Bezpieczenstwo sieci w Linuksie Wykrywanie atakow i obrona przed nimi za pomoca iptables, psad i fwsnort.pdf

Bezpieczeĺstwo sieci w Linuksie.

Wykrywanie atakw i obrona przed nimi

za pomocĴ iptables, psad i fwsnort

Autor: Michael Rash

TĀumaczenie: Andrzej Stefaĺski

ISBN: 978-83-246-1539-1

TytuĀ oryginaĀu: Linux Firewalls: Attack Detection

and Response with iptables, psad, and fwsnort

Format: 170x230, stron: 352

PrzykĀady na ftp: 1038 kB

Wydawnictwo Helion

ul. Koľciuszki 1c

44-100 Gliwice

tel. 032 230 98 63

e-mail: helion@helion.pl

Bezpieczeĺstwo sieci w Linuksie. Wykrywanie atakw i obrona przed nimi

za pomocĴ iptables, psad i fwsnort

Wykrywanie i zwalczanie atakw sieciowych dla zaawansowanych

¤ Jak wykrywaě ataki i broniě sieci na rŃnych warstwach sieciowych?

¤ Jak wykorzystaě logi do automatycznego tworzenia reguĀ iptables?

¤ Jak zabezpieczyě serwer przy uŃyciu metod pasywnej autoryzacji?

KaŃdy administrator sieci wie, jak waŃna jest jej ochrona przed atakami z zewnĴtrz. Wie rwnieŃ, Ńe jest

to nieustajĴca walka z coraz bardziej zaawansowanymi technikami.

Raz postawiony firewall nie jest w stanie zapewniě sieci caĀkowitego bezpieczeĺstwa w nieskoĺczonoľě,

dlatego ciĴgĀe poszerzanie swojej wiedzy i umiejķtne jej zastosowanie jest nieodĀĴcznĴ czķľciĴ pracy

administratorw. Jeľli jesteľ odpowiedzialny za utrzymanie bezpieczeĺstwa sieci, ksiĴŃka ta jest dla

Ciebie. Stanowi łrdĀo wiedzy z zakresu wykorzystania oprogramowania open source i systemu Linux

w walce o bezpieczeĺstwo sieci.

Michael Rash, autor wielu publikacji i ksiĴŃek, jest ekspertem w dziedzinie ochrony sieci. W ksiĴŃce

Bezpieczeĺstwo sieci w Linuksie. Wykrywanie atakw i obrona przed nimi za pomocĴ iptables, psad

i fwsnort przedstawia sposb ĀĴczenia metod zabezpieczeĺ w systemie Linux przy uŃyciu iptables, Snort

oraz psad, fwsnort i fwknop, ktrych sam jest twrcĴ. Na praktycznych przykĀadach udowadnia

skutecznoľě zastosowanych technologii, ktre sĴ porwnywalne z komercyjnymi, i pokazuje sposoby

ich wykorzystywania. DoĀĴczone do ksiĴŃki skrypty umoŃliwiajĴ przetestowanie omawianych technologii

w praktyce.

¤ Konfiguracja iptables

¤ Atak i obrona w warstwach modelu OSI

¤ Instalacja i konfiguracja psad

¤ Integracja psad z oprogramowaniem zewnķtrznym

¤ Konfiguracja systemu wykrywania wĀamaĺ Snort

¤ Przetwarzanie sygnatur Snort na reguĀy iptables

¤ Automatyzacja przetwarzania sygnatur poprzez fwsnort

¤ Analiza i raporty psad

¤ Instalacja i konfiguracja fwknop

¤ Wizualizacja logw iptables

Poznaj niekomercyjne metody skutecznej ochrony sieci!

Spis treści

PODZIĘKOWANIA ................................................................................... 13

PRZEDMOWA ........................................................................................... 15

WPROWADZENIE ..................................................................................... 19

Dlaczego wykrywać ataki przy pomocy iptables? ......................................................................20

Co z dedykowanymi sieciowymi systemami wykrywania włamań? ...................................21

Głęboka obrona .................................................................................................................22

Wymagania .............................................................................................................................22

Literatura ................................................................................................................................23

Strona internetowa ................................................................................................................24

Podsumowanie rozdziałów ....................................................................................................24

KONFIGUROWANIE IPTABLES ................................................................. 27

iptables ...................................................................................................................................27

Filtrowanie pakietów z iptables ..............................................................................................28

Tabele ................................................................................................................................29

