Securitatea in Linux

Securitatea sistemului Securitatea retelei Securitatea aplicatiilor Serviciile HTTP Securitatea perimetrala

Obiectul securitatii informatiei este de a asigura confidentialitatea, integritatea, autentificarea si disponibilitatea datelor de pe servere

Singurul mod de a stabilii si de a mentine o aparare eficace este de a incepe cu sistemul si a merge catre perimetru considerand separat fiecare strat.

Prima parte a lucrarii explica cativa termeni prezenti in lucrare si cateva tipuri de atacuri specifice sistemelor linux: extranet, statie bastion, zona demilitarizata, intranet, firewall, server proxy.

Ca metode de protectie sunt prezentate:

- criptarea cu cheie privata, criptarea cu cheie publica, autentificarea utilizatorilor si controlul accesului, disponiblitatea datelor si a serviciilor

Ca metode de atac: atacuri ale serverului de Web (intruziuni in scripturile CGI, depasire de buffer), compromitera contului de root, adrese false, furtul sesiunii, ascultarea pe retea, caii troienii, criptanaliza si atacurile in forta bruta.

Capitolul de securitate a retelei acopera cateva servicii specifice linux

Inetd – toate distributiile de Linux, includ un utilitar central pentru servicii de retea controlat de procesul inetd. Acest super server actioneaza ca o casa de clearing sau un punct central de administrare pentru toate serviciile de internet ce ruleaza pe server. Cand s-a constatat ca majoritatea administratorilor de retea folosesc inetd si TCP wrappers, s-a creat un alt daemon –xinetd- ce ofera facilitatile ambelor aplicatii.

TCP Wrappers – se interpune intre inetd si aplicatia server in sine si adauga un strat de control al accesului

unei facilitati prezente in inetd.

Aplicatia primeste si examineaza fiecare cerere de conexiune si pe baza unui set de criterii decide daca o accepta sau o respinge.

Comanda netstat - este una din cele mai puternice utiliati care sunt oferite in cautarea unei configurari sigure a retelei. Desi tabela de procese va arata ca daemoni au fost lansati din linia de comanda, iar fisierul /etc/inetd.conf vi le arata pe cele care sunt controlate de inetd, comanda netstat este ultima „autoritate” in diagnosticarea porturilor pe care serverul de Linux le asculta. [3][7]

Comanda netstat –inet –a arata conexiunile care sunt curent active (ESTABLISHED) sau in procesul de a fi intrerupte (CLOSE_WAIT) ca si acele servici care asteapta noi conexiuni (LISTEN).

Capitolul de securitatea aplicatiilor prezinta trei agenti de posta electronica: Sendmail, Qmail si Postfix si doua protocoale de accesare a postei electonice POP3 si IMAP.

Sendmail a fost prima aplicatie de gestionare a postei electronice. Desi primele versiuni nu au fost proiectate cu accent pe securtitate, versiunile ulterioare au facut un pas inainte prin implementarea unei aparari multilaterale impotriva mesajelor comerciale nesolicitate cat si incorporarea suportului pentru autentificarea SMTP.

Concurenta pentru sendmail o reprezinta Qmail ce urmareste sa solutioneze problemele de securitate din Sendmail oferind un MTA proiectat cu accent pe securitate.

Regulile urmarite de Qmail sunt: evitarea executarii daemonului principal de transport al postei ca root, evitarea utilizarii setuid, trateaza adresele diferit fata de programe si fisiere.

Pop3 – desi protocolul existent a fost considerat bun pentru trimiterea mesajelor, trebuia creat un protocol care sa se ocupe de preluarea mesajelor. Acesta este POP in versiunea sa actuala 3 ce a devenit cel mai folosit protocol de preluare a mesajelor.

Functionalitatea apop extinde segventa de autentificare a standardului Pop3 adaugand posibilitatea de a trimite informatii de autentificare fara a expune parolele in clar.

IMAP – pop are dezavantajul ca mesajele trebuie descarcate pe computerul utilizatorului. De asemenea constituie o problema citirea mesajelor de la mai multi clienti pastrand casuta sincronizata. IMAP rezolva aceste dezavantaje, fiind un protocol client/server care este independent de transportul utilizat pentru a acesa serverul de mail.

Deasemnea ne permite sa accesam mai multe foldere de posta electronica de pe un server aflat la distanta indiferent de identitatea utilizatorului.

In lipsa unui criptarii intre server si client schimbul de nume utilizator si parola va fi in clar.

Serverul Apache sta la baza exploziei serverelor de web. Folosirea lui forteaza deschiderea unor porturi (80, 443) catre public ce determina o vulnerabilitate a sistemului.

Exista totusi cateva directive care pot fi utilizate in fisierul sau de configurare pentru asigurararea faptului ca ofera un nivel adegvat de autentificare, autorizare si control al accesului.

Mod_ssl este un complement pentru instalarea Apache de baza care adauga confidentialitate, integritate si servicii de autentificare utilizand extensiile OpenSSL

Samba ofera un numar de parametri de configurare care permite realizarea o instalare specifica. Trebuie decis ce tip de autentificare folosim pe baza naturii resurselor partajate. Daca este nevoie sa partajam resurse cu utilizatori oaspeti, modul de autentificare share este singura alternativa. Daca insa utilizatorii sunt cunoscuti modul de autentificare user este optiunea cea mai buna. Utilizand directiva valid users restrictionam resursele partajate doar la acei utilizatori carora trebuie sa li se acorde acces la fisiere specifice. Daca utilizatorii vor accesa servere Samba aflate la distanta trebuie sa avem in vedere confidentialitatea traficului SMB pentru protejarea comunicatiilor Samba prin secure sockets layer se poate utiliza OpenSSL si SSL proxy.

Firewall-urile pentru stratul de retea cunoscute si ca porti de fltrare a pachetelor, aceste dispozitive examineaza fiecare pachet IP care intra in oricare din interfetele firewall-ului si actioneaza tinand seama de adresa de IP sursa sau destinatie. Actiunile tipice sunt: eliminare, permisiune, inregistrare

Firewall-urile de filtrare a pachetelor reprezinta un concept usor de dezvoltat insa le lipseste abilitatea de a privii in profunzime in pachetul care intra pentru a lua o decizie mai inteligenta pe baza tipului de aplicatie continuta de pachet.

Firewall-urile pentru stratul de transport pot lua decizii de acces mai “educate” si pot permite administratorului sa foloseasca autentificarea utilizatorilor drept criteriu pentru acordarea sau respingerea accesului prin examinarea si intelegerea unei conversatii TCP/UDP