Каталог статей
Поиск по базе статей  
Статья на тему Интернет » Интересное в сети » Предупреждение сетевых атак. Часть 2

 

Предупреждение сетевых атак. Часть 2

 

 

Вторжение в компьютерную систему обычно начинается с предварительной оценки недостатков защиты сетевого периметра вашего сервера, подключенного к Сети. В ходе такой «пристрелки» взломщику в первую очередь необходимо узнать список открытых портов и оценить принадлежность операционной системы вашего компьютера. В предыдущей статье была описана программа scanlogd, позволяющая анализировать попытки сканирования вашего сервера. Однако в современной Сети большое распространение получили атаки с использованием завуалированных техник сканирования вроде «стелс». Исходя из этого, применение scanlogd в одиночку не даст однозначно положительных результатов.

загрузка...

 

 

Если вас не устраивают скромные возможности scanlogd, существует более продвинутый анализатор попыток сканирования — PortSentry. Эта программа позволяет не только зафиксировать сканирование вашего компьютера по сети. Она также дает возможность адекватно отреагировать на данный процесс (не сканировать в ответ, конечно, а просто заблокировать доступ хосту-нарушителю к вашему серверу). Вы можете анализировать процесс сканирования вашего хоста и запускать при этом внешние программы (вроде iptables).

Установка PortSentryВ AltLinux установка утилиты PortSentry выполняется с помощью Synaptic и является рутинной процедурой. PortSentry, так же как и scanlogd, запускается в режиме демона. После завершения процесса установки (в любом дистрибутиве Linux) следует проверить правильность функционирования скрипта автозапуска демона. Для этого следует проверить наличие символической ссылки в каталоге /etc/rc5.d/ на файл /etc/init.d/portsentry, например, с помощью следующей команды :
# ls -l /etc/rc5.d/*portsentry*
Конечно же, если такой ссылки нет, ее следует создать (как это делать применительно к scanlogd, описано выше).

Основные возможности PortSentry Основные возможности PortSentry:

  • возможность широкой настройки политики поведения по умолчанию. Демон PortSentry можно запустить в одном из трех режимов работы. Таким образом, вы можете выбрать, что для вас важнее — остановить нарушителя вашего сетевого периметра или зафиксировать попытку проникновения (возможность регулируется указанием определенных параметров командной строки, для чего следует отредактировать инит-скрипт (/etc/init.d/portsentry) запуска демона PortSentry);
  • способность выполнения ответных действий (автор программы чрезвычайно рекомендует ограничиться блокированием хоста взломщика, а не принимать адекватных мер вроде ответного сканирования) по отношению к нарушителю ваших сетевых границ. Например, вы можете добавить в таблицу вашего файрвола такое правило, которое будет исключать возможность обмена информацией с хостом-нарушителем (также можно добавлять строку в файл /etc/hosts.deny);
  • тонкая настройка диапазонов прослушиваемых и игнорируемых портов и возможность создания списка игнорируемых хостов. Возможность необходима для исключения ложных срабатываний системы защиты, построенной на PortSentry. Таким образом, например, можно исключить 53-й порт, чтобы в дальнейшем не получать предупреждений про сканирование этого порта игровыми программами, которые несколько фривольно используют сетевые возможности (параметры ADVANCED_EXCLUDE_TCP или ADVANCED_EXCLUDE_UDP, которые используются в «продвинутом» режиме запуска демона PortSentry). Игнорируемые хосты перечисляются в файле, который описывается в конфигурационном параметре IGNORE_FILE.