Łańcuchy ............................................................................................................................29

Dopasowania ......................................................................................................................30

Cele ....................................................................................................................................30

Instalacja iptables ....................................................................................................................31

Konfiguracja jądra ...................................................................................................................32

Najważniejsze opcje kompilacji Netfilter ...........................................................................33

Kończenie konfiguracji jądra ..............................................................................................35

Ładowalne moduły jądra kontra opcje wkompilowane i bezpieczeństwo ......................35

Bezpieczeństwo i minimalna kompilacja ................................................................................36

Kompilacja i instalacja jądra ....................................................................................................37

Instalacja binariów iptables działających w przestrzeni użytkownika .....................................38

Domyślna polityka bezpieczeństwa iptables ..........................................................................39

Wymagania polityki bezpieczeństwa ................................................................................. 39

Początek skryptu iptables.sh ............................................................................................. 41

Łańcuch INPUT ................................................................................................................. 42

Łańcuch OUTPUT ............................................................................................................. 44

Łańcuch FORWARD .......................................................................................................... 45

Translacja adresów sieciowych (NAT) .............................................................................. 46

Uaktywnianie polityki bezpieczeństwa .............................................................................. 47

Programy iptables-save i iptables-restore ......................................................................... 47

Testowanie polityki bezpieczeństwa: TCP ........................................................................ 50

Testowanie polityki bezpieczeństwa: UDP ....................................................................... 52

Testowanie polityki bezpieczeństwa: ICMP ...................................................................... 53

Podsumowanie ...................................................................................................................... 54

ATAK I OBRONA W WARSTWIE SIECIOWEJ ............................................. 55

Logowanie nagłówków warstwy sieci w iptables .................................................................. 56

Logowanie nagłówka IP ..................................................................................................... 56

Definicje ataków na warstwę sieci ........................................................................................ 59

Nadużycia w warstwie sieci ................................................................................................... 60

ICMP Ping z Nmap ............................................................................................................ 60

Fałszowanie pakietów IP (IP spoofing) .............................................................................. 61

Fragmentacja pakietów IP ................................................................................................. 63

Niskie wartości TTL .......................................................................................................... 63

Atak smerfów (the Smurf Attack) ..................................................................................... 65

Ataki DDoS ........................................................................................................................ 65

Ataki IGMP jądra Linuksa ................................................................................................... 66

Odpowiedzi w warstwie sieci ............................................................................................... 66

Filtrowanie w warstwie sieci ............................................................................................. 67

Odpowiedź wyzwalana w warstwie sieci .......................................................................... 67

Łączenie odpowiedzi w różnych warstwach ..................................................................... 68

OBRONA I ATAK W WARSTWIE TRANSPORTOWEJ ................................ 71

Logowanie nagłówków warstwy transportowej za pomocą iptables .................................... 72

Logowanie nagłówka TCP ................................................................................................. 72

Logowanie nagłówka UDP ................................................................................................ 74

Definicje ataków na warstwę transportową .......................................................................... 75

Nadużycia w warstwie transportowej ................................................................................... 75

Skanowanie portów ........................................................................................................... 76

Przemiatanie portów ......................................................................................................... 84

Ataki przewidujące sekwencję TCP .................................................................................. 85

SYN flood .......................................................................................................................... 85

Obrona w warstwie transportowej ....................................................................................... 86

Obrona protokołu TCP ..................................................................................................... 86

Obrona protokołu UDP .................................................................................................... 90

Reguły firewalla i listy kontrolne routera ........................................................................... 91

Spis treści

ATAK I OBRONA W WARSTWIE APLIKACJI ............................................ 93

Dopasowanie ciągów znaków w warstwie aplikacji przy użyciu iptables ..............................94

Obserwowanie rozszerzenia porównującego ciągi znaków w działaniu ...........................94

Dopasowywanie znaków niedrukowalnych w warstwie aplikacji ......................................96

Definicje ataków w warstwie aplikacji ...................................................................................97

Nadużycia w warstwie aplikacji ..............................................................................................98

Sygnatury Snort ..................................................................................................................98

Wykorzystanie przepełnienia bufora ..................................................................................99

Ataki typu SQL injection ..................................................................................................101

Czynnik ludzki ..................................................................................................................102

Szyfrowanie i kodowanie danych w aplikacji ........................................................................105

Obrona w warstwie aplikacji ................................................................................................106

WPROWADZENIE DO PSAD ................................................................... 107

Historia .................................................................................................................................107

Po co analizować logi firewalla? ............................................................................................108

Możliwości psad ...................................................................................................................109

Instalacja psad .......................................................................................................................109

Administracja psad ...............................................................................................................111

Uruchamianie i zatrzymywanie psad ................................................................................112

Unikalność procesu usługi ................................................................................................112

Konfiguracja polityki bezpieczeństwa iptables .................................................................112

Konfiguracja syslog ...........................................................................................................113

Klient usługi whois ............................................................................................................116

Konfiguracja psad .................................................................................................................117

/etc/psad/psad.conf ...........................................................................................................117

/etc/psad/auto_dl ..............................................................................................................123

/etc/psad/signatures ..........................................................................................................124

/etc/psad/snort_rule_dl ....................................................................................................124

/etc/psad/ip_options .........................................................................................................125

/etc/psad/pf.os ..................................................................................................................125

Podsumowanie .....................................................................................................................126

DZIAŁANIE PSAD: WYKRYWANIE PODEJRZANYCH DANYCH ............. 127

Wykrywanie skanowania portów przy pomocy psad ..........................................................128

Skanowanie TCP connect() ..............................................................................................129

Skanowanie TCP SYN ......................................................................................................132

Skanowanie TCP FIN, XMAS i NULL ..............................................................................134

Skanowanie UDP .............................................................................................................135

Ostrzeganie i raportowanie przy pomocy psad ...................................................................137

Ostrzeżenia psad wysyłane przez email ...........................................................................137

Raporty generowane przez psad do sysloga ....................................................................140

Podsumowanie .....................................................................................................................141

Spis treści

ZAAWANSOWANE ZAGADNIENIA PSAD: OD PORÓWNYWANIA

SYGNATUR DO WYKRYWANIA SYSTEMÓW OPERACYJNYCH .............. 143

Wykrywanie ataku z wykorzystaniem reguł Snort ........................................................... 144

Wykrywanie skanera portów ipEye ................................................................................. 145

Wykrywanie ataku LAND ............................................................................................... 146

Wykrywanie ruchu na 0 porcie TCP ............................................................................... 147

Wykrywanie pakietów z zerową wartością TTL ............................................................. 147

Wykrywanie ataku Naptha DoS ...................................................................................... 148

Wykrywanie prób rutowania źródła ................................................................................ 148

Wykrywanie spamu komunikatora Windows Messenger ................................................ 149

Uaktualnienia sygnatur psad ................................................................................................ 150

Wykrywanie systemów operacyjnych ................................................................................. 151

Aktywne wykrywanie systemów operacyjnych za pomocą Nmap ................................. 151

Pasywne wykrywanie systemu operacyjnego z p0f ......................................................... 152

Raportowanie DShield ......................................................................................................... 154

Format raportów DShield ............................................................................................... 155

Przykładowy raport DShield ........................................................................................... 155

Przeglądanie danych o statusie psad .................................................................................... 156

Analizowanie archiwalnych logów ....................................................................................... 159

Tryb informacyjny/śledzenia ................................................................................................ 160

Podsumowanie .................................................................................................................... 161

AUTOMATYCZNA OBRONA ZA POMOCĄ PSAD .................................. 163

Zapobieganie włamaniom a aktywna obrona ...................................................................... 163

Minusy aktywnej obrony ..................................................................................................... 165

Rodzaje ataków ............................................................................................................... 165

Fałszywe alarmy .............................................................................................................. 166

Reagowanie za pomocą psad na atak .................................................................................. 166

Opcje ............................................................................................................................... 167

Zmienne konfiguracyjne .................................................................................................. 168

Przykłady automatycznej obrony ........................................................................................ 170

Konfiguracja automatycznej obrony ................................................................................ 170

Reakcja na skanowanie typu SYN .................................................................................... 171

Reakcja na skanowanie UDP ........................................................................................... 173

Sprawdzanie wersji oprogramowania za pomocą Nmap ................................................ 174

Reakcja na skanowanie typu FIN ..................................................................................... 174

Złośliwe fałszowanie skanowania .................................................................................... 175

Integrowanie automatycznych odpowiedzi psad z innymi narzędziami .............................. 176

Interfejs wiersza poleceń ................................................................................................. 176

Integracja ze Swatch ........................................................................................................ 178

Integracja z własnymi skryptami ...................................................................................... 179

Podsumowanie .................................................................................................................... 181

Spis treści

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: