Хант Крэйг. TCP/IP Сетевое администрирование

Подождите немного. Документ загружается.

462

Глава 12. Сетевая безопасность

Если найден файл с таким или подобным именем, вероятен взлом. (Помни-

те, что в каждом каталоге, за исключением корневого, существует один ка-

талог с именем . и один каталог с именем ...) Изучите содержимое всех по-

дозрительных файлов и следуйте обычной процедуре доклада информации о

происшествии.

Следует также изучить ряд ключевых файлов, если возникает подозрение

относительно безопасности:

/etc/inetd.conf и /etc/xinetd.conf

Проверьте имена программ, запускаемых настройками файла /etc/in

etd.conf, либо файла /etc/xinetd.conf, если используется xinetd. В част

ности, убедитесь, что не запускается какой-либо интерпретатор команд

(к примеру, /bin/csh). Убедитесь также, что программы, запускаемые де

монами inetd и

xinetd,

небыли изменены. Файлы /etc/inetd.conf и /etc/xi

netd.conf не должны быть доступны для записи всем пользователям.

Файлы настройки г-команд

Проверьте файлы /etc/hosts.equiv, /etc/hosts.lpd, а также файлы .rhosts в

домашних каталогах всех пользователей. Убедитесь, что файлы не были

изменены неподобающим образом. В частности, обратите особое внима-

ние на записи со знаком сложения (+) и любые записи, в которых фигури-

руют узлы, не принадлежащие локальной сети. Перечисленные файлы не

должны быть доступны для записи всем пользователям. Лучше всего уда-

лите r-команды из системы и позаботьтесь о том, чтобы они не устанавли-

вались повторно.

/etc/passwd

Убедитесь, что файл /etc/passwd не был изменен. Ищите новые имена

пользователей и изменения в идентификаторах UID и GID любых учет-

ных записей. Файл /etc/passwd не должен быть доступен для записи всем

пользователям.

Файлы, выполняемые командами сгоп и at

Проверьте все файлы, выполняемые по командам сгоп и at. Ищите новые

файлы или необъяснимые изменения в существующих. Временами зло-

умышленники используют процедуры, выполняемые

сгоп

at,

чтобы по-

вторно получить доступ к системе даже после того, как их доступ забло-

кирован.

Исполняемые файлы

Проверьте все исполняемые файлы и файлы сценариев на предмет изме-

нений, внесенных злоумышленниками. Исполняемые файлы не должны

быть доступны для записи всем пользователям.

Если вы обнаружили или хотя бы заподозрили наличие проблемы, следуйте

стандартной процедуре и уведомите о ней пользователей. Это особенно важ-

но, если система подключена к локальной сети. Проблема, возникшая в од-

ной системе сети, может распространиться и на другие системы.

Наблюдение за безопасностью 463

Данный файл часто хранится в каталоге /usr/adm, /var/log или /etc.

Проверка файлов

Команда find является мощным инструментом для обнаружения потенци-

альных проблем, связанных с безопасностью файловой системы, поскольку

позволяет производить всеобъемлющий поиск файлов с определенными пра-

вами доступа. Злоумышленники часто оставляют программы, исполняемые

С полномочиями администратора, чтобы получить root-доступ к системе.

Следующая команда выполняет рекурсивный поиск таких файлов начиная

с корневого каталога:

# find / -user root -perm -4000 -print

Данная команда find начинает поиск с корневого каталога (/) и находит фай-

лы, принадлежащие пользователю root (-user

root),

с установленным битом

eetuid (-perm

-4000).

Все найденные соответствия отображаются на терминале

(-print).

Если команда find выведет какие-либо имена файлов, внимательно

изучите каждый файл и убедитесь, что такие права доступа установлены по

необходимости. Как правило, сценарии командного интерпретатора не

должны выполняться с полномочиями администратора.

Команду find можно использовать для обнаружения других проблем, кото-

рые делают систему уязвимой для злоумышленников. В частности, find поз-

воляет находить файлы, доступные для записи всем пользователям

(-perm

-2),

файлы, исполняемые с полномочиями группы (-perm

-2000),

файлы без вла-

дельца

(-nouser -о -nogroup).

