|
Рекомендации по безопастности
Информацию предоставил
Micke
Рекомендации
по обеспечению и увеличению безопасности системы (интернет
сети)
Безопасность в целом зависит от большого количества
параметров и факторов. Укрупненно можно представить
следующий набор критериев:
1. Меры безопасности района проводимых работ.
2. Меры безопасности зданий и их помещений, где проводятся
работы.
3. Меры безопасности персонала и исполнение самим персоналом
норм установленных соответствующими инструкциями.
4. Меры безопасности используемых технологий.
Схему безопасности в компьютерных технологиях представляют:
1. Меры безопасности помещения, где расположено оборудование.
2. Меры безопасности по предотвращению физического
взлома, включения и несанкционированного доступа к компьютерному
оборудованию.
3. Меры по локальной безопасности.
4. Меры по безопасному хранению данных.
5. Меры по безопасности ядра системы и самой системы.
6. Меры по безопасности локальной сети и сетевых ресурсов.
7. Меры по страхованию основных ресурсов локальной
сети - создание резервных копий для последующего восстановления.
8. Меры, предпринимаемые в случае взлома ресурсов локальной
сети.
Рассмотрим более подробно:
1. Меры безопасности помещения, где расположено оборудование.
Помещения, где располагается основное компьютерное
оборудование должно быть отделено от оборудования общего
пользования и выделено в отдельное аппаратное помещение
с соответствующей сигнализационной охраной, специальными
дверями, сейфовыми или специальными замками и другими
мерами предосторожности.
Соответствующие меры, оборудования и правила по данному
пункту могут быть получены в службе безопасности или
в охранных агентствах.
2. Меры безопасности по предотвращению физического
взлома, включения и несанкционированного доступа к компьютерному
оборудованию.
В этом пункте подразумевается физический доступ к консолям,
пультам управления и другим устройствам компьютеров,
серверов, посредством которого можно преодолеть барьеры
безопасности и проникнуть в компьютеры, сервера и сети
организации, предприятия, компании и тд. и тп.
Меры защиты:
- использование специальных корпусов с возможностью
их блокирования от вскрытия или доступа к устройствам
позволяющим перезагружать компьютеры, сервера с последующим
проникновением в их систему;
- использование специальных корпусов позволяющих блокировать
системы ввода информации при несанкционированном доступе
к оборудованию;
- использование возможностей BIOS в случае Intel-base
платформы для задания паролей для защиты от несанкционированного
доступа или возможностей EEPROM на других платформах
для задания пароля и защиты от взлома
- использование паролей в загрузчиках систем, так
называемых boot loader'ах для защиты от проникновения
через системные консоли или пульты управления;
- ведение протоколов на системах с целью обнаружения
несанкционированной перезагрузки оборудования, изменения
самого оборудования или его отдельных компонент, обнаружения
даты и времени произведенного несанкционированного доступа
и использования привелигерованных системных ресурсов
для произведения незаконных действий.
3. Меры по локальной безопасности.
Безопасность систем и сети не может быть построена
на доверии и локальные пользователи не являются исключением.
В связи с этим системные и сетевые администраторы должны
иметь строгую и жесткую организационную и административную
политику со строгими рамками ответственности и наказаний:
- регистрации компьютеров и систем в сети с ведением
базы данных по этой информации;
- регистрации и заведения пользователей в системе;
- использование дополнительных средств криптозащиты:
Kerberos, S/Key, OpenSSL;
- предоставления пользователям прав в рамках строго
соответствующих
выполняемой работы;
- предоставления прав доступа к ресурсам и устройствам
строго в рамках
тематики работы;
- систематической смены, как административных паролей,
так и паролей
пользователей в принудительном порядке;
- строго собирать статистическую информацию по работе
систем, работе пользователей на этих системах и другую
статистическую информацию необходимую для анализа состояния
безопасности;
- проведения систематических работ по анализу собираемой
статистической инфор- мации в целях обнаружения, как
нарушения безопасности систем, так и попыток ее взлома
или обхода;
- постоянного слежения за возникающими ошибками в системе
и за развитием
самой системой;
- создание или использование систем проверки и слежения
за целостностью
самой системы;
- своевременного апгрейда системы или исправления ошибок,
как минимум в
плане безопасности;
- создание локальной службы компьютерной безопасности
с соответствующими
правами и обязанностями.
В соответствии с используемой системой, ниже приводится
список ссылок содержащих наборы исправлений, как самой
системы, так и подсистем её
безопасности:
The FreeBSD Security: http://www.freebsd.org/security/
The FreeBSD Security Ports: http://www.freebsd.org/ports/security.html
The FreeBSD Security Patches: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/
The FreeBSD Security Contact: security-officer@FreeBSD.org
Комплексы и программы:
Для проверки целостности системы:
Aide: http://www.cs.tut.fi/~rammer/aide.html
Cops: http://www.fish.com/cops/
FileTraq: http://filetraq.xidus.net/
Integrit: http://integrit.sourceforge.net/
Osiris: http://www.shmoo.com/osiris/
Samhain: http://www.la-samhna.de/
Tripwire: http://www.tripwire.org/
ViperDB: http://www.resentment.org/projects/viperdb/index.html
Для проверки хостов:
ARPCI (Automated RPCInfo) - Unix RPC Vulnerability
Scanner:
- http://www.tpgn.net/projects/
Syscheck, Logcheck:
- http://www.sabernet.net/software/
Psionic Logcheck, PortCheck and Hostcheck:
- http://www.psionic.com/
Для проверки логов, файлов содержащих статистическую
информацию:
Logsurf:
- http://www.cert.dfn.de/eng/logsurf/
Logcheck:
- http://www.sabernet.net/software/
Psionic Logcheck:
http://www.psionic.com/
Nlog:
- http://www.digitaloffense.net/index.html?section=PROJECTS
Tailbeep - check file messages.log:
- http://soomka.com/
Каким должен быть безопасный пароль:
- http://consult.cern.ch/writeup/security/security_3.html
Замена telnet/ftp/rlogin/rsh/rcp - SSH (включает slogin/ssh/scp/sftp-server
и sftp клиент):
- http://www.openssh.com/ - свободно распространяемый
продукт
- http://www.ssh.com/ - коммерческий продукт (см. Лицензионное
соглашение)
Обнаружение "Троянских коней" и "Черных
ходов":
- http://www.chkrootkit.org/
4. Меры по безопасному хранению данных.
Для сохранности данных, как личного порядка, так и
рабочих данных, необходимо чтобы системный администратор
имел действенную политику разграничения пользователей
по группам, классам и тд. и тп., и вести необходимую
политику по авторизованному доступу к файловым системам,
директориям и отдельным файлам системы.
Пользователи в свою очередь могут воспользоваться программами
шифрации собственных данных для их безопасного хранения
и проведению собственной политики безопасного доступа
к данным:
Для безопасного хранения собственных данных:
PGP - http://www.pgp.com/
PGP International - http://www.pgpinternational.com/
GnuPG - http://www.gnupg.org/
К безопасному хранению данных относится и их резервное
хранение, этот пункт будет рассмотрен ниже.
5. Меры по безопасности ядра системы и самой системы.
В настоящий момент, большинство Unix-подобных систем
имеет дополнительные улучшения безопасности системы
в Ядре и самого Ядра, данный пункт исключительно индивидуален
и описания и рекомендации для систем могут быть найдены
на сайтах конкретно интересующих вас систем, некоторые
приведены ниже:
FreeBSD: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/security.html
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig.html
6. Меры по безопасности локальной сети и сетевых ресурсов.
В случае, если ваши вычислительные ресурсы объединены
в локальную сеть, необходимо строго соблюдать меры безопасности
сетевых ресурсов, это особенно актуально если ваша локальная
или корпоративная сеть имеет еще и выход в Internet.
Время показывает, что взломы и несанкционированный
доступ в локальные или корпоративные сети в настоящее
время происходит гораздо чаще, чем физические или локальные
нарушения мер безопасности, вот почему сетевая безопасность,
одна из важнейших компонент безопасности в целом.
Для сохранности локальных или корпоративных сетей от
вторжений существует достаточно много разнообразных
средств и продуктов, чтобы структурировано подойти к
их применению, попробуем классифицировать основные сетевые
ресурсы и с этой точки зрения рассматривать системы
сетевой безопасности:
К наиболее распространенным сетевым службам можно отнести:
- ftp (program that use "file transfer protocol"
for files download/upload)
- telnet (remote login for terminal session)
- mail
- MTA: Sendmail/Qmail/Postfix and etc
- Protocols for remote mail-access: POP3[2], IMAP
- named (dns - domain name systems to translate between
domain names and ip address)
- rlogin,rsh,rcp (remote login for terminal session,
remote shell, remote copy)
- nfs (network file system for export/import filesystems
via network)
- nis (network information service - well-known as
yp)
- http (hyper text transfer protocol)
Все эти службы практически не защищены, но необходимы
для полноценной работы сети.
