Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00524 012662 11057562 na godz. na dobę w sumie
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty - książka
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty - książka
Autor: , , Liczba stron: 464
Wydawca: Helion Język publikacji: polski
ISBN: 83-7361-209-2 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> bezpieczeństwo sieci
Porównaj ceny (książka, ebook, audiobook).

Chroń swoją sieć przed intruzami

Książka 'Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty' to kompletne kompendium wiedzy na temat zabezpieczania sieci komputerowych. Autorzy skoncentrowali się na omówieniu jednego z najważniejszych elementów, stosowanych z myślą o bezpieczeństwie: firewalla, przekazując wiele cennych wskazówek na temat jego konfiguracji. Znajdziesz tu jednak nie tylko informację o zaporach sieciowych, ale także spojrzenie na bezpieczeństwo sieci z szerszej perspektywy. Poznasz najważniejsze techniki ataku i programy stosowane przez włamywaczy; prześledzisz kolejne kroki, które podejmowali hakerzy, by uzyskać dostęp do chronionych danych. A co najważniejsze, nauczysz się lokalizować zagrożenia i zapobiegać im. Jeśli jesteś odpowiedzialny za bezpieczeństwo sieci, nie obędziesz się bez tej książki. Jej przystępny język sprawi, że z zaciekawieniem przeczytają ją także wszyscy zainteresowani najnowszymi technikami hakerskimi, a także osoby, które chcą pogłębić swoją wiedzę na temat Internetu.

Bezpieczeństwo w Internecie jest ostatnio modnym tematem; stało się tematem filmów, książek i dreszczowców. Zadbaj o to, aby scenariusze wielu 'mrożących krew w żyłach' opowieści nie stały się Twoim udziałem.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI Firewall-e i bezpieczeñstwo w sieci. Vademecum profesjonalisty KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Autorzy: William R. Chestwick, Steven M. Bellovin, Aviel D. Rubin T³umaczenie: Arkadiusz Romanek, Witold Zio³o ISBN: 83-7361-209-2 Tytu³ orygina³u: Firewalls and Internet Security Second Edition Format: B5, stron: 444 Ksi¹¿ka „Firewalle i bezpieczeñstwo w sieci. Vademecum profesjonalisty” to kompletne kompendium wiedzy na temat zabezpieczania sieci komputerowych. Autorzy skoncentrowali siê na omówieniu jednego z najwa¿niejszych elementów, stosowanych z myġl¹ o bezpieczeñstwie: firewalla, przekazuj¹c wiele cennych wskazówek na temat jego konfiguracji. Znajdziesz tu jednak nie tylko informacjê o zaporach sieciowych, ale tak¿e spojrzenie na bezpieczeñstwo sieci z szerszej perspektywy. Poznasz najwa¿niejsze techniki ataku i programy stosowane przez w³amywaczy; przeġledzisz kolejne kroki, które podejmowali hakerzy, by uzyskaæ dostêp do chronionych danych. A co najwa¿niejsze, nauczysz siê lokalizowaæ zagro¿enia i zapobiegaæ im. • Dog³êbna analiza zwi¹zanych z bezpieczeñstwem aspektów protoko³u TCP/IP • Projektowanie i instalacja firewalli - krok po kroku • Narzêdzia monitoruj¹ce dzia³anie firewalli • Darmowe narzêdzia zabezpieczaj¹ce • Z ¿ycia wziête przyk³ady w³amañ i analiza u¿ytych technik • Prawne aspekty zabezpieczania sieci komputerowych • Techniki kryptograficzne Jeġli jesteġ odpowiedzialny za bezpieczeñstwo sieci, nie obêdziesz siê bez tej ksi¹¿ki. Jej przystêpny jêzyk sprawi, ¿e z zaciekawieniem przeczytaj¹ j¹ tak¿e wszyscy zainteresowani najnowszymi technikami hakerskimi, a tak¿e osoby, które chc¹ pog³êbiæ swoj¹ wiedzê na temat Internetu. Bezpieczeñstwo w Internecie jest ostatnio modnym tematem; sta³o siê tematem filmów, ksi¹¿ek i dreszczowców. Zadbaj o to, aby scenariusze wielu „mro¿¹cych krew w ¿y³ach” opowieġci nie sta³y siê Twoim udzia³em. 5RKUVTGħEK 2TGFOQYCFQY[FCPKCFTWIKGIQ   2TGFOQYCFQY[FCPKCRKGTYUGIQ  úħè+ CE[PCO[ E 4QFKCđ 9RTQYCFGPKG   1.1. Truizmy bezpieczeństwa...................................................y..............................................23 1.2. Wybieranie strategii bezpieczeństwa...................................................y...........................27 1.2.1. Pytania ważne podczas definiowania polityki bezpieczeństwa.............................28 1.2.2. Stanowisko..................................................y...................................................y........30 1.3. Bezpieczeństwo na podstawie systemu ochrony pojedynczego komputera ...................32 1.4. Bezpieczeństwo „obwodowe” ...................................................y.....................................33 1.5. Strategie sieci bezpiecznych ...................................................y........................................34 1.5.1. Bezpieczeństwo stacji roboczej ...................................................y..........................34 1.5.2. Bramy i zapory sieciowe ...................................................y....................................36 1.5.3. Strefa DMZ...................................................y...................................................y......38 1.5.4. Szyfrowanie — bezpieczeństwo komunikacji...................................................y....39 1.6. Etyka w odniesieniu do bezpieczeństwa informatycznego.............................................40 1.7. OSTRZEŻENIE...................................................y...................................................y........42 4QFKCđ 1OÎYKGPKGDGRKGEGēUVYCRTQVQMQđÎYPKľU[EJYCTUVY   2.1. Podstawowe protokoły...................................................y.................................................43 ......44 2.1.1. IP...................................................y...................................................y................ 2.1.2. ARP ...................................................y...................................................y............... ..46 ...47 2.1.3. TCP...................................................y...................................................y............... 2.1.4. SCTP...................................................y...................................................y.............. ..51 2.1.5. UDP ...................................................y...................................................y.................52 2.1.6. ICMP ...................................................y...................................................y.............. .52 2.2. Zarządzanie adresami i nazwami...................................................y.................................53 2.2.1. Routery i protokoły routingu ...................................................y..............................53 2.2.2. System DNS ...................................................y...................................................y....56 2.2.3. BOOTP oraz DHCP ...................................................y...........................................60 2.3. IP w wersji 6. ...................................................y...................................................y............61 2.3.1. Format adresów IPv6...................................................y..........................................62 2.3.2. Neighbor Discovery...................................................y............................................63 2.3.3. DHCPv6 ...................................................y...................................................y..........64 2.3.4. Filtrowanie IPv6 ...................................................y.................................................64 2.4. Urządzenia dokonujące translacji adresów...................................................y..................65 2.5. Bezpieczeństwo sieci bezprzewodowych ...................................................y....................66 2.5.1. Umacnianie WEP ...................................................y...............................................68 