From: Андрей Лаврентьев <lavr@unix1.jinr.ru>
Original: http://unix1.jinr.ru/~lavr/
Subject: Рекомендации по увеличению безопасности системы
Автор: Андрей Лаврентьев (lavr@unix1.jinr.ru), http://unix1.jinr.ru/~lavr/
Безопасность в целом зависит от большого количества параметров и факторов.
Укрупненно можно представить следующий набор критериев:
1. Меры безопасности района проводимых работ.
2. Меры безопасности зданий и их помещений где проводятся работы.
3. Меры безопасности персонала и исполнение самим персоналом норм установленных
соответствующими инструкциями.
4. Меры безопасности используемых технологий.
В соответствии с нашей темой рассмотрим схему безопасности в компьютерных
технологиях:
1. Меры безопасности помещения где расположено оборудование.
2. Меры безопасности по предотвращению физического взлома, включения
и несанкционированного доступа к компьютерному оборудованию.
3. Меры по локальная безопасность.
4. Меры по безопасному хранению данных.
5. Меры по безопасности ядра системы и самой системы.
6. Меры по безопасности локальной сети и сетевых ресурсов.
7. Меры по страхованию основных ресурсов локальной сети - создание резервных
копий для последующего восстановления.
8. Меры предпринимаемые в случае взлома ресурсов локальной сети.
Поскольку наша цель дать основные направления, понятия и указать ссылки на
необходимые для изучения ресурсы, перечисленные выше ресурсы мы будем
рассматривать коротко.
1. Меры безопасности помещения где расположено оборудование.
Помещения где располагается основное компьютерное оборудование должно быть
отделено от оборудования общего пользования и выделено в отдельное аппаратное
помещение с соответствующей сигнализационной охраной, специальными дверями,
сейфовыми или специальными замками и другими мерами предосторожности.
Соответствующие меры, оборудования и правила по данному пункту могут быть
получены в службе безопасности или в охранных агентствах.
2. Меры безопасности по предотвращению физического взлома, включения
и несанкционированного доступа к компьютерному оборудованию.
В этом пукте подразумевается физический доступ к консолям, пультам управления
и другим устройствам компьютеров, серверов, посредством которого можно
преодолеть барьеры безопасности и проникнуть в компьютеры, сервера и сети
организации, предприятия, компании и тд и тп.
Меры защиты:
- использование специальных корпусов с возможностью их блокирования от
вскрытия или доступа к устройствам позволяющим перезагружать компьютеры,
сервера с последующим проникновением в их систему;
- использование специальных корпусов позволяющих блокировать системы ввода
информации при несанкционированном доступе к оборудованию;
- использование возможностей BIOS в случае Intel-base платформы для задания
паролей для защиты от несанкционированного доступа или возможностей EEPROM
на других платформах для задания пароля и защиты от взлома;
- использование паролей в загрузчиках систем, так называемых boot loader'ах
для защиты от проникновения через системные консоли или пульты управления;
- ведение протоколов на системах с целью обнаружения несанкционированной
перезагрузки оборудования, изменения самого оборудования или его отдельных
компонент, обнаружения даты и времени произведенного несанкционированного
доступа и использования привелигерованных системных ресурсов для
произведения незаконных действий.
3. Меры по локальной безопасности.
Безопасность систем и сети не может быть построена на доверии и локальные
пользователи не являются исключением. Всвязи с этим системные и сетевые
администраторы должны иметь строгую и жесткую организационную и
административную политику со строгими рамками ответственности и наказаний:
- регистрации компьютеров и систем в сети с ведением базы данных по
этой информации;
- регистрации и заведения пользователей в системе;
- использование дополнительных средст крипто-защиты: Kerberos, S/Key,
OpenSSL;
- предоставлениея пользователям прав в рамках строго соответствующих
выполняемой работы;
- предоставления прав доступа к ресурсам и устройствам строго в рамках
тематики работы;
- систематической смены как административных паролей, так и паролей
пользователей в принудительном порядке;
- строго собирать статистическую информацию по работе систем, работе
пользователей на этих системах и другую статистистическую информацию
необходимую для анализа состояния безопасности;
- проведения систематических работ по анализу собираемой статистической
информации в целях обнаружения как нарушения безопасности систем, так
и попыток ее взлома или обхода;
- постоянного слежения за возникающими ошибками в системе и за развитием
самой системой;
- создание или использование систем проверки и слежения за целостностью
самой системы;
- своевременного апгрейда системы или исправления ошибок, как минимум в
плане безопасности;
- создание локальной службы компьютерной безопасности с соответствующими
правами и обязанностями.
