Информационная безопасность

Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

Прежде всего, парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации. 

При использовании обычных паролей, старайтесь придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге. Чтобы избежать этого, пользователи и администраторы могут поставить себе на пользу ряд последних технологических достижений. Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карманном компьютере. В результате пользователю нужно помнить только один сложный пароль, тогда как все остальные пароли будут надежно защищены приложением. С точки зрения администратора, существует несколько методов борьбы с подбором паролей. Один из них заключается в использовании средства L0phtCrack, которое часто применяют хакеры для подбора паролей в среде Windows NT. Это средство быстро покажет вам, легко ли подобрать пароль, выбранный пользователем. Дополнительную информацию можно получить по адресуhttp://www.l0phtcrack.com/

Для защиты от вредоносных программ необходимо:

Ш Исключение несанкционированного доступа к исполняемым файлам;

Ш Тестирование приобретаемых программных средств;

Ш Контроль целостности исполняемых файлов и системных областей;

Ш Создание замкнутой среды исполнения программ.

Внедрение политик

Теперь все, что вам осталось, это внедрить сформулированные ранее политики. Для начала определим несколько переменных, так как благодаря этому снизится вероятность ошибки. Выполним следующие действия.

1. Будем использовать следующие имена:

foolint=209.191.169.1/25 # это интерфейс eth0

foolint=209.191.169.129/25 # это интерфейс eth1

1. Блокируем входящие ping-запросы: ipchains -A input -s echo-request -i ethl -j DENY

1. Теперь разрешаем пропуск трафика из внутренней сети наружу (за исключе нием NNTP)

ipchains -A input -s foolint ! 119 -d 0/0 -i ethO -j ACCEPT

4. Блокируем службы, которые являются общей проблемой безопасности или не используются вами (такие как telnet, ftp, http и imap):

ipchains -A input -p tcp -i ethl -s 0/0 -d foolint 23 -j DENY

ipchains -A input -p tcp -i ethl -s 0/0 -d foolint telnet -j DENY

ipchains -A input -p tcp -i ethl -s 0/0 -d foolint 80 -j DENY

ipchains -A input -p tcp -i ethl -s 0/0 -d foolint imap -j DENY

На этом шаге (шаг 4) интерфейс eth1 можно не указывать, так как если соответствующие данные проникают в систему через интерфейс ethO, такие пакеты удовлетворяют правилу, определенному на шаге 3, и прохождение цепочки input для них на этом завершается.

5. Принимаем данные DNS (только через foolint), ssh и большинство портов с но мерами выше 1024 (для обеих сетей), а также SMTP и РОР-3:

ipchains -A input -p all -s О/О -d foolint domain -j ACCEPT

ipchains -A input -p tcp -s 0/0 -d fooall 22 -j ACCEPT

ipchains -A input -p tcp -s 0/0 -d fooall 1024:5999 -j ACCEPT

ipchains -A input -p tcp -s 0/0 -d fooall 6010 -j ACCEPT

ipchains -A input -p tcp -s 0/0 -d fooall 25 -j ACCEPT

ipchains -A input -p tcp -s 0/0 -d fooall pop-3 -j ACCEPT

1. Принимаем пакеты узла localhost: ipchains -A input -i lo -j ACCEPT

2. Блокируем все остальное: ipchains -P input DENY

8. Обеспечиваем передачу пакетов в обоих направлениях -- правила цепочки input осуществляют остальную фильтрацию:

ipchains -P forward ACCEPT

9. Оптимизируем прохождение трафика:

1) минимальная задержка для трафика Web, telnet и ssh:

ipchains -A output -p tcp -d 0/0 80 -t 0x01 0x10 ipchains -A output -p tcp -d 0/0 telnet -t 0x01 0x10 ipchains -A output -p tcp -d 0/0 22 -t 0x01 0x10

1. максимальный объем передаваемых данных для ftp-data: ipchains -A output -p tcp -d 0/0 ftp-data -t 0x01 0x08

2. максимальная надежность для smtp: ipchains -A output -p tcp -d 0/0 smtp -t 0x01 0x04

3. минимальные затраты рор-3:

ipchains -A output -p tcp -d 0/0 pop-3 -t 0x01 0x10

В завершение следует добавить правило (если пакет прошел все тесты, его следует принять):

ipchains -P output ACCEPT

Следует, однако, позаботиться еще об одном. Необходимо предотвратить подделку IP-адресов (IP-spoofing), когда кто-то из внешних пользователей делает вид, что он находится во внутренней сети. Никто не должен подключаться к внешнему интерфейсу и при этом заявлять, что он находится внутри сети (или является узлом localhost). Следующие правила позволяют документировать сведения о подобных попытках в журнале и отклонять (REJECT) их:

ipchains -I input 1 -i eth1 -s foolint -l -j REJECT

ipchains -I input 1 -i eth1 -s 127.0.0.1 -l -j REJECT

ПРИМЕЧАНИЕ

Чтобы предотвратить подделку IP-адресов, можно воспользоваться файлом /proc/sys/net/ipv4/conf/ */rp_filter. Достаточно добавить в этот файл единицу («1»). Однако при этом нарушится корректное функционирование модуля FreeS/WAN. Таким образом, для этой цели лучше использовать правила ipchains.

Тестирование политик

Чтобы протестировать сформированный набор правил, проще всего придумать несколько тестовых случаев и использовать параметр -С программы ipchains. Среди тестовых данных нужно поместить как данные, которые не должны проникать во внутреннюю сеть, так и данные, которые должны туда попасть. Для получения дополнительной диагностической информации во время тестирования следует использовать ключ -v. Так вы сможете узнать, прошел ли пакет через брандмауэр или нет. Помните, что совместно с параметром -С помимо имени цепочки следует использовать ключ -s с указанием адреса и порта, ключ -d с указанием адреса и порта, ключ -р и ключ -i.

Иногда для некоторых правил полезно бывает включить документирование в журнале сведений о тестировании пакетов.

Эту возможность следует использовать осторожно, в противном случае за короткое время будут созданы чрезвычайно длинные журналы. Как правило, удобно включать документирование только для одного правила за один раз.

Наблюдение

Не забывайте время от времени проглядывать содержимое журналов, в особенности если вы добавили в брандмауэр правила, специально предназначенные для обнаружения атак. На случай, если кому-то все-таки удалось несанкционированно преодолеть вашу защиту, вы должны использовать для документирования доверенный внутренний сетевой узел.

Применение таких механизмов защиты, как tcpd, tripwire и courtney, впрочем, как и многих других, не даст никаких результатов, если вы не будете присматривать за ними. В первую очередь атакующий будет пытаться нейтрализовать именно эти механизмы. В случае атаки брандмауэр позволяет вам выиграть дополнительное время. Однако время работает на атакующего, то есть против вас. Атаку лучше всего блокировать тогда, когда проникновение за барьер защиты еще не произошло, то есть тогда, когда атакующий еще только пытается обнаружить в вашей системе защиты слабые места. Не выполнив поиска слабых мест, атакующий не сможет проникнуть в систему, поэтому прежде чем произойдет взлом системы, вы получите предупреждение об этом. Заметите ли вы его? Это зависит от вашей бдительности.

Перенаправление портов

Перенаправление портов (port forwarding) -- это перенаправление соединения с одного узла на другой узел. С задачей перенаправления портов хорошо справляются брандмауэры proxy. Например, если вы подсоединяетесь с узла foo к узлу bar через порт 80 и при помощи программного механизма этот порт перенаправляется в порт 80 на узле baz, узел foo будет думать, что он подключился к узлу bar через порт 80, в то время как на самом деле он взаимодействует с узлом baz через порт 80. В то же время узел baz будет полагать, что к нему напрямую подключается узел foo. Эта схема может работать в обоих направлениях, поддерживая исходящие соединения внутренних клиентов и входящие соединения внешних клиентов, однако при этом вы получаете возможность контролировать потоки данных.

Программа ipchains не позволяет выполнять перенаправление портов. Одним из целевых действий этой программы является REDIRECT (перенаправление), однако это целевое действие предназначено только для локальных перенаправлений и не позволяет перенаправлять данные на другой сетевой узел. Если вы используете ipchains и желаете организовать перенаправление портов, вы должны использовать модуль ipportfw и программу ipmasqadm. Программа ipmasqadm является полезной оболочкой программы ipportfw. Перенаправление внешних входящих соединений может потребоваться, в особенности если во внутренней (доверенной) сети используется технология маскировки IP (IP masquerading).

ССЫЛКА

Более подробная информация об этом содержится в главе 18 «Защита Samba -- маскировка IP и перенаправление портов».

После того как вы настроили набор правил так, как вы этого желаете, и после того, как вы убедились в том, что брандмауэр работает так, как это планировалось изначально, вы можете воспользоваться одной из двух утилит: ipchains-save и ipchains-restore. Название каждой из этих утилит хорошо отражает их основное предназначение: первая сохраняет размещенный в оперативной памяти набор правил в файле на жестком диске, вторая -- считывает набор данных из файла в оператив- ную память. Запустив ipchains-save, вы увидите на экране используемые в данный момент цепочки правил. Если содержимое и конфигурация этих цепочек вас устраивают, вы можете запустить утилиту вновь и перенаправить ее вывод в файл. Этот файл в дальнейшем можно использовать для восстановления правил в памяти. Процедуру сохранения правил в файле удобно использовать каждый раз перед тем, как вы внесете в набор правил какие-либо модификации. Благодаря этому в случае необходимости вы сможете восстановить набор правил в его прежнем виде. Кроме того, вы можете скопировать созданный таким образом файл для того, чтобы в дальнейшем добавить в него новые правила, изменить или удалить некоторые из существующих.

Системы обнаружения вторжения

Системы обнаружения вторжения (Intrusion Detection System, IDS) - это работающие процессы или устройства, анализирующие активность в сети или системе на предмет неавторизованных и злонамеренных действий.

Наиболее распространенными IDS являются так называемые локальные и сетевые системы IDS.

Локальные IDS устанавливаются в каждую систему и занимаются контролем целостности системы изнутри. Такие IDS проверяют различные журналы и сравнивают их с внутренней базой данных стандартных сигнатур известных атак. Популярными локальными IDS являются программные пакеты:

Tripwire http://www.tripwire.org/

SWATCH http://sourceforge.net/projects/swatch/

LIDS http://www.lids.org/

Сетевые IDS сканируют сетевые пакеты на маршрутизаторе или выделенном узле, проводят аудит пакетов и регистрируют в специальном журналевсе подозрительные пакеты. Популярными сетевыми IDS являются программные пакеты:

Fasttech.ru: Безопасность Linux 109

Snort http://www.snort.org/

PortSentry http://sourceforge.net/projects/sentrytools/files/

Антируткит

Программа chkrootkit предназначена для поиска враждебного кода (rootkit) и иных подозрительных событий в системе.

Скачать chkrootkit можно по адресу http://www.chkrootkit.org/.

Сбор информации до и после взлома

Утилита dd создает побитовый образ файлов и разделов. Рассчитав контрольные суммы для каждого образа и проверив их на совпадение, можно сравнить образ раздела или файла перед взломом с образом из взломанной системы.

[root@linuxbox ~]# dd if=/bin/ls of=ls.dd | md5sum ls.dd > sum.txt

Команда file полезна для определения, изменился ли набор статических библиотек, используемых программой, что может указывать на то, что программа модифицирована злоумышленником.

[root@linuxbox ~]# file /bin/ls

Команда stat выводит информацию о состоянии файла, включая время последнего доступа, разрешения, значения битов UID и GID и т.д. Это может использоваться для определения последнего использования или модификации во взломанной системе.

[root@linuxbox ~]# stat /bin/ls

Команда md5sum используется для вычисления контрольной суммы файла. Вы можете создать список контрольных сумм для популярных файлов, которые обычно могут изменяться при взломе системы. В случае модификации файла контрольная сумма также изменится.

[root@linuxbox ~]# md5sum /bin/ls >> sums.txt

После сбора необходимой информации операционную систему лучше переустановить заново. Это даст гарантию, что система очищена от разного рода троянских программ, черных ходов и т.д.

Размещено на Allbest.ru