Docsity
Docsity

Przygotuj się do egzaminów
Przygotuj się do egzaminów

Studiuj dzięki licznym zasobom udostępnionym na Docsity


Otrzymaj punkty, aby pobrać
Otrzymaj punkty, aby pobrać

Zdobywaj punkty, pomagając innym studentom lub wykup je w ramach planu Premium


Informacje i wskazówki
Informacje i wskazówki

Geneza Internetu - Notatki - Informatyka - Część 3, Notatki z Informatyka

Powstanie Internetu , definicja "Języka C", Unixa, historia i działanie TCP/IP, czym są i jak działają poszczególne protokoły, Firewall, SSH.

Typologia: Notatki

2012/2013

Załadowany 27.02.2013

Norbert_88
Norbert_88 🇵🇱

4.5

(30)

322 dokumenty


Podgląd częściowego tekstu

Pobierz Geneza Internetu - Notatki - Informatyka - Część 3 i więcej Notatki w PDF z Informatyka tylko na Docsity! Parametry jądra systemu Począwszy od wersji Red Hat 6.2 wszystkie parametry systemu znajdujące się w “/proc/sys” mogą być teraz modyfikowane i konfigurowane podczas uruchomienia systemu. Aby dokonać jakichkolwiek jakichkolwiek zmian należy posłużyć się pikiem „/etc/sysctl.conf” ,który odczytywany jest za każdym razem gdy system jest bootowany. Poniżej przedatwię kilka zmian ,jakie powinno się wprowadzić w celu poprawy bezpieczeństwa systemu. Zablokowanie odpowiedzi dla pakietów „ping” Zablokowanie odpowiedzi dla pakietów „ping” może być dużym udogodnieniem dla sieci, gdyż od tego momentu nikt nie jest w stanie użyć „pinga” do naszego serwera. [root@linux]# ping www.serwer.com.pl Polecenie “ping” wysyła przykładowe pakiety danych oczekując odpowiedzi od serwera. W ten sposób w łatwy sposób można przy pomocy polecenia „ping” zlokalizować hosta o danym adresie IP lub hosta NS. Jeżeli na serwerze zmienimy konfigurację tak , aby serwer nie wysyłał potwierdzenia „pinga” , serwer ten stanie się niewidoczny w Internecie. Wystarczy na konsoli głównej wydać polecenie : [root@liux]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all lub przy pomocy pliku „/etc/sysctl. conf” dopisać linijkę : # Włączenie ignorancji dla polecenia ping net.ipv4.icmp_echo_ignore_all = 1 Wyłączenie odpowiedzi dla broadcast Tak samo jak dla pinga ,ważnym jest aby wyłączyć odpowiedź serwera dla usługi broadcast. Usługa broadcast działa w ten sposób , iż wysyłając pakiet IP pod wskazany adres (np. 192. 168. 1. 255) z sieci lokalnej, pakiet ten dostarczany jest do wszystkich komputerów w tej sieci lokalnej. Pakiet taki nazywany jest „ICMP echo request” i jest on w stanie spowodować tzw. „SYN Attack” ,nazywany inaczej (DOS) – „Denial od sernice” Komentarz [P1]: Polecenie ping docsity.com Podobnie jak w „pingu” należy dokonać dodatkowego wpisu w pliku „/etc/sysctl.conf” net.ipv4.icmp_echo_ignore_broadcast = 1 Włączenia ochrony dla TCP SYN Cookie Protection „Denial of sernice” jest atakiem spowodowanym często usługą broadcast. Zbyt wielkie obciążenia sieci przy pomocy usługi broadcast zmusza serwer do ponownego uruchomienia ,gdy serwer nie ma dostatecznych zasobów. Dlatego ważnym jest zapobiec takim wydarzeniom. Wystarczy dokonać wpisu w „/etc/sysctl.conf” net.ipv4.tcp_syncookie = 1 Po dokonaniu wszystkich wpisów należy restartować usługę „network” [root@linux]# /etc/rc.d/init.d/network restart Setting network parameters [OK] w/w przykłady są tylko niektórymi ważniejszymi parametrami jądra systemu ,które powinny zostać ustawione przed podłączeniem serwera do Internetu. Aspekty bezpieczeństwa i konfiguracji TCP/IP Aby harmonijnie połączyć działanie sieci lokalnej z Internetem, nie wystarczy poprawne skonfigurowanie modemu i mechanizmu IP Masquaradingu, choć czynności te mają znaczenie podstawowe dla działania połączenia z siecią globalną. Trzeba się jeszcze zastanowić, jak ułatwić użytkownikowi