Журнал LinuxFormat - перейти на главную

LXF71:Спецрепортаж

Материал из Linuxformat
(Различия между версиями)
Перейти к: навигация, поиск
(Новая: == Блокируем хакеров == : ''Действительно ли нам не нужно беспокоиться о безопасности, если мы используе...)
 
(Linux, Windows, BSD)
Строка 86: Строка 86:
 
сложным, заканчиваются проблемы с
 
сложным, заканчиваются проблемы с
 
безопасностью»
 
безопасностью»
 +
 +
{{Врезка|center|
 +
|Заголовок=уяЗвимые местА LINUX-систем
 +
|Содержание=
 +
[[Изображение:LXF 71 47 1.png|thumb|серверы, такие как Apache, запускаются в DMZ, тем самым защищая вашу локальную сеть от непосредственных соединений из интернета.]]
 +
; КлАСС Desktop (рабочий стол)
 +
СлАБОе МеСтО Входящая электронная почта
 +
может содержать вирусы или троянские
 +
программы, которые могут быть случайно
 +
открыты, и популярные приложения, такие как
 +
браузер Firefox, могут быть использованы
 +
злоумышленником в своих интересах.
 +
 +
ПОСлеДСтВИЯ шпионские программы
 +
«тралят» ваш компьютер, отыскивая ценную
 +
информацию, такую как cookie-файлы, которые
 +
содержат информацию о соединениях, и
 +
историю браузера.
 +
 +
леЧеНИе поддерживайте свежий антивирус и
 +
обновляйте браузер. Попробуйте антивирус
 +
ClamAV (см. страницу 48). Убедитесь, что срок
 +
действия cookie-файлов браузера истек.
 +
уяЗвимые местА LINUX-систем
 +
; КлАСС Домашняя сеть
 +
СлАБОе МеСтО Неправильно настроенный
 +
файрвол, который позволяет всевозможные
 +
соединения с вашей системой.
 +
 +
ПОСлеДСтВИЯ Персональная информация,
 +
имеющаяся на вашем компьютере, может
 +
оказаться доступной через Интернет.
 +
 +
леЧеНИе Закройте все ненужные порты на
 +
вашем файрволе – если вы не уверены, как это
 +
правильно сделать, следуйте инструкциям в
 +
этой статье на странице 48. ограничьте сервисы
 +
только абсолютно необходимыми.
 +
; КлАСС беспроводная веть
 +
СлАБОе МеСтО Сеть, не использующая
 +
шифрование. Использование имени точки
 +
доступа, установленного по умолчанию, также
 +
является проблемой.
 +
 +
ПОСлеДСтВИЯ любой, находящийся в
 +
непосредственной близости от вашей сети,
 +
может использовать ваше Интернет-соединение, или даже просмотреть ваши
 +
файлы, что еще ужаснее.
 +
 +
леЧеНИе Используйте шифрование
 +
(разъясняется на стр. 52). WPA – наилучшее
 +
решение, но и WAP лучше, чем ничего. Измените
 +
имя точки доступа или полностью отключите
 +
широковещательную рассылку имени.
 +
; КлАСС Локальная сеть
 +
СлАБОе МеСтО Небезопасные сервисы,
 +
которые могут открыть доступ к вашему Пк в
 +
вашей сети.
 +
 +
ПОСлеДСтВИЯ компьютеры могут оказаться
 +
под контролем из любой точки мира, и затем
 +
использоваться для рассылки спама или для
 +
проведения распределенных атак типа «отказ в
 +
обслуживании».
 +
 +
леЧеНИе Создайте демилитаризованную зону
 +
(DMZ, см. ниже), т.е. некоторое пространство
 +
между локальной сетью и Интернетом,
 +
исключающее необходимость в
 +
непосредственном соединении.
 +
|Ширина=}}
  
 
=== вопрос баланса ===
 
=== вопрос баланса ===

Версия 16:14, 9 марта 2009

Содержание

Блокируем хакеров

Действительно ли нам не нужно беспокоиться о безопасности, если мы используем Linux? К сожалению, нужно, и Грэм Моррисон расскажет об инструментах, которые вам пригодятся во все более враждебном сетевом окружении.

на днях я заглянул в свои системные лог-файлы. И это было далеко не самое лучшее мгновение. они показали, что каждый день мою систему «молотит» не одна сотня атак, исходящих и от скриптов, и от реальных людей, каждый из которых пытается проломить брешь, достаточно большую, чтобы использовать ее в своих интересах. Интернет полон таких вещей.

Итак, как же защитить свою систему? Вы же не просто установили Linux и оставили все, как есть, не так ли? Не исключено, что где-то в недрах вашего компьютера есть нечто уязвимое, некое слабое место, которое может сделать вашу систему доступной из Интернета, и тогда злоумышленник сможет воспользоваться этим в своих интересах. Лучшее место для злодея, где он может найти недостатки – критические системные службы (сервисы), которые не были во время обновлены.

Люди, которые разминают руки, нарушая безопасность чужих систем, опасны, так как используют человеческую сообразительности, но скрипты еще хуже. Их постоянный «долбеж» исходит не от интеллигентного хакера, а от ранее взломанных систем, имеющих заданием поиск очередной жертвы. Прямо как вампиры.

Эквивалент чесноку и святой воде для вас – это сделать вашу систему настолько «злой», чтобы её взлом оборачивался для хакера головной болью. Достаточно сильной, чтобы он переключился на другую систему, где не реализованы подобные меры предосторожности. Для вас это будет означать, что ваш сервер проживет, борясь, еще один день.

Для большинства из нас безопасность – это попытка полностью замуровать свою систему, однако для кого-то критично не только это, и таким людям нужна не столь категоричная стратегия.

Если вам необходимо, можно построить полностью непроницаемую систему – все зависит от того, на какие компромиссы вы готовы пойти. Заблокированная система покажется очень недружественной каждому, кто работал с типичными «вольными» дистрибутивами (например, Mandriva). Но это крайность. как правило, для приемлемого уровня безопасности вполне достаточно отключить лишние сервисы и закрыть все ненужные порты брандмауэром. об этом и пойдет дальше речь.

Linux, Windows, BSD

очевидно, что компьютеров с Windows XP намного больше, чем с Linux, так что практически невозможно сказать, что случится, если это соотношение изменится на противоположное, и сообщество Linux столкнется с теми же преградами, которые сейчас приходится решать команде Microsoft. Но вы можете взглянуть на инициативы, подобные проекту Honeynet, чтобы узнать некоторые реальные показатели.

Проект Honeynet (http://project.honeynet.org) «выставляет» непропатченные (имеющие “дыры” в безопасности) компьютеры в Интернет и измеряет время, проходящее, пока система не будет скомпрометирована (взломана). По тестам, компьютеры с Windows XP без запущенного брандмауэра взламываются очень быстро, доказывая тем самым важность Service Pack 2. С запущенным брандмауэром XP выглядит заметно лучше.

Удивительно, что победителем последнего конкурса Honeynet оказался Linux-дистрибутив Linspire, система, которую часто критикуют за то, что она по умолчанию предоставляет доступ с правами root. Но во внешний мир она открывает только один порт на брандмауэре, и тот только для ping-запросов. Ни один другой сервис, даже SSH, не предоставляется, что означает отсутствие других уязвимостей. Вот почему Linspire выжила.

Но Linspire не проектировалась как веб-сервер; она амбициозно претендует на роль настольной оС. По другую сторону находится OpenBSD – инструмент, который ставит безопасность во главу угла и постоянно следит за потенциальными проблемами. как заверяет тео де раадт (Theo de Raadt), основатель OpenBSD: «Всякий раз, когда вы пытаетесь использовать отдельный метод решения проблемы, он оказывается либо слишком медленным, либо слишком сложным, и когда он становится сложным, заканчиваются проблемы с безопасностью»

уяЗвимые местА LINUX-систем
(thumbnail)
серверы, такие как Apache, запускаются в DMZ, тем самым защищая вашу локальную сеть от непосредственных соединений из интернета.
КлАСС Desktop (рабочий стол)

СлАБОе МеСтО Входящая электронная почта может содержать вирусы или троянские программы, которые могут быть случайно открыты, и популярные приложения, такие как браузер Firefox, могут быть использованы злоумышленником в своих интересах.

ПОСлеДСтВИЯ шпионские программы «тралят» ваш компьютер, отыскивая ценную информацию, такую как cookie-файлы, которые содержат информацию о соединениях, и историю браузера.

леЧеНИе поддерживайте свежий антивирус и обновляйте браузер. Попробуйте антивирус ClamAV (см. страницу 48). Убедитесь, что срок действия cookie-файлов браузера истек. уяЗвимые местА LINUX-систем

КлАСС Домашняя сеть

СлАБОе МеСтО Неправильно настроенный файрвол, который позволяет всевозможные соединения с вашей системой.

ПОСлеДСтВИЯ Персональная информация, имеющаяся на вашем компьютере, может оказаться доступной через Интернет.

леЧеНИе Закройте все ненужные порты на вашем файрволе – если вы не уверены, как это правильно сделать, следуйте инструкциям в этой статье на странице 48. ограничьте сервисы только абсолютно необходимыми.

КлАСС беспроводная веть

СлАБОе МеСтО Сеть, не использующая шифрование. Использование имени точки доступа, установленного по умолчанию, также является проблемой.

ПОСлеДСтВИЯ любой, находящийся в непосредственной близости от вашей сети, может использовать ваше Интернет-соединение, или даже просмотреть ваши файлы, что еще ужаснее.

леЧеНИе Используйте шифрование (разъясняется на стр. 52). WPA – наилучшее решение, но и WAP лучше, чем ничего. Измените имя точки доступа или полностью отключите широковещательную рассылку имени.

КлАСС Локальная сеть

СлАБОе МеСтО Небезопасные сервисы, которые могут открыть доступ к вашему Пк в вашей сети.

ПОСлеДСтВИЯ компьютеры могут оказаться под контролем из любой точки мира, и затем использоваться для рассылки спама или для проведения распределенных атак типа «отказ в обслуживании».

леЧеНИе Создайте демилитаризованную зону (DMZ, см. ниже), т.е. некоторое пространство между локальной сетью и Интернетом, исключающее необходимость в непосредственном соединении.

вопрос баланса

В действительности, все проблемы безопасности сводятся к этому вопросу. Вы могли бы отключить ваш компьютер от Интернета и знать, что вы в полной безопасности. Но в тот момент, когда вы установите соединение, вы осознаете преимущества от соединения с целым миром и потенциальную угрозу для вашей системы. Поэтому безопасность – это всегда компромисс и поиск оптимального решения.

Защити свою сеть

Укрепите свою систему

Шифруй свои файлы

4 упреждающих инструмента безопасности

что нужно сделать для повышения безопасности

Персональные инструменты
купить
подписаться
Яндекс.Метрика