Содержание
  ДОМОЙ
  НОВОСТИ  
  IT АКАДЕМИЯ
  WAP-ВЕРСИЯ
  ФОРУМ
  БЕЗОПАСНОСТЬ
  ПРОГРАММИРОВАНИЕ
  ИНСТРУМЕНТ ВЕБМАСТЕРА
  ВСЁ ДЛЯ КПК
  СТАТЬИ NEW
  СОФТ
  ВИДЕО
  X-INFO
  ПРОКСИ ЛИСТ
  IT МУЗЫКА
  АНЕКДОТЫ
  ССЫЛКИ
  ТЕХ. ПОДДЕРЖКА
  ПРАВООБЛАДАТЕЛЯМ
  О НАС

 

Ваш IP

54.162.3.15

Человек на сайте На сайте: 335 человек(а)

Здесь могла бы
быть Ваша
РЕКЛАМА




Рекомендации по безопастности

Информацию предоставил Micke


Рекомендации по обеспечению и увеличению безопасности системы (интернет сети)
Безопасность в целом зависит от большого количества параметров и факторов. Укрупненно можно представить следующий набор критериев:

1. Меры безопасности района проводимых работ.

2. Меры безопасности зданий и их помещений, где проводятся работы.

3. Меры безопасности персонала и исполнение самим персоналом норм установленных соответствующими инструкциями.

4. Меры безопасности используемых технологий.

Схему безопасности в компьютерных технологиях представляют:
1. Меры безопасности помещения, где расположено оборудование.
2. Меры безопасности по предотвращению физического взлома, включения и несанкционированного доступа к компьютерному оборудованию.

3. Меры по локальной безопасности.
4. Меры по безопасному хранению данных.
5. Меры по безопасности ядра системы и самой системы.
6. Меры по безопасности локальной сети и сетевых ресурсов.
7. Меры по страхованию основных ресурсов локальной сети - создание резервных копий для последующего восстановления.
8. Меры, предпринимаемые в случае взлома ресурсов локальной сети.
Рассмотрим более подробно:

1. Меры безопасности помещения, где расположено оборудование.
Помещения, где располагается основное компьютерное оборудование должно быть отделено от оборудования общего пользования и выделено в отдельное аппаратное помещение с соответствующей сигнализационной охраной, специальными дверями, сейфовыми или специальными замками и другими мерами предосторожности.
Соответствующие меры, оборудования и правила по данному пункту могут быть получены в службе безопасности или в охранных агентствах.
2. Меры безопасности по предотвращению физического взлома, включения и несанкционированного доступа к компьютерному оборудованию.
В этом пункте подразумевается физический доступ к консолям, пультам управления и другим устройствам компьютеров, серверов, посредством которого можно преодолеть барьеры безопасности и проникнуть в компьютеры, сервера и сети организации, предприятия, компании и тд. и тп.
Меры защиты:

