WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаІнформатика, Компютерні науки → Утиліти для адміністратора системи в ОС Uniх. Системи команд мови Асемблер. Віртуальна пам’ять. Сторінкова організація памяті. Реалізація сторінкової - Реферат

Утиліти для адміністратора системи в ОС Uniх. Системи команд мови Асемблер. Віртуальна пам’ять. Сторінкова організація памяті. Реалізація сторінкової - Реферат

пароль був відгаданий, запропонуйте вибрати інший, більш надійний. Крім тестування паролів систему захисту потрібно піддавати періодичному аудиту: вона повинна бути досить динамічна, тому що методи атак постійно міняються. Час від часу намагайтеся зламати власні сервери. Це "вправа" має два корисних наслідки: по-перше, ви влізете в "шкіру" зломщика і зрозумієте його тактику, а по-друге, ідентифікуєте потенційно слабкі місця в механізмах захисту. Нарешті, ніяка стратегія захисту не буде повної без наявності плану відновлення мережі у випадку аварії. Як правило, зловмисна атака на мережу компанії порушує функціонування інформаційної системи. Тому, не чекаючи, коли на вас обрушиться шквал телефонних дзвоників від обурених користувачів, заздалегідь напишіть такий план і завжди тримаєте його під рукою. Складаючи його, поставте перед собою наступні питання: чи належні ви негайно припинити всякі мережні операції (у надії на те, що атака зірветься) чи відстежити дії зловмисника? Як повинний реагувати на атаку технічний персонал мережі? Чи варто відновлювати дані з резервних чи копій краще спробувати реконструювати ушкоджену інформацію прямо в мережі?
Із самого свого народження операційна система UNIX розвивалася як система з відкритою архітектурою, з інтегрованими можливостями підтримки комунікаційних засобів. Такі її властивості часом доставляють сильний головний біль тим, хто хоче використовувати UNIX у мережних середовищах з надзвичайно високими вимогами до безпеки.
На відміну від традиційного RPC, SecureRPC для ідентифікації кожного вилученого запиту до NFS використовує стандарт шифрування DES (Data Encryption Standard) і експонентний обмін ключами. FTP. Основною погрозою захисту при роботі з протоколом FTP (FileTransfer Protocol) є наявність анонімного сервера FTP, за допомогою якого користувач може зареєструватися і завантажити (а іноді і передати) потрібні йому файли. Якщо вам не потрібно надавати подібні послуги, то заберіть з файлу /etc/passwd користувальницьке ім'я FTP. Крім цього, обов'язково видалите відповідний домашній каталог. Якщо ж ваша організація в обов'язковому порядку повинна мати анонімний сервер FTP, то розмістите його на комп'ютері поза своєю мережею Intranet, у так називаній "демілітаризованій зоні" (Demilitarized Zone, DMZ). Іншим різновидом мережної атаки є "відмовлення в обслуговуванні" (Denial-of-Service, Do), що коли атакує ініціює безліч сеансів зв'язку з анонімним сервером FTP у спробі зайняти всю його пропускну здатність. Щоб знизити гостроту ситуації, багато версій серверів FTP надають можливість задати максимальне число підтримуваних ними одночасно сеансів зв'язку.
Після зміцнення захисту UNIX потрібна лише невелика допомога в підтримці її в "куленепробивному" стані. Таку допомогу можуть надати кілька безкоштовних утиліт. Написаний Тату Йоненом з Хельсінського технологічного інституту пакет Secure Shell (SSH) являє собою гарну альтернативу таким традиційним протоколам вилученого доступу, як telnet і rlogin. Його остання версія (1.2.х) забезпечує надійну аутентифікацію вилученого хоста, зводячи до мінімуму ймовірність обману при реєстрації, вчиненого шляхом уведення чужого DNS-імені чи IP-адреси. Крім цього, SSH підтримує кілька наскрізних протоколів шифрування (DES, Triple-DES, IDEA і Blowfish), що гарантує конфіденційність сеансів зв'язку починаючи з моменту передачі пароля. Комітет IETF у даний час працює над визначенням архітектури другої версії SSH як стандарт Internet на захищену вилучену реєстрацію по незахищених загальнодоступних мережах. Настійно рекомендують відключити служби telnet і rlogin на користь SSH. Версія SSH для UNIX поширюється безкоштовно і включає як клієнтську, так і серверну частину. Крім того, кілька якісних безкоштовних реалізацій клієнта SSH є і для ПК. Якщо ж з ряду причин потрібно використовувати telnet для вилученого доступу, то гарним способом захисту від прослуховування паролів буде однократне застосування пароля. Так, наприклад, відповідно до цього принципу користувачі, що переміщаються з місця на місце, системи s/Key одержують набір паролів, а потім по черзі вводять їх для вилученого доступу до серверів UNIX (при цьому їм не треба мати спеціалізоване клієнтське програмне забезпечення). Сильна сторона алгоритму аутентифікації s/Key у тому, що, навіть довідавшись поточний пароль, не в змозі визначити, яким буде наступний. Єдиною проблемою цього методу є спосіб генерації і розсилання списку паролів. Звичайне рішення складається в написанні сценарію, за допомогою якого користувач може запросити список паролів і роздрукувати його на заданому за замовчуванням принтері. Це гарантує, що паролі не будуть перехоплені при їхньому пересиланні по мережі простим текстом. (Більш докладну інформацію про s/Key ви знайдете на вузлі http://yak.net/skey/ Іншим, не менш корисним, механізмом захисту паролів є програма Crack. Як уже говорилося, Crack - це проста, але надзвичайно могутня програма угадування паролів. Вона читає стандартний файл паролів UNIX /etc/passwd і намагається підібрати пароль для кожного запису методом сліпого перебору. Хоча робота Crack і може продовжуватися кілька днів (чи навіть тижнів), вона виконується у фоновому режимі з дуже низьким пріоритетом. Crack являє собою чудовий інструмент по ідентифікації слабких паролів і може запускатися як у системах з підтримкою тіньових паролів (/etc/shadow), так і з загальними парольними картами NIS (Network Information System). Використовуйте Crack для періодичного аудита системи захисту і повідомляйте користувачам про наявність уразливих паролів. (Crack можна завантажити із сервера ftp://ftp.cert.org/pub/tools/crack/.) Можливо, найбільш могутньою безкоштовною утилітою в області захисту UNIX є TCP Wrappers. Програма виконує дві найважливіші функції забезпечення мережної безпеки: моніторинг і фільтрацію. Утиліта контролює роботу основного мережного демона UNIX (inetd) і може бути запрограмована на чи дозвіл заборона будь-яких TCP-з'єднань, у залежності від декількох факторів, включаючи номер порту TCP чи IP-адреса як відправника, так і одержувача. Дивно, але конфігурувати TCP Wrappers легше, а її робота створює або саме мінімальне навантаження на мережу, або взагалі ніякої. Можливості TCP Wrappers по моніторингу не менш корисні. Інформація про всі спроби встановлення Тср-з'єднань (як успішних, так і невдалих) може бути занесена в текстовий файл, включаючи дані про адреси відправника й одержувача, портах ТСР і часу запиту.
Loading...

 
 

Цікаве