Защити свою локалку

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #042, стр. 042-088-4

4. Ставь только проверенные демоны. Не устанавливай дырявые и малоизвестные сервисы, ставящие под угрозу всю сеть. Это только притягивает хакеров. Перед тем как установить что-либо новое, пройдись по багтраку, обойди форумы на OpenNet’е и, если не найдешь ничего компрометирующего, втыкай программу на сервак. И не спускай с демона глаз в течение определенного времени: бдительность никогда не бывает лишней :).

5. Постоянно изучай логи. Особенно это касается стратегических серверов (к примеру, биллинг или главный маршрутизатор). Если тебя пытаются поломать, то рано или поздно поломают. Если в лом читать километры текстовой информации, поставь хороший парсер. В инете их полно.

6. Регулярно проверяй контрольную сумму твоих бинарных файлов. А еще лучше поручи это какой-нибудь популярной IDS. Сверить MD5 ручками можно командой rpm –-verify. Обязательно храни при себе дискету (либо болванку) с бинарниками ls, find, ps, w, netstat, lsof, ifconfig и т.п. В случае малейшего подозрения на взлом запусти файлы и проверь, все ли в порядке. Немного внимания никогда не повредит.

Чтобы удостовериться в том, что адаптеры твоего маршрутизатора находятся в обычном режиме, выполни ifconfig и обрати внимание не отсутствие флага PROMISC в свойствах. Если этот флаг присутствует, то на сервере стоит умная IDS, либо тебя успешно порутали.

Туннель как средство для халявного инета

Очень часто пользователь ищет обходной путь для получения халявы. Один из таких методов - туннелирование трафика. Заключается в создании трехстороннего соединения. Например, хакер Петя сломал машину честного клиента Васи и залил туда WinProxy (популярный прокси под форточки). Затем натравил своего ослика на варезный сайт и стал сливать все файлы через похаканный комп. Исход плачевен: Вася лишается нескольких сотен метров трафика, а Петя продолжает скачивать варез. Самое обидное, что пока взломщик не обнаглеет, на Петю будут списывать весь потерянный трафик. Во всяком случае, админы выясняют причину лишь при больших потерях данных.

Другие виды туннелирования (как правило, инкапсуляция протоколов) применяются в диалапных сетях. В Ethernet-локалках учитывается трафик по всем протоколам (правда, бывает, что DNS-запросы не тарифицируются), поэтому извращаться с туннелем нет необходимости. Однако диалапщики-умельцы лезут на гостевой логин любимого провайдера и, используя nstx, мутят полноценный DNS-туннель (через виртуальный девайс ethertap). При излишней сетевой активности такие махинации легко можно пресечь и найти злоумышленника. Однако ни один провайдер за туннелирование не наказывает, считая это нормальным явлением :).

Спам в локальных сетях

Еще одним нарушением в локальных сетях является организация спам-рассылок. Всем известно, что каждому клиенту выдается бесплатный почтовый ящик с использованием SMTP-сервера. Спамер, решивший, что он всех умнее, может заюзать эту услугу в своих грязных целях. Для этого он будет использовать услугу SMTP через свой либо сторонний компьютер. Грамотный администратор быстро вычислит такую махинацию. Способов вычисления много: можно включить авторизацию на SMTP, тогда имя хакера будет видно в логах почтового демона. Если такой метод неприемлем, просто изучай логи сервака на предмет подозрительных исходящих сообщений. Либо жестко ограничь трафик на 25 порту. Или поставь время очереди 15 минут и оповести об этом пользователей. Такие коренные методы защиты заставят злоумышленника обходить стороной твой SMTP :).