Хакове за мрежова сигурност, 100 изпитани съвета и инструмента

Книгата е сборник от 100 мощни техники за сигурност. Този том от поредицата ХАКОВЕ демонстрира ефикасни методи за защита на вашите сървъри и мрежи от различни заобикалящи ви, трудно уловими атаки. Той съдържа примери за това как да откривате присъствието (и да следите всяко натискане на клавиш) на нарушител в мрежата; предлага ви методи за защита на вашата мрежа и данни чрез силно криптиране и дори чрез техники за залагане на капани за кандидат-кракери на системи. Представени са много важни инструменти за сигурност, както и интелигентни методи за откриване на наистина полезна информация за всичко, което се случва в мрежата ви.
Това са примери за инструменти и методи от реалния свят, използвани от експерти, защитаващи собствените си компютри и мрежи. Всеки хак може да бъде прочетен само за няколко минути, които потенциално ви спестяват часове търсене.
Въпреки че всеки хак е представен самостоятелно, тази книга широко използва взаимните препратки между хаковете. Ако намерите препратка към нещо, което ви интересува, докато четете някой хак, чувствайте се свободни да го видите (в Уеб пространството например).

Самата книга е разделена на няколко глави, подредени по теми:

• глава 1, Защита на UNIX- система. Както казва една стара поговорка, Unix е създаден за споделяне на информация, а не, за да я защитава. Тази стара максима вече не важи за модерните операционни системи, където сигурността е съществен компонент от всеки сървър. Много нови програми и свойства на ядрото бяха създадени, за да предоставят по-висока степен на контрол върху това, което операционните системи, подобни на Unix, могат да правят. Глава 1 демонстрира напреднали техники за заздравяване на вашия Linux-, FreeBSD- или OpenBSD-сървър.
• глава 2, Защита на Windows система. Microsoft Windows се използва като платформа за сървъри в много организации. Тъй като платформата Windows често става мишена за различни атаки, администрирането на такива системи може да бъде предизвикателство. Тази глава обхваща много важни стъпки, които са пренебрегвани от Windows администраторите, включително затягането на позволенията, наблюдение на цялата активност на системата и елиминиране наличието на дупки в сигурността в стандартно инсталиран Windows.
• глава 3, Мрежова сигурност. Без оглед на операционната система, използвана от вашите сървъри, ако мрежата ви е свързана с Internet, тя използва TCP/IP за комуникация. Мрежовите протоколи могат да бъдат сринати по доста мощни и изненадващи начини в резултат от атаки, вариращи от елементарната "denial of service" до придобиване на неоторизиран достъп с пълни привилегии. Тази глава демонстрира няколко инструмента и техники, използвани за атаки върху сървъри чрез самата мрежа, както и методите за предотвратяването на тези атаки.
• глава 4, Създаване на логове. Мрежовите системни администратори живеят и умират за качеството на своите логове. Ако е записана прекалено малко информация, нахлуванията могат да се изплъзнат незабелязани. Ако е записано прекалено много, атаката може да бъде загубена в потопа несъществена информация. Глава 4 ви показва как да балансирате необходимото ви количество информация с изискването за краткост, като автоматично събирате, обработвате и защитавате своите логове.
• глава 5, Наблюдение на мрежата и на тенденциите в нея. Сканирането на мрежата е толкова полезно, колкото и системните логове, предоставящи частични данни от цялата информация, важна единствено за момента, в който са били записани събитията. Без история на активността на вашата мрежа няма начин да установите какво е „нормално", нито да разберете дали наистина става нещо подозрително. Тази глава ви представя няколко инструмента и метода за наблюдение на вашата мрежа и ползваните услуги във времето, като ви позволява да видите тенденциите в нея, които пък ще ви помогнат в бъдещото планиране и ще ви дадат възможност да виждате с един поглед дали има нещо, което не е наред.
• глава 6, Сигурни тунели. Как е възможно осъществяването на сигурна комуникация през несигурни мрежи, каквато е Internet? Отговорът винаги включва мощно криптиране и техники за проверка на истинността. Глава 6 ви показва как да имплементирате мощни VPN-технологии, включително IPSec, РРТР и OpenVPN. Ще намерите също така и техники за защита на услуги, като използвате SSL, SSH и други инструменти за силно криптиране.
• глава 7, Откриване на нахлувания в мрежата. Как да разберете, ако мрежата ви е под атака? Докато логовете и статистиките с история могат да ви покажат дали нещо не е наред, съществуват инструменти, направени, за да ви уведомяват (или други, които направо действат) незабавно при откриване на често срещани атаки. Тази глава се фокусира върху изключително популярния NIDS-инструмент Snort и представя много техники и допълнения, които отключват целия потенциал на този мощен инструмент. Също така са представени и методи за залагане на мрежа от тип „гърне с мед" за привличане и объркване на кандидат-кракерите.
• глава 8, Възстановяване и ответни действия. Възможно е дори най-компетентният и внимателен мрежов администратор да има проблеми с успели пробиви в сигурността. Тази глава съдържа предложения за това как да проверите целостта на системата, да запазите доказателства за по-нататъшен анализ и да проследите хората, намиращи се на другия край на нежелания мрежов трафик.

ЗеСТ Прес ЕООД
София, 1408
жк Иван Вазов, ул. Димитър Манов 75
info@zest-pres.com

Защита на UNIX система

• Защита на точките на монтиране (mount points)
• Сканиране за SUID- и SGID-програми
• Сканиране за директории, върху които имат право на запис групата и всички останали потребители
• Създаване на гъвкави йерархии от разрешения с POSIX ACL
• Защитете вашите логове от фалшифициране
• Разпределяне на административните роли
• Автоматизиране на проверката за криптографски подпис
• Проверка за слушащи услуги
• Предпазете услугите си от обвързване към интерфейс
• Ограничете услугите в защитени среди
• Използване на proftp с MySQL като източник за проверка на истинност
• Спрете разбиващите стека атаки
• Заключване на ядрото с grsecurity
• Ограничаване на приложенията с grsecurity
• Ограничаване на системните повиквания чрез Systrace
• Автоматизирано създаване на Systrace политики
• Контролиране на достъпа за влизане с РАМ
• Ограничаване на средите за работни обвивки
• Налагане на ограничения в ресурсите за потребители и групи
• Автоматизиране на обновяването на системата

Защита на Windows система

• Проверка на сървърите за обновяване с кръпки
• Извеждане на списък с отворени файлове и процесите, които ги притежават
• Извеждане на списък с изпълнявани услуги и отворени портове
• Включване на наблюдението
• Защита на логовете на събития
• Промяна на максималния размер на файловете за вашите логове
• Забрана на споделяните по подразбиране устройства
• Криптиране на директорията Temp
• Изчистване на Paging-файла при изключване
• Ограничаване на достъпните за потребители приложения

Мрежова сигурност

• Откриване на ARP-измами
• Създаване на статична ARP-таблица
• Защитна стена с Netfilter
• Защитна стена с PacketFilter на OpenBSD
• Създаване на портал с проверка на истинност
• Изграждане на защитни стени с Windows
• Ограничаване на изходящия трафик от мрежата ви
• Тестване на вашата защитна стена
• МАС-филтриране с Netfilter
• Блокиране разпознаването на ОС
• Надхитряване на отдалеченото разпознаване на операционната система
• Поддържане на ред в мрежата
• Сканиране на мрежата ви за уязвимости
• Поддържане часовниците на сървъра синхронизирани
• Създаване на собствен орган за сертификати
• Разпространяване на вашия СА сред клиенти
• Криптиране на IMAP и POP със SSL
• Настройка на SMTP за поддръжка на TLS
• Откриване на Ethernet-подслушвачи от разстояние
• Инсталиране на Apache със SSL и suEXEC
• Защита на BIND
• Защита на MySQL
• Сигурно споделяне на файлове в Unix

Създаване на логове

• Пускане на централен Syslog сървър
• Управление на Syslog
• Интегриране на Windows във вашата Syslog инфраструктура
• Автоматично обединяване на вашите логове
• Автоматично наблюдение на вашите логове
• Събиране на логове от отдалечени сайтове
• Записване на потребителска активност чрез отчитане на процесите

Наблюдение на мрежата и на тенденциите в нея

• Наблюдение на състоянието
• Представяне на тенденциите в графичен вид
• Използване на ntop за статистики на мрежата в реално време
• Оценка на мрежовия трафик
• Водене на статистики чрез правила от защитна стена
• Подслушване на мрежа от разстояние

Сигурни тунели

• Пускане на IPsec под Linux
• Пускане на IPsec под FreeBSD
• Пускане на IPsec под OpenBSD
• Създаване на тунели с PPTP
• Случайно криптиране с FreeS/WAN
• Насочване и криптиране на трафик със SSH
• Бързо влизане с клиентски SSH-ключове
• Squid прокси през SSH
• Използване на SSH за SOCKS-прокси
• Криптиране и тунели за трафик посредством SSL
• Създаване на тунели за връзки вътре в НТТР
• Тунели с VTun и SSH
• Автоматичен генератор на vtund.conf файлове
• Създаване на VPN, свързващ различни платформи
• РРР-тунели

Откриване на нахлувания в мрежата

• Откриване на нахлувания с помощта на Snort
• Следене на предупрежденията
• Наблюдение в реално време
• Управление на мрежа от сензори
• Написване на ваши собствени правила за Snort
• Предотвратяване и ограничаване на нахлувания със Snort_inline
• Автоматична и динамична защита със стена чрез SnortSam
• Откриване на ненормално поведение
• Автоматично обновяване на правилата на Snort
• Създаване на разпределена мрежа от скрити сензори
• Използване на Snort заедно с Barnyard в тежко натоварени среди
• Откриване и предотвратяване на нахлуванията през уеб-приложения
• Симулиране на мрежа от уязвими хостове
• Записване активността на гърнето с мед

Възстановяване и ответни действия

• Огледални образи на файлови системи
• Проверка целостта на файловете и намиране на компрометирани файлове
• Намиране на компрометирани пакети с RPM
• Сканиране за rootkits
• Откриване собственика на мрежа

Индекс