6 Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty 4QFKCđ 2TGINæFRTQVQMQđÎYY[ľU[EJYCTUVY   3.1. Protokoły komunikacyjne ...................................................y............................................69 3.1.1. SMTP...................................................y...................................................y.............. .69 3.1.2. MIME ...................................................y...................................................y..............72 3.1.3. POP wersja 3 ...................................................y...................................................y...73 3.1.4. IMAP wersja 4...................................................y...................................................y.74 3.1.5. Instant Messaging (IM) ...................................................y......................................75 3.2. Telefonia internetowa ...................................................y..................................................76 3.2.1. H.323 ...................................................y...................................................y...............76 3.2.2. SIP ...................................................y...................................................y............... ....76 3.3. Protokoły oparte na RPC ...................................................y.............................................77 3.3.2. NIS...................................................y...................................................y...................81 3.3.3. NFS...................................................y...................................................y............... ...81 3.3.4. Andrew ...................................................y...................................................y............83 3.4. Protokoły przesyłania plików ...................................................y......................................84 3.4.1. TFTP...................................................y...................................................y.............. ..84 3.4.2. FTP ...................................................y...................................................y............... ...85 3.4.3. Protokół SMB...................................................y...................................................y..90 3.5. Zdalne logowanie...................................................y...................................................y......91 3.5.1. Telnet ...................................................y...................................................y...............91 3.5.2. Polecenia „r”...................................................y...................................................y....92 ....94 3.5.3. Ssh ...................................................y...................................................y............... 3.6. Protokół SNMP...................................................y...................................................y....... ..96 3.7. Protokół NTP ...................................................y...................................................y........ ....97 3.8. Usługi informacyjne ...................................................y...................................................y.98 3.8.1. Finger — poszukiwanie osób ...................................................y.............................99 3.8.2. Whois — usługa przeszukiwania baz danych ...................................................y....99 3.8.3. LDAP...................................................y...................................................y...............99 3.8.4. Usługi WWW ...................................................y...................................................y100 3.8.5. Protokół NNTP...................................................y.................................................101 3.8.6. Multicasting i MBone...................................................y.......................................102 3.9. Protokoły prawnie zastrzeżone ...................................................y..................................103 3.9.1. RealAudio...................................................y...................................................y......104 3.9.2. SQL*Net firmy Oracle ...................................................y.....................................104 3.9.3. Inne usługi firmowe...................................................y..........................................105 3.10. Równorzędne sieci komputerowe...................................................y............................105 3.11. X11 Window System ...................................................y...............................................106 3.11.1. xdm ...................................................y...................................................y..............107 3.12. Small Services...................................................y...................................................y.......108 4QFKCđ )NQDCNPCRCLúE[PC CITQľGPKGE[TGCNPGPKGDGRKGEGēUVYQ!   4.1. Protokoły WWW ...................................................y...................................................y....110 4.1.1. HTTP ...................................................y...................................................y.............110 .114 4.1.2. SSL ...................................................y...................................................y............... 4.1.3. FTP ...................................................y...................................................y............... .114 4.1.4. Adresy URL...................................................y...................................................y...115 4.2. Zagrożenia dla klientów...................................................y.............................................117 4.2.1. ActiveX...................................................y...................................................y..........118 4.2.2. Java i aplety ...................................................y...................................................y...118 4.2.3. JavaScript...................................................y...................................................y.......121 4.2.4. Przeglądarki internetowe ...................................................y..................................122 Spis treści 7 4.3. Ryzyko dla serwera...................................................y...................................................y.124 4.3.1. Kontrola dostępu...................................................y...............................................125 4.3.2. Skrypty serwera ...................................................y................................................125 4.3.3. Zabezpieczanie serwera...................................................y....................................126 4.3.4. Wybór serwera...................................................y..................................................127 4.4. Serwery WWW versus zapory sieciowe...................................................y....................129 4.5. Sieć i bazy danych ...................................................y...................................................y..131 4.6. Podsumowanie ...................................................y...................................................y........132 úħè++ CITQľGPKC E 4QFKCđ -NCU[CVCMÎY   5.1. Kradzieże haseł ...................................................y...................................................y.......135 5.2. Socjotechnika...................................................y...................................................y..........139 