становлення з'єднання на зумовлене час після заданого числа невдалих спроб. Ідеальним варіантом було б збільшення часу затримки, пропорційне числу спроб реєстрації.
NFS. У ранніх версіях протоколу NFS (Network File System) обмін даними між клієнтом і сервером здійснювався за допомогою виклику віддалених процедур (Remote Procedure Call, RPC). Це робило сервер NFS вразливим для неавторизованого доступу, оскільки процедури RPC використовують примітивні форми ідентифікації користувача. Щоб ніхто не міг замаскуватися під клієнта NFS, всі сервери NFS на базі UNIX вашої мережі повинні підтримувати протокол SecureRPC. На відміну від традиційного RPC, SecureRPC для ідентифікації кожного віддаленого запиту до NFS використовує стандарт шифрування DES (Data Encryption Standard) і експонентний обмін ключами.
FTP. Основною загрозою захист при роботі з протоколом FTP (File Transfer Protocol) є наявність анонімного сервера FTP, за допомогою якого користувач може зареєструватися і завантажити (а іноді і передати) потрібні йому файли. Якщо вам не потрібно надавати подібні послуги, то заберіть з файлу / etc / passwd користувача ім'я FTP. Крім цього, обов'язково видаліть відповідний домашній каталог. Якщо ж ваша організація в обов'язковому порядку повинна мати анонімний сервер FTP, то розмістите його на комп'ютері поза своєї мережі Intranet, у так званій «демілітаризованій зоні» (Demilitarized Zone, DMZ).
Іншим різновидом мережевої атаки є «відмова в обслуговуванні» (Denial-of-Service, DoS), коли атакуючий ініціює безліч сеансів зв'язку з анонімним сервером FTP у спробі зайняти всю його пропускну здатність. Щоб знизити гостроту ситуації, багато версії серверів FTP надають можливість задати максимальне число підтримуваних ними одночасно сеансів зв'язку. Якщо постачальник UNIX не підтримує цю функцію, то ви можете скористатися однією із загальнодоступних версій сервера FTP (див. врізку «Ресурси Internet»).
POP3. Використання третьої версії протоколу POP (Post Office Protocol) пов'язане з серйозною небезпекою для системи захисту, оскільки поштові паролі користувачів передаються по мережі відкритим текстом. Застосовуючи стандартні засоби прослуховування мережі, атакуючий може легко перехопити комбінацію «ім'я користувача / пароль» і скористатися нею для неавторизованого доступу до багатьох інших мережевих ресурсів. Протидіяти цьому можна шляхом установки сервера РОР3, що підтримує роботу з командою Арора (Authenticated POP). Дана команда є витонченим розширенням набору команд протоколу РОР3. Вона дає користувачеві можливість виконання унікальної односторонньої процедури шифрування пароля перед його передачею серверу. Наприклад, компанія Qualcomm пропонує безкоштовний демон РОР3 для UNIX, який реалізує цю команду. Завантажити його можна з сервера РОР Qpopper цієї компанії за адресою: # «justify"> Sendmail. Старі версії агента передачі повідомлень Sendmail буяли дірами в системі захисту, деякі з них були дуже серйозними і відкривали зловмисникові легкий шлях проникнення в систему. Сьогодні більшість постачальників діалектів UNIX використовують версії Sendmail оригінального дистрибутива UC Berkeley, вільно поширювані некомерційним Sendmail Consortium. Секрет захисту Sendmail - в установці останньої версії з усіма «латками» для запобігання проникнення в мережу через яку-небудь із раніше виявлених «дірок». Враховуючи факт появи комер...
