Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #42, МАЙ 2004 г.

Проруби окно в Европу!

Vint (vint@crazy.ru)

Спецвыпуск Xakep, номер #042, стр. 042-078-2


У биллинг-систем эти недостатки проявляются намного меньше. Так, учет может вестись по всем протоколам и портам, они не тормозят сервер при интенсивной работе юзеров в интернете, да и возможностей у них побольше.

Firewall

Избитая тема: установка файрвола на сервак. Не верь тем, кто говорит, что iptables будет только грузить машину и от реальных атак не спасет. Спасет и еще как. Да и не только от атак, но и от ненужных поползновений юзеров в сети.

Определимся сначала с теорией фильтрации пакетов. Я считаю, что сервер всегда должен отвечать на запросы по ICMP протоколу (пинги), а если ты следишь за безопасностью, то знаешь, что никакой “ping of death” серверу не страшен. А вот польза от разрешения ответов на пинг запросов состоит в том, что ты всегда сможешь контролировать состояние сервера. Можно даже посоветовать использовать специальные скрипты, которые в случае прекращений сервером ответов на пинги отсылают тебе рапорт на мобилу.

Для правильной работы Apache необходимо разрешить 80 порт, если ты его закроешь, то сайт будет недоступен из интернета. Из соображений безопасности своевременно обновляй Apache и грамотно разбей винт сервера. Аналогичная политика необходима для 110 порта. Это стандартное место для POP3 демона. Если ты хочешь, чтобы пользователи могли получать свою почту из любого места земного шара, то открывай его полностью, как 80 порт, а если только из локалки - читай пример FTP фильтрования. Нужно разрешить пользователям локальной сети использовать 443 порт (SSL соединение). Еще один стандартный порт - 21. За ним стоит демон FTP сервера. Если у тебя настроен FTP доступ, то этот порт на сервере открыт как для локальной сети, так и для интернета. Но нас такое положение не устраивает со стороны защищенности сервера - фтп доступ для пользователей из интернета нам совершенно не нужен. Закрывать 21 порт наглухо нельзя - локальным пользователям необходим FTP сервер. Поэтому с помощью вот такой команды:

iptables –I input –i eth1 –p tcp –dport 21 –j drop

уберем доступ со всех IP, не принадлежащих к твоей сети. Вопрос с 21 портом решен. Аналогично необходимо разделить 137, 138, 139 порты. Они отвечают за работу сетевого окружения в виндах, и именно их слушает серверная самба. Локальным пользователям эти порты должны быть доступны, а инет-общественности - нет. Делается это так же:

iptables –I input –i eth1 –p tcp –dport 137 –j drop

iptables –I input –i eth1 –p tcp –dport 138 –j drop

Назад на стр. 042-078-1  Содержание  Вперед на стр. 042-078-3