А Б В Г Д Е Ж З И К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Э Ю Я
0-9 A B C D I F G H IJ K L M N O P Q R S TU V WX Y Z #


Чтение книги "Журнал PC Magazine/RE №04/2008" (страница 23)

   Это те же самые параметры, которые вы вводите в разделе TCP/IP Properties, но командный файл просто автоматизирует этот процесс. Он будет состоять из четырех строк, и, чтобы его создать, воспользуйтесь предлагаемым шаблоном (опустив, естественно, номера строк в самом файле).
...
   1. Netsh interface ip set address name="Local Area Connection" source=static addr=xxx.xxx.xxx.xxx mask=xxx.xxx.xxx.xxx
   2. Netsh interface ip set address name="Local Area Connection" gateway=xxx.xxx.xxx.xxx gwmetric=0
   3. Netsh interface ip set dns name="Local Area Connection" source=static addr=xxx.xxx.xxx.xxx
   4. Netsh interface ip add dns name="Local Area Connection" addr=xxx.xxx.xxx.xxx
   Замените Local Area Connection именем вашего главного соединения (если оно иное), а xxx.xxx.xxx.xxx – правильным IP-адресом. Строка 1 устанавливает статический IP-адрес и соответствующую маску – точно так, как вы делали это в разделе TCP/IP Properties (Свойства TCP/IP). Строка 2 назначает используемый по умолчанию шлюз. А строки 3 и 4 определяют два IP-адреса DNS. Каждый раз, когда вы прибываете в очередной офис, запускайте командный файл, который установит правильный статический IP-адрес для данного офиса. Если вы используете ваш компьютер дома, зайдите на сайт go.pcmag.com/autonetwork, чтобы получить другой командный файл. Дополнительную информацию о замечательной команде Netsh вы найдете по адресу www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/netsh.mspx.
   Нейл. Дж. Рубенкинг

   Защита документов Word

   Джон Брэндон
   Microsoft Word – это главный инструмент подготовки документов в руках офисных служащих, с помощью которого эти неутомимые труженики составляют письма клиентам, финансовые сводки и редкие послания с грифом «только для руководства», успевая сделать все это до первой чашки кофе. Но даже в наш век беспроводных сетей и все более изощренных шпионских программ многие все еще оставляют эти секретные документы без всякой защиты. Однако не стоит отчаиваться: в Office 2007 появились новые возможности, такие, как цифровая подпись и 128-бит шифрование, которые помогут заблокировать доступ к важным деловым документам и защитить их от любопытных глаз.

   Подписывайте свои документы
   У Word 2007 теперь есть новое средство защиты документов – цифровая подпись. Любой документ можно дополнить полем подписи, которое заблокирует файл для редактирования до тех пор, пока не будет удалена цифровая подпись. Хотя удалить подпись и внести изменения в файл может всякий, тем не менее подпись на документе служит штампом визирования. Вспомните перстень с печаткой, прижимаемой к восковой пломбе: сорвать пломбу может всякий, но тогда будет понятно, что окончательный вариант документа не принадлежит его отправителю.
   Чтобы добавить цифровую подпись, нужно открыть или создать документ, а затем щелкнуть на вкладке Insert (Вставить) и на пункте Signature Line (Строка подписи) в дальней правой части окна. Щелкните на OK в сообщении о сертификатах и введите имя, должность и адрес электронной почты автора подписи (т. е. себя). По желанию можно также дополнить подпись датой. Щелкните на OK. Чтобы подписать документ, надо дважды щелкнуть в поле подписи. Введите свое имя или щелкните на Select Image (Выбрать рисунок) и выберите файл растрового отображения для своей подлинной подписи. (При использовании планшетного ПК можно проставить подпись на нем.) Для защиты документа щелкните на пункте Sign (Подписать).

   Используйте шифрование и пароли
   Цифровая подпись защищает документ от редактирования, а также аутентифицирует его, т. е. подтверждает его подлинность (особенно если используется растровое отображение подлинной подписи). Но подписанные документы все еще можно открывать, читать и пересылать. Поэтому в Word 2007 введен современный стандарт шифрования AES (advanced encryption standard) со 128-бит ключом и хэшированием по алгоритму SHA-1. Отметим, что документ Microsoft Word, снабженный цифровой подписью, нельзя редактировать, даже введя пароль; паролем могут быть защищены только неподписанные документы.
   Щелкните на кнопке Office в левой верхней части окна, затем выберите команду Prepare | Encrypt Document (Подготовить | Зашифровать документ). Введите пароль, который трудно разгадать, – в виде комбинации заглавных и прописных букв и цифр, содержащий в целях максимальной защиты не менее восьми символов. Щелкните на OK. Еще раз введите пароль. Если теперь кто-нибудь попытается открыть документ, придется ввести пароль, так что взлом защиты текста окажется почти невозможным.

   Защита определенных частей документа
   Итак, документ подписан или зашифрован. А как быть, если вы решили позволить другим лицам редактировать документ, но не хотите терять возможность контроля за их действиями? Щелкните на Review | Protect Document (Просмотр | Защитить документ) в правой части экрана, выберите в разделе Limit formatting (Ограничить форматирование) параметры форматирования, которые могут быть изменены другими лицами, и укажите, что позволено редактировать. Можно, к примеру, разрешить изменять шрифт, но не размер текста, можно использовать функцию отслеживания (Track Changes), с тем чтобы выделить все чужие правки. Для защиты документа выберите пункт Start Enforcing (Включить защиту). Введите пароль, подтвердите его и щелкните на OK.

   Переходим на Linux: основы безопасности

   Аяз Ашрапов
   Известная мудрость гласит, что безопасность – не свойство, а организационный процесс. И начинать его нужно как можно раньше. Создание безопасной системы на базе Linux – процесс непростой, особенно для администраторов, только что перешедших с Windows. С чего начать? Как обеспечить достаточный уровень защиты и для системы, и для пользователей? Об этом мы и поговорим.
Рабочие станции
   Один из основных источников угрозы для любой системы – «инсайдеры». У оператора рабочего ПК масса возможностей нанести удар изнутри. А поскольку такой удар, как правило, оказывается наиболее сокрушительным, вопросу локальной безопасности необходимо уделить самое пристальное внимание.
   Помимо стандартной процедуры защиты BIOS паролем, желательно установить пароль и на системный загрузчик Linux. При отсутствии такового злоумышленник может загрузиться в монопольном режиме, повысив свои привилегии до самого высокого уровня и присвоив права локального суперпользователя (root), и воспользоваться редактором загрузчика для внесения любых изменений или сбора информации, необходимой ему для дальнейших действий. Если на ПК используется несколько ОС, то загрузчик без пароля позволит злоумышленнику загрузить другую ОС с более низким уровнем безопасности (в корпоративных сетях такое бывает редко, но следует учитывать и возможность загрузки с внешних носителей).
   Следующий шаг – защита переменной окружения PATH, известной также как путь по умолчанию. Именно в этой переменной командный интерпретатор (shell) ищет программы. Допустим, что злоумышленник модифицировал переменную окружения и изменил путь к программе, которой регулярно пользуется администратор. В результате будет запущена программа злоумышленника с правами администратора. В установках PATH не следует разрешать запись в каталоги, указанные в переменной PATH, и использовать символ текущего каталога «.».
   Один из эффективных способов защиты от несанкционированных подключений к системе – утилита sudo с редактированием файла /etc/securetty. Sudo – это утилита, позволяющая распределять между пользователями необходимые полномочия для выполнения тех или иных задач с ведением протокола действий этих самых пользователей. Проводя аналогию с Windows, sudo – это «Запуск от имени…». Для делегирования прав пользователям нужно открыть для редактирования файл /etc/sudoers и создать правила предоставления доступа. Самое удобное – редактировать данный файл с помощью утилиты visudo, которая автоматически проверяет синтаксис во избежание ошибок при создании правил. Если есть sudo, то зачем еще редактировать список терминалов в файле /etc/securetty? Sudo хорошо работает, когда несколько пользователей имеют права администратора. Однако sudo лишь средство учета. Эта утилита не гарант локальной безопасности. Для безопасности в списке терминалов должны быть прописаны только виртуальные локальные консоли, а при дистанционном администрировании с использованием защищенного соединения следует применять sudo. Иные варианты считаются небезопасными.
Доступ к файлам
   Защита файлов и файловой системы в UNIX-системах начинается с установки лимита запускаемых файлов путем редактирования etc/pam.d/limits.conf, где каждому пользователю выставляются минимальные права доступа к процессу. В файле указываются число процессов, дозволенных для запуска каждому пользователю, и количество ресурсов системы, разрешенных к использованию.
   Далее необходимо найти все SUID/SGID-файлы, которые предоставляют повышенные привилегии и потому находятся под пристальным вниманием хакеров. Эти файлы могут содержать исполняемый код, который злоумышленник модифицирует или заменяет на свой. Для поиска таких файлов используется команда
...
   root# find / – type f (-perm -04000 – o – perm -02000 ).
   Получив их список, необходимо провести анализ и лишить подозрительные программы SUID/SGID-прав или вовсе их удалить. Следующие на очереди файлы с правами записи для всех. Часто бывает так, что системные файлы имеют атрибут записи для всех, что опять же позволит злоумышленнику повысить свои привилегии в системе путем модификации системных файлов. Команда
...
   root# find / – perm -2 —print
   отобразит все файлы такого типа. Убедитесь, что запись в эти файлы действительно должна быть разрешена всем.
   Дополнительный уровень защиты системных файлов – регулярная проверка целостности и подлинности этих файлов. В зависимости от дистрибутива проверку можно выполнить как средствами самой системы, так и с помощью специальных средств. Программа Tripwire – одно из таких средств. Сразу после установки Linux нужно запустить Tripwire для создания защищенной базы данных о всех критичных файлах системы с указанием даты создания, размера и т. д. Ежедневно программа проверяет текущее состояние системы, сравнивая его с зафиксированным в базе, и формирует отчет о расхождениях с необходимым уровнем детализации. Устанавливать программу лучше не на компьютер, а на сменный носитель (дискету или компакт-диск). Дело в том, что файлы конфигурации и политики безопасности, база данных и отчеты, несмотря на парольную защиту, могут быть модифицированы взломщиком с правами суперпользователя, и вы не узнаете об этом до тех пор, пока не захотите внести изменения в базу данных.
Сетевая безопасность
   Исходя из правила, запрещено все, что не разрешено, для начала отключим на сервере все неиспользуемые службы (сервисы). Найдем все запущенные сервисы:
...
   netstat – anp | grep udp
   netstat – anp | grep LISTEN
   В перечень используемых сетевых сервисов, как правило, входят ftp, telnet, pop3, smtp, time, identd. Остальные нужно отключить любым из способов, перечисленных ниже.
   Первый способ: в файле /etc/inetd.conf найти неиспользуемые сервисы, закомментировать их и выполнить в консоли команду killall – HUP inetd.
   Второй способ: редактирование файла /etc/services. Удаляем либо оставляем закомментированными строчки. От первого способа он отличается тем, что локальные клиенты тоже не смогут воспользоваться данным сервисом, что иногда нежелательно. Формат каждой строчки файла /etc/services:
...
   имя сервиса порт/протокол псевдонимы # комментарии
Cписок сервисов, доступных подключенным пользователям (подключение в состоянии LISTEN)
   Третий способ (радикальный): удаляем из системы пакеты ненужного сервиса полностью.
   Еще одно эффективное средств защиты от внешних атак – TCP_WRAPPERS. Управляются TCP_WRAPPERS файлами /etc/hosts.allow и /etc/hosts.deny. При запросе сервиса с другого компьютера демон (служба) tcpd «читает» сначала правила сверху вниз для данного компьютера из файла hosts.allow. Если разрешающее правило для этого компьютера (хоста, домена, маски подсети и т. п.) существует, то доступ к сервису будет предоставлен. Если разрешающее правило отсутствует, выполняется проверка файла hosts.deny на наличие запрещающих правил для компьютера, запрашивающего соединение. При наличии запрещающего правила в доступе будет отказано. Если же ни в одном из вышеупомянутых двух файлов нет правил, касающихся данного компьютера, то ему будет предоставлен доступ к сервису. Более подробную информацию о правилах и примерах реализации доступа к сервисам можно почитать в руководстве по файлам hosts.allow и hosts.deny:
...
   man hosts.allow
   man hosts.deny.
Все уязвимые для атак файлы (SUID и SGID – главные «враги» суперпользователя)
root# find -2. Поиск файлов с правами записи «для всех»
netstat – vat. Отображение активных соединений
   Netstat и ps – отличные помощники при анализе текущего состояния системы. Ps показывает статус процессов в системе (привилегии процесса, начало и общее время работы). Команда ps – aux выводит на экран практически всю информацию о процессах, однако в ее выводе будут отображены не все сервисы, даже если вы их запустили. Сервисы вроде telnet и ftp, «порожденные» демоном inetd, можно найти с помощью команды netstat-vat. Вывод команды отобразит все активные соединения и сокеты. Чтобы узнать об используемых файлах и ресурсах, в том числе сокетах, воспользуйтесь lsof с постраничным выводом, поскольку объем выводимой информации очень большой.
Защита почты и борьба с вирусами
   Борьба со спамом и вирусами – тема очень обширная, мы приведем лишь общие рекомендации. Фильтрация спама возможна двумя методами: в реальном времени в процессе загрузки писем и после сохранения корреспонденции на сервере.
   Первый метод реализуется стандартными средствами MTA (mail transfer agent – почтовый сервер). Заголовок и «тело» письма анализируются по таким параметрам, как наличие ключевых слов в теме и тексте письма, адрес отправителя, который сверяется с «черными» списками (DNS black lists). Для фильтрации в реальном времени нужен почтовый сервер с гибкими настройками, такой, как Postfix или Exim.
   Основной недостаток такого метода в том, что некоторые письма, не относящиеся к спаму, не будут доставлены адресату.
   Второй метод использует элементы нечеткой логики (fuzzy logic). Каждое письмо анализируется по определенным критериям, и программа-анализатор, работающая в виде сервиса, отправляет почтовому серверу свой вердикт (спам/не спам). Письма, помеченные как спам или сомнительные, могут удаляться сразу или сохраняться в специальных папках на сервере.
   В качестве анализаторов можно использовать довольно много программ, как бесплатных, так и коммерческих, но начать стоит со SpamAssassin. Этот гибкий и поддающийся тонкой настройке инструмент – собрание всех существующих методов борьбы со спамом. Черные списки, сигнатуры, байесовский анализ и другие методы помогают ему эффективно выделять спам из общего потока писем.

...
ПО для анализа защищенности сети
   NMAP (http://www.insecure.org) – сетевой сканер с открытым кодом. Сканирование портов, определение версии сервиса, ОС на удаленном компьютере – основные возможности программы. Этот сканер поможет определить, насколько хорошо работают брандмауэр и IDS.
   Snort (www.snort.org) – популярная бесплатная IDS (intrusion detection system – система обнаружения вторжений) для Linux. Обнаруживает stealth-сканирование, передачу shell-кода, неудачные попытки аутентификации на сервисах и т. д.
   Nessus Security Scanner (www.nessus.org) – мощный сетевой сканер уязвимостей в сетевых сервисах, кроме всего прочего эмулирующий действия злоумышленника.

   У связки MTA+Spamassassin есть и недостатки: большой объем предварительных работ по настройке и обучению системы, высокая требовательность к ресурсам (SpamAssasin написан на Perl – интерпретируемом языке с далеко не самой высокой производительностью). Но дело того стоит.
Пример корректного файла конфигурации iptables
   Защиту от вирусов в Linux можно обеспечить с помощью тех же средств, что и в Windows, благо все известные поставщики антивирусного обеспечения выпускают UNIX-версии своих программных продуктов. Но в мире UNIX есть свой бесплатный антивирус ClamAV, который мало уступает по возможностям и эффективности коммерческим решениям. Встроенная поддержка почтовых систем, архивов различных форматов, всех распространенных форматов почтовых файлов, обширная вирусная база высокой актуальности – аргументы в пользу ClamAV. Полный список ПО, с которым интегрируется ClamAV, можно посмотреть на сайте программы.
Брандмауэр
   Linux – сетевая ОС, и межсетевой экран в ней присутствует с самого начала. В настоящий момент (начиная с ныне подзабытой версии ядра Linux 2.4) в стандартную поставку любого дистрибутива Linux входит брандмауэр iptables. Роль межсетевого экрана на самом деле выполняет модуль ядра netfilter, утилита iptables – всего лишь пользовательская оболочка, предназначенная для редактирования правил фильтрации и перенаправления пакетов. Но, когда речь идет о брандмауэре в Linux, как правило, подразумевается iptables. Общая концепция iptables (как и всех пакетных фильтров) такова: список правил, состоящих из критериев, и действия при соответствии пакета критериям.
   Правила объединяются в цепочки, между которыми могут перемещаться пакеты. Существуют четыре таблицы (raw, mangle, nat, filter), разграничивающие цепочки правил по выполняемым задачам: модификация пакетов, перенаправление, фильтрация. Присутствует возможность определения состояний для возможности работы межсетевого экрана на сеансовом уровне.
   Для организации работы межсетевого экрана нужно создать набор (цепочку) правил. Действия, доступные во всех цепочках, – ACCEPT (пропустить), DROP (удалить), QUEUE (передать на анализ внешней программе), RETURN (возврат на анализ в предыдущую цепочку). В систему встроены цепочки пяти типов: PREROUTING, INPUT, FORWARD, PREROUTING, POSTROUTING.
   Общий вид правила:
...
   iptables [-t table] command [match] [с]
   Спецификатор – t указывается перед названием правила, которое будет использовано в таблице. Если спецификатор пропущен, то по умолчанию используется таблица filter. Далее следуют команды, список которых можно просмотреть, набрав в командной строке iptables – h.
   Раздел match указывает критерии проверки, будь то IP-адрес места назначения, сетевой интерфейс и т. д. Последний раздел, а именно target/jump, указывает на действие, совершаемое при условии выполнения критериев.
   Для настройки межсетевого экрана можно также использовать файл rc.firewall.txt. Такой сценарий настройки – база для всех последующих модификаций. С его помощью брандмауэр настраивается на работу в домашней локальной сети. Если же структура вашей сети отличается от описанной в комментариях к сценарию, то существуют сценарии для различных ситуаций с соответствующими названиями: rc.DMZ.firewall.txt, rc.DHCP.firewall.txt и т. д.
Заключение
   Помимо методов, описанных в статье, нелишними будут регулярное обновление компонентов системы до последней версии и подписка на бюллетени по безопасности *nix. Часть рутинной работы по обновлению и управлению безопасности можно автоматизировать с помощью утилиты crontab (автоматический планировщик задач).
   И вне зависимости от того, что приходится защищать, важно помнить о наиболее опасном противнике – человеке. Его действия легко могут свести на нет все усилия администратора… Но в системе на базе Linux сделать это будет сложнее.
...
Новости. С 15 по 15
   Комплектующие
   Компания Qimonda (www.qimonda.com) объявила о выпуске модулей памяти DDR3 Aeneon XTUNE DDR3-1600.
   Они рассчитаны на платформу NVIDIA nForce 790i SLI и, по словам изготовителя, тестировались в режиме «разгона» до 1680 МГц при номинальном напряжении питания 1,5 В (пропускная способность 12,8 Гбайт), выпускаются в виде комплектов, содержащих два 1-Гбайт модуля. Изделия совместимы с профилем Enhanced Performance Profile 2 (EPP2).
Чтение онлайн



1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 [23] 24 25 26 27

Навигация по сайту
Реклама


Читательские рекомендации

Информация