В соответствии с используемыми в институте системами, ниже приводится список
ссылок содержащих наборы исправлений как самих систем, так и подсистем их
безопасности:
FreeBSD:
--------
The FreeBSD Security: http://www.freebsd.org/security/
The FreeBSD Security Ports: http://www.freebsd.org/ports/security.html
The FreeBSD Security Patches: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/
The FreeBSD Security Contact: security-officer@FreeBSD.org
Linux Administrator's
Security Guide: http://www.securityportal.com/lasg/
Linux iInternational
Kernel Security Pathes: http://www.kerneli.org/
Linux Kernel: http://www.kernel.org/
Linux Security
Audit Project: http://lsap.org/
Linux Security
Central: http://www.babel.com.au/del/linux-security.shtml
Linux kernel patch
from the Openwall Project: http://www.openwall.com/linux/
Linux Bussines
Center/Security: http://www.stti-usa.com/security.htm
Linux Security: http://www.linuxsecurity.com/
Linux Security Home Page: http://stjohnchico.org/~jtmurphy/
Sun Security: http://www.sun.com/security/
Sun Last Security
Bulletin: http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/200&type=0&nav=sec.sbl&ttl=sec.sbl
Sun Security Bulletin
Archive: http://sunsolve.sun.com/pub-cgi/secBulletin.pl
Solaris Security FAQ: http://www.sunworld.com/common/security-faq.html
Sun Security Patches:
Sun Security
Downloads: http://www.sun.com/security/downloads.html
Sun Patches
Finder/Reccomended
Cluster/Report View: http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access
Sun Patches
FTP-Archive: ftp://sunsolve.sun.com/pub/patches/
Sun Security Team: http://sunsolve.sun.com/pub-cgi/show.pl?target=security/sec
Sun Security
Contact: security-alert@sun.com
HP/HP-UX:
---------
HP Security Manual:
HP Internet Security Solutions: http://docs.hp.com/hpux/internet/index.html
HP Forum, see "security": http://forums.itrc.hp.com/cm/
HP Security Patches:
HP Patches: http://europe-support2.external.hp.com/common/bin/doc.pl
HP Software and Security: http://software.hp.com/
каким должен быть безопасный пароль:
- http://consult.cern.ch/writeup/security/security_3.html
замена telnet/ftp/rlogin/rsh/rcp - SSH (включает slogin/ssh/scp/sftp-server
и sftp клиент:
- http://www.openssh.com/ - свободно распространяемый продукт
- http://www.ssh.com/ - коммерческий продукт (см. Лицензионное соглашение)
обнаружение "Троянских коней" и "Черных ходов":
- http://www.chkrootkit.org/
4. Меры по безопасному хранению данных.
Для сохранности данных как личного порядка, так и рабочих данных, необходимо
чтобы системный администратор имел действенную политику разграничения
пользователей по группам, классам и тд и тп, и вести необходимую политику
по авторизованному доступу к файловым системам, директориям и отдельным файлам
системы.
Потльзователи в свою очередь могут воспользоваться программами шифрации
собственных данных для их безопасного хранения и проведению собственной
политики безопасного доступа к данным:
для безопасного хранения собственных данных:
PGP - http://www.pgp.com/
PGP International - http://www.pgpinternational.com/
GnuPG - http://www.gnupg.org/
К безопасному храниню данных относится и их резервное хранение, этот пункт
будет рассмотрен ниже.
5. Меры по безопасности ядра системы и самой системы.
В настоящий момент, большинство Unix-подобных систем имеет дополнительные
улучшения безопасности системы в Ядре и самого Ядра, данный пункт исключительно
индивидуален и описания и рекомендации для систем могут быть найдены на сайтах
конкретно интересующих вас систем, некоторые приведены ниже:
адреса других Unix-подобных систем приведены в п.2 "Меры безопасности по
предотвращению физического взлома, включения и несанкционированного доступа к
компьютерному оборудованию."
6. Меры по безопасности локальной сети и сетевых ресурсов.
Соблюдая правила и меры предосторожности локальной безопасности системы,
в случае если ваши вычислительные ресурсы объеденены в локальную сеть,
необходимо строго соблюдать меры безопасности сетевых ресурсов, это особенно
актуально в случае если ваша локальная или корпоративная сеть имеет еще и выход
в Internet.
Время показывает что взломы и несанкционированный доступ в локальные или
корпоративные сети в настоящее время происходит гораздо чаще чем физические
или локальные нарушения мер безопасности, вот почему сетевая безопасность,
одна из важнейших компонент безопасности в целом.
