Zostan-administratorem-sieci-komputerowej-cz.5.pdf

Sieci komputerowe

Sieci komputerowe: część piąta

administratorem sieci

komputerowej

Część piąta (5/9): Podstawy zabezpieczania sieci komputerowych

Rafał Kułaga

W poprzedniej części cyklu omówiliśmy szczegółowo trasowanie pakietów oraz przeprowadziliśmy

jego konigurację w systemie Linux. Śmiało można rzec, iż posiadasz już wiedzę i umiejętności

wystarczające do tworzenia złożonych sieci komputerowych oraz zestawiania połączeń między nimi.

Dotychczas nie zajmowaliśmy się jednak zagadnieniami związanymi z bezpieczeństwem

– w artykułach sygnalizowane były sytuacje, w których poprzez odpowiednią konigurację można było

zwiększyć bezpieczeństwo. W tej części kursu poznasz podstawowe sposoby zabezpieczania sieci,

serwerów oraz klientów. Zapraszam do lektury!

ich bezpieczeństwo należało do najważ-

niejszych zagadnień z nimi związanych. W

pierwszej części cyklu zdeiniowaliśmy pod-

stawowe cechy, które powinna posiadać prawidłowo skon-

igurowana sieć komputerowa – jedną z nich było właśnie

bezpieczeństwo. Na czym jednak polega bezpieczeństwo

sieci? Jak ma się ono do bezpieczeństwa komputerów pod-

łączonych do sieci oraz serwerów? Okazuje się, że zapew-

nienie bezpieczeństwa sieci jest warunkiem koniecznym do

bezpiecznego i efektywnego wykorzystania komputerów do

niej podłączonych.

Sieci komputerowe, które tworzyliśmy dotychczas (a

konkretnie koniguracje sprzętu i oprogramowania przedsta-

wiane w artykułach), gwarantowały zapewnienie odpowied-

niej funkcjonalności (np. podział łącza internetowego przy

wykorzystaniu NAT), wydajności (odpowiedni podział na

podsieci) oraz łatwości rozbudowy (wykorzystanie routin-

gu dynamicznego oraz przyznawania adresów IP za pomocą

mechanizmu DHCP). Zwróćmy uwagę, iż są to cechy, które

łatwo przetestować i poddać weryikacji. Inaczej jest w przy-

padku określania bezpieczeństwa naszej sieci.

Bezpieczeństwo sieci jest cechą szybko zmieniającą się

wraz z upływem czasu. Rozwiązania, które kiedyś gwaran-

towały najwyższy poziom bezpieczeństwa, dziś są narażo-

ne na ataki osób nieposiadających szerokiej wiedzy na temat

budowy sieci komputerowych. Musimy bowiem mieć świa-

domość, że w Internecie dostępnych jest wiele narzędzi (tzw.

exploitów ) pozwalających na wykonanie ataku na konkretny

serwer lub usługę przy niemalże zerowej wiedzy na temat ich

działania. Jednak aby spać spokojnie, wystarczy odpowied-

nia koniguracja irewalla, podstawowy hardening systemu

oraz dokonywanie okresowych aktualizacji.

Zapewnienie bezpieczeństwa serwerów i sieci kompu-

terowych jest nieustannym wyścigiem zbrojeń pomiędzy ad-

ministratorami a crackerami. Podstawowym narzędziem, w

które powinieneś się uzbroić, jest solidna wiedza na temat

działania mechanizmów sieciowych systemu Linux, wyko-

rzystywanych protokołów oraz aplikacji. Forma kursu ogra-

nicza niestety zakres wiadomości, które zdobędziesz w trak-

cie jego lektury. Z pewnością jednak zyskasz solidne podsta-

wy, na których będziesz mógł bazować w dalszej nauce.

W tej części kursu omówimy zagadnienia związane z

bezpieczeństwem sieci komputerowych, bezpieczeństwem

marzec 2010

Zostań

O d momentu powstania sieci komputerowych,

Sieci komputerowe

Sieci komputerowe: część piąta

i zycznym sprzętu sieciowego i serwerów oraz

podstawowym hardeningiem systemu Linux.

Na koniec zastanowimy się, skąd czerpać in-

formacje na temat nowości z dziedziny bezpie-

czeństwa.

kerów, są narażone na ataki różnego rodzaju ro-

baków grasujących w sieci (w przypadku serwe-

rów z systemem Linux problem ten praktycznie

nie istnieje). Z tego względu, zawsze powinni-

śmy stosować na nich bardzo rygorystyczne i l-

trowanie pakietów. Najlepszym rozwiązaniem

jest umieszczenie wszystkich serwerów za i re-

wallem – doda to kolejną warstwę zabezpieczeń.

Ponadto, konieczna jest bardzo staranna koni gu-

racja systemu i uruchomionych usług.

Serwery działające w sieci lokalnej i nie-

dostępne bezpośrednio z sieci rozległej powin-

ny charakteryzować się podobnym poziomem

zabezpieczeń. Może to wydać się Czytelnikowi

rozwiązaniem zbyt paranoicznym, jeżeli jednak

weźmiemy pod uwagę możliwość przejęcia kon-

troli nad którymś z komputerów sieci lokalnej

przez osoby nieuprawnione, przekonamy się, że

sieć lokalna wcale nie musi być bezpieczna.

Na Rysunku 1 przedstawiona została ty-

powa sieć lokalna z połączeniem do Internetu.

Część oznaczona jako DMZ ( Demilitarized Zo-

ne ) – tzw. strefa zdemilitaryzowana – pozbawio-

na jest bezpośredniego dostępu do komputerów

sieci lokalnej. Ma to za zadanie zwiększyć bez-

pieczeństwo sieci lokalnej w przypadku włama-

nia do komputerów znajdujących się w strei e

zdemilitaryzowanej. W jej obrębie będziemy za-

tem umieszczać serwery świadczące usługi kom-

puterom sieci rozległej.

Jednym z najważniejszych wniosków wy-

pływających z analizy niebezpieczeństw, na ja-

kie narażone są serwery, jest konieczność za-

bezpieczenia absolutnie wszystkich serwerów

sieciowych, niezależnie od pełnionej przez nie

roli. Wykorzystanie NAT może jedynie utrud-

nić zadanie włamywaczowi, z pewnością nie

sprawdzi się jednak jako główna warstwa za-

bezpieczeń. Z tego względu zawsze powinni-

śmy korzystać z i rewalli, umożliwiających od-

i ltrowanie potencjalnie niebezpiecznego ruchu

sieciowego.

Bezpieczeństwo sieci

a bezpieczeństwo hostów

Zanim zajmiemy się omówieniem metod zwięk-

szenia bezpieczeństwa systemu Linux, zastanów-

my się, na czym właściwie polega bezpieczeń-

stwo sieci i co rozumiemy pod tym pojęciem.

Zwiększając bezpieczeństwo sieci, zmniej-

szamy zagrożenia dla komputerów do niej podłą-

czonych. W idealnym przypadku, komputer pod-

łączony do sieci byłby dokładnie tak samo bez-

pieczny jak bez tego połączenia. Stan taki jest z

pewnością bardzo trudny do osiągnięcia, zwłasz-

cza jeżeli nasza sieć lokalna jest podłączona do

Internetu lub innej sieci rozległej.

Powinniśmy mieć świadomość, iż wraz ze

wzrostem liczby węzłów w sieci, wzrasta licz-

ba potencjalnych zagrożeń. Jednym z najwięk-

szych problemów, z którymi muszą zmagać się

administratorzy sieci komputerowych, są różne-

go rodzaju robaki, wirusy oraz trojany. W przy-

padku systemu Linux nie stanowi to zbyt duże-

go problemu, musimy jednak mieć na uwadze

fakt, iż bardzo często w naszej sieci będą praco-

wały również komputery działające pod kontro-

lą systemów z rodziny Microsoft Windows. Ro-

baki dodatkowo mogą generować dużą ilość pa-

kietów, znacznie spowalniając działanie sieci lub

rozsyłać spam. Jako administratorzy sieci musi-

my wiedzieć, w jaki sposób radzić sobie w ta-

kich sytuacjach.

Identyi kacja zagrożeń

W zależności od środowiska, w którym dzia-

ła nasza sieć, połączeń z sieciami zewnętrzny-

mi oraz zastosowanego sprzętu sieciowego, mo-

że być ona narażona na różnego typu zagrożenia.

Przy opracowywaniu polityki bezpieczeństwa

oraz wykonywaniu czynności mających zwięk-

szyć odporność naszej sieci na włamanie, musi-

my brać pod uwagę różnice pomiędzy serwerami

a komputerami klienckimi.

Rysunek 1. Struktura sieci komputerowej z serwerem w sieci zdemilitaryzowanej

Zagrożenia dla serwerów

Stosowane przez nas zabezpieczenia oraz harde-

ning systemu mają na celu uodpornienie nasze-

go systemu na włamanie. Ważne jest, aby mieć

świadomość, iż w zależności od umiejscowie-

nia serwera w strukturze sieci oraz świadczo-

nych usług, konieczne jest zastosowanie różnych

zabezpieczeń.

Serwery i routery dostępne bezpośrednio z

sieci rozległej muszą cechować się najwyższym

poziomem zabezpieczeń. Oprócz ataków crac-

Rysunek 2. Wybór pakietów w trakcie instlacji dystrybucji Debian

www.lpmagazine.org

Sieci komputerowe

Sieci komputerowe: część piąta

Zagrożenia dla klientów

Oczywiste jest, że najbardziej narażone na ata-

ki są urządzenia podłączone bezpośrednio do

sieci rozległej: routery oraz serwery. W stan-

dardowej koniguracji, gdy nasze komputery

dzielą pojedynczy adres IP przy pomocy usłu-

gi NAT, wnętrze sieci jest pozornie bezpieczne

– nie ma przecież sposobu, aby bez ustawienia

przekierowania portów dostać się do którego-

kolwiek z komputerów w sieci lokalnej. Trakto-

wanie NAT jako jedynego zabezpieczenia kom-

puterów sieci lokalnej może jednak mieć fatal-

ne konsekwencje. W przypadku uzyskania do-

stępu do któregokolwiek z serwerów, włamy-

wacz uzyskuje bezpośredni dostęp do wszyst-

kich komputerów w sieci.

Sposób zabezpieczenia komputerów klienc-

kich podłączonych do sieci jest ściśle uzależnio-

ny od zainstalowanego na nich oprogramowania,

a w szczególności systemu operacyjnego. Bez

odpowiedniej koniguracji system Linux oferuje

niewiele lepszy poziom bezpieczeństwa od sys-

temów z rodziny Microsoft Windows, jest jed-

nak bez wątpienia mniej podatny na ataki troja-

nów, wirusów i robaków.

Każdy z komputerów z systemem Windows

powinien koniecznie posiadać zainstalowane ak-

tualne oprogramowanie antywirusowe oraz i-

rewall. Pozwoli to nie tylko na lepszą ochronę

przechowywanych na nim danych oraz zapew-

ni należyty poziom prywatności – w ten sposób

zwiększymy również bezpieczeństwo i wydaj-

ność całej sieci. Niedoświadczeni użytkowni-

cy bardzo często doprowadzają bowiem do sy-

tuacji, w której komputer jest zainfekowany do

tego stopnia, iż niemożliwe jest jego normalne

użytkowanie. Co więcej, często dochodzą oni

wtedy do wniosku, że to sieć jest wolna, co oczy-

wiście nie jest prawdą – robaki i trojany zużywa-

ją przecież całe przydzielone pasmo na rozsyła-

nie spamu i przeprowadzanie ataków DDoS ( Di-

stributed Denial of Service ).

W przypadku komputerów z systemem Li-

nux, rzadko spotkamy się z wirusami, robaka-

mi i trojanami – najważniejszym zagrożeniem

będą prawdopodobnie błędy w wykorzystywa-

nym oprogramowaniu. Z tego względu powinni-

śmy poświęcić szczególną uwagę hardeningowi

systemu. Również wybór odpowiedniej dystry-

bucji może znacznie ułatwić zapewnienie odpo-

wiedniego poziomu bezpieczeństwa – niektóre z

nich, np. Ubuntu, mają bardzo ograniczoną listę

usług aktywnych po instalacji. Wpływa to oczy-

wiście na poziom bezpieczeństwa systemu, po-

nieważ ogranicza liczbę punktów, w których na-

stąpić może atak.

Idealnym rozwiązaniem byłoby z pewnością

umieszczenie wszystkich routerów oraz serwe-

rów w odpowiednio zabezpieczonym, klimatyzo-

wanym pomieszczeniu. Często okazuje się to jed-

nak niemożliwe ze względu na ograniczone fun-

dusze lub złożoną topologię sieci. W takim przy-

padku powinniśmy zadbać, aby sprzęt umiesz-

czony był w miejscu o odpowiedniej temperatu-

rze i wilgotności powietrza oraz zabezpieczonym

przed dostępem osób trzecich. Dokładne infor-

macje o optymalnych warunkach pracy sprzętu

sieciowego znajdziesz w jego instrukcji obsługi.

W miarę możliwości również kompute-

ry klienckie powinny być chronione przed nie-

uprawnionym dostępem – dobrym sposobem

odstraszenia ciekawskich jest aktywowanie ha-

sła programu rozruchowego oraz aktywowanie

blokowania pulpitu po upłynięciu określonego

czasu. Niedopuszczalne jest zapisywanie haseł

przez użytkowników, a w szczególności prze-

chowywanie ich w pobliżu stanowiska pracy.

W przypadku urządzeń, na których zapisane

są poufne dane, powinieneś rozważyć zastoso-

wanie szyfrowania systemów plików – kosztem

niewielkiego spadku wydajności możemy w ten

sposób znacznie zwiększyć poziom bezpieczeń-

stwa przechowywanych danych. Bardzo ważne

jest okresowe wykonywanie kopii zapasowych

– nie tylko danych przechowywanych na serwe-

rach, lecz również na komputerach klienckich.

Zadanie to może znacznie ułatwić wykorzysta-

nie scentralizowanych systemów automatyczne-

go sporządzania kopii zapasowych.

Kroki wymienione w tym paragraie są je-

dynie początkiem zabezpieczania izycznego

sieci i urządzeń do niej podłączonych. Nie jest to

zadanie łatwe, często jednak mamy prawny obo-

wiązek izycznej ochrony wrażliwych danych

– odpowiednie regulacje znajdują się w przepi-

sach prawnych oraz standardach. Opis chociażby

podstawowych z nich jest tematem znacznie wy-

kraczającym poza zakres kursu. Zainteresowany

Czytelnik więcej informacji znajdzie na stronach

wymienionych w ramce W Sieci .

Bezpieczeństwo izyczne

Wyrainowane oprogramowanie i duża ilość cza-

su poświęcona na jego konigurację na nic się nie

zdadzą, jeżeli nasz sprzęt sieciowy będzie nara-

żony na ataki izyczne. Jest to bardzo niefortun-

ne, zwłaszcza jeżeli weźmiemy pod uwagę koszt

wykorzystywanego sprzętu oraz możliwe straty

wynikające z przestoju. Z tego względu zawsze

powinniśmy zadbać również o bezpieczeństwo

izyczne sieci i podłączonych do niej kompute-

rów i serwerów.

Podstawowe przykazania bezpie-

czeństwa sieciowego

Przed przystąpieniem do hardeningu systemu

operacyjnego Linux, zapoznajmy się z listą pod-

stawowych kroków oraz procedur, których sto-

sowanie jest niezbędne w celu zapewnienia od-

powiedniego poziomu bezpieczeństwa sieci:

Rysunek 3. Serwis SecurityFocus zawierający listę Bugtraq

• Instaluj jedynie niezbędne oprogramowa-

nie – dotyczy to zarówno serwerów, jak i

komputerów klienckich. Duża ilość pakie-

tów w systemie oznacza dużo pracy przy

ich koniguracji oraz daje atakującemu wię-

cej punktów zaczepienia;

marzec 2010

Sieci komputerowe

Sieci komputerowe: część piąta

• Pamiętaj o aktualizacjach oprogramowania

– często żartuje się, że aktualizacje usuwa-

ją stare błędy, dodając w ich miejsce nowe.

Jest w tym stwierdzeniu nieco prawdy, po-

winniśmy jednak pamiętać, iż bardzo rzad-

ko błędy niewykryte zostaną wykorzystane

przez włamywaczy – zazwyczaj będą to do-

brze znane błędy, które dawno zostały już

usunięte;

• Staraj się zrozumieć oprogramowanie, któ-

rego używasz – zwłaszcza, jeżeli są to ser-

wery sieciowe. Większość przypadków

włamań oraz utraty danych jest spowodo-

wana błędem osoby obsługującej. Zdoby-

cie solidnej wiedzy na temat działania wy-

korzystywanych usług pozwala na zmniej-

szenie ryzyka popełnienia błędu;

• Bądź na bieżąco z wiadomościami dotyczą-

cymi bezpieczeństwa sieciowego – codzien-

ne przeglądanie serwisów takich jak Securi-

tyFocus sprawi, iż szybko dowiesz się o no-

wych zagrożeniach;

• Każdy komputer powinien posiadać skoni-

gurowany irewall – nawet jeżeli jest to je-

dynie stacja robocza. Takie rozwiązanie do-

daje kolejną warstwę zabezpieczeń do na-

szej sieci;

• Wyłącz zbędne usługi – zajmują one czas

procesora i pamięć, dodatkowo narażając

Twój system na ataki. Jeżeli nie wiesz, do

czego służy dana usługa, to prawdopodob-

nie jej nie potrzebujesz;

• Zadbaj o bezpieczeństwo izyczne – z powo-

dów wymienionych w poprzednim paragra-

ie;

• Pamiętaj o tworzeniu kopii zapasowych – w

przypadku włamania pozwolą one uniknąć

dalszych strat spowodowanych przestojem;

• Naucz się czytać logi wykorzystywanych

serwerów – pozwalają one na wykrycie po-

dejrzanych działań. Warto poznać również

narzędzia do automatycznej analizy plików

z logami;

• Nie wierz ślepo w żadne oprogramowanie

– musisz zaakceptować fakt, iż nie ma ide-

alnych rozwiązań. Nie ma nic gorszego dla

bezpieczeństwa Twojej sieci niż przekona-

nie, że system X jest bezpieczniejszy od sys-

temu Y . Każde oprogramowanie jest co naj-

wyżej tak bezpieczne, jak poprawna jest je-

go koniguracja;

• Opracuj politykę bezpieczeństwa i kontroluj

jej przestrzeganie – jest to szczególnie waż-

ne w przypadku sieci komputerowych wy-

korzystywanych w irmach. Konieczne jest

również przeszkolenie użytkowników z za-

kresu podstaw bezpieczeństwa sieciowe-

go, uwzględniając przy tym ataki socjotech-

niczne.

Nie są to oczywiście wszystkie aspekty pracy

serwerów i sieci, na które powinieneś zwrócić

uwagę. Przestrzeganie zaprezentowanych zale-

ceń pozwoli jednak na znaczne zwiększenie bez-

pieczeństwa rozwiązań tworzonych przez Czy-

telników.

stalacyjnej, nasz system będzie potencjalnie na-

rażony na ataki.

Większość programów instalacyjnych dys-

trybucji umożliwia pobranie uaktualnień opro-

gramowania przy wykorzystaniu połączenia in-

ternetowego już na etapie instalacji. Powinie-

neś wystrzegać się korzystania z takiego rozwią-

zania – pobieranie pakietów może dać atakują-

cemu dość czasu na wykorzystanie znanych luk

w oprogramowaniu. Z tego względu zaleca się,

aby uaktualnienia oprogramowania pobrać przy

użyciu innego komputera, a następnie dokonać

aktualizacji przy wykorzystaniu nagranych płyt

CD/DVD lub pamięci lash.

Hardening systemu

W tej części cyklu zajmiemy się prezentacją pod-

stawowych rozwiązań, poprawiających bezpie-

czeństwo hostów z systemem Linux, takich jak:

bezpieczna instalacja dystrybucji, koniguracja

programu rozruchowego i usług uruchamianych

przy starcie systemu. Takimi zagadnieniami har-

deningu, jak koniguracja irewalli oraz wirtual-

nych sieci prywatnych zajmiemy się szczegóło-

wo w następnej części cyklu.

Wybór pakietów

Popularne przysłowie mówi, iż od przybytku

głowa nie boli, nie jest to jednak prawdą, jeżeli

na uwadze mamy pakiety z oprogramowaniem.

Instalując dystrybucję, powinniśmy ograniczyć

się do minimalnej liczby pakietów, zapewniają-

cej niezbędną funkcjonalność – dotyczy to za-

równo komputerów podłączonych do sieci, jak

i serwerów.

W przypadku serwerów powinniśmy zre-

zygnować z instalacji środowiska graiczne-

go – oprócz znacznego zwiększenia wydajno-

ści systemu, uzyskamy również mniejszą liczbę

pakietów niezbędnych do aktualizacji. Środowi-

ska graiczne wymagają instalacji ogromnej licz-

by bibliotek pomocniczych, które bardzo często

nie są poddawane odpowiedniej analizie pod ką-

tem bezpieczeństwa.

Najlepszym sposobem jest wybór instala-

cji jedynie niezbędnych pakietów (Rysunek 2),

a następnie instalacja najnowszych wersji dodat-

kowego oprogramowania. Pozwoli to na unik-

Bezpieczna instalacja dystrybucji

Wielu początkujących administratorów sieci nie

docenia wagi problemu odpowiedniej instalacji

dystrybucji. Proces ten wydaje się bowiem ba-

nalny, głównie ze względu na dostępność wy-

rainowanych kreatorów pozwalających do mi-

nimum ograniczyć konigurację przeprowadza-

ną przez użytkownika. Przekonamy się jednak,

iż diabeł tkwi w szczegółach i stosowanie prede-

iniowanych zestawów pakietów może być bar-

dzo niebezpieczne dla naszego systemu.

Przygotowanie do instalacji

Po podjęciu podstawowych kroków, takich jak

sprawdzenie kompatybilności sprzętu z daną

dystrybucją i zebraniu nośników instalacyjnych,

powinniśmy koniecznie odłączyć dany kompu-

ter od sieci. Musimy bowiem pamiętać, że dopó-

ki nie przeprowadzimy pełnej koniguracji poin-

Tabela 1. Najpopularniejsze usługi

Nazwa usługi Funkcja

anacron

Okresowe wykonywanie zdeiniowanych czynności

apmd

Aktywowanie systemu zarządzania energią (APM – Advanced Power Management )

atd

Kolejkowanie zadań

autofs

Automatyczne montowanie urządzeń/partycji określonych w pliku /etc/

crond

Okresowe wykonywanie zdeiniowanych czynności

cups

Obsługa drukowania

functions

Obsługa funkcji skryptów powłoki w skryptach init

gpm

Obsługa myszy w trybie tekstowym

irda

Obsługa urządzeń w standardzie IrDA

isdn

Obsługa urządzeń ISDN

keytable

Ustawienie odpowiedniego układu klawiatury

netfs

Montowanie sieciowych systemów plików

nfs i nfslock

Obsługa systemu NFS

ntpd

Obsługa protokołu NTP

pcmcia

Obsługa urządzeń PCMCIA

sshd

Obsługa protokołu SSH ( Secure Shell )

www.lpmagazine.org

Sieci komputerowe

Sieci komputerowe: część piąta

nięcie niebezpiecznego bałaganu – często oka-

zuje się bowiem, iż instalując predei niowane ze-

stawy oprogramowania, nie wiemy, jakich wersji

poszczególnych pakietów używamy.

Koni guracja uruchamiania usług

Kolejnym krokiem na drodze do zwiększenia

bezpieczeństwa Twojego systemu powinno być

wyłączenie nieużywanych usług. Przebieg tego

kroku jest w bardzo dużym stopniu uzależniony

od wykorzystywanej dystrybucji, tak więc sku-

pimy się na poradach o ogólnym charakterze,

przedstawiając przykład dla dystrybucji Debian.

W tabeli Najpopularniejsze usługi zamiesz-

czono listę najczęściej spotykanych usług uru-

chamianych przy starcie systemu. Większość

dystrybucji, zwłaszcza komercyjnych, dodaje

dodatkowe usługi, charakterystyczne dla danego

producenta – mogą to być narzędzia automatycz-

nej aktualizacji i zgłaszania błędów, narzędzia

do zdalnej administracji itp. Również instalowa-

nie oprogramowania może powodować urucha-

mianie dodatkowych demonów przy starcie sys-

temu. W razie wątpliwości co do funkcji pełnio-

nych przez poszczególne usługi, odpowiednie in-

formacje znajdziesz w Internecie.

Podstawowym kryterium wyboru usług uru-

chamianych przy starcie systemu powinna być

ich przydatność w konkretnym systemie. Jeże-

li dany demon jest niezbędny do prawidłowego

działania zainstalowanych serwerów, to powi-

nien być uruchamiany wraz z systemem. Jeże-

li jednak usługa nie jest potrzebna lub powoduje

otwarcie portów sieciowych, to powinieneś roz-

ważyć jej usunięcie.

W dystrybucji Debian usługi uruchamiane

przy starcie systemu znajdują się w katalogu /etc/

init.d . Zmiana ustawień uruchamiania usług od-

bywa się przy użyciu programu update-rc.d . Aby

dodać nowy skrypt startowy z domyślnymi usta-

wieniami, należy wydać polecenie:

nazwa_usługi:poziomy_uruchamiania:

etykieta:komenda

Więcej informacji na temat uruchamiania sys-

temu oraz koni guracji usług znajdziesz na stro-

nach wymienionych w ramce W Sieci .

Koni guracja i rewalla

Większość programów instalacyjnych dystry-

bucji pozwala na przeprowadzenie podstawo-

wej koni guracji i rewalla. Warto ustawić naj-

wyższy poziom zabezpieczeń, mając na uwa-

dze, iż zawsze powinniśmy zweryi kować

przyjęte ustawienia. W przypadku serwerów

oraz routerów konieczne jest przeprowadzenie

koni guracji i rewalla od podstaw.

Źródła wiedzy o bezpieczeństwie

Zabezpieczenie sieci komputerowej jest ciągłym

wyścigiem zbrojeń pomiędzy administratorem a

atakującym. Najważniejszym narzędziem, które

z pewnością pomoże Ci zminimalizować ryzy-

ko nadużyć, jest solidna wiedza na temat działania

sieci komputerowych, protokołów oraz serwerów.

Skąd jednak zdobywać informacje na te tematy?

Podstawowym źródłem informacji o bezpie-

czeństwie sieci jest z pewnością Internet – spe-

cjalistyczne portale, biuletyny dotyczące bezpie-

czeństwa i systemy śledzenia błędów (Rysunek

3). Zawarte tam dane są najbardziej aktualne i, co

bardzo ważne, dostępne zupełnie za darmo. Naj-

ważniejsze serwisy tego typu zostały wymienio-

ne w ramce W Sieci .

Drugim ważnym źródłem informacji są po-

zycje książkowe, przydatne szczególnie w celu

systematycznego poszerzania wiedzy. Warto jed-

nak pamiętać, iż informacje w nich zawarte są

zazwyczaj w pewnym stopniu przestarzałe.

Koni guracja hasła programu roz-

ruchowego

Wiemy, że zapewnienie bezpieczeństwa i -

zycznego sprzętu sieciowego i komputerów

powinno być absolutnym priorytetem. Oka-

zuje się jednak, że bez wprowadzenia dodat-

kowych ustawień, GRUB pozwala na urucho-

mienie systemu operacyjnego Linux w do-

wolnej koni guracji, nawet jeżeli nie jest ona

wymieniona na liście zdei niowanej w pliku

/boot/grub/menu.lst (lub innym, w zależności

od zainstalowanej dystrybucji).

Aby zapobiec takiej sytuacji, należy skon-

i gurować hasła w pliku menu.lst . W celu unik-

nięcia przechowywania hasła w postaci nieza-

szyfrowanego tekstu, skorzystamy z haszów

MD5. Aby je wygenerować, uruchom powło-

kę GRUB za pomocą polecenia grub , a na-

stępnie wywołaj funkcję md5crypt . Po poda-

niu hasła zostanie wyświetlony hasz, który na-

leży umieścić w pliku menu.lst przy pomocy

dyrektywy:

Podsumowanie

Tym sposobem dotarliśmy do końca piątej czę-

ści cyklu, w której przedstawione zostały podsta-

wowe zagadnienia związane z bezpieczeństwem

hostów i sieci. Temat ten będzie kontynuowany

w następnym artykule z serii, w którym zajmie-

my się koni guracją i rewalli i wirtualnych sieci

prywatnych (przy wykorzystaniu OpenVPN).

Przedstawione w artykule podstawowe za-

sady związane z zabezpieczaniem sieci kompu-

terowych nie są oczywiście wystarczające dla

każdej sieci – wszystko zależy od charakterysty-

ki konkretnego środowiska. Powinieneś ponad-

to pamiętać, iż zabezpieczanie sieci jest proce-

sem ciągłym. Oprogramowanie, które dziś uzna-

wane jest za bezpieczne, jutro może być podatne

na wiele ataków. Zawsze powinieneś być na bie-

żąco z nowościami z dziedziny bezpieczeństwa

sieciowego – zaprezentowane strony interneto-

we z pewnością Ci w tym pomogą.

update-rc.d nazwa_skryptu defaults

password --md5 wygenerowany_hasz

Po jej umieszczeniu, w celu interakcji z progra-

mem rozruchowym konieczne będzie podanie

skoni gurowanego hasła.

Istnieje również możliwość zabezpieczenia

poszczególnych pozycji menu programu rozru-

chowego – w takim przypadku należy dodać dy-

rektywę lock do danego proi lu. W celu zdei -

niowania odmiennego hasła dla wybranej pozy-

cji należy umieścić w nim wspomnianą już dy-

rektywę password .

Spowoduje to automatyczne uruchomienie

skryptu przy starcie systemu w poziomach uru-

chamiania ( runlevel ): 2, 3, 4 i 5. W celu usunięcia

istniejącego skryptu należy usunąć go z katalogu

/etc/init.d , a następnie wydać polecenie:

update-rc.d nazwa_skryptu remove

Usługi uruchamiane przy starcie systemu można

zdei niować również w pliku /etc/inittab . Poje-

dynczy wpis reprezentujący usługę ma postać:

O autorze

W Sieci

Autor interesuje się bezpieczeństwem sys-

temów informatycznych, programowa-

niem, elektroniką, muzyką rockową, archi-

tekturą mikroprocesorów oraz zastosowa-

niem Linuksa w systemach wbudowanych.

Kontakt z autorem: rl.kulaga@gmail.com

• Artykuł Securing and Hardening Red Hat Linux Production Systems

– http://www.puschitz.com/SecuringLinux.shtml

• SecurityFocus – http://www.securityfocus.com/

• Cert Polska – http://www.cert.pl/

marzec 2010

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: