Michael Rash bezpieczeństwo sieci w linuksie. wykrywanie ataków helion, ebooki
[ Pobierz całość w formacie PDF ]Wymagania polityki bezpieczeństwa ................................................................................. 39
Początek skryptu iptables.sh ............................................................................................. 41
Łańcuch INPUT ................................................................................................................. 42
Łańcuch OUTPUT ............................................................................................................. 44
Łańcuch FORWARD .......................................................................................................... 45
Translacja adresów sieciowych (NAT) .............................................................................. 46
Uaktywnianie polityki bezpieczeństwa .............................................................................. 47
Programy iptables-save i iptables-restore ......................................................................... 47
Testowanie polityki bezpieczeństwa: TCP ........................................................................ 50
Testowanie polityki bezpieczeństwa: UDP ....................................................................... 52
Testowanie polityki bezpieczeństwa: ICMP ...................................................................... 53
Podsumowanie ...................................................................................................................... 54
2
ATAK I OBRONA W WARSTWIE SIECIOWEJ ............................................. 55
Logowanie nagłówków warstwy sieci w iptables .................................................................. 56
Logowanie nagłówka IP ..................................................................................................... 56
Definicje ataków na warstwę sieci ........................................................................................ 59
Nadużycia w warstwie sieci ................................................................................................... 60
ICMP Ping z Nmap ............................................................................................................ 60
Fałszowanie pakietów IP (IP spoofing) .............................................................................. 61
Fragmentacja pakietów IP ................................................................................................. 63
Niskie wartości TTL .......................................................................................................... 63
Atak smerfów (the Smurf Attack) ..................................................................................... 65
Ataki DDoS ........................................................................................................................ 65
Ataki IGMP jądra Linuksa ................................................................................................... 66
Odpowiedzi w warstwie sieci ............................................................................................... 66
Filtrowanie w warstwie sieci ............................................................................................. 67
Odpowiedź wyzwalana w warstwie sieci .......................................................................... 67
Łączenie odpowiedzi w różnych warstwach ..................................................................... 68
3
OBRONA I ATAK W WARSTWIE TRANSPORTOWEJ ................................ 71
Logowanie nagłówków warstwy transportowej za pomocą iptables .................................... 72
Logowanie nagłówka TCP ................................................................................................. 72
Logowanie nagłówka UDP ................................................................................................ 74
Definicje ataków na warstwę transportową .......................................................................... 75
Nadużycia w warstwie transportowej ................................................................................... 75
Skanowanie portów ........................................................................................................... 76
Przemiatanie portów ......................................................................................................... 84
Ataki przewidujące sekwencję TCP .................................................................................. 85
SYN flood .......................................................................................................................... 85
Obrona w warstwie transportowej ....................................................................................... 86
Obrona protokołu TCP ..................................................................................................... 86
Obrona protokołu UDP .................................................................................................... 90
Reguły firewalla i listy kontrolne routera ........................................................................... 91
6
Spis treści
4
ATAK I OBRONA W WARSTWIE APLIKACJI ............................................ 93
Dopasowanie ciągów znaków w warstwie aplikacji przy użyciu iptables ..............................94
Obserwowanie rozszerzenia porównującego ciągi znaków w działaniu ...........................94
Dopasowywanie znaków niedrukowalnych w warstwie aplikacji ......................................96
Definicje ataków w warstwie aplikacji ...................................................................................97
Nadużycia w warstwie aplikacji ..............................................................................................98
Sygnatury Snort ..................................................................................................................98
Wykorzystanie przepełnienia bufora ..................................................................................99
Ataki typu SQL injection ..................................................................................................101
Czynnik ludzki ..................................................................................................................102
Szyfrowanie i kodowanie danych w aplikacji ........................................................................105
Obrona w warstwie aplikacji ................................................................................................106
5
WPROWADZENIE DO PSAD ................................................................... 107
Historia .................................................................................................................................107
Po co analizować logi firewalla? ............................................................................................108
Możliwości psad ...................................................................................................................109
Instalacja psad .......................................................................................................................109
Administracja psad ...............................................................................................................111
Uruchamianie i zatrzymywanie psad ................................................................................112
Unikalność procesu usługi ................................................................................................112
Konfiguracja polityki bezpieczeństwa iptables .................................................................112
Konfiguracja syslog ...........................................................................................................113
Klient usługi whois ............................................................................................................116
Konfiguracja psad .................................................................................................................117
/etc/psad/psad.conf ...........................................................................................................117
/etc/psad/auto_dl ..............................................................................................................123
/etc/psad/signatures ..........................................................................................................124
/etc/psad/snort_rule_dl ....................................................................................................124
/etc/psad/ip_options .........................................................................................................125
/etc/psad/pf.os ..................................................................................................................125
Podsumowanie .....................................................................................................................126
6
DZIAŁANIE PSAD: WYKRYWANIE PODEJRZANYCH DANYCH ............. 127
Wykrywanie skanowania portów przy pomocy psad ..........................................................128
Skanowanie TCP connect() ..............................................................................................129
Skanowanie TCP SYN ......................................................................................................132
Skanowanie TCP FIN, XMAS i NULL ..............................................................................134
Skanowanie UDP .............................................................................................................135
Ostrzeganie i raportowanie przy pomocy psad ...................................................................137
Ostrzeżenia psad wysyłane przez email ...........................................................................137
Raporty generowane przez psad do sysloga ....................................................................140
Podsumowanie .....................................................................................................................141
Spis treści
7
7
ZAAWANSOWANE ZAGADNIENIA PSAD: OD PORÓWNYWANIA
SYGNATUR DO WYKRYWANIA SYSTEMÓW OPERACYJNYCH .............. 143
Wykrywanie ataku z wykorzystaniem reguł Snort ........................................................... 144
Wykrywanie skanera portów ipEye ................................................................................. 145
Wykrywanie ataku LAND ............................................................................................... 146
Wykrywanie ruchu na 0 porcie TCP ............................................................................... 147
Wykrywanie pakietów z zerową wartością TTL ............................................................. 147
Wykrywanie ataku Naptha DoS ...................................................................................... 148
Wykrywanie prób rutowania źródła ................................................................................ 148
Wykrywanie spamu komunikatora Windows Messenger ................................................ 149
Uaktualnienia sygnatur psad ................................................................................................ 150
Wykrywanie systemów operacyjnych ................................................................................. 151
Aktywne wykrywanie systemów operacyjnych za pomocą Nmap ................................. 151
Pasywne wykrywanie systemu operacyjnego z p0f ......................................................... 152
Raportowanie DShield ......................................................................................................... 154
Format raportów DShield ............................................................................................... 155
Przykładowy raport DShield ........................................................................................... 155
Przeglądanie danych o statusie psad .................................................................................... 156
Analizowanie archiwalnych logów ....................................................................................... 159
Tryb informacyjny/śledzenia ................................................................................................ 160
Podsumowanie .................................................................................................................... 161
8
AUTOMATYCZNA OBRONA ZA POMOCĄ PSAD .................................. 163
Zapobieganie włamaniom a aktywna obrona ...................................................................... 163
Minusy aktywnej obrony ..................................................................................................... 165
Rodzaje ataków ............................................................................................................... 165
Fałszywe alarmy .............................................................................................................. 166
Reagowanie za pomocą psad na atak .................................................................................. 166
Opcje ............................................................................................................................... 167
Zmienne konfiguracyjne .................................................................................................. 168
Przykłady automatycznej obrony ........................................................................................ 170
Konfiguracja automatycznej obrony ................................................................................ 170
Reakcja na skanowanie typu SYN .................................................................................... 171
Reakcja na skanowanie UDP ........................................................................................... 173
Sprawdzanie wersji oprogramowania za pomocą Nmap ................................................ 174
Reakcja na skanowanie typu FIN ..................................................................................... 174
Złośliwe fałszowanie skanowania .................................................................................... 175
Integrowanie automatycznych odpowiedzi psad z innymi narzędziami .............................. 176
Interfejs wiersza poleceń ................................................................................................. 176
Integracja ze Swatch ........................................................................................................ 178
Integracja z własnymi skryptami ...................................................................................... 179
Podsumowanie .................................................................................................................... 181
8
Spis treści
9
TŁUMACZENIE REGUŁ SNORT NA REGUŁY IPTABLES .......................... 183
Dlaczego warto używać fwsnort? ........................................................................................184
Dogłębna obrona .............................................................................................................185
Wykrywanie włamań zorientowane na cel i defragmentacja warstwy sieci .....................185
Małe wymagania ...............................................................................................................186
Bezpośrednie odpowiedzi ................................................................................................186
Przykłady przetłumaczonych sygnatur .................................................................................187
Sygnatura Nmap command attempt ................................................................................187
Sygnatura Bancos Trojan z Bleeding Snort .......................................................................188
Sygnatura próby połączenia PGPNet ...............................................................................189
Interpretacja reguł Snort przez fwsnort ...............................................................................190
Tłumaczenie nagłówka reguły Snort ................................................................................190
Tłumaczenie opcji reguł Snort: logowanie pakietów w iptables ......................................192
Opcje Snort i filtrowanie pakietów w iptables .................................................................195
Niewspierane opcje reguł Snort .......................................................................................207
Podsumowanie .....................................................................................................................209
10
URUCHOMIENIE FWSNORT ................................................................... 211
Instalacja fwsnort ..................................................................................................................211
Uruchomienie fwsnort .........................................................................................................214
Plik konfiguracyjny fwsnort ..............................................................................................215
Budowa skryptu fwsnort.sh .............................................................................................217
Parametry fwsnort ...........................................................................................................221
Obserwowanie fwsnort w działaniu ....................................................................................222
Wykrywanie Trin00 ..........................................................................................................223
Wykrywanie ruchu sieciowego związanego
z wykonywaniem kodów powłoki systemu Linux ........................................................224
Wykrywanie i obrona przed trojanem Dumador .............................................................225
Wykrywanie i reagowanie na atak fałszujący pamięć podręczną DNS ............................227
Tworzenie białych i czarnych list .........................................................................................230
Podsumowanie .....................................................................................................................231
11
POŁĄCZENIE PSAD I FWSNORT ............................................................ 233
Łączenie wykrywania fwsnort i działań psad ........................................................................234
Atak na Setup.php z WEB-PHP ........................................................................................234
Aktywna obrona ...................................................................................................................238
psad kontra fwsnort .........................................................................................................238
Ograniczanie działań psad wobec ataków wykrytych przez fwsnort ...............................239
Łączenie działań fwsnort i psad ........................................................................................240
Cele DROP i REJECT .......................................................................................................242
Spis treści
9
[ Pobierz całość w formacie PDF ]
Tematy
- Strona początkowa
- Mistrzowskie posunięcie dziadka do orzechów, Ebooki, autorzy, K, Kagan Janet, Mistrzowskie posunięcie dziadka do orzechów
- Meg Cabot - Chłopak z sąsiedztwa 1 - Chłopak z sąsiedztwa, Ebooki ;]]
- Mentalizm - fragment, == Darmowe ebooki ==, Darmowe fragmenty
- Meg Cabot - Porzuceni 01 - Porzuceni, Ebooki ;]]
- Mitologia celtycka, KSIĄŻKI-ebooki, HISTORIA, MITOLOGIE cz.1
- Midnight Breed 06 - Ashes of Midnight, Ebooki
- Misja, Ebooki, autorzy, K, Karlik Leszek, Misja
- Meg Cabot - Dziewczyna Ameryki 02 - Pierwszy krok (by MaxFILM), ★ e-booki, ★★ Młodzieżowe ebooki (MaxFILM 2015)
- Micha Pasterski - Efektywna nauka. Wykorzystaj możliwości swojego umysłu do szybkiej i efektywnej nauki, eBooki
- McNaught Judith - Szepty w świetle księżyca(1), ebooki, McNaught Judih
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- lemansa.htw.pl