LINUX SIGURNOST UVOD ZAŠTO SE BIRNUTI O SIGURNOSTI SVOG RAČUNALA?

Size: px

Start display at page:

Download "LINUX SIGURNOST UVOD ZAŠTO SE BIRNUTI O SIGURNOSTI SVOG RAČUNALA?"

Penelope O’Brien’
5 years ago
Views:

1 LINUX SIGURNOST UVOD U današnje vrijeme kada broj Windows virusa prešao (milijun), a internet sam za sebe postaje sve nesigurniji i nesigurniji, postavlja se pitanje koliko je zapravo sigurno naše računalo na kojem se vrti Linux, koja god da mu distribucija. Kada govorimo o sigurnosti moramo prihvatiti jednu neizbježnu činjenicu, a to je da je 100% sigurno računalo iznimno teško postići. Konkretno primjer Sigurnog Računala (tm) je ono koje zadovoljava slijedeće uvjete: 1. Nije spojeno na internet. 2. Nitko ga ne koristi. 3. Zaključano je u sefu sa lokotom. 4. U sobi su tri gladna dobermana. Znači, zaključujemo da nema sigurnog računala, niti se 100% sigurnost može postići. Svatko tko tvrdi drugačije leže kao Sanader. Konkretno, sigurnost je inverzno proporcionalna jednostavnosti korištenja bilo kojeg operacijskog sustava. U grubo, sigurnosne rizike možemo postaviti u tri bitne skupine (koje se često isprepliću): 1. Problemi koji vrebaju sa interneta. 2. Problemi vezani za programe koji su instalirani. 3. Ljudski faktor Treća stavka je ona najopasnija. Razlog tome je da ljudi žele imati računalo podešeno što jednostavnijem korištenju, ali to znači da je sigurnosna razina izrazito nisko. Vrijedi i obrat po kontrapoziciji: što je sigurnost veća to je teže koristiti računalo. Pristup sigurnosti kojem se mora težiti je: Sigurnosna razina mora biti prilagođena realnoj potrebi. Ovaj tekst je edukativne prirode i ima eksplorativni pristup toj istoj edukaciji. To znači da neke stvari poput točnog postupka konfiguriranja programa i korištenja raznih tehnologija namjerno nisu opisani kako bi čitaoc sam otišao na internet ( i proučio ono što je potrebno. Razlog zašto smatram ovo superiornim je taj što se sigurnosti računala ne može pristupiti na način da se u10 minuta pročita članak sa vikipedije i dodatno smatram da svatko tko čeka da mu netko drugi riješi problem ima preveliki ego i zaslužuje sve što mu se desi. ZAŠTO SE BIRNUTI O SIGURNOSTI SVOG RAČUNALA? Vjerojatno se pitate zašto bi uopće osigurali svoje računalo? Pa vi nemate ništa što bi itko htio! Ovo nije istina. Vi imate računalo spojeno na internet što može pretvoriti vaše računalo u zombija ili proxy. Ovo prvo znači da će vaše računalo biti jedno od mnogih koje će se iskoristiti u napadu na neku web stranicu, primjerice neke vladine agencije ili firme ili portala u smislu prevencije rada istih. U drugom slučaju, da vaše računalo postane proxy, znači da vaš PC služi kao neizravna metoda napada neke treće osobe.

