[Карта раздела]
[Начало]
[Безопасность. Ссылки]
[Cisco-ссылки]
[Sendmail-ссылки]
5. Безопасность.
5.0 Уязвимости Unix/Linux-систем.
5.1 Документация
5.2 Firewall
5.2.1 Iptables
5.2.2 Ipchains
5.2.3 Другие
5.3 Системы обнаружения вторжения - Intrusion Detection System
5.3.1 Проекты, разработанные для представления данных, сохраненных Snort'ом, в понятном виде
5.3.2 Тестирование IDS
5.4 Xinetd
5.5 Access Control List
5.6 Chroot (для bind, sendmail)
5.61 Jail
5.7 TCP_WRAPPER для sendmail
5.8 Сканеры портов, снифферы
5.8A Обнаружение сканирования, атак на отказ в обслуживании, снифферов
5.8B Определение типа операционной системы хоста, инициирующего соединение с вами.
5.9 Stunnel
5.10 Криптография
5.11 Средства, позволяющие проверить целостность системы.
5.13 Удаленный лог-сервер (remote log-server)
5.14 Анализируем логи
5.14.1 Анализаторы логов
5.14.2 Разбираем логи вручную
5.14.3 Ротация логов
5.15 Ipsysctl на страже безопасности
5.16 Rootkit
5.17 Мониторы сетевой безопасности
5.18 Архивы security-tools
5.19 Организация борьбы с подменой ip-адресов и средства, отслеживающие "левые" IP-адреса и MAC-адреса в локальной сети
5.20 Настройка конфигов и безопасность
5.21 Программно-аппаратные комплексы
5.22 Защита wireless-сетей
5.23 Восстановление системы
5.24 OpenSSL & OpenSSH
5.24A PAM
5.24B Ограничиваем юзера. Restricted shell
5.24С Контролируем юзера.
5.25 Removed.
5.26 Зарезервированные адреса сетей
5.28 Взаимозаменяемость серверов.
5.29 Антивирусы и Linux.
5.30 Средства для проверки на устойчивость системы к различного рода атакам.
5.31 Комплексные решения.
5.32 Анализ данных Netflow.
5.33 Мониторинг работоспособности системы.
5.34 .
5.35 .
5.36 .
5.37 .
5.38 .
5.39 Бюро расследований.
5.40 Разное
5.0 Уязвимости Unix/Linux-систем
5.1 Документация
- Экспертиза сетевой безопасности: информация о дырах, взломах, рекомендации по настройке безопасностисистемы, а также по восстановлению после эксплойта http://www.cert.ru
- Информация о дырах, эксплойтах, вирусах, средствах обнаружения вторжения, здесь же можно подписаться насписок рассылок BUGTRAQ http://www.securityfocus.com
- Защита и нападение в сети http://www.securitylab.ru
- BugTraq по-русски http://www.bugtraq.ru
- Еще один BugTraq http://www.psc.ru-Linux & NT Security
http://www.psc.ru/sergey/bgtraq/
http://www.psc.ru/sergey/bgtraq/utilites/indexas.html#UA
http://www.psc.ru/sergey/bgtraq/ARTICLES/index.html
http://www.psc.ru/sergey/bgtraq/ARTICLES/nt_security.htm
http://www.cyberpolice.ru/law/index.html
http://www.psc.ru/sergey/right.htm
http://www.psc.ru/sergey/bgtraq/MicWin/index.html
http://www.psc.ru/sergey/bgtraq/
- Библиотека сетевой безопасности ( на русском и английском языках) http://security.tsu.ru/
- Переводы некоторых статей с БСП:
Armoring Linux
Intrusion Detection
Know Your Enemy
Know Your Enemy II
Know Your Enemy III- Безопасность и оптимизация Linux. Редакция для Red Hat.
