[ Pobierz całość w formacie PDF ]

nikczemnych celów. Z kolei celem jeszcze innych mogą być dane finansowe lub szan-
taż. Poniżej przedstawiono trzy główne kategorie ataków:
Rozdział 6. Bezpieczeństwo systemu Linux 263
Odmowa usługi (DOS, ang. Denial of Service)  najłatwiejszym atakiem
do przeprowadzenia jest DOS, czyli odmowa usługi. Podstawowym celem tego
rodzaju ataku jest zakłócenie działalności zdalnej witryny poprzez przeciążenie
jej nieistotnymi danymi. Ataki typu DOS mogą po prostu polegać na wysyłaniu
w ciągu sekundy tysięcy żądań dostępu do strony. Taki rodzaj ataku jest bardzo
łatwy do przeprowadzenia, ale również łatwo można się przed nim chronić.
Po ustaleniu zródła ataku sprawę powinien rozwiązać zwykły telefon do ISP
atakujÄ…cego.
Rozproszony atak DOS (ang. Distributed Denial of Service)  bardziej
zaawansowane ataki DOS sÄ… nazywane rozproszonymi atakami typu DOS.
Ataki typu DDOS są trudniejsze do przeprowadzenia i niemal niemożliwe
do zatrzymania. W tej formie ataku atakujÄ…cy przejmuje kontrolÄ™ nad setkami
lub nawet tysiącami słabo zabezpieczonych komputerów. Następnie atakujący
wykorzystuje je do wysyłania nieistotnych danych do pojedynczego węzła
internetowego. Wynikiem takiego działania jest to, że siła pojedynczego atakującego
zostaje zwielokrotniona tysiÄ…ce razy. Zamiast ataku tylko z jednego kierunku,
jak ma to miejsce w przypadku ataków DOS, atak nachodzi z tysięcy miejsc.
Najlepszą ochroną przed atakiem DDOS jest kontakt z własnym ISP i próba
dowiedzenia się, czy ISP może filtrować ruch na swoich routerach brzegowych.
Wiele osób, które nie przywiązują większej wagi do kwestii bezpieczeństwa,
używa wymówki  nie mam niczego na komputerze, co mogłoby zainteresować
atakującego . Problem jednak w tym, że atakujący ma dużo powodów,
aby wykorzystać komputer takiego użytkownika. Atakujący może zmienić
taki komputer w agenta, który pózniej będzie użyty podczas ataku DDOS.
Niejednokrotnie zdarzało się już, że organy ścigania pojawiały się u użytkownika
tak przejętego komputera i zadawały pytania dotyczące zagrożeń przez niego
powodowanych. Poprzez ignorowanie kwestii bezpieczeństwa użytkownicy
narażają się na dużą odpowiedzialność.
Atak intruza  zdalne wykorzystanie zasobów atakowanego komputera. Atakujący
musi wcześniej znalezć lukę, którą może wykorzystać. Bez informacji, takich jak
hasła bądz zaszyfrowane klucze, atakujący musi skanować atakowany komputer
i przekonać się, jakie usługi oferuje. Istnieje pewne prawdopodobieństwo, że jedna
z dostępnych usług jest słabo zabezpieczona i atakujący może wykorzystać jej znane
słabości do własnych celów.
Za najlepsze narzędzie do skanowania węzła pod kątem dostępnych usług uważa się
nmap (warto zwrócić uwagę, że narzędzia nmap można użyć zarówno w dobrych,
jak i złych celach). Kiedy atakujący zdobędzie listę usług działających na komputerze
ofiary, musi znalezć sposób wykorzystania jednej z nich do uzyskania uprawnień
dostępu do systemu. Zwykle ten etap jest przeprowadzany za pomocą programu
nazywanego exploit.
Podczas gdy ataki typu DOS są destrukcyjne, ataki intruzów przynoszą jeszcze więcej
szkód. Powody tego są różne, ale wyniki zawsze takie same. Nieproszony gość wpro-
wadza się do komputera i używa go w sposób, nad którym właściciel nie ma żadnej
kontroli.
264 Część II Linux w praktyce
Ochrona przed atakami typu DOS
Jak wyjaśniono wcześniej, ataki typu DOS próbują złamać komputer lub przynajmniej
obniżyć jego wydajność do zupełnie niewystarczającego poziomu. Istnieje kilka róż-
nych sposobów użycia tego typu ataków. Często spotykanym działaniem jest próba
przeciążenia zasobów systemu, takich jak ilość wolnej przestrzeni, lub połączenia z inter-
netem. W podrozdziale zostaną zaprezentowane niektóre często spotykane rodzaje ataków
oraz sposoby obrony przed nimi.
Mailbombing
Termin mailbombing oznacza masowe wysyłanie wiadomości e-mail do określonego użyt-
kownika lub systemu aż do zapełnienia wolnej przestrzeni. Istnieje kilka sposobów obrony
przed takim atakiem. Jednym z nich jest użycie narzędzia filtrującego pocztę elektro-
niczną o nazwie Procmail. Jeśli używanym agentem transportu poczty jest sendmail,
można skonfigurować demona sendmail.
Blokowanie poczty za pomocÄ… Procmail
Narzędzie filtrowania poczty elektronicznej Procmail jest instalowane domyślnie w sys-
temach Fedora, RHEL oraz kilku innych dystrybucjach. Procmail jest ściśle zintegrowany
z demonem sendmail, dlatego też może być używany do selektywnego blokowania lub
filtrowania określonego rodzaju poczty elektronicznej. Więcej informacji na temat narzę-
dzia Procmail znajduje siÄ™ na witrynie http://www.procmail.org.
W celu włączenia narzędzia Procmail dla danego konta użytkownika należy w jego kata-
logu domowym utworzyć plik .procmailrc. Ten plik powinien mieć uprawnienia 0600
(czyli do odczytu tylko przez użytkownika i nikogo więcej). Następnie należy wpisać
podane poniżej wiersze, zastępując słowo  evilmailer rzeczywistym adresem e-mail, za
którym kryje się atakujący:
# Usunięcie poczty elektronicznej od evilmailer.
:0
* ^From.*evilmailer
/dev/null
Reguła narzędzia Procmail powoduje wyszukanie wiersza From na początku każdej wia-
domości e-mail i sprawdzenie, czy zawiera ciąg tekstowy evilmailer. Jeżeli ten ciąg tek-
stowy zostanie znaleziony, wiadomość jest wysyłana do urządzenia /dev/null (czyli narzę-
dzie efektywnie pozbywa siÄ™ jej).
Blokowanie poczty za pomocÄ… sendmail
Narzędzie Procmail sprawuje się całkiem dobrze, gdy tylko jeden użytkownik jest atako-
wany poprzez mailbombing. Jeśli jednak ofiarą tego typu ataku pada większa liczba użyt-
kowników, prawdopodobnie należy skonfigurować demona sendmail tak, aby blokował
całą pocztę pochodzącą od atakującego. Wspomniana konfiguracja polega na umiesz-
czeniu adresu atakujÄ…cego lub nazwy systemu w pliku access znajdujÄ…cym siÄ™ w katalogu
/etc/mail.
Rozdział 6. Bezpieczeństwo systemu Linux 265
Każdy wiersz pliku access składa się z adresu e-mail, nazwy węzła, domeny lub adresu
IP, a następnie znaku tabulatora, po którym znajduje się słowo kluczowe określające
podejmowane działanie, gdy osoba wskazana w wierszu będzie przysyłała wiadomość.
Możliwymi do zastosowania słowami kluczowymi są OK, RELAY, REJECT, DISCARD oraz
ERROR. Użycie słowa kluczowego REJECT spowoduje odrzucenie wiadomości od nadawcy
i wygenerowanie komunikatu błędu. Słowo kluczowe DISCARD spowoduje ciche pozbycie
się wiadomości bez generowania dla nadawcy komunikatu błędu. Użytkownik może nawet
zwrócić własny komunikat błędu, wykorzystując słowo kluczowe ERROR.
Plik /etc/mail/access może przedstawiać się następująco:
# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY
#
# Senders we want to Block
#
evilmailer@yahoo.com REJECT
stimpy.glaci.com REJECT
cyberpromo.com DISCARD
199.170.176.99 ERROR:"550 Die Spammer Scum!"
199.170.177 ERROR:"550 Email Refused"
Jak w przypadku większości plików konfiguracyjnych systemu Linux, wiersze rozpoczy-
najÄ…ce siÄ™ od znaku # sÄ… komentarzem. W zaprezentowanym pliku lista zablokowanych
spamerów znajduje się na końcu. Warto zwrócić uwagę, że blokowane może odbywać się
poprzez podanie pełnego adresu e-mail, pełnej nazwy węzła, samej domeny, adresu IP
lub podsieci.
W celu zablokowania określonego adresu e-mail lub węzła, z którego pochodzi atak, należy
zalogować się do systemu jako użytkownik root, przeprowadzić edycję pliku /etc/mail/
access i dodać wiersz wraz ze słowem kluczowym DISCARD i adresem atakującego. [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • apsys.pev.pl

    • © 2016 Kochać oznacza być dobrym dla drugiej osoby i nie oczekiwać nic w zamian.. Design: spyka Webmaster | Free Web Templates