Книга: Документация NetAMS
Вопросы безопасности
Вопросы безопасности
Поскольку NeTAMS запускается с правами root, и отвечает за подсчет не бесплатного трафика, безопасность всей системы является очень важным фактором. Существует несколько потенциально небезопасных направлений:
• Взлом всей системы через программу
• Взлом защиты самой программы
• Действия, приводящие к неверному учету трафика
Автор программы не несет никакой ответственности за ее использование и за тот ущерб, который (явно или неявно) может быть нанесен кому–либо в результате работы этой программы или ее компонентов. Если вы несогласны с этим утверждением, деинсталлируйте программу и все ее компоненты немедленно!
При написании NeTAMS не предпринималось никаких попыток установить компоненты, позволяющие создателю или кому–либо осуществить несанкционированный доступ в систему с работающей программой. Вместе с тем, в результате неизбежных ошибок программирования, такая возможность может потенциально существовать. На данный момент ни одного случая взлома программы зарегистрировано не было.
Несанкционированный доступ к программе может быть получен путем узнавания пароля и присоединения к программе через telnet. Для защиты от этого пароли на доступ шифруются через crypt(); в статических HTML–страницах пароли заменяются звездочками (show config unsecure). Однако рекомендуется выполнить следующие действия:
• Установите права на чтение конфигурационного файла и лог–файлов только для пользователя root
• Отмените права на чтение локальных файлов HTML–статистики тем, кому не нужно
• Установите (средствами http–сервера) права на просмотр статистики «извне» только тем, кому нужно
• Отмените возможность логина в программу не с локальной машины:
• service server 0
• login localhost
• Отрежьте правилами firewall вашей системы нелокальное подключение к программе:
• ipfw add 100 allow ip from any to any via lo0
• ipfw add 110 deny tcp from any to me 20001
Неправильный учет трафика возможен при неверном расположении правил ipfw/iptables и при получении статистики netflow от неизвестного источника. Для избежания этого:
• Подумайте, как данные ходят по вашей сети
• Нарисуйте схему сети с именами интерфейсов
• Выпишите список имеющихся правил ipfw/iptables и придумайте номер (место) вашего правила, через которое будет осуществляться «заворачивание» трафика
• Если вы используете трансляцию адресов или bridging, подумайте еще раз
• Если вы используете прозрачный http–прокси, подумайте снова
• Если вы используете подсчет потока NetFlow, ОБЯЗАТЕЛЬНО укажите ip–адрес присылающего статистику роутера в описании соответствующего сервиса data–source.
Оглавление книги
- Веб–интерфейс Admintool
- Утилита ascii2netflow
- Автоматическое создание юнитов
- Зачем нужен break flag [%] при описании policy
- Управления карточками экспресс–оплаты
- Управление базой данных
- Правила для data–source
- Java API и сервлеты
- Мониторинг
- Сбор данных через NETGRAPH
- Зачем нужно no–local–pass
- OID, их автоматическая генерация и перезагрузки
- Perl API
- Место NeTAMS среди других считалок
- Файл префиксов и учет российского/зарубежного трафика
- Расхождение в статистике с провайдером
- Поддержка RADIUS
- Сбор произвольных данных через ds_raw
- Вопросы безопасности
- Сбор статистики по протоколу SNMP
- По 10 правил и юнитов
- Протоколирование запрошенных ссылок (URL)
- Глава 22 Общие вопросы защиты системы
- Контрольные вопросы
- Вопросы безопасности при удаленном администрировании
- Вопросы защиты при использовании VPN
- Раздел II Вопросы безопасности в области развития и применения ИКТ в глобальном контексте: на пути к единой терминологии...
- Вопросы безопасности сервера
- 11.4. Информационная безопасность и ее основные компоненты
- Глава 2 Нарушение и защита информационных систем
- Предисловие
- Структура книги
- 11.1. Проверка прав доступа
- Глава 16 Удаленное администрирование системы