Хант Крэйг. TCP/IP Сетевое администрирование

Подождите немного. Документ загружается.

472 Глава 12. Сетевая безопасность

Таблица 12.1 (продолжение)

Из табл. 12.1 видно, что %h - это имя удаленного узла, a %d - процесс демо-

на, к которому происходит обращение. Вернемся к примеру команды интер-

претатора. Предположим, что попытка обращения к

in.

rshd исходила от уз-

ла foo.bar.org. Интерпретатору передается команда:

safe_finger -1 @foo.bar.org |

/usr/sbin/mail -s in.rshd-foo.bar.org root

Стандартный язык управления доступом wrapper является полноценным

языком настройки и позволяет решать любые разумные задачи. Несмотря

на это существует расширенная версия этого языка.

Необязательные расширения языка управления доступом

Если пакет wrapper компилировался в присутствии PROCESSOPTIONS в

шаке-файле, синтаксис языка управления доступом изменяется и расширя-

ется. Включение PROCESS_OPTIONS изменяет число полей в правилах. Но-

вый синтаксис выглядит следующим образом:

список_служб : список_узлов : параметр : параметр ...

Списки узлов и служб определены так же, как в исходном варианте синтак-

сиса. Новым элементом являются параметры, равно как и факт, что в каж-

дом правиле их может быть несколько. Существуют следующие параметры:

allow

Разрешает доступ к службе. Параметр указывается в конце правила.

deny

Запрещает доступ к службе. Параметр указывается в конце правила.

spawn команда

Выполняет указанную команду интерпретатора в порожденном процессе.

twist команда

Выполняет указанную команду интерпретатора вместо службы, к кото-

рой произошло обращение.

keepalive

Посылает сообщения keepalive удаленному узлу. Если узел не отвечает,

соединение закрывается.

Управление доступом 473

linger секунд

Указывает интервал времени, в течение которого следует пытаться доста-

вить данные после того, как сервер закрыл соединение.

rfc931 [ интервал ]

Использует протокол IDENT для поиска имени пользователя на удален-

ном узле, интервал (timeout) определяет число секунд ожидания ответа от

удаленного узла.

banners путь

Передает содержимое файла (сообщения) удаленной системе, путь - это

имя каталога, содержащего файлы с «шапками» (banners). Отображается

тот файл, имя которого совпадает с именем процесса сетевого демона.

nice [ число ]

Устанавливает значение приоритета выполнения (nice) для процесса се-

тевой службы. Значение по умолчанию - 10.

umask маска

Устанавливает значение umask для файлов, задействованных в работе про-

цесса сетевой службы.

user пользователь[. группа]

Определяет идентификатор пользователя и идентификатор группы, с пра-

вами которых выполняется процесс сетевой службы. Данный параметр

имеет более высокий приоритет, чем определения в файле inetd.conf.

setenv переменная значение

Устанавливает значение переменной среды выполнения процесса.

Чтобы проиллюстрировать отличия нового синтаксиса, рассмотрим ряд при-

меров, основанных на приводившихся ранее. В случае расширенного син-

таксиса hosts.allow может содержать такие записи:

ALL : LOCAL, .wrotethebook.com : ALLOW

in.ftpd,in.telnetd : eds.oreilly.com : ALLOW

ALL : ALL : DENY

Новый синтаксис позволяет сократить количество файлов настройки до од-

ного. Параметры

ALLOW

DENY

позволяют хранить все правила в одном файле.

Первая строка разрешает доступ ко всем службам для всех локальных узлов

и всех узлов домена wrotethebook.com. Вторая строка разрешает доступ к

службам FTP и Telnet удаленному узлу eds.oreilly.com. Третья строка иден-

тична правилу ALL : ALL в файле hosts.deny, она запрещает всем прочим уз-

лам доступ ко всем службам. Параметры ALLOW и DENY позволяют переписать

команду

ALL: .wrotethebook.com EXCEPT public.wrotethebook.com

следующим образом:

ALL: .wrotethebook.com : ALLOW

ALL: public.wrotethebook.com : DENY

474

Глава 12. Сетевая безопасность

Пример, включающий команду интерпретатора, в новом варианте выглядит

почти так же:

in.rshd : ALL: spawn (safe_finger -1 @%h | /usr/sbin/mail ~s %d - %h root) & : DENY

Более интересная вариация на тему команд интерпретатора связана с пара-

метром twist. Вместо того чтобы передавать команду интерпретатору для

выполнения, команда twist выполняет для удаленного пользователя про-

грамму, но совсем не искомую. Например:

in.ftpd : ALL: twist /bin/echo 421 FTP not allowed from %h : DENY

В данном случае, когда удаленный пользователь обращается к демону FTP,

вместо FTP запускается

echo.

Программа echo передает сообщение удаленной

системе и разрывает соединение.

Расширенный синтаксис wrapper применяется редко, поскольку все задачи

можно решить посредством традиционного синтаксиса. Следует разбираться

в расширенном синтаксисе на случай встречи с ним, однако маловероятно,

что вы испытаете необходимость его использовать. Альтернативой wrapper,

которая вам встретится, будет

xinetd.

Этот демон заменяет inetd и позволяет

управлять доступом. Основы работы с xinetd рассмотрены в главе 5. Здесь мы

сосредоточим внимание на функциях управления доступом этого демона.

Управление доступом в xinetd

Как уже говорилось в главе 5, большая часть информации в файле xi-

netd.conf представляет собой те же значения, что и хранимые в файле in-

etd.conf. Дополнительная функциональность xinetd аналогична функцио-

нальности пакета wrapper, xinetd читает файлы /etc/hosts.allow и /etc/

hosts.deny и реализует управление доступом на основе информации на осно-

ве этих файлов. Кроме того, в xinetd существуют собственные механизмы

управления доступом и регистрации обращений. Если в вашей системе при-

меняется xinetd, имеет смысл создать файлы hosts.allow и hosts.deny, чтобы

повысить защищенность служб, работающих с этими файлами, таких как

portmapper, а также задействовать существующие в xinetd функции безопас-

ности, поскольку они реализуют более совершенное управление доступом.

Регистрация обращений в xinetd реализуется параметрами log_on_success и

log_on_failure.

Используйте эти параметры для подстройки стандартного фор-

мата записей журнала, создаваемых для успешных и неудачных попыток об-

ращения к службам. log_on_success и log_on_failure имеют следующие ключи:

USERID

Регистрирует идентификатор удаленного пользователя. Параметр USE-

RID может регистрироваться как для успешных, так и для неудачных по-

пыток обращения.

HOST

Регистрирует адрес удаленного узла. Подобно USERID, HOST может ре-

гистрироваться как для успешных, так и для неудачных попыток.

Управление доступом 475

PID

Регистрирует идентификатор серверного процесса, созданного для обра-

ботки соединения. Параметр PID применим только для log_on_success.

DURATION

Регистрирует длительность работы серверного процесса, обработавшего

данное соединение. Параметр DURATION применим только для log_on_suc-

cess.

EXIT

Регистрирует состояние сервера на момент завершения соединения. Па-

раметр EXIT применим только для log_on_success.

ATTEMPT

Регистрирует неудавшиеся попытки соединения. Параметр ATTEMPT

применим только для log_on_failure.

RECORD

Регистрирует информацию о соединении, полученную от удаленного сер-

вера. Параметр RECORD применим только для log_on_failure.

Помимо регистрации обращений xinetd имеет три параметра для управления

доступом. Используйте эти параметры для настройки xinetd на прием соеди-

нений от определенных узлов в соответствии с файлом hosts.allow, блокиров-

ку соединений от определенных узлов в соответствии с файлом hosts.deny, а

также на прием соединений только в определенные интервалы времени. Вот

эти три параметра:

only_fгот

Обозначает узлы, которым разрешено обращаться к службе. Узлы обозна-

чаются при помощи:

• Числовых адресов. Так, адрес 172.16.12.5 обозначает конкретный

узел, а номер 129.6.0.0- все узлы, адреса которых начинаются с

129.6. Адрес 0.0.0.0 обозначает все адреса.

• Наборов адресов. Например, 172.16.12.(3,6,8,23} обозначает четыре

различных узла: 172.16.12.3,172.16.12.6,172.16.12.8 и 172.16.12.23.

• Имен сетей. Имени сети должно соответствовать определение в

файле /etc/networks.

• Канонических имен узлов. Представленный удаленной системой IP-

адрес должен отображаться в указанное имя узла.