naszego serwera wysyłanie i odbieranie poczty elektronicznej, korzystanie z WWW czy news. Ponadto dobrze jest uruchomić w naszej sieci serwery takich usług jak FTP, WWW. Zwiększy to wygodę osób korzystających korzystających sieci lokalnej i spowoduje udostępnienie im nowych możliwości. Projektując sieć lokalną musimy pomyśleć o przydzieleniu jest adresów. Będzie to umożliwiało późniejsze połączenie naszej sieci lokalnej z Internetem. Przyjmuijmy, że nasza sieć będzie miała adres 192.168.10.0. Na serwerze linuksowym sieci ustawiamy jego adres IP, maskę sieci i adres rozgłoszeniowy. Możemy to zrobić poleceniem: docsity.com Konfiguracja jądra systemu (Kornel configuration) Podstawą Linux`a jest jego jądro (Kernel), które powinno być odpowiednio skompilowane ,tak aby zapewniało systemowi maksymalne bezpieczeństwo. Jądro systemu najlepiej pobrać w serwera ftp://ftp.kernel.org lub ftp://ftp.icm.edu.pl Po instalacji systemu należy tak skompilować jądro, żeby odpowiadało naszym potrzebom i było jak najbardziej wydajne. Zasadą jest przy tym, że im więcej mechanizmów mechanizmów urządzeń jądro obsługuje ,tym jest większe i mniej wydajne. Jądro obecnie obsługuje wiele mechanizmów związanych z bezpieczeństwem protokołu TCP/IP, które warto zainstalować. Są to między innymi zapory sieciowe (firewall), mechanizm translacji adresów sieciowych (IP Masquerading), syn cookies protection – mechanizm zabezpieczający przed tak zwanym syn flooding ,czyli „zalewaniem” komputera dużą ilością pakietów, co prowadzi do zawieszenia lub spowolnienia systemu. Najważniejszą , ale i wymagającą najwięcej nakładu pracy fazą kompilacji jądra jest jego konfiguracja. Przeprowadzając ją powinniśmy uwzględnić kilka czynników ,z których najważniejsze to :  przeznaczenia jądra (dla serwera sieciowego, stacji graficznej, komputera multimedialnego, itp.)  rodzaj podzespołów wchodzących w skład komputera  współpraca systemu z otoczeniem (innymi systemami operacyjnymi, urządzeniami sieciowymi) docsity.com Większość dystrybucji Linuksa dostarczana jest z jądrem przygotowanym do obsługi jak największej liczby podzespołów. W praktyce polega to na kompilacji dystrybucji pod kątem współpracy w procesorem typu i386 (czasem i586) oraz na dołączeniu do jądra systemu sterowników wielu urządzeń, na przykład starszych modeli napędów CD-ROM, czy szeregu usług, jak choćby pełnej obsługi sieci komputerowej. Takie rozwiązanie jest z pewnością uniwersalne i przygotowane w ten sposób dystrybucja Linka z dużym prawdopodobieństwem będzie działała na większości typowych, popularnych zestawach komputerowych. Tym niemniej nie możemy się, że osiągniemy maksymalną wydajność systemu i jego bezpieczeństwo. Jądro stanowi podstawową część systemu operacyjnego. Od niego zależy działanie i współpraca między sobą pozostałych komponentów. Pierwszym i podstawowym zadaniem jądra jest zarządzanie działającymi w danym momencie procesami oraz przydzielanie im z góry ustalonego czasu procesora. Kolejną funkcją jądra jest zarządzanie pamięcią operacyjną oraz obsługa urządzeń. Współczesne wersje jądra składają się ze stosunkowo niewielkiej części stałej oraz z modułów, czyli sterowników dołączonych do pracującego jądra w miarę pojawiania się takich potrzeb. Dzięki modularnej budowie jądro może potencjalnie obsłużyć setki różnych urządzeń zachowując jednocześnie niewielki rozmiar i nie tracąc dużo na wydajności. Najnowsze wersje Linuksa są standardowo wyposażone w narzędzie kerneld, służące do automatycznego zarządzania modułami. Moduły stosuje się do obsługi tych urządzeń, bądź systemu plików, których używa się sporadycznie. Do operacji na modułach służą komendy insmod - dodanie modułu do jądra rmmod - usunięcie modułu z jądra depmod - tworzy bazę danych skompilowanych i dostępnych modułów lsmod - lista zainstalowanych modułów Aby skompilować pobrane wcześniej jądro należy zainstalować pakiety: kernel-headers-wersja.i386.rpm - nagłówki jądra systemu kernel-source-wersja.i386.rpm - jądro systemu Sam process kompilacji wymaga jeszcze wcześniejszego zainstalowania pakietów make-x.x-x.rpm - program make docsity.com bin86-x.x-x.rpm - asembler egcs-x.x-x.rpm - kompilator języka C Plik ze spakowanym jądrem systemu należy rozpakować do katalogu „/usr/src/linux” [root@linux[# tar –xvf kernel-source-x.x-x.tar /usr/src/linux Gdy już mamy zainstalowany pakiet ze źródłami jądra systemu, należy przystąpić do konfiguracji jego parametrów. Po wydaniu polecenia make menuconfig można przejrzeć informacje o fabrycznej konfiguracji jądra. Wszystkie opcje podczas konfiguracji jądra mogą zostać usuniętę z jądra systemu (puste pole), wkompilowane w jądro systemu (gwiazdka), oraz wkompilowane jako moduł (literka „M”). Aby jądro systemu było bezpieczne i wydajne należy odpowiednio skonfigurować opcje : Procesor type and features Symetric multi-processing suport(CONFIG_SMP) [Y/n] N Loadable modules support Enable loadable modules support (CONFIG_MODULES) [Y/n] N General setup Backward-compatible /proc/pci (CONFIG_PCI_OLD_PROC) [Y/n] N Networking options Network firewalls (CONFIG_FIREWALLS) [Y/n] Y IP:firewalling (CONFIG_IP_FIREWALL) [Y/n] Y IP: TCP syncookie support (CONFIG_SYN_COOKIES) [Y/n] Y Filesystems Quota support (CONFIG_QUOTA) [Y/n] Y Kernel automounter support (CONFIG_AUTOFS_FS) [Y/n] N Network File Systems NFS filesystem support (CONFIG_NFS_FS) [Y/n] N Wyjaśnienie do zaznaczonych opcji : Symetric multi-processing support wsparcie dla platform wieloprocesorowych. Jeżeli używamy jednego procesora należy docsity.com Boot image: /boot/vmlinuz-x.x-x Added nowe_jadro * Writing boot sector W ten sposób po ponownym restarcie systemu, parametry pracy zostaną odczytane z nowego jądra systemu.2 2 Budowanie zabezpieczeń sieci komputerowych: Mariusz Stawowski, Wydawnictwo Arskom, Warszawa 1999, s.121 docsity.com FIREWALL Duża atrakcyjność Internetu wynika z faktu, że w odróżnieniu od telewizji nie jest to medium jednokierunkowe - każdy użytkownik jednocześnie dostarcza i odbiera informacje. Jeśli nawet wędrujemy tylko po sieci World Wide Web lub wymieniamy pocztę elektroniczną, możemy nieświadomie stać się dostarczycielem danych ze swojego twardego dysku oraz z lokalnej sieci. Popularne systemy operacyjne - z Windows na czele - są bardziej przystosowane do wygodnej wymiany danych niż do ich ochrony. O ile wartość informacji zgromadzonych przez indywidualnego użytkownika jest niewielka, o tyle praktycznie żadna firma nie może sobie pozwolić na rozpowszechnienie poprzez Internet swoich baz danych. Równie duże straty może spowodować usunięcie lub zniekształcenie informacji zapisanych na twardych dyskach. Nawet tzw. ataki Denial of Service, których celem nie jest zdobycie jakichkolwiek informacji, lecz "tylko" unieruchomienie serwerów internetowych, mogą spowodować poważne straty finansowe. Ich konsekwencją są przestoje w działaniu zaatakowanych serwerów, a co za tym idzie, utrudnienia w pracy korzystających z nich pracowników. Wprawdzie w Internecie nie znajdziemy wcale więcej nieuczciwych osób niż w życiu codziennym, jednak w Sieci mogą one znacznie łatwiej ukryć swoją tożsamość, w związku z czym za swe czyny zwykle nie ponoszą odpowiedzialności. Ulubionymi miejscami ataku hakerów są bezpłatne wejścia informacyjne serwisów sieciowych oraz słabo chronione serwisy sieciowe uniwersytetów. Taka działalność nie wymaga bynajmniej użycia drogiego sprzętu, gdyż z powodzeniem wystarczy do tego zwykły domowy pecet. Wiele luk w mechanizmach zabezpieczających jest dobrze znanych, a informacje na ten temat są powszechnie dostępne w Internecie. Często wraz z takimi informacjami można od razu uzyskać odpowiednie docsity.com oprogramowanie, służące do przeprowadzenia ataku, tak więc nie musimy dysponować umiejętnością programowania. Za pomocą automatycznych narzędzi (np. programu SATAN) można w krótkim czasie sprawdzić poziom bezpieczeństwa danych w tysiącach serwerów internetowych. Podstawową zasadą działania wszelkich systemów ochronnych jest: "To co nie jest jawnie dozwolone - jest zakazane". Firewalle (zapory ogniowe) są instalowane między sieciami w celu wymuszenia kontroli dostępu między nimi. Generalnie rzecz ujmując, firewalle zabezpieczają przed nieautoryzowanym dostępem z zewnątrz do sieci lokalnej. Niektóre nawet mogą całkowicie blokować ruch pakietów z zewnątrz - dopuszczając ewentualnie pakiety poczty elektronicznej - zezwalając jednakże na swobodne komunikowanie się użytkowników sieci ze światem zewnętrznym. Inną pożyteczną cechą firewalli jest możliwość wykorzystania ich do rejestrowania i śledzenia wszelkich przychodzących pakietów (auditing). Stacje umieszczane w pierwszej linii obrony, określane również jako bastion host, są punktami przez które przechodzą wszystkie informacje do sieci lokalnej i na zewnątrz. Dzięki takiemu scentralizowaniu dróg dostępu do sieci w jednym komputerze można łatwo zarządzać systemem ochrony. Dobrze skonstruowana zapora ogniowa zabezpiecza niemal całkowicie przed atakami z zewnątrz. Potrafi zapobiec podsłuchiwaniu i podszywaniu się pod uprawnionych, blokuje penetrację sieci wewnętrznej oraz potrafi ochronić przed znanymi wirusami i koniami trojańskimi. Typy zapór ogniowych Na rynku dostępnych jest wiele produktów sprzedawanych pod nazwą "Firewall", lecz różnią się one poziomem oferowanych zabezpieczeń. Wyróżniamy nastepujące typy zapór ogniowych: Zapora ogniowa na poziomie sieci docsity.com przełamania - sieć wewnętrzna pozostaje w dalszym ciągu dobrze zabezpieczona. Jednak do prawidłowej pracy takiego systemu niezbędna jest współpraca firewalla z minimum trzema kartami sieciowymi, co może w wielu przypadkach być warunkiem trudnym do spełnienia. Architektury zapór ogniowych Zapora ogniowa z dwiema kartami Zapora taka jest prostym, lecz bardzo bezpiecznym rozwiązaniem, w którym jeden komputer oddziela sieć lokalną od Internetu. W komputerze głównym są zainstalowane dwie karty sieciowe, do których są podłączone obie sieci. Oparta jest ona na kilku serwerach proxy poziomu aplikacji lub na serwerze proxy poziomu transmisji. Oprogramowanie serwerów proxy sprawuje kontrolę nad przepływem pakietów z jednej sieci do drugiej. Ponieważ komputer główny jest "podzielony" na dwie części (dołączony do dwóch sieci), zapora ogniowa umieszczona w tym komputerze ma dostęp do pakietów obydwu sieci, dzięki czemu może kontrolować przepływ danych między sieciami. Mogą to być dwie sieci lokalne lub sieć lokalna i Internet. Największą wadą tego zabezpieczenia jest konieczność wyłączenia wewnętrznych funkcji rozsyłania. Włączenie standardowych wewnętrznych funkcji rozsyłania w komputerze głównym sprawia, że zapora ogniowa staje się bezużyteczna. Zapora ogniowa z routerem ekranującym docsity.com Według wielu osób zapora taka jest bezpieczniejsza od zapory z dwiema kartami. Wymaga ona dodania do sieci routera i umieszczeniu komputera głównego z dala od Internetu (przerwania bezpośredniego połączenia tego komputera z Internetem). Taka zapora ogniowa jest bardzo efektywna i prosta w eksploatacji. Router łączy sieć lokalną z Internetem i jednocześnie oddziela określone typy pakietów. Można tak skonfigurować router, aby widział on tylko jeden komputer główny w sieci lokalnej. Użytkownicy sieci, którzy mają dostęp do Internetu, muszą korzystać z pośrednictwa tego komputera. Mają oni więc bezpośredni dostęp do Internetu, natomiast dostęp do sieci lokalnej z zewnątrz jest ograniczany przez komputer główny. Umieszczenie routera ekranującego i filtra pakietowego na komputerze z dwoma kartami sieciowymi jest najprostszym rozwiązaniem, w którym jeden komputer oddziela sieć lokalną od potencjalnych zagrożeń. Blokuje on ruch pomiędzy konkretnymi sieciami, hostami lub niektórymi portami. Zapora ogniowa z dwoma routerami ekranującymi Zapora taka wymaga zastosowania dwóch routerów i serwera proxy. Serwer proxy znajduje się w swojej własnej sieci, gdzie współpracuje tylko z dwoma routerami. Jeden router kontroluje przepływ danych w sieci lokalnej, a drugi kontroluje dane przychodzące z Internetu i wysyłane do niego. Taka architektura zapory zapewnia wyjątkowo skuteczną ochronę przed atakami. Dzięki temu, że komputer główny jest odizolowany w oddzielnej sieci, uderzenie jest ograniczone jedynie do niego, co dodatkowo minimalizuje możliwość wyrządzenia szkód w chronionej sieci. Ponadto router w sieci lokalnej uniemożliwia uzyskanie nieautoryzowanego dostępu do komputera głównego z wnętrza sieci. docsity.com Usługi dodatkowe Systemy firewall oferują wiele dodatkowych usług, które pomagają zabezpieczyć sieć bądź przyspieszyć jej pracę. Wśród nich na szczególne wyróżnienie zasługują Proxy Cache Services. Usługa ta umożliwia zoptymalizowanie ruchu na łączu WAN poprzez przechowywanie informacji (stron WWW), do których często odwołują się użytkownicy sieci; zwykle jest to element zintegrowany z serwerami pośredniczącymi.  W przypadku przyspieszania pracy klientów lokalnej sieci, Proxy Cache Server umieszczamy pomiędzy nimi a Internetem. Wówczas żądania o strony umieszczone w pamięci serwera są obsługiwane z prędkością LAN, a łącze WAN nie jest wcale obciążane.  W przypadku intensywnie eksploatowanych serwerów WWW, umieszczonych w głębi sieci lokalnej, również warto zastosować Proxy Cache Server. Odciąży on serwery i zmniejszy transmisję w sieci LAN. docsity.com Szyfrowanie całych pakietów znacznie zwiększa bezpieczeństwo połączenia, ponieważ ukrywa numery połączeń i przesyłane dane. Serwer z VPN zainstalowany na obrzeżu sieci umożliwia zarządzanie całą siecią wirtualną z dowolnego miejsca, co dodatkowo upraszcza administrację. Jedynym elementem, który powinien zostać przekazany tradycyjną metodą jest klucz (w BorderManager firmy Novell klucz jest 40- lub 128-bitowy; na eksport poza terytorium USA klucza 128-bitowego nałożone są spore restrykcje) umożliwiający nawiązanie zaszyfrowanego połączenia. docsity.com Narzędzia w rodzaju Novell IP Gateway umożliwiają sieciom pracującym z innymi protokołami, bądź z adresami IP, które nie są unikalne, korzystanie z sieci Internet. Dają możliwość całemu systemowi na korzystanie z jednego adresu IP, który również może być przydzielany dynamicznie. Umożliwia to firmie korzystającej np. z protokołu IPX na podłączenie do Internetu za pomocą modemu u dostawcy przydzielającego adresy dynamicznie (TP S.A.). Dodatkową zaletą zwiększającą bezpieczeństwo przy korzystaniu z takich usług jest ukrycie adresów lokalnych systemu. Usługa Network Address Translation (NAT), podobnie jak IP Gateway, pozwala klientom, którzy nie posiadają unikalnych adresów, korzystać z Internetu. Dodatkowo może pracować jako filtr pozwalający tylko na niektóre połączenia z zewnątrz i gwarantujący, że wewnętrzne połączenia nie będą inicjowane z sieci publicznej. docsity.com

1 / 21

Toggle sidebar

Dokumenty powiązane