- использование специальных корпусов с возможностью их блокирования от вскрытия или доступа к устройствам позволяющим перезагружать компьютеры, сервера с последующим проникновением в их систему;
- использование специальных корпусов позволяющих блокировать системы ввода информации при несанкционированном доступе к оборудованию;
- использование возможностей BIOS в случае Intel-base платформы для задания паролей для защиты от несанкционированного доступа или возможностей EEPROM на других платформах для задания пароля и защиты от взлома
- использование паролей в загрузчиках систем, так называемых boot loader'ах для защиты от проникновения через системные консоли или пульты управления;
- ведение протоколов на системах с целью обнаружения несанкционированной перезагрузки оборудования, изменения самого оборудования или его отдельных компонент, обнаружения даты и времени произведенного несанкционированного доступа и использования привелигерованных системных ресурсов для произведения незаконных действий.
3. Меры по локальной безопасности.
Безопасность систем и сети не может быть построена на доверии и локальные пользователи не являются исключением. В связи с этим системные и сетевые администраторы должны иметь строгую и жесткую организационную и административную политику со строгими рамками ответственности и наказаний:
- регистрации компьютеров и систем в сети с ведением базы данных по этой информации;
- регистрации и заведения пользователей в системе;
- использование дополнительных средств криптозащиты: Kerberos, S/Key, OpenSSL;
- предоставления пользователям прав в рамках строго соответствующих
выполняемой работы;
- предоставления прав доступа к ресурсам и устройствам строго в рамках
тематики работы;
- систематической смены, как административных паролей, так и паролей
пользователей в принудительном порядке;
- строго собирать статистическую информацию по работе систем, работе пользователей на этих системах и другую статистическую информацию необходимую для анализа состояния безопасности;
- проведения систематических работ по анализу собираемой статистической инфор- мации в целях обнаружения, как нарушения безопасности систем, так и попыток ее взлома или обхода;
- постоянного слежения за возникающими ошибками в системе и за развитием
самой системой;
- создание или использование систем проверки и слежения за целостностью
самой системы;
- своевременного апгрейда системы или исправления ошибок, как минимум в
плане безопасности;
- создание локальной службы компьютерной безопасности с соответствующими
правами и обязанностями.
В соответствии с используемой системой, ниже приводится список ссылок содержащих наборы исправлений, как самой системы, так и подсистем её
безопасности:
The FreeBSD Security: http://www.freebsd.org/security/
The FreeBSD Security Ports: http://www.freebsd.org/ports/security.html
The FreeBSD Security Patches: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/
The FreeBSD Security Contact: security-officer@FreeBSD.org
Комплексы и программы:
Для проверки целостности системы:
Aide: http://www.cs.tut.fi/~rammer/aide.html
Cops: http://www.fish.com/cops/
FileTraq: http://filetraq.xidus.net/
Integrit: http://integrit.sourceforge.net/
Osiris: http://www.shmoo.com/osiris/
Samhain: http://www.la-samhna.de/
Tripwire: http://www.tripwire.org/
ViperDB: http://www.resentment.org/projects/viperdb/index.html
Для проверки хостов:
ARPCI (Automated RPCInfo) - Unix RPC Vulnerability Scanner:
- http://www.tpgn.net/projects/
Syscheck, Logcheck:
- http://www.sabernet.net/software/
Psionic Logcheck, PortCheck and Hostcheck:
- http://www.psionic.com/
Для проверки логов, файлов содержащих статистическую информацию:
Logsurf:
- http://www.cert.dfn.de/eng/logsurf/
Logcheck:
- http://www.sabernet.net/software/
Psionic Logcheck:
http://www.psionic.com/
Nlog:
- http://www.digitaloffense.net/index.html?section=PROJECTS
Tailbeep - check file messages.log:
- http://soomka.com/
Каким должен быть безопасный пароль:

- http://consult.cern.ch/writeup/security/security_3.html
Замена telnet/ftp/rlogin/rsh/rcp - SSH (включает slogin/ssh/scp/sftp-server
и sftp клиент):

- http://www.openssh.com/ - свободно распространяемый продукт
- http://www.ssh.com/ - коммерческий продукт (см. Лицензионное соглашение)
Обнаружение "Троянских коней" и "Черных ходов":

- http://www.chkrootkit.org/
4. Меры по безопасному хранению данных.
Для сохранности данных, как личного порядка, так и рабочих данных, необходимо чтобы системный администратор имел действенную политику разграничения пользователей по группам, классам и тд. и тп., и вести необходимую политику по авторизованному доступу к файловым системам, директориям и отдельным файлам системы.
Пользователи в свою очередь могут воспользоваться программами шифрации собственных данных для их безопасного хранения и проведению собственной политики безопасного доступа к данным:
Для безопасного хранения собственных данных:
PGP - http://www.pgp.com/
PGP International - http://www.pgpinternational.com/
GnuPG - http://www.gnupg.org/
К безопасному хранению данных относится и их резервное хранение, этот пункт будет рассмотрен ниже.
5. Меры по безопасности ядра системы и самой системы.
В настоящий момент, большинство Unix-подобных систем имеет дополнительные улучшения безопасности системы в Ядре и самого Ядра, данный пункт исключительно индивидуален и описания и рекомендации для систем могут быть найдены на сайтах конкретно интересующих вас систем, некоторые приведены ниже:
FreeBSD: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/security.html
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig.html
6. Меры по безопасности локальной сети и сетевых ресурсов.
В случае, если ваши вычислительные ресурсы объединены в локальную сеть, необходимо строго соблюдать меры безопасности сетевых ресурсов, это особенно актуально если ваша локальная или корпоративная сеть имеет еще и выход в Internet.
Время показывает, что взломы и несанкционированный доступ в локальные или корпоративные сети в настоящее время происходит гораздо чаще, чем физические или локальные нарушения мер безопасности, вот почему сетевая безопасность, одна из важнейших компонент безопасности в целом.
Для сохранности локальных или корпоративных сетей от вторжений существует достаточно много разнообразных средств и продуктов, чтобы структурировано подойти к их применению, попробуем классифицировать основные сетевые ресурсы и с этой точки зрения рассматривать системы сетевой безопасности:
К наиболее распространенным сетевым службам можно отнести:
- ftp (program that use "file transfer protocol" for files download/upload)
- telnet (remote login for terminal session)
- mail
- MTA: Sendmail/Qmail/Postfix and etc
- Protocols for remote mail-access: POP3[2], IMAP
- named (dns - domain name systems to translate between domain names and ip address)
- rlogin,rsh,rcp (remote login for terminal session, remote shell, remote copy)
- nfs (network file system for export/import filesystems via network)
- nis (network information service - well-known as yp)
- http (hyper text transfer protocol)
Все эти службы практически не защищены, но необходимы для полноценной работы сети.
Известно, что TCP/IP - clear-text protocol, те все передаваемый по сети данные идут в чистом, не шифрованном виде, это означает что хакеры, грамотные программисты, службы security или государственные службы имеют возможность прослушивать проходящие по сети данные с помощью свободно распространяемых в сети пакетов "sniffer"-ов или самостоятельно написав подобную программу "слухач", которая прослушивает все проходящие сетевые пакеты и извлекает из них необходимые данные.
Чтобы защитится от подобных "слухачей" и других методов взлома, таких как:
DNS Spoofing, DoS (Denial of Service Attacks) и тд. и тп. необходимо следовать следующим мероприятиям:
Общие:
- запретить доступ извне ко всем ресурсам локальной сети за исключением тех, к которым этот доступ должен быть организован для производственных целей и задач;
По наиболее популярным ресурсам:

