Хант Крэйг. TCP/IP Сетевое администрирование

Подождите немного. Документ загружается.

442

Глава 12. Сетевая безопасность

Подключение к сети Интернет привносит определенные обязанности, свя-

занные с безопасностью. В документе RFC 1281, A Guideline for the Secure

Operation of the Internet (Указания по безопасной работе сети Интернет),

приведены руководящие указания для пользователей и сетевых админист-

раторов относительно безопасной и ответственной работы с сетью Интернет.

Прочтение этого документа даст вам понимание того, какая информация

должна быть представлена в руководящем документе по политике безопас-

ности.

Чтобы создать полноценную политику безопасности, необходимо многое

продумать. Приведенный выше примерный план описывает содержание та-

кого документа, но если вы лично отвечаете за его создание, необходимо бо-

лее подробное руководство. Я рекомендую прочесть RFC 2196, документ

весьма полезный при создании плана обеспечения безопасности.

Планирование безопасности (оценка угрозы, распределение обязанностей и

создание политики безопасности) - это фундамент сетевой безопасности, од-

нако план должен быть проведен в жизнь, прежде чем даст результаты. В ос-

тавшейся части главы мы сосредоточимся на реализации базовых механиз-

мов обеспечения безопасности.

Проверка подлинности пользователей

Выбор хороших паролей - одно из простейших мероприятий по обеспечению

качественной сетевой безопасности. Пароли требуются для входа в системы,

работа с которыми разрешается только после аутентификации пароля. На-

родные мифы гласят, что все нарушения в сетевой безопасности происходят

по вине невероятно умных хакеров, находящих уязвимости в программном

обеспечении. В действительности некоторые из наиболее известных нару-

шителей обрели доступ к системам простым угадыванием или кражей паро-

лей либо эксплуатацией хорошо известных уязвимостей устаревшего про-

граммного обеспечения. Позже в этой главе приводятся указания по процес-

су обновления ПО, а также перечисляются способы предотвратить кражу

паролей. Но сначала посмотрим, что можно сделать, чтобы предотвратить

угадывание паролей.

Угадывание паролей облегчается рядом обстоятельств:

• Пароль совпадает с названием учетной записи. Учетные записи с такими

тривиальными паролями называются тупыми (joe accounts).

• Существуют гостевые и демонстрационные учетные записи, не требующие

пароля либо требующие опубликованного и широко известного пароля.

• Существуют системные учетные записи с паролями по умолчанию.

• Пользователи сообщают свой пароль другим пользователям или посто-

ронним лицам.

Отгадывание подобных паролей не требует вообще никакого умения, только

много свободного времени! Частая смена пароля является хорошей контрме-

Проверка подлинности пользователей

443

рой. Однако, выбирая хорошие пароли, не торопитесь менять их настолько

часто, чтобы стало трудно запоминать. Многие специалисты по безопаснос-

ти рекомендуют менять пароль раз в 3-6 месяцев.

Более сложным вариантом угадывания паролей является угадывание по сло-

варю. При этом используется программа, которая шифрует каждое слово из

словаря (скажем, /usr/diet/words) и сравнивает результат с зашифрованным

паролем, хранящемся в файле /etc/passwd. Угадывание по словарю не огра-

ничивается словарными статьями. Доступные сведения о пользователе

(имя, инициалы, номер телефона и т. д.) также служат исходными данными

для программы угадывания. Угадывание по словарю делает очевидной необ-

ходимость защиты файла /etc/passwd.

В некоторых системах для сокрытия шифрованных паролей от потенциаль-

ных злоумышленников применяется файл теневых паролей. Если ваша

система предоставляет возможность работы с теневыми паролями, восполь-

зуйтесь этой возможностью. Сокрытие шифрованных паролей значительно

сокращает риск успешного угадывания.

