последняя стабильная
    версия: 3.4.0rc1
    главная     скачать     документация     поддержка     форум     разработка

Документация

Releases

База знаний

Примеры конфигурации

 

Вопросы безопасности


Поскольку NeTAMS запускается с правами root, и отвечает за подсчет не бесплатного трафика, безопасность всей системы является очень важным фактором. Существует несколько потенциально небезопасных направлений:
  • Взлом всей системы через программу
  • Взлом защиты самой программы
  • Действия, приводящие к неверному учету трафика
Автор программы не несет никакой ответственности за ее использование и за тот ущерб, который (явно или неявно) может быть нанесен кому-либо в результате работы этой программы или ее компонентов. Если вы несогласны с этим утверждением, деинсталлируйте программу и все ее компоненты немедленно!

При написании NeTAMS не предпринималось никаких попыток установить компоненты, позволяющие создателю или кому-либо осуществить несанкционированный доступ в систему с работающей программой. Вместе с тем, в результате неизбежных ошибок программирования, такая возможность может потенциально существовать. На данный момент ни одного случая взлома программы зарегистрировано не было.

Несанкционированный доступ к программе может быть получен путем узнавания пароля и присоединения к программе через telnet. Для защиты от этого пароли на доступ шифруются через crypt(); в статических HTML-страницах пароли заменяются звездочками (show config unsecure). Однако рекомендуется выполнить следующие действия:
  • Установите права на чтение конфигурационного файла и лог-файлов только для пользователя root
  • Отмените права на чтение локальных файлов HTML-статистики тем, кому не нужно
  • Установите (средствами http-сервера) права на просмотр статистики "извне" только тем, кому нужно
  • Отмените возможность логина в программу не с локальной машины:
        service server 0
        login localhost
  • Отрежьте правилами firewall вашей системы нелокальное подключение к программе:
        ipfw add 100 allow ip from any to any via lo0
        ipfw add 110 deny tcp from any to me 20001
Неправильный учет трафика возможен при неверном расположении правил ipfw/iptables и при получении статистики netflow от неизвестного источника. Для избежания этого:
  • Подумайте, как данные ходят по вашей сети
  • Нарисуйте схему сети с именами интерфейсов
  • Выпишите список имеющихся правил ipfw/iptables и придумайте номер (место) вашего правила, через которое будет осуществляться "заворачивание" трафика
  • Если вы используете трансляцию адресов или bridging, подумайте еще раз
  • Если вы используете прозрачный http-прокси, подумайте снова
  • Если вы используете подсчет потока NetFlow, ОБЯЗАТЕЛЬНО укажите ip-адрес присылающего статистику роутера в описании соответствующего сервиса data-source.

Рейтинг@Mail.ru