Podsumowanie zaleceń dotyczących SSH

Jeśli musisz zezwolić na połączenia przychodzące, SSH jest jednym z najbezpieczniejszych sposobów. Unikaj uwierzytelniania opartego na plikach .rhosts. Pozwalaj na przychodzące połączenia SSH tylko do serwerów, które kontrolujesz. Rozważ wyłączenie mechanizmu przekazywania portów. Włącz zdalną obsługę XII tylko wtedy, gdy jej potrzebujesz.

Zastanów się, czy nie zabronić nawiązywania wychodzących połączeń SSH, ponieważ można wykorzystać je do tunelowania połączeń przychodzących, a trudno nałożyć na nie ograniczenia przekazywania portów.

Zdalne interfejsy graficzne. Programy omówione w poprzednich rozdziałach dają dostęp do komputera w trybie tekstowym, ale obecnie użytkownicy wolą się posługiwać interfejsami graficznymi. Jest to inny (i znacznie świeższej daty) problem z innymi rozwiązaniami.

X11 Window System. i||r Większość systemów operujących oknami dostarczanych przez producentów Uniksa HU jest albo oparta na XII, albo bardzo podobna z perspektywy firewalla kwestie bezpieki» czeństwa są niemal takie same, więc poniższy opis XII odnosi się także do innych takich systemów.

XII Window System powoduje kilka problemów w systemach firewallowych. Pierwszy problem polega na tym, że relacja klientserwer jest tutaj odwrócona w stosunku do większości innych protokołów. „Serwer” XII to jednostka składająca się z ekranu, myszy i klawiatury, a „klienty” to aplikacje sterujące oknami albo współpracujące z myszą i klawiaturą w serwerze. Serwer jest zatem położony po wewnętrznej stronie firewalla (stoi na biurku użytkownika), a klienty są na zewnątrz (działają w zdalnych komputerach, z którymi połączył się użytkownik). Rysunek 1.3 przedstawia klienta i serwer X. Pewne możliwości serwerów XII bardzo zachęcają do zaatakowania ich. Po uzyskaniu dostępu do serwera XII napastnik może: