту C2Config из Windows NT Resource Kit 4.0. Приведите в соответствие с С2 то, что вы считаете необходимым, кроме пунктов Halt on Audit Failure и Networking. Не следует слишком полагаться на эту утилиту, но и вреда от нее не будет.
|
4.
|
Проверьте настройки вашего NFS сервиса, а также содержимое файлов /etc/hosts.equiv и .rhosts (или подобных) для каждого пользователя. Файлы .rhosts хорошо бы вообще запретить. У NFS не должно быть экспорта любых каталогов для everyone, а необходимость включения каждого доверенного хоста должна быть еще раз проверена.
|
Убедитесь в том, что пользователь Guest заблокирован, и что на компьютере нет разделяемых ресурсов без пароля. Удалите все разделяемые ресурсы по умолчанию (С$, ADMIN$ и т. п.). Выключите (настройками в реестре) передачу открытого пароля и LM-хэша, а также ограничьте права анонимного пользователя.
|
5.
|
Загляните на серверы CERT или CIAC (см. адреса в приложении) и внимательно прочитайте их бюллетени за последнее время, относящиеся к вашей ОС. Установите все рекомендуемые заплатки и сконфигурируйте систему так, как предлагается.
|
6.
|
Правильно настройте (или установите) ваш межсетевой экран. Из этого не следует, что вы должны запретить все и всем, сделайте это лишь для неиспользуемых портов и протоколов. В частности, если вам не нужен NetBIOS по IP, то можно вообще закрыть 139-й порт. Поставьте монитор всех входящих соединений (типа tcp_wrapper). Поставьте сетевой монитор безопасности, например RealSecure (см. далее в этой главе).
|
7.
|
Попробуйте представить себя хакером и запустите последний взломщик паролей. Здесь у вас большое преимущество перед хакерами - вам слишком просто получить хэшированные пароли. С теми пользователями, пароли которых были вскрыты автоматически, надо усилить разъяснительную работу. Установите правила периодической смены паролей.
|
8.
|
Не забудьте затенить ваш файл паролей.
|
Установите Passfilt.dll из Service Pack 3. Можно также применить утилиту SYSKEY оттуда же.
|
9.
|
Проверьте настройки ваших основных Internet служб (http, ftp). Помните, что они - самый лакомый кусок для кракера. Максимально используйте анонимный доступ, чтобы предотвратить передачу паролей по сети в открытом виде. При необходимости разграничения доступа используйте стойкие протоколы типа SSL.
|
10.
|
У остальных сетевых служб также по возможности используйте аутентификацию, не включающую передачу пароля открытым текстом.
|
Проверьте настройки служб, использующих доверие (типа NIS или X Window). Откажитесь от них или установите дополнительную защиту типа Kerberos или Secure RPC.
|
|
11.
|
Попросите разрешения у администраторов всех доверенных хостов, найденных вами на шаге 4, просканировать их хосты на предмет безопасности. Для этого можно воспользоваться Internet Scanner или SATAN, но в последнем случае вам нужно смотреть в первую очередь не на найденные им уязвимости (они вряд ли уже актуальны), а на список использованных сервисов и программ демонов, их поддерживающих. Это можно сделать, вручную проанализировав файл с результатами работы SATAN. Если вы найдете там уязвимую программу, попросите соседнего администратора обновить ее. Если он не зря занимает свое место, то с благодарностью это выполнит.
|
Проведите аналогичное тестирование компьютеров доверенного домена. И в собственном домене, и в доверенном откажитесь от использования любых OC фирмы Microsoft, кроме Windows NT, т.к. машина с Windows 95/98 - первая мишень для кракеров.
|
|
Перечисленные меры позволят вам не подпустить к своему хосту до 99% всех кракеров. Но ненадолго. Для того чтобы поддерживать систему в таком защищенном состоянии, советуем раз в одну-две недели вновь посещать CERT или СIАС. Также не забывайте контролировать наличие вирусов или "троянских" коней. Не менее полезно подписаться на листы рассылки или дайджесты по безопасности, лучшим из которых, на наш взгляд, является BUGTRAQ.
Остальные меры, предусмотренные для отлова последнего процента самых достойных кракеров, являются превентивными, они не направлены конкретно на ту или иную службу. Возможно, они будут сопряжены с более или менее значительной переделкой вашего хоста:
- Придумайте какую-нибудь собственную изюминку, очень простую (чтобы поставить слишком умных кракеров в тупик), типа переименования какой-нибудь важной команды или сообщения на входе "FSB host. Vvedite vashe imya i zvanie:".
- Используйте более простые программы - в них меньше ошибок. В UNIX - избавьтесь от sendmail, поставьте другой SMTP-демон, в Windows NT - не стоит для этих же целей использовать монстров типа Microsoft Exchange Server.
- Выкиньте некоторые малоиспользуемые службы (типа finger, talk, rpc) и ужесточите настройки вашего межсетевого экрана.
- Поставьте proxy-сервер для дополнительной аутентификации извне, а также для скрытия адресов и топологии внутренней подсети.
- Перенесите весь сервис, требующий входящих соединений (http, SMTP), на отдельную машину и оставьте ее в открытой сети. Удалите с этой машины всю лишнюю информацию. Все остальные машины спрячьте за межсетевым экраном с полным отключением входящего трафика.
- Поставьте защищенную версию UNIX или другой операционной системы.
[20105]
|
|