17 Кві, 2023

Віддалений протокол who

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

протокол "rwho" це застарілий мережевий протокол, використовуваний для віддаленого моніторингу увійшли в систему користувачів Unix або Unix-подібній системі. "rwho" означає "віддалений хто". Це протокол клієнт-сервер, який дозволяє одній системі запитувати у іншої системи інформацію про ввійшли в систему в даний момент користувачів, їх термінальних сеансах і імена хостів. Сервер, на якому запущений демон "rwhod", збирає інформацію про увійшли в систему користувачів з різних джерел, таких як файли utmp або wtmp, які зберігають інформацію про активних сеансів термінала, і робить цю інформацію доступною для віддалених клієнтів за протоколом "rwho".  

R Які загальні порти 

Протокол rwho використовує два загальних порту: 

Порт TCP/UDP 513: Це порт, що використовується протоколом rwho для зв'язку між сервером rwho і клієнтами. Сервер rwho прослуховує через цей порт вхідні запити від клієнтів rwho. 

Порт TCP/UDP 514: Це порт, що використовується rwhod (демон rwhoo) для передачі системної інформації, такої як відомості про вході користувача в систему і середніх значеннях завантаження системи, інших систем в локальній мережі. 

Інструменти для використання протоколу Rwho 

Існує кілька інструментів, які можна використовувати для взаємодії з протоколом rwho: 

rwho: Це стандартне засіб командного рядка, яка використовується для показу інформації про користувачів, що увійшли в локальну систему або видалені в тій же мережі. Він може відображати таку інформацію, як ім'я користувача, термінал, час входу в систему і середні значення завантаження системи. 

rwhod: Це демон (фоновий процес), який збирає інформацію, що відноситься до системи, таку як відомості про вході користувача в систему і середніх значеннях завантаження системи, і передає її іншим системам в локальній мережі. Демон rwhod відповідає за відправку інформації, яка може бути відображена за допомогою команди rwhoo. 

Корисна інформація  

– Протокол rwho використовується для моніторингу і відображення інформації про користувачів, які увійшли в систему на базі Unix. У ньому містяться такі відомості, як ім'я користувача, термінал, час входу в систему і середні значення завантаження системи. Ця інформація може бути корисна системним адміністраторам для моніторингу використання системи, визначення активних користувальницьких сеансів і відстеження продуктивності системи. 

– Протокол rwho використовує механізм широкомовної передачі для відправки системної інформації з демона rwhod іншим системам в тій же локальній мережі. Демон rwhod збирає системну інформацію, таку як відомості про вході користувача в систему і середніх значеннях завантаження системи, і передає її за допомогою UDP-пакетів на певний порт (порт 514 за замовчуванням) в локальній мережі. 

– Оскільки протокол rwho використовує широкомовну передачу, він може становити потенційну загрозу безпеці, якщо не захищений належним чином. Інформація, що передається демоном rwhod, така як дані для входу користувача, може бути перехоплена іншими системами в тій же мережі. Тому важливо налаштувати належні засоби контролю доступу, брандмауери та інші заходи безпеки, щоб обмежити доступ до інформації rwho довіреною систем і користувачам. 

– Протокол rwho надає докладну інформацію про користувачів, які увійшли в систему, що в деяких випадках може викликати проблеми з конфіденційністю. Системні адміністратори повинні враховувати наслідки для конфіденційності та отримувати відповідну згоду від користувачів, перш ніж збирати і відображати інформацію rwho. 

– Хоча rwho є вбудованим протоколом у системах Unix, доступні інші сучасні засоби моніторингу системи, такі як системний журнал, SNMP (Simple Network Management Protocol) і веб-інструменти моніторингу, такі як Nagios, Zabbix і Prometheus, які пропонують більш просунуті і безпечні можливості моніторингу порівняно з rwho. 

– Протокол rwho зазвичай вимагає установки і налаштування демона rwhod в системах, яким необхідно передавати інформацію, та використання rwho або інших інструментів в системах, яким необхідно відображати інформацію. Файли конфігурації, такі як /etc/hosts.equiv і /etc/rwhod.conf, можуть використовуватися для управління поведінкою демона rwhod і протоколу rwho. 

Книги з віддаленого протоколом who 

"Мережеве програмування UNIX: мережеві API: сокети і XTI" У. Річарда Стівенса: У цій книзі докладно розглядаються різні мережні концепції і протоколи в системах Unix, включаючи rwho. Він забезпечує всебічне розуміння мережевого програмування з використанням сокетів і API XTI (X / Open Transport Interface). 

"Керівництво по TCP / IP: всеосяжний ілюстрований довідник з інтернет-протоколами" Чарльза М. Козерока: Ця книга являє собою всеосяжне довідкове керівництво по протоколах TCP / IP, включаючи rwho, з докладними поясненнями, ілюстраціями та прикладами. У ньому в ясній і стислій формі розповідається про засади роботи мереж, протоколах та практичної реалізації. 

"Керівництво по системного адміністрування UNIX і Linux" Еві Немет, Гарту Снайдера, Трента Р. Хейна і Бена Уейл: Ця книга являє собою всеосяжне керівництво по системного адміністрування в середовищах Unix і Linux, що охоплює різні протоколи, включаючи rwho, та їх використання в управлінні системами Unix і Linux. У ньому містяться практичні приклади, поради та рекомендації для системних адміністраторів. 

"Практика моніторингу мережевої безпеки: розуміння виявлення інцидентів і реагування на них" Річарда Бейтлиха: Ця книга присвячена моніторингу мережевої безпеки, включаючи такі протоколи, як rwho, і дає уявлення про виявлення інцидентів безпеки і реагуванні на них. У ньому розглядаються принципи, інструменти, методи та передовий досвід моніторингу мережевої безпеки, включаючи моніторинг протоколів і аналіз мережевого трафіку. 

"Програмування систем UNIX: взаємодія, паралелізм і потоки" Кей А. Роббінс і Стівен Роббінс: У цій книзі розглядаються різні концепції системного програмування на базі Unix, включаючи межпроцессное взаємодія (IPC) і мережеві протоколи, включаючи rwho. Він забезпечує всебічне розуміння системного програмування Unix для розробників і системних адміністраторів. 

Слабкість і Вразливі місця

• Відсутність аутентифікації і шифрування: Протокол rwho не надає ніяких вбудованих механізмів автентифікації або шифрування, що робить його вразливим для несанкціонованого доступу і підслуховування. Це потенційно може призвести до розкриття інформації або фальсифікації, оскільки протокол не перевіряє особу відправника і не захищає цілісність переданих даних. 

• Відсутність контролю доступу: Протокол rwho не має деталізованих механізмів контролю доступу, що означає, що будь-який користувач у мережі потенційно може запитувати і отримувати інформацію з служби rwho. Це може призвести до несанкціонованого доступу до системної інформації і даних користувача. 

• Відсутність конфіденційності: Протокол rwho передає інформацію про використання системи і активності користувача відкритим текстом, яка може бути перехоплена і відстежено зловмисниками. Це може призвести до розкриття конфіденційної інформації, такої як імена користувачів для входу в систему, назви терміналів і час простою, що може бути використано у зловмисних цілях. 

• Відсутність перевірки цілісності: Протокол rwho не надає механізмів для перевірки цілісності отриманих даних. Це означає, що зловмисники потенційно можуть підробити інформацію, якою обмінюються через rwho, що призведе до неточних або вводить в оману звітів про стан системи. 

• Обмежена масштабованість: Протокол rwho заснований на широкомовної або багатоадресної передачі для обміну системною інформацією з мережі, яка може погано масштабуватися у великих мережах. Це може призвести до збільшення навантаження на мережу, перевантаження і потенційних проблем з продуктивністю. 

• Відсутність сучасних засобів безпеки: Протокол rwho був розроблений на зорі систем на базі Unix і в ньому відсутні сучасні функції безпеки, такі як шифрування, аутентифікації і контроль доступу. Це робить його вразливим для різних атак, включаючи підміну, підробку і розкриття інформації. 

• Потенціал для підмінних атак: Протокол rwho заснований на довірі, заснованому на IP-адреси, які можуть бути легко підроблені. Це відкриває зловмисникам можливість видавати себе за законні системи і відправляти неправдиву або шкідливу інформацію через rwho, що призводить до неточних звітів про стан системи і вводящему в оману системного моніторингу. 

• Обмежений ведення журналу і аудит: Протокол rwho не надає всеохоплюючих механізмів ведення журналу та аудиту, що може утруднити відстеження та розслідування потенційних інцидентів безпеки або неправильного використання служби rwho. 

