FAQ

Vint (vint@crazy.ru)

Спецвыпуск Xakep, номер #042, стр. 042-098-4

Q: Файрвольные проблемы?

A: Как я уже сказал, файрвольная защита для сервера обязательна. Настроив один раз фильтрацию пакетов, ты обезопасишь себя на многие месяцы. После установки и настройки всех необходимых серверов просканируй свой сервер на наличие открытых портов, как по TCP, так и по UDP протоколу. Советую использовать nmap сканер (включается в подавляющее большинство дистрибутивов Линукса). Дальше определись с политикой для внешней сети. Настоятельно рекомендую закрыть 21 порт (FTP демон), 111 порт (вызов RPC процедур; если ты не часть кластера, тебе этот сервер только вреден), 137-139 порты (стандартные порты Samba; никогда не разрешай их для доступа из интернета – слишком часто в самбе находятся дыры, дающие удаленный шелл рута), 443 порт (SSL-соединения; если используешь обычный веб-сервер и нет необходимости в криптованных соединениях, смело закрывай), 6000 порт (X-сервер; пользы никакой, лучше закрыть), 10000 порт (демон Webmin'a; не советую держать такое средство управления доступным из Internet'a, с его помощью можно сделать с твоим сервером все).

Q: Нужен ли FTP для внешней сети?

A: ИМХО, не стоит давать фтп-доступ для внешних IP-адресов. По крайней мере, пока ты просто провайдер местного масштаба, а не глобальный хостер. Объяснение такой позиции можно сформулировать так: чем меньше сервисов работает на внешнюю сеть, тем меньше возможностей у взломщика получить рут-шел. Я просто не вижу необходимости давать возможность инет-общественности хранить у тебя на серваке файлы неизвестного происхождения и назначения. Такая политика уместна для интернета, но не для локальных пользователей. Не советую оставлять открытыми сервисы, дыр и в sendmail'e хватает. Просто запрети и спи спокойно. Но это не относится к хостерам, им фтп-доступ обязателен для поддержки сайтов.

Q: Как бороться с эпидемией вирусов в локалке?

A: Слишком часто стали появляться критические дыры в защите виндов, используемые сетевыми вирусами-червями. Наглядные примеры: lovesan и mydoom. Они оба распространяются с огромной скоростью и заражают всех и вся. И после этого в сети начинаются большие проблемы: постоянно зависают компьютеры пользователей, генерируется огромное количество трафика, вызванного вирусной активностью. Отловить начало эпидемии в своей локалке можно, просматривая логи файрвола. Если за день по 50 и более запросов на соединение идут с разных IP-адресов, но на один порт, тогда твоя сеть в опасности. Так было с lovesan'ом, там постоянно шли пакеты-запросы на 135 и 4444 порт. После того как ты обнаружил, что в сети началась эпидемия, срочно делай следующее: иди на сайт антивирусных компаний (www.drweb.ru или www.kav.ru) и качай утилитки для удаления виря или качай весь антивирусник с последними базами. После этого на главной странице корпоративного сайта вешай огромное объявление об опасном вирусе и о способе его лечения, выкладывай антивирус и патчи от Майкрософт на локальный сервер. Частично предотвратить атаку вирусов на локалку поможет демон DR.Web'a, поставленный на проверку входящей почты.