Новые книги
 Важнейшее условие успеха в бизнесе – не только талант и упорный труд, но и постоянные интеллектуальные усилия. Нельзя, конечно, сбрасывать со счетов озарения, да и счастливый случай приходит на выручку, но все это случается нечасто, а вот шевелить мозгами приходится постоянно – и мелкому предпринимателю, и руководителю крупной компании.Но шевелить мозгами – дело не простое. Часто мы только думаем, что думаем, а на самом деле принимаем произвольно возникающие в голове связи за логические, на основании неверных посылок делаем ложные заключения, а то и подгоняем факты таким образом, чтобы получить желаемый вывод. Между тем мыслительный процесс требует использования соответствующего инструментария и техник, особенно если приходится осмысливать сегодняшнюю сложную, мгновенно и непредсказуемо меняющуюся реальность. В этой ситуации на выручку приходит системный подход, которому и посвящена книга Денниса Шервуда. Физик, биофизик, биолог и экономист по образованию, ныне он занимается консалтингом и является владельцем компании The Silver Bullet Machine Manufacturing Company Limited, специализирующейся на развитии творческого подхода и инновационного процесса в организациях. |
 В этой книге описаны принципы действия и область применения многих серверов, выполняющихся в системе Linux. Здесь рассматриваются DHCP-сервер, серверы Samba и NFS, серверы печати, NTP-сервер, средства удаленной регистрации и система X Window. He забыты и средства, традиционно используемые для обеспечения работы Internet-служб: серверы DNS, SMTP, HTTP и FTP. Большое внимание уделено вопросам безопасности сети. В данной книге нашли отражения также средства удаленного администрирования — инструменты Linuxconf, Webmin и SWAT.Данная книга несомненно окажется полезной как начинающим, так и опытным системным администраторам. Отзывы о книге Сетевые средства Linux Появилась прекрасная книга по Linux, осталось воспользоваться ею. Не упустите свой шанс. Александр Стенцин, Help Net Security, www.net-security.org Если вы стремитесь в полной мере использовать сетевые возможности Linux — эта книга для вас. Я настоятельно рекомендую прочитать ее. Майкл Дж. Джордан, Linux Online Выхода подобной книги давно ожидали читатели. Менее чем на 700 страницах автор смог изложить суть самых различных вопросов, связанных с работой Linux. Автор является высококвалифицированным специалистом в своей области и щедро делится своими знаниями с читателями. Роджер Бертон, West, DiverseBooks.com |
TCP/IP Firewall
Глава 9. TCP/IP Firewall
Защита все более и более важна для компаний и частных лиц. Internet обеспечил нас мощным инструментом, чтобы распространить информацию и получить ее от других, но он также принес опасности, которых раньше не было. Компьютерное преступление, информационное воровство и злонамеренное повреждение стали обыденным явлением в киберпространстве.
Недобросовестный человек может предполагать пароли системы или эксплуатировать ошибки и особое поведение некоторых программ, чтобы получить доступ к Вашей машине. А получив доступ, сделать можно немало. Есть люди, которые изучают и меняют систему, просто из любви к совершенству. Как ни странно, даже в России в наше время, таких хватает. Но есть и хулиганы. Есть люди, которым очень нужна информация с Вашей машины, и тут никогда не знаешь, что им может понадобиться.
Самый безопасный способ избежать такого широко распространенного явления состоит в том, чтобы предотвратить получение несанкционированного сетевого доступа к машине. Именно этим занимается firewall.
| Предупреждение |
|
Построение безопасного firewall является искусством. Это включает хорошее понимание технологии, но одинаково важно понимание философии проектов firewall. Я при всем желании не смогу изложить в этой книге все по этому вопросу: он слишком велик. Возможно, когда-нибудь я посвящу ему отдельную книгу. Я настоятельно рекомендую ознакомиться с дополнительной литературой по этому вопросу. |
Увы, на русском языке такой литературы до обидного мало. Есть очень хорошие книги на английском и, возможно, они со временем выйдут и на русском. Назову основные:
- Building Internet Firewalls
Авторы: D. Chapman и E. Zwicky (издательство O'Reilly). Это полная энциклопедия по созданию и использованию firewall для Unix, Linux и даже Windows NT. Рассмотрены также вопросы о том, как настроить службы Internet для работы через firewall.
