Bezpieczenstwo_sieci_w_Linuksie_Wykrywanie_atakow_i_obrona_przed_nimi_za_pomoca_iptables_psad_i_fwsnort_bsieli.pdf

(404 KB) Pobierz

Bezpieczeñstwo sieci w Linuksie.

Wykrywanie ataków i obrona przed nimi

za pomoc¹ iptables, psad i fwsnort

Autor: Michael Rash

T³umaczenie: Andrzej Stefañski

ISBN: 978-83-246-1539-1

Tytu³ orygina³u:

Linux Firewalls: Attack Detection

and Response with iptables, psad, and fwsnort

Format: 170x230, stron: 352

Przyk³ady na ftp: 1038 kB

Bezpieczeñstwo sieci w Linuksie. Wykrywanie ataków i obrona przed nimi

za pomoc¹ iptables, psad i fwsnort

Wykrywanie i zwalczanie ataków sieciowych dla zaawansowanych

• Jak wykrywaæ ataki i broniæ sieci na ró¿nych warstwach sieciowych?

• Jak wykorzystaæ logi do automatycznego tworzenia regu³ iptables?

• Jak zabezpieczyæ serwer przy u¿yciu metod pasywnej autoryzacji?

Ka¿dy administrator sieci wie, jak wa¿na jest jej ochrona przed atakami z zewn¹trz. Wie równie¿, ¿e jest

to nieustaj¹ca walka z coraz bardziej zaawansowanymi technikami.

Raz postawiony firewall nie jest w stanie zapewniæ sieci ca³kowitego bezpieczeñstwa w nieskoñczonoœæ,

dlatego ci¹g³e poszerzanie swojej wiedzy i umiejêtne jej zastosowanie jest nieod³¹czn¹ czêœci¹ pracy

administratorów. Jeœli jesteœ odpowiedzialny za utrzymanie bezpieczeñstwa sieci, ksi¹¿ka ta jest dla

Ciebie. Stanowi Ÿród³o wiedzy z zakresu wykorzystania oprogramowania open source i systemu Linux

w walce o bezpieczeñstwo sieci.

Michael Rash, autor wielu publikacji i ksi¹¿ek, jest ekspertem w dziedzinie ochrony sieci. W ksi¹¿ce

Bezpieczeñstwo sieci w Linuksie. Wykrywanie ataków i obrona przed nimi za pomoc¹ iptables, psad

i fwsnort przedstawia sposób ³¹czenia metod zabezpieczeñ w systemie Linux przy u¿yciu iptables, Snort

oraz psad, fwsnort i fwknop, których sam jest twórc¹. Na praktycznych przyk³adach udowadnia

skutecznoœæ zastosowanych technologii, które s¹ porównywalne z komercyjnymi, i pokazuje sposoby

ich wykorzystywania. Do³¹czone do ksi¹¿ki skrypty umo¿liwiaj¹ przetestowanie omawianych technologii

w praktyce.

• Konfiguracja iptables

• Atak i obrona w warstwach modelu OSI

• Instalacja i konfiguracja psad

• Integracja psad z oprogramowaniem zewnêtrznym

• Konfiguracja systemu wykrywania w³amañ Snort

• Przetwarzanie sygnatur Snort na regu³y iptables

• Automatyzacja przetwarzania sygnatur poprzez fwsnort

• Analiza i raporty psad

• Instalacja i konfiguracja fwknop

• Wizualizacja logów iptables

Poznaj niekomercyjne metody skutecznej ochrony sieci!

Wydawnictwo Helion

ul. Koœciuszki 1c

44-100 Gliwice

tel. 032 230 98 63

e-mail: helion@helion.pl

Spis treści

PODZIĘKOWANIA ................................................................................... 13

PRZEDMOWA ........................................................................................... 15

WPROWADZENIE ..................................................................................... 19

Dlaczego wykrywać ataki przy pomocy iptables? ......................................................................20

Co z dedykowanymi sieciowymi systemami wykrywania włamań? ...................................21

Głęboka obrona .................................................................................................................22

Wymagania .............................................................................................................................22

Literatura ................................................................................................................................23

Strona internetowa ................................................................................................................24

Podsumowanie rozdziałów ....................................................................................................24

KONFIGUROWANIE IPTABLES ................................................................. 27

iptables ...................................................................................................................................27

Filtrowanie pakietów z iptables ..............................................................................................28

Tabele ................................................................................................................................29

Łańcuchy

............................................................................................................................29

Dopasowania ......................................................................................................................30

Cele ....................................................................................................................................30

Instalacja iptables ....................................................................................................................31

Konfiguracja jądra ...................................................................................................................32

Najważniejsze opcje kompilacji Netfilter ...........................................................................33

Kończenie konfiguracji jądra ..............................................................................................35

Ładowalne

moduły jądra kontra opcje wkompilowane i bezpieczeństwo ......................35

Bezpieczeństwo i minimalna kompilacja ................................................................................36

Kompilacja i instalacja jądra ....................................................................................................37

Instalacja binariów iptables działających w przestrzeni użytkownika .....................................38

Domyślna polityka bezpieczeństwa iptables ..........................................................................39

Wymagania polityki bezpieczeństwa ................................................................................. 39

Początek skryptu iptables.sh ............................................................................................. 41

Łańcuch

INPUT ................................................................................................................. 42

Łańcuch

OUTPUT ............................................................................................................. 44

Łańcuch

FORWARD .......................................................................................................... 45

Translacja adresów sieciowych (NAT) .............................................................................. 46

Uaktywnianie polityki bezpieczeństwa .............................................................................. 47

Programy iptables-save i iptables-restore ......................................................................... 47

Testowanie polityki bezpieczeństwa: TCP ........................................................................ 50

Testowanie polityki bezpieczeństwa: UDP ....................................................................... 52

Testowanie polityki bezpieczeństwa: ICMP ...................................................................... 53

Podsumowanie ...................................................................................................................... 54

ATAK I OBRONA W WARSTWIE SIECIOWEJ ............................................. 55

Logowanie nagłówków warstwy sieci w iptables .................................................................. 56

Logowanie nagłówka IP ..................................................................................................... 56

Definicje ataków na warstwę sieci ........................................................................................ 59

Nadużycia w warstwie sieci ................................................................................................... 60

ICMP Ping z Nmap ............................................................................................................ 60

Fałszowanie pakietów IP (IP spoofing) .............................................................................. 61

Fragmentacja pakietów IP ................................................................................................. 63

Niskie wartości TTL .......................................................................................................... 63

Atak smerfów (the Smurf Attack) ..................................................................................... 65

Ataki DDoS ........................................................................................................................ 65

Ataki IGMP jądra Linuksa ................................................................................................... 66

Odpowiedzi w warstwie sieci ............................................................................................... 66

Filtrowanie w warstwie sieci ............................................................................................. 67

Odpowiedź wyzwalana w warstwie sieci .......................................................................... 67

Łączenie

odpowiedzi w różnych warstwach ..................................................................... 68

OBRONA I ATAK W WARSTWIE TRANSPORTOWEJ ................................ 71

Logowanie nagłówków warstwy transportowej za pomocą iptables .................................... 72

Logowanie nagłówka TCP ................................................................................................. 72

Logowanie nagłówka UDP ................................................................................................ 74

Definicje ataków na warstwę transportową .......................................................................... 75

Nadużycia w warstwie transportowej ................................................................................... 75

Skanowanie portów ........................................................................................................... 76

Przemiatanie portów ......................................................................................................... 84

Ataki przewidujące sekwencję TCP .................................................................................. 85

SYN flood .......................................................................................................................... 85

Obrona w warstwie transportowej ....................................................................................... 86

Obrona protokołu TCP ..................................................................................................... 86

Obrona protokołu UDP .................................................................................................... 90

Reguły firewalla i listy kontrolne routera ........................................................................... 91

Spis tre

ATAK I OBRONA W WARSTWIE APLIKACJI ............................................ 93

Dopasowanie ciągów znaków w warstwie aplikacji przy użyciu iptables ..............................94

Obserwowanie rozszerzenia porównującego ciągi znaków w działaniu ...........................94

Dopasowywanie znaków niedrukowalnych w warstwie aplikacji ......................................96

Definicje ataków w warstwie aplikacji ...................................................................................97

Nadużycia w warstwie aplikacji ..............................................................................................98

Sygnatury Snort ..................................................................................................................98

Wykorzystanie przepełnienia bufora ..................................................................................99

Ataki typu SQL injection ..................................................................................................101

Czynnik ludzki ..................................................................................................................102

Szyfrowanie i kodowanie danych w aplikacji ........................................................................105

Obrona w warstwie aplikacji ................................................................................................106

WPROWADZENIE DO PSAD ................................................................... 107

Historia .................................................................................................................................107

Po co analizować logi firewalla? ............................................................................................108

Możliwości psad ...................................................................................................................109