Известно, что TCP/IP - clear-text protocol, те все
передаваемый по сети данные идут в чистом, не шифрованном
виде, это означает что хакеры, грамотные программисты,
службы security или государственные службы имеют возможность
прослушивать проходящие по сети данные с помощью свободно
распространяемых в сети пакетов "sniffer"-ов
или самостоятельно написав подобную программу "слухач",
которая прослушивает все проходящие сетевые пакеты и
извлекает из них необходимые данные.
Чтобы защитится от подобных "слухачей" и
других методов взлома, таких как:
DNS Spoofing, DoS (Denial of Service Attacks) и тд.
и тп. необходимо следовать следующим мероприятиям:
Общие:
- запретить доступ извне ко всем ресурсам локальной
сети за исключением тех, к которым этот доступ должен
быть организован для производственных целей и задач;
По наиболее популярным ресурсам:
- запретить использование удаленного терминального
доступа посредством:
telnet, rlogin
и заменить его на использование slogin (SSH - Secure
Shell) который до начала соединения уже производит шифрацию
данных и использует большое количество методов авторизации
и шифрации при работе;
- запретить использование:
rsh, rcp
и заменить на альтернативный вариант:
ssh, scp
из пакета SSH;
- запретить использование ftp с пользовательской авторизацией,
разрешить использовать только public/anonymous доступ,
предоставив пользователям в качестве альтернативного
решения:
sftpserver и sftp клиент
из проекта SSH и связанных с ним программных средств;
OpenSSH - http://www.openssh.org/
SSH - http://www.ssh.com/
- запретить удаленную работу с почтой из-за пределов
вашей локальной или
корпоративной сети через протоколы:
pop3, imap
предоставив в качестве альтернативного решения работу
с этими протоколами через SSL(Secure Sockets Layer)
и TSL(Transport Layer Security):
pop3,imap via SSL
Использовать stunnel или sslwrap
OpenSSL - http://www.openssl.org/
Stunnel - http://www.stunnel.org/
SSLWrap - http://www.rickk.com/sslwrap/
- постоянно следить за работой ваших primary dns серверов
и развитием программного обеспечения известного как
bind, желательно установить версию bind9, в остальных
случаях постоянно следить за security и исправлениям
к версиям bind4 и bind8:
http://www.isc.org/products/BIND/
http://www.isc.org/products/BIND/bind-security.html
в качестве альтернативного решения, заменить bind
на djbdns написанного доктором Бернштейном для Non-DMZ
сетей:
http://cr.yp.to/djbdns.html
Примечание: постоянно делать страховочные копии всей
структуры DNS после каждого изменения.
- Проверить, как и кому, вы разрешаете импортировать
ваши файловые системы по сети посредством NFS, посмотреть
возможности вашей версии NFS на наличие и возможность
использования ключей "ro","nosuid"
и тд. и тп.
- запретить обращение к tcp/udp портам соответствующим
работе с NFS извне.
- в больших локальных или корпоративных сетях часто
используют кластерные решения на базе NIS(YP)/NIS+ разработанного
фирмой Sun Microsystems для управления базами пользователей,
групп, компьютеров и тд. и тп. В случае если вы используете
NIS, по возможности, замените его на NIS+, который имеет
большую степень безопасности и работает через SecureRPC
или воспользуйтесь одной из последних версий NIS и делайте
резервные копии ваших баз после каждого изменения.