2 Primjerice, neka maliciozna osoba može preuzeti vaše računalo, a time i vaš identitet preko IP adrese te napasti neku metu po želji, sa time da će svi tragovi voditi do vas. Znači da napad na neku banku i puno ukradenih novaca ili održavanje pedofilske stranice mogu biti direktno povezani sa vama. Bi li rekli policiji onda: "Ja nemam ništa što drugi žele!". Postoji još jedna situacija u kojoj je kritično imati sigurno računalo. U slučaju poslovnog računala ili računala u nekoj firmi vi imate povjerljive podatke. Ne smijete dopustiti da vam netko trivijalno jednostavno uzme sve poslovne podatke i planove. Evo konkretnog primjera kako sam preuzeo kontrolu nad linux i windows računalom u slučaju fizičkog pristupa. Riječ je o Windows 7 i Ubuntu OS-ovima. Oba OS-a su imali samo jednog korisnika sa limitiranim pristupom računalu preko kojeg se više osoba logira. Nitko nema mogućnosti ikakvih promjena u sustavu ili instalaciju programa. Linux: restartam računalo i tokom GRUB boot logina pritišćem e i na kraju "linux" linije dodajem riječ "single". Ovo za posljedicu ima da me računalo direktno prebacilo u root shell account bez zahtjeva šifre (dobio sam administratorski pristup). Sada mogu dati bilo kakve ovlasti standardnom računu preko kojeg se logiram, dodati druge korisnike ili bilo što što želim. Rješenje sigurnosnog problema: enkripcija diska, šifra na BIOS i GRUB šifra. Windows: Bootam računalo sa Linux live CD-a i instaliram program chntpw. Montiram Windows particiju i preko chntpw programa mijenjam ovlasti korisnika po želji iz "Limited account" u "Administrator". Restartam računalo u Windows i radim što želim bez ograničenja. Rješenje sigurnosnog problema: enkripcija diska, šifra na BIOS. UPUTE i SMJERNICE NAJBITNIJA ČETIRI SAVJETA 1) Koristite firewall na routeru od DSL-a i Linuxov iptables bazirani firewall 2) Koristete enkripciju diska ili barem enkripciju važnih podataka. Pornjava nije važan podatak. 3) Koristite neki od MLS/MAC sustava: SElinux, TOMOYO ili apparmor. 4) Redoviti automatizirani backup Ovdje su taksativno popisane stvari kojih se mora pridržavati. Dana su kratka objašnjenja. Tekst nakon ovoga ide u dublja objašnjenja. Lokalno računalo Kompletna enkripcija diska je obavezatna stvar. Ovo štiti vaše računalo od ljudi koji imaju fizički pristup. Ovo nije pretjeran savjet, kao što gornja priča ilustrira. Uvijek imajte sve sigurnosne zakrpe instalirane na računalu. Linux je hvala

3 bogu besplatan sustav i nema izlike. Također se sigurnosne zakrpe lagano instaliraju (1 klik). Nema izlike. Nikada, ali nikada ne raditi kao root korisnik. Uvijek koristite klasični UNIX ograničeni korisnik. To osigurava da potencijalni malware neće moć naškoditi sustavu. Za root potrebe koristite sudo ili su. Obavezno radite sigurnosnu pohranu svih podataka (backup). Stavljajte sve na USB stick ili eksterni disk, NE na DVD/CD. DVD/CD je optička tehnologija koja se pokazala kao neadekvatna za backup je već nakon godine dana postoji visoka vjerojatnost da podatci neće biti čitljivi. Backup mediji MORA biti enkriptiran i držan pod ključem! Backup je najbolji ako je automatiziran jer ljudskoj ljenosti nema kraja. Dedicirani disk/usb stick i CRON job koji svakih nekoliko dana radi novi backup (znači ne prepisuje preko starog, već stvara kompletno novu kopiju) koji bi najzgodnije bilo raditi preko "delta" baziranog kopiranja. Pogledajte program koji se zove rsync i backup alate bazirane na njemu. Kod stvaranja šifre za mail, kućno računalo,... niti u ludilu nakon tuluma, nadrogiran i udaren u glavu nakon šake lexaurina ne koristiti šifre tipa: ja, datum rođenja, ime ljubimaca, imena djece, žene, ljubavnice, ljubavnika, cure, ili bilo koje normalne riječi iz bilo kojeg jezika. Šifre su nasumični niz znakova, slova i brojeva uključujući. Nemojte koristiti specijalne znakove tipa!(%$?!. Primjer dobre šifre: G9erZd45Ql Primjer loše šifre: quantum ili anita ili đuro. Dobra šifra se može napraviti i lako zapamtiti: Mrci7yo ====== My rusty car is 7 years old 2emBp1ib ===== 2 elephants make BAD pets, 1 is better Nemojte davati ekstra prava na mape (foldere) kada nije potrebno imati ta prava. Konkretno, osigurajte da niti jedan korisnik ne može pogledati niti jedan drugi folder u /home osim vlastitog. Znači, ako je korisnik shrike, postoji datoteka /home/shrike i korisnik kao takav mora imati samo pravo vidjeti sadržaj tog foldera, ne i foldee drugih korisnika unutar /home direktorija. Pročitajte manual od chmod i chown programa. (U terminal ukucaj "man chmod" i "man chown" bez navodnika) Vanjska Mreža Uvijek koristite firewall. Guarddog za KDE ili Firestarter za GNOME su odlični izbori. Konfiguracija bi trebala biti takva da se drži "stealth" način rada i onemogući sve što se ne koristi. Paziti na portove od telnet-a, http(s). ftp i ssh. Koristiti OpenWall i Bastille. To su alati koji podešavaju sustav da radi sigurnije. Više o njima u ostatku teksta. Ukoliko koristite neki bankovni software, tipa paypal ili plaćanje preko interneta, stvorite zasebnog korisnika na sistemu i pokrečite preglednik kao taj korisnik (gksu). Taj browser i taj korisnik moraju biti

4 najparanoidnije podešeni. Nikakvi pop-upovi, nikakva java, kodovi,... Sve isključeno. Bez flasha. Korisnik ne smije biti u mogućnosti pisati nigdje izvan svog home foldera. Nikakva prava na DVD/CD printere,... Samo internet. Nikada ne odajte svoje podatke na mailu ili bilo gdje preko interneta. Nema tih "miljona" i udovica kojima treba neki depozit. Sve službene osobe sa svih stranica i servisa nemaju potrebe znati vaš mail i šifru ili šifru vašeg računa na njihovoj stranici. Oni imaju administratorski (root) pristup i mogu do svega. MULTI LEVEL SECURITY Zanimati će vas SElinux, apparmor i TOMOYO. SElinux je stvoren od strane NSA (National Security Agency) i predstavlja metodu osiguranja računala dostatnu za vojsku, CIA-u i slične organizacije. Nedostatak je da morate biti iznimno upućeni u rad sustava, i sama konfiguracija SElinuxa je iznimno zahtjevna. Ovo NIJE alat koji se da naučiti za 15 minuta. Trebati će vam mjeseci ili godine. Ovi sustavi imaju zadatak da osiguraju kako aplikacije rade svoj posao. Konkretno, to znači da selinux pokušava spriječiti da se, recimo, firefox iskoristi za izlistavanje vaših osobnih datoteka ili kontrolu nekih podsistema (što se dešava kada netko nađe exploit tj., sigurnosnu rupu unutar preglednika). Apparmor i TOMOYO su jednostavnije verzije Mandatory Access Control osiguranja. Konkretno ova tri sustava rade tako da stave dodatne restrikcije na programe koji se izvršavaju na računalu. Štos je u tome da se većina expolita programa (recimo Firefox) svodi na to da se program sa sigurnosnom rupom natjera da napravi nešto što uopće ne treba raditi ili mu nije svrha. MAC sustavi zapravo ograničavaju programe da rade takve stvari i dozvoljavaju samo ono što trebaju moć raditi. Konkretno, ukoliko je, recimo, TOMOYO dobro konfiguriran, nema veze što se pojavio exploit koji daje root ovlasti preko firefoxa. TOMOYO neće dozvoliti takve radnje jer nije potrebno Firefoxu koristiti naredbe tipa "su" ili igrati se sa sistemskim fajlovima. SElinux, apparmor i TOMOYO se nalaze u kernelu. Ukoliko imate Fedoru imat će te i grafičko sučelje za selinux te vam preporučam da ga konfigurirate. U ostalim slučajevima preporučam TOMOYO. SVAKAKO INSTALIRAJTE I KONFIGURIRAJTE JEDAN OD OVIH ALATA. Tripwire Tripwire je program koji stvara bazu podataka o instaliranim sistemskim datotekama i programima. Baza su zapravo kriptografski potpisi datoteka i ostali opisi. Kada se program pokrene, on napravi inicijalnu bazu i uspoređuje ju svaki idući put sa trenutnim stanjem. Ovime se postiže uvid u sve promjene na sustavu, te se može brže i lakše uvidjeti koje su promjene nastale. Ovo je iznimno korisno kod infekcija, namjernog mijenjanja sigurnosnih postavka (od nekog tko ima fizički pristup računalu ili sa mreže) ili čak moguće drugih

5 grešaka na sustavu. Ovo je svakako program o kojem treba razmisliti. apt-get install tripwire i obavezno pročitajte man tripwire Snort Snort je program za mrežnu analizu. On provjerava promet te traži tipične napade na IP razini ili preko programa. Traži sve neobične događaje i konkretne tipične situacije u sumnjivim okolnostima. Ovaj program je super zgodan za DSL računala. Lagano se konfigurira i koristi.sposoban je primjetiti nmap analize, netbios nzahtjeve, CGI napade i ostalo. aptitude search snort obavezni man snort Intrusion detection system cfengine TOR Certifikati/sign/enkripcija OPĆE O SIGURNOSTI U ovoj sekciji će biti opisani neki generalni savjeti i metode nadgledanja sigurnosti i stanja sistema. Mnoge od ovih stvari spadaju u jednu ili više grupa, pa je teško odrediti gdje bi bile najbolje smještene. Zato ovdje prezentiram jedan niz savjeta. Lokalni paketi, programi i servisi Micanje nepotrebnih programa i servisa je jedan od načina na koji se može bitno povisiti razina sigurnosti. Često imamo stvari na računalo koje nam nikada zapravo ne trebaju, i osim što zauzimaju procesorsko vrijeme, RAM memoriju i mjesto na čvrstom disku, također omogućuju napadačima da iskoriste sigurnosne propuste koji se nalaze. Apt-get i rpm sustavi omogućuju instaliranjem, nadogradnju i micanje paketa. Da bi ste proučili kako oni funkcioniraju pokrenite naredbu man aptget ili man rpm. Iznimno je bitno iskoristiti ovu infrastrukturu da bi se nadograđivali postojeći paketi. Tu je iznimno bitno raditi regularnu nadogradnju sigurnosnih paketa. Ne govorim samo o paketima koje koristite, nego o sigurnosnim nadogradnjama SVIH paketa koje imate instalirane. Netko tko vam ulazi u računalo ne zna da li vi nešto koristite ili ne. Kod ove teme iznimno je bitno i maknuti sve servise i programe koje ne koristite. Za to postoje dva alata. sysv-rc-conf je namijenjen naprednim korisnicima i nikako se ne preporuča početnicima. Riječ je naravno o CLI programu koji pretpostavlaj da sve razumijete i znate. Za početnke je namijenjen bum, koji ima GUI sučelje i onemogućuje neke rizične operacije. Instalirajte taj program i onemogučite ono što vam treba. Česti primjeri su neki bluetooth servisi, avahi-daemon, apache i slično. Ukoliko nemate printer, nema ni potrebe imati hplip niti cups instaliran niti da se vrti.

6 Pažljivo pročitajte opise svih paketa i isključite samo ono za što ste sigurni da vam ne treba i samo ono što znate čemu služi. Primjer onoga što bi sigurno trebalo ostaviti su gdm ili kdm, dbus i razni logovi. Još jednom, maknite sa sustava i/ili onemogućite sve ono što vam nije nužno ili što ne koristite. INTERNET Opis ekipe Što konkretno vreba sa interneta? Većina ljudi smatra da se nema čega bojati, jer nemaju što za sakriti. Opet, ima ekipe koja kaže da oni nisu interesantni hakerima, pa zašto bi se brinuli o tome? Problem je u neznanju. Pogledajmo o čemu je riječ. Kada govorimo o hakerima kao o generičkom terminu za osobu koja pokušava preuzeti kontrolu nad stranim računalom, onda se oni mogu svrstati u tri osnovne skupine. 1. WhiteHat Haker To je haker koji označava originalni smisao i značenje ove riječi, a koji se kasnije iskrivio. Ovaj tip hakera ne napada sustave iz zle namjere, nego radi na poboljšanju svojih i tuđih sustava. Ako uspije ući u strani sustav, onda on obavijesti svoju žrtvu o tome kako mu je to uspilo, te koje akcije se trebaju pokrenuti da bi se sigurnosna razina povećala. Ta osoba općenito radi za dobrobit društva, ali i za svoju osobnu satisfakciju ili radoznalost. 2. BlackHat Haker Taj naziv označava ono što mi danas često zamislimo pod riječi haker. Ovaj tip u današnje vrijeme rijetko radi iz vlastite agende, a puno češće radi za novce. Znanje (opasnost) i popularnost su obrnuto proporcionalne. To znači da za najopasniju ekipu nikada nećete čuti, niti će se isti hvaliti na raznim forumima ili IRC. Ukoliko nemate nekakve veoma vrijedne materijale na računalu, ovaj tip hakera vas ne treba zamarati (objašnjenje slijedi kasnije). Također, ako se jedan ovakav namjeri na vas, prije ili kasnije će doći do informacija koje ga zanimaju. Nemate što za učiniti osim produljiti vrijeme čekanja i pokušati saznati tko je napadač. 3. Script Kiddie Ovo je netko tko se zapravo ne može nazvati hakerom, ali je osoba koja će vam zadati potencijalne probleme i koju će većina svrstati u skupinu hakera, iako isti nemaju veze sa njima (to ih ne smeta da se smatraju vrhunskim 'akerima i da sole pamet po raznim forumima). Ova skupina se najlakše prepozna po tome da se na forumu hvale sa raznim stvarima ili kada traže prave hakerske programe. Blackhat i whitehat hakeri ih mrze iz dna duše i izbacuju ih sa foruma ili IRC kanala čim se identificiraju.

7 Haker je zapravo termin za nekoga tko zna i razumije funkcioniranje operativnih sustava, tko zna programirati u više jezika, uključujući i skriptne jezike 3. Haker je intimno upoznat sa sigurnosnim i općenito unutarnjim funkcioniranjem raznih dijelova operativnih sustava i popratnih programa, a assembly 1 mu također nije strani pojam. To sve znači da hakeri zapravo pišu vlastite programe, te općenito ne postoje programi za hakiranje koji se mogu skinuti sa interneta. Postoji jako puno alata za analiziranje mreže. Script kiddie je zapravo svojevrsna suprotnost hakeru. To je osoba koja zapravo ne razumije previše o sistemu, niti zna efektivno išta više od pokrenuti skriptu koju je neki znalac napisao. Baš zato je ovo najopasnije skupina, budući da ne znaju ništa, oni gađaju na slijepo i nemaju nikakvu agendu osim obične zlobe. Ova ekipa obično cilja nasumične ljude te im izbriše sve dokumente ili im formatira disk. Česta meta ovih ljudi su također i cura/dečko kojima ne vjeruju pa špijuniraju msn/icq/mail komunikaciju iz samo njima znanih razloga. Kako to zapravo funkcionira? Konkretno, da bi vam netko preuzeo kontrolu nad računalom (dobio pristup), prvo je potrebno doći do vaše IP (Internet Protocol) adrese koja je jedinstvena za svako računalo na mreži. IP adresa je oblika X.X.X.X, gdje je X cijeli pozitivni broj između 0 i 255. Morate uzeti u obzir da na lokalnoj (WAN/LAN) mreži IP adrese mogu biti bilo kakve dok god su jedinstvene na toj lokalnoj mreži, no ona vanjska IP adresa koja se koristi za internet treba biti jedinstvena na internetu. Do IP adrese se općenito dolazi ljudskom manipulacijom ili ljudskim inžinjeringom. Scenarij može biti ovakav: na nekom čet programu vam se ponudi neki privitak, recimo slika, koju bi vi htjeli pogledati. Kada vi preuzimate tu sliku stvara se P2P (peer-to-peer) veza se pošaljiteljem, odnosno uspostavlja se direktna veza između vaša dva računala. To znači da pošaljitelj vidi IP adresu sa koje dolazi paket (slika, program), a i vi vidite IP adresu sa koje ju dobivate. Čim se ta adresa zna, pošaljitelj, u daljnjem tekstu napadač, mora ustanoviti da li vi imate kakvu zaštitu na računalu, i ako da, koliko je ona efektivna. Za to služe programi poput nmap skenera koji skeniraju pojedinu ili čak cijeli niz IP adresa za otvorenim portovima. Jednom kada se znaju otvoreni portovi, tada se može spojt na vaše računalo putem određenih programa. Alternativno, privitak koji vam napadač pošalje može biti inficiran raznim programima koji mogu poslužiti za razne druge maliciozne svrhe, poput konstantnog slanja vaše IP adrese ili dokumenata na određeni server ili drugačijih kompromitiranja vaših podataka. Važno je za uočiti da će vaš napadač, ukoliko zna išta, najvjerojatnije koristiti proxy 2 pa vam IP adresa koju ste možda zapamtili ili koju je zapamtio vaš sustav neće biti od velike koristi. Druge metode dobivanja vaše IP adrese uključuju i preko foruma. Primjerice, napadač vam kaže da postoji taj neki super kul forum na kojem radi, ali koji još nije za javnost (ili stranica) te vam da link. Vi onda pogledate tu stranicu, a forum zapamti vašu IP adresu. Baš kao i onaj na

8 Portovi su kao vrata vašeg računala, a IP adresa je vaša poštanska adresa. Ako ja znam vašu adresu i da su vam vrata otvorena, onda ja mogu doći do vaše kuće i pokušat ući. Port može biti u tri stanja: otvoren, zatvoren i nevidljiv. Slijedi opis stanja: 1. OTVORENI sva komunikacija na ovom portu će biti dopuštena i proslijeđena. Nikakva ograničenja se neće postaviti. 2. ZATVORENI Prot će se na upit oglasiti, te reći da je zatvoren i da ne prima komunikaciju. Ovo će biti znak napadaču da je IP adresa aktivna (tj.,da u stvari postoji na internetu). 3. NEVDILJIVI Port će na upit jednostavno ignorirati kao da na toj IP adresi jednostavno nema računala. Ukoliko napadač nasumce skenira mrežu, on će zaključiti da na toj adresi ne postoji nitko (naravno, ukoliko su svi skenirani portovi nevidljivi). Pretpostavimo da je jedan ili više portova otvoreno. Ovdje nastaje problem jer za ulazak na sistem postoji korisničko ime i šifra. Što se konkretno može dogoditi? Netko može ući na vaš račun, dakle prijaviti se kao korisnik trenutno logiran, te imati ista prava kao i taj korisnik. To ovisi o postavkama konkretnog računala. Ukoliko se to dogodilo napadač nema kompletnu kontrolu nad vašim sustavom, ali ima pristup svemu što vi radite i svim vašim dokumentima. Mogući napad bi izgledao tako da se napadač spoji preko FTP (File Transfer Protocol) veze na vaše računalo koje nužno ne zahtjeva autentikaciju korisnika. Port od FTP, telnet i http protokola su najčešće otvoreni i nezaštičeni. Ovdje je telnet ekstremno opasan jer ne zahtjeva autentikaciju. FTP je također ekstremno opasan jer šalje šifru nezaštićeno (ne enkriptirano). Čak i ako je direktna prijava na vaše računalo nemoguće zbog korisničkog imena ili šifre, analizom prometa se može ustanoviti FTP šifra i adresa. Daljne metode iskorištavaju rupe (bugove) u vašem softwareu na računalu. tada će biti dovoljno znati za konkretnu rupu i iskoristit ju za pristup računalu. Ovdje su bitne sigurnosne zakrpe, no tu ima jedna bitni problem. Ono što vam često mediji prešute je postojanje dvije vrsti rupa: Public exploit Ono što je javno obznanjeno i za što najvjerojatnije postoji i zakrpa. Ovakve exploite najčešće koriste amateri. Private expolit Ovi su poznati samo individualcima koji su ih osobno otkrili koje koriste u svoje svrhe. Ovo zahtjeva profesionalca i obično je teško otkriti od kud je napad došao. ROOTKIT Rootkit je program koji između ostaloga omogućava kontinuirani privilegirani pristup računalu na način da je ta informacija sakrivena administratorima. Ovo se omogućuje zaobilaženjem i iskrivljavanjem sigurnosnog modela na OS-u. Rootkit se instalira NAKON što se dobiju administratorske ovlasti i služi tome da se održi takva situacija i manipulira računalom BEZ znanja pravog

9 administratora i/ili vlasnika računala. Rootkit može poslužiti i kao metoda skrivanja drugog malwarea. Detekcija i micanje rootkit programa je često ekstremno teška i komplicirana jer rootkit-ovi mogu lagano modificirati programe koji služe za detekciju rootkita. Najbolji pristup traženju rootkita je taj da se skeniranje provede preko livecd-a i da se drži log o modifikacijama kritičnih sistemskih datoteka. Metode osiguranja Za početak, nužno je postaviti firewall na vašem računalu ili routeru ako ga imate. Nakon toga potrebno ga je testirati na nekoj od stranica specijalno zamišljenih u te svrhe. Svrha firewalla je da nadgleda vašu mrežu, i ovisno o tome sa koje je IP adrese poslana i kakav je sadržaj specifičnog paketa, odluči da li da dopusti ili zabrani da paket dođe na svoje odredište. Linux od kernela koristi firewall pod nazivom iptables. IPTABLES Kako to radi? Sustav je podijeljen u tri dijela: Netfilter je sustav u linux jezgri (kernelu) koji omogućava bilo kakvu manipulaciju mrežnim paketima. Ovo se odnosi na pakete koji dolaze sa LAN, WAN, intraneta ili interneta (i drugih mreža). Xtables je podsustav koji stvara (generira) IP tabele sa pravilima Iptables je zapravo sučelje koje se koristi za konfiguraciju xtables podsustava. Sustav funkcionira preko nizova (tabela) sa pravilima. Predefinirani nizovi su slijedeći: INPUT (ulaz), OUTPUT (izlaz) i FORWARD (proslijedi). Ti pred definirani nizovi imaju pravila, između ostalih: DROP (ispusti), ACCEPT (prihvati ), REJECT (odbij). Svaki paket koji netfilter dobije sa mreže se proslijeđuje nizu pravila, kroz koji taj paket putuje. Kada paket dođe do pravila koje je za njega postavljeno, onda to pravilo odlučuje o sudbini paketa. Ako dođe do kraja lanca pravila, bez da se odlučilo što sa paketom, onda se paket može odbiti, pustit ili poslati nekom drugom nizu pravila. Evo kako to izgleda: /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// // target prot opt source destination SDROP 0 -- loopback/24 anywhere PDROP tcp -- anywhere anywhere tcp flags:fin,syn,rst,psh,ack,urg/fin,psh,urg limit: avg 3/min burst 5 PDROP tcp -- anywhere anywhere tcp flags:syn,rst/syn,rst limit: avg 3/min burst 5 PDROP tcp -- anywhere anywhere tcp flags:fin,syn/fin,syn

10 limit: avg 3/min burst 5 PDROP tcp -- anywhere anywhere tcp flags:fin,syn,rst,psh,ack,urg/fin limit: avg 3/min burst 5 PDROP tcp -- anywhere anywhere tcp flags:fin,syn,rst,psh,ack,urg/fin,syn,rst,psh,ack,urg limit: avg 3/min burst 5 PDROP tcp -- anywhere anywhere tcp flags:fin,syn,rst,psh,ack,urg/none limit: avg 3/min burst 5 FDROP tcp -- anywhere anywhere tcp flags:fin,syn,rst,psh,ack,urg/fin,psh,urg FDROP tcp -- anywhere anywhere tcp flags:fin,syn,rst,psh,ack,urg/fin,syn,rst,psh,ack,urg FDROP tcp -- anywhere anywhere tcp flags:fin,syn,rst,psh,ack,urg/fin,syn,rst,ack,urg FDROP tcp -- anywhere anywhere tcp flags:fin,syn,rst,psh,ack,urg/none FDROP tcp -- anywhere anywhere tcp flags:syn,rst/syn,rst FDROP tcp -- anywhere anywhere tcp flags:fin,syn/fin,syn ACCEPT tcp -- anywhere anywhere tcp dpt:ftp ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ACCEPT tcp -- anywhere anywhere tcp dpt:www ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED ICMP icmp -- anywhere anywhere /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// // PODEŠAVANJE FIREWALLA Kvalitetno konfiguriran firewall je, za obične korisnike i obične potrebe, relativno lagano podesiti. Kako su svi firewalli drugačije (točnije rečeno, GUI za iptables su drugačiji), ovdje neću dati upute kako podesiti svaki specifični program, nego što treba tražiti u svima njima. Pogledajte firestarter ili guarddog. 1. Budite pesimisti. Neki firewalli (firestarter recimo) podržavaju white list i black list traffic. Prva lista dopušta sve konkecije osim onih koje izričito zabranite, a druga (black list) zabranjuje sve konekcije osim onih koje se eksplicitno dozvole. To je ono što nas zanima jer vi zapravo nikada ne znate od kuda vreba opasnst. Ovo zahtijeva da ručno oderedite aplikaciju, port i protokol koji su dozvoljeni, a sve ostalo se zabranjuje.

11 2. Iskrenost. Kada određujete koje protokole želite dozvoliti, budite iskreni prema sebi. Ako nikada u svom životu niste iskoristili rsync i port 432, nda nema smisla to držati otvorenim jer, eto, bilo bi zgodno jednog dana. Možda. Dakle, obično vas zanimaju su 20 ftp, 22 ssh, 80 http, 53 DNS. Prilikom generiranja pravila morate paziti da od protokola dozvolite http i dns, inače neće funkcionirati. Najvjerojantije vam nisu potrebni niti ping, finger ili slični sustavi. No, najbolje se malo poigrati i vidjet što vam treba ili ne treba. VAŽNO: U slučaju da ste Wireless korisnik, obavezno koristiti enkripciju! TESTIRANJE Pogledajte slijedeće stranice i napravite besplatne testove. Rezultati sa svih skeniranja i na svim portovima mora biti stealth ili nevidljivi. Prilikom testiranja isključiti firewall na routeru Svakako, ako imate firewall na routeru, obavezno ga imati uključenog. Nikada, ali apsolutno nikada neojte biti spojeni na net bez firewalla. Izlike tipa ja nemam ništa interesantno na disku pa me nitko neće napast su gluposti prvog reda. Nekima nije u cilju doći do konkretne informacije, nego im je cilj da urade štetu. Inače se to zove ZLOBA. Hvala bogu (ili atheu), pa smo mi balkanci dosta pozitivan narod. Bitna stvar za uočiti je i ta da je kod preuzimanja kontrole nad računalom zapravo najbitnije to što imate na svom računu. Kod infekcija virusima i ostalim čudima, nije toliko bitno to što će vam eventualno (iako teško moguće) virus X izbrisati /etc, već to što će vam se uništiti podatci u /home. Stvar je u tome da se sustav nanovo instalira u sat vremena, a dokumenti se ponovno stvore za nekoliko mjeseci. Kritične sistemske datoteke Putanja datoteke Dat. dozvole Opis /var/log 751 Direktorij svih zapisa (logova) /var/log/messages 644 Sistemske poruke /etc/crontab 600 Crontab poslovi čitavog sustava

12 /etc/syslog.conf 640 konfiguracijska datoteka syslog daemon /etc/logrotate.conf 640 Kontrolira rotiranje sistemskih datoteka /var/log/wtmp 660 Tko je trenutno logiran. Koristite who /var/log/lastlog 640 Tko se prije logirao. Koristite last /etc/ftpusers 600 Popis korisnika koji ne smiju koristiti FTP /etc/passwd 644 Popis korisnika sustava /etc/shadow 600 Enkriptirane korisničke šifre /etc/pam.d 750 PAM konfiguracijska datoteka /etc/hosts.allow 600 Pristupna datoteka hostu /etc/hosts.deny 600 Pristupna datoteka hostu /etc/lilo.conf 600 LILO konfiguracijska datoteka /etc/securetty 600 TTY sučelja koja dozvoljavaju root pristup /etc/shutdown.allow 400 Korisnici koji smiju isključit komp /etc/security 700 Sigurnosna pravila o prisupu sustavu /etc/init.d 750 Popis programa za inicijalno pokretanje /etc/sysconfig 751 Sistemske i mrežna konfiguracija na RH /etc/inetd.conf 600 Internet SuperServer konf. datoteka /etc/cron.allow 400 Popis korisnika koji smiju koristiti cron /etc/cron.deny 400 Popis korisnika koji ne smiju koristiti cron /etc/ssh 750 Secure Shell konf. datoteka DODATAK 1 1) Assembly Assembly niski pseudo programski jezik koji direktno komunicira sa hardverom. Svaki program se mora pisati za specifični procesor (program pisan za Pentium 2 neće nužno raditit na Pentium 3 procesoru, a sigurno neće raditi na pentium 1 procesoru), te s svaki individulani program mora pisati za specifični operativni sustav. razlog zašto sam ga nazvao psudo jezikom je taj jer assembly zapravo i nije jezik, već mnemonička tehnika. Umjesto da pamtite da je, primejrice, se zapravo lakše zapamti kao mov. dakle, mov= Assembly je samo korak iznad mašinskog koda. 2) Proxy 3) Skriptni jezici

Upute za postavljanje Outlook Expressa

Upute za postavljanje Outlook Expressa Prije postavljanja klijenata morate obavezno obaviti prvu prijavu na web mail kako bi aktivirali vaš račun na novom sustavu. Ukoliko niste obavili prvu prijavu, nećete