Instalacja psad .......................................................................................................................109

Administracja psad ...............................................................................................................111

Uruchamianie i zatrzymywanie psad ................................................................................112

Unikalność procesu usługi ................................................................................................112

Konfiguracja polityki bezpieczeństwa iptables .................................................................112

Konfiguracja syslog ...........................................................................................................113

Klient usługi whois ............................................................................................................116

Konfiguracja psad .................................................................................................................117

/etc/psad/psad.conf ...........................................................................................................117

/etc/psad/auto_dl ..............................................................................................................123

/etc/psad/signatures ..........................................................................................................124

/etc/psad/snort_rule_dl ....................................................................................................124

/etc/psad/ip_options .........................................................................................................125

/etc/psad/pf.os ..................................................................................................................125

Podsumowanie .....................................................................................................................126

DZIAŁANIE PSAD: WYKRYWANIE PODEJRZANYCH DANYCH ............. 127

Wykrywanie skanowania portów przy pomocy psad ..........................................................128

Skanowanie TCP connect() ..............................................................................................129

Skanowanie TCP SYN ......................................................................................................132

Skanowanie TCP FIN, XMAS i NULL ..............................................................................134

Skanowanie UDP .............................................................................................................135

Ostrzeganie i raportowanie przy pomocy psad ...................................................................137

Ostrzeżenia psad wysyłane przez email ...........................................................................137

Raporty generowane przez psad do sysloga ....................................................................140

Podsumowanie .....................................................................................................................141

Spis tre

ZAAWANSOWANE ZAGADNIENIA PSAD: OD PORÓWNYWANIA

SYGNATUR DO WYKRYWANIA SYSTEMÓW OPERACYJNYCH .............. 143

Wykrywanie ataku z wykorzystaniem reguł Snort ........................................................... 144

Wykrywanie skanera portów ipEye ................................................................................. 145

Wykrywanie ataku LAND ............................................................................................... 146

Wykrywanie ruchu na 0 porcie TCP ............................................................................... 147

Wykrywanie pakietów z zerową wartością TTL ............................................................. 147

Wykrywanie ataku Naptha DoS ...................................................................................... 148

Wykrywanie prób rutowania

źródła

................................................................................ 148

Wykrywanie spamu komunikatora Windows Messenger ................................................ 149

Uaktualnienia sygnatur psad ................................................................................................ 150

Wykrywanie systemów operacyjnych ................................................................................. 151

Aktywne wykrywanie systemów operacyjnych za pomocą Nmap ................................. 151

Pasywne wykrywanie systemu operacyjnego z p0f ......................................................... 152

Raportowanie DShield ......................................................................................................... 154

Format raportów DShield ............................................................................................... 155

Przykładowy raport DShield ........................................................................................... 155

Przeglądanie danych o statusie psad .................................................................................... 156

Analizowanie archiwalnych logów ....................................................................................... 159

Tryb informacyjny/śledzenia ................................................................................................ 160

Podsumowanie .................................................................................................................... 161

AUTOMATYCZNA OBRONA ZA POMOCĄ PSAD .................................. 163

Zapobieganie włamaniom a aktywna obrona ...................................................................... 163

Minusy aktywnej obrony ..................................................................................................... 165

Rodzaje ataków ............................................................................................................... 165

Fałszywe alarmy .............................................................................................................. 166

Reagowanie za pomocą psad na atak .................................................................................. 166

Opcje ............................................................................................................................... 167

Zmienne konfiguracyjne .................................................................................................. 168

Przykłady automatycznej obrony ........................................................................................ 170

Konfiguracja automatycznej obrony ................................................................................ 170

Reakcja na skanowanie typu SYN .................................................................................... 171

Reakcja na skanowanie UDP ........................................................................................... 173

Sprawdzanie wersji oprogramowania za pomocą Nmap ................................................ 174

Reakcja na skanowanie typu FIN ..................................................................................... 174

Złośliwe fałszowanie skanowania .................................................................................... 175

Integrowanie automatycznych odpowiedzi psad z innymi narzędziami .............................. 176

Interfejs wiersza poleceń ................................................................................................. 176

Integracja ze Swatch ........................................................................................................ 178

Integracja z własnymi skryptami ...................................................................................... 179

Podsumowanie .................................................................................................................... 181

Bezpieczenstwo_sieci_w_Linuksie_Wykrywanie_atakow_i_obrona_przed_nimi_za_pomoca_iptables_psad_i_fwsnort_bsieli.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: