[ Pobierz całość w formacie PDF ]
.W systemach Windows NT/2000 odinstalowujemy us³ugê serwera protoko³u Fingerwraz z ca³oœci¹ us³ug Simple TCP/IP Services, poprzez arkusz w³aœciwoœcipo³¹czenia sieciowego.Je¿eli za³o¿enia komunikacji sieciowej wymagaj¹, aby demon pozostawa³ aktywny,nale¿y zadbaæ o os³onê (wrapper).Nale¿y równie¿ zapewniæ, aby nie umo¿liwia³arozpowszechniania faktycznych nazw kont u¿ytkowników.Nastêpnie wy³¹czamyfunkcjê przekierowania us³ugi Finger i sprawdzamy czy dane u¿ytkownikówaktywnych nie s¹ bezpoœrednio dostêpne.Us³uga Finger s³ynie ze swojeju¿ytecznoœci w przygotowywaniu w³amañ do sieci, wszystkie wymienione uwaginale¿y wiêc potraktowaæ bardzo powa¿nie.Je¿eli nie mamy mo¿liwoœcizmodyfikowania kodu Ÿród³owego programu lub wp³ywu na konfiguracjê demona,powinniœmy z niego zrezygnowaæ i poszukaæ innej wersji.Port 80: HTTPJak niew¹tpliwie Czytelnik ju¿ wie, HTTP (Hypertext Transfer Protocol, protokó³przesy³ania hipertekstu) jest protoko³em, na którym opiera siê funkcjonowanieWielkiej Œwiatowej Pajêczyny, czyli WWW (World Wide Web).Protokó³ ten okreœlasposób formatowania i przesy³ania komunikatów bêd¹cych nastêpstwem wpisania wprzegl¹darce adresu URL witryny internetowej.Najczêstszym nadu¿yciem zwi¹zanymz ró¿nymi wersjami demona HTTP jest „z³amanie strony WWW” (ang.Web page hack).Mimo ¿e szersze omówienie technik przeciwdzia³ania przedstawione zostanie wdalszej czêœci ksi¹¿ki, wspomnimy teraz o istotnej zasadzie projektowania sieciz serwerem lub serwerami WWW.Mocno zalecane jest projektowanie sieci zgodnie z omówionym na wczeœniejszychstronach (Port 25: SMTP) schematem SMTP-NAT-DMZ.Umieszczenie serwera WWW zazapor¹ firewall, w strefie DMZ, pozwoli zaoszczêdziæ wielu, wielu godzinspêdzanych na mniej lub bardziej rutynowych dzia³aniach, do których zmuszaj¹administratora próby atakowania sieci.Podstawowym aspektem tego rozwi¹zaniajest wydajna zapora, zdolna do badania, potencjalnie, milionów pakietów ¿¹dañHTTP.Jest to rozwi¹zanie zdecydowanie najlepsze.Gdy jednak (jak to czêstobywa) koszt systemu staje siê istotnym czynnikiem ograniczaj¹cym, pozostajeutrzymywanie szczegó³owych dzienników systemu i wprowadzenie blokady portów.Blokady portów, takie jak TigerWatch (narzêdzie omówione w dalszychrozdzia³ach), pe³ni¹ rolê uproszczonych zapór firewall, zamykaj¹c podatne naataki porty i zwi¹zane z nimi us³ugi oraz monitoruj¹c próby ataków.Je¿eli us³uga HTTP nie jest wymagana, czy to w systemie UNIX, czy Windows,wy³¹czamy j¹.Wymagane czynnoœci s¹ podobne jako opisane na stronachwczeœniejszych (Port21: FTP i Port 23: Telnet).Gdy us³uga pozostaje aktywna, wsystemie UNIX nie wolno zapominaæ o jej os³onie, wraz ze szczegó³owymrejestrowaniem, oraz wy³¹czeniu funkcji przegl¹dania katalogów.TigerWebServerRozwi¹zaniem dobrym zarówno dla firm, jak i domowych u¿ytkowników Windows, mo¿ebyæ TigerWebServer — bezpieczny serwer WWW, od podstaw zaprojektowany tak, abymo¿na by³o go uruchomiæ, wraz z ca³¹ witryn¹, z dysku CD-ROM.Jest tonajpewniejszy sposób zabezpieczenia przed „z³amaniem” witryny WWW — nieistnieje mo¿liwoœæ zdalnej podmiany plików na niezapisywalnym dysku optycznym.Program posiada równie¿ inne ciekawe funkcje:Analizatory sesji.Proaktywne monitorowanie serwera.Zdalne zarz¹dzanie witryn¹.Przetwarzanie skryptów CGI, w tym dostêp do ksi¹¿ki goœci.Rozmowa (ang.chat) w czasie rzeczywistym.Obs³uga do 100 000 jednoczesnych strumieni po³¹czeñ.Modu³y FTP i Telnet u¿ytkownika.Obs³uga adresów IP w czasie rzeczywistym.Obs³uga adresów IP w czasie rzeczywistym jest szczególn¹ cech¹ programuTigerWebServer.Oznacza, ¿e w pe³ni profesjonalny dostêp do serwera WWW, zdowolnego miejsca i w dowolnym czasie, zapewniaæ mog¹ u¿ytkownicy zarównosta³ych, jak i tymczasowych czy telefonicznych internetowych kont dostêpowych.Mo¿na wrêcz korzystaæ z kilku ró¿nych kont dostêpu telefonicznego, z którychka¿de przypisuje serwerowi odmienny adres IP w ka¿dej sesji.TigerWebServerpracowaæ mo¿e w po³¹czeniu z us³ugami nazw domen lub bez nich.Program opisujemy szerzej w dodatku A.Porty 109 i 110: POPProtokó³ urzêdu pocztowego (Post Office Protocol, POP) s³u¿y do pobieraniapoczty elektronicznej z serwera pocztowego.Opiera siê na topologiiklient-serwer, gdzie pocztê odbiera i przechowuje serwer — do chwili, gdyoprogramowanie klienta przeprowadzi procedurê logowania i ostatecznie pobierzezgromadzone przesy³ki
[ Pobierz całość w formacie PDF ]