Ђлександр Љолбасов. ‡дравый смысл брандмауэров

Ђлександр Љолбасов. ‡дравый смысл брандмауэров

Original is at Open Systems. Nets: #6/96
http://www.osp.ru/nets/1996/06/source/51.html

‘ети · # 6/96 · стр. 51-56

€сториЯ перваЯ

€сториЯ втораЯ

€сториЯ третьЯ

Ќеуловимый „жо

Ѓеззащитный Unix

‘амые важные слабости Unix

Џлохое администрирование

Џовторно используемые и плохие пароли

„ырки в ftp- и HTTP-серверах и CGI скриптах

Џроблемы с NFS/NIS

Џрограммы с переполнЯющимисЯ буферами

ЌеправильнаЯ синхронизациЯ событий

Ћшибки в SUID программах

‘амаЯ безопаснаЯ система

‚ыбираем пожарные стенки

Људа идти дальше?

ЊенЯ часто спрашивают, насколько актуальна проблема безопасности в Internet. Џриведу несколько занЯтных примеров, сопроводив их поучительной моралью длЯ солидности.

€сториЯ перваЯ

Ћдин банк подключилсЯ к Internet. ‚ конце месЯца он получил счет на весьма кругленькую сумму. Ћказалось, что за этот месЯц из банка утекло несколько сот(!) мегабайт информации и никто в банке не знает, что это была за информациЯ и кто ее заполучил. Џосле этого банк отключилсЯ от сети Internet (видимо вспомнив, что лучший Firewall - это заглушенный T-коннектор).

€сториЯ втораЯ

Њне как-то довелось поработать на компьютерах факультета Ѓиохимии “ниверситета ‚ейцмана в €зраиле. …стественно, что Я использовал чужой account (с разрешениЯ хозЯина, разумеетсЯ. —тобы вы лучше представили себе обстановку на месте, в какой-то момент в два часа ночи в вычислительном центре собралось семь работающих за компьютерами и все семь говорили по-русски и работали под чужими именами). џ быстро стал замечать, что творитсЯ что-то странное - приходит почта невесть от кого, в странном скрытом каталоге валЯютсЯ IRC-скрипты и т.д. ‚ладелец account-а про Unix знал весьма мало, про IRC не слышал никогда и почтой не пользовалсЯ. Ћднако он полагал, что все это - нормальные продукты деЯтельности системных администраторов (естественно, что пользователи не делают попыток понЯть ход мыслей загадочных существ, называемых системными администраторами и полагают, что те непрерывно проЯвлЯют некую демоническую активность в системе. Ђдминистраторы отвечают им полной взаимностью и справедливо считают, что пользователи мешают работе системы, засорЯют дисковое пространство и отнимают ценные процессорные циклы от компилЯции их программ).

‚скоре Я окончательно убедилсЯ, что у нас завелсЯ незванный гость. Џосле этого, мы сменили пароль и Я провел небольшое расследование, в результате чего выЯснилсЯ круг интересов взломщика и основные направлениЯ его компьютерных интересов, способ его входа в компьютерную сеть (через модемный вход на университетском компьютере), а также имена некоторых его друзей по IRC. ‘ этой информацией мы пошли к администратору всей местной сети, котораЯ сразу же менЯ перебила - "‡ачем вы мне все это рассказываете? ‚едь Я же не детектив!" ‘овершенно справедливое замечание. Ћна действительно не детектив и, как следствие, не системный администратор.

Љак оказалось впоследствии, по Internet ходили списки с логинами и паролЯми многих биофизиков, пользующихсЯ этим компьютером, и только ленивый там не пассЯ.

€сториЯ третьЯ

Ћднажды мне любезно предоставили account в одной организации, имеющей выход в Internet и несколько компьютеров Sun, использующих сетевую файловую систему NFS. —ерез некоторое времЯ мой account оказалсЯ взломан. ’ехника взлома была весьма типична (‚нимание, взломщики - информациЯ длЯ вас!) - по NFS был модифицирован мой файл ~/.rhosts и в него была добавлена строка "+", разрешившаЯ всем вход командой rlogin. џ рассказал об этом администраторам и мы обсудили методы взлома. —ерез пару дней компьютер перестал работать (вероЯтно, съев что-нибудь вроде "rm -rf /").

€з этих историй можно сделать несколько полезных выводов.

ЏодключаЯсь к Internet, желательно заранее подумать, кто и как сможет воспользоватьсЯ вашим подключением. Џотом думать может оказатьсЯ поздно.

„ве самые серьезные проблемы защиты в Internet и Unix - плохое администрирование и плохие пароли. Џлохой администратор - это навсегда, а с плохими паролЯми можно боротьсЯ. Љак - расскажу позже.

Ќе позволЯйте работать с "опасными" протоколами (типа NFS и Rlogin) через Internet. ќти удобные штучки годЯтсЯ только длЯ локальных сетей, да и то, только в случае, если вы доверЯете всем компьютерам и пользователЯм сети.

Ќеуловимый „жо

Ќадеюсь, что Я достаточно запугал вас этими страшными историЯми и вы бросаетесь к торговцам противопожарным оборудованием, надеЯсь купить брандмауэр самой последней модели, который раз и навсегда защитит вас от страшных бандитов и позволит с удобством вкушать прелести навигаторов, смотрелок и исследователей Internet. Ќеожиданно ваше начальство узнает, что в дополнение к тем немалым расходам, с которыми оно уже как-то смирилось (плата за инфо-линию - по-моему, теперь так принЯто называть выделенные линии), за некий загадочный "IP сервис", т.е. за продвижение ваших данных туда-сюда по сетЯм, за адреса, за имена неких доменов (не путать с демонами - о них позже), за нечто, называемое рутером или роутером в зависимости от места производства, всЯ работа которого состоит в том, что он забирает информацию из одного места и складывает в другое), нужно платить еще $15-20 тыс. долл. Ђ так как убедить начальство в Њоскве и, тем более, в других городах, в том, что Internet нужен длЯ чего-то еще кроме добываниЯ красивых фотографий (http://www.playboy.com), и так весьма трудно, то все радужные перспективы и надежды на http://altavista.digital.com становЯтсЯ весьма отдаленными.

“прощеннаЯ схема подключениЯ брандмауэра.

Њежду тем, если вы тот самый знаменитый Ќеуловимый „жо, то длЯ защиты от бандитов вам достаточно дешевого лассо и крепких дверей с навесным замком. ‘овершенно необЯзательно строить крепость и заливать водой рвы длЯ защиты продуктовой лавки. Ћднако же, если вы собираетесь перевозить достоЯние ђеспублики в почтовом дилижансе или в поезде, стоит принЯть более серьезные меры предосторожности. „лЯ защиты Ќеуловимого „жо вполне сойдут старые добрые пакетные фильтры на вашем маршрутизаторе в сочетании с толковым администратором. Ђ длЯ действительно надежной защиты вам не отделатьсЯ лишь одним самым замечательным продуктом с импортным названием "Firewall" на коробке.

Њораль - оцените степень риска, изучите вашу сеть, разработайте политику защиты, заручитесь поддержкой менеджеров и после этого срокойно идите на противопожарный рынок, прихватив с собой десЯток-другой килобаксов. —ем вы ценнее длЯ окружающих и чем меньше вы знаете про Internet тем больше придетсЯ выложить.

Ѓеззащитный Unix

‘истема Unix давно стала предметом религиозных войн и крестовых походов. Ќовый импульс этим войнам дало широкое распространение Internet и превращение его из кастового секрета хакеров в массовую игрушку и дойную корову длЯ бизнеса. €сторически Internet и Unix были слишком сильно переплетены. Ћсобенности программированиЯ и сложившаЯсЯ культура в мире Unix наложили отпечаток на протоколы, используемые в Internet, и на подход к защите. €з-за своей распространенности (и полной открытости) и слабой защищенности Unix стал любимой добычей длЯ взломщика. ‘ другой стороны именно Unix используетсЯ в качестве базы длЯ большинства современных систем защиты.

Љак справедливо заметил один мой друг, основнаЯ проблема Unix состоит в том, что он делает то, что ему говорЯт. ќто все тот же принцип WYSIWYG - What You Say Is What You Get.

Unix создавалсЯ по образу абсолютной монархии с формальными признаками демократии. Џростые подданные системы (юзеры) имеют достаточно мало полномочий длЯ того, чтобы нанести какой-либо реальный вред. Џолитические партии (группы) подданных имеют несколько больше прав и полномочий и у неискушенного туриста может создатьсЯ впечатление, что именно они и руковолЯт системой. Ћднако, на практике, все реальные и серьезные решениЯ принимает абсолютный монарх, мистер —арли ђут (Mr. Charlie Root). ’олько ему доступны все комнаты дворца, королевскаЯ печать, государственные архивы и королевскаЯ казна. ‚се подданные и всЯ жиззнь королевства подвластны ему, он волен заходить в любой дом, читать все документы и может по своему усмотрению убить или помиловать любого подданного или плод его деЯтельности - процесс (особенно это неприЯтно, когда подданный, решив, что процесс пошел, успокаиваетсЯ и идет спать).

Ћднако, видимо опасаЯсь государственного переворота, мистер ђут тщательно скрываетсЯ от своих подданных. „лЯ того, чтобы воспользоватьсЯ своими полномочиЯми ему требуетсЯ предъЯвить министру внутренних дел господину /etc/passwd свой паспорт длЯ проверки. ‚ паспорте содержитсЯ некое секретное слово (и в условном месте, известном господину министру, припрЯтано две крупинки соли). …сли все нормально, предъЯвитель паспорта получает знак монархической власти (uid 0). Љ сожалению, оказалось, что при современном развитии печатного дела паспорт можно подделать. ‚зломщики выдумали немало способов подглЯдывать за секретной процедурой показа паспорта. ‚ принципе, это похоже на кражу номеров кредитных телефонных карточек - в американских аэропортах пасутсЯ специальные прохожие, невзначай подсматривающие за набором номера на телефоне. Џризом длЯ них ЯвлЯетсЯ право на бесплатный (за счет клиента) звонок любимой тетушке на Ѓермуды. Џризом же длЯ удачливого вора, подделавшего пароль, ЯвлЯетсЯ полный контроль над могущественной империей Unix.

’ак как его ђутовское ‚еличество часто занЯт делами и его трудно найти, длЯ вершениЯ государственных дел у него есть штат доверенных лиц. €сполнЯющий обЯзанности в Unix называюетсЯ ‘юид (SUID), а исполнЯющий обЯзанности Њонарха называетсЯ ‘юид ђут (SUID root). Ћбычно ‘юид ђут имеет весьма ограниченный круг обЯзанностей и не представлЯет серьезной опасности длЯ безопасности. Ћднако некоторые недостойные умудрЯютсЯ использовать выданный им длЯ отправлениЯ обЯзанностей монархический знак (uid 0) длЯ непредусмотренных действий и могут, в принципе, воспользоватьсЯ им длЯ полного захвата власти в стране. Ћсобенно опасны ‘юид ђут, имеющие доступ к акциЯм местных нефтЯных компании системы Shell. ‘юид, получивший контроль над Shell, по-сути неотличим от реального монарха. Џоэтому господа ‘юид ЯвлЯютсЯ лакомой добычий длЯ воров и международных шпионов, под видом гостей проникающих в страну.

„лЯ наблюдениЯ за делами в королевстве и исполнениЯ хозЯйственных дел господин —арли ђут обычно нанимает бригаду демонов, которые от его имени незаметно вершат свои демонические дела. €менно им мы обЯзаны периодическим шуршанием дисковых головок в моменты, когда мы смотрим на экран и не проЯвлЯем никакой видимой активности.

€сторически сложилось, что на границе страны и в ее таможенной службе €нтернетовском ’аможенном „епартаменте €не’„ (inetd) служат доверенные лица, имеющие значок (suid 0). €м разрешаетсЯ пропускать туристов и товары через один из государственных 1024 портов (в стране Unix есть еще и множество частных портов, не контролируемых государством. ‹юбой подданный имеет право открыть свой частный порт, однако все государственные порты строго контролируютсЯ).

Џо межгосударственному соглашению, заключенному когда-то в Ѓеркли между дружественными Unix монархиЯми, транспорт, пришедший из государственных портов других стран, пользуетсЯ особенным доверием и пропускаетсЯ без особенного таможенного контролЯ. ‘оглашение было выработано в период существованиЯ нескольких сильных €мперий, которые хорошо знали друг друга. ’еперь же всЯкий, без особого труда может завести себе маленькую персональную империю, владеть в ней всеми портами и отправлЯть контрабанду через любой из них. Ѓолее того, такие мелкие империи даже не обЯзаны иметь конституционное монархическое устройство Unix. —аще всего они имеют довольно мЯгкий режим управлениЯ, позволЯющий любому проходимцу прикинутьсЯ ђутом на час. Ѓолее того, террористы научились поддерживать дорожные документы и часто даже невозможно установить, откуда прибыл груз. ’аможенные соглашениЯ (r-commands), заключенные в Ѓеркли оказались совершенно неприемлемыми длЯ современного мира мелких государств с мЯгким управлением. Џоэтому, мудрые руководители игнорируют соглашениЯ и весьма тщательно проверЯют весь груз, проходЯщий через порты.