- Firewalls and Internet Security
Авторы: W. Cheswick и S. Bellovin (издательство Addison Wesley). Книга скорее о философии построения firewall, чем о конкретных программах, но в ней есть немало ценного по реализации этой философии.
В этой главе я ориентируюсь на специфичные для Linux технические проблемы и методы. В конце главы я приведу пример конфигурации firewall, который является неплохой базой для Ваших опытов.
Методы атаки
Важно, что Вы, как сетевой администратор, понимали характер потенциальных нападений на компьютерную защиту. Я кратко опишу наиболее важные типы нападений так, чтобы Вы могли лучше понимать, против чего точно Linux IP firewall защитит Вас, а против чего нет. Для основных путей нападения есть стандартные методы защиты, о них я тоже расскажу.
- Несанкционированный доступ
Это значит, что к Вашим системам подключается тот, кому делать этого не следует. Например, кто-то пытается смонтировать Ваши каталоги NFS.
Имеются различные способы избежать этого нападения. Тщательно определяя, кто может получать доступ через эти услуги, Вы можете предотвращать сетевой доступ кого угодно, за исключением допущенных пользователей.
- Эксплуатация известных слабостей в программах
Некоторые программы и сетевые услуги первоначально не были разработаны с сильной защитой. Пример этого: BSD remote services (rlogin, rexec и другие r-сервисы). Термин "эксплойт" появился как раз из этого вида атак.
Самый лучший способ защищать себя против этого типа нападения состоит в том, чтобы отключить любые уязвимые услуги или поискать их поздние версии, в которых такие ошибки часто исправлены.
- Denial of service
Так называемые Denial of service attacks (атаки отрицания обслуживания) заставляют сервис или программу перестать работать или не дают другим их использовать. Они могут выполняться в сетевом уровне, посылкой тщательно подготовленных пакетов, которые сервис обработать не сможет. Они могут также выполняться в уровне прикладной программы, где тщательно подготовленные команды должны перегрузить избранный сервис.
Предотвращение подозрительного сетевого трафика и подозрительных команд программ, это самые лучшие пути уменьшения риска таких атак. Полезно знать детали метода нападения, так что Вы должны изучать новые разработки в этой области. Сайты хакерской ориентации весьма популярны среди администраторов сетей именно по этой причине.
- Spoofing
Этот тип нападения заставляет компьютер или прикладную программу работать не так, как от него ожидается. Например, во многих защитах используется проверка по IP-адресу. Вражеский компьютер прекрасно может выдать себя за машину с правильным адресом, что позволит пакетам с него проникнуть в Вашу систему. Например, такой тактики придерживается хорошо известный эксплойт для сервиса BSD rlogin.
Защита против этого типа атак проста: надо тщательно отслеживать, откуда на самом деле пришел пакет, и соответствует ли его внутренняя информация тому окружению, которое ему сопутствует.
- Eavesdropping
Это самый простой тип нападения. Некий компьютер сконфигурирован так, чтобы "слушать" и собирать данные, не принадлежащие ему. Грамотно написанный шпион может получить имя пользователя и его пароль для входа в систему. Широковещательные сети, например Ethernet, очень подвержены этой атаке, ведь в них все пакеты проходят через все машины в сети, а выбором нужных ей пакетов занимается каждая конкретная машина.
Здесь помогает шифрование трафика.
IP firewall очень полезен в предотвращении или уменьшении несанкционированного доступа, атак отрицания обслуживания и IP spoofing. Он не очень полезен в уходе от эксплуатации слабостей в сетевых сервисах или программах, а также при защите от подслушивания.
| Назад | Глобальное оглавление | Вперед |
| Продвинутая настройка PPP | Что такое Firewall? |