Wyłączanie usług w Windows NT

Jak już mówiliśmy w rozdziale 1, „Hosty bastionowe”, podczas wyłączania usług należy podjąć pewne środki ostrożności: Upewnij się, że będziesz mógł uruchomić komputer, jeśli wyłączysz niezbędną usługę (na przykład masz wtórny dysk twardy z pełnym obrazem systemu operacyjnego albo startowy CDROM).

Zapisz kopię wszystkich plików, które zamierzasz zmodyfikować, aby w razie niepowodzenia móc przywrócić je do pierwotnego stanu. Ponieważ w Windows T trudno jest precyzyjnie zidentyfikować zmodyfikowane pliki, powinieneś dysponować pełną kopią zapasową systemu, łącznie ze zrzutem rejestru.

More

Przechwytywanie pakietów

Napastnicy nie muszą przejmować połączenia, aby zdobyć poufne informacje. Mogą po prostu oglądać przepływające pakiety gdziekolwiek między twoją siecią a siecią zdalną i uzyskać wszystkie niezaszyfrowane informacje w nich przesyłane. Programy do przechwytywania pakietów (sniffery) służą do zautomatyzowania tej czynności.

Sniffery mogą przechwytywać hasła albo dane. Każdy typ ataku wiąże się z innymi zagrożeniami. Dość łatwo jest zabezpieczyć się przed przechwytywaniem haseł wystarczy zastosować jeden z mechanizmów omówionych w rozdziale 21, „Usługi uwierzytelniania i ewidencjonowania”, który zapewni niepowtarzalność haseł. Jeśli używasz niepowtarzalnych haseł, przechwycenie hasła przez sniffer nie stanowi problemu jest ono bezużyteczne, ponieważ nie nadaje się do ponownego wykorzystania.

Strony: 1 2

More

Klucze rejestru

Oto przegląd kluczy rejestru opisujących parametry usług. Umożliwiają one sprawdzenie, co robi dana usługa, a to przydaje się podczas zabezpieczania hosta bastionowego.

DependOnGroup Lista grup usług, od których jest zależna ta usługa. Klucz ten jest rzadko ustawiany. Jeśli chodzi o mechanizmy sieciowe, najbardziej interesującą grupą jest „TDI”, która zawiera podstawowe sterowniki interfejsów sieciowych. DependOnService

More

Instalowanie i modyfikowanie usług

Część usług, które zechcesz udostępniać, może nie wchodzić w skład systemu operacyjnego (dotyczy to na przykład serwerów WWW). Inne mogą być dostarczane w wersjach nie nadających się do bezpiecznego środowiska albo nie mieć potrzebnych funkcji (na przykład standardowe serwery fingerd iftpd). Nawet nieliczne pozostałe usługi, które wchodzą w skład systemu oraz są bezpieczne i aktualne, należy zabezpieczyć za pomocą pakietu TCP Wrapper lub programu netacl z TIS FWTK, co zapewni również rejestrowanie zdarzeń (choć TCP Wrapper i netacl ulepszają zabezpieczenia, nie są doskonałe identyfikują hosty na podstawie źródłowego adresu IP, który można fałszować).

More

Usuwanie niepotrzebnych programów

Kolejnym etapem będzie usunięcie wszystkich programów, które nie są niezbędne podczas codziennej pracy komputera. Jeśli programu nie ma, napastnik nie będzie mógł wykorzystać znajdujących się w nim usterek. Dotyczy to zwłaszcza programów typu setuid/setgid, które są bardzo kuszącym celem. Powinieneś usunąć nawet te programy, które w zwykłych okolicznościach uważałbyś za niezbędne. Pamiętaj, że host bastionowy służy wyłącznie do udostępniania usług internetowych nie musi wcale zapewniać wygodnego środowiska pracy.

Strony: 1 2

More

SNMP services (Server i Workstation)

SNMP to groźna usługa, która udostępnia mnóstwo informacji i daje znaczną kontrolę nad komputerem niemal bez żadnych zabezpieczeń, więc zwykle powinieneś jej unikać. Wiele podręczników doradza zainstalowanie SNMP w celu uzyskania statystyki wydajności TCP/IP w programie Performance Monitor. Jeśli zainstalujesz SNMP z tego powodu, zainstalujesz także agenta SNMP, którego nie musisz używać i który powinien zostać wyłączony z apletu Services.

More

Mniej bezpieczny

Odbiera dane, które zostaną wyświetlone użytkownikowi. Wymienia predefiniowane dane w znanym formacie. Nie udostępnia żadnych informaq’i Pozwala przeciwległemu komputerowi na wykonywanie bardzo specyficznych poleceń

Zmienia stan komputera Elastycznie wymienia dane różnych typów i może obsługiwać nowe typy Udostępnia poufne informacje Pozwala przeciwległemu komputerowi na wykonywanie elastycznych poleceń

More

Instalowanie i modyfikowanie usług

Część usług, które zechcesz udostępniać, może nie wchodzić w skład systemu operacyjnego. Inne mogą być dostarczane w wersjach nie nadających się do użycia w bezpiecznym środowisku albo nie mieć potrzebnych ci funkcji. Będziesz musiał wybrać serwery, które udostępniają te usługi, i zainstalować je.

Windows NT nie ma odpowiednika uniksowych nakładek TCP (które zapewniają globalną kontrolę nad dowolnymi usługami). Będziesz musiał więc zabezpieczyć każdą usługę z osobna. Nie zakładaj, że dana usługa jest bezpieczna renomowane firmy software’owe często dostarczają niezabezpieczone pakiety, a w wielu przypadkach najgorsze problemy łatwo znaleźć i skorygować.

More

Charakterystyka filtrowania pakietów w CORBIE i IIP

Ponieważ HOP i IIOPS nie używają stałych numerów portów, charakterystyka filtrowania CORBA zależy od używanej przez ciebie implementacji. Niektóre „orby” mają predefiniowane numery portów dla HOP i IIOPS, inne pozwalają ci samemu określić porty albo rezerwują je dynamicznie (a niektóre w ogóle nie obsługują IIOPS). Ponadto są „orby”, które umożliwiają przekazywanie HOP przez HTTP.

More

Testowe wersje usług

Zainstaluj testową kopię usługi w komputerze, którego konfiguracja jest pod innymi względami stabilna i nie zmieni się podczas instalacji. Użyj polecenia find, aby zidentyfikować wszystkie pliki zmienione podczas instalacji i upewnij się, że zmiany są do przyjęcia. W szczególności:

Upewnij się, że prawa dostępu do plików są jak najbardziej restrykcyjne zwykli użytkownicy nie powinni mieć możliwości zapisywania danych w plikach wykonywalnych, plikach konfiguracyjnych ani katalogach tymczasowych. Jeśli to możliwe, ogranicz także prawo do odczytu i wykonania.

More

Charakterystyka translacji adresów sieciowych w TLS i SSL

TLS i SSL będą działały bez problemów w systemie translacji adresów sieciowych. Jednakże szyfrowanie między węzłami końcowymi uniemożliwi systemowi translacji przechwycenie osadzonych adresów IP. Protokoły wyższego poziomu, które polegają na poprawności adresów lub nazw hostów zawartych w przesyłanych danych, nie będą działać, a system translacji nie zabezpieczy cię przed przypadkowym ujawnieniem informacji o wewnętrznej konfiguracji twojej sieci.

More

Odpowiedź, zewnętrzny serwer do wewnętrznego klienta

a) Standard nie wymaga, aby serwery L2TP zwracały pakiety z portu 171 muszą odbierać pakiety w tym porcie, ale mogą wysyłać je z dowolnego portu. Wiele serwerów wysyła pakiety z portu 171, aby uprościć interakcje z systemami translaq’i adresów sieciowych i dynamicznymi filtrami pakietów.

Charakterystyka pośredniczenia w L2TP. Można pośredniczyć w ruchu L2TP, jeśli tylko system pośredniczący obsługuje UDP. Pośredniczenie w protokole tunelującym nie ma jednak większego sensu. Jeśli L2TP jest niezaszyfrowany, pozostanie niezabezpieczony bez względu na to, co zrobi serwer proxy. Jeśli jest zaszyfrowany, serwer proxy nie będzie mógł przeanalizować ruchu, aby wymusić dodatkowe zabezpieczenia.

More

Czy powinniśmy ufać każdemu użytkownikowi sieci?

Wielu ludzi korzystających z sieci zapomina o tym, że jest ona tworzona przez jej użytkowników, którzy nie zawsze są szczerzy i mają wobec innych dobre zamiary. Zapominamy o tym, że tak samo jak w realnym życiu, tak samo w Internecie na swojej drodze możemy spotkać osoby uczciwe, ale również te nie mające z uczciwością nic wspólnego. Istnieje wiele przypadków, gdzie naiwni i niczego nieświadomi ludzie zostają oszukani przez wyłudzaczy pieniędzy lub

More

Wielofunkcyjne „peryferia”

Komputery rzadko wykorzystywane są bez żadnych dodatków, a do efektywnej pracy potrzebują zestawu urządzeń peryferyjnych...

More