5.3. Błędy i tylne wejścia...................................................y..................................................140 5.4. Niepowodzenia uwierzytelniania...................................................y...............................144 5.4.1. Wyścigi do uwierzytelnienia ...................................................y............................144 5.5. Błędy protokołów ...................................................y...................................................y...145 5.6. Wypływanie informacji ...................................................y.............................................146 5.7. Ataki lawinowe — wirusy i robaki...................................................y............................147 5.8. Ataki blokady usług ...................................................y...................................................y148 5.8.1. Ataki na łącza sieciowe ...................................................y....................................149 5.8.2. Atak na warstwę sieciową ...................................................y................................150 5.8.3. DDoS ...................................................y...................................................y.............152 5.8.4. Co zrobić w przypadku rozproszonego ataku odmowy usług? ...........................153 5.8.5. Rozpraszanie wsteczne ...................................................y.....................................159 5.9. Roboty sieciowe...................................................y...................................................y......160 5.10. Ataki aktywne ...................................................y...................................................y.......160 6.6.1. Furtki ...................................................y...................................................y............ 4QFKCđ 9CTUVCVKKPPGħTQFMKDQLQYGJCMGTC  6.1. Wprowadzenie ...................................................y...................................................y........163 6.2. Cele hakerów ...................................................y...................................................y..........164 6.3. Skanowanie sieci...................................................y...................................................y.....165 6.4. Włamanie do komputera...................................................y............................................166 6.5. Bitwa o komputer...................................................y...................................................y....167 6.5.1. Programy o uprawnieniach setuid root...................................................y.............168 6.5.2. Rootkit ...................................................y...................................................y...........171 6.6. Zacieranie śladów ...................................................y...................................................y...171 .172 6.7. Metastaza ...................................................y...................................................y................173 6.8. Narzędzia hakerów ...................................................y...................................................y.173 6.8.1. Crack — atak słownikowy na hasła uniksowe ...................................................y.175 6.8.2. Dsniff — narzędzie do podsłuchiwania haseł ...................................................y..175 6.8.3. Nmap — wyszukiwanie i identyfikacja komputerów .........................................175 6.8.4. Nbaudit — zdobywanie informacji na temat udziałów NetBIOS .......................176 6.8.5. Juggernaut — narzędzie do przechwytywania połączeń TCP.............................176 6.8.6. Nessus — skanowanie portów...................................................y..........................177 6.8.7. Narzędzia do ataku DDoS ...................................................y................................177 6.8.8. Ping of Death — wysyłanie nieprawidłowych pakietów ....................................177 6.8.9. Zestawy do tworzenia wirusów ...................................................y........................177 6.8.10. Inne narzędzia...................................................y.................................................178 6.9. Brygady tygrysa...................................................y...................................................y......179 8 Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty úħè+++ $GRKGEPKGLUGPCTúFKCKWUđWIK 4QFKCđ 7YKGT[VGNPKCPKG   7.1. Zapamiętywanie haseł...................................................y................................................184 7.1.1. Rzucanie kostką...................................................y................................................187 7.1.2. Rzeczywisty koszt haseł ...................................................y...................................188 7.2. Hasła jednorazowe — czasowe ...................................................y.................................189 7.3. Hasła jednorazowe — wezwanie-odpowiedź ...................................................y............190 7.4. Algorytm haseł jednorazowych Lamporta...................................................y.................192 7.5. Karty mikroprocesorowe ...................................................y...........................................193 7.6. Techniki biometryczne ...................................................y..............................................193 7.7. RADIUS...................................................y...................................................y..................195 7.8. Szkielet uwierzytelniania SASL ...................................................y................................195 7.9. Uwierzytelnianie komputer-komputer...................................................y.......................196 7.9.1. Uwierzytelnianie za pośrednictwem sieci ...................................................y........196 7.9.2. Techniki kryptograficzne...................................................y..................................196 7.10. PKI ...................................................y...................................................y........................197 4QFKCđ 5VQUQYCPKGPKGMVÎT[EJPCTúFKKWUđWI  8.1. Inetd — usługi sieciowe ...................................................y............................................200 8.2. Ssh — korzystanie z terminala i dostęp do plików ...................................................y........200 8.2.1. Uwierzytelnianie jednoelementowe w ssh ...................................................y.......201 8.2.2. Uwierzytelnianie dwuelementowe w ssh ...................................................y.........203 8.2.3. Słabe strony uwierzytelniania...................................................y...........................204 8.2.4. Uwierzytelnianie serwera ...................................................y.................................204 8.3. Syslog...................................................y...................................................y.............. ........204 8.4. Narzędzia administrowania siecią ...................................................y.............................205 8.4.1. Monitorowanie sieci ...................................................y.........................................205 8.4.2. Posługiwanie się programem tcpdump...................................................y.............206 8.4.3. Ping, traceroute oraz dig...................................................y...................................207 8.5. Chroot — uwięzienie podejrzanego oprogramowania .................................................208 