doc-linux-hr 20000416.1 / usr / share / doc / HOWTO / hr-html / Sigurnost-KAKO-8.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.11">
 <TITLE>Sigurnost Linuxa KAKO: Sigurnost mre¾e</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-2">
 <LINK HREF="Sigurnost-KAKO-9.html" REL=next>
 <LINK HREF="Sigurnost-KAKO-7.html" REL=previous>
 <LINK HREF="Sigurnost-KAKO.html#toc8" REL=contents>
</HEAD>
<BODY>
<A HREF="Sigurnost-KAKO-9.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-7.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc8">Sadr¾aj</A>
<HR>
<H1><A NAME="s8">8. Sigurnost mre¾e</A></H1>

<P>
<P>Sigurnost mre¾e postaje sve vi¹e va¾na jer ljudi na njoj provode sve vi¹e
vremena. Kompromitiranje sigurnosti mre¾e èesto je puno lak¹e nego
kompromitiranje lokalne ili fizièke sigurnosti, te puno èe¹æe.
<P>Ima vi¹e dobrih alata koji æe vam pomoæi u osiguravanju mre¾e, a sve vi¹e ih
se isporuèuje s Linux distribucijama.
<P>
<H2><A NAME="ss8.1">8.1 Sniferi paketa</A>
</H2>

<P>
<P>Jedan od najèe¹æih naèina na koji uljez dobiva pristup vi¹e raèunala na
va¹oj mre¾i je pokretanjem snifera paketa na veæ osvojenom raèunalu. Taj
"snifer" samo na Ethernet portu slu¹a stvari kao ¹to je "Password", "Login"
i "su" u toku paketa i zatim promet koji slijedi zapisuje. Na taj naèin
napadaè dobiva lozinke za sustave u koje nije ni poku¹ao provaliti. Lozinke
u èistom tekstu osobito su ranjive na takav napad.
<P>PRIMJER: raèunalo A je kompromitirano. Napadaè instalira snifer. Snifer
zapazi administratora koji se logira u raèunalo B s raèunala C. Dobiva
osobnu lozinku administratora dok se logira na B. Zatim administrator
pokreæe <CODE>su</CODE> da bi rije¹io neki problem. Sada napadaè ima lozinku za
raèunalo B. Napon toga administrator nekome dopu¹ta da se s njegovog raèuna
logira na raèunalo Z na nekoj drugoj mre¾i. Sada napadaè ima login/lozinku
za raèunalo Z.
<P>U dana¹nja vremena napadaè vi¹e ne mora ni kompromitirati raèunalo da bi to
izveo, mo¾e jednostavno donijeti i laptop ili PC u zgradu i prikvaèiti
se na va¹u mre¾u.
<P>Kori¹tenje ssh ili drugih metoda enkriptiranja lozinki onemoguæava ovaj
napad. Stvari kao ¹to je APOP za POP raèune takoðer ga spreèavaju. (Obièni
POP logini vrlo su ranjivi na njega, kao i sve ostalo ¹to preko veze ¹alje
èitljive lozinke.)
<P>
<H2><A NAME="ss8.2">8.2 Usluge sustava i tcp_wrapperi</A>
</H2>

<P>
<P>Èim svoj Linux sustav stavite na <EM>bilo koju</EM> mre¾u, prvo morate pogledati
koje usluge trebate ponuditi. Usluge koje ne morate nuditi treba iskljuèiti
tako da se brinete o jednoj stvari manje, a napadaèi imaju manje mjesta za
iskori¹tavanje rupa.
<P>Pod Linuxom ima vi¹e naèina za iskljuèivanje usluga. Mo¾ete pogledati svoju
/etc/inetd.conf datoteku i vidjeti koje usluge nudi inetd.
Iskljuèite one nepotrebne komentiranjem (stavite # na poèetku reda), a
zatim svom inetd procesu po¹aljite SIGHUP.
<P>Takoðer mo¾ete obrisati (ili zakomentirati) usluge u svojoj
/etc/services datoteci. To znaèi da lokalni klijenti takoðer
neæe moæi naæi uslugu (tj., ako maknete FTP i poku¹ate FTP-ati drugo
raèunalo sa svoga, dobit æete poruku "usluga nepoznata"). Obièno nema
potrebe brisati usluge jer time ne dobivate nikakvo dodatno osiguranje. Ako
lokalni korisnik ¾eli koristiti FTP èak i ako ste ga zakomentirali, mogu
samo reæi svom klijentu da koristi standardni FTP port i raditi potpuno
normalno.
<P>Neke od usluga koje æete ¾eljeti ostaviti su:
<UL>
<LI>FTP</LI>
<LI>telnet</LI>
<LI>mail, kao ¹to je POP3 ili IMAP</LI>
<LI>identd</LI>
<LI>time (vrijeme)</LI>
</UL>
<P>Ako znate da odreðeni paket uopæe neæete koristiti, mo¾ete ga i u potpunosti
obrisati. <CODE>rpm -e</CODE> na distribuciji Red Hat obrisat æe cijeli paket. Na
Debianu <CODE>dpkg</CODE> vjerojatno obavlja isti posao.
<P>Zatim, stvarno æete ¾eljeti iskljuèiti rsh/rlogin/rcp programe, kao i
pokretanje logina (koristi ga rlogin), shella (koristi ga rcp) i execa
(koristi ga rsh) u /etc/inetd.conf. Ti su protokoli iznimno
nesigurni i bili su uzrok mnogih rupa.
<P>Trebate provjeriti svoj <CODE>/etc/rc.d/rcB.d</CODE>, gdje je B run level
va¹eg sustava da vidite da li se u tom direktoriju pokreæu poslu¾itelji koji
nisu potrebni. Datoteke u <CODE>/etc/rc.d/rcB.d</CODE> zapravo su simbolièke
veze na direktorij /etc/rc.d/init.d. Ako preimenujete datoteku
u direktoriju <CODE>init.d</CODE>, prestat æe vrijediti sve simbolièke veze iz
<CODE>/etc/rc.d/rcB.d</CODE>. Ako ¾elite iskljuèiti uslugu samo za odreðeni
run level, odgovarajuæoj datoteci u ime stavite malo <CODE>s</CODE> umjesto
velikog <CODE>S</CODE>, kao ¹to je <CODE>S45dhcpd</CODE>.
<P>Ako imate rc datoteke u BSD stilu, programe koji vam nisu potrebni potra¾ite
u <CODE>/etc/rc*</CODE>.
<P>Veæina distribucija Linuxa isporuèuje se s tcp_wrapperi, koji
"zamataju" sve va¹e TCP usluge. inetd poziva tcp_wrapper (tcpd) umjesto
pravog poslu¾itelja. Zatim tcpd provjerava raèunalo koje zahtijeva uslugu i
poziva pravi poslu¾itelj ili odbija pristup tome raèunalu. tcpd vam
omoguæava ogranièavanje pristupa va¹im TCP uslugama. Trebali biste napraviti
/etc/hosts.allow i dodati samo ona raèunala kojima je potreban
pristup uslugama va¹eg stroja.
<P>Ako ste kuæni korisnik s modemskom vezom, predla¾emo vam odbijanje
pristupa svima. tcpd takoðer logira neuspje¹ne poku¹aje pristupa uslugama,
tako da saznate kad ste pod napadom. Ako dodate nove usluge, konfigurirajte
ih tako da za TCP koriste tcp_wrapper. Na primjer, obièni korisnik s
modemskom vezom mo¾e sprijeèiti spajanje drugih na njegov stroj zadr¾avajuæi
pritom moguænost skidanja po¹te i uspostavljanja veza na Internet. Ako
to ¾elite, mo¾ete dodati ove redove svojem /etc/hosts.allow:
<PRE>
ALL: 127
</PRE>
<P>I, naravno, /etc/hosts.deny bi ovako izgledao:
<PRE>
ALL: ALL
</PRE>

¹to æe sprijeèiti vanjska spajanja na va¹e raèunalo, ali ostaviti moguænost
unutarnjeg povezivanja na poslu¾itelje na Internetu.
<P>
<H2><A NAME="ss8.3">8.3 Provjerite svoje DNS-ove</A>
</H2>

<P>
<P>Odr¾avanje DNS informacija o svim strojevima na va¹oj mre¾i svje¾im mo¾e
pomoæi u poveæavanju sigurnosti. U sluèaju povezivanja neodobrenog stroja na
va¹u mre¾u lako æete ga prepoznati po nedostatku DNS zapisa. Mnoge se usluge
mogu konfigurirati da ne prihvaæaju veze s raèunala koje nemaju valjane DNS
zapise.
<P>
<H2><A NAME="ss8.4">8.4 identd</A>
</H2>

<P>
<P>identd je malen program koji obièno pokreæe inetd. On vodi raèuna o tome
koji korisnik koristi koju TCP uslugu, a zatim to prijavljuje onima koji to
tra¾e.
<P>Mnogi ljudi ne razumiju korisnost identda, pa ga iskljuèuju ili blokiraju
sve vanjske zahtijeve za njega. identd nije tu da pomogne udaljenim
raèunalima. Nema naèina na koji mo¾ete saznati da li su podaci koje ste
dobili od udaljenog identda toèni ili ne. U identd zahtjevima nema
autentifikacije.
<P>Za¹to bi ga onda pokrenuli? Jer poma¾e <EM>vama</EM> i jo¹ je jedna ispomoæ u
praæenju. Ako va¹ identd nije kompromitiran, onda znate da udaljenim
raèunalima govori korisnièko ime ili UID ljudi koji koriste TCP usluge. Ako
se administrator udaljenog stroja obrati vama i ka¾e da je taj i taj
korisnik poku¹avao upasti na njihov stroj, lako mo¾ete poduzeti mjere protiv
tog korisnika. Ako nemate identd, morat æete proæi kroz puno puno logova,
saznati tko je bio logiran u to vrijeme, te opæenito izgubiti puno vi¹e
vremena za pronala¾enje korisnika.
<P>identd koji se isporuèuje s veæinom distribucija konfigurabilniji je nego
¹to mnogi misle. Za odreðene korisnike ga mo¾ete ugasiti (mogu napraviti
datoteku <CODE>.noidentd</CODE>), mo¾ete bilje¾iti sve identd zahtjeve (preporuèam),
èak ga mo¾ete natjerati da vrati UID umjesto korisnièkog imena, ili èak
NO-USER.
<P>
<H2><A NAME="ss8.5">8.5 SATAN, ISS i drugi mre¾ni skeneri</A>
</H2>

<P>
<P>Postoji vi¹e raznih softverskih paketa za skeniranje strojeva i mre¾a na
osnovu portova i usluga. SATAN i ISS dva su poznatija. Oni se pove¾u s
ciljnim raèunalom (ili svim takvim na mre¾i) na svim moguæim portovima,
poku¹avajuæi saznati koje se tamo nude usluge. Na osnovu tih informacija
mo¾ete naæi raèunalo ranjivo na odreðenu rupu na poslu¾itelju.
<P>SATAN (<B>S</B>ecurity <B>A</B>dministrator's <B>T</B>ool for <B>A</B>nalyzing
<B>N</B>etworks -- alat sigurnosnog administratora za analizu mre¾a) je port
skener s WWW suèeljem. Mo¾e se konfigurirati za laganu, srednju ili
temeljitu provjeru na raèunalu ili mre¾i raèunala. Pametno je nabaviti SATAN
i skenirati svoje raèunalo ili mre¾u i popraviti pronaðene probleme. Budite
sigurni da ste SATAN dobili sa <CODE>sunsitea</CODE> ili uglednog FTP ili WWW
poslu¾itelja. Preko mre¾e se distribuirala trojanska kopija SATAN-a. 
<A HREF="http://www.trouble.org/~zen/satan/satan.html">http://www.trouble.org/~zen/satan/satan.html</A><P>ISS (<B>I</B>nternet <B>S</B>ecurity <B>S</B>canner) je jo¹ jedan port skener.
Br¾i je od SATAN-a i zbog toga bolji za veæe mre¾e. Meðutim, SATAN pru¾a
vi¹e detalja.
<P>Abacus-Sentry je komercijalni port skener s <CODE>www.psionic.com</CODE>. Pogledajte
njegovu WWW stranicu za vi¹e informacija: 
<A HREF="http://www.psionic.com">http://www.psionic.com</A>.
<P>
<DL>
<DT><B>Otkrivanje port skenera</B><DD><P>Postoje neki alati koji æe vas uzbuniti tokom testiranja SATAN-om, ISS-om
ili drugim programima za skeniranje. No, slobodno kori¹tenje
tcp_wrappera i redovito provjeravanje logova dat æe isti rezultat. Èak
i pri najslabijoj jaèini SATAN ostavlja tragove u log datotekama na
standardnom Red Hat sustavu.
</DL>
<P>
<H2><A NAME="ss8.6">8.6 sendmail, qmail i MTA-ovi</A>
</H2>

<P>
<P>Jedna od najva¾nijih usluga koju mo¾ete ponuditi je poslu¾itelj po¹te.
Na¾alost, to je i jedna od najranjivijih, zbog broja zadataka koje obavlja i
privilegija koje obièno treba.
<P>Ako koristite sendmail, vrlo je va¾no odr¾avati verziju svje¾om. sendmail
ima dugu, dugu povijest sigurnosnih rupa. Uvijek budite sigurni da imate
najnoviju verziju. 
<A HREF="http://www.sendmail.org/">http://www.sendmail.org/</A><P>Ako vam je dosta nadograðivanja sendmaila svaki tjedan, mo¾ete se prebaciti
na qmail. qmail je ispoèetka oblikovan s pa¾njom na sigurnost. Brz je, stabilan i
siguran. 
<A HREF="http://www.qmail.org">http://www.qmail.org</A><P>
<H2><A NAME="ss8.7">8.7 Denial of Service (poricanje usluga) napadi</A>
</H2>

<P>
<P>Kod Denial of Service napada napadaè poku¹ava neki resurs zauzeti
toliko da on nije u stanju odgovarati na dobre zahtjeve, odnosno uskratiti
dobrim korisnicima pristup va¹em stroju.
<P>Broj takvih napada u zadnjih je nekoliko godina vrlo porastao. Neki od
najpopularnijih i najnovijih navedeni su dolje. Meðutim, novi se stalno
pojavljuju, pa je ovo samo nekoliko primjera. Za svje¾ije informacije èitajte
Linux liste o sigurnosti i bugtraq listu i arhive.
<P>
<DL>
<DT><B>SYN flooding</B><DD><P>SYN flooding (SYN "poplava") je mre¾ni DoS napad. Iskori¹tava "kru¾enje"
u naèinu na koji se stvaraju TCP veze. Noviji Linux kerneli (2.0.30
i vi¹e) imaju nekoliko konfigurabilnih opcija za spreèavanje SYN flood
napada koji ljudima onemoguæavaju pristup va¹em raèunalu ili uslugama.
Za pravilnu za¹titu u kernelu pogledajte dio o sigurnosti kernela.
<P>
<DT><B>Pentium F00F gre¹ka</B><DD><P>Nedavno je otkriveno da niz asembliranih naredbi poslan pravom Intel Pentium
procesuru resetira raèunalo. To vrijedi za svaki stroj s Pentium procesorom
(ne klonovima, niti Pentiumom Pro ili PII), bez obzira na koji operacijski
sustav koristi. Linux kernel 2.0.32 i bolji sadr¾e zaobilaznicu za ovu
gre¹ku koja spreèava ru¹enje raèunala. Kernel 2.0.33 ima bolju verziju
rje¹enja i preporuèa se prije 2.0.32. Ako radite na Pentiumu, odmah se
nadogradite!
<P>
<DT><B>Ping flooding</B><DD><P>Ping flooding je jednostavan DoS napad grubom silom. Napadaè va¹em raèunalu
¹alje "poplavu" ICMP paketa. Ako to rade s raèunala s boljom propusno¹æu
mre¾e od va¹eg, va¹e neæe moæi poslati ni¹ta na mre¾u. Varijacija ovog
napada, zvana <B>smurfing</B> va¹em stroju ¹alje ICMP pakete s povratnom
adresom <EM>va¹eg</EM> stroja, tako ih je te¾e otkriti. Vi¹e informacija o
smurf napadu mo¾ete naæi na 
<A HREF="http://www.quadrunner.com/~chuegen/smurf.txt">http://www.quadrunner.com/~chuegen/smurf.txt</A>.
<P>Ako ikada budete pod ping flood napadom, koristite alat kao ¹to je
tcpdump kako bi otkrili odakle paketi dolaze (ili se èini da dolaze), a
zatim s tim informacijama kontaktirajte svog ISP-a. Ping floodovi
najlak¹e se zaustavljaju na razini rutera ili kori¹tenjem firewalla.
<P>
<DT><B>Ping o' Death</B><DD><P>Ping o' Death napad rezultat je dolazeæih <B>ICMP ECHO REQUEST</B> paketa
veæih od onog ¹to mo¾e podnijeti kernel struktura za pohranjivanje tih
podataka. Zbog toga ¹to slanje jednog velikog (65 510 bajtova) ping paketa
mnogim sustavima uzrokuje njihovo ru¹enje ovaj je problem ubrzo rje¹en i
vi¹e se o njemu ne treba brinuti.
<P>
<DT><B>Teardrop/New Tear</B><DD><P>Jedan od najnovijih napada koji iskori¹tava gre¹ku u kodu za IP
fragmentaciju na Linuxu i Windowsima. Rje¹en je u verziji kernela 2.0.33 i
ne zahtijeva odabiranje bilo koje opcije pri kompajliranju kernela. Èini se
da Linux nije ranjiv na newtear napad.
</DL>
<P>Veæinu koda koji iskori¹tava rupe i detaljnije informacije kako rade mo¾ete
naæi na 
<A HREF="http://www.rootshell.com">http://www.rootshell.com</A> kori¹tenjem pretra¾ivanja.
<P>
<H2><A NAME="ss8.8">8.8 Sigurnost NFS-a</A>
</H2>

<P>
<P>NFS (<B>N</B>etwork <B>F</B>ile <B>S</B>ystem -- mre¾ni datoteèni sustav) je vrlo
rasprostranjen protokol za dijeljenje datoteka. Omoguæava poslu¾iteljima
na kojima radi nfsd i mountd da "izvoze" cijele datoteène sustave drugim
strojevima koji imaju podr¹ku za NFS u svojim kernelima (ili drukèiju
podr¹ku ako to nisu Linuxi). mountd vodi raèune o montiranim datoteènim
sustavima u /etc/mtab i mo¾e ih pokazati preko naredbe
<CODE>showmount</CODE>.
<P>Mnogi sustavi koriste NFS za poslu¾ivanje home direktorija korisnicima,
tako da nije va¾no s kojeg se stroja u tom dijelu logiraju jer æe uvijek
imati svoje datoteke.
<P>U izvo¾enju datoteènih sustava moguæ je manji stupanj "sigurnosti". Mo¾ete
natjerati nfsd da mapira vanjskog root korisnika (UID=0) na nobody
(nitko) korisnika, onemoguæavajuæi im potpun pristup datotekama koje se
izvoze. Meðutim, po¹to pojedini korisnici imaju svoj pristup (ili barem isti
UID) datotekama, udaljeni se nadkorisnik mo¾e logirati ili su-ati na
njihov raèun i imati potpun pristup datotekama. To je samo mala smetnja
napadaèu koji ima pristup montiranju va¹ih udaljenih datoteènih sustava.
<P>Ako ba¹ morate koristiti NFS, provjerite da li izvozite samo onim strojevima
kojima je to nu¾no. Nikad ne izvozite cijeli svoj root direktorij,
izvozite samo potrebne direktorije.
<P>Za vi¹e informacija o NFS-u proèitajte <B>NFS HOWTO</B>: 
<A HREF="http://sunsite.unc.edu/mdw/HOWTO/NFS-HOWTO.html">http://sunsite.unc.edu/mdw/HOWTO/NFS-HOWTO.html</A>.
<P>
<H2><A NAME="ss8.9">8.9 NIS (biv¹i YP)</A>
</H2>

<P>
<P>NIS (<B>N</B>etwork <B>I</B>nformation <B>S</B>ervices -- mre¾na informativna
usluga, biv¹i YP) je sredstvo distribuiranja informacija skupini raèunala.
NIS master sadr¾i informacijske tabele koje pretvara u NIS map
datoteke. Te se mape onda nude preko mre¾e omoguæavajuæi NIS klijent
strojevima dobivanje informacija o loginu, lozinki, home direktoriju i
ljusci (sve informacije iz standardnog /etc/passwd). To
korisnicima omoguæava mijenjanje lozinke jednom, koje zahvaæa sve stroje u
NIS domeni.
<P>NIS uopæe nije siguran. To nikad nije ni trebao biti. Trebao je biti
jednostavan i koristan. Svatko tko mo¾e pogoditi ime va¹e NIS domene (bilo
gdje na mre¾i) mo¾e dobiti primjerak va¹e <CODE>passwd</CODE> datoteke i koristiti
Crack i John the Ripper na lozinkama va¹ih korisnika. Moguæe je i
prislu¹kivanje NIS-a i mnoge vrste prljavih trikova. Ako morate koristiti
NIS, budite barem svjesni opasnosti.
<P>Postoji puno sigurnija zamjena za NIS, NIS+. Za vi¹e informacija pogledajte
<B>NIS HOWTO</B>: 
<A HREF="http://sunsite.unc.edu/mdw/HOWTO/NIS-HOWTO.html">http://sunsite.unc.edu/mdw/HOWTO/NIS-HOWTO.html</A>.
<P>
<H2><A NAME="ss8.10">8.10 Firewallovi</A>
</H2>

<P>
<P>Firewallovi su sredstvo ogranièavanja protoka informacija u i iz va¹e
lokalne mre¾e. Obièno je firewall stroj spojen i na Internet i na va¹
LAN, tako da se Internetu iz va¹eg LAN-a mo¾e pristupiti samo kroz njega. Na
taj naèin firewall kontrolira ¹to prolazi vezom izmeðu Interneta i
va¹eg LAN-a.
<P>Postoji vi¹e vrsta i naèina postavljanja firewalla. Linux strojevi
prilièno su dobri i jeftini firewallovi. Kod za firewall mo¾e se
ugraditi ravno u 2.0 i bolje kernele. ipfwadm, alat u korisnièkom prostoru,
omoguæava vam mijenjanje u letu tipova mre¾nog prometa koje propu¹tate.
Odreðene vrste mre¾nog prometa mo¾ete i logirati.
<P>Firewallovi su vrlo korisna i va¾na tehnika osiguravanja va¹e mre¾e.
Va¾no je da shvatite kako nikad ne smijete misliti da, samo zato ¹to imate
firewall, ne trebate sigurne strojeve iza njega. To je smrtna gre¹ka.
Pogledajte vrlo dobar <B>Firewall HOWTO</B> na svojoj najsvje¾ijoj
<CODE>sunsite</CODE> arhivi za vi¹e informacija o firewallima pod Linuxom. 
<A HREF="http://sunsite.unc.edu/mdw/HOWTO/Firewall-HOWTO.html">http://sunsite.unc.edu/mdw/HOWTO/Firewall-HOWTO.html</A><P>Vi¹e informacija takoðer se mo¾e naæi u <B>IP-Masquerade mini-HOWTO</B>: 
<A HREF="http://sunsite.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html">http://sunsite.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html</A>-
<P>Vi¹e informacija o ipfwadmu (alatu kojim mo¾ete mijenjati opcije svog
firewalla) mo¾e se naæi na njegovoj WWW stranici: 
<A HREF="http://www.xos.nl/linux/ipfwadm/">http://www.xos.nl/linux/ipfwadm/</A>.
<P>
<HR>
<A HREF="Sigurnost-KAKO-9.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-7.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc8">Sadr¾aj</A>
</BODY>
</HTML>