Для сохранности локальных или корпоративных сетей от вторжений существует
достаточно много разнообразных средст и продуктов, чтобы структурированно
подойти к их применению, попробуем классифицировать основные сетевые ресурсы
и с этой точки зрения рассматривать системы сетевой безопасности:
к наиболее распространенным сетевым службам можно отнести:
- ftp (program that use "file transfer protocol" for files download/upload)
- telnet (remote login for terminal session)
- mail
- MTA: Sendmail/Qmail/Postfix and etc
- Protocols for remote mail-access: POP3[2], IMAP
- named (dns - domain name systems to translate between domain names and ip
address)
- rlogin,rsh,rcp (remote login for terminal session, remote shell, remote copy)
- nfs (network file system for export/import filesystems via network)
- nis (network information service - well-known as yp)
- http (hyper text transfer protocol)
все эти службы практически не защищены но необходимы для полноценной работы
в сети.
Известно что TCP/IP - clear-text protocol, те все передаваемый по сети данные
идут в чистом, не шифрованном виде, это означает что хакеры, грамотные
программисты, службы security или государственные службы имеют возможность
прослушивать проходящие по сети данные с помощью свободно распространяемых
в сети пакетов "sniffer"-ов или самостоятельно написав подобную программу
"слухач", которая прослушивает все проходящие сетевые пакеты и извлекает
из них необходимые данные.
Чтобы защитится от подобных "слухачей" и других методов взлома, таких как:
DNS Spoofing, DoS (Denial of Service Attacks) и тд и тп необходимо следовать
следующим мероприятиям:
общие:
- запретить доступ извне ко всем ресурсам локальной сети за исключением тех,
к которым этот доступ должен быть организован для производственных целей
и задач;
по наиболее популлярным ресурсам:
- запретить использование удаленного терминального доступа посредством:
telnet, rlogin
и заменить его на использование slogin (SSH - Secure Shell) который до
начала соединения уже производит шифрацию данных и использует большое
количество методов авторизации и шифрации при работе;
- запретить использование:
rsh, rcp
и заменить на альтернативный вариант:
ssh, scp
из пакета SSH;
- запретить использование ftp с пользовательской авторизацией, разрешить
использовать только public/anonymous доступ, предоставив пользователям
в качестве альтернативного решения:
sftpserver и sftp клиент
из проекта SSH и связанных с ним программных средств;
- постоянно следить за работой ваших primary dns серверов и развитием
программного обеспечения известного как bind, желательно установить
версию bind9, в остальных случаях постоянно следить за security и
исправлениям к версиям bind4 и bind8:
в качестве альтернативного решения, заменить bind на djbdns написанного
доктором Бернштейном для Non-DMZ сетей:
http://cr.yp.to/djbdns.html
Примечание: постоянно делать страховочные копии всей структуры DNS после
каждого изменения.
- проверить как и кому вы разрешаете импортировать ваши файловые системы
по сети посредством NFS, посмотреть возможности вашей версии NFS на
наличие и возможность использования ключей "ro","nosuid" и тд и тп.
Запретить обращение к tcp/udp портам соответствующим работе с NFS извне.
- в больших локальных или корпоративных сетях часто используют кластерные
решения на базе NIS(YP)/NIS+ разработанного фирмой Sun Microsystems для
управления базами пользователей, групп, компьютеров и тд и тп.
В случае если вы используете NIS, по возможности, замените его на NIS+
который имеет большую степень безопасности и работает через SecureRPC
или воспользуйтесь одной из последних версий NIS и делайте резервные копии
ваших баз после каждого изменения.
- использование tcpwrapper'ов для защиты сетевых служб:
ftp://ftp.porcupine.org/pub/security/
- устанавливайте Apache httpd сервер с поддержкой протокола https,
http over ssl:
http://www.apache-ssl.org/
или
http://www.modssl.org/
http://www.mail-abuse.net/ - MAPS
http://spam.abuse.net/ - Boycott Internet Spam
http://www.abuse.net/ - Network Abuse Clearinghouse
http://www.cauce.org/ - Coalition Against Unsolicited Commercial Email (CAUCE)
http://www.spamfree.org/ - Forum for Responsible and Ethical Email
- VPN (Virtual Private Networks) поверх уже существующих сетевых соединений
можно устанавливать Виртуальные Личные Сети, информация может быть найдена:
- Freestone: ftp://coast.cs.purdue.edu/pub/tools/unix/freestone
(свободная версия Brimstone firewall by SOS Corp.)
