Защити свою локалку

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #042, стр. 042-088-3

Ахтунг! Это чужой!

Можно предположить вторжение в сеть и совершенно чужого человека. То есть злоумышленник находит хаб в своем щитке (туда провайдеры любят устанавливать свое оборудование), коннектит свой Jack в свободный порт, затем снифит реквизиты пользователя и присваивает их себе. Несмотря на кажущуюся сложность, такие прецеденты бывают достаточно часто. Выясняется такое вторжение, как правило, после обращения пользователя в офис с вопросом "откуда взялись 500 метров входящего трафика за одну ночь?". Следствие показывает местонахождение злоумышленника, которого быстро сдают в милицию (или другие органы).

RPC-напасти

Возможно, тебе придется столкнуться с взломами Win2k серверов. Если ты не держишь винду в качестве маршрутизаторов, это не значит, что проблема миновала твою сеть. Твои клиенты могут быть ламерами и выпустить в сеть непропатченную XP'шку с бажными RPC-функциями. В итоге любой человек может порулить бажным компьютером :). А если это локальный юзверь, то и выкачать пару сотен метров инета, а затем слить варез себе (трафик по сегменту халявный).

Это все реальные факты, с которыми сталкивались многие провайдеры. Причем, после этого трудно будет определить, кто прав, а кто виноват. Несмотря на то, что машина поломана, качали именно с этой рабочей станции, что, по сути, не в пользу честного клиента. Но некоторые админы идут навстречу юзерам и закрывают файрволом 135 и 139 порты. После этого нельзя взломать машину RPC-эксплойтом. Либо провайдер устанавливает NIS, либо настраивает персональный файрвол пользователю (по желанию и за определенную сумму). После этих нехитрых действий RPC-атаки не страшны.

Взлом провайдерских серверов

Существуют случаи, по сравнению с которыми предыдущие нарушения кажутся детскими шалостями. Я говорю про взлом программного обеспечения самого провайдера (через различные дыры). Такие взломы целиком и полностью зависят от компетентности администратора. Существует ряд рекомендаций начинающему администратору:

1. Жестко отфильтровывай доступ к управляющим сервисам как извне, так и внутри. Не думай, что умные хакеры появляются только извне, внутри сети встречаются матерые взломщики. Некоторые администраторы перекрывают кислород даже на канальном уровне – разрешают доступ к серверу только определенному VLAN’у (виртуальной сети).

2. Разграничивай ресурсы сети. Не устанавливай все сервисы на одной машине. Определи один комп под игровой сервер, где будут крутиться различные ультимные шарды, халфлайфовые и варкрафтовые демоны и т.п. Затем поставь MAIL-сервер и WWW+FTP-машину. Упаси боже установить дырявый CS-сервак на биллинг провайдера :). Только при грамотном распределении твоя сеть будет защищена от цепких лап хакеров.

3. Используй SSH-ключи только с паролем. Часто администратор создает SSH-ключ для коннекта, к примеру, на сервер статистики. Приватный ключик он разбрасывает по всем остальным серверам сетки: FTP, GAME, MAIL и т.д. При этом предыдущий совет теряет смысл: если хакер получил рута на игровой машине, он легко порутает и биллинг.