Режимы запуска PortSentryДемон PortSentry может быть запущен в следующих режимах:

  • классический (ключ запуска демона -tcp или -udp ). В этом режиме демон PortSentry ожидает подключения по портам, перечисленным в параметрах конфигурационного файла TCP_PORTS (или UDP_PORTS), и блокирует обмен пакетами с удаленным хостом при попытке повторного подключения или сканирования. Этот режим работы не позволяет определять «стелс»-сканирование вашего компьютера;
  • улучшенный (Enchanced) режим детектирования «стелс»-сканирований (ключи запуска -stcp или -sudp). При попытке сканировать или подключиться к портам, перечисленным в TCP_PORTS (или UDP_PORTS), происходит блокировка удаленного компьютера;
  • продвинутый (Advanced) режим детектирования «стелс»-сканирований. В этом режиме на предмет подключения или сканирования проверяются уже все порты от 1-го до заданного в параметре ADVANCED_PORT_TCP (ADVANCED_PORT_UDP). Режим активируется ключами командной строки -atcp или -audp.

В зависимости от важности вашего хоста следует выбирать один из трех предложенных вариантов запуска демона PortSentry. При этом следует учесть, что одновременно можно выбрать только один режим запуска для каждого протокола. Например, можно указать как для TCP-, так и для UDP-протоколов продвинутый режим детектирования «стелс»-сканирований. В таком случае в файле /etc/init.d/portsentry следует отредактировать значение переменной MODES. Для указанной комбинации протоколов и режимов защиты необходимо указать MODES="audp atcp" (в AltLinux 2.4 именно это значение установлено в /etc/init.d/portsentry по умолчанию). Фактически при инициализации системы будет запущено несколько копий демона PortSentry. Вы можете проверить верность запуска PortSentry с помощью команды, выполненной, конечно же, в терминале:
#ps -aux|fgrep portsentry. В указанном варианте запуска демона вы должны в выводе две строки с идентификаторами процессов. Конечно же, после правки "инит-скрипта" /etc/init.d/portsentry следует запустить его с ключом restart, что приведет к перезапуску демона с новыми параметрами.

Настройка возможностей и вывод данных в PortSentry

Поведение PortSentry настраивается с помощью конфигурационного файла /etc/portsentry/portsentry.conf. Все параметры конфигурационного файла записываются в отдельных его строках и имеют следующий формат:
Параметр="Значение".
Подробную информацию о конфигурационных параметрах программы можно получить из файла README.install пакета инсталляции (русская адаптация этого документа). Данные, получаемые в процессе работы программы, заносятся в файлы /var/log/portsentry и системный лог /var/log/messages. Кроме того, программа создает свои логи (имеются в виду возможности программы, не использующие демон syslog) в каталоге /var/log/portsentry/. В их состав входят следующие файлы:

  • /var/log/portsentry/history — история операций PortSentry (здесь указывается перечень заблокированных хостов);
  • /var/log/portsentry/blocked.код_режима — логи блокирования хостов для каждого режима запуска PortSentry. То есть для режима atcp (продвинутый TCP-режим анализа стелс-сканирований) будет создан лог-файл /var/log/portsentry/blocked.atcp.

Для оповещения администратора хоста о попытках сканирования можно перенаправить вывод PortSentry в отдельный файл, например /var/log/daemon_info. Достичь этого можно простым добавлением следующей строки в /etc/syslog.conf:
daemon.info /var/log/daemon_info
После перезапуска syslog вы можете использовать приведенный ниже скрипт для автоматического информирования персонала о попытках взлома вашего хоста.

Листинг php-скрипта для обработки логов PortSentry

Автоматическое блокирование злоумышленникаОдной из самых полезных функций PortSentry является возможность полного блокирования доступа TCP/IP-пакетов с атакующего вас хоста с помощью добавления строки с IP-адресом атакующей системы в /etc/hosts.deny. Данная функция включается с помощью параметра KILL_HOSTS_DENY="ALL: $TARGET$". Для запуска определенной команды непосредственно перед блокированием хоста служит параметр KILL_RUN_CMD="/path/command $TARGET$". Таким образом, можно, например, выслать письмо администратору сервера про факт блокировки хоста-нарушителя (можно использовать стандартную команду mail). Для блокировки взломщика также можно использовать параметр KILL_ROUTE="/path/command $TARGET$", в котором указать добавление нового правила для файрвола, которое бы блокировало обмен пакетами между вашими хостами.

В завершение Как бы хорошо не был защищен ваш корпоративный (или личный) сервер, всегда следует предпринимать дополнительные меры предосторожности. Проблема даже не в том, есть ли бреши в вашей линии обороны. В таком вопросе, как обеспечение информационной безопасности, всегда лучше обеспечить своей системе пускай даже излишний запас прочности, чем бороться с последствиями взлома. Именно поэтому стоит ставить на боевое дежурство одновременно несколько систем раннего обнаружения вроде PortSentry и scanlogd, поскольку вполне вероятно использование взломщиками различных методов маскировки процессов сканирования. В таком случае использование параллельно с scanlogd еще нескольких антисканеров уже является скорее необходимостью, чем признаком паранойи системного администратора.

Ссылки по теме




Статья получена: hostinfo.ru
загрузка...

 

 

Наверх


Постоянная ссылка на статью "Предупреждение сетевых атак. Часть 2":


Рассказать другу

Оценка: 4.0 (голосов: 16)

Ваша оценка:

Ваш комментарий

Имя:
Сообщение:
Защитный код: включите графику
 
 



Поиск по базе статей:





Темы статей






Новые статьи

Противовирусные препараты: за и против Добро пожаловать в Армению. Знакомство с Арменией Крыша из сэндвич панелей для индивидуального строительства Возможно ли отменить договор купли-продажи квартиры, если он был уже подписан Как выбрать блеск для губ Чего боятся мужчины Как побороть страх перед неизвестностью Газон на участке своими руками Как правильно стирать шторы Как просто бросить курить

Вместе с этой статьей обычно читают:

Атаки на&nb p;интернет-магазины. Часть 1

Сегодня интернет-магазины расплодились в Глобальной сети буквально как грибы после дождя. Так что любой человек, не отходя от компьютера, может приобрести буквально все — от пирожка и упаковки аспирина до автомобиля или участка земли. Причем ни для кого не секрет, что в электронной коммерции достаточно сильно рискуют обе стороны — как покупатели, так и продавцы.

» Интересное в сети - 1935 - читать


Атаки на&nb p;интернет-магазины. Часть 2

В прошлый раз мы с вами, уважаемые читатели, начали разговор о низкой защищенности многих интернет-магазинов. Особенно это утверждение верно в отношении небольших электронных торговых точек. Именно они в первую очередь оказываются в «зоне риска».

» Интересное в сети - 2308 - читать


Предупреждение сетевых атак. Часть 1

Для того чтобы взломать ваш сервер, подключенный к Интернету, взломщик должен определить пути наступления, то есть выработать какой-то предварительный план действий. Для этого ему необходимо, как минимум, узнать тип операционной системы вашего компьютера. А как максимум — получить список всех открытых портов (или служб), работающих на подключенной к Интернету системе.

» Интересное в сети - 1557 - читать


Удаленные атаки. Часть 1

Мы привыкли рассматривать Интернет в качестве очень удобной информационной среды или универсального рабочего инструмента. Однако многие забывают, что Глобальная сеть — это еще и источник дополнительных опасностей. И если необходимость защиты от вирусов понимают абсолютно все пользователи, то хакеров боятся меньше.

» Интересное в сети - 2277 - читать


Удаленные атаки. Часть 2

Удаленные атаки хакеров — одна из самых больших опасностей, угрожающих компьютерам, которые подключены к Интернету. Причем это верно абсолютно для всех ПК и их объединений — от одиночных машин отдельных пользователей до разветвленных корпоративных сетей и крупных веб-серверов. Именно поэтому знание об удаленных атаках не может быть лишним.

» Интересное в сети - 2403 - читать



Статья на тему Интернет » Интересное в сети » Предупреждение сетевых атак. Часть 2

Все статьи | Разделы | Поиск | Добавить статью | Контакты

© RusAdvice.Org, 2006-2014, при копировании материалов, прямая индексируемая ссылка на сайт обязательна.

Энциклопедия RusAdvice.Org