Файл теневых паролей

Файлы теневых паролей имеют ограниченные права доступа, которые пре-

дотвращают их прочтение злоумышленниками. Зашифрованный пароль

хранится только в файле теневых паролей, /etc/shadow, но не в файле /etc/

passwd. Файл passwd доступен для чтения всем приложениям и пользовате-

лям, поскольку содержит информацию, востребованную самыми разнооб-

разными программами. Файл shadow может быть прочитан только адми-

нистратором и не дублирует сведения, хранящиеся в passwd. Он содержит

только пароли и информацию, необходимую для работы с ними. В системе

Solaris запись файла shadow имеет следующий формат:

username:password:lastchg:min:max:warn:inactive:expire: flag

username - регистрационное имя пользователя, password - зашифрованный

пароль либо, в случае системы Solaris, одно из ключевых слов NP и *LK*.

lastchg - дата последней смены пароля, записанная в виде числа дней, ис-

текших с 1 января 1970 года до дня смены пароля, min - минимальное число

дней, по истечении которого разрешено сменить пароль, max - число дней,

по истечении которого пользователь обязан сменить пароль, warn - число

дней до истечения срока действия пароля, за которое пользователь получает

предупреждение, inactive - число дней бездействия учетной записи, по ис-

течении которых происходит ее блокировка, expire - дата истечения дейст-

вия учетной записи. Поле

flag

не используется.

Зашифрованный пароль хранится только в этом файле. Все поля паролей в

файле /etc/passwd содержат букву х, которая сообщает системе, что настоя-

щие пароли следует искать в файле /etc/shadow, содержащем зашифрован-

ный пароль либо ключевые слова NP или *LK*. Ключевое слово NP означает от-

сутствие пароля и возможности регистрации в системе посредством данной

444

Глава 12. Сетевая безопасность

учетной записи. Системные учетные записи, такие как daemon и ииср, не

позволяют пользователю работать с системой, поэтому в их полях паролей

содержится ключевое слово NP. *LK* в поле пароля означает, что учетная за-

пись блокирована и не может использоваться в принципе. Подобные ситуа-

ции в других системах обозначаются по-разному; в частности, некоторые

системы Linux используют символы * и ! !. Однако во всех системах сущест-

вует способ отличить активные учетные записи пользователей от учетных

записей прочих типов.

Наиболее важной целью применения файла shadow является защита паро-

ля, но дополнительные поля этого файла могут использоваться для решения

сопутствующих задач системы безопасности. Механизм устаревания паро-

лей (password aging) позволяет определить время действия для каждого па-

роля. Когда допустимое время использования пароля подходит к концу, ме-

ханизм устаревания уведомляет пользователя о том, что пароль необходимо

сменить. Если смена пароля не произошла в отведенный период времени,

пароль удаляется из системы, а учетная запись пользователя блокируется.

В механизме устаревания паролей задействованы поля lastchg, max и warn.

С их помощью система узнает, когда в последний раз менялся пароль, сколь-

ко его следует хранить, а также когда следует уведомить пользователя о на-

висшей над ним опасности. Поле min файла теневых паролей предоставляет

еще одну удобную возможность и более тонкий аспект устаревания паролей.

Оно запрещает пользователю менять свой любимый пароль на любой другой,

а потом сразу обратно. После смены пароля он должен использоваться в тече-

ние числа дней, определенного полем min, прежде чем будет разрешено сме-

нить его снова. Таким образом, можно запретить пользователям проделывать

популярный трюк, позволяющий избежать действительной смены пароля.

Поля inactive и expire способствуют исключению из системы незадейство-

ванных учетных записей. В данном случае «бездействие» определяется чис-

лом дней, в течение которого учетная запись пользуется устаревшим паро-

лем. После устаревания пароля пользователь получает определенный срок

для входа в систему и смены пароля. Если пользователь не сделает этого до

истечения указанного числа дней, учетная запись блокируется и пользова-

тель теряет возможность работать с системой.

Поле

expi re

позволяет создавать учетные записи пользователей с ограничен-

ным временем «жизни». По наступлении даты, хранимой в поле expire,

учетная запись пользователя блокируется, даже если все еще является ак-

тивной. Дата прекращения действия учетной записи хранится в виде числа

дней, истекших с 1 января 1970 года.

В системе Solaris файл /etc/shadow не редактируется напрямую. Его правка

выполняется посредством окна Users инструмента admintool либо специаль-

ных ключей командной строки passwd. Окно Users представлено на рис. 12.1.

Можно наблюдать поля username, password, min, max, warn, inactive и expire.

Ключи -n

min,

-w warn и -x max команды passwd системы Solaris позволяют ука-

зывать значения полей min, max и warn для файла /etc/shadow. Перечислен-

Проверка подлинности пользователей

445

Рис. 12.1. Управление паролями посредством admintool

ные ключи доступны только пользователю root. В данном примере адми-

нистратор ограничивает время жизни пароля пользователя Tyler сроком в

180 дней:

# passwd -х 180 tyler

Система Solaris позволяет администратору установить значения по умолча-

нию для всех подобных параметров, чтобы не указывать их каждый раз при

создании пользователя посредством admintool или командной строки passwd.

Значения по умолчанию сохраняются в файле /etc/default/passwd.

% cat /etc/default/passwd

#ident "@(#)passwd.dfl 1.3 92/07/14 SMI"

MAXWEEKS=

MINWEEKS=

PASSLENGTH=6

446

Глава 12. Сетевая безопасность

В файле /etc/default/passwd могут устанавливаться следующие значения по

умолчанию:

MAXWEEKS

Максимальная продолжительность жизни пароля. Срок определяется в

неделях, а не днях. Период в 180 дней из приведенного выше примера

можно определить при помощи этого параметра как MAXWEEKS=26.

MINWEEKS

Минимальное число недель использования пароля до его смены.

PASSLENGTH

Минимальное ограничение на число символов в пароле. В приведенном

примере минимальная длина пароля - 6 символов. В системе Solaris зна-

чимыми являются лишь 8 первых символов пароля, и установка больше-

го значения не меняет этого факта.

WARNWEEKS

Число недель до окончательного устаревания пароля, за которое пользо-

ватель получает предупреждение.

В данном разделе приведен пример для системы Solaris. Система теневых

паролей входит в состав операционной системы Solaris. Она также включа-

ется в дистрибутивы Linux. Описанный здесь файл shadow в системе Linux

имеет в точности такой же формат и действует точно таким же образом.

Задача расшифровки зашифрованного пароля невероятно сложна, однако

шифрованные пароли могут подвергаться сравнению с зашифрованными

словами из словаря. Поэтому применение слабых паролей облегчает их уга-

дывание. Позаботьтесь о защите файла /etc/passwd и пользуйтесь качест-

венными паролями.

Выбор пароля

Хороший пароль - существенный аспект обеспечения безопасности. Обычно

мы думаем о паролях в контексте входа в систему, однако пароли, ключевые

фразы и ключи используются также в более совершенных системах провер-

ки подлинности. В любом случае следует выбирать сильный пароль. Выбор

сильного пароля сводится к тому, чтобы не пользоваться паролями, которые

могут быть отгаданы с применением описанных выше методов. Вот некото-

рые указания по выбору паролей:

• Не используйте регистрационное имя пользователя (login).

• Не используйте названия и вообще какие-либо имена.

• Не используйте слова и сокращения английского или другого языка.

• Не используйте персональные данные, связанные с владельцем учетной

записи. Например, забудьте о собственных инициалах, номере телефона,

номере социального страхования, названии должности, отделе организа-

ции и т. д.

Проверка подлинности пользователей

447

• Не используйте последовательности клавиш, такие как qwerty.

• Не используйте перечисленную информацию, набранную наоборот, толь-

ко заглавными буквами, искаженную любыми иными способами.

• Не используйте пароли, состоящие только из цифр.

• Не используйте примеры паролей, взятые из книг по компьютерной без-

опасности, независимо от их качества.

• Используйте смесь цифр, специальных символов и букв различного ре-

гистра.

• Используйте пароли не менее шести символов длиной.

• Используйте на первый взгляд случайные сочетания букв и цифр.

Следующие распространенные методы могут применяться для создания па-

ролей из кажущихся случайными сочетаний:

• Используйте первые буквы слов строки текста из книги, песни или сти-

хотворения. Например, «People don't know you and trust is a joke»

дает

пароль Pd'ky&tiaj.

• Используйте вывод генератора случайных паролей. Выбирайте случай-

ным образом полученные строки, которые легки для произношения и

запоминания. Например, случайная строка «adazac» произносится как

«а-да-зак», и ее можно запомнить при помощи мнемоники «от а до зет».

Разбавьте результат заглавными буквами, чтобы внести собственное уда-

рение: aDAzac.

