Хант Крэйг. TCP/IP Сетевое администрирование
Подождите немного. Документ загружается.
432
Глава 11. Настройка Apache
подписать сертификат самостоятельно, воспользуйтесь командой openssl
следующим образом:
# openssl req -х509 -key ssl.key/server.key \
> -in ssl.csr/server.csr -out ssl.crt/server.crt
При просмотре созданного файла server.crt по команде openssl можно видеть,
что поля Issuer и Subject содержат одно и то же отсеченное имя. И на этот раз
оно является действительным именем нашего сервера.
Управление веб-сервером
Несмотря на огромное число параметров, определяемых в файле настройки
httpd.conf, настройка - не самая сложная задача из тех, что приходится ре-
шать в процессе работы с веб-сервером. Настройка обычно требует измене-
ния нескольких параметров при установке сервера, а вот наблюдение за ис-
пользованием сервера, за его производительностью, обеспечение надежнос-
ти и безопасности - задачи уже каждодневные. Сервер Apache предоставля-
ет ряд инструментов, упрощающих их решение.
Наблюдение за сервером
Apache предоставляет инструменты для наблюдения за состоянием сервера,
а также позволяет отслеживать использование и качество работы системы
при помощи журналов. Отчасти этот вопрос был затронут ранее - в разгово-
ре о настройке журналов. Мы даже изучили способ наблюдать за журналами
в реальном времени.
Более удобным способом наблюдения за сервером в реальном времени явля-
ется монитор состояния сервера - server-status. Монитор должен быть встро-
ен в httpd либо установлен в виде динамически загружаемого модуля. Следу-
ющие две строки из файла Solaris httpd.conf выполняют установку модуля:
LoadModule statusjnodule modules/mod_status. so
AddModule mod_status.c
Чтобы получить максимум информации, добавьте в файл httpd.conf пара-
метр ExtendedStatus:
ExtendedStatus on
Включите монитор в файле httpd.conf - при помощи контейнера Location
/server-status. В файле httpd.conf Solaris такой контейнер существует по
умолчанию, но закомментирован и потому не используется. Чтобы включить
монитор, раскомментируйте строки и отредактируйте инструкцию Allow,
указав узлы, с которых разрешено наблюдение за сервером. Пример:
<Location /server-status>
SetHandler server-status
Управление веб-сервером 433
Order deny,allow
Deny from all
Allow from wrotethebook.com
</Location>
Когда монитор установлен и включен, к нему можно обращаться при помо-
щи броузера. Для нашей системы необходимо воспользоваться адресом URL
http://www.wrotethebook.com/server-status/?refresh=20. Значение refresh не
является обязательным, однако оно предписывает автоматическое обновле-
ние страницы состояния. В данном примере мы запрашиваем обновление
страницы каждые 20 секунд. Страница состояния для нашего сервера пока-
зана на рис. 11.6.
Рис. 11.6. Страница состояния сервера Apache
434
Глава 11. Настройка Apache
Наблюдение позволяет оценивать состояние сервера в реальном времени.
Ведение журналов позволяет получать информацию об использовании сер-
вера в тот или иной момент. Сочетание журналов и наблюдения позволит
вам поддерживать веб-службу в хорошей форме.
Резюме
Веб-серверы - неотъемлемая часть сети любой организации, и веб-сервер
Apache является превосходным выбором. Он реализован в качестве демона
HTTP
(httpd)
и настраивается посредством файла httpd.conf.
Предварительно настроенный и готовый к применению сервер Apache вхо-
дит в состав систем Linux и Solaris. Просмотрите настройки и скорректируй-
те такие параметры, как ServerAdmin, ServerName и DocumentRoot, чтобы
они соответствовали нуждам вашего сервера.
Для пристального наблюдения за использованием и производительностью
системы задействуйте инструменты наблюдения и файлы журналов. Помни-
те о безопасности сервера - тщательно контролируйте сценарии CGI (Com-
mon Gateway Interface) и инструкции SSI (Server Side Includes). Воспользуй-
тесь механизмом SSL для защиты конфиденциальных данных, поступаю-
щих от клиентов.
Данная глава завершает исследования в области настройки сервера TCP/IP -
мы выполнили последнее задание. В следующей главе мы обратимся к по-
вседневным задачам, неизбежно возникающим в работающей сети после
первичной настройки и установки, и начнем этот разговор с безопасности.
