Тема 9. Совместное использование ОС Windows и Linux в сети
Вопросы для изучения: • ОС Windows • ОС Linux • Совместное использование ОС Windows и Linux в сети. В последнее время популярность Linux растет буквально каждый день. Linux является высокопроизводительной некоммерческой операционной системой, одной из разновидностей Unix. Как известно, она была создана выпускником Хельсинкского университета Линусом Торвальдсом. Основными преимуществами Linux являются открытость и мультипоточность, кроме того, в ней есть возможности четкого разграничения ресурсов и уровней доступа пользователей. На сегодняшний день многие производители программного обеспечения поддерживают эту операционную систему; среди них выделим Oracle и Informix. Samba — набор программ, которые предназначены для организации доступа клиентов к файловому пространству сервера и принтерам с помощью протоколов SMB (Server Message Block)и CIFS (Common Internet Filesystem). Первоначально написанный для Unix Samba теперь также работает под управлением и других ОС, в частности OS/2 и VMS. Это означает, что такие средства этих операционных систем, как файл-сервер и сервер печати, могут быть использованы для SMB- и CIFS-клиентов. В настоящее время существуют соответствующие клиенты для DOS, Windows NT, Windows 95, Linux smbfs, OS/2,
55 Pathworks. Протокол SMB используется Microsoft Windows NT и 95 для организации доступа к дискам и принтерам. При помощи SAMBA возможно: предоставлять доступ к файловой системе под ОС Linux для Windows-машин; получать доступ к файловой системе под ОС Windows для Linux-машин; предоставлять доступ к принтерам под ОС Linux для Windows-машин; получать доступ к принтерам под ОС Windows для Linux-машин. Компоненты пакета Samba выполняют следующие функции: Демон smbd предоставляет службы доступа к файлам и принтерам для клиентов протокола SMB, таких как Windows 95/98, Windows for Workgroups, Windows NT или LanManager. Конфигурация для этого демона задается в файле smb.cfg. Демон nmbd обеспечивает поддержку сервера имен Netbios для клиентов. Он может запускаться в интерактивном режиме для опроса других демонов службы имен. Программа smbclient является простым SMB-клиентом для UNIX-машин. Она используется для доступа к ресурсам на других SMB-совместимых серверах (таких как Windows NT), а также позволяет UNIX-станции воспользоваться удаленным принтером, подключенным к любому SMB-серверу (например, к компьютеру с WfWg). Утилита testparm предназначена для проверки файла конфигурации smb.conf. Утилита smbstatus позволяет выяснить, кто в данный момент использует сервер smbd. Утилита nmblookup дает возможность запрашивать имена NetBios из UNIX-машин. При помощи утилиты make smbcodepages создаются файлы для описания SMB кодовой страницы. Утилита smbpasswd дает возможность шифровать пароли. Каждый компонент детально описан на страницах руководства, поставляемого с пакетом Samba. Литература: [1-5, 10-12] Тема 10. Проектирование сети. Настройка сетевого оборудования. Вопросы для изучения: • Безопасность в Интернете • XSS Filter • SmartScreen Filter • Data Execution Prevention
56 • HTTPS XSS Filter Фильтры — фрагменты кода, которые могут быть выполнены до и\или после выполнения действия контроллера. Фильтры, при необходимости, могут не допустить выполнения запрошенного действия. • Защита от Cross-Site Scripting – наиболее распространенный тип атак • Эвристические алгоритмы • Автоматическая блокировка XSS-фильтр работает как компонент IE8, который просматривает все запросы и ответы, проходящие через браузер. Когда фильтр обнаруживает XSS в межсайтовом запросе, он обнаруживает и нейтрализует атаку, если она зависит от ответа сервера. Пользователям не задают вопросы, на которые они не могут ответить — IE просто блокирует вредоносный скрипт от исполнения. Как можно понять, есть множество интересных и тонких сценариев, которые фильтр должен обрабатывать правильно. Вот некоторые из них: Фильтр должен быть эффективен, даже если атака направлена на артефакт часто используемых рабочих сред веб-приложений. Например, будет ли атака замечена, если определенный символ в запросе был потерян или модифицирован при повторном запросе; При фильтрации наш код не должен предоставить новый сценарий для атаки, которая бы отличалась от существующей. Например, представьте, что фильтр можно заставить нейтрализировать закрывающий тэг SCRIPT. В таком случае недоверенный контент с сайта позже может быть запущен как скрипт. И, конечно, в дополнение ко всему этому нам нужно эффективно бороться со всеми векторами XSS-атак, которые еще не были закрыты другими способами сокращения поверхности для XSS-атаки. Пользователю не задаются вопросы, на которые он не может ответить — IE просто блокирует вредоносный скрипт от исполнения. Проще говоря, XSS-фильтр в IE8 призван обеспечить глубокую защиту путем автоматического обнаружения и предотвращения наиболее распространенных XSS-атак, с которыми пользователи сталкиваются на просторах Интернета, без потери производительности или совместимости. Повсюду, где реализован пользовательский ввод, существует опасность XSS, который по сути является разновидностью Injection-атак (внедрение опасного кода). Если ввод не фильтруется, достаточно оставить сценарий скрипта на странице, и этот скрипт
57 автоматически будет выполняться на браузере любого пользователя, просматривающего данную страницу. XSS Filter – он анализирует все request и response, выявляет XSS, после чего уведомляет пользователя о грозившей, но предотвращенной угрозе. Компании, которые беспокоятся о том, чтобы их сайт не был «случайно» заблокирован этим фильтром, могут решить свою проблему – XSS-фильтр можно отключить передаваемым через http заголовок параметром X-XSS-Protection: 0. SmartScreen Filter В Internet Explorer 8 присутствует фильтр SmartScreen Anti-Malware. Благодаря расширенной эвристике и телеметрии он снижает вероятность перехода пользователя по фальшивой ссылке. После ввода URL проводится подробный анализ всей адресной строки, и результаты сравниваются с базой данных сайтов, на которых имеются вредоносные программы или которые являются фишинговыми ресурсами. В результате работы SmartScreen Anti-Malware при попытке запуска опасного кода, загруженного с сайта, его исполнение блокируется, а пользователю выводится предупреждающее сообщение. Если сайт находится в «черном списке», то Internet Explorer 8 предупредит об опасности, окрасив заголовок вкладки в красный цвет. Адресная строка также поменяет свой цвет, а на странице будет отображаться информация, с чем связаны подобные меры безопасности. Сегодня большинство сайтов используют сочетание данных (MashUp) собственного содержания и информации, полученной с других сайтов, например, интерактивные веб-карты с дополнительными слоями. Однако более половины веб-приложений уязвимы для атак межсайтового выполнения сценариев (XSS). Internet Explorer 8 — первый браузер, который имеет встроенную защиту от подобных угроз. Отметим, что его фильтр способен обучаться – любой пользователь может внести посильный вклад в повышение безопасности интернета, сообщая о подозрительных ресурсах. В качестве наиболее показател ьной иллюстрации можно привести проблемы, которые обнаружились в начале сентября 2009 года в фреймворке Ruby On Rails. В результате на сервере микроблоггинга Twitter (и некоторых других сайтах, например Basecamp), написанных на его основе, у злоумышленника появилась возможность запустить на исполнение произвольный код в JavaScript. Уязвимость реализовывалась через межсайтовый скриптинг. Однако пользователи Internet Explorer 8 с включенным фильтром, благодаря встроенному XSS-фильтру, были защищены от подобных атак. Остальные браузеры также используют контентные фильтры для обеспечения безопасности, но лишь в Internet Explorer 8 сигнатурный фильтр дополнен «поведенческим» блоком, а также тесно интегрирован с другими защитными механизмами
58 операционной системы. В частности, SmartScreen может работать в паре со «средством удаления вредоносного программного обеспечения» (Malicious Software Removal Tool) и «защитником Windows» (Windows Defender), которые можно загрузить с сайта Microsoft вместе с Internet Explorer 8 (в последних ОС от Microsoft они уже предустановленны и требуют лишь периодического обновления БД). Фильтр SmartScreen — это функция обозревателя Internet Explorer 8, помогающая избежать построенных с использованием социальной инженерии вредоносных фишинговых веб-сайтов и интернет-мошенничества при просмотре ресурсов Интернета. Фильтр SmartScreen: проверяет веб-сайты по динамически обновляемому списку заявленных случаев фишинга и сайтов; проверяет загружаемые программы по динамически обновляемому списку заявленных сайтов с вредоносными программами; помогает предотвратить посещение фишинговых веб-сайтов и других содержащих вредоносные программы веб-сайтов, так как это может привести к краже идентификационных данных. Если фильтр SmartScreen включен, то при попытке посетить веб-сайт, в отношении которого поступало сообщение, открывается приведенное ниже окно с рекомендацией не переходить на небезопасный веб-сайт. Фильтр SmartScreen играет важнейшую роль в обеспечении вашей безопасности в сети. Авторы вредоносного ПО постоянно придумывают новые способы проникновения своего кода на компьютеры. Мы внесли ряд изменений, призванных защитить пользователей, сделав риски посещения вредоносных сайтов более ясными и воспрепятствовав бездумному игнорированию предупреждений. Посему настоятельно рекомендую включить фильтр SmartScreen и продолжить отсылать нам данные обратной связи. Data Execution Prevention Data Execution Prevention (DEP) (англ. Предотвращение выполнения данных) — функция безопасности, встроенная в семейство операционных систем Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как «только для данных». Она позволит предотвратить некоторые атаки, которые, например, сохраняют код в такой области с помощью переполнения буфера. DEP работает в двух режимах: аппаратном, для процессоров, которые могут помечать страницы как «не для исполнения кода», и программном, для остальных процессоров. Технология защиты памяти DEP (NX) в Internet Explorer 8
59 В Internet Explorer 7 в Windows Vista была впервые представлена (выключенная по умолчанию) функция защиты памяти, которая помогала избегать атаки из Интернета. Эта функция также известна как Data Execution Prevention (DEP) или No-Execute (NX). В Internet Explorer 8 в Windows Server 2008 и Windows Vista SP1 данная функция будет по умолчанию включена. DEP помогает избежать атак путем предотвращения запуска кода, размещенного в участке памяти, помеченном как неисполняемый. DEP в комбинации с другими технологиями, какASLR, делает процесс использования взломщиками разнообразных уязвимостей, связанных с памятью (например, переполнение буфера) намного более сложным. Лучше всего данная технология работает для Internet Explorer и для загружаемых надстроек. Для обеспечения всех этих функций безопасности от пользователя не требуется никаких дополнительных действий и никаких запросов ему показано не будет. Совместимость DEP (NX) В Internet Explorer 7 по причинам совместимости DEP по умолчанию был отключен. Несколько популярных надстроек были несовместимы с DEP и могли вызвать завершение работы Internet Explorer при включенном DEP. Чаще всего проблема состояла в том, что эти дополнения были скомпилированы с использованием старой библиотеки ATL. До версии 7.1 SP1 ATL полагалась на динамически сгенерированный код, который несовместим с DEP. И хотя большинство разработчиков популярных надстроек уже выпустили обновленные для DEP версии, некоторые могут быть не обновлены до выхода Internet Explorer 8. К счастью новые DEP API были добавлены в Windows Server 2008 и Vista SP1, чтобы позволить использование DEP, сохраняя совместимость со старыми версиями ATL. Новые API позволяют Internet Explorer использовать DEP, при этом старые надстройки, использующие старые версии ATL, не станут причиной завершения работы Internet Explorer. В редких случаях, когда дополнение несовместимо с DEP по какой-либо иной причине, отличной от использования старой версии ATL, опция в групповых политиках позволит организациям выключать DEP для Internet Explorer до тех пор, пока обновленная версия дополнения не будет развернута. Локальные администраторы могут контролировать использование DEP, запустив Internet Explorer как администраторы и выключив опцию защиты памяти. Проверка состояния вашей безопасности
60 Увидеть, какие именно процессы в Windows Vista защищены DEP, вы можете во вкладке диспетчера задач. Для более ранних версий Windows вы можете использовать Process Explorer. В обоих случаях проверьте, чтобы была отмечена опция Data Execution Prevention в выборе отображаемых колонок. Литература: [1-5, 10-12]