И Н Ф О Р М А Ц И О Н Н Ы Й   Б Ю Л Л Е Т Е Н Ь




Скачать 225.44 Kb.
PDF просмотр
НазваниеИ Н Ф О Р М А Ц И О Н Н Ы Й   Б Ю Л Л Е Т Е Н Ь
страница9/25
Дата конвертации11.12.2012
Размер225.44 Kb.
ТипДокументы
1   ...   5   6   7   8   9   10   11   12   ...   25



Windows и Linux: что безопаснее?
ет подключенным к сети компьютером, появляется
пьютере. Ни технических, ни логических причин
возможность использовать эту брешь, чтобы заста
подключать к сети сервер базы данных нет, по
вить уязвимый компьютер выполнить какие либо
скольку такое подключение создает лишнюю уг
действия. К сожалению, пользователи Windows не
розу безопасности.
могут заблокировать RPC механизм, так как
Вопрос о серверах баз данных поднят из за
Windows использует его, даже если компьютер не
того, что сетевой червь Slammer, один из самых
подключен к сети. Многие сервисы Windows уст
опасных червей, когда либо существовавших в
роены именно так. В некоторых случаях можно
Интернете, использовал на редкость неуместное
блокировать RPC порт на межсетевом экране, но
применение RPC подобных сетевых соединений,
Windows так широко использует RPC механизмы в
реализованное Microsoft. За короткое время
основных функциях, что подобная блокировка не
Slammer заразил так много систем, что Интернет
всегда возможна. Удивительно, но некоторые из
практически перестал функционировать.
наиболее серьезных уязвимостей в Windows 
Сетевой червь Slammer вызвал хаос, исполь
Server 2003 (см. Табл. 1) – следствие брешей в са
зовав две бреши в Microsoft SQL Server, который
мих RPC функциях Windows, а не в приложениях,
является сервером клиент серверной базы дан
которые их используют. Самый распространен
ных SQL типа. Одна брешь – это самая бесполез
ный способ использовать уязвимость, связанную с
ная функция Microsoft SQL Server, позволяющая
RPC механизмом – атаковать сервис, использую
одновременно запустить несколько копий серве
щий RPC, а не сам RPC механизм.
ра базы данных на одном компьютере. Почему эта
Важно отметить, что RPC механизмы не
функция бесполезна? Если вы незнакомы с рабо
всегда необходимы, отчего становится еще непо
той серверов баз данных, представьте это себе
нятнее, почему Microsoft так широко их использу
следующим образом. В обычных условиях бес
ет. Предположим, требуется создать web сайт, ис
смысленно запускать несколько копий сервера
пользуя два сервера. Один сервер будет работать в
базы данных на одном компьютере, потому что
качестве сервера базы данных, второй – в качест
одна копия – это все, что нужно, даже если ее ис
ве web сервера. В этом случае серверу базы дан
пользует множество разных приложений. Потреб
ных необходимо использовать RPC, потому что
ность в одновременном запуске нескольких сер
web сервер находится на отдельном компьютере и
веров баз данных на одном компьютере также ве
должен иметь возможность доступа к серверу ба
роятна, как потребность в одновременном запуске
зы данных через сетевое подключение. (Даже в
двух копий Windows XP на одном компьютере. Не
этом случае следует сконфигурировать сервер ба
сколько копий сервера базы данных запускаются
зы данных так, чтобы он «слушал» только данный
не по ошибке исключительно редко, да и то лишь в
web сервер, но не другие компьютеры). Если же и
высокопроизводительных приложениях или для
сервер базы данных, и web сервер функциониру
тестирования и разработки4.
ют на одном компьютере, использование RPC ме
Простой способ обеспечить одновремен
ханизмов на сервере базы данных не только не
ную работу нескольких не мешающих друг другу
обязательно, но и нежелательно. Web сервер дол
копий SQL Server – создать RPC механизм, кото
жен иметь прямой доступ к серверу базы данных,
рый сортирует запросы на получение данных та
потому что они оба функционируют на одном ком
ким образом, что, например, приложение факс 
4 Кажется, мы поняли, почему Microsoft решила установить по умолчанию именно этот режим функционирования SQL Server.
Многие сторонние приложения используют процессор SQL Server по умолчанию. Если бы на компьютере могла
функционировать только одна копия SQL Server, то Microsoft пришлось бы разработать удобные средства, позволяющие
программе инсталляции обнаружить установленный и функционирующий SQL Server, а затем обеспечить удобный способ
инсталляции, интеграции и администрирования особых требований сторонних приложений в своей собственной базе
данных и в таблицах, функционирующих на данном сервере. Это очень элегантное решение, минимизирующее
используемые ресурсы, поскольку всегда требуется только одна копия SQL Server. Но такой подход потребовал бы большой
дополнительной работы со стороны Microsoft или со стороны независимых разработчиков. Намного проще реализовать
решение, позволяющее сторонним приложениям не заботиться о том, инсталлирован ли SQL Server. По схеме, реализованной
Microsoft, любое стороннее приложение может просто инсталлировать свою собственную копию SQL Server, не беспокоясь о
том, установлен ли SQL Server на данном компьютере, какая версия SQL Server инсталлирована, как сконфигурирован
существующий SQL Server. Стремясь привлечь независимых разработчиков к использованию SQL Server, Microsoft выбрала
принцип наименьшего действия и разработала систему, в которой любое приложение может инсталлировать свою
собственную копию SQL Server, которая не взаимодействует с другими копиями SQL Server, функционирующими на том же
компьютере. Из за этого возникла необходимость в запуске несколько копий SQL Server с задействованным RPC
механизмом, который следовало бы использовать как можно реже. Этот наименее затратный подход имел чрезвычайно
пагубные последствия. Если бы Microsoft разработала SQL Server так, чтобы он функционировал как единственная копия, не
подключенная по умолчанию к сети, то сетевой червь Slammer не нашел бы достаточно компьютеров с работающим SQL
Server, чтобы причинить сколько нибудь значительный ущерб.
11
1   ...   5   6   7   8   9   10   11   12   ...   25

Разместите кнопку на своём сайте:
kak.znate.ru


База данных защищена авторским правом ©kak.znate.ru 2012
обратиться к администрации
KakZnate
Главная страница