Protokoły pośrednie

Wcześniej omawialiśmy TCP, UDP i inne protokoły oparte bezpośrednio na IP. Wiele protokołów aplikacyjnych opiera się bezpośrednio na tych protokołach, ale inne korzystają z protokołów pośrednich. Zrozumienie funkcjonowania protokołów pośrednich jest niezbędne do zrozumienia zbudowanych na nich aplikacji. W tym rozdziale omawiamy różne protokoły ogólnego przeznaczenia, używane do tworzenia licznych aplikacji albo wspierania protokołów wyższego poziomu.

Strony: 1 2

More

Następne czynności po wyłączeniu usług

Po zmianie konfiguracji usług będziesz musiał ponownie uruchomić komputer. Następnie powinieneś upewnić się, że usługi są rzeczywiście wyłączone, a komputer nadal działa poprawnie. Jednym ze sposobów sprawdzenia, czy usługa jest wyłączona, jest użycie narzędzia netstcit w celu wyświetlenia portów sieciowych monitorowanych przez komputer.

More

Protokoły TLS i SSL

Protokoły TLS i SSL umożliwiają uwierzytelnianie serwerów i klientów, szyfrowanie danych między węzłami końcowymi oraz ochronę integralności danych. Pozwalają także klientom na ponowne łączenie się z raz użytymi serwerami bez ponownego uwierzytelniania się czy negocjowania nowych kluczy sesyjnych, jeśli tylko nowe połączenie zostanie nawiązane krótko po zamknięciu poprzedniego. Bezpieczeństwo TLS i SSL nie wynika tylko z zastosowania konkretnego algorytmu szyfrowania, kryptograficznej funkcji mieszającej ani kryptografii z kluczem publicznym, ale również ze sposobu, w jaki używa się tych algorytmów. Charakterystyczne cechy bezpiecznej, prywatnej sesji komunikacyjnej są omówione w dodatku C, „Kryptografia”.

More

SFsec

Zespół IETF opracowuje protokół bezpieczeństwa IP (IPsec), który działa bezpośrednio ponad IP i zapewnia kryptograficzne bezpieczeństwo między końcowymi węzłami transmisji dla protokołów IPv4 oraz IPv6. Obsługa IPsec jest wymagana od każdej implementacji IPv6 i opcjonalna w IPv4. Ponieważ IPv6 zapewnia mechanizmy niedostępne w IPv4, wersje IPsec dla IPv6 i IPv4 są realizowane nieco odmiennie. IPsec nie jest jeszcze w pełni ustandaryzowany, ale na tyle stabilny i dobrze zdefiniowany, że już teraz dostępnych jest wiele zgodnych ze sobą implementacji działających ponad IPv4. Prawdopodobnie najlepiej znaną implementacją IPsec jest wersja dla Linuksa, nazywana FreeS/WAN.

More

Konfiguracja procedury testowej

Kiedy skonfigurujesz już alternatywną procedurę startową, sprawdź pliki i katalogi startowe swojego systemu. Powinieneś zrobić to wiersz po wierszu, upewniając się, że rozumiesz, do czego każda służy. Zwróć także uwagę na opcje wiersza polecenia.

W doskonałym świecie wyłączyłbyś wszystkie usługi, a potem włączył tylko te, których potrzebujesz. Niestety, jeśli to zrobisz, komputer prawdopodobnie nie będzie mógł się uruchomić. Łatwiej będzie zacząć od drugiego końca wyłączyć usługi, które na pewno nie będą potrzebne, a następnie przeanalizować proces startowy i powoli go dostrajać, aby komputer zawsze mógł się uruchomić.

More

Konfiguracja procedury testowej

Kiedy skonfigurujesz już alternatywną procedurę startową, sprawdź pliki i katalogi startowe swojego systemu. Powinieneś zrobić to wiersz po wierszu, upewniając się, że rozumiesz, do czego każda służy. Zwróć także uwagę na opcje wiersza polecenia.

W doskonałym świecie wyłączyłbyś wszystkie usługi, a potem włączył tylko te, których potrzebujesz. Niestety, jeśli to zrobisz, komputer prawdopodobnie nie będzie mógł się uruchomić. Łatwiej będzie zacząć od drugiego końca wyłączyć usługi, które na pewno nie będą potrzebne, a następnie przeanalizować proces startowy i powoli go dostrajać, aby komputer zawsze mógł się uruchomić.

More

Zabezpieczanie Uniksa

Kiedy wybierzesz już komputer, koniecznie zainstaluj w nim system operacyjny w jak najbezpieczniejszej konfiguracji. Pierwsze etapy tej procedury są takie same jak w każdym innym systemie operacyjnym i zostały omówione w rozdziale 1, „Hosty bastionowe”:

-1. Zacznij od minimalnej, czystej instalacji systemu operacyjnego. Zainstaluj system od podstaw na czystych dyskach, wybierając tylko te składniki, które są ci potrzebne.

More

Nie zawiera kodu dostępnego publicznie, więc jest tajny

Nie trzeba przeglądać kodu programu, aby odkryć problemy. Prawdę mówiąc, większość ataków polega na wypróbowywaniu metod, które sprawdziły się w podobnych programach, obserwowaniu działania programu albo szukaniu słabych stron w protokole, co nie wymaga dostępu do kodu źródłowego. Da się także zdekompilo wać aplikację i dokładnie sprawdzić, jak została napisana. Może to zająć sporo czasu, ale jeśli ty nie byłbyś skłonny się poświęcić, to nie znaczy, że napastnicy myślą podobnie. Napastnicy nie zważają też na umowy licencyjne, które zabraniają de kompilowania programów.

More

Które usługi uniksowe należy wyłączyć?

Powinieneś wyłączyć wszystkie niepotrzebne usługi, ale niektóre są szczególnie niebezpieczne i niemal na pewno niepotrzebne w firewallu. NFS i usługi pokrewne Zacznij od NFS i związanych z nim usług sieciowych. Nie będziesz ich potrzebował. Żadna maszyna wewnętrzna nie powinna ufać hostowi bastionowemu na tyle, aby pozwolić mu na montowanie swoich dysków za pomocą NFS, a w hoście bastionowym raczej nie będzie niczego, co byś chciał eksportować przez NFS. NFS to protokół bardzo wygodny, ale niemal zupełnie niezabezpieczony.

More

Charakterystyka filtrowania pakietów w TLS i SSL

Ani TLS, ani SSL nie są związane z żadnym zarezerwowanym portem, choć kilka numerów portów przydzielono protokołom wyższego poziomu, które korzystają z TLS lub SSL. Wymieniamy je wraz z innymi portami przydzielonymi protokołom wyższego poziomu (na przykład porty zarezerwowane dla IMAP ponad SSL podajemy w rozdziale 16, „Poczta elektroniczna i grupy dyskusyjne”, w podrozdziale poświęconym charakterystyce filtrowania pakietów w IMAP). Czasem znajdziesz wzmianki, że port 443 jest przydzielony SSL, ale w rzeczywistości jest on zarezerwowany na potrzeby HTTP ponad SSL.

More

Bezpieczeństwo klienta HTTP

Problemy z bezpieczeństwem klientów HTTP są równie skomplikowane, jak problemy serwerów. Można je podzielić na trzy kategorie: przypadkowe ujawnienie informacji podatność na atak w zewnętrznych przeglądarkach

podatność na atak w systemach rozszerzeń. Przypadkowe ujawnienie informacji Przeglądarki WWW mogą zdradzić informacje, których nie chciałeś ujawniać publicznie. Najczęściej problem polega na tym, że nie chronią haseł i nazw użytkowników tak, jak mógłbyś się spodziewać. Wiele stron WWW przekazuje nazwy użytkowników i hasła bez żadnych zabezpieczeń niektóre osadzają je nawet w adresach URL, przez co możesz je przypadkowo zapisać w pliku zakładek albo przesłać do przyjaciela wraz z informacją o położeniu interesującej strony WWW.

More

Bezpieczeństwo protokołów

Niektóre usługi z technicznego punktu widzenia łatwo przepuścić przez firewall, ale trudno w ten sposób zabezpieczyć. Jeśli protokół jest niebezpieczny z natury, przekazywanie go przez firewall, nawet za pomocą serwera proxy, nie poprawi jego bezpieczeństwa, chyba że jednocześnie go zmodyfikujesz. Na przykład XII sprawia niewielkie kłopoty podczas pośredniczenia z przyczyn omówionych w rozdziale 1, „Zdalny dostęp do hostów”, ale trudności z jego zabezpieczeniem za pomocą firewalla nie mają nic wspólnego z kwestiami technicznymi (serwery proxy dla X są używane dość często w celu rozszerzenia możliwości systemu X). Chodzi o to, że X daje klientom wiele niebezpiecznych możliwości, więc system pośredniczący w X musi zapewnić dodatkową ochronę.

More

Kontrolowanie niebezpiecznych konfiguracji

Jak już powiedzieliśmy, czasem zaufanie do protokołu wynika z możliwości kontrolowania obu stron komunikacji. Są protokoły zupełnie bezpieczne, jeśli tylko zmierzają do określonych klientów z określoną konfiguracją, a w przeciwnym razie są bardzo groźne. Na przykład Simple Mail Transfer Protocol (SMTP) w większości sieci jest uważany za nieszkodliwy, jeśli używają go komputery z niezawodnym i dobrze skonfigurowanym serwerem. Z drugiej strony, jest niezwykle niebezpieczny, jeśli trafia do źle skonfigurowanego serwera.

More

Secure RPC

Secure RPC zapewnia jeszcze jeden mechanizm uwierzytelniania, znany jako „AUTH_DES”. Secure RPC to rozszerzenie RPC Suna, które ulepsza uwierzytelnianie użytkowników. Secure RPC jest mniej popularny niż zwykły RPC Suna przez wiele lat jedynym dostarczającym go producentem był Sun, a nawet obecnie jest rzadko używany w dużych heterogenicznych sieciach.

Dzieje się tak między innymi dlatego, że Secure RPC wymaga bardziej rozbudowanej infrastruktury i często jest irytująco widoczny dla użytkowników. Secure RPC to klasyczne połączenie kryptografii z kluczem publicznym i kryptografii z kluczem tajnym. Algorytm DiffiegoHellmana (z kluczem publicznym) służy do bezpiecznego ustalenia współdzielonego sekretu, który jest następnie używany do szyfrowania danych algorytmem DES. Kryptografia oraz algorytmy DiffiegoHellmana i DES są omówione w dodatku C, „Kryptografia”.

Strony: 1 2

More