Данный протокол лежит в основе всего обмена почтовыми сообщениями в Internet. Это одна из наиболее часто используемых служб, и она больше всего подвергается злоупотреблениям. Первые программы, в которых был реализован протокол SMTP, довольно большие и сложные, содержали множество слабых мест. Одна из самых очевидных проблем - возможность фальсификации адреса отправителя. Если хакеру удастся заставить вас поверить, что письмо пришло от доверенного отправителя и открыть вложенный файл, вы рискуете, что в вашу сеть проникнет вирус или другие злонамеренные программы.
От компьютерных вирусов и других вредоносных программ нельзя защититься просто при помощи межсетевого экрана. Если вы собираетесь разрешить обмен почтовыми сообщениями между своей сетью и внешним миром, вам следует принять дополнительные меры предосторожности. Надо установить какую-либо хорошую и регулярно обновляющуюся производителем антивирусную программу, которая могла бы осуществлять поиск, обнаружение и уничтожение таких вредоносных программ.
Утилиты удаленного доступа
Для упрощения некоторых рутинных сетевых задач университетом Беркли был разработан ряд так называемых r-ymumim. Буква «г» в их названии означает «гетосе» (удаленный), так как они предназначены для выполнения задач удаленного доступа. Основными из этих утилит являются следующие:
- rlogin. Аналогичная Telnet, но более простая утилита позволяет входить в удаленную систему и работать с ее командами так, как если бы вы сидели за консолью удаленного компьютера;
- rsh. Предоставляет возможность выполнять команды на удаленной системе;
- гср. Аналогична FTP и обеспечивает копирование файлов между системами в сети;
- rwho. Запускает на удаленной системе демона (daemon) для получения информации о пользователях в удаленной сети;
- mptime. Выводит список компьютеров в удаленной сети и информацию о них, например число пользователей и время, прошедшее с момента последней перезагрузки системы;
- гехес. Устаревшая утилита для выполнения команд на удаленной системе.
Эти команды кажутся полезными, не так ли? Но они могут оказаться столь же опасными не только при доступе через брандмауэр, но и в локальной сети, в основном из-за небезопасного метода идентификации удаленного пользователя.
Чтобы применить эти утилиты, не нужно задавать имя пользователя или пароль. Вместо этого на удаленном компьютере находятся два файла - hosts . equiv и .rhosts, разрешающие доступ к системе.
Файл hosts. equiv содержит список удаленных систем, которые имеют доступ к компьютеру. За поддержку этого файла, так же как и файла паролей, отвечает системный администратор. Вы можете считать себя в безопасности, если в файл включены только имена доверенных систем. Но рассмотрим, к каким последствиям это может привести. Помещая в данный файл имя удаленной системы, вы открываете систему для атаки из любой из этих удаленных систем в случае ее взлома! Если хакер сумеет проникнуть на один компьютер, он получит доступ ко всем другим системам, в которых его адрес в файле hosts. equiv отмечен как доверенный!
К сожалению, все еще хуже. Файл .rhosts не контролируется системным администратором. Он находится в домашнем каталоге пользователя и, как и файл hosts. equiv, содержит имена доверенных удаленных систем. В файле . rhosts после имен систем перечислены имена пользователей, которым разрешается доступ к локальной системе с правами данного пользователя.
Как видите, при этом для создания бреши в системе безопасности достаточно действий всего одного не слишком опытного (или недовольного) пользователя.
Не устанавливайте утилиты удаленного доступа на брандмауэре. Запретите их. Если их использование в локальной сети разрешено, следует регулярно проверять файлы hosts. equiv и . rhost, чтобы убедиться в отсутствии несанкционированного доступа с их помощью.
Другие сетевые сервисы
В этой главе были рассмотрены лишь основные сервисы TCP/IP, которые существуют уже достаточно долго. Постоянно разрабатываются новые протоколы и сервисы. Например, для передачи Web-страниц служит протокол HTTP. Сервер RealAudio позволяет транслировать видео- или аудиопоток. Детали работы сотен доступных сервисов выходят за рамки данной книги. Но следует еще раз отметить, что при разработке межсетевого экрана следует отключать все сервисы и протоколы, разрешая работу только тех, которые необходимы. Это поможет вам защититься от появления новых протоколов или сервисов.
