Цели нападения из сети


Как правило, взламывается не операционная система, а программы, которые предоставляют возможность подключения из сети. Операционная система может способствовать или не способствовать защите программ от сетевых атак, но вторжение всегда начинается с приложений. Один из способов сократить количество нападений на сервер состоит в том, чтобы составить полный перечень работающих программ, которые ожидают подключения из сети, и запретить запуск тех из них, которые не являются необходимыми. Операционная система FreeBSD содержит программу sockstat(1), которая предоставляет наиболее простой способ узнать, какие программы «прослушивают» сеть.

Программу sockstat мы уже рассматривали достаточно подробно в главе 6 — команда sockstat -4 продемонстрирует все открытые порты TCP/IP IPv4. Каждый открытый сетевой порт можно рассматривать как потенциальную брешь и цель для нападения. Закройте все сетевые порты, ненужные для работы сервера, и обеспечьте защиту для тех, которые необходимы.

Список открытых портов следует просматривать постоянно, это поможет вам узнать кое-что, что может удивить вас. Например, вы можете с удивлением обнаружить, что некоторое программное обеспечение, установленное вами, имеет сетевой компонент, о существовании которого вы даже не подозревали, который преспокойно «прослушивал» сеть.

Но как отключить ненужные службы после того, как вы узнаете, что таковые действительно имеются? Лучший способ закрыть ненужные порты заключается в том, чтобы не запускать программы, которые их открывают. Обычно сетевые демоны запускаются из двух мест: либо из /etc/rc.conf, либо из сценария запуска в /usr/local/etc/rc.d. Программы, интегрированные в основную систему FreeBSD, такие как sendmail(8), sshd(8) и rpcbind(8), имеют флаги в /etc/rc.conf, с помощью которых можно разрешать или запрещать запуск этих программ, а также многих других дополнительных приложений. Некоторые дополнительные программы, такие как веб-серверы, запускаются из сценариев в /usr/local/etc/rc.d. Более подробно вопрос разрешения или запрета запуска программ во время загрузки рассматривается в главе 3.

Безопасность серверов и рабочих станций

Во многих компаниях, которые мне приходилось видеть, уделяют очень много внимания безопасности серверов и практически не уделяют внимания безопасности рабочих станций. Однако для злоумышленника совершенно неважно, что взламывать, — сервер или рабочую станцию. На многих серверах и в системах сетевой защиты имеются специальные правила для рабочих станций системных администраторов. Злоумышленник с радостью взломает рабочую станцию и воспользуется ею для проникновения на сервер. Безусловно, безопасность сервера имеет очень большое значение, но не пренебрегайте защитой рабочих станций, особенно если это ваша рабочая станция!

Комментарии запрещены.