8.6. Uwięzienie serwera Apache Web Server...................................................y...................212 8.6.1. Osłony skryptów CGI...................................................y.......................................214 8.6.2. Bezpieczeństwo uwięzionego serwera WWW ...................................................y.215 8.7. Aftpd — demon prostego anonimowego serwera FTP ................................................215 8.8. Agenty przesyłania poczty...................................................y.........................................216 .216 8.9. POP3 oraz IMAP ...................................................y...................................................y....217 8.10. Samba — implementacja protokołu SMB ...................................................y...............217 8.11. Poskramianie programu named ...................................................y...............................218 8.12. Dodanie obsługi SSL za pomocą programu sslwrap ..................................................219 8.8.1. Postfix...................................................y...................................................y........... Għè+8 CRQT[UKGEKQYGKUKGEK820  4QFKCđ 4QFCLGCRÎTUKGEKQY[EJ   9.1. Filtry pakietów...................................................y...................................................y........224 9.1.1. Topologia sieci a fałszowanie adresów ...................................................y............227 9.1.2. Filtry routingu...................................................y...................................................y231 9.1.3. Przykładowe konfiguracje ...................................................y................................232 9.1.4. Wydajność filtrowania pakietów ...................................................y......................234 9.2. Filtrowanie na poziomie aplikacji...................................................y..............................235 9.3. Bramy poziomu obwodów...................................................y.........................................236 Spis treści 9 9.4. Dynamiczne filtry pakietów...................................................y.......................................238 9.4.1. Sposoby implementacji...................................................y.....................................238 9.4.2. Replikacja a topologia ...................................................y......................................241 9.4.3. Bezpieczeństwo dynamicznych filtrów pakietów ...............................................243 9.5. Zapory sieciowe rozproszone ...................................................y....................................244 9.6. Czego zapory sieciowe nie potrafią ...................................................y...........................245 4QFKCđ (KNVTQYCPKGWUđWI  10.1. Usługi, które powinny być filtrowane ...................................................y.....................248 10.1.1. DNS ...................................................y...................................................y.............248 10.1.2. WWW...................................................y...................................................y..........252 10.1.3. FTP ...................................................y...................................................y..............253 10.1.4. TCP...................................................y...................................................y..............253 10.1.5. NTP...................................................y...................................................y..............254 10.1.6. SMTP/Mail ...................................................y...................................................y..254 10.1.7. POP3/IMAP...................................................y...................................................y.255 10.1.8. ssh ...................................................y...................................................y.............. ..257 10.2. Wykopywanie robaków ...................................................y...........................................257 10.3. Usługi, których nie lubimy ...................................................y......................................258 10.3.1. UDP ...................................................y...................................................y.............258 10.3.2. H.323 oraz SIP...................................................y................................................260 10.3.3. RealAudio...................................................y...................................................y....260 10.3.4. SMB...................................................y...................................................y.............260 10.3.4. X Windows...................................................y...................................................y..260 10.4. Inne usługi...................................................y...................................................y.............261 10.4.1. IPsec, GRE i IP w IP ...................................................y......................................261 10.4.2. ICMP ...................................................y...................................................y...........261 10.5. Coś nowego...................................................y...................................................y...........262 4QFKCđ +Pľ[PKGTKCCRÎTUKGEKQY[EJ   11.1. Zestawy reguł...................................................y...................................................y........264 11.2. Proxy...................................................y...................................................y.............. .......267 11.3. Budowa zapory sieciowej od podstaw...................................................y.....................268 11.3.1. Budowa prostej, osobistej zapory sieciowej...................................................y...269 11.3.2. Budowa zapory sieciowej dla firmy ...................................................y...............273 11.3.3. Filtrowanie bazujące na aplikacjach...................................................y...............279 11.4. Problemy z zaporami sieciowymi...................................................y............................279 11.4.1. Problemy nieumyślne ...................................................y.....................................280 11.4.2. Działalność wywrotowa ...................................................y.................................280 11.4.3. Postępowanie z fragmentami IP ...................................................y.....................281 11.4.4. Problem z FTP ...................................................y................................................282 11.4.5. Kroczący ogień ...................................................y...............................................282 11.4.6. Administracja...................................................y..................................................283 11.5. Testowanie zapór testowych...................................................y....................................284 11.5.1. Brygady tygrysa...................................................y..............................................284 11.5.2. Zasady kontroli ...................................................y...............................................285 4QFKCđ 6WPGNQYCPKGKUKGEK820  12.1. Tunele ...................................................y...................................................y...................288 12.1.1. Tunele dobre i tunele złe ...................................................y................................288 