- Безопасность и оптимизация Linux. Редакция для Red Hat.[tcb.spb.ru]
- RSecurityProject
- Книга "Атака через Интернет"
- Статьи на hackzone
Статья "Backdoors"
Статья "Меры первой помощи при защите от систем распределенных атак" - Безопасность - FAQ (есть описание линукс-вирусов, линукс-антивирусов, и т.д.)
- "Анатомия атаки"
- Attacks Exposed [LinuxBegin]
- Поиск закладок.[LinuxBegin]
- http://www.securecoding.org
- http://www.bugtraq.ru/library/security/integrity.html[BugTraq: Обозрение #137, 23.08.2003]
- Кто слушает этот порт (на основе netstat, ps, lsof, на англ.яз.)
- Безопасность систем с открытым кодом [LinuxRSP.Ru]
- Защищаем TCP/IP стек от SYN DoS атак [ Opennet.ru ]
- Защита от Synflood атак
- Fighting Internet Worms With Honeypots[Bugtraq]
- Joe Average User Is In Trouble[Bugtraq]
- Worms of the future: trying to exorcise the worst[Bugtraq]
- SANS Top 20 Vulnerabilities - The Experts Consensus (Top Vulnerabilities to Windows & Unix Systems)
- Нормы пользования Сетью
- Linux Administrator's Security Guide Russian[tcb.spb.ru]
- Статьи для системных администраторов и администраторов безопасности [www.bezpeka.com - cайт украинского центра инф. без-ти]
- ГЛАВА 28. Преступления в сфере компьютерной информации
- Защита свежеустановленной системы, часть 1 [LinuxRSP.Ru: новости, статьи, софт. Linux и Open Source #314]
- Защита свежеустановленной системы, часть 2
- Защита свежеустановленной системы, часть 3
- Linux Security FAQ [LOR]
- Как справиться с "черными шляпами" [ [Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #326]
- Безопасность [linux.yaroslavl.ru]
- Анализ инцидента на работающей Linux системе. [LinuxRSP.Ru: новости, статьи, софт. Linux и Open Source #320]
- Береги ОС с инсталляции [LinuxRSP.Ru: новости, статьи, софт. Linux и Open Source #320]
- Сравнение безопасности Linux и Windows [http://bugtraq.ru]
- Советы администраторам Linux-систем или людям, желающими ими стать.
- Максимальная Безопасность: Руководство Хакера по Защите Вашего Internet Сайта и Сети
- Привыкайте убирать за собой
- Введение. О хакерах и не только... [BugTraq.ru]
- Дело Левина: недостающее звено [BugTraq.ru]
- Securing and Hardening Linux Production Systems
- Linux benchmarks
Securing & Hardening Linux [www.linux.org.ru]
5.2 Firewalls
5.2.1 Iptables
- Iptables
- Packet-filtering-HOWTO
- Iptables-Tutorial.html
- Iptables-Tutorial.html
- Руководство по Iptables
- Настройка iptables для новичков. То же самое - здесь.
- Iptables как детектор сканирования портов [www.linux.org.ru]
- Iptables и защита от сканирования портов [www.linux.org.ru]
- Iptables и защита от сканирования портов
- Slow Down Internet Worms With Tarpits -борьба с интернет-червями на примере использования пропатченного Iptables) [www.opennet.ru]
- Реализация идеи "port knocking" на bash для Linux iptables [comp.soft.linux.linuxbegin]
- Firewall-скрипт rc.firewall на основе iptables [Bugtraq]
- Firewall Builder - an frontend for iptables/ipchains/pf/pix which looks very much like the CheckPoint FW-1[Bugtraq]
- Iptables + nmap ( как настроить iptables, чтобы возможно было запускать сканер nmap c этого же хоста) [www.linux.org.ru]
- Чтобы iptables не кидал сообщения в mesages ... [www.linux.org.ru]
- IPTables log analyzer
- Владимир Холманов Использование iptables:
Использование iptables на автономной dual-up машине.
Анатомия iptables и команды.
- Аудит Брандмауэров и Средств обнаружения вторжений (IDS). [comp.soft.linux.linuxbegin: Выпуск #1 (#63)]
- Ограничение сессий с одного ip
- Как гасить скан от nmap'a и иже с ним [www.linux.org.ru]
- Как сделать порт невидимым для nmap [forum.opennet.ru]
- Как натравить iptables на интернет-win-червь Nimda (iptables -t filter -A INPUT -i $EXT_IFACE -p tcp -d $DEST_IP --dport http -m string --string "/cmd.exe?/c+dir" -j DROP)
- Как с помощью iptables блокировать соединение лицам, у кого в ip-адресе третий байт равен 255? [www.linux.org.ru]
- Как запретить выход из локальной сети на 25 порт
- Эта строчка разрешает до одного соединения в секунду и устанавливает лимит одновременно установленных соединений в четыре.
- Как перенаправить логи iptables в текстовый файл
- Iptables против скана
- Простой пример фаервола для с двумя сетевыми картами. [gennadi.dyn.ee]
- Защищаем Линукс - файрвол за 10 минут.
- Iptables & ssh-client
- Iptables против ssh bruteforce [www.linux.org.ru]
- Sample IPTABLES configuration file for workstations,tested under RedHat 7.x
- This patch by Gerd Knorr adds a new match that will allow you to restrict the number of parallel TCP connections from a particular host or network.
- Firewalls
- How to safely connect from anywhere to your closed Linux firewall [www.linux.org.ru]
- IPset позволяет указывать несколько сетей в одном правиле
- Barry O'Donovan Advanced Features of netfilter/iptables [www.linux.org.ru]
- pam_recent: an add-on to make iptables' recent match more useful
- IPTABLES - ссылки
- Как запрещать каждый второй (третий, четвертый... десятый) пакет
Решение от Andrey Mitrofanov :
Дропаем каждый четвёрый пинг на localhost:
-N pping
-A pping -m recent --set --name pping --rsource
-A pping -m recent --update --hitcount 4 --name pping --rsource -j ppingD
-N ppingD
-A ppingD -m recent --remove --name pping --rsource
-A ppingD -j DROP
-A INPUT -s 127.0.0.1 -p icmp -m icmp --icmp-type 8 -j pping
$ ping -c13 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.069 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.065 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.068 ms
64 bytes from 127.0.0.1: icmp_seq=5 ttl=64 time=0.078 ms
64 bytes from 127.0.0.1: icmp_seq=6 ttl=64 time=0.064 ms
64 bytes from 127.0.0.1: icmp_seq=7 ttl=64 time=0.064 ms
64 bytes from 127.0.0.1: icmp_seq=9 ttl=64 time=0.064 ms
64 bytes from 127.0.0.1: icmp_seq=10 ttl=64 time=0.060 ms
64 bytes from 127.0.0.1: icmp_seq=11 ttl=64 time=0.047 ms
64 bytes from 127.0.0.1: icmp_seq=13 ttl=64 time=0.064 ms
--- 127.0.0.1 ping statistics ---
13 packets transmitted, 10 received, 23% packet loss, time 11998ms
rtt min/avg/max/mdev = 0.047/0.064/0.078/0.009 ms
- Как реализовать список ИП-адресов для iptables [www.linux.org.ru]
- l7-filter — программный пакет, представляющий собой классификатор для подсистемы Netfilter в ОС Linux, который может распределять по категориям IP-пакеты, базируясь на данных прикладного уровня. Основная цель этого инструмента заключается в том, чтобы сделать возможным выявление трафика файлообменных сетей (также p2p), клиенты которых используют непредсказуемое число портов.
Существуют две версии этого программного продукта. Первая реализована в виде модуля для ядра Linux 2.4 и 2.6. Вторая экспериментальная версия была выпущена в декабре 2006 года в качестве userspace-приложения, и для классификации опирается на пользовательское пространство библиотек netfilter.
Обе версии l7-filter используют регулярные выражения (хотя в версиях пользовательского пространства и модулей ядра используются различные библиотеки регулярных выражений) для определения сетевого протокола. Этот метод, который используется в сочетании с системой QoS ОС Linux, позволяет применение более специфического, чем порт-независимого формирования трафика.
Статья на opennet "Использование L7-filter в Linux".
Обратите внимание на комментарий:
А всего-то надо было -- это зайти на домашнюю страничку и прочитать там 3 вещи:
- Kernel version. This version is old and well tested, but it is complicated to install and seems to cause SMP systems to crash. It can only use fairly simple regular expressions
- By Dec 2006, we had realized that working anywhere in kernel space was not the brightest idea
- l7-filter is currently not being actively maintained.
До 7 Jan 2009 страница проекта - Application Layer Packet Classifier for Linux
Нынешняя страница проекта: 25.01.2011. The 0.12-beta1 of l7-filter userspace has been released.
Пример - iptables -A FORWARD -m layer7 --l7proto flash -j DROP
-
-
- Iptables & limits
- Ограничение трафика через iptables
- DDOS & recent [www.linux.org.ru]
Spirit:"... таблица модуля recent (/proc/net/ipt_recent/*) имеет ограниченный объём, если она меньше кол-ва ломящихся клиентов - новые записи будут вытеснять старые (сам тестил недавно), и правило с DROP не сработает.
Если в правиле с DROP есть --hitcount N, то надо чтоб запись для заданного src IP сохранилась в /proc/net/ipt_recent/suxx как минимум до тех пор, пока этот IP не обратится N раз втечение --seconds T. Если же клиентов много - записи будут вытесняться, и последующие обращения одного и того же IP модуль recent (не найдя в таблице) будет считать как первые, из-за этого --hitcount N не сработает, и клиент не будет запрещён.
Это во-первых, во-вторых, с точки зрения работоспособности сайта (когда правильные клиенты будут иметь возможность нормально с ним работать) нужно учитывать динамику syn пакетов правильных клиентов: если сайт содержит картинки/flash/javascript/css, то при получении клиентом html-страницы сразу последует серия запросов её составляющих (запросы будут идти рывками - много, тишина, много, тишина, ...), что может вызвать срабатывание правила с seconds и hitcount. Поэтому для отлова досеров нужно выставлять время побольше, например, не 3 запроса за 300с, а 30 запросов за 3000с, что усугубляет проблему с вытеснением записей (да и с эффективностью такого firewall-а)..."
- Iptables против ssh bruteforce [www.linux.org.ru]
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j DROP
(нужна поддержка recent match в ядре)
- По поводу ограничения параллельных соединений с одним хостом - connlimit. Если прежде требовалось установить ракет patch-o-matic-ng с последующей пересборкой ядра,
то теперь в make menuconfig
Network support -> Network options -> Network packet filtering framework(Netfilter) -> Core Netfilter Configuration
<*>Netfilter connection tracking support
<*>"connlimit" match support
(This match allow you to match against the number of || connections to a server per client IP address or address block).
И обязательно
Network packet filtering framework(Netfilter) -> IP: NetFilter Configuration
<*>IPv4 connection tracking support (required for NAT)
(Connection tracking keeps a record of what packets have passed through your machine, in order to figure out how
they are related into connections).
При этом iptables требуется также свежий. У меня все это работает в связке Linux kernel-2.6.27 + iptables-1.4.2
(старый iptables просто не собирается при таком раскладе, а без опции "<*>IPv4 connection tracking support (required for NAT)"
не работают правила, использующие connlimit (при этом ошибка "ip_tables: connlimitmatch: invalid size 32 != 16")).
- Николай Малых. Управление трафиком с помощью правил iptables
(limit, iplimit, hashlimit, tbf)
- Using iptables to rate-limit incoming connections [www.linux.org.ru]
- Почему невозможно использовать фильтрацию по MAC-адресу, если хосты находятся в разