Вопросы безопасности
Поскольку NeTAMS запускается с правами root, и отвечает за подсчет не бесплатного трафика, безопасность всей системы является очень важным фактором. Существует несколько потенциально небезопасных направлений:
- Взлом всей системы через программу
- Взлом защиты самой программы
- Действия, приводящие к неверному учету трафика
Автор программы не несет никакой ответственности за ее использование и за тот ущерб, который (явно или неявно) может быть нанесен кому-либо в результате работы этой программы или ее компонентов. Если вы несогласны с этим утверждением, деинсталлируйте программу и все ее компоненты немедленно!
При написании NeTAMS не предпринималось никаких попыток установить компоненты, позволяющие создателю или кому-либо осуществить несанкционированный доступ в систему с работающей программой. Вместе с тем, в результате неизбежных ошибок программирования, такая возможность может потенциально существовать. На данный момент ни одного случая взлома программы зарегистрировано не было.
Несанкционированный доступ к программе может быть получен путем узнавания пароля и присоединения к программе через telnet. Для защиты от этого пароли на доступ шифруются через crypt(); в статических HTML-страницах пароли заменяются звездочками (show config unsecure).
Однако рекомендуется выполнить следующие действия:
- Установите права на чтение конфигурационного файла и лог-файлов только для пользователя root
- Отмените права на чтение локальных файлов HTML-статистики тем, кому не нужно
- Установите (средствами http-сервера) права на просмотр статистики "извне" только тем, кому нужно
- Отмените возможность логина в программу не с локальной машины:
service server 0
login localhost
- Отрежьте правилами firewall вашей системы нелокальное подключение к программе:
ipfw add 100 allow ip from any to any via lo0
ipfw add 110 deny tcp from any to me 20001
Неправильный учет трафика возможен при неверном расположении правил ipfw/iptables и при получении статистики netflow от неизвестного источника. Для избежания этого:
- Подумайте, как данные ходят по вашей сети
- Нарисуйте схему сети с именами интерфейсов
- Выпишите список имеющихся правил ipfw/iptables и придумайте номер (место) вашего правила, через которое будет осуществляться "заворачивание" трафика
- Если вы используете трансляцию адресов или bridging, подумайте еще раз
- Если вы используете прозрачный http-прокси, подумайте снова
- Если вы используете подсчет потока NetFlow, ОБЯЗАТЕЛЬНО укажите ip-адрес присылающего статистику роутера в описании соответствующего сервиса data-source.