Три цели и 2500 $ ждут вас

За нашим неприступным firewall-кластером скрыты три цели. Первая — веб-сервер с ПО Linux Mandrake от MandrakeSoft и Apache. Для контроля за деятельностью в подсети веб-сервера мы будем использовать систему обнаружения проникновения NetProwler от Axent. Вторая цель — система электронной почты на базе последней версии Exchange 2000 под Windows 2000 Advanced Server. (Это испытание станет боевым крещением для новой платформы обмена сообщениями.) Так как Exchange 2000 в качестве службы каталога использует Microsoft Active Directory, мы установили в подсети Exchange отдельную систему Advanced Server с деревом Active Directory. И последняя цель — база данных Oracle8i на сервере Sun Enterprise E4500. Этот сервер работает под управлением операционной системы Solaris 8 с установленным перед ней IP-фильтром OpenBSD. За подсетью наблюдает ПО обнаружения проникновений Network Flight Recorder.

Тест Openhack будет проводиться до 21 июля или до исчерпания призового фонда. Мы выделили в общей сложности 2500 $ в качестве призов за успешные задокументированные взломы. В том случае, если успеха в однотипных атаках добьются несколько хакеров, приз получит тот из них, кто первым пришлет по электронной почте обоснованную претензию на него.

Методы укрепления защиты ОС
Для защиты сайтов э-бизнеса рекомендуется применять следующие методы (как минимум), которые мы и использовали для укрепления рубежей серверов Openhack:

Исключите лишние сервисы — При установке операционных систем с открытым исходным кодом, таких как OpenBSD и Linux, системные администраторы должны производить специальную компоновку, исключающую ненужные сетевые службы. В Windows NT и Windows 2000 мы также рекомендуем запретить лишние сервисы.

Спрячьте серверы за брандмауэрами — Брандмауэры следует сконфигурировать таким образом, чтобы минимизировать число портов, через которые может осуществляться доступ к серверам.

Залатайте все дыры — Обновите все патчи и узнайте на веб-сайтах соответствующих продуктов о вновь обнаруженных пробелах в защите.

Стратегически распределите серверы IDS — Системы обнаружения проникновений (IDS) должны размещаться в тех местах, которые подвержены атакам. Так как серверы IDS должны иметь внешние сетевые платы, действующие в безразличном режиме (то есть они должны «видеть» все пакеты, включая те, которые им не предназначаются), чтобы обезопасить их работу, мы создали изолированную внутреннюю сеть, установив вторую сетевую плату на все свои серверы IDS. Для наблюдения за сайтом Openhack мы подключили каждый сервер IDS к коммутатору и сконфигурировали их внешние интерфейсы таким образом, чтобы они получали весь трафик.

Спонсорские ссылки:
где купить продукты Microsoft

Обсуждение и комментарии

	Костя 28 Jun 2000 1:37 AM
ZDNet'у _вообще_ нельзя верить по причине явной связи с мелкософтом. Все такие эксперименты (и не только в исполнении ZDNet) - говно. Никакой связи с реальностью.

	Опять тестирование для мелкософта 28 Jun 2000 6:18 AM
Опять забудут все по человечеиски настроить конкурентов, и портов забудут закрыть пару десятков

← май 2000

20 21 22 23 26 27 28 29 30

июль 2000 →