• Используйте пару коротких слов, связанных определенным символом:

wRen%Rug.

• Используйте сочетание цифр и букв для создания воображаемого пре-

стижного регистрационного номера автомобиля: 2hot4U?.

Общее во всех перечисленных вариантах - пароль должен легко запоми-

наться. Избегайте паролей, которые необходимо записывать, чтобы запом-

нить. Если не заслуживающие доверия люди получат доступ к вашему рабо-

чему месту и найдут записанный пароль, безопасность системы окажется

под угрозой.

Не стоит думать, что невозможно запомнить случайный пароль. Его может

быть нелегко использовать поначалу, однако любой часто применяемый па-

роль запоминается очень легко. Если речь идет об учетной записи на систе-

ме, с которой вы редко работаете, могут возникнуть сложности с запомина-

нием случайного пароля. В таком случае лучшим решением будет просто из-

бавиться от учетной записи. Не используемые или мало востребованные

учетные записи - первые цели злоумышленников. Им нравится атаковать

такие учетные записи, поскольку пользователь не заметит изменений, вне-

сенных в файлы, или подозрительных дат в сообщениях Last login:. Удаляй-

те все редко используемые учетные записи.

Группа « Toad the Wet Sprocket», песня « Walk on the Ocean ».

Данный пароль создан при помощи генератора паролей.

448 Глава 12. Сетевая безопасность

Каким образом можно гарантировать, что пользователи будут следовать

правилам создания новых паролей? Самый важный шаг - донести до поль-

зователей собственно правила и то, насколько важно следование этим прави-

лам. Уделите этой теме внимание при планировании безопасности, периоди-

чески обращайте на нее внимание пользователей в рассылках и на веб-доске

объявлений.

Кроме того, возможно применение программ, принуждающих пользовате-

лей следовать определенным правилам выбора паролей. По адресу http://cs-

rc.nist.gov/tools/tools.htm расположена страница, перечисляющая ряд таких

программ.

Одноразовые пароли

Иногда хороших паролей оказывается недостаточно. Пароли передаются по

сети открытым текстом. Злоумышленники могут использовать приложения

анализа протоколов для просмотра сетевого трафика и кражи паролей. Если

пароль украден, его качество перестает иметь какое-либо значение.

Вор может находиться в любой сети, через которую проходят ваши пакеты

TCP/IP. Если обращение к системе происходит через локальную сеть, необ-

ходимо беспокоиться только о локальных шпионах. Но если обращение про-

исходит через сеть Интернет, следует беспокоиться из-за невидимых слуша-

телей в целом ряде неизвестных сетей.

Программы, работающие с шифрованными паролями, неуязвимы для по-

добных атак. По этой причине на смену telnet в широких масштабах прихо-

дит защищенный интерпретатор команд ssh (secure shell). Однако клиент за-

щищенного интерпретатора команд может отсутствовать на удаленной сете-

вой площадке. В таком случае следует использовать одноразовые пароли

для регистрации в удаленных системах. Поскольку одноразовый пароль мо-

жет использоваться только раз, человек, укравший пароль, не сможет им

воспользоваться.

Естественно, одноразовые пароли существенно осложняют жизнь. Необхо-

димо иметь с собой перечень одноразовых паролей либо какой-то генератор

таких паролей при каждой необходимости провести сеанс работы с систе-

мой. Не взяв с собой перечень, вы не сможете войти в систему. На первый

взгляд проблема может показаться чрезмерно серьезной. Обычно пользова-

тель регистрируется в системе с рабочего места и работает в основном с на-

стольным компьютером либо одной из машин локальной сети. При работе с

настольным компьютером пароль не передается по сети, поэтому пароли

можно использовать повторно. А в случаях, когда обе стороны канала нахо-

дятся под контролем, можно использовать ssh. Одноразовые пароли нужны

только в случаях, когда работа происходит с удаленной системой без приме-

нения ssh. Таким образом, некоторые механизмы одноразовых паролей поз-

воляют применять многоразовые пароли, когда это допустимо.

Существует несколько систем применения одноразовых паролей. В некото-

рых из них применяется специализированное аппаратное обеспечение, на-

Проверка подлинности пользователей

449

пример смарт-карты. OPIE - это бесплатная программная система, не требу-

ющая специального аппаратного обеспечения.

OPIE

OPIE (One-time Passwords In Everything, одноразовые пароли всегда и

везде) - бесплатное приложение, созданное Военно-морской исследователь-

ской лабораторией США (NRL, U.S. Naval Research Laboratory), которое мо-

дифицирует систему Unix, позволяя использовать одноразовые пароли.

OPIE является производной от Skey, системы одноразовых паролей, разра-

ботанной компанией Bell Communications Research (Bellcore).

Получить OPIE можно в сети Интернет по адресу http://inner.net/opie. Файл

с текущей версией OPIE называется opie-2.4.tar.gz. Распакуйте файл коман-

дой gunzip, извлеките содержимое архива при помощи tar. В результирую-

щем каталоге содержатся файлы исходных текстов, файлы сборки (Makefi-

les) и сценарии, необходимые для компиляции и установки OPIE.

В составе OPIE присутствует сценарий автоматической настройки configure,

определяющий конфигурацию системы и надлежащим образом корректиру-

ющий таке-файл. Сценарий хорошо выполняет свои задачи, но, тем не менее,

следует проверить содержимое файла сборки и убедиться в его корректности.

Например, в моей системе Linux установлен FTP-демон Вашингтонского

университета -

wu. ftpd.

OPIE заменяет

su и ftpd собственными вариан-

тами этих программ. В случае моей системы более ранние версии OPIE confi-

gure не находили

ftpd,

а я не замечал этого, просматривая Makefile. Команда

make

отрабатывала без ошибок, однако в работе команды make install возника-

ла ошибка при попытке установить FTP-демон OPIE. После тривиальной

правки файла Makefile повторное выполнение make install было успешным.

Действие OPIE становится очевидным сразу после завершения установки.

Выполнив команду su, вы получите приглашение root's response: вместо

Password:, login отображает приглашение Response or Password: вместо просто

Password:. Программы, выводящие приглашение Response or Password, позво-

ляют ввести OPIE-ответ либо обычный пароль из файла /etc/passwd. Данная

возможность позволяет пользователям постепенно переходить от использо-

вания традиционных паролей к системе OPIE, а также проходить регистра-

цию на локальной машине при помощи паролей многократного применения

и регистрацию на удаленных машинах при помощи одноразовых паролей.

Все прелести жизни - удобная локальная регистрация без необходимости

создавать раздельные учетные записи для локальной и удаленной проверки

подлинности!

Чтобы использовать OPIE, необходимо, прежде всего, выбрать секретный

пароль, на основе которого будет сгенерирован перечень одноразовых паро-

лей, а затем выполнить программу-генератор. Чтобы выбрать пароль, вы-

полните opiepasswd следующим образом:

$ opiepasswd -с

Updating kristin:

450

Глава 12. Сетевая безопасность

Reminder - Only use this method from the console; NEVER from remote.

If you are using telnet,•xterm, or a dial-in, type "C now or exit with

no password. Then run opiepasswd without the -c parameter.

Using MD5 to compute responses.

Enter old secret pass phrase: 3J5Wd6PaWP

Enter new secret pass phrase: 9WA11WSfW95/NT

Again new secret pass phrase: 9WA11WSfW95/NT

В данном примере пользователь Кристина (kristin) обновляет свой секрет-

ный пароль. Она выполняет opiepasswd с консоли компьютера (что и отража-

ет ключ командной строки

-с).

Выполнение opiepasswd с консоли - вариант

наиболее безопасный. Если команда выполняется не с консоли, необходимо

иметь с собой копию программы opiekey, которая позволяет сгенерировать

верные ответы, необходимые при вводе старых и новых секретных паролей,

поскольку ввод паролей открытым текстом допускается только с консоли.

Кристине предлагается ввести ее старый пароль и выбрать новый. Пароли

OPIE должны иметь длину не менее 10 символов. Поскольку новый пароль

имеет надлежащую длину, программа opiepasswd принимает его и выводит

следующие две строки:

ID kristin OPIE key is 499 be93564

CITE JAN GORY 8ELA GET ABED

Эти строки дают Кристине информацию, необходимую для создания регист-

рационных OPIE-ответов и первого ответа для входа в систему. Одноразовый

пароль для следующего входа в систему содержится во второй строке: груп-

па из шести коротких строк прописных символов. Первая строка содержит

начальный порядковый номер (499) и значение инициализации (Ье93564),

которые в совокупности с секретным паролем позволяют Кристине генери-

ровать регистрационные OPIE-ответы. Такие ответы генерируются програм-

мой opiekey.

opiekey на входе берет порядковый номер, значение инициализации, а также

секретный пароль пользователя, а генерирует корректный одноразовый па-

роль. Если в системе, с которой происходит регистрация, присутствует opi-

ekey, одноразовые пароли можно генерировать по одному за раз. В против-

ном случае можно заранее применить ключ -п и получить набор паролей. За-

пишите пароли, положите их в бумажник - и вперед!

В следующем примере

мы запрашиваем пять

(-п 5)

ответов у opiekey:

$ opiekey -n 5 495 wi01309

Using MD5 algorithm to compute response.

Reminder: Don't use opiekey from telnet or dial-in sessions.

Специалисты по безопасности испытают отвращение, прочтя это предложение.

Записывать пароли - что может быть хуже? Честно говоря, я считаю, что люди,

крадущие мой бумажник, больше заинтересованы в моих деньгах, чем в паролях

к моей системе. Однако в каждом конкретном случае это предложение следует

рассматривать в контексте уровня защищенности, необходимого вашей системе.

Проверка подлинности пользователей

451

Enter secret pass phrase: UUaX26CPaU

491: HOST VET FOWL SEEK IOWA YAP

492: JOB ARTS WERE FEAT TILE IBIS

493: TRUE BRED JOEL USER HALT EBEN

494: HOOD WED MOLT PAN FED RUBY

495: SUB YAW BILE GLEE OWE NOR

Сначала opiekey сообщает нам, что для создания ответов используется алго-

ритм MD5, что для OPIE является умолчанием. В целях совместимости с бо-

лее старыми реализациями Skey и OPIE можно предписать opiekey использо-

вать алгоритм MD4 - при помощи ключа командной строки

-4.

opiekey пред-

лагает ввести секретный пароль, то есть пароль, определенный при помощи

opiepasswd. Затем opiekey отображает столько ответов, сколько запрошено, и

ныводит их в порядке возрастания порядковых номеров. В данном примере

используются порядковые номера от 495 до 491. Когда порядковый номер

опустится до 10, выполните повторно opiepasswd и выберите новый секрет-

ный пароль. Выбор нового пароля вновь устанавливает порядковый номер в

значение 499.

Регистрационное приглашение OPIE содержит порядковый номер, и пользо-

ватель должен набрать ответ, соответствующий этому номеру. Пример:

otp-md5 492 wi01309 Response or Password:

JOB ARTS WERE FEAT TILE IBIS

По приглашению login: пользователь Tyler вводит свое имя. Система отобра-

жает строку, уведомляя пользователя, что одноразовые пароли генерируют-

ся по алгоритму MD5 (otp-md5), порядковый номер регистрации в системе -

492, и что значение инициализации для генератора одноразовых паролей -

wi01309. Пользователь находит ответ для порядкового номера регистрации

492 и набирает шесть коротких строк. Затем вычеркивает ответ из своего

списка, поскольку его уже нельзя использовать для входа в систему. Ответ

из списка должен использоваться всякий раз, когда регистрация в системе

происходит не с локальной консоли. Многоразовые пароли могут использо-

ваться только при регистрации с консоли.

Защищенный командный интерпретатор используется для удаленной ре-

гистрации, если доступен клиенту. Вследствие этого одноразовые пароли

требуются лишь в особых случаях. Как правило, достаточно иметь один не-

большой OPIE-сервер в вашей сети. Удаленные пользователи, вынужденные

использовать одноразовые пароли, входят на этот сервер, а затем применяют

предпочтительный метод (скажем, ssh) для работы с настоящими серверами.

Защита г-команд

В некоторых приложениях применяются собственные механизмы безопас-

ности. Убедитесь, что эти механизмы настроены надлежащим образом. В

частности, проверьте r-команды Unix, а именно набор сетевых Unix-прило-

жений, сравнимых с ftp и telnet. Необходимо знать точно, что r-команды не