Каким угрозам подвергаются сетевые сервисы?

Copyright (c) 2009 by Red Hat, Inc. This material may be distributed only subject to the terms and conditions set forth in the Open Publication License, v1.0 or later (available at http://www.opencontent.org/openpub/).
Original article: http://kbase.redhat.com/faq/docs/DOC-9082.pdf

Translated by Ivan Pesin, July 2009

Хотя доступ пользователей к средствам администрирования — важный вопрос безопасности для системных администраторов организации, но учёт активных сетевых сервисов имеет первостепенное значение для всех, кто использует операционную систему Linux.

Многие сервисы в Red Hat Enterprise Linux представляют собой сетевые сервера. Если на машине запущен сетевой сервис, то серверное приложение, которое называют “демоном”, слушает один или несколько сетевых портов, ожидая подключений. Каждый из таких серверов должен считаться потенциальной мишенью атаки.

Сетевые сервисы могут подвергать Linux-системы многим опасностям. Вот список самых основных:

  • Атаки на переполнение буфера (Buffer Overflow Attacks) – Сервисы, которые работают с портами от нулевого до 1023-го должны выполняться с административными привилегиями. Если такой сервис содержит ошибку переполнения буфера, то злоумышленник может использовать её для получения доступа к системе с правами пользователя, под которым запущен данный сервис. Взломщики используют автоматические утилиты для поиска систем с уязвимостями, а после получения доступа к ним, они внедряют автоматизированные руткиты (rootkits), которые позволяют им сохранить доступ к системе в дальнейшем.
  • Атаки на отказ в обслуживании (Denial of Service Attacks, DoS) – Этот тип атак заключается в заваливании сервиса запросами на обслуживание. Получая необычайно большое количество запросов от злоумышленника, сервис пытается обработать каждый из них, растрачивая на это ресурсы системы. В результате новые запросы перестают обрабатываться из-за нехватки системных ресурсов.
  • Атаки на уязвимости в скриптах (Script Vulnerability Attacks) – Если сервис использует скрипты для выполнения различных действий на стороне сервера, что характерно для Web-сервисов, взломщик может построить свою атаку на плохо написанных скриптах. Уязвимости в скриптах могут приводить к состоянию переполнения буфера, либо позволять модифицировать файлы в системе.

Чтобы ограничить подверженность системы сетевым атакам, все ненужные сервисы должны быть выключены.