12.2. Wirtualne sieci prywatne VPN ...................................................y................................291 12.2.1. Odległe oddziały...................................................y.............................................291 12.2.2. Wspólne przedsięwzięcia ...................................................y...............................292 12.2.3. Telepraca ...................................................y...................................................y.....293 10 Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty 12.3. Oprogramowanie a sprzęt ...................................................y........................................298 12.3.1. Sieci VPN realizowane przy użyciu oprogramowania ......................................298 12.3.2. Sieci VPN realizowane przy użyciu sprzętu...................................................y...299 Għè8 1EJTQPCQTICPKCELKE 4QFKCđ 2NCPQYCPKGUKGEK   13.1. Badania intranetu ...................................................y...................................................y..305 13.2. Sztuczki z routingiem w intranetach...................................................y........................306 13.3. Ufamy komputerowi ...................................................y................................................309 13.4. Pasek i szelki...................................................y...................................................y.........311 13.5. Klasy rozmieszczenia zapór sieciowych...................................................y..................312 4QFKCđ $GRKGEPGMQORWVGT[YPKGRT[LCP[OħTQFQYKUMW   14.1. Co rozumiesz, mówiąc „bezpieczny”? ...................................................y....................315 14.2. Właściwości bezpiecznych komputerów ...................................................y.................316 14.2.1. Bezpieczne klienty...................................................y..........................................319 14.2.2. Bezpieczne serwery ...................................................y........................................321 14.2.3. Bezpieczne routery i inne urządzenia sieciowe.................................................322 14.3. Konfiguracja sprzętu...................................................y................................................322 14.4. Rozkładanie komputera ...................................................y...........................................322 14.5. Instalacja nowego oprogramowania ...................................................y........................327 14.6. Administrowanie bezpiecznym komputerem ...................................................y..........328 14.6.1. Dostęp...................................................y...................................................y..........328 14.6.2. Dostęp przy użyciu konsoli ...................................................y............................329 14.6.3. Zapisywanie zdarzeń w plikach raportów ...................................................y......329 14.6.4. Archiwizacja...................................................y...................................................y330 14.6.5. Uaktualnianie oprogramowania...................................................y......................331 14.6.6. Obserwowanie ...................................................y................................................334 14.7. „Jazda bez trzymanki” — życie bez zapory sieciowej ...............................................334 4QFKCđ GVGMELCYđCOCē  15.1. Gdzie monitorować? ...................................................y................................................338 15.2. Rodzaje systemów IDS...................................................y............................................339 15.3. Administracja systemem IDS ...................................................y..................................340 15.4. Narzędzia IDS...................................................y...................................................y.......340 .341 15.4.1. Snort........................................y...................................................y....................... úħè8+ 1VT[OCPGNGMELGE 4QFKCđ 9KGEÎT$GTHGTFGO   16.1. Nieprzyjazne zachowanie ...................................................y........................................345 16.2. Wieczór z Berferdem ...................................................y...............................................347 16.3. Na drugi dzień...................................................y...................................................y.......352 16.4. Więzienie ...................................................y...................................................y..............353 16.5. Śledzenie Berferda...................................................y...................................................y355 16.6. Berferd wraca do domu...................................................y............................................356 4QFKCđ 2TGLúEKG NCTMC   17.1. Początki...................................................y...................................................y.................359 17.2. Clark.........................................y...................................................y........................ ........360 17.3. Dochodzenie wstępne ...................................................y..............................................361 Spis treści 11 17.4. Badanie Clarka...................................................y...................................................y......362 .363 17.4.1. /usr/lib...................................................y...................................................y......... 17.4.2. /usr/var/tmp...................................................y...................................................y..364 17.5. Plik haseł...................................................y...................................................y......... ......368 17.6. Jak napastnikom udało się dostać? ...................................................y..........................368 17.6.1. Jak zdobyli uprawnienia root?...................................................y........................369 17.6.2. Co w ten sposób zyskali?...................................................y................................369 17.7. Lepsze środki dochodzeniowe ...................................................y.................................369 17.8. Otrzymane lekcje ...................................................y...................................................y..370 4QFKCđ $GRKGEPCMQOWPKMCELCYPKGDGRKGEP[EJUKGEKCEJ   18.1. System uwierzytelniania Kerberos ...................................................y..........................372 18.1.1. Ograniczenia...................................................y...................................................y375 18.2. Szyfrowanie na poziomie łącza ...................................................y...............................376 18.3. Szyfrowanie na poziomie warstwy sieciowej...................................................y..........377 18.3.1. Protokoły ESP oraz AH...................................................y..................................377 18.3.2. Zarządzanie kluczami w IPsec ...................................................y.......................380 18.4. Szyfrowanie na poziomie aplikacji...................................................y..........................380 18.4.1. Zdalne logowanie — ssh ...................................................y................................381 18.4.2. SSL ...................................................y...................................................y..............382 18.4.3. Uwierzytelnianie w SNMP...................................................y.............................385 18.4.4. Bezpieczna poczta elektroniczna...................................................y....................385 18.4.5. Bezpieczeństwo transmisji, a bezpieczeństwo obiektu .....................................387 18.4.6. GSS-API ...................................................y...................................................y......387 4QFKCđ QFCNGL!   19.1. IPv6...................................................y...................................................y............... ........389 19.2. DNSsec ...................................................y...................................................y.................390 19.3. Microsoft i bezpieczeństwo ...................................................y.....................................391 19.4. Wszechobecność Internetu ...................................................y......................................391 19.5. Bezpieczeństwo Internetu ...................................................y........................................391 19.6. Zakończenie ...................................................y...................................................y..........392 QFCVMK  QFCVGM# 9RTQYCFGPKGFQMT[RVQITCHKK   A.1. Symbolika ...................................................y...................................................y........... ...397 A.2. Kryptografia tajnego klucza...................................................y......................................399 A.3. Tryby działania ...................................................y...................................................y......401 A.3.1. Tryb elektronicznej książki kodowej...................................................y...............401 A.3.2. Tryb wiązania bloków szyfrogramu ...................................................y................401 A.3.3. Tryb sprzężenia zwrotnego z wyjścia...................................................y..............402 A.3.4. Tryb sprzężenia zwrotnego kryptogramu ...................................................y........403 A.3.5. Tryb licznikowy...................................................y...............................................403 A.3.6. Hasła jednorazowe...................................................y...........................................404 A.3.7. Klucze główne ...................................................y.................................................404 A.4. Kryptografia klucza publicznego...................................................y..............................405 A.5. Wymiana klucza wykładniczego ...................................................y..............................406 A.6. Podpisy cyfrowe...................................................y...................................................y.....407 A.7. Bezpieczne funkcje mieszające...................................................y.................................409 A.8. Znaczniki czasu...................................................y...................................................y......410 12 Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty QFCVGM$ ,CMD[èPCDKGľæEQ!  B.1. Listy dyskusyjne...................................................y...................................................y.... .414 B.2. Zasoby w Internecie ...................................................y..................................................415 B.3. Strony internetowe osób prywatnych...................................................y........................416 B.4. Strony producentów ...................................................y..................................................417 B.5. Konferencje ...................................................y...................................................y............418 .KUVCDQOD   .KUVCCMTQPKOÎY   5MQTQYKF   Rozdział 5. -NCU[CVCMÎY Omówiliśmy dotychczas kilka technik atakowania systemów. Wiele z nich ma podobne cechy. Techniki te warto usystematyzować, ponieważ wzorce jakie powstaną dzięki systematyzacji, pokażą, gdzie konieczne jest zacieśndienie ochrony. -TCFKGľGJCUGđ „(Powiedz przyjacielu i wejdź) Co to ma znaczyć: Powiedz przyjacielu i wejdź? — spytałd Merry. Sens dość jasny — rzekł Gimilo. — Jeżeli jesteś przyjacdielem, powiedz hasło, a drzwi się otworzą i będziesz mógł wejść. … Ale ty, Gandalfie, chyba znasz hasło? — spytał zdumiony dBoromir. Nie! — odparł Czarodziej. — … jeszcze nie znam hasła … alde wkrótce je poznamy”. Władca pierścieni J.R.R. Tolkien Najprostsze wejście do komputera prowadzi zwykle przez jego drzwi wejściowe, czyli przez polecenie login. W przypadku praktycznie wszystkich systemów, skuteczne logowanie bazuje na podaniu, w określonej liczbie prób, prawiddłowego hasła. W historii typowych programów logowania (także nie przeznaczonych dla systemów uniksowych) zaobserwować serię nasilających się ataków i wzmożone wysiłki wkładane w obronę przed nimi, istny wyścig zbrojeń. Znane są nam wczesne systemy operacyjne, które przechowywały w plikach dyskowych hasła w czystej, tekstowej postaci. Bezpie- czeństwo jednego z tych systemów bazowało na tajności nazwy pliku przechowującego hasło, zatem każdy, kto znał tę nazwę mógł odczytać hasło. Bezpieczeństwo systemu było „chronione” w ten sposób, że systemowe polecenie przedstawiające zawartość ka- talogu pomijało nazwę tego pliku (wywołana funkcja systedmowa podawała tę nazwę). 136 Część II  Zagrożenia To podejście do bezpieczeństwa opierało się na zabezpieczaniu przez ukrywanie (ang. security by obscurity). Ukrywanie nie jest wcale złą opcją, ale przez tego typu działania straciło dobrą sławę. W końcu klucz kryptograficzny jest też jakimś sposobem ukrywania, tylko że dobrze przemyślanym. Błędem tu popełnionym była słabość ukrywania oraz brak innych poziomów obrony. Błędy w systemach stwarzają intrygujące możliwości włamadń do systemu, ale nie jest to najłatwiejszy ze sposobów ataku na system. Ten honodr należy raczej oddać przyziemnemu atakowi na hasła użytkowników. Znaczny procent włamań do systemów następuje z powodu uchybień w całym systemie haseł. Mówimy o „systemie haseł”, gdyż jest klika przyczyn takich uchybień. Jednak naj- powszechniejszym uchybieniem jest stosowanie przez użytkowników bardzo słabych haseł. Powtarzane badania pokazały, że próba odgadnięcia hasła zwykle kończy się powodzeniem, czego przykłady można znaleźć w pracach Kleina [1990] oraz Morrisa i Thompsona [1979]. Nie mówimy tu, że każdy używa złych haseł, ale należy zdawać sobie sprawę, że napastnikowi wystarczy tylko jedno złe hadsło. Ataki zgadywania haseł przyjmują dwie podstawowe formy. Pierwsza polega na usiło- waniu zalogowania się za pomocą znanej lub założonej nazwy użytkownika oraz zga- dywanego hasła. Ta metoda kończy się sukcesem niezwykle często, ponieważ w wielu miejscach często stosuje się parę „nazwa użytkownika-hasło”, takich jak field-UGTXKEG, guest-IWGUV, itp. Nierzadko pary te kopiowane są wprost z podręczników systemowych! Pierwsza próba może się nie powieść, może nie powieść się nawet dziesiąta, ale mimo wszystko, któraś okaże się trafiona, a gdy napastnik znajdzie się w środku, będzie już poza główną linią obrony. Niestety, niewiele systemów operacyjnych potrafi odpierać ataki pochodzące z ich wnętrza. Taka metoda włamywania w ogóle nie powinna być możliwa! Użytkownikom nie po- winno się pozostawiać nieograniczonej liczby prób logowania się z niepoprawnym hasłem, wszystkie niepowodzenia logowania powinny być odnotowywane, użytkownicy powinni być powiadamiani o zakończonych niepowodzeniem próbach dostania się do ich konta, itd. Żadne z zaleceń, o których mowa, nie jest nowe, tyle że takie środki bezpieczeństwa podejmuje się rzadko, a właściwie bardzo rzadko. Wiedle z najczęściej popełnianych błędów wymienionych zostało w pracy Gramppa i Morrisa [1984], ale niewielu projektantów systemów wzięło pod uwagę ich rady. Co gorsza, większość logowań w systemach unik- sowych odbywa się za pomocą poleceń login oraz su. Inne programy wykorzystujące hasła, takie jak ftpd, rexecd, różne programy blokujące ekrany itp., w większości systemów nie odnotowują niepowodzeń logowania. Co więcej, nawet w systemach poprawnie re- jestrujących takie zdarzenia, administratorzy nie przeglądają dzienników zdarzeń regularnie. Oczywiście, dzienniki zdarzeń zawierające nazwy użytdkowników, którzy nie zalogowali się poprawnie będą niezmiennie zawierały jakieś hasła.d Drugim sposobem zdobywania haseł przez napastników jest odgadywanie haseł znaj- dujących się w skradzionych plikach przechowujących hasła (w systemach uniksowych w pliku /etc/passwd). Pliki te kradzione są z systemów, do których już się włamano. W takim przypadku napastnicy będą próbowali zastosować zdobyte hasła w innych komputerach Rozdział 5.  Klasy ataków 137 (użytkownicy często posługują się na różnych komputerach tymi samymi hasłami). Hasła mogą również zostać zdobyte z systemów, które jeszcze nie zostały spenetrowane. Ataki tego rodzaju nazywane są atakami słownikowymi (ang. dictionary attacks) i zwykle kończą się pełnym powodzeniem. Nie ma wątpliwości, że bezpieczeństwo komputera zostanie naruszone, jeżeli plik z hasłami dostał się w ręce wroga. Klein [1990] informu- je, że 25 haseł jest kradzionych. Jeżeli ta liczba jest prawdziwa, w przypadku komputera z zaledwie szesnastoma kontami użytkowników, istnieje 99 prawdopodobieństwo, że co najmniej jedno z tych haseł zostanie osłabione. Również szyfrowanie na nic się nie zda, gdy klucze zostaną odtworzone z haseł użyt- kowników. Eksperymenty z Kerberosem [Wu, 1999] pokazały tdo dobitnie. Trzecim sposobem jest zdobycie hasła przez podsłuchanie prawidłowej sesji terminalowej. Przy wykorzystaniu tej metody, niezależnie od tego, jak dobre było hasło, konto i praw- dopodobnie cały system staną się zagrożone. Jak długie powinno być hasło? Panuje powszechna zgoda, że dotychczasowy wymóg systemów uniksowych stosowania haseł o dłu- gości co najmniej ośmiu znaków nie jest już wystarczający [Feldmeier i Karn, 1990; Leong i Tham, 1991]. Wobec tego, jak długie powinno być hasło? Problem z algorytmem matematycznego mieszania haseł stosowanym w systemie Unix polega na tym, że jako klucza szyfrującego używa on wprost siedmiu znaczących bitów każdego poda- nego znaku hasła. Z powodu zastosowanego algorytmu [DES, NBS, 1977] używane są tylko klucze o długości 56 bitów. Limit ośmiu znaków nie został zatem założony, tylko wynikał wprost z dłu- gości użytego klucza. To jednak powoduje dalsze wątpliwwości. 128 możliwych kombinacji wywodzących się z siedmiu bitów nie jest jednakowo prawdopodobnych. Ludzie nie tylko unikają stosowania w hasłach znaków sterujących, ale większość z nich nie używa innych znaków niż litery. Na dodatek, większość ludzi tworzy hasła składające się wyłącznie z małych liter. Prawdziwą wartość haseł jako kluczy można poznać wykorzystując do tego celu teorię informacji [Shannon, 1949]. W przypadku zwykłego tekstu języka angielskiego składającego się z ośmiu znaków, zawartość informacji wynosi około 2,3 bita na wjedną literę, może nawet mniej [Shannon, 1948, 1951]. W ten sposób, w hasłach w postaci słów języka angielskiego, uzyskujemy faktyczną długość klucza wynoszącą 19, a nie 56 bitów. Niektóre osoby na hasła wybierają imiona (własne, małżonka, dzieci, itp.). To tylko pogarsza sprawę, gdyż niektóre imiona są bardzo powszechne. Eksperymenty przeprowadzane przez AT T na elektronicznej książce telefonicznej pokazały, że imię ma tylko około 7,8 bita informacji w całym imieniu i nazwisku. To naprawdę bardzo zły wybór. Dłuższe wyrażenia języka angielskiego mają mniejszą zawartość informacji przypadającą na jedną literę — od 1,2 do 1,5 bita. Zatem hasła składające się z 16 bajtów, zawierające wyrażenia ję- zyka angielskiego, nie są tak silne jakby się mogło wydawać, gdyż zawierają tylko od 19 do 24 bitów informacji. Sytuacja ta poprawi się do 38 bitów, gdy użytkownik na hasło wybierze nieza- leżne od siebie słowa. Jednak wybranie jako hasła kombiwnacji imion nie będzie zbyt pomocne. Przy tak powszechnym dostępie do haseł, nie powinno się ich używać w ogóle lub przynajmniej powinny być one kryptograficznie zabezpieczane przed awtakami słownikowymi. 138 Część II  Zagrożenia W tym miejscu można już wysunąć kilka wniosków. Po pierwsze, bardzo ważne jest nauczenie użytkowników tworzenia dobrych haseł. Niestety, mimo upływu lat od wydania przez Morrisa i Thompsona [1979] pracy na ten temat, zwyczaje użytkowników nie zmieniły się. Nie pomogło też nakładanie ściślejszych ograniczeń na hasła, które można wyko- rzystać, mimo że podjęto wiele takich prób [Spafford, 1992; Bishop, 1992]. Inni pró- bowali poprawić bezpieczeństwo haseł, sprawdzając już używane hasła [Muffett, 1992]. Jednak przekora cechująca człowieka zawsze jest silniejsza, a hakerom wystarczy jedna wygrana. Ludzie używają kiepskich haseł, co taka jest ludzka natura. Podejmowano wiele prób zmuszenia ludzi do używania haseł trudnych do odgadnięcia [Brand i Makey, 1985], ale nie przyniosły one skutku. Żeby włamać się do komputera wystarczy włamać się tylko na jedno konto, a napastnicy wyposażeni w małe słowniki osiągają sukces w ponad 20 przypadków [Klein, 1990]. Duże słowniki mogą osiągać wielkość dziesiątków mega- bajtów. Słowniki te składają się ze słów oraz rdzeni wyrazów większości języków pisanych. Mogą zawierać też informacje osobiste, takie jak: numer pokoju, numer telefonu, hobby, imiona i nazwiska ulubionych autorów, itp. W niektórych systemach wiele z tych in- formacji zawartych jest w plikach haseł, inne z radością dostarczy każdemu, kto o nie poprosi, program finger. W przypadku wielu ataków sieciowych celem nie jest wcale bezpośrednie wła- manie się do systemu — co jest zwykle trudniejsze, ndiż powszechnie się sądzi — ale wykradnięcie pliku haseł. Do usług, dzięki którym uddało się zdobyć pliki haseł, należą: FTP, TFTP, system pocztowy, NIS, rsh, finger, uucp, X11 i wiele innych. Innymi słowy, napastnik łatwo osiągnie swój zamiar, gdy administrator postępuje niedbale lub nie miał szczęścia przy wyborze systemu dla komputera. Środków obrony przed atakami to w dużej mierze wielka dbałość o system oraz ostrdożne podejście do oprogramowania. Jeżeli nie można wymusić na użytkownikach używania dobrych haseł, istostne staje się przechowywanie pliku haseł z dala od wrogów. Oznaczad to, że należy:  starannie konfigurować funkcje bezpieczeństwa usług, tadkich jak NIS firmy Sun,  ograniczać korzystanie z plików przez tftpd,  unikać umieszczania właściwego pliku /etc/passwd w obszarze osiągalnym przez anonimowy dostęp przez FTP. Niektóre systemy uniksowe umożliwiają ukrywanie zaszyfrowanych haseł nawet przed uprawnionymi użytkownikami. Jeżeli system wyposażony jest w tę funkcję, nazywaną plikiem przesłoniętym (ang. shadow) lub dodatkowym (ang. adjunct), zdecydowanie polecamy skorzystanie z niej. Wiele systemów operacyjnych mądrze szyfruje i ukrywa swoje pliki haseł. Idealnym wyjściem byłoby całkowite uwolnienie się od haseł. Najlepsze jest uwierzy- telnianie przy użyciu żetonów, a przynajmniej używanie systemów jednorazowych haseł, takich jak One-Time Password (OTP) [Haller, 1994; Haller i Metz, 1996]. Oczywiście, w takim przypadku również należy wystrzegać się hasedł łatwych do odgadnięcia. Rozdział 5.  Klasy ataków 139 5QELQVGEJPKMC „Musimy uruchomić system.” … Strażnik odchrząknął i rzucił tęsknym wzrokiem na swoją dksiążkę. „Uruchamianie systemu nie należy do moich obowiązków.d Przyjdźcie jutro.” „Jeżeli nie uruchomimy teraz systemu, zrobi się gorącod. Przegrzeje się. Muy caliente i dużo pieniędzy.” Okrągła i pulchna twarz strażnika zmarszczyła się ze sdtrachu, ale poruszył tylko ramionami. „Ja tego nie potrafię zrobić, co miałbdym zrobić?” „Wiem, że masz klucze. Wpuść nas, my to zrobimy.” Strażnik mrugnął urażony. „Tego nie zrobię” oświadczył. „Tdo jest zabronione”. … „Czy widziałeś kiedyś rozbity komputer?” nalegał. „To wydgląda strasznie. Pełno go na całej podłodze!” Herbata z Czarnym Smokiem R.A. MacAvoy Często najstarsze sposoby sprawdzają się najlepiej. Hasła można znaleźć na kartkach przyczepionych do terminala lub zapisane w dokumentacji leżącej obok klawiatury (do ich uzyskania potrzebny jest jednak fizyczny dostęp, który nie jest w naszej książce głównym przedmiotem zainteresowań). Podejście wykorzystujące socjotechnikę zwykle opiera się na użyciu telefonu i wykazaniu się odrobiną tupetu. Oto prawdziwy przykład z AT T: „Mówi Ken Thompson. Ktoś dzwonił do mnie w sprawie problemu z poleceniemd ls. Ta osoba chciała, żebym się tym zajął.” „Taaak? Dobrze. Co mam zrobić?” „Wystarczy zmienić hasło mojego logowania w twoim kompduterze — nie używałem go od jakiegoś czasu.” „Dobrze, nie ma problemu.” Istnieje jeszcze kilka innych sposobów, takich jak choćby fałszowanie adresu nadawcy poczty. Poradnik CERT [CA-91-04, 18 kwietnia 1991] ostrzega przed wiadomościami pocztowymi, jakoby pochodzącymi od administratora systemu, w których użytkownicy proszeni są o uruchomienie „programu testowego” wymagajdącego podania hasła. Napastnicy również wysyłają takie wiadomości: (TQOUOD TGUGCTEJCVVEQO 6QCFOKP TGUGCTEJCVVEQO 5WDLGEV)Qħè 140 Część II  Zagrożenia 9RT[Uđ[OV[IQFPKWDúFKGO[OKGNKIQħEKC/ÎIđD[ħRQGRTQUKèCFOKPKUVTCVQTCU[UVGOW QCđQľGPKGFNCPKGIQMQPVCYU[UVGOKG!2QFCLú KYKGTUGJCUđCWľ[LVGIQUCOGIQ CU[HTQYCPGIQJCUđC RZHD* MMO66U2CVJQOGRCVDKPUJ Należy zauważyć, że postąpienie według tej procedury byłoby błędem, nawet gdyby sama wiadomość była prawdziwa. Jeżeli faktycznie ma pojawić się gość, nie powinien on używać takiego samego hasła w tym komputerze, jakiego używa na własnym. Jest to dość wygodny sposób na utworzenia nowego konta, ale tylko wtedy, gdy można zaufać gościowi, że zmieni swoje hasło na inne, zanim ktoś zrobi z niego użytek. Z drugiej strony, unika się w ten sposób wysyłania haseł pocztą w czystej, tekstowej postaci. Jak sobie pościelisz, tak się wyśpisz. Pewnych czynności w ogóle nie powinno się wykonywać bez stosowania silnego uwie- rzytelnienia. Trzeba dobrze wiedzieć, kto prosi o daną rzecz. Uwierzytelnianie oczywiście nie musi być formalne. Jeden z nas „podpisał” ostatnio ważną wiadomość pocztową, cytując temat dyskusji prowadzonej przez nas podczas ostatniego obiadu. W wielu, ale nie we wszystkich, sytuacjach wystarczy nieformalne, „trójstopniowe potwierdzenie” w postaci zapytania i odpowiedzi następujących po właściwej prośbie. Sposób ten nie jest jednak niezawodny. Nawet konto uprzywilejowanego użytkownikda może zostać zaatakowane. Do bardziej wiarygodnego uwierzytelniania zaleca się korzystanie z kryptograficznych systemów pocztowych, które zostaną opisane w rozdziale 18. Pamiętać tylko należy, że żaden system kryptograficzny nie jest bardziej bezpieczny niż komputer, na którym działa. Sama wiadomość może być chroniona szyfrem, którego nie mogłaby złamać nawet NSA1, ale gdyby tylko hakerowi udało się zastawić pułapkę w procedurze pytającej się o hasło, poczta przestałaby być bezpieczna i autentyczna. Czasem ludzie mający dobre intencje, ale zbyt małą wiedzę, przyczyniają się do rozpo- wszechniania ataków wykorzystujących socjotechnikę. Często przecież zdarza się otrzy- mać od przyjaciela wiadomość pocztową informującą na przykład, że plik sulfnbk.exe jest wirusem i konieczne jest jego usunięcie, a na dodatek trzeba NATYCHMIAST ostrzec o tym fakcie inne osoby. To zwyczajnie bezsensowny żart, który na dodatek, gdyby odbiorca posłuchał tej porady, może okazać się niebezpieczny dla komputera. Niestety, wielu ludzi daje się nabrać na taki żart, gdyż o niebezpieczeństwie ostrzega za- ufany przyjaciel czy kolega. Osobom zaciekawionym zagadnieniem praktycznego wykorzystania socjotechniki po- lecamy relację byłego napastnika, Mitinicka [2002]. $đúF[KV[NPGYGLħEKC Jednym ze sposobów rozprzestrzeniania się Robaka internetowego [ang. Internet Worm, Spafford, 1989a, 1989b; Eichin i Rochlis, 1989; Rochlis i Eichin, 1989] było wysyłanie nowego kodu programu demonowi finger. Naturalnie, demon nie był przygotowany na otrzymanie jakiegokolwiek kodu i w protokole nie zawarto w ogóle możliwości przyjęcia 1 Agencja Bezpieczeństwa Narodowego Stanów Zjednoczonzych — przyp. tłum. Rozdział 5.  Klasy ataków 141 kodu. Jednak program wywoływał funkcję IGVU, która nie określała maksymalnej wiel- kości bufora. Robak wypełniał swoim kodem cały bufor odczytu i jeszcze większy obszar poza nim do momentu, gdy nadpisał adres powrotny funkcji IGVU w module jej stosu. Kiedy wykonanie funkcji zostało zakończone, nastąpił skok do adresu umiejscowionego w buforze, w którym znajdował się kod napastnika. Konsdekwencje są już znane. Technika przepełniania bufora znana jest pod nazwą stack-smashing i jest najczęściej stosowanym sposobem łamania programów. Stworzenie takiego kodu wymaga trochę wysiłku, gdyż wpisywane znaki są kodem maszynowym atakowanego komputera, ale i tak wielu ludzi to robi. Historia komputerów oraz literatura zawierają liczne przykłady na to, jak uniknąć lub udaremnić przepełnienie bufora. W wielu językach komputerowych nie jest to w ogóle możliwe. Niektóre komputery (jak starsze urządzenia firmy Burroughs) nie wykonałyby kodu znajdującego się w obszarze stosu. Ponadto, wiele kompilatorów języka C oraz jego bibliotek używa różnych metod udaremniania lub wykrywania prób zrujnowania stosu. Ta konkretna luka i jej proste odpowiedniki dawno już zostały naprawione przez więk- szość producentów systemów, ale pozostaje jednak inna zasadnicza kwestia. Napisanie poprawnego programu wydaje się być problemem przekraczającym możliwości infor- matyki. Błędy się mnożą. Błędem programu będziemy nazywać w programie to, co nie spełnia jego wymogów (czy wymogi te są poprawne, czy nie będziemy rozważać później). Błędy są przez to szczególnie trudne do zamodelowania, gdyż z definicji nie wiadomo, które z założeń (jeśli w ogóle któreś) zawiedzie. „Pomarańczowa księga” [Brand, 1985, ramka na stronie 142] zawiera szereg kryteriów stworzonych przez Departament Obrony w celu określenia poziomu bezpieczeństwa systemu. W przypadku opisanego tu robaka nie pomogłyby żadne najbardziej strukturalne zabezpieczenia systemu wywodzące się z tej księgi. W najlepszym razie system o naj- wyższym poziomie bezpieczeństwa ograniczyłby naruszenie ochrony do pojedynczego poziomu bezpieczeństwa. Robak ten był faktycznie atakiem blokady usług, co nie jest wcale takie ważne, gdy komputer o wielopoziomowym systemie bezpieczeństwa zostaje zniszczony przez jawny lub nawet ściśle tajny proces. W każdym z tych przypadków system staje się bezużyteczny. „Pomarańczowa księga” próbuje poradzić sobie z takimi sprawami przez koncentrowa- nie się na wymaganiach procesu i gwarancji bezpieczeństwa dla systemów o wyższych klasach. Wymagania na klasę B3 zawierają w punkcie 3.3.3.d1.1 następujące zalecenie: TCB (wiarygodna platforma komputerowa) powinna być zaprojektowana i skonstruowana tak, by używać kompletnego, koncepcyjnie prostego mechanizmu ochrony o ściśle zde- finiowanej semantyce. Ten mechanizm powinien odgrywać główną rolę we wdrażaniu wewnętrznych struktur TCB oraz
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Autor:
, ,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: