Три цели и 2500#$ ждут вас
Генри Балтазар (Henry Baltazar), eWEEK Labs, eWEEK
26 июня 2000 г.
За нашим неприступным firewall-кластером скрыты три цели. Первая + веб-сервер с ПО Linux Mandrake от MandrakeSoft и Apache. Для контроля за деятельностью в подсети веб-сервера мы будем использовать систему обнаружения проникновения NetProwler от Axent. Вторая цель + система электронной почты на базе последней версии Exchange 2000 под Windows 2000 Advanced Server. (Это испытание станет боевым крещением для новой платформы обмена сообщениями.) Так как Exchange 2000 в качестве службы каталога использует Microsoft Active Directory, мы установили в подсети Exchange отдельную систему Advanced Server с деревом Active Directory. И последняя цель + база данных Oracle8i на сервере Sun Enterprise E4500. Этот сервер работает под управлением операционной системы Solaris 8 с установленным перед ней IP-фильтром OpenBSD. За подсетью наблюдает ПО обнаружения проникновений Network Flight Recorder.
Тест Openhack будет проводиться до 21 июля или до исчерпания призового фонда. Мы выделили в общей сложности 2500#$ в качестве призов за успешные задокументированные взломы. В том случае, если успеха в однотипных атаках добьются несколько хакеров, приз получит тот из них, кто первым пришлет по электронной почте обоснованную претензию на него.
Методы укрепления защиты ОС
Для защиты сайтов э-бизнеса рекомендуется применять следующие методы (как минимум), которые мы и использовали для укрепления рубежей серверов Openhack:
Исключите лишние сервисы + При установке операционных систем с открытым исходным кодом, таких как OpenBSD и Linux, системные администраторы должны производить специальную компоновку, исключающую ненужные сетевые службы. В Windows NT и Windows 2000 мы также рекомендуем запретить лишние сервисы.
Спрячьте серверы за брандмауэрами + Брандмауэры следует сконфигурировать таким образом, чтобы минимизировать число портов, через которые может осуществляться доступ к серверам.
Залатайте все дыры + Обновите все патчи и узнайте на веб-сайтах соответствующих продуктов о вновь обнаруженных пробелах в защите.
Стратегически распределите серверы IDS + Системы обнаружения проникновений (IDS) должны размещаться в тех местах, которые подвержены атакам. Так как серверы IDS должны иметь внешние сетевые платы, действующие в безразличном режиме (то есть они должны гвидетьё все пакеты, включая те, которые им не предназначаются), чтобы обезопасить их работу, мы создали изолированную внутреннюю сеть, установив вторую сетевую плату на все свои серверы IDS. Для наблюдения за сайтом Openhack мы подключили каждый сервер IDS к коммутатору и сконфигурировали их внешние интерфейсы таким образом, чтобы они получали весь трафик.
Спонсорские ссылки:
где купить продукты Microsoft
Обсуждение статьи
ZDNET Russia
|