Первые две категории файлов необходимо прове-

рять на уместность установленных прав доступа. Обычно файлы, имена ко-

торых начинаются с точки (.), не должны быть доступны для записи всем

пользователям, а групповых полномочий выполнения для сценариев ко-

мандного интерпретатора рекомендуется избегать.

Процесс сканирования файловой системы можно автоматизировать при по-

мощи программы Tripwire. Версия Tripwire с коммерческой поддержкой до-

ступна по адресу http://www.tripwiresecurity.com, а версия для Linux с от-

крытым исходным кодом - по адресу http://www.tripwire.org. Данный пакет

не только сканирует файловую систему в поисках проблем, но и вычисляет

цифровые подписи, позволяющие обнаружить любые изменения файлов.

Проверка активности пользователей

Подозрительная активность пользователей (непривычное время дня или не-

знакомая удаленная система) может быть признаком того, что злоумышлен-

ники пытаются получить доступ к вашей системе. Мы уже познакомились с

командой who, перечисляющей пользователей, работающих в данный мо-

мент в системе. Чтобы выяснить, кто работал в системе ранее, используйте

команду last.

Команда last отображает содержимое файла wtmp.

Она полезна для созда-

ния картины нормальной активности пользователей и вычисления отклоне-

ний. Файл wtmp хранит историю обращений пользователей к системе -

464

Глава 12. Сетевая безопасность

в частности время входа в систему, координаты удаленной системы, а также

время завершения сеанса работы.

На рис. 12.3 представлена одна строка вывода команды last. Строка содер-

жит поля, определяющие имя пользователя, координаты удаленной систе

мы, с которой подключался пользователь (при необходимости), устройство

терминала, день, дату и время начала входа в систему, время завершения се

анса работы (при необходимости) и общую длительность сеанса работы.

Рис. 12.3. Вывод команды last

Если набрать просто

last,

мы получим весьма объемный вывод, поскольку ко-

манда отобразит все записи из файла wtmp. Чтобы ограничить вывод, укажи-

те в командной строке имя пользователя или устройство терминала, для кото-

рого необходимо получить сведения. Кроме того, можно использовать grep для

фильтрации вывода last по определенным условиям. Например, следующая

команда выводит сеансы работы, происходившие в субботу и воскресенье:

% last | grep

S[au]' | more

craig console :0 Sun Dec 15 10:33 still logged in

reboot system boot Sat Dec 14 18:12

root console Sat Dec 14 18:14

craig pts/5 jerboas Sat Dec 14 17:11 - 17:43 (00:32)

craig pts/2 172.16.12.24 Sun Dec 8 21:47 - 21:52 (00:05)

--More--

B следующем примере происходит поиск root-сеансов, проводившихся не с

консоли системы. Если неизвестно, кто работал в перечисленных сеансах, у

вас должны возникнуть соответствующие подозрения:

Команда last является серьезным источником сведений по активности поль-

зователей. Подозрительными являются сеансы работы, происходящие в не-

привычное время либо с незнакомых удаленных систем. Удаленные root-ce-

ансы должны быть запрещены явным образом. Используйте команду last

для обнаружения подобных проблем.

Сообщайте о любых проблемах безопасности, которые обнаружите или хотя

бы заподозрите. Не стоит стесняться сообщать о проблеме, даже если тревога

Наблюдение за безопасностью 465

может оказаться ложной. Не стоит молчать, потому что «вину» за наруше-

ние безопасности могут возложить на вас. Ваше молчание лишь поможет

злоумышленнику.

Автоматизированное наблюдение

Наблюдение за системой вручную требует серьезных затрат времени и связа-

но с ошибками. К счастью, существует ряд инструментов для автоматизации

наблюдения. В настоящее время наиболее популярные инструменты пере-

числены на веб-сайте http://www.insecure.com. Одним из таких инструмен-

тов является упомянутая выше программа Tripwire. Другие широко приме-

няемые инструменты:

Nessus

Nessus - это сетевой сканер, работающий по модели клиент/сервер. Nes-

sus сканирует целевые системы на предмет обнаружения широкого

спектра проблем защищенности.

SATAN

SATAN (Security Auditing Tool for Analyzing Networks) - первый сетевой

сканер уязвимостей, получивший широкое распространение. Несмотря

на почтенный возраст, по-прежнему популярен и способен обнаружить

широкий спектр известных проблем защищенности. SATAN является

предком других, также популярных инструментов - SAINT и SARA.

SAINT

Инструмент SAINT (System Administrator's Integrated Network Tool) ска-

нирует системы в поисках широкого спектра уязвимостей. SAINT осно-

ван на SATAN.

SARA

SARA (Security Auditor's Research Assistant) - сканер безопасности

третьего поколения, основанный на SATAN и SAINT. Выполняет обнару-

жение широкого спектра известных уязвимостей.

Whisker

Сканер безопасности. Особенно эффективно находит некоторые ошибки в

CGI-сценариях, ставящие под угрозу безопасность веб-сайта.

ISS

ISS (Internet Security Scanner) - коммерческий сканер безопасности. Для

тех, кто предпочитает коммерческие продукты.

Cybercop

Еще один коммерческий сканер безопасности.

Snort

Snort реализует систему регистрации пакетов, основанную на правилах.

Snort пытается обнаружить вторжение и сообщает о проблемах адми-

нистратору в реальном времени.

466

Глава 12. Сетевая безопасность

PortSentry

PortSentry выявляет сканирование портов и позволяет в реальном време-

ни заблокировать доступ для системы, с которой производится сканирова-

ние. Сканирование портов часто предшествует полномасштабной атаке.

Самая большая проблема сканеров и инструментов обнаружения вторжений

заключается в том, что они быстро устаревают. Эти инструменты не готовы

к отражению новых видов атак. Потому в этой книге нет подробностей рабо-

ты с подобными сканерами. Список актуален лишь на момент написания

книги. На момент прочтения книги появятся новые инструменты обеспече-

ния безопасности и новые версии существующих инструментов. Восполь-

зуйтесь списком лишь в качестве отправной точки для поиска наиболее сов-

ременных инструментов в среде Web.

Хорошо осведомленные пользователи и администраторы, качественная па-

рольная безопасность, а также скрупулезное наблюдение за системой - вот

основы безопасности сети. Но нужно что-то еще. Таким «что-то» является

способ управления доступом к системам сети либо управления доступом к

данным, передаваемым по сети. В оставшейся части главы мы изучим раз-

личные методы разграничения доступа.

Управление доступом

Управление доступом - это механизм ограничения доступа. Маршрутизато-

ры и узлы, использующие управление доступом, проверяют наличие адреса

узла, обратившегося к службе, в списке управления доступом. Если список

явным образом разрешает удаленному узлу использовать службу, узлу пре-

доставляется доступ к этой службе. Если узел запрещает удаленному узлу

доступ к службе, этот узел остается не у дел. Управление доступом сущест-

вует независимо от стандартных механизмов обеспечения безопасности, до-

бавляя проверку источника запроса к службе и сохраняя все обычные про-

верки, происходящие на уровне пользователя.

Механизмы управления доступом часто встречаются в терминальных серве-

рах и маршрутизаторах. Например, маршрутизаторы Cisco имеют встроен-

ные возможности для разграничения доступа. Программы управления до-

ступом доступны и для узлов Unix. Мы изучим два таких пакета - xinetd и

программу TCP wrapper. Начнем с TCP wrapper (tcpd), название которой

(«обертка») происходит от того факта, что она служит оболочкой для сете-

вой службы. Чтобы обратиться к службе, необходимо сначала проникнуть

через эту «обертку».

wrapper

Пакет wrapper выполняет две основные функции: регистрирует обращения

к интернет-службам и реализует механизм управления доступом для систем

Unix. Регистрация обращений к конкретным сетевым службам - полезная

функция наблюдения, особенно при поиске возможных нарушителей. Даже

Управление доступом 467

Теперь, получив запрос к демону

fingerd,

inetd запустит

tcpd.

tcpd фиксирует

обращение к fingerd, сверяется с данными управления доступом, а затем,

при наличии разрешения, запускает уже собственно демон

finger,

который и

обрабатывает запрос. Таким образом, tcpd выступает в роли сторожа для

других демонов.

