Bezpečnosť sieťových služieb

Operačný systém FreeBSD je vyvíjaný v prvom rade ako sieťový server a na tento účel je aj najčastejšie používaný. Internet ale už dávno nie je priateľská komunita ľudí, ktorí si navzájom dôverujú, pomáhajú a neškodia, ako tomu bolo v dobe jeho vzniku. Práve naopak, Internet je zlý, zákerný a plný nepriateľov. Zabezpečenie sieťových služieb je na každom serveri také dôležité, že sa mu venuje prevažná väčšina času administrácie serverov. Operačný systém FreeBSD poskytuje mnoho nástrojov na zabezpečenie ním poskytovaných sieťových služieb.

Nijaký všeobecne platný spôsob na zabezpečenie počítača pred útokom zo siete neexistuje. Rovnako sa ani o jednom operačnom systéme nedá defintívne povedať, že je bezpečnejsí ako iný. Zabránenie vykonaniu akejkoľvek nežiadúcej aktivity je v prevažnej miere vecou konfigurácie operačného systému a programov poskytujúcich služby. Zároveň platí, že systém je taký bezpečný, aké je bezpečné jeho najmenej bezpečné miesto. Preto sa odporúča budovať zabezpečenie na princípe cibule, podľa ktorého sa služby obaľujú vrstvami zabezpečenia, aby útočníka, ktorý sa dostane cez vonkajšiu vrstvu, zachytila ďalšia, vnútornejšia vrstva. Odhliadnuc od zabezpečení počítača na úrovni správy celej siete (demilitarizované zóny, virtuálne privátne siete, konfigurovateľné sieťové prepínače spolu s prideľovaním IP adresy na základe hardvérovej adresy sieťovej karty, odtienenie siete za transparentný proxy server či preklad sieťových adries, a pod.), je možné pomocou nástrojov nachádzajúcich sa priamo v operačnom systéme FreeBSD vytvoriť hneď niekoľko vrstiev zabezpečenia:

  1. Filtrovanie paketov – zabezpečenie na sieťovej vrstve. Umožňuje kontrolovať prebiehajúcu komunikáciu na úrovni paketov a veľmi účinne obmedzovať rozsah poskytovaných služieb.

  2. Kontrola spojení – ďalšie zabezpečenie na sieťovej vrstve. Umožňuje definovať pravidlá, podľa ktorých sa nadväzujú alebo odmietajú spojenia, alebo sa vykonávajú rôzne akcie pri nastatí špecifických udalostí pri uzatváraní spojenia.

  3. Konfigurácia služieb – väčšinu bezpečnostných problémov spôsobujú samotné aplikácie poskytujúce konkrétne služby (webový server, mail server, ftp server, klient siete peer to peer). Každá navonok poskytovaná služba potrebuje jasne stanovené pravidlá používania a jej konfigurácia vždy vyžaduje individuálny prístup.

  4. Jail – oddelenie procesov do samostatných virtuálnych priestorov, ktoré má za účel minimalizovať možné škody pri prelomení ochrany jednej z viacerých poskytovaných služieb.

  5. Bezpečnostné úrovne behu systému – znemožnenie vykonania určitých zásahov do nastavení operačného systému v prípade neoprávneného získania opravnení niektorého z používateľov alebo dokonca administrátora.

Kým prvé tri vrstvy zabezpečenia, ktorým sa bude v krátokosti venovať táto časť seriálu, sú určené na zabráneniu prieniku do systému zvonku, posledné dve spomínané majú dva účely: minimalizovať škody spôsobené pri prekonaní ostatných vrstiev a preniknutiu do systému, a zároveň slúžia na obmedzenie rozsahu pôsobnosti lokálnych používateľov.

Filtrovanie paketov

Pravidlami filtrovania paketov možno veľmi efektívne definovať, ktoré služby a v akom rozsahu budú poskytované. Dobrými pravidlami filtrovania paketov možno zamedziť skenovaniu portov, sťažiť určovanie typu operačného systému, alebo čeliť niekotrým typom útokov založených na vlastnostiach TCP/IP sietí.

S podporou filtrovania paketov je na tom operačný systém FreeBSD veľmi dobre. V čase písania tohto článku stabilná vetva FreeBSD obsahuje dva paketové filtre, ipf(8) a ipfw(8). V čase, keď budete čítať tento článok, bude však už s najväčšou pravdepodobnosťou skutočnosťou stabilná vetva FreeBSD 5, v ktorej k spomínaním dvom paketovým filtorm pribudne pf z OpenBSD. Všetko sú to veľmi kvalitné stavové paketové filtre, ktoré dokážu paket doslova obrátiť naruby a podľa zistených skutočností s ním naložiť mnohorakými spôsobmi.

Pri riešení otázky, ktorý paketový filter použiť, si treba položiť otázku, na aký účel má byť použitý. V zásade každý z uvedených paketových filtrov dokáže uspokojiť požiadavky väčšiny aplikácií a špeciálne črty niektorého z nich sa ukážu výhodné až pri značne špecifických požiadavkách. Často je rozhodujúcim faktom pri výbere jedného z nich spôsob zápisu pravidiel filtrovania, podľa preferencií administrátora. Navyše, možno používať aj viacero z nich súčasne (týka sa to minimálne ipf(8) a ipfw(8)).

Pre podrobnejšie informácie viď man 7 firewall, man 8 ipf, man 8 ipfw a v nich odkazované maunály.

Kontrola spojení

Pod týmto slovenským opisným názvom sa skrýva anglický termín TCP wrapppers, niekedy do slovenčiny prekladaný ako TCP obálky. TCP obálky skutočne akýmsi spôsobom obaľujú sieťové spojenie a môžu ho povoliť či zakázať. Napriek prítomnosti mena protokolu TCP v názve dokáže FreeBSD implementácia kontroly spojení pracovať aj s UDP "spojeniami" (UDP je nespojovaný protokol a žiadne spojenia sa teda pri ňom nevytvárajú; podľa určitých heuristík je ale možné definovať niečo ako UDP spojenie medzi dvomi stranami komunikujúcimi datagramami).

Princíp tohto bezpečnostného mechanizmu je v tom, že pri uzatváraní spojenia sa robí podrobná kontrola iniciátora tohto spojenia a na základe zistených skutočností sa podľa určených pravidiel reaguje. Zisťované informácie sú podrobnejšie, ako pri paketovom filtri. Robí sa spätný preklad IP adresy, pokúša sa zistiť meno používateľa na vzdialenom systéme, ktorý požiadavku na spojenie inicalizoval a podobne.

Na základe zistených skutočností o požiadavke na spojenie a pravidiel pre TCP wrappers, možno spojenie nielen povoliť alebo odmietnuť, ale možno naň reagovať aj inými spôsobmi. Pri odmientnutí spojenia možno inicátorovi spojenia odoslať krátku správu, zvyčajne so stručným zdôvodnením odmientnutia spojenia (tým môže byť napríklad nesprávne nakonfigurovaný jeho DNS server). Informácie o niektorých spojeniach možno logovať a neskôr analyzovať, pričom možno použiť buď systémové logovanie, alebo si urobiť vlastné. V princípe možno pri príchode každej požiadavky na spojenie vykonať ľubovoľnú akciu: TCP wrappers umožňujú na príchod požiadavky reagovať spustením akéhokoľvek programu alebo skriptu.

Kontrola požiadavky na spojenie prebieha ešte skôr, ako sa táto požiadavka dostane ku konkrétnej požadovanej službe. Táto služba musí byť ale naprogramovaná tak, aby TCP obálky podporovala. Väčšina sieťových služieb, ktoré sú súčasťou operačného systému FreeBSD, túto podmienku spĺňa. Ako príklad možno uviesť sshd(8), ftpd(8) alebo sendmail(8). Najčastejšie sa s pojmom TCP Wrappers spája program inetd(8).

Pre podrobnejšie informácie viď man 5 hosts_access.

Konfigurácia služieb

Zatiaľ čo bezpečnostné chyby v samotnom operačnom systéme FreeBSD nie sú časté, chyby v rôznych aplikáciách poskytujúcich sieťové služby sa objavujú veľmi často. Je to dané tým, že tieto aplikácie niekedy podstupujú dosť búrlivý vývoj, menia sa a zmenami sa zavádzajú do ich kódu nové chyby. Poskytované služby sú veľmi rôznorodé a rôznorodé sú aj aplikácie zabezpečujúce tieto služby. Je povinnosťou každého administrátora sledovať webové stránky a elektronické konferencie programov, ktoré jeho server používa. V prípade objavenia chyby je treba pohotovo chybu odstrániť, prípadne službu na nevyhnutný čas do uverejnenia spôsobu opravy prestať poskytovať.

Keďže prestať poskytovať službu môže byť niekedy veľmi nepríjemné alebo dokonca nanajvýš nežiadúce, je potrebné s možným objavením bezpečnostnej chyby v aplikácii počítať už pri jej výbere, kompilácii, inštalácii a konfigurácii. Všeobecne platný postup by sa hľadal len ťažko, ale možno sa držať niektorých odporúčaní.

  • Výber aplikácie – Ak existuje viacero programov, ktoré vedia poskytovať požadovanú službu, treba jeden z nich starostlivo vybrať. Pri tomto výbere je potrebné zvážiť viacero faktov. Dôležité je, aby sa používala aplikácia v stabilnej verzii, ktorá je už do určitej miery odskúšaná a neboli v nej nájdené chyby. Nemenej dôležité je, aby sa jednalo o aplikáciu, ktorá sa aktívne udržiava, t.j. že sa nejedná o aplikáciu, ktorej sa nikto niekoľko rokov ani nedotkol. K tomuto pravidlo – ako ku každému pravidlu – môžu existovať aj výnimky. Na tomto mieste treba ako príklad uviesť mailový server qmail, ktorý je už viacero rokov bez zmien. Tieto zmeny ale neboli potrebné preto, lebo tento program plní funkcionalitu, ktorú mu jeho autor Daniel J. Bernstein stanovil a zmysle pridávania nových čŕt sa qmail ďalej svojím pôvodným autorom nevyvíja a bezpečnostná chyba, ktorú by program obsahoval a vyžadovala by opravu, zatiaľ nikto neobjavil. Ďalšie kritérium výberu aplikácie sa týka jej minulosti. Tí, ktorí testujú počítačové programy, vedia, že chyby v programoch majú tendenciu sa zoskupovať. Ak teda niektorý program v minulosti obsahoval veľa chýb, je pravdepodobné, že sa ešte nejaké objavia. Toto zhlukovanie chýb je zvyčajne spôsobené zlým štýlom programovania autora alebo autorov programu. Strom portov v operačnom systéme FreeBSD poskytuje skutočne pestrý výber programov poskytujúcich mnohé sieťové služby. Niektoré sieťové služby (FTP, NTP, SMTP, SSH) sú dokonca integrované do samotného operačného systému FreeBSD.

  • Kompilácia aplikácie – V operačnom systéme FreeBSD je bežné inštalovať aplikácie zo stromu portov. Pri kompilácii je zvyčajne možné určiť, ako sa má daná aplikácia skompilovať, ktoré podsystémy sa do aplikácie nemajú zahrnúť, alebo ktoré črty aplikácie majú zostať vypnuté. Ako príklad možno uviesť POP3 server qpopper, pri kompilácii ktorého možno zvoliť, aby sa medzi podporované črty nezahrnula možnosť meniť jeho globálnu konfiguráciu inividuálnymi používateľskými nastaveniami.

  • Inštalácia aplikácie – Pre nietoré aplikácie je vhodné zvážiť, či budú inštalované bežným spôsobom, alebo sa na ne použije dodatočné zabezpečenie napríklad ich uzavretím do jail-u (viď nižšie), ako sa obmedzí možnosť prístupu k nim pomocou filtrovania paketov, alebo aké pravidlá je pre ne možné definovať pomocou TCP Wrappers.

  • Konfigurácia aplikácie – Každú aplikácu poskytujúcu sieťové služby možno zvyčajne rôznymi spôsobmi konfigurovať. Nikdy sa netreba uspokojiť, ak služba nainštalovaná podľa jednoduchého návodu v manuáli "nejako" funguje. Je potrebné zoznámiť sa s jej voľbami, možnosťami obmedzení funkcionality a pod. a tieto aplikovať. Ak má aplikácia modulárnu architektúru, vždy treba použiť čo najmenší počet modulov, ktoré ešte dokážu zabezpečiť požadovanú funkcionalitu. Jedným príkladom za všetky môže byť webový server Apache, ktorý má množstvo modulov, z ktorých pre prevádzku jednoduchého servera stačí len niekoľko málo. Ak sa na prevádzku použije len málo základných dobre odskúšaných modulov, je veľmi pravdepodobné, že veľa bezpečnostných chýb nájdených v super-experimentálno-kozmetických moduloch sa prevádzky servera vobec nebude týkať. Tým sa zníži riziko tak napadnutia služby, ako aj čas nedostupnosti služby počas odstraňovania prípadne nájdenej chyby.

Operačný systém – akýkoľvek – poskytuje zabezpečenie na všeobecnej úrovni. Naproti tomu jednotlivé aplikácie disponujú (alebo by aspoň mali disponovať) špecifickými mechanizmami na zabezpečenie vlastnej bezpečnosti a zabrániť tak svojmu zneužitiu. Ani veľmi dobre zabezpečený operačný systém nie je nič platný, ak nedbanlivo nakonfigurovaný webový či mailový server otvorí do systému ľahko zneužiteľnú bezpečnostnú dieru.

O jaile a bezpečnostných úrovniach behu systému bude nasledujúce pokračovanie seriálu.

FreeBSD Project Home