internet4U - HorkΘ novinky {21.02.1997}

Jak na Internet server ? (10)

V minul²ch dφlech jsem se zab²val systΘmem prßce sφt∞ Internet a nastavenφm serveru pro r∙znΘ sφ¥ovΘ slu₧by. Dnes se budu trochu blφ₧e zab²vat zabezpeΦenφm sφt∞ p°ed pr∙nikem zvenΦφ a na to navazujφcφmi firewally. MinulΘ dφly byly spφÜe konkrΘtnφ, dnes budu rad∞ji obecn∞jÜφ.

Pokud se chceme zab²vat problematikou sφ¥ovΘho pr∙nikß°stvφ (nebo takΘ hackingu), musφme si nejprve uv∞domit, ₧e k probourßnφ se do n∞jakΘho systΘmu pot°ebujeme n∞kolik zßkladnφch v∞cφ a to mφt 'odkud' a v∞d∞t 'kudy' a 'kam'.

Otßzka 'kudy' zde spl²vß s otßzkou 'jak'. Do t∞chto t°φ otßzek je mo₧nΘ shrnout vÜechny otßzky kolem pr∙nikß°stvφ v poΦφtaΦov²ch sφtφch. DalÜφ mo₧nou otßzku 'proΦ' nechme rad∞ji sociologick²m studiφm.

ZaΦn∞me tedy otßzkou 'odkud', nebo¥ ta je relativn∞ nejjednoduÜÜφ. Odpov∞dφ je mφsto, kde se zmφn∞n² naruÜitel (nebo, chcete-li hacker) nalΘzß, dßle jeho poΦφtaΦ Φi terminßl, konektivita k Sφti a z n∞kterΘ dalÜφ z toho vypl²vajφcφ faktory. Toto mφsto je pro nßs zajφmavΘ ve chvφli, kdy u₧ k n∞jakΘmu pr∙niku do n∞kterΘho z naÜich systΘm∙ doÜlo, pomocφ tohoto mφsta m∙₧eme identifikovat pachatele, avÜak pouze v p°φpad∞, ₧e jde o pom∞rn∞ neznalΘho amatΘra, kter² bude nap°. Ükodit ze svΘho poΦφtaΦe se statickou IP adresou, podle nφ₧ je velmi snadno identifikovateln². Ti schopn∞jÜφ pou₧ijφ n∞jakou dynamicky p°id∞lovanou adresu n∞kterΘho z ISP, pop°φpad∞ n∞jak² velk² ve°ejn² systΘm a nejschopn∞jÜφ asi pou₧ijφ falÜovßnφ paket∙ nebo n∞jak² podobn² trik. V naprosto p°eva₧ujφcφm mno₧stvφ p°φpad∙ je jedinou identifikacφ IP adresa, kterß nßm n∞co °φci m∙₧e, ale takΘ nemusφ.

DalÜφ, avÜak pom∞rn∞ fßdnφ otßzkou, kterß bude asi zajφmat p°φpadnΘho naruÜitele, je 'kam'. To je identifikace systΘmu, k n∞mu₧ se chce dostat. I jeho identifikacφ b²vß IP adresa, pop°. tΘ₧ zßznam v DNS.

VeÜker² zbytek pr∙niku do jakΘhokoli systΘmu definuje otßzka 'kudy'. Ta definuje otßzku mΘdia, kter²m se naruÜitel do systΘmu dostal a zp∙sob, jak zφskal p°φstupovß prßva nebo mo₧nost p°φstupu. Potencißlnφ mφsta, kudy se do systΘmu nepovolanß osoba m∙₧e dostat, naz²vßme dφry (security holes). Informace o bezpeΦnostnφch dφrßch vÜak neshroma₧∩ujφ jen hacke°i, ale tΘ₧ sprßvci systΘm∙ pro jejich p°φpadnΘ "ucpßnφ". Pom∞rn∞ znßm²mi unixov²mi dφrami jsou starÜφ verze ftp daemonu wu-ftpd, n∞kterΘ verze poÜtovnφho daemonu pop3d, starÜφ verze sendmailu, n∞kterΘ httpd servery, cgi scripty (nap°. oblφben² phf, kter² doporuΦuji rad∞ji smazat) atd. To jsou dφry, kterΘ vedou ven. Krom∞ toho se vyskytujφ jeÜt∞ dφry, kterΘ umo₧≥ujφ neprivilegovan²m unixov²m u₧ivatel∙m zφskat rootovskß (administrßtorskß) prßva a vyu₧φvajφ k tomu nejΦast∞ji principu prop∙jΦenφ identity, pop°. krßde₧e a louskßnφ (metodou pokus-omyl, jinak to kv∙li jednosm∞rnosti kryptovacφho algoritmu nejde) souboru s u₧ivatelsk²mi hesly. Dφry do Windows NT zde tak podrobn∞ vyjmenovßvat nebudu (najd∞te si je sami).

Zbyn∞k Pospφchal

- pokraΦovßnφ p°φÜt∞ -

Jak na Internet server ? (10)

HorkΘ novinky - ·nor '97 | HorkΘ novinky | internet4U homepage