Внесите подобные изменения в записи всех служб, для которых необходимо

осуществлять управление доступом. Подходящие кандидаты - ftpd, tftpd,

telnetd и fingerd. Очевидно, tcpd не может напрямую управлять доступом к

службам, которые не находятся под контролем inetd, таким как sendmail и

NFS. Однако другие инструменты, например portmapper, используют файлы

настройки tcpd для определения собственной политики управления досту-

пом. Таким образом, настройка wrapper может положительно влиять на без-

опасность даже тех демонов, которые запускаются независимо от inetd.

В большинстве систем Linux применять wrapper еще проще. Не требуете

искать и устанавливать программу tcpd - она входит в состав системы. Не

требуется даже редактировать файл /etc/inetd.conf, поскольку шестое поле

записей этого файла уже указывает на программу tcpd:

finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd -w

Файлы управления доступом tcpd

Информация, которой руководствуется tcpd при управлении доступом, хра-

нится в файлах /etc/hosts.allow и /etc/hosts.deny. Назначение файлов одно-

не имея иной функциональности, пакет wrapper был бы полезен. Однако его

настоящая сила заключена в способности управлять доступом к сетевым

службам.

Программа wrapper входит в состав многих вариантов систем Linux и Unix.

Кроме того, tar-архив wrapper, содержащий исходный текст на языке С и

файлы сборки, необходимые для компиляции демона

tcpd,

доступен на ряде

сайтов в сети Интернет.

Если в вашей системе Unix нет программы wrapper, загрузите ее исходный

текст, соберите tcpd, а затем установите программу в каталог, где хранятся

прочие сетевые демоны. Отредактируйте файл /etc/inetd.conf и замените путь

для всех демонов сетевых служб, доступ к которым необходимо разграничить,

путем к демону

tcpd.

Установка tcpd влияет лишь на одно поле файла /etc/in-

etd.conf - шестое, а именно то, которое содержит путь к сетевому демону.

К примеру, запись демона finger в файле /etc/inetd.conf нашей системы Sola-

ris 8 выглядит так:

Значение шестого поля - /usr/sbin/in.fingerd. Чтобы контролировать доступ

к демону

finger,

укажите в этом поле значение /usr/sbin/tcpd, как показано

ниже:

468 Глава 12. Сетевая безопасность

Исходя из этого, в качестве имени службы в файлах hosts.allow и hosts.deny

мы используем

in.

fingerd.

список_узлов,

элементы которого разделены запятыми, - это список имен уз-

лов, доменных имен, IP-адресов или номеров сетей. Системам, перечислен-

ным в этом списке, разрешается (hosts.allow) или запрещается (hosts.deny)

доступ к службам, указанным в

списке_служб.

Имя узла или IP-адрес обозна-

чает отдельный узел. Например, rodent - имя узла, а 172.16.12.2 - IP-адрес.

Оба адреса относятся к совершенно определенному узлу. Доменное имя обо-

значает все узлы домена; так, .wrotethebook.com соответствует crab.wrotethe-

book.com, rodent.wrotethebook.com, horseshoe.wrotethebook.com и любым дру-

гим узлам домена. В списке управления доступом tcpd доменные имена всег-

да начинаются с точки (.). Номер сети обозначает все IP-адреса из адресного

пространства этой сети. Например, 172.16. соответствует 172.16.12.1,

172.16.12.2, 172.16.5.1, а также любым другим адресам, которые начина-

ются с 172.16. Адреса сетей в списке управления доступом tcpd всегда закан-

чиваются точкой (.).

Ниже приводится полноценная запись hosts.allow, разрешающая всем узлам

домена wrotethebook.com доступ к службам FTP и Telnet:

значно определяется их именами, hosts.allow содержит список узлов, кото-

рым разрешен доступ к службам сети, тогда как hosts.deny - список узлов,

которым запрещен доступ. Если такие файлы не существуют, tcpd разреша-

ет доступ всем узлам и просто регистрирует обращения к службам. Очевид-

но, если необходимо осуществлять только наблюдение за обращениями, эти

два файла можно не создавать.

Если файлы существуют, tcpd сначала обращается к файлу hosts.allow, а за-

тем к файлу hosts.deny. Поиск прекращается, как только найдена запись, со-

ответствующая узлу и службе, о которых идет речь. Таким образом, доступ,

разрешенный файлом hosts.allow, не может быть заблокирован записью из

hosts.deny.

Формат записей одинаков для обоих файлов:

Здесь список_служб - список сетевых служб, элементы которого разделены

запятыми, а точнее говоря - разрешенных (hosts.allow) или заблокирован-

ных (hosts.deny) служб. Каждая служба определяется именем процесса из

седьмого поля записи файла /etc/inetd.conf. Это просто имя, следующее не-

посредственно за путем к tcpd в файле inetd.conf. (Описание поля аргументов

файла /etc/inetd.conf дано в главе 5.)

Воспользуемся снова службой finger для примера. Мы изменили ее запись в

inetd.conf на такую:

Управление доступом 469

В записях hosts.allow и hosts.deny допустимы специальные ключевые слова

ALL

LOCAL.

Ключевое слово ALL может использоваться в списке служб для ука-

зания всех служб сети, а также в списке узлов для указания всех имен узлов и

адресов. Второе ключевое слово,

LOCAL,

может использоваться только в списке

узлов. Оно соответствует всем локальным именам узлов, tcpd считает имя уз-

ла «локальным», если оно не содержит точек. Таким образом, имя узла ro-

dent соответствует указанию LOCAL, а имя rodent.wrotethebook.com - нет. Сле-

дующая запись относится ко всем службам и всем локальным узлам:

ALL : LOCAL

Чтобы лучше понять принципы применения tcpd, рассмотрим более слож-

ный пример. Прежде всего, предположим, что необходимо разрешить всем

узлам локального домена (wrotethebook. сот) доступ ко всем службам систе-

мы, но запретить доступ к каким-либо службам всем прочим узлам. Соз-

дайте в файле /etc/hosts.allow запись, разрешающую всем узлам локального

домена доступ к любым службам:

ALL : LOCAL, .wrotethebook.com

Ключевое слово ALL в списке служб говорит о том, что правило относится ко

всем сетевым службам. Двоеточие (:) отделяет список узлов от списка

служб. Ключевое слово LOCAL показывает, что допустимы все локальные име-

на без доменного расширения, а строка .wrotethebook.com - что все имена уз-

лов, дополненные доменным именем wrotethebook.com, также допустимы.

Разрешив доступ только тем системам, которые необходимо обслуживать,

следует явно запретить доступ всем остальным системам - в файле hosts.de-

ny. Чтобы запретить обращения со стороны прочих узлов, внесите такую за-

пись в файл /etc/hosts.deny:

ALL : ALL

Все системы, не соответствующие записи из /etc/hosts.allow, обрабатывают-

ся по правилам из /etc/hosts.deny. В данном случае запись запрещает доступ

всем, независимо от службы, о которой идет речь. Помните, даже в присут-

ствии ключевого слова ALL в списке служб правило действует только на

службы, работающие под управлением

inetd,

и только в том случае, если за-

писи этих служб в файле inetd.conf соответствующим образом изменены. Ав-

томатическая защита для всех прочих служб не предоставляется.

Синтаксис стандартного файла управления доступом для wrapper может

быть чуть более сложным, чем в приведенных примерах. Файл hosts.allow

может содержать такие записи:

imapd, ipopd3 : 172.16.12.

ALL EXCEPT imapd, ipopd3 : ALL

Первая запись разрешает доступ к службам IMAP и POP всем узлам, IP-ад-

реса которых начинаются с 172.16.12. Вторая строка разрешает всем узлам

доступ ко всем службам, кроме IMAP и POP. Данные записи ограничивают

доступ к почтовой службе одной подсетью, в то же время предоставляя все

470 Глава 12. Сетевая безопасность

прочие службы любым узлам. Ключевое слово EXCEPT позволяет исключать

элементы из всеохватывающих списков служб. Оно может присутствовать и

в списке узлов правила доступа. Рассмотрим такой пример:

ALL: .wrotethebook.com EXCEPT public.wrotethebook.com

В файле hosts.allow такая запись разрешает всем системам домена wrotethe-

book.com доступ ко всем службам. Исключением является узел public.wrotet-

hebook.com. Смысл таков, что по какой-то причине узел public.wrotethebo-

ok.com не является доверенным - возможно, с ним разрешено работать поль-

зователям из других доменов.

И последняя вариация синтаксиса- символ сужающий определение

служб или узлов. Два примера:

in.telnetd@172.16.12.2 : 172.16.12.0/255.255.255.0

in.rshd : KNOWN@robin.wrotethebook.com

В списке служб символ @ указывает, что сервер имеет несколько IP-адресов и

что правило справедливо лишь для одного из этих адресов. Примерами сис-

тем с многими адресами являются многосетевые узлы и маршрутизаторы.

Если сервер является маршрутизатором, связывающим локальную сеть с

внешними сетями, имеет смысл предоставлять доступ к службам только че-

рез интерфейс с локальной сетью, но не через интерфейс с внешним миром.

Символ ® позволяет решить именно такую задачу. Если первая строка из

примера расположена в файле hosts.allow, она разрешает доступ к демону

Telnet через сетевой интерфейс 172.16.12.2 для всех клиентов, адреса кото-

рых начинаются с 172.16.12.

Назначение @ в списке узлов совсем иное. В списке узлов символ @ указыва-

ет, что клиент должен предоставить имя пользователя для прохождения

проверки по списку управления доступом. Это означает, что клиент должен

работать с демоном identd. Список узлов позволяет проверять конкретное

имя пользователя, но чаще всего используется одно из трех ключевых слов:

KNOWN

Результат проверки принимает значение KNOWN, если удаленная система

возвращает имя пользователя в ответ на запрос.

UNKNOWN

Результат проверки принимает значение UNKNOWN, если удаленная система

не способна ответить на запрос вследствие отсутствия демона identd.

ALL

Данный вариант требует от удаленного узла предоставления имени поль-

зователя. Является эквивалентом

KNOWN,

но используется реже.

И последнее поле записей - необязательная команда интерпретатора. В случае

обнаружения соответствия правилу, с которым связана команда интерпрета-

тора, tcpd регистрирует попытку доступа, разрешает или запрещает доступ к

службе, а затем передает команду для выполнения интерпретатору команд.

Управление доступом 471

Создание команды интерпретатора

Команда интерпретатора позволяет осуществлять дополнительную обработ-

ку по событию соответствия попытки доступа правилу из списка управления

доступом. Во всех практических примерах эта возможность используется в

файле hosts.deny для сбора дополнительных сведений о злоумышленнике ли-

бо для уведомления администратора системы о возможной атаке. Например:

ALL : ALL : (safe_finger -1 @%h | /usr/sbin/mail -s %d - %h root.) &

Данное правило из файла hosts.deny запрещает доступ ко всем службам всем

системам, которым доступ не разрешен явным образом правилами hosts.al-

low. Зарегистрировав и заблокировав попытку доступа, tcpd передает коман-

ду safe_finger командному интерпретатору для выполнения. Все варианты

finger, включая safe_finger, обращаются к удаленному узлу, чтобы опреде-

лить, кто работает на этом узле. Такие сведения полезны при поиске нару-

шителя. Результаты выполнения команды safe_finger передаются в почто-

вом сообщении пользователю учетной записи root. Символ & в конце строки

предписывает интерпретатору выполнять команду в фоновом режиме. Этот

символ очень важен. В его отсутствие tcpd будет ожидать завершения работы

команды, и лишь после вернется к выполнению своих задач.

Программа safe_finger входит в состав пакета wrapper. Она особым образом

модифицирована и менее уязвима для атак, чем стандартная программа

finger.

В приведенных примерах использовались некоторые переменные, такие как

%h и %d. Переменные позволяют использовать параметры входящего соедине-

ния в работе процесса командного интерпретатора. Существующие перемен-

ные перечислены в табл. 12.1.

Таблица 12.1. Переменные, используемые в командах интерпретатора

Переменная Значение

%а

IP-адрес клиента

%А IP-адрес сервера

%с Вся доступная информация по клиенту, включая имя пользователя

(когда возможно)

%d Имя процесса демона сетевой службы

%h Имя узла клиента. Если имя узла недоступно, переменная хранит

IP-адрес клиента

%Н Имя узла сервера

%п Имя узла клиента. Если имя узла недоступно, переменная хранит

ключевое слово UNKNOWN. Если поиск в DNS возвращает адрес, не совпа-

дающий с IP-адресом клиента, используется ключевое слово PARANOID

Имя узла сервера

%р

Идентификатор процесса демона сетевой службы (PID)