• Проблеми сумісності та інтероперабельності: Протокол rwho може бути недостатньо широко підтриманий або використаний в сучасних мережах, що може привести до проблем сумісності при спробі інтегрувати rwho з іншими засобами мережевого моніторингу або управління.
 

Пом'якшення наслідків: 

Щоб пом'якшити недоліки і вразливі місця протоколу rwho, необхідно вжити наступні заходи: 

1. Вимкніть або захистіть службу rwho: Якщо служба rwho не потрібна у вашій середовищі, розгляньте можливість її повного відключення, щоб усунути потенційні ризики, пов'язані з її використанням. Якщо служба необхідна, переконайтеся, що вона правильно налаштована з відповідними заходами безпеки, такими як включення аутентифікації і шифрування. 

2. Вбудуйте механізми аутентифікації і шифрування: Використовуйте механізми аутентификації, такі як аутентифікація паролем або аутентифікація відкритим ключем, для перевірки особи відправника і запобігання несанкціонованого доступу. Вбудуйте шифрування, таке як TLS/SSL, для захисту конфіденційності і цілісності даних, переданих по мережі. 

3. Обмежити доступ до сервісу rwho: Обмежте доступ до служби rwho на основі мережевих сегментів або IP-адреси тільки для довірених хостів. Це може допомогти запобігти несанкціонований доступ до сервісу і знизити ймовірність підмінних атак. 

4. Слідкуйте за несанкціонованим доступом і підозрілою активністю: Вбудуйте механізми моніторингу і ведення журналу для відстеження та аудиту використання сервісу rwho на предмет будь-яких ознак потенційного неправильного використання або несанкціонованого доступу. Регулярно переглядайте журнали реєстрації та оповіщення на предмет будь-якої підозрілої активності і робіть відповідні дії у відповідь. 

5. Підтримуйте системи і мережеву інфраструктуру в актуальному стані: Регулярно застосовуйте виправлення безпеки, оновлення та заходи щодо посилення захисту базових операційних систем та мережевої інфраструктури для усунення відомих вразливостей і слабких місць. Це включає в себе підтримку відповідного програмного забезпечення і вбудованого в актуальному стані, включаючи саму службу rwho. 

6. Вбудуйте додаткові заходи безпеки: Розгляньте можливість впровадження додаткових заходів безпеки, таких як брандмауери, системи виявлення вторгнень і засоби моніторингу безпеки, щоб забезпечити додатковий рівень захисту від потенційних атак, націлених на протокол rwho. 

7. Розгляньте альтернативні протоколи: Якщо уразливості і слабкі місця протоколу rwho викликають серйозну заклопотаність, розгляньте можливість використання альтернативних протоколів, які забезпечують більш надійні функції безпеки, такі як SNMP (Simple Network Management Protocol) або сучасні засоби мережевого моніторингу та управління, які пропонують більш просунуті можливості безпеки. 

Висновок 

На закінчення, хоча протокол rwho був корисним інструментом для моніторингу системи і складання звітів про стан в Unix-подібних середовищах, він не позбавлений своїх недоліків і слабких місць. Ці уразливості потенційно можуть бути використані зловмисниками для отримання несанкціонованого доступу, підробки інформації або запуску атак. Однак при ретельному дотриманні заходів безпеки, таких як аутентифікація, шифрування, обмеження доступу, моніторинг і регулярні оновлення, ризики, пов'язані з протоколом rwho, можуть бути знижені. 

Вкрай важливо оцінити ризики та вразливості у вашій конкретній середовищі і зробити попереджувальні кроки для захисту протоколу rwho або розглянути альтернативні протоколи, які забезпечують більш надійні функції безпеки. Слідуючи рекомендаціям, залишаючись пильним і постійно оновлюючи систему безпеки, ви можете значно знизити ризики, пов'язані з протоколом rwho, і забезпечити цілісність і конфіденційність ваших дій з моніторингу системи і складання звітів. 

Пам'ятайте, що безпека - це безперервний процес, що вимагає постійних зусиль і уваги. Розставляючи пріоритети заходи безпеки і приймаючи необхідні заходи обережності, ви можете ефективно захистити свою систему і мережу від потенційних вразливостей і забезпечити безпеку свого середовища. Будьте в курсі подій, проявляйте ініціативу і ставте безпеку під главу кута при використанні протоколу rwho або будь-який інший мережевий служби у вашому середовищі. 

Інші Послуги

Готові до безпеки?

зв'язатися з нами