12
• Планирование безопасности
• Проверка подлинности
пользователей
• Безопасность приложений
• Наблюдение за безопасностью
• Управление доступом
• Шифрование
• Брандмауэры Сетевая безопасность
• Последнее напутствие
Узлы, подключенные к сети - в особенности к всемирной сети Интернет, -
сталкиваются с большим числом проблем, связанных с безопасностью, неже-
ли прочие. Система безопасности сети сокращает риск несанкционированно-
го подключения. Но по своей природе доступ к сети и компьютерная безопас-
ность имеют прямо противоположные цели. Сеть - это скоростное шоссе,
служащее для транспортировки данных и организации доступа к ним ком-
пьютерных систем, тогда как смысл безопасности заключен в управлении до-
ступом к этим системам. Обеспечение сетевой безопасности - это процесс по-
иска равновесия между открытым доступом и безопасным доступом.
Аналогия со скоростным шоссе очень уместна. Подобно шоссе, сеть обеспе-
чивает всех равным доступом - как желанных, так и незваных гостей. Нахо-
дясь у себя дома, вы обеспечиваете безопасность собственности, запирая
дверь, а не баррикадируя улицы. Точно так же сетевая безопасность требует
принятия адекватных мер на уровне отдельных узлов. Недостаточно просто
закрыть сеть брандмауэром.
В очень маленьких городках, где все люди знают друг друга, двери часто ос-
тавляют незапертыми. Однако в больших городах двери оборудуют замками
и цепочками. Сеть Интернет из небольшого городка в несколько тысяч поль-
зователей выросла в мегаполис с миллионами жителей. Как анонимность
большого города превращает соседей в незнакомцев, так рост сети Интернет
сократил уровень доверия между соседями по сети. И постоянно растущая
потребность в компьютерной безопасности - неприятный побочный эффект
такой ситуации. Рост, тем не менее, имеет и преимущества. Большой город
дает больше свобод и предоставляет больше услуг, а растущая сеть - больше
служб. Для большинства из нас мысли о безопасности - приемлемая цена за
доступ к сети.
436
Глава 12. Сетевая безопасность
Взломы сетей с ходом времени учащаются и становятся обезличенными, но
масштабы таких нарушений очень легко преувеличить. Помешательство на
угрозе взлома может помешать использованию потенциала сети в полном
объеме. Лекарство не должно быть хуже болезни. Лучший совет в разговоре о
сетевой безопасности - используйте здравый смысл. Документ RFC 1244, на
смену которому пришел RFC 2196, излагает данный принцип очень четко:
Здравый смысл - наиболее подходящий инструмент для определения полити-
ки безопасности. Детально проработанные механизмы и программы обеспече-
ния безопасности производят впечатление и, разумеется, находят примене-
ние, однако нет особого смысла вкладывать деньги и тратить время на слож-
ные схемы, если забываются простейшие методы управления.
В данной главе акцент сделан на простые методы, которые позволяют совер-
шенствовать безопасность сети. В смысле реальных финансовых расходов и
производительности наиболее эффективен подход к безопасности, основан-
ный на потребностях конкретной системы.
Планирование безопасности
Одной из наиболее важных - и, вероятно, самых неприятных - задач в сете-
вой безопасности является разработка политики безопасности сети. Ком-
пьютерщики чаще всего склоняются к поиску технического решения любой
проблемы. Мы хотим найти программу, которая «излечит» проблему без-
опасности сети. Мало кому хочется писать документ, посвященный прави-
лам и механизмам обеспечения сетевой безопасности. Однако четко прорабо-
танный план обеспечения безопасности поможет решить, что именно необ-
ходимо защищать, какие средства могут быть потрачены на решение задачи
и кто будет отвечать за проведение плана в жизнь.
Оценка угрозы
Первый шаг к разработке эффективного плана обеспечения сетевой безопас-
ности - оценка угрозы, создаваемой для ваших систем подключением к се-
ти. Документ RFC 2196, Site Security Handbook (Учебник по безопасности
сетевых площадок), описывает три различимых типа угроз, обычно связан-
ных с подключением к сети:
Несанкционированный доступ
Доступ к системам постороннего лица.
Раскрытие информации
Любая проблема, вызывающая раскрытие ценной или чувствительной
информации в пользу людей, которые не должны иметь к ней доступа.
Перегрузка служб (Denial of service, DoS )
Любая проблема, осложняющая продуктивную работу системы или пре-
пятствующая ее продолжению.
Планирование безопасности 437
Перечисленные угрозы следует оценивать относительно числа пользовате-
лей, которых могут коснуться возникшие проблемы, а также степенью сек-
ретности информации, которая может быть раскрыта. Для некоторых орга-
низаций взлом - неприятность, подрывающая доверие к этой организации
третьих лиц. Нарушители обычно направляют свои усилия на правительст-
венные и университетские организации, у которых могут возникнуть ос-
ложнения из-за взлома. Но для большинства организаций несанкциониро-
ванный доступ - явление вполне терпимое, пока оно не связано с двумя дру-
гими угрозами - раскрытием информации и отказом в обслуживании (denial
of service).
Оценка угрозы раскрытия информации основывается на качестве информа-
ции, которую необходимо защитить. Разумеется, ни одна система, храня-
щая данные высокой секретности, не должна быть напрямую подключена к
сети Интернет, но системы, работающие с другими видами секретной ин-
формации, могут иметь подобное подключение, не подвергаясь чрезмерной
опасности. В большинстве случаев файлы, хранящие кадровую и медицин-
скую информацию, корпоративные планы и кредитные отчеты, могут быть
адекватно защищены средствами разграничения сетевого доступа и стан-
дартными механизмами разграничения доступа к файлам Unix. Тем не ме-
нее, если последствия раскрытия данных могут оказаться серьезными, име-
ет смысл пересмотреть вопрос о подключении узла к сети Интернет.
Отказ в обслуживании (denial of service, DoS), если он затрагивает многих
пользователей или важные задачи организации, может оказаться серьез-
ным осложнением. Некоторые системы могут подключаться к сети без осо-
бых опасений. Преимущество подключения отдельных рабочих станций и
небольших серверов к сети Интернет обычно перевешивает риск нарушения
работы служб, которыми пользуются отдельные пользователи и группы
пользователей. Иные системы могут являться жизненно важными для
функционирования вашей организации. Прежде чем подключать их к сети,
следует всесторонне оценить угрозу нарушения работы служб ответствен-
ных систем.
Вероломство DoS-атаки проявляется в тот момент, когда ваша система ста-
новится игрушкой в руках злоумышленников. Получив несанкционирован-
ный доступ к системе, нарушители могут разместить в ней вредоносный код
и использовать в качестве стартовой площадки для атак на другие системы.
Чаще всего подобное случается с операционными системами Microsoft, но
жертвой может стать компьютерная система любого типа. Не позволить ис-
пользовать систему во вредоносных целях - важная причина для ее защиты.
На своих занятиях по компьютерной безопасности Брент Чепмен (Brent
Chapman) приводит следующую классификацию угроз безопасности: угрозы
секретности, угрозы доступности и угрозы целостности данных. Секрет-
ность - это необходимость предотвратить раскрытие конфиденциальной ин-
формации. Доступность - наличие информации и ресурсов для ее обработки
в нужный момент (атака DoS нарушает доступность). Необходимость сохра-
нять целостность информации также очевидна, но ее связь с компьютерной
438
Глава 12. Сетевая безопаснбсть
безопасностью тоньше. Как только доступ к системе получило постороннее
лицо, целостность информации, хранимой этой системой, оказывается под
сомнением. Некоторые злоумышленники стремятся нарушить именно цело-
стность данных; все мы слышали о том, как вандалы проникают на веб-сер-
веры с единственной целью - изменить данные на сервере и таким образом
воспрепятствовать нормальной работе организации. Оценить угрозу будет
легче, если вы задумаетесь о последствиях для ваших данных.
Разумеется, сетевыми угрозами дело не ограничивается, существуют другие
угрозы компьютерной безопасности, другие причины для недоступности
служб. Природные бедствия и внутренние угрозы (исходящие от людей, ко-
торые обладают законным доступом к системе) также следует воспринимать
всерьез. Сетевая безопасность широко рекламируется в прессе, так что бес-
покоиться о ней - очень модно, но из-за пожаров и перебоев в подаче элект-
роэнергии потеряно, вероятно, больше машинного времени, чем из-за проб-
лем с сетевой безопасностью. Точно так же больший объем данных подверг-
ся раскрытию привилегированными пользователями, нежели в результате
действий злоумышленников. Естественно, в этой книге сделан упор на сете-
вую безопасность, однако сетевая безопасность - лишь часть общей страте-
гии безопасности, которая включает аспекты физического уровня и способы
восстановления в аварийных ситуациях.
Многие традиционные (не связанные с работой в сети) угрозы безопасности
блокируются уровнем физической безопасности. Не забудьте обезопасить
свое сетевое оборудование и кабели должным образом. Повторюсь, вложе-
ние средств в физическую безопасность должно основываться на реалистич-
ной оценке угрозы.
Распределенное управление
Одним из подходов к обеспечению сетевой безопасности является распреде-
ление ответственности за управление различными сегментами крупной сети
и делегирование ее отделам организации. Такой подход требует участия
большого числа людей и идет вразрез с идеологией обеспечения безопаснос-
ти путем централизации управления. Однако распределение ответственнос-
ти и управления по небольшим административным группам позволяет соз-
давать среду небольших, простых в наблюдении сетей с известными под-
группами пользователей. По аналогии с маленькими и большими городами,
риск сокращается благодаря взаимовыручке жителей, взаимной ответствен-
ности друг за друга и возможности каждого из них управлять своей жизнью.
Кроме того, распределение должностных обязанностей, связанных с без-
опасностью, лишний раз подтверждает тот факт, что меры по обеспечению
безопасности в большинстве случаев принимаются на отдельных системах.
Руководители таких систем должны быть в курсе, что отвечают за безопас-
ность и что их вклад в безопасность сети ценится и признан окружающими.
Чтобы человек выполнял определенную работу, он должен получить соот-
ветствующие полномочия.
Планирование безопасности
439
Распределение полномочий посредством подсетей
Подсети можно считать инструментом распределения полномочий управле-
ния сетью. При образовании подсети следует назначать администратора. Ад-
министратор подсети отвечает за ее безопасность и назначение IP-адресов
подключаемым сетевым устройствам. Назначение адресов IP позволяет ад-
министратору подсети до некоторой степени контролировать состав машин,
подключающихся через подсеть, а также помогает администратору опреде-
лять, какие машины входят в подсеть и кто отвечает за каждую из машин.
Когда администратор подсети назначает машине IP-адрес, он также делеги-
рует администратору этой машины определенные обязанности в области без-
опасности. Точно так же, если администратор создает для пользователя
учетную запись, пользователю вменяется в обязанность соблюдение опреде-
ленных норм безопасности.
Иерархия ответственности выглядит так: администратор сети, администра-
торы подсети, администраторы систем, пользователи. На каждом уровне
иерархии отдельные лица наделяются определенной ответственностью и со-
путствующими полномочиями. Чтобы облегчить существование такой
структуры, важно уведомить пользователей, за что они отвечают и как
должны выполнять свои обязанности. Описанный в следующем разделе ру-
ководящий документ по стратегии обеспечения безопасности содержит по-
добную информацию.
Сеть как средство распространения информации
Если на сетевой площадке начинает использоваться распределенное управ-
ление, возникает потребность в системе распространения информации без-
опасности по группам. На каждом из административных уровней для пре-
дупреждений и передачи другой срочной информации могут использоваться
списки рассылки. Кроме того, может быть создан веб-сайт внутреннего
пользования, предоставляющий доступ к руководящим документам, допол-
нительной и архивной информации, а также ссылкам на важные сайты, по-
священные проблемам безопасности.
Сетевой администратор получает информацию по обеспечению безопасности
из компетентных внешних источников, отбрасывает ненужные сведения, и
передает актуальные данные администраторам подсетей. Администраторы
подсетей передают соответствующие фрагменты информации системным ад-
министраторам, а те, в свою очередь, передают сведения, которые считают
важными, отдельным пользователям. Фильтрация информации на каждом
из уровней гарантирует, что отдельные участники процесса получат инфор-
мации не больше, чем требуется. Если объемы распространяемых матери-
алов регулярно превышают разумный предел, пользователи начинают игно-
рировать все поступающие сведения.
На вершине описанной информационной структуры - сведения, получен-
ные сетевым администратором из компетентных внешних источников. Что-
бы получать такие сведения, сетевой администратор должен подписаться на
соответствующие списки рассылки и форумы, а также регулярно просмат-
440 Глава 12. Сетевая безопасность
ривать тематические веб-сайты. Есть несколько пунктов, с которых имеет
смысл начать поиск информации по компьютерной безопасности:
Поставщик/разработчик вашей системы Unix
Многие поставщики систем ведут собственные списки рассылки, посвя-
щенные безопасности, а у большинства на веб-сайте присутствует страни-
ца аналогичного содержания. Разместите на веб-сайте для внутреннего
пользования ссылку на информацию от поставщика системы, которую
сочтете важной и полезной.
Архив Bugtraq
Бюллетень Bugtraq сообщает об ошибках в программах, некоторые из ко-
торых используются злоумышленниками. Знание о подобных ошибках и
способах их исправить - самое важная составляющая процесса повыше-
ния безопасности системы. Bugtraq широко доступен в среде Web. Я посе-
щаю сайты http://www.geek-girl.com/bugtraq и http://www.security fo-
cus.com, предоставляющие массу информации по безопасности.
Форумы по безопасности
Конференции иерархии comp.security - сотр.security.unix, comp.securi-
ty.firewalls, comp.security.announce и сотр.security.misc - позволяют по-
лучать сведения, представляющие интерес. Подобно большинству конфе-
ренций, они содержат массу неинтересного и малополезного. Однако вре-
мя от времени здесь случаются находки.
Веб-сайт FIRST
Форум реагирования на происшествия и комитетов безопасности (The Fo-
rum of Incident Response and Security Teams, FIRST) - это всемирная ор-
ганизация, объединяющая команды реагирования на происшествия в об-
ласти компьютерной безопасности. Веб-сайт FIRST содержит информа-
цию, связанную с компьютерной безопасностью.
Предупреждения института NIST
Отделение компьютерной безопасности Национального института стан-
дартов и технологий ведет веб-сайт, предоставляющий указатели на по-
священные безопасности веб-страницы по всему миру. Чтобы получить до-
ступ к ссылкам, перейдите в раздел Alerts со страницы http://csrc.nist.gov.
Бюллетени CERT
Бюллетени CERT (Computer Emergency Response Team) содержат инфор-
мацию об известных проблемах безопасности и средствах их решения.
Получить бюллетени можно на сайте CERT по адресу http://www.cert.org.
Институт SANS
Институт Системного администрирования, сетей и безопасности (System
Administration, Networking and Security, SANS) еженедельно рассылает
информативные сообщения электронной почты, посвященные безопас-
ности. На сайте SANS (http://www.sans.org) существует удобная читаль-
ня, а также прочие полезные ресурсы.
Планирование безопасности
441
Сайты, посвященные уязвимостям систем (Exploit sites)
Большинство злоумышленников использует готовые сценарии для взло-
ма, распространяемые в среде Web. Сайты, предоставляющие подобные
сценарии, часто содержат форумы, посвященные обсуждению существу-
ющих уязвимостей различных систем, http://www.insecure.org - хоро-
ший сайт, поскольку хранит описания существующих уязвимостей, а
также массу другой полезной информации.
Разработка политики безопасности
Безопасность, по большому счету, - «проблема персонала». За претворение в
жизнь механизмов безопасности отвечают люди, а не компьютеры, и при на-
рушении системы безопасности ответственность ложится именно на людей.
Следовательно, сетевая безопасность неэффективна, если персонал не в кур-
се собственных обязанностей. Очень важно создать руководящий документ,
описывающий политику безопасности и четко определяющий права и обя-
занности каждого. Политика безопасности сети должна определять следу-
ющие моменты:
Обязанности по обеспечению безопасности отдельных пользователей сети
Политика безопасности может требовать от пользователей регулярной
смены паролей, применения паролей, соответствующих определенным
правилам, либо выполнения определенных проверок с целью выяснить,
пользовался ли учетной записью посторонний. Какими бы ни были обя-
занности пользователей, они должны быть четко определены.
Обязанности системного администратора
Политика может требовать применения определенных средств обеспече-
ния безопасности на каждом узле, присутствия уведомляющих приветст-
венных сообщений для пользователей, равно как организации работы ме-
ханизмов наблюдения и учета. Кроме того, могут быть перечислены при-
ложения, запрещенные к применению на узлах сети.
Надлежащее использование ресурсов сети
Укажите, кому разрешено использовать ресурсы сети, как разрешено ис-
пользовать ресурсы, что запрещено делать. Если ваша организация счи-
тает, что сообщения электронной почты, файлы и история активности
пользователей являются предметом изучения для службы безопасности,
доведите до сведения пользователей, что таковы правила.
Регламент действий при обнаружении проблемы безопасности
Что следует сделать, если обнаружена проблема безопасности? Кого уве-
домить? В момент кризиса легко что-то пропустить, поэтому необходимо
четко определить точные шаги, которые должен предпринять админист-
ратор или пользователь при нарушении системы безопасности. Это может
быть просто фраза «ничего не трогать, сообщить сотруднику службы без-
опасности». Но даже столь простые действия должны быть регламенти-
рованы в письменном виде в руководящем документе политики безопас-
ности и доступны для изучения в любой момент.