17 Апр, 2023

Удаленный протокол who

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

протокол “rwho” это устаревший сетевой протокол, используемый для удаленного мониторинга вошедших в систему пользователей в Unix или Unix-подобной системе. “rwho” означает “удаленный кто”. Это протокол клиент-сервер, который позволяет одной системе запрашивать у другой системы информацию о вошедших в систему в данный момент пользователях, их терминальных сеансах и именах хостов. Сервер, на котором запущен демон “rwhod”, собирает информацию о вошедших в систему пользователях из различных источников, таких как файлы utmp или wtmp, которые хранят информацию об активных сеансах терминала, и делает эту информацию доступной для удаленных клиентов по протоколу “rwho”.  

R Какие общие порты 

Протокол rwho использует два общих порта: 

Порт TCP/UDP 513: Это порт по умолчанию, используемый протоколом rwho для связи между сервером rwho и клиентами. Сервер rwho прослушивает через этот порт входящие запросы от клиентов rwho. 

Порт TCP/UDP 514: Это порт по умолчанию, используемый rwhod (демон rwhoo) для передачи системной информации, такой как сведения о входе пользователя в систему и средних значениях загрузки системы, другим системам в локальной сети. 

Инструменты для использования протокола Rwho 

Существует несколько инструментов, которые можно использовать для взаимодействия с протоколом rwho: 

rwho: Это стандартное средство командной строки, которое используется для отображения информации о пользователях, вошедших в локальную систему или удаленные системы в той же сети. Он может отображать такую информацию, как имя пользователя, терминал, время входа в систему и средние значения загрузки системы. 

rwhod: Это демон (фоновый процесс), который собирает информацию, относящуюся к системе, такую как сведения о входе пользователя в систему и средних значениях загрузки системы, и передает ее другим системам в локальной сети. Демон rwhod отвечает за отправку информации, которая может быть отображена с помощью команды rwhoo. 

Полезная информация  

– Протокол rwho используется для мониторинга и отображения информации о пользователях, вошедших в систему на базе Unix. В нем содержатся такие сведения, как имя пользователя, терминал, время входа в систему и средние значения загрузки системы. Эта информация может быть полезна системным администраторам для мониторинга использования системы, определения активных пользовательских сеансов и отслеживания производительности системы. 

– Протокол rwho использует механизм широковещательной передачи для отправки системной информации из демона rwhod другим системам в той же локальной сети. Демон rwhod собирает системную информацию, такую как сведения о входе пользователя в систему и средних значениях загрузки системы, и передает ее с помощью UDP-пакетов на определенный порт (порт 514 по умолчанию) в локальной сети. 

– Поскольку протокол rwho использует широковещательную передачу, он может представлять потенциальную угрозу безопасности, если не защищен должным образом. Информация, передаваемая демоном rwhod, такая как данные для входа пользователя, может быть перехвачена другими системами в той же сети. Поэтому важно настроить надлежащие средства контроля доступа, брандмауэры и другие меры безопасности, чтобы ограничить доступ к информации rwho доверенным системам и пользователям. 

– Протокол rwho предоставляет подробную информацию о пользователях, вошедших в систему, что в некоторых сценариях может вызвать проблемы с конфиденциальностью. Системные администраторы должны учитывать последствия для конфиденциальности и получать соответствующее согласие от пользователей, прежде чем собирать и отображать информацию rwho. 

– Хотя rwho является встроенным протоколом в системах на базе Unix, доступны другие современные средства мониторинга системы, такие как системный журнал, SNMP (Simple Network Management Protocol) и веб-инструменты мониторинга, такие как Nagios, Zabbix и Prometheus, которые предлагают более продвинутые и безопасные возможности мониторинга по сравнению с rwho. 

– Протокол rwho обычно требует установки и настройки демона rwhod в системах, которым необходимо передавать информацию, и использования rwho или других инструментов в системах, которым необходимо отображать информацию. Файлы конфигурации, такие как /etc/hosts.equiv и /etc/rwhod.conf, могут использоваться для управления поведением демона rwhod и протокола rwho. 

Книги по удаленному протоколу who 

“Сетевое программирование UNIX: сетевые API: сокеты и XTI” У. Ричарда Стивенса: В этой книге подробно рассматриваются различные сетевые концепции и протоколы в системах на базе Unix, включая rwho. Он обеспечивает всестороннее понимание сетевого программирования с использованием сокетов и API XTI (X / Open Transport Interface). 

“Руководство по TCP / IP: всеобъемлющий иллюстрированный справочник по интернет-протоколам” Чарльза М. Козерока: Эта книга представляет собой всеобъемлющее справочное руководство по протоколам TCP / IP, включая rwho, с подробными пояснениями, иллюстрациями и примерами. В нем в ясной и сжатой форме рассказывается об основах работы сетей, протоколах и практической реализации. 

“Руководство по системному администрированию UNIX и Linux” Эви Немет, Гарта Снайдера, Трента Р. Хейна и Бена Уэйли: Эта книга представляет собой всеобъемлющее руководство по системному администрированию в средах Unix и Linux, охватывающее различные протоколы, включая rwho, и их использование в управлении системами Unix и Linux. В нем содержатся практические примеры, советы и рекомендации для системных администраторов. 

“Практика мониторинга сетевой безопасности: понимание обнаружения инцидентов и реагирования на них” Ричарда Бейтлиха: Эта книга посвящена мониторингу сетевой безопасности, включая такие протоколы, как rwho, и дает представление об обнаружении инцидентов безопасности и реагировании на них. В нем рассматриваются принципы, инструменты, методы и передовой опыт мониторинга сетевой безопасности, включая мониторинг протоколов и анализ сетевого трафика. 

“Программирование систем UNIX: взаимодействие, параллелизм и потоки” Кей А. Роббинс и Стивен Роббинс: В этой книге рассматриваются различные концепции системного программирования на базе Unix, включая межпроцессное взаимодействие (IPC) и сетевые протоколы, включая rwho. Он обеспечивает всестороннее понимание системного программирования Unix для разработчиков и системных администраторов. 

Слабость и Уязвимые места

• Отсутствие аутентификации и шифрования: Протокол rwho не предоставляет никаких встроенных механизмов аутентификации или шифрования, что делает его уязвимым для несанкционированного доступа и подслушивания. Это потенциально может привести к раскрытию информации или фальсификации, поскольку протокол не проверяет личность отправителя и не защищает целостность передаваемых данных. 

• Отсутствие контроля доступа: Протокол rwho не имеет детализированных механизмов контроля доступа, что означает, что любой пользователь в сети потенциально может запрашивать и извлекать информацию из службы rwho. Это может привести к несанкционированному доступу к системной информации и пользовательским данным. 

• Отсутствие конфиденциальности: Протокол rwho передает информацию об использовании системы и активности пользователя открытым текстом, которая может быть перехвачена и отслежена злоумышленниками. Это может привести к раскрытию конфиденциальной информации, такой как имена пользователей для входа в систему, названия терминалов и время простоя, которое может быть использовано в злонамеренных целях. 

• Отсутствие проверки целостности: Протокол rwho не предоставляет механизмов для проверки целостности полученных данных. Это означает, что злоумышленники потенциально могут подделать информацию, которой обмениваются через rwho, что приведет к неточным или вводящим в заблуждение отчетам о состоянии системы. 

• Ограниченная масштабируемость: Протокол rwho основан на широковещательной или многоадресной передаче для обмена системной информацией по сети, которая может плохо масштабироваться в больших сетях. Это может привести к увеличению нагрузки на сеть, перегрузке и потенциальным проблемам с производительностью. 

• Отсутствие современных средств безопасности: Протокол rwho был разработан на заре систем на базе Unix и в нем отсутствуют современные функции безопасности, такие как шифрование, аутентификация и контроль доступа. Это делает его уязвимым для различных атак, включая подмену, подделку и раскрытие информации. 

• Потенциал для подменных атак: Протокол rwho основан на доверии, основанном на IP-адресах, которые могут быть легко подделаны. Это открывает злоумышленникам возможность выдавать себя за законные системы и отправлять ложную или вредоносную информацию через rwho, что приводит к неточным отчетам о состоянии системы и вводящему в заблуждение системному мониторингу. 

• Ограниченное ведение журнала и аудит: Протокол rwho не предоставляет всеобъемлющих механизмов ведения журнала и аудита, что может затруднить отслеживание и расследование потенциальных инцидентов безопасности или неправильного использования службы rwho. 

• Проблемы совместимости и интероперабельности: Протокол rwho может быть недостаточно широко поддержан или использован в современных сетях, что может привести к проблемам совместимости при попытке интегрировать rwho с другими средствами сетевого мониторинга или управления.
 

Смягчение последствий: 

Чтобы смягчить недостатки и уязвимые места протокола rwho, необходимо принять следующие меры: 

1. Отключите или защитите службу rwho: Если служба rwho не нужна в вашей среде, рассмотрите возможность ее полного отключения, чтобы устранить потенциальные риски, связанные с ее использованием. Если служба необходима, убедитесь, что она правильно настроена с соответствующими мерами безопасности, такими как включение аутентификации и шифрования. 

2. Внедрите механизмы аутентификации и шифрования: Используйте механизмы аутентификации, такие как аутентификация паролем или аутентификация открытым ключом, для проверки личности отправителя и предотвращения несанкционированного доступа. Внедрите шифрование, такое как TLS/SSL, для защиты конфиденциальности и целостности данных, передаваемых по сети. 

3. Ограничить доступ к сервису rwho: Ограничьте доступ к службе rwho на основе сетевых сегментов или IP-адресов только для доверенных хостов. Это может помочь предотвратить несанкционированный доступ к сервису и снизить вероятность подменных атак. 

4. Следите за несанкционированным доступом и подозрительной активностью: Внедрите механизмы мониторинга и ведения журнала для отслеживания и аудита использования сервиса rwho на предмет любых признаков потенциального неправильного использования или несанкционированного доступа. Регулярно просматривайте журналы регистрации и оповещения на предмет любой подозрительной активности и предпринимайте соответствующие действия в ответ. 

5. Поддерживайте системы и сетевую инфраструктуру в актуальном состоянии: Регулярно применяйте исправления безопасности, обновления и меры по усилению защиты базовых операционных систем и сетевой инфраструктуры для устранения известных уязвимостей и слабых мест. Это включает в себя поддержание всего соответствующего программного обеспечения и встроенного ПО в актуальном состоянии, включая саму службу rwho. 

6. Внедрите дополнительные меры безопасности: Рассмотрите возможность внедрения дополнительных мер безопасности, таких как брандмауэры, системы обнаружения вторжений и средства мониторинга безопасности, чтобы обеспечить дополнительный уровень защиты от потенциальных атак, нацеленных на протокол rwho. 

7. Рассмотрите альтернативные протоколы: Если уязвимости и слабые места протокола rwho вызывают серьезную озабоченность, рассмотрите возможность использования альтернативных протоколов, которые обеспечивают более надежные функции безопасности, такие как SNMP (Simple Network Management Protocol) или современные средства сетевого мониторинга и управления, которые предлагают более продвинутые возможности безопасности. 

Заключение 

В заключение, хотя протокол rwho был полезным инструментом для мониторинга системы и составления отчетов о состоянии в Unix-подобных средах, он не лишен своих уязвимостей и слабых мест. Эти уязвимости потенциально могут быть использованы злоумышленниками для получения несанкционированного доступа, подделки информации или запуска атак. Однако при тщательном соблюдении мер безопасности, таких как аутентификация, шифрование, ограничения доступа, мониторинг и регулярные обновления, риски, связанные с протоколом rwho, могут быть снижены. 

Крайне важно оценить риски и уязвимости в вашей конкретной среде и предпринять упреждающие шаги для защиты протокола rwho или рассмотреть альтернативные протоколы, которые обеспечивают более надежные функции безопасности. Следуя рекомендациям, оставаясь бдительным и постоянно обновляя систему безопасности, вы можете значительно снизить риски, связанные с протоколом rwho, и обеспечить целостность и конфиденциальность ваших действий по мониторингу системы и составлению отчетов. 

Помните, что безопасность - это непрерывный процесс, требующий постоянных усилий и внимания. Расставляя приоритеты в мерах безопасности и принимая необходимые меры предосторожности, вы можете эффективно защитить свою систему и сеть от потенциальных уязвимостей и обеспечить безопасность своей среды. Будьте в курсе событий, проявляйте инициативу и ставьте безопасность во главу угла при использовании протокола rwho или любой другой сетевой службы в вашей среде. 

Другие Услуги

Готовы к безопасности?

Связаться с нами