| |
Zabezpecit server!?
Priznam se, ze k napsani tohoto clanku mne vedly clanky na serveru Underground o zabezpecovani stroju, uzivatelske tuposti a "socialnim inzenyrstvi". Samozrejme celou problematiku vidim ze sveho uhlu pohledu, tj. nikoli jako nejake smesne manipulovani s konty a ziskavani rootovskych prav na skolnich pocitacich, ostatne, od toho aby se nabouravaly a jinak vsemozne trapily ty unixy na skolach vlastne jsou.Ve firmach vypada situace tak, ze sit sestava obvykle z nejakeho routeru (casto je to, pokud se nejedna zrovna o specialni jednoucelove zarizeni, jeden stroj spolecny s firemnim mailserverem, nameserverem a firewallem, casto i s WWW serverem te firmy), kde systemem na "routeru" byva obvykle BSD, Linux ci Windows NT (nebo jakekoli Windows s WinProxy, WinGate, WinRoute ci podobnymi zverstvy, ktera unixaky pripravuji o zakazky a majitele o nervy a o penize), pak z jednoho nebo vice serveru pro lokalni sit (coz byva Novell NetWare, Windows NT, OS/2 s LAN serverem ci take nejaky Unix) a z pracovnich stanic uzivatelu, coz obvykle byvaji PC s Windows, mene casto pak PC s OS/2 nebo Macinstoshe. Pracoviste administratora radeji vynechame, tam se totiz muze vyskytovat naprosto cokoli, stejne jako vynechame obvykla tupa zarizeni, jako jsou huby, switche, bridge, media konvertory, tiskarny s LAN rozhranim, kabely, zasuvky, konektory atd. Dale muzeme vynechat LAN server, protoze nemuzeme vedet, zda na dotycne siti vubec nejaky je, zda je dostupny protokolem TCP/IP (a nikoli treba jen IPX ci NetBEUI) - coz je ostatne jedna z nejlepsich forem zabezpeceni serveru pro lokalni sit, i kdyz musim priznat, ze me za tri roky OS/2 s LAN serverem neproboural nikdo a to mela verejnou IP adresu, bezel na ni i ftpd, telnetd a spousta dalsich veci vcetne NetMagu - a ne ze by se o to nikdo nepokousel.
Co je nejzranitelnejsi? "To je spatne polozena otazka, pane redaktore." odpovedel by Klaus a mel by pravdu. Zalezi z jakeho uhlu pohledu to vezmeme. Uzivatelska stanice sama o sobe zranitelna neni temer vubec, to co ji cini zranitelnou, je uzivatel. Tim nemyslim, ze bez uzivatele by zustala vypnuta, ale to, ze ostatne i ty mizerne Windows neni mozne z venku probourat bez zasahu toho podivneho zarizeni mezi klavesnici a zidli, pro nez se v odbornych kruzich vzilo oznaceni BFU. Pokud Windows (3.x/95/98) zustanou nakonfigurovany tak, jak jsou nakonfigurovany pri instalaci, je sice v rade pripadu mozne je sestrelit "spravne" nafragmentovanymi packety, ale je to zhruba totez, jako rozdil mezi znicenim zasifrovane depese nepritelem a rozlustenim zasifrovane depese nepritelem. Nicmene pokud si nas mily uzivatel pusti attachment ve formatu EXE, ktery mu prisel mailem, a je to zrovna treba trojan obsahujici Back Orifice, nebo si na svem stroji pusti PC AnyWhere nebo Carbon Copy bez hesla, popripade si nasdili disk do celeho sveta, tak se nelze divit, ze ten stroj nekdo naboura. Jinak ale Windows (3.x/95/98)nejsou vhodnym cilem pro bourani z nasledujicich duvodu: - jde o jednouzivatelsky system
- nepodporuje praci vzdaleneho klienta
- jeho komunikacni schopnosti jsou diky unixu mizive
- systemove soubory nejsou textove, ale binarni
- utility, ktere se systemovymi soubory pracuji, bezi v grafickem rezimu
.
Windows NT (jak workstation, tak server) maji az na prvni bod shodne parametry (nekdo mi muze namitnout, ze podporuji praci vzdaleneho klienta, ovsem zase je nutne prihlednout k tomu, jak). Nicmene bezpecnosti Windows NT se nyni zabyvat nehodlam, na to mame ruzne servery, majici cosi spolecneho s modrou barvou.
Jina vec ovsem je, ze ac Windows jsou na dalku shoditelne, lec nejsou bez vyuziti tuposti BFU nabouratelne, tak obvykle z venku pracovni stanice nebyvaji videt. Ma to nekolik pricin: - provideri v posledni dobe neradi prideluji velke mnozstvi IP adres, dostat od ISP celou C sit uz dnes prilis bezne neni
- pri pouziti intranet adres a "maskarady" (cti NAT nebo IP masquerade) neni nutne menit IP adresy na vsech klientskych PC pri zmene ISP
- pouziti NAT znesnadnuje utocnikovi zjistit informace o strukture site, rozdeleni na segmenty, zjisteni jmen, poctu a adres stanic (tedy, pokud neni administrator takovy expert, ze si tyto intranetove adresy vystavi do verejne pristupneho DNS zaznamu sve domeny)
- kdyz uz se administrator nauci nakonfigurovat IP masquerading, tak pravdepodobne i trochu pochopi funkci packet filteringu
.
A tim se pomalu dostavame k systemu nejvice na ocich, nejsnaze dostupnemu a pro hackera nejlakavejsimu - systemu, ktery dela gateway mezi Internetem a lokalni siti, popripade systemu, ktery slouzi jako informacni zdroj dane spolecnosti v Internetu (WWW server, mail server, nameserver). Dela-li tuto cinnost unixovsky system, pak pokusy o napadeni mohou byt za jistych podminek uspesne. Vyplyva to z toho, ze - unix je system, ktery prilis nerozlisuje, zda uzivatel sedi u konzole serveru, u terminalu nekde v ramci lokalni site, nebo kdesi na druhem konci republiky ci kontinentu a je mozna jeho kompletni administrace na dalku
- unix je viceuzivatelsky system a uzivatele maji moznost pracovat se systemem primo, nikoli prostrednictvim aplikacnich bran
- systemove soubory jsou textove a maji znamy format
- jeho komunikacni schopnosti jsou prakticky neomezene
. Na to navazuji jeste dalsi faktory, a to ze nejpouzivanejsi sitove sluzby vseho druhu (ftp, telnet, pop3, imap2, rlogin, rexec, rsh, pcnfs, bwnfs a dalsi) prenaseji prihlasovaci sekvenci (jmeno + heslo) jako cisty text, tj. nekryptovane - a tak si jej kazdy, kdo ma pocitac na stejnem segmentu, na nemz dany unixovsky system je umisten nebo z nehoz se dotycny uzivatel prihlasuje, popripade i na kazdem segmentu na trase (popripade i na samotnych routerech na trase), muze bez vetsich obtizi odposlechnout - je to temer stejne snadne, jako odposlouchavat vas telefon z paralelne pripojeneho pristroje. Ani nemusite psat vlastni program, podobnych snifferu je vsude spousta.
Nejak mne to psani zmaha, toz tedy pokracovani nekdy priste.
| |