‘амые важные слабости Unix

Џлохое администрирование

Џосле того, как система Unix переехала с больших компьютеров на рабочие станции и персональные компьютеры, ничего не подозревавшие пользователи неожиданно превратились в системных администраторов. “ них было достаточно своих забот и, естественно, система начинала вскоре жить своей жизнью. Ђ так как некоторые поставщики продают системы с давно известными дырками в защите и в процессе работы поЯвлЯютсЯ новые, такие системы быстро становЯтсЯ гостеприимным домом длЯ нежданных гостей. —асто такие слабозащищенные системы интересны не сами по себе, а лишь как база длЯ атаки других систем. ‘ерьезный взломщик использует десЯтки компьютеров длЯ атаки. ’аким образом, чрезвычайно трудно определить его физический адрес.

Љ сожалению, общий принцип гласит, что чем система защищеннее, тем менее удобно ей пользоватьсЯ. Ђ так как большинство покупателей компьютеров заботит прежде всего удобство, безопасность неминуемо отодвигаетсЯ на задний план.

Ќа мой взглЯд, любой администратор может существенно повысить безопасность своего Unix, если

ограничит число пользователей системы теми, кого он знает;

позаботитсЯ о хороших паролЯх, и не будет создавать беспарольных;

входов или входов с тривиальными паролЯми (например, guest с паролем guest);

будет отслеживать сообщениЯ о дырках в своей системе и вовремЯ применЯть рекомендуемые заплатки;

будет советоватьсЯ с другими администраторами и читать компьютерные новости (учтите, что взломщики их итают очень внимательно);

не будет надеЯтсЯ на то, что "авось пронесет";

будет просматривать системные журналы;

будет хорошо знать свою систему и знать, что длЯ нее характерно, а что необычно;

будет иметь представление об основных принципах работы Unix (почему-то большинство непрограммистов уверено, что самопроизвольное поЯвление и исчезновение файлов в системе - вполне обычный результат жизнедеЯтельности демонов Unix);

будет детективом, не доверЯющим никому и ничему.

Џовторно используемые и плохие пароли

‘амый популЯрный способ атаки Unix систем - подбор, угадывание и подсматривание паролей. Џервоначально взломщик пытаетсЯ заполучить хоть какой-то вход в систему, а затем, используЯ известные ему дырки в защите и администрировании, расширить свое влиЯние и захватить всю систему, заполучив полномочиЯ суперпользователЯ. €нтересно решили проблему всевластного супер-пользователЯ в исследовательской системе Plan 9 - суперпользователем ЯвлЯетсЯ лишь тот, кто зашел в систему с системной консоли.

Љак ни странно, придумывание паролЯ ЯвлЯетсЯ весьма сложной задачей длЯ любого пользователЯ компьютера. ‚спомните, сколько раз вы в качестве паролЯ выбирали слова "aaa", "qqq", "123456", "password" и ваше имЯ! ’е, у кого развита фантазиЯ пишут имЯ своей любимой девушки. ‚се эти пароли очень плохи и регулЯрно раскалываютсЯ. •ороший пароль не должен быть никаким осмысленным словом никакого Языка, должен обЯзательно содержать и большие и маленькие буквы, какие-нибудь специальные символы, достаточно хорошо запоминатьсЯ (чтобы его не пришлось записывать и приклеивать на монитор или, того хуже, напрЯженно пытатьсЯ вспомнить новый пароль длЯ того, чтобы сделать срочную работу) и быстро набиратьсЯ на клавиатуре (это защита от любителей смотреть через плечо). Ѓолее того, он должен регулЯрно обновлЯтьсЯ (при этом нельзЯ использовать подержанные пароли из прошлой жизни). ‘огласитесь - задачка не из легких. Ќо постарайтесь - плохой пароль - приглашение зайти в гости, а хороший пароль может стоить брандмауера за 10 тыс. долл.

Љак показывает практика, все эти соображениЯ не убеждают большинство пользователей и они все равно придумывают пароль "qqq". „лЯ борьбы с плохими паролЯми придумана программа "Crack" Ђлекса Њуффета (ftp://info.cert.org/pub/ tools/crack/crack_4.1-tar.Z), весьма эффективно раскалывающаЯ пароли. …й пользуютсЯ и администраторы и взломщики, постарайтесь, чтобы ваш пароль не был ей взломан. Ќо будьте осторожны, если вы работаете на западную компанию. ‚ы можете попасть в историю, аналогичную той, в которую попал известный программист и соавтор книг про Perl ђэндэл варц, работавший системным администраторов в фирме Intel. Ћн периодически запускал crack длЯ проверки паролей пользователей. ђуководство Intel обвинило его в несанкционированном доступе к информации и пожаловалось в ”Ѓђ. ‚ результате он был обвинен по уголовной статье, посажен на три месЯца в тюрьму и потерЯл все свои сбережениЯ. ‘истемный администратор - весьма опаснаЯ профессиЯ.

‹егендарный Љевин Њитник использовал очень простой способ отгадываниЯ паролей - он просто звонил пользователЯм компьютеров и честно говорил им, что ему нужен пароль длЯ какой-нибудь придуманной цели. Ћбычно он его получал. „ругой популЯрный способ - послать письмо от имени администратора с требованием сменить пароль на указанный в письме. ЏсихологиЯ - весьма действенное средство в руках профессионала.

Људа более серьезнаЯ проблема с паролЯми состоит в том, что они путешествуют по сети в незашифрованном виде и их очень легко перехватить по дороге. Џоэтому, сейчас стали использовать одноразовые пароли. €деЯ состоит в том, что каждый раз длЯ входа в систему используетсЯ новый пароль, который практически невозможно предсказать постороннему взломщику. …сть свободнаЯ програмнаЯ реализациЯ одноразовых паролей (S/Key) и несколько коммерческих програмно-аппаратных реализаций, которые пока что не добрели до ђоссии. S/Key интегрирован в некоторые системы, например, во FreeBSD.

„ырки в ftp- и HTTP-серверах и CGI скриптах

Ќесметное количество HTTP-серверов по всему миру сделали Internet столь популЯрной средой проживаниЯ. €х устанавливают всюду, все и на всех системах. ’акой сервер - достаточно большаЯ и сложнаЯ программа, часто запускаемаЯ от имени супер-пользователЯ и имеющаЯ все свойства демона. Ћна умеет читать файлы в файловой системе и запускать программы. ќти программы генерЯт информации длЯ пользователЯ и часто управлЯютсЯ данными, введенными пользователем. Ќеточности в написании CGI-скриптов позволЯют взломщикам получать неожиданные привилегии.

‡а пару дней существованиЯ моего HTTP-сервера к нему несколько раз обратились с просьбой прислать файл /etc/passwd (старые версии Apache содержали CGI-скрипт "phf", который позволЯл прочитать любой файл в системе). Џо случайности, у менЯ оказалась свежаЯ версиЯ демона и фокус не сработал.

Ќесколько советов Web-администраторам:

€спользуйте свежую версию HTTP демона

Ќе запускайте его от имени root

Ћграничте зону действиЯ сервера

‚нимательно читайте документацию по серверу и его конфигурации

Ќе используйте CGI, если можете без него обойтись.

ЏроверЯйте CGI программы и очень аккуратно пишите свои.

…сли вы передаете данные пользователЯ внешним программам, проверЯйте их на наличие опасных символов, имеющих специальную семантику длЯ этих программ (например, командные интерпретаторы хорошо переваривают символы `<>;").

Ђналогичные проблемы возникают и с FTP-серверами. Ќеправильно настроенный, или содержащий ошибку FTP-сервер позволЯет читать и/или писать произвольный файл в системе. Ђ если этот сервер работает на системе DOS, OS/2 или Windows"95, подключенной к локальной сети или на машине, использующей NFS, то взломщик может получить доступ ко всей вашей сети. Џостарайтесь использовать максимально простой FTP демон, в котором отключены все "бантики" и который позволЯет только анонимным пользователЯм забирать (но не класть) файлы.

Ћбщий принцип безопасности, на мой взглЯд, состоит в том, что нельзЯ гарантировать безопасность на машине, на которой существует любаЯ форма активности внешних пользователей - HTTP, FTP или терминальный сервер. ’акие сервисы следует выносить за пределы вашей локальной сети и особенно хорошо администрировать. ‚ особенности опасен HTTP или FTP сервер на вашем брандмауэре.

Џроблемы с NFS/NIS

‘етеваЯ файловаЯ система NFS весьма удобна. ’ак удобна, что ее часто используют длЯ объединениЯ сотен и тысЯч компьютеров в единое файловое пространство. ќто самый настоЯщий Intranet, хотЯ никто не использовал этот термин длЯ обозначениЯ распределенных компьютерных сетей до недавнего времени маркетиговых терминов. Ќо, по старому правилу большое удобство ведет к слабой защищенности. NFS позволЯет опытному взломщику получить доступ к любому файлу на экспортированной файловой системе, а NIS предоставлЯет в ваши руки зашифрованные пароли даже если ваш Unix использует механизм "теневых паролей". Џоэтому, не выпускайте пакеты NFS (они обычно используют TCP и UDP порты 111 и 2049) за пределы вашей сети и отфильтровывайте их при попытке зайти к вам внутрь.

Џрограммы с переполнЯющимисЯ буферами

Џрограммисты и их программы несовершенны. Њногие программы, (особенно старые) использующие функции gets() и puts(), которые не проверЯют длину считываемой строки, позволЯют переполнить буфер и испортить програмный стек. €менно эта ошибка была ислользована самым знаменитым вирусом в истории (это был вирус Њорриса, поразившим в 1988 году большинство систем Unix, подключенных к Internet. €нтересно, что отец Њорриса работал в National Security Agency и занималсЯ там проблемами компьютерной безопасности (NSA - организациЯ занимающаЯсЯ прослушиванием всех средств коммуникации во всем мире. Ћна столь засекречена, что часто аббревиатура NSA расшифровываетсЯ как "No Such Agency").

ЌеправильнаЯ синхронизациЯ событий

Ћдин популЯрный брандмауэр предоставлЯл взломщику возможность поработать в промежутке времени от загрузки системы до запуска самой системы защиты. Њногие методы взлома используют временные файлы, ненадолго создаваемые программами. Џри запуске SUID-скриптов сначала запускаетсЯ командный интерпретатор с полномочиЯми суперпользователЯ, а затем он считывает сам скрипт - за это времЯ можно успеть подменить скрипт и выполнитьсЯ совсем другой.

Ћшибки в SUID программах

„овольно часто CERT (Computer Emergency Respond Team) публикует сведениЯ об ошибках в SUID-программах. ’акие ошибки часто позволЯют произвольному пользоватею системы стать суперпользователем.

‘амаЯ безопаснаЯ система

€з предыдущего текста у вас может сложитьсЯ вполне справедливое впечатление, что Unix - не очень защищеннаЯ система (это не мешает, впрочем, конкретной системе правильно настроенной и хорошо администрируемой быть очень хорошо защищенной). Ќу а что же с другими системами? …стественно, что компьютернаЯ система, котораЯ с самого начала разрабатывалось с учетом соображений безопасности (например, MULTICS, Windows NT) имеет шансы быть более защищенной чем система, разработаннаЯ длЯ максимального удобства совместной работы. Ћднако, плохой администратор, плохие пароли и ошибки в программах встречаютсЯ всюду. ’ак что не обольщайтесь биркой "C2 certified", приклеенной к вашему боевому серверу (как, впрочем и другими бирками. Ќапример, менЯ в последнее времЯ очень радуют бирки "Windows"95 Compatible" на компьютерных.

‚ыбираем пожарные стенки

€так, вы понЯли, что обеспечить надежную защиту отдельных компьютеров сети достаточно сложно и решили защитить всю сеть в целом с помощью модной штуки под названием "Firewall" - брандмауэр, как его сейчас переводЯт (мне не очень нравитсЯ этот перевод, но лучше придумать не могу. Љ сожалению, слово "фиревал" не звучит). Љак выбрать то, что вам нужно?

…сли вы опытный Unix-хакер, то смело собирайте свой собственный бастион на базе бесплатного FreeBSD или коммерческой BSDI/OS и свободных программ (tcp_wrappers, TIS Firewall Toolkit, tripwire, COPS, и т.д.). Ќабьете руку, получите удовольствие и будете знать что происходит. Ќо в случае взлома будьте готовы получить по заслугам.

Џроще купить готовый продукт - с ним меньше ответственности и хлопот. Љупил, распаковал, включил - и безопасно вкушай прелести Internet! Ћднако продуктов много и это затруднЯет жизнь. Љак выбрать из них наилучший?

Ќа выставке Windows Expo"96 менЯ и представителЯ Micrisoft застал в коридоре посетитель и стал спрашивать - какой продукт лучше - DEC Firewall длЯ NT или Microsoft Proxy - объЯвленный, но пока не существующий продукт. Њне лично кажетсЯ, что существующий продукт всегда лучше объЯвленного, но недоступного.

„лЯ того, чтобы сравнивать, необходимо выработать критерии - что значит "лучше и хуже". ‚ противном случае развЯжетсЯ очереднаЯ религиознаЯ война, похожаЯ на бушевавшие когда-то горЯчие войны о том, какаЯ Ћ‘ и какой редактор лучше.

Ћдин из посетителей выставки предложил считать лучшим тот продукт, который меньше взламывали. •орошаЯ идеЯ, но брандмауэр, который один раз взломали, ЯвлЯетсЯ дорогой игрушкой. ќто похоже на математическую теорему - одного контрпримера достаточно длЯ опровержениЯ и не поможет самое красивое доказательство. ‘амый лучший пользовательский интерфейс не перекроет одной маленькой дырки в защите. ‘амое главное требование к системе защиты - она должна надежно и безопасно защищать при любых условиЯх.

…сли защитное устройство выходит из строЯ, оно должно закрывать весь доступ в вашу сеть, а не открывать его. Њаркус ђанум сравнивает Firewall с воротами и опускаемым мостом замка. Љогда перетираетсЯ веревка, мост опускаетсЯ, открываЯ проход. Ђ входные ворота, оставшиесЯ без крепежа, проседают и никого не впускают. Џоэтому смотрите, как ведет себЯ продукт в трудных ситуациЯх.

Ѓольшинство систем защиты делЯтсЯ на два класса. Џакетные фильтры, которые проверЯют заголовки IP/TCP/UDP пакетов и принимают решение, исходЯ из адресов и протоколов. Proxy-серверы становЯтсЯ между клиентом и серверам и пропускают через себЯ все прикладные запросы. ‘равнивать эти два класса устройств непросто, потому что они работают на разных уровнЯх. Ћбычно бастионы с proxy-серверами надежнее, но менее удобны. ‹учше всего использовать сочетание тех и других. ’ам где можно используйте пакетные фильтры, но основные сервисы пропускайте через proxy-серверы.

Ѓольшинство обзоров по брандмауэрам посвЯщают основную часть описаниЯ пользовательскому интерфейсу. ‚ большинстве случаев брандмауэр - черный Ящик, который, будучи настроенным стоит в хорошо закрытом месте и к нему не подходит никто, кроме специально обученных администраторов. •орошо, если интерфейс красивый и удобный, но удобство внесениЯ изменений в конфигурацию может спровоцировать пользователей на ослабление защиты. Џоэтому, удобный интерфейс может быть и недостатком.

‘оберите побольше информации и подпишитесь на firewalls@GreatCircle.com. Џощупайте продукт руками. Џопробуйте его в действии. € не верьте рекламе - настоЯщий специалист по безопасности не доверЯет никому!

Људа идти дальше?

—итать журналы всегда приЯтно, однако настоЯщаЯ информациЯ живет в сети! Ќебольшой список хороших узлов, посвЯщенных безопасности, развлечет вас на некоторое времЯ.

[к сожалнию большинство из этих ссылок устарело]

http://www.cert.org

http://www.cs.purdue.edu/homes/spaf/hotlist/csec-top.html

http://ciac.llnl.gov

http://csrc.ncsl.nist.gov/first

http://www.alw.nih.gov/Security/security.html

http://www.auscert.org.au

http://www.cert.dfn.de/eng

http://www.cs.purdue.edu/coast/coast.html

http://www.sware.com/

http://www.telstra.com.au/info/security.html

http://www.raptor.com/library/library.

Ђлександр Љолбасов - сотрудник фирмы Stins Coman. ‘ ним можно свЯзатьсЯ по электронной почте: akolb@stins.msk.su.

‘ети · # 6/96


Last-modified: Fri, 03 Jul 1998 04:50:06 GMT
Ћцените этот текст: