Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Защита сервисов

Подписаться на эту рубрику по RSS

Почтовые сервисы.

Рубрика: Безопасность | Защита сервисов
Метки: | |
Дата: 22/09/2009 11:00:23

Для защиты почтовых сервисов надо понимать, для чего применяется тот или иной субъект системы электронной почты.

     Агент передачи почты (Mail Transfer Agent, MTA) - программа, передающая почту с одной машины на другую. Наиболее известным МТА представляется, конечно, же Sendmail. MTA - это боец невидимого фронта - очень часто пользователь даже и не подозревает о его существовании. Для чтения и отправки e-mail пользователи используют Почтовый Пользовательский Агент (Mail User Agent, MUA). Примеры MUA: Mutt, Pine, Kmail, Evolution.

Далее...

Сервер имен выполняет две роли: разрешает запросы клиентов и выступает в роли авторитетного сервера для какой-то зоны. Представим, что у нас есть средняя компания. Имеется домен www.test.net. Целесообразно разделить функции серверов имен.

     Один сервер имен будет находиться во внутренней сети и разрешать запросы клиентов - это будет сервер для внутреннего употребления. Второй сервер будет авторитетным для зоны - он будет отвечать на запросы интернет-пользователей для этой зоны. Месторасположение данного сервера - нейтральная зона (DMZ).

Далее...

Так как TSIG-ключи можно добавить в конфигурационный файл каждой машины, их употребление не очень практично. Во-первых, когда имеется много серверов имен, то при изменении ключей придется проделать много действий. А во-вторых, если крекер получит доступ к серверу имен, он получит и TSIG-ключи, что позволит ему отправлять подделанные сообщения другим серверам от имени этого сервера.

     DNSSEC (DNS Security Extensions) - набор расширений протокола DNS, использующий РКС и цифровые подписи для осуществления безопасных транзакций между серверами и клиентами (или между серверами и серверами). Подробное описание DNSSEC можно найти в RFC 2535. Рассмотрим, как надо реализовать эту систему в DNS.

     Технология DNSSEC - это не абсолютно новая концепция, ей уже несколько лет, и ее уже успели опробовать.

Далее...

     Запуск BIND от имени непривилегированного пользователя.

     Обычно BIND всегда запускался от имени root, но, учитывая все его уязвимости, это делать нежелательно, так как позволяет легко скомпрометировать систему.

     Начиная с версии 8.1.2, появилась возможность запуска BIND от имени простого пользователя. Прежде BIND стартует от имени root - для того, чтобы сесть на 53 порт, а затем сбрасывает полномочия root и принимает полномочия указанного с помощью опции -n пользователя:

# named -n named
     Для запуска named нужно создать новую учетную запись, а не запускать от имени nobody, от имени которого и так запущено много процессов.

Далее...

Сервер имен BIND стал стандартом де-факто на DNS-серверы, иногда слово BIND применяется как синоним DNS. BIND применяется повсюду: и в маленькой сети с выходом в Интернет, и в немалой корпоративной закрытой сети, и в сети интернет-провайдера...

     Также BIND прославился в плане уязвимостей. Подробное описание всех исправленных багов во всех версиях BIND доступно по адресу:

http://www.isc.org/sw/bind/bind-security.php

Далее...

Приложение NIS.

Рубрика: Безопасность | Защита сервисов
Метки: |
Дата: 19/08/2009 14:23:36

     Что такое NIS?

     Network Information Service (NIS), известный также как Yellow Pages или YP (название было изменено из-за проблем с авторскими правами), применяется для распространения информации по машинам сети. Так как информация хранится централизованно на одном узле сети (этот узел называется мастером), NIS дает возможность легко синхронизировать данные. Чаще всего он применяется для распространения файлов /etc/passwd по сети - чтобы убедится, что на каждой машине сети одинаковые копии файла passwd.

Кроме файла passwd, NIS может употребляться для распространения прочих важных файлов, к примеру /etc/hosts, /etc/resolv.conf, /etc/exports и т.д.

Далее...

NFS позволяет предоставить общий доступ к каталогам Unix-машины. Небезопасность NFS, и в частности NIS, связана с RPC - по количеству всевозможных эксплоитов RPC представляется негласным лидером (если не считать Sendmail). Так как эти протоколы предназначены для внутренних сетей, защищать их придется от «своих» пользователей. Хотя перед их применением нужно решить, действительно ли они нужны.

     В домашней сети они могут быть достаточно полезными, но в корпоративной сети из соображений безопасности лучше найти им более безопасную альтернативу.

     Файловая система NFS.

     Сетевая файловая система (Network File System, NFS) была разработана компанией Sun как средство доступа к файлам, размещенным на прочих Unix-машинах в пределах локальной сети. При разработке NFS безопасность вообще не учитывалась, что с годами стало причиной многих уязвимостей.

     NFS может работать по протоколу TCP или UDP, она использует систему RPC, а это означает, что должны быть запущены следующие часто уязвимые приложения: portmapper, nfs, nlockmgr (lockd), rquotad, statd и mountd.

     Не надо запускать NFS - нужно найти альтернативное решение. Если же NFS все-таки нужна, здесь будет рассказано о том, как нужно минимизировать риск ее использования.

Далее...