• Доменных имен. Имя узла, полученное обратным отображением,

должно принадлежать указанному домену. Например, значение .wro-

tethebook.com требует, чтобы узел входил в домен wrotethebook.com.

Обратите внимание, что доменные имена должны начинаться с точки.

• IP-адресов в сочетании с адресными масками. Так, записи

172.16.12.128/25 соответствуют все адреса с 172.16.12.128 по

172.16.12.255.

476 Глава 12. Сетевая безопасность

no_access

Обозначает узлы, которым запрещен доступ к службе. Узлы обозначают-

ся способами, описанными выше для атрибута only_f rom.

access_times

Определяет время суток, когда служба доступна, в формате час:мин-

час:мин.

Используется 24-часовая шкала времени. Часы пронумерованы

от 0 до 23, а минуты - от 0 до 59.

В отсутствие атрибутов only_f rom и no_access разрешается доступ всем узлам.

Если существуют оба атрибута, используется наиболее точное соответствие.

Рассмотрим пример:

no_access = 172.16.12.250

only_from = 172.16.12.0

Здесь команда only_from разрешает доступ к службе всем системам сети

172.16.12.0. Команда no_access запрещает доступ одной конкретной системе.

Порядок следования команд no_access и only_f rom не имеет значения, результат

всегда одинаков, поскольку приоритет имеет наиболее точное соответствие.

Ниже приводится пример записи для РОРЗ из файла xinetd.conf:

В данном фрагменте команда only_f rom разрешает доступ всем системам сети

172.16.12.0, то есть локальной сети, и запрещает доступ всем остальным

системам. Кроме того, существует одна система подсети 17.16.12.0 (узел

172.16.12.231), которая не является настолько доверенной, чтобы получить

POP-доступ. Команда no_access запрещает доступ всем пользователям систе-

мы 172.16.12.231.

Помните, что wrapper и xinetd позволяют лишь управлять доступом к служ-

бам, но не способны ограничивать доступ к данным системы или данным,

передаваемым по сети. С этой целью следует использовать шифрование.

Шифрование

477

Шифрование

Шифрование - это способ ограничения доступа к данным, передаваемым по

сети. Шифрование связано с кодированием данных, переводом их в пред-

ставление, которое может быть прочитано только системами, обладающими

«ключом» к схеме кодирования. Исходный текст, известный как «откры-

тый текст», шифруется при помощи ключа шифрования по схеме, реализо-

ванной на программном или аппаратном уровне. Результатом становится за-

кодированный текст (cipher). Чтобы воссоздать открытый текст, закодиро-

ванный текст необходимо расшифровать по той же схеме шифрования и при

помощи соответствующего ключа.

Когда люди задумываются о безопасности, первое, что приходит им на ум, -

шифры. Происходит это в основном благодаря шпионским романам и филь-

мам о второй мировой войне. Однако шифрование далеко не всегда было

применимо к сетевой безопасности. Традиционно шифрование данных для

передачи по сети требовало применения обеими сторонами одного и того же

ключа шифрования, известного в качестве совместно используемого секрет-

ного, или закрытого, ключа. Сквозное шифрование можно относительно эф-

фективно использовать только в том случае, если вы контролируете обе сто-

роны канала и можете гарантировать, что всем участникам обмена доступен

один и тот же ключ шифрования. По этой причине шифрование использова-

лось преимущественно для передачи данных между точками сети, находя-

щимися под управлением одной инстанции: в военных сетях, частных се-

тях, отдельных системах, либо в случаях, когда стороны обмена могли

прийти к соглашению относительно метода шифрования и ключей. Шифро-

вание, требующее предварительного согласования и совместного использо-

вания секретного ключа, носит название симметричного шифрования.

Шифрование с открытым ключом - это технология, которая делает шифро-

вание важным механизмом обеспечения безопасности в глобальных сетях -

таких как Интернет. Например, веб-сервер электронной коммерции и бро-

узер любого заказчика могут обмениваться шифрованными данными, по-

скольку обе стороны используют шифрование с открытым ключом. Системы

открытых ключей кодируют текст при помощи ключа, который широко из-

вестен и доступен всем, но раскодировать зашифрованный текст можно,

только зная закрытый ключ. То есть Дэн может найти открытый ключ

Кристины в специальной базе данных и с его помощью зашифровать адресо-

ванное ей сообщение так, что его не сможет прочесть никакой другой полу-

чатель. Все пользователи сети Интернет имеют доступ к открытому ключу,

но только Кристина может расшифровать сообщение - при помощи своего

закрытого ключа. Такая передача зашифрованных данных позволяет Крис-

тине сохранить свой закрытый ключ в тайне.

Кроме того, сообщения, зашифрованные закрытым ключом, могут быть рас-

шифрованы только при помощи открытого ключа. Это означает, что откры-

тый ключ может использоваться для проверки подлинности источника сооб-

щения, поскольку лишь один источник должен иметь доступ к закрытому

ключу. Поскольку в шифровании с открытым ключом используются раз-

478 Глава 12. Сетевая безопасность

личные ключи для кодирования и декодирования сообщений, такое шифро-

вание носит называние асимметричного.

С асимметричным шифрованием связана одна проблема - оно требовательно

к вычислительным мощностям и непроизводительно, если сравнивать с сим-

метричными методами. По этой причине шифрование используется лишь

для небольших фрагментов данных. Шифрование с открытым ключом ис-

пользуется как для шифрования, так и для проверки подлинности в момент

создания шифруемого соединения. В процессе «рукопожатия» стороны об-

мениваются общим закрытым ключом, подвергая его шифрованию откры-

тыми ключами. В последующем обмене данными используется симметрич-

ное шифрование на основе общего ключа.

Вторая проблема шифрования с открытыми ключами - в глобальной сети тре-

буется общепризнанная, надежная инфраструктура распределения открытых

ключей и сохранения их целостности. Чтобы послать сообщение Кристине,

Дэн прежде всего обзавелся ее открытым ключом. Откуда он получил этот

ключ? Вероятно, источником стал частный обмен открытыми ключами либо

сеть, авторизованная специальным органом управления. Когда число участ-

ников ограничено, открытые ключи могут распространяться частным обра-

зом - точно так же, как это раньше делалось для закрытых ключей. Однако в

приложениях глобальной сети, где личности участников обмена не известны

заранее, такой подход не срабатывает. В этом случае открытый ключ прихо-

дит по сети и сертифицируется третьей стороной, известной как сертифици-

рующий орган (certificate authority, СА). СА передает открытый ключ в сооб-

щении, называемом сертификатом. Сертификат содержит открытый ключ,

название организации, которой он принадлежит, а также даты начала и окон-

чания действия ключа. Сообщение сертификата подписано закрытым клю-

чом органа СА. Таким образом, если подлинность сертификата подтверждает-

ся при помощи открытого ключа СА, получатель сообщения может быть уве-

рен, что сертификат поступил от доверенного издателя. Открытые ключи СА

широко известны и распространены. Так, разработчики броузеров включают

открытые ключи многих издателей сертификатов в комплект поставки.

В примерах следующего раздела используется симметричное шифрование.

Оно требует применения одинаковых методов шифрования обеими сторона-

ми, а также использования одного и того же секретного ключа как для коди-

рования, так и для раскодирования сообщений. Симметричное шифрование

не задействует открытые ключи, цифровые подписи и не имеет повсеместно

принятой инфраструктуры, но при этом имеет ограниченный потенциал.

В каких случаях полезно

симметричное шифрование?

Прежде чем начать использовать шифрование, определитесь, почему вам не-

обходимо шифровать данные, следует ли защищать данные посредством

шифрования, а также следует ли вообще хранить данные в компьютерной

системе, подключенной к сети.

Шифрование

479

Вот несколько разумных причин для шифрования данных:

• Предотвращение случайного просмотра файлов с секретными данными

• Предотвращение случайного раскрытия секретных данных

• Предотвращение просмотра файлов секретных данных привилегирован-

ными пользователями (например, администраторами систем)

• Усложнение задачи злоумышленникам, которые попытаются выполнить

поиск по файлам системы

Существуют различные инструменты, предназначенные для шифрования

файлов данных, и многие из таких пакетов являются платным ПО. Две фай-

ловые системы с открытым исходным текстом реализуют автоматическое

шифрование файлов - Cryptographic File System (CFS) и Practical Privacy

Disk Driver (PPDD).

Кроме того, в состав Solaris и Linux входит пара инст-

рументов для шифрования файлов.

В Solaris присутствует старая команда Unix - crypt, которая легка в приме-

нении, но имеет небольшую ценность. Шифрование сrypt легко «сломать». В

лучшем случае с rypt позволяет защитить файлы от случайного просмотра.

Возраст программы crypt и тот факт, что прочие, более совершенные и более

современные инструменты симметричного шифрования не включаются в

состав операционных систем, позволяют предположить, что спрос на такие

инструменты невелик. Шифрование с открытым ключом более универсаль-

но и может использоваться в более широком диапазоне приложений. Инст-

румент шифрования файлов, включенный в состав Linux, является как раз

инструментом асимметричного шифрования.

Инструменты шифрования с открытым ключом

Именно к шифрованию с открытым ключом проявляется основное внима-

ние общественности. Наиболее популярные инструменты шифрования в Un-

ix, ssh и SSL, работают на основе открытых ключей. Даже в задачах, связан-

ных с шифрованием локально хранимых файлов, системы на основе откры-

тых ключей пользуются большим спросом, поскольку не требуют распро-

странения закрытых ключей.

В систему Linux часто включается GNU Privacy Guard (дрд), который, подоб-

но широко известному PGP

, может использоваться для шифрования фай-

лов или почтовых сообщений. Кроме того, данный инструмент содержит

средства для работы с цифровыми подписями, которые позволяют прове-

рить подлинность сообщений электронной почты. В следующем примере

Установка, настройка и применение обеих файловых систем описаны в книге «Li-

nux Security» Рамона Хонтанона (Ramon Hontanon), Sybex.

В книге Симеона Гарфинкела (Simson Garfinkel) «PGP: Pretty Good Privacy»

(O'Reilly) подробно описывается PGP - программа шифрования для файлов и

электронной почты.

480

Глава 12. Сетевая безопасность

при помощи gpg выполняется шифрование и декодирование файла. Прежде

всего, мы создаем ключи при помощи параметра --gen-key:

Шифрование

481

Использование опции --gen-key связано с необходимостью ответить на ряд

«опросов. Вопросы весьма просты, а создание исходных ключей следует вы-

полнить всего один раз. Прежде всего, gpg спрашивает, какой тип ключа не-

обходимо сгенерировать. А именно - с какой целью будут использоваться

ключи: для работы с цифровыми подписями, для шифрования либо для того

и другого. Выберите вариант (1), то есть вариант по умолчанию. Программа

создаст оба типа ключей, и вы сможете встретить любую задачу шифрова-

ния во всеоружии. Затем программа запрашивает длину ключа: чем длиннее

ключ, тем труднее его сгенерировать и подобрать. По умолчанию ключ име-

ет длину 1024 бита, которой будет более чем достаточно для любого реально-

го применения gpg. gpg запрашивает ваше имя, адрес электронной почты и

необязательный комментарий. Данная информация используется для поис-

ка ваших ключей в базах данных. Наконец, программа запрашивает пароль-

ную фразу, позволяющую получать доступ к вашему секретному ключу.

Для хранения закрытых и открытых ключей в gpg используется пара баз

данных. Эти базы данных в gpg называются «кольцами для ключей». Файл

базы данных закрытых ключей называется secring.gpg, а файл базы данных

открытых ключей - pubring.gpg. Оба ключа используются при шифровании

и последующем декодировании файла. Следующий пример иллюстрирует

процесс шифрования:

Команда cat показывает, что мы создали простой текстовый файл test.txt и

желаем его зашифровать. Действие ключа командной строки --encrypt впол-

не очевидно, однако не столь очевидно назначение аргумента

--recipient.

Ба-

за данных pubring.gpg может содержать большое число открытых ключей.

Аргумент --recipient указывает на открытый ключ, который следует ис-

пользовать для шифрования файла. Слово «recipient» (получатель) исполь-

зовано потому, что gpg часто применяется для шифрования почты, а в таких

случаях используется открытый ключ адресата (получателя) сообщения. По

этой же причине обычной практикой является идентификация ключа по

почтовому адресу, который был указан в момент создания этого ключа.

gpg создает файл с зашифрованным текстом и дает ему имя исходного файла,

добавляя суффикс .gpg. Команда cat для зашифрованного файла показывает

нам, что файл стал совершенно нечитаемым. Убедившись, что зашифрован-

ный файл создан, мы удаляем файл с открытым текстом. Разумеется, нет

особой пользы в создании зашифрованного файла, если исходный файл про-

должает существовать и может быть прочитан всеми желающими!