- запретить использование удаленного терминального доступа посредством:
telnet, rlogin
и заменить его на использование slogin (SSH - Secure Shell) который до начала соединения уже производит шифрацию данных и использует большое количество методов авторизации и шифрации при работе;
- запретить использование:
rsh, rcp
и заменить на альтернативный вариант:
ssh, scp
из пакета SSH;
- запретить использование ftp с пользовательской авторизацией, разрешить использовать только public/anonymous доступ, предоставив пользователям в качестве альтернативного решения:
sftpserver и sftp клиент
из проекта SSH и связанных с ним программных средств;
OpenSSH - http://www.openssh.org/
SSH - http://www.ssh.com/
- запретить удаленную работу с почтой из-за пределов вашей локальной или
корпоративной сети через протоколы:
pop3, imap
предоставив в качестве альтернативного решения работу с этими протоколами через SSL(Secure Sockets Layer) и TSL(Transport Layer Security):
pop3,imap via SSL
Использовать stunnel или sslwrap
OpenSSL - http://www.openssl.org/
Stunnel - http://www.stunnel.org/
SSLWrap - http://www.rickk.com/sslwrap/
- постоянно следить за работой ваших primary dns серверов и развитием программного обеспечения известного как bind, желательно установить версию bind9, в остальных случаях постоянно следить за security и исправлениям к версиям bind4 и bind8:
http://www.isc.org/products/BIND/
http://www.isc.org/products/BIND/bind-security.html
в качестве альтернативного решения, заменить bind на djbdns написанного доктором Бернштейном для Non-DMZ сетей:
http://cr.yp.to/djbdns.html
Примечание: постоянно делать страховочные копии всей структуры DNS после каждого изменения.
- Проверить, как и кому, вы разрешаете импортировать ваши файловые системы по сети посредством NFS, посмотреть возможности вашей версии NFS на наличие и возможность использования ключей "ro","nosuid" и тд. и тп.
- запретить обращение к tcp/udp портам соответствующим работе с NFS извне.
- в больших локальных или корпоративных сетях часто используют кластерные решения на базе NIS(YP)/NIS+ разработанного фирмой Sun Microsystems для управления базами пользователей, групп, компьютеров и тд. и тп. В случае если вы используете NIS, по возможности, замените его на NIS+, который имеет большую степень безопасности и работает через SecureRPC или воспользуйтесь одной из последних версий NIS и делайте резервные копии ваших баз после каждого изменения.
- использование tcpwrapper'ов для защиты сетевых служб:
ftp://ftp.porcupine.org/pub/security/
- устанавливайте Apache httpd сервер с поддержкой протокола https,
http over ssl:
http://www.apache-ssl.org/
или
http://www.modssl.org/
Apache Security page:
http://httpd.apache.org/docs/misc/FAQ.html
http://httpd.apache.org/docs/misc/security_tips.html
- защита MTA: sendmail/qmail/postfix описана на сайтах оригиналов и в руководствах распространяемых в дистрибутивах пакетов:
http://www.sendmail.org/ ; http://sendmail.net/
http://www.qmail.org/
http://www.postfix.org/
Ссылки на AntiSpam:
http://www.mail-abuse.net/ - MAPS
http://spam.abuse.net/ - Boycott Internet Spam
http://www.abuse.net/ - Network Abuse Clearinghouse
http://www.cauce.org/ - Coalition Against Unsolicited Commercial Email (CAUCE)
http://www.spamfree.org/ - Forum for Responsible and Ethical Email
- VPN (Virtual Private Networks) поверх уже существующих сетевых соединений
можно устанавливать Виртуальные Личные Сети, информация может быть найдена:
http://sunsite.auc.dk/vpnd/
http://www.xs4all.nl/~freeswan/
http://www.strongcrypto.com/
http://www.ietf.org/html.charters/ipsec-charter.html
По мониторингу сети (существует ряд достаточно эффективных средств, часть которых уже упоминалась выше):
- Argus: ftp://ftp.sei.cmu.edu/pub/argus-1.5
- Arpwatch: ftp://ftp.ee.lbl.gov/
- Netlog: ftp://net.tamu.edu/pub/security/TAMU/
- NetSaint: http://www.netsaint.org/
- NFSWatch nfs request monitor: ftp://coast.cs.purdue.edu/pub/tools/unix/nfswatch/
Сетевые анализаторы:
- Ethereal: http://www.ethereal.com/
- Ettercap: http://ettercap.sourceforge.net/
- IPlog: http://ojnk.sourceforge.net/
Сетевые порт сканеры:
- Abacus: http://www.psionic.com/abacus/
- ISS: ftp://aql.gatech.edu/pub/security/iss
- Nessus: http://www.nessus.org/
- Saint: http://www.wwdsi.com/~saint
- Satan: http://www.trouble.org/~zen/satan/satan.html
- Nmap: http://www.insecure.org/nmap/dist/
Firewalls (сетевые щиты):
- Freestone: ftp://coast.cs.purdue.edu/pub/tools/unix/freestone
(свободная версия Brimstone firewall by SOS Corp.)
- IPFilter: http://coombs.anu.edu.au/~avalon/
http://www.obfuscation.org/ipf/
FreeBSD встроенные: IPFW/IPFilter, http://www.freebsd.org/
коммерческие:
- Cisco PIX, http://www.cisco.com/
- CheckPoint Firewall-1, http://www.checkpoint.com/
- Gauntlet, http://www.nai.com/
Firewall FAQ: http://www.interhack.net/pubs/fwfaq/
Purdue University: http://www.cerias.purdue.edu/coast/firewalls/
Коммерческие Firewall список: http://www.thegild.com/firewall/
Утилиты:
- Dig: ftp://venera.isi.edu/pub/
- Identd/Pidentd: ftp://ftp.lysator.liu.se/pub/ident/servers
- Strobe: ftp://suburbia.apana.org.au/pub/
- TCP Wrapper: ftp://ftp.win.tue.nl/pub/security/
- Tcpdump: ftp://ftp.ee.lbl.gov/
- Traceroute: ftp://ftp.psc.edu/pub/net_tools/
- Lsof: ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/

- с помощью любого из выбранных и установленных вами Firewall закройте доступ ко всем внутренним службам по портам tcp/udp которые, не должны быть доступны из внешнего мира, порты известных служб:
http://www.portsdb.org/
http://www.isi.edu/in-notes/iana/assignments/port-numbers
http://www.amaranthnetworks.com/nat/ports.html
http://www.good-stuff.co.uk/useful/portfull.html
http://www.chebucto.ns.ca/~rakerman/port-table.html
Порты, на которых часто размещают троянов, черные ходы и вирусы:
http://advice.networkice.com/Advice/Exploits/Ports/default.htm
Некоторые материалы для изучения:
Руководства Robert Graham'а:
http://www.robertgraham.com/pubs/network-intrusion-detection.html - о вторжениях
http://www.robertgraham.com/pubs/sniffing-faq.html - о слухачах
http://www.robertgraham.com/pubs/firewall-seen.html - анализ статистики Firewall'ов
Описание взлома различных служб, ссылки и руководства по security:
http://www.cerias.purdue.edu/coast/coast.html - COAST Университета Purdue
http://www.securityfocus.com/
http://securityportal.com/
http://packetstorm.securify.com/
http://www.sans.org/
http://advice.networkice.com/Advice/Exploits/default.htm
Русскоязычные информационные сайты по безопасности, которые не просто
заслуживают внимания, это достойные уважения Проекты:
http://www.void.ru/ - один из лучших Российских проектов по Безопасности
http://www.hackzone.ru/ == http://bugtraq.ru/ == Russian BugTraq
http://security.tsu.ru/ - Библиотека сетевой безопасности
http://www.security.nnov.ru/ - Компьютерная безопасность
Регулярное чтение и изучение этих материалов будет полезно для тех, кто занимается компьютерной безопасностью.
7. Меры по страхованию основных ресурсов локальной сети - создание резервных
копий для последующего восстановления.
Резервные копии файловых систем, важных архивов, статистических файлов являются очень важным материалом не только на случай страхования информации, но и для дальнейшего разбора и анализа важных файлов системной статистики, необходимой для обнаружения типов и методов вторжения: кто, откуда, как и зачем...
Для проведения работ по backup'ированию систем необходимо выработать систему архивирования и расписание:
1. Выбрать носитель архивирования в зависимости от объема того или иного
ресурса подлежащего архивированию:
- Backup Tape Robot
- Backup Tape Libraries
- Backup Tape Streamer
- Backup Magnitooptical [Jukebox]
- Backup CD-R/CD-RW [Jukebox]
2. Определить частоту Полного архивирования системы
3. Определить расписание архивирования изменяемых частей системы [систем]
4. Определить частоту и технологию архивации системной статистики.
8. Меры, предпринимаемые в случае взлома ресурсов локальной сети.
Допустим, вы обнаружили, что вас взламывают или производят вторжение, ваши действия:
1. Сохранить спокойствие, поспешные действия могут причинить гораздо больше вреда, чем хакеры.
Далее в зависимости от типа вторжения:
a) физическое
b) локальное или локальной сети
c) из внешней сети
Вам необходимо в случае a):
2a. Оповестить службу охраны помещения, предприятия, института, фирмы и действовать согласно их рекомендации.
2b. Необходимо провести личную беседу и выяснить действительно ли этот пользователь осуществил взлом или кто-либо воспользовался его учетной записью. В случае если пользователь признался в содеяном, вы должны принять меры в соответствии с вашей локальной сетевой и административной политикой. В ином случае заблокировать данную учетную запись или расставить ловушки и взять под наблюдение, сообщив о данном инциденте в вашу сетевую службу безопасности.
2c. Оповестить службу сетевой безопасности и службу сетевого центра вашей локальной или корпоративной сети и следовать их рекомендациям.
3. В зависимости от типа соединения обнаруженного вторжения, отсоединить физический сетевой носитель: модем, ethernet или twisted-pair кабель и тд. и тп. для того чтобы предотвратить дальнейшие разрушения и изменения в системе. Если невозможно физическое отсоединение от сети, необходимо закрыть доступ этому пользователю любыми возможными средствами:
- заблокировать учетную запись
- закрыть сетевой доступ адресу[ам] с которых произошло вторжение через любой доступный метод, заканчивая Firewall
- после этого закрыть все рабочие сеансы этого [их] пользователей и завершить их сеансы
4. После указанных действий продолжить более пристальный и внимательный мониторинг системы, на случай если взломщики попытаются вернуться.
Если вы обнаружили что факт взлома или вторжения уже произошел:
1. Сообщить в службу безопасности и следовать их рекомендациям.
2. Попытаться обнаружить методы взлома и оставленные черные ходы.
3. Устранить недостатки в безопасности:
- применить все исправления системы, существующие на данный момент - произвести upgrade системы с применением соответствующих исправлений
- установить заново стабильную версию системы с применением всех правок,
затем, используя backup восстановить необходимые вам и пользователям данные, не относящиеся к самой системе (самый правильный и надежный вариант, поскольку нельзя быть полностью уверенным в том, что вы нашли все проблемы security, которыми воспользовались взломщики)
Последний шаг: Допустим, вы выполнили все пункты и уверены в том, что ваша система в данный момент в безопасности, хорошим тоном будет сообщить о происшедшем инциденте дополнительно в CERT или иные подобные институты, с описанием всего, что касается вторжения.
Заключение.
Безопасность ваших сетей и систем в ваших руках, не забывайте об этом и создайте себе комфортные и безопасные условия работы.

Другие статьи

По всем вопросам и предложениям по сайту пишите на info@comp-info.ru
 


Содержание
  ДОМОЙ
  НОВОСТИ  
  IT АКАДЕМИЯ
  WAP-ВЕРСИЯ
  ФОРУМ
  БЕЗОПАСНОСТЬ
  ПРОГРАММИРОВАНИЕ
  ИНСТРУМЕНТ ВЕБМАСТЕРА
  ВСЁ ДЛЯ КПК
  СТАТЬИ NEW
  СОФТ
  ВИДЕО
  X-INFO
  ПРОКСИ ЛИСТ
  IT МУЗЫКА
  АНЕКДОТЫ
  ССЫЛКИ
  ТЕХ. ПОДДЕРЖКА
  ПРАВООБЛАДАТЕЛЯМ
  О НАС

 
Поиск по сайту
Утилиты

  Сниффер
  Лог сниффера
  MD5 и Base64
  Декодирование MD5 NEW
 Перекодировщик
  Проверить прокси
  Проверка анонимности
  Генерация пароля
  Скрипт определения IP
  Поиск информации
   Проверить IP (Whois)
   Узнать скорость закачки
   Добавить свой сайт в поисковые системы>
   Подсветка php-кода

ПОЛЕЗНАЯ ИНФОРМАЦИЯ:
  Список национальных доменных имен
  Компьютерные термины
  Смайлики
   Аналоги Win-программ в Linux
   Коды ответа HTTP сервера
   Записки невесты программиста

Здесь могла бы
быть Ваша
РЕКЛАМА





Права на содержащиеся на сайте материалы принадлежат авторам материалов и владельцам проекта.
Copyright Комп-Инфо.ру © 2005