- использование tcpwrapper'ов для защиты сетевых служб:
ftp://ftp.porcupine.org/pub/security/
- устанавливайте Apache httpd сервер с поддержкой протокола
https,
http over ssl:
http://www.apache-ssl.org/
или
http://www.modssl.org/
Apache Security page:
http://httpd.apache.org/docs/misc/FAQ.html
http://httpd.apache.org/docs/misc/security_tips.html
- защита MTA: sendmail/qmail/postfix описана на сайтах
оригиналов и в руководствах распространяемых в дистрибутивах
пакетов:
http://www.sendmail.org/ ; http://sendmail.net/
http://www.qmail.org/
http://www.postfix.org/
Ссылки на AntiSpam:
http://www.mail-abuse.net/ - MAPS
http://spam.abuse.net/ - Boycott Internet Spam
http://www.abuse.net/ - Network Abuse Clearinghouse
http://www.cauce.org/ - Coalition Against Unsolicited
Commercial Email (CAUCE)
http://www.spamfree.org/ - Forum for Responsible and
Ethical Email
- VPN (Virtual Private Networks) поверх уже существующих
сетевых соединений
можно устанавливать Виртуальные Личные Сети, информация
может быть найдена:
http://sunsite.auc.dk/vpnd/
http://www.xs4all.nl/~freeswan/
http://www.strongcrypto.com/
http://www.ietf.org/html.charters/ipsec-charter.html
По мониторингу сети (существует ряд достаточно эффективных
средств, часть которых уже упоминалась выше):
- Argus: ftp://ftp.sei.cmu.edu/pub/argus-1.5
- Arpwatch: ftp://ftp.ee.lbl.gov/
- Netlog: ftp://net.tamu.edu/pub/security/TAMU/
- NetSaint: http://www.netsaint.org/
- NFSWatch nfs request monitor: ftp://coast.cs.purdue.edu/pub/tools/unix/nfswatch/
Сетевые анализаторы:
- Ethereal: http://www.ethereal.com/
- Ettercap: http://ettercap.sourceforge.net/
- IPlog: http://ojnk.sourceforge.net/
Сетевые порт сканеры:
- Abacus: http://www.psionic.com/abacus/
- ISS: ftp://aql.gatech.edu/pub/security/iss
- Nessus: http://www.nessus.org/
- Saint: http://www.wwdsi.com/~saint
- Satan: http://www.trouble.org/~zen/satan/satan.html
- Nmap: http://www.insecure.org/nmap/dist/
Firewalls (сетевые щиты):
- Freestone: ftp://coast.cs.purdue.edu/pub/tools/unix/freestone
(свободная версия Brimstone firewall by SOS Corp.)
- IPFilter: http://coombs.anu.edu.au/~avalon/
http://www.obfuscation.org/ipf/
FreeBSD встроенные: IPFW/IPFilter, http://www.freebsd.org/
коммерческие:
- Cisco PIX, http://www.cisco.com/
- CheckPoint Firewall-1, http://www.checkpoint.com/
- Gauntlet, http://www.nai.com/
Firewall FAQ: http://www.interhack.net/pubs/fwfaq/
Purdue University: http://www.cerias.purdue.edu/coast/firewalls/
Коммерческие Firewall список: http://www.thegild.com/firewall/
Утилиты:
- Dig: ftp://venera.isi.edu/pub/
- Identd/Pidentd: ftp://ftp.lysator.liu.se/pub/ident/servers
- Strobe: ftp://suburbia.apana.org.au/pub/
- TCP Wrapper: ftp://ftp.win.tue.nl/pub/security/
- Tcpdump: ftp://ftp.ee.lbl.gov/
- Traceroute: ftp://ftp.psc.edu/pub/net_tools/
- Lsof: ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/
- с помощью любого из выбранных и установленных вами
Firewall закройте доступ ко всем внутренним службам
по портам tcp/udp которые, не должны быть доступны из
внешнего мира, порты известных служб:
http://www.portsdb.org/
http://www.isi.edu/in-notes/iana/assignments/port-numbers
http://www.amaranthnetworks.com/nat/ports.html
http://www.good-stuff.co.uk/useful/portfull.html
http://www.chebucto.ns.ca/~rakerman/port-table.html
Порты, на которых часто размещают троянов, черные ходы
и вирусы:
http://advice.networkice.com/Advice/Exploits/Ports/default.htm
Некоторые материалы для изучения:
Руководства Robert Graham'а:
http://www.robertgraham.com/pubs/network-intrusion-detection.html
- о вторжениях
http://www.robertgraham.com/pubs/sniffing-faq.html
- о слухачах
http://www.robertgraham.com/pubs/firewall-seen.html
- анализ статистики Firewall'ов
Описание взлома различных служб, ссылки и руководства
по security:
http://www.cerias.purdue.edu/coast/coast.html - COAST
Университета Purdue
http://www.securityfocus.com/
http://securityportal.com/
http://packetstorm.securify.com/
http://www.sans.org/
http://advice.networkice.com/Advice/Exploits/default.htm
Русскоязычные информационные сайты по безопасности,
которые не просто
заслуживают внимания, это достойные уважения Проекты:
http://www.void.ru/ - один из лучших Российских проектов
по Безопасности
http://www.hackzone.ru/ == http://bugtraq.ru/ == Russian
BugTraq
http://security.tsu.ru/ - Библиотека сетевой безопасности
http://www.security.nnov.ru/ - Компьютерная безопасность
Регулярное чтение и изучение этих материалов будет
полезно для тех, кто занимается компьютерной безопасностью.
7. Меры по страхованию основных ресурсов локальной
сети - создание резервных
копий для последующего восстановления.
Резервные копии файловых систем, важных архивов, статистических
файлов являются очень важным материалом не только на
случай страхования информации, но и для дальнейшего
разбора и анализа важных файлов системной статистики,
необходимой для обнаружения типов и методов вторжения:
кто, откуда, как и зачем...
Для проведения работ по backup'ированию систем необходимо
выработать систему архивирования и расписание:
1. Выбрать носитель архивирования в зависимости от
объема того или иного
ресурса подлежащего архивированию:
- Backup Tape Robot
- Backup Tape Libraries
- Backup Tape Streamer
- Backup Magnitooptical [Jukebox]
- Backup CD-R/CD-RW [Jukebox]
2. Определить частоту Полного архивирования системы
3. Определить расписание архивирования изменяемых частей
системы [систем]
4. Определить частоту и технологию архивации системной
статистики.
8. Меры, предпринимаемые в случае взлома ресурсов локальной
сети.
Допустим, вы обнаружили, что вас взламывают или производят
вторжение, ваши действия:
1. Сохранить спокойствие, поспешные действия могут
причинить гораздо больше вреда, чем хакеры.
Далее в зависимости от типа вторжения:
a) физическое
b) локальное или локальной сети
c) из внешней сети
Вам необходимо в случае a):
2a. Оповестить службу охраны помещения, предприятия,
института, фирмы и действовать согласно их рекомендации.
2b. Необходимо провести личную беседу и выяснить действительно
ли этот пользователь осуществил взлом или кто-либо воспользовался
его учетной записью. В случае если пользователь признался
в содеяном, вы должны принять меры в соответствии с
вашей локальной сетевой и административной политикой.
В ином случае заблокировать данную учетную запись или
расставить ловушки и взять под наблюдение, сообщив о
данном инциденте в вашу сетевую службу безопасности.
2c. Оповестить службу сетевой безопасности и службу
сетевого центра вашей локальной или корпоративной сети
и следовать их рекомендациям.
3. В зависимости от типа соединения обнаруженного вторжения,
отсоединить физический сетевой носитель: модем, ethernet
или twisted-pair кабель и тд. и тп. для того чтобы предотвратить
дальнейшие разрушения и изменения в системе. Если невозможно
физическое отсоединение от сети, необходимо закрыть
доступ этому пользователю любыми возможными средствами:
- заблокировать учетную запись
- закрыть сетевой доступ адресу[ам] с которых произошло
вторжение через любой доступный метод, заканчивая Firewall
- после этого закрыть все рабочие сеансы этого [их]
пользователей и завершить их сеансы
4. После указанных действий продолжить более пристальный
и внимательный мониторинг системы, на случай если взломщики
попытаются вернуться.
Если вы обнаружили что факт взлома или вторжения уже
произошел:
1. Сообщить в службу безопасности и следовать их рекомендациям.
2. Попытаться обнаружить методы взлома и оставленные
черные ходы.
3. Устранить недостатки в безопасности:
- применить все исправления системы, существующие на
данный момент - произвести upgrade системы с применением
соответствующих исправлений
- установить заново стабильную версию системы с применением
всех правок,
затем, используя backup восстановить необходимые вам
и пользователям данные, не относящиеся к самой системе
(самый правильный и надежный вариант, поскольку нельзя
быть полностью уверенным в том, что вы нашли все проблемы
security, которыми воспользовались взломщики)
Последний шаг: Допустим, вы выполнили все пункты и
уверены в том, что ваша система в данный момент в безопасности,
хорошим тоном будет сообщить о происшедшем инциденте
дополнительно в CERT или иные подобные институты, с
описанием всего, что касается вторжения.
Заключение.
Безопасность ваших сетей и систем в ваших руках, не
забывайте об этом и создайте себе комфортные и безопасные
условия работы.
Другие статьи
По всем вопросам и предложениям по сайту пишите на info@comp-info.ru
|