- IPFilter: http://coombs.anu.edu.au/~avalon/
http://www.obfuscation.org/ipf/
FreeBSD встроенные: IPFW/IPFilter, http://www.freebsd.org/
Linux встроенные: IPchain, http://ipchains.nerdherd.org
http://www.rustcorp.com/linux/ipchains/HOWTO.html
IPFWADM, Linux Firewall-HOWTO from HOWTO Project
С помощью любого из выбранных и установленных вами Firewall закройте доступ
ко всем внутренним службам по портам tcp/udp которые не должны быть доступны
из внешнего мира, порты известных служб:
http://www.robertgraham.com/pubs/network-intrusion-detection.html - о вторжениях
http://www.robertgraham.com/pubs/sniffing-faq.html - о слухачах
http://www.robertgraham.com/pubs/firewall-seen.html - анализ статистики
Firewall'ов
описание взлома различных служб, ссылки и руководства по security:
http://www.cerias.purdue.edu/coast/coast.html - COAST Университета Purdue
http://www.securityfocus.com/
http://securityportal.com/
http://packetstorm.securify.com/
http://www.sans.org/
http://advice.networkice.com/Advice/Exploits/default.htm
Русскоязычные информационный сайты по Безопасности которые не просто
заслуживают внимания, это достойные уважения Проекты:
http://www.void.ru/ - один из лучших Россиских проектов по Безопасности
http://www.hackzone.ru/ == http://bugtraq.ru/ == Russian BugTraq
http://security.tsu.ru/ - Библиотека сетевой безопасности
http://www.security.nnov.ru/ - Компьютерная безопасность
регулярное чтение и изучение этих материалов будет полезно для тех
кто занимается компьютерной безопасностью.
К сожалению оффициальный Российский сайт http://www.cert.ru/ пока очень
далек по своей работе, наполнению и информативности от вышеуказанных
российских проектов по Безопасности, но тем не менее не стоит про него
забывать, ибо все развивается...
7. Меры по страхованию основных ресурсов локальной сети - создание резервных
копий для последующего восстановления.
Резервные копии файловых систем, важных архивов, статистических файлов
являются очень важным материалом не только на случай страхования информации,
но и для дальнейшего разбора и анализа важных файлов системной статистики,
необходимой для обнаружения типов и методов вторжения: кто, откуда, как и
зачем...
Для проведения работ по backup'ированию систем необходимо выработать
систему архивирования и расписание:
1. Выбрать носитель архивирования в зависимости от объема того или иного
ресурса подлежащего архивированию:
2. Определить частоту Полного архивирования системы
3. Определить расписание архивирования изменямых частей системы[систем]
4. Определить частоту и технологию архивации системной статистики.
8. Меры предпринимаемые в случае взлома ресурсов локальной сети.
Допустим вы обнаружили что вас взламывают или производят вторжение, ваши
действия:
1. Сохранить спокойствие, поспешные действия могут причинить гораздо больше
вреда чем хакеры.
Далее в зависимости от типа вторжения:
a) физическое
b) локальное или локальной сети
c) из внешней сети
вам необходимо в случае a)
2a. Оповестить службу охраны помещения, предприятия, института, фирмы и
действовать согласно их рекомендации.
2b. Необходимо провести личную беседу и выяснить действительно ли этот
пользователь осуществил взлом или кто-либо воспользовался его учетной записью.
В случае если пользователь признался в содеяном, вы должны принять меры в
соответствии с вашей локальной-сетевой и административной политикой.
В ином случае заблокировать данную учетную запись или расставить ловушки и
взять под наблюдение, сообщив о данном инцинденте в вашу сетевую службу
безопасности.
2c. Оповестить службу сетевой безопасности и службу сетевого центра вашей
локальной или корпоративной сети и следовать их рекомендациям.
3. В зависимости от типа соединения обнаруженного вторжения, отсоединить
физический сетевой носитель: модем, ethernet или twisted-pair кабель и тд
и тп для того чтобы предотвратить дальнейшие разрушения и изменения в системе.
Если невозможно физическое отсоединение от сети, необходимо закрыть доступ
этому пользователю любыми возможными средствами:
- заблокировать учетную запись
- закрыть сетевой доступ адресу[ам] с которых произошло вторжение через
любой доступный метод заканчивая Firewall
- после этого закрыть все рабочие сеансы этого[их] пользователей и завершить
их сеансы
4. После указанных действий продолжить более пристальный и внимательный
мониторинг системы на случай если взломщики попытаются вернуться.
Если вы обнаружили что факт взлома или вторжения уже произошел:
1. Сообщить в службу безопасности и следовать их рекомендациям.
2. Попытаться обнаружить методы взлома и оставленные черные ходы.
3. Устранить недостатки в безопасности:
- применить все исправления системы существующие на данный момент
- произвести upgrade системы с применением соответствующих исправлений
- установить заново стабильную версию системы с применением всех правок,
затем используя backup восстановить необходимые вам и пользователям данные
не относящиеся к самой системе (самый правильный и надежный вариант,
по-скольку нельзя быть полностью уверенным в том что вы нашли все проблемы
security которыми воспользовались взломщики)
Последний шаг: Допустим вы выполнили все пункты и уверены в том что ваша
система в данный момент в безопасности, хорошим тоном будет сообщить о
происшедшем инценденте дополнительно в CERT или иные подобные институты,
с описанием всего что касается вторжения.
Заключение.
Безопасность ваших сетей и систем в ваших руках, не забывайте об этом и
создайте себе комфортные и безопасные условия работы.