Вопросы безопасности

Поскольку NeTAMS запускается с правами root, и отвечает за подсчет не бесплатного трафика, безопасность всей системы является очень важным фактором. Существует несколько потенциально небезопасных направлений:

• Взлом всей системы через программу
• Взлом защиты самой программы
• Действия, приводящие к неверному учету трафика

Автор программы не несет никакой ответственности за ее использование и за тот ущерб, который (явно или неявно) может быть нанесен кому-либо в результате работы этой программы или ее компонентов. Если вы несогласны с этим утверждением, деинсталлируйте программу и все ее компоненты немедленно!

При написании NeTAMS не предпринималось никаких попыток установить компоненты, позволяющие создателю или кому-либо осуществить несанкционированный доступ в систему с работающей программой. Вместе с тем, в результате неизбежных ошибок программирования, такая возможность может потенциально существовать. На данный момент ни одного случая взлома программы зарегистрировано не было.

Несанкционированный доступ к программе может быть получен путем узнавания пароля и присоединения к программе через telnet. Для защиты от этого пароли на доступ шифруются через crypt(); в статических HTML-страницах пароли заменяются звездочками (show config unsecure). Однако рекомендуется выполнить следующие действия:

• Установите права на чтение конфигурационного файла и лог-файлов только для пользователя root
• Отмените права на чтение локальных файлов HTML-статистики тем, кому не нужно
• Установите (средствами http-сервера) права на просмотр статистики "извне" только тем, кому нужно
• Отмените возможность логина в программу не с локальной машины:
      service server 0
      login localhost
• Отрежьте правилами firewall вашей системы нелокальное подключение к программе:
      ipfw add 100 allow ip from any to any via lo0
      ipfw add 110 deny tcp from any to me 20001

Неправильный учет трафика возможен при неверном расположении правил ipfw/iptables и при получении статистики netflow от неизвестного источника. Для избежания этого:

• Подумайте, как данные ходят по вашей сети
• Нарисуйте схему сети с именами интерфейсов
• Выпишите список имеющихся правил ipfw/iptables и придумайте номер (место) вашего правила, через которое будет осуществляться "заворачивание" трафика
• Если вы используете трансляцию адресов или bridging, подумайте еще раз
• Если вы используете прозрачный http-прокси, подумайте снова
• Если вы используете подсчет потока NetFlow, ОБЯЗАТЕЛЬНО укажите ip-адрес присылающего статистику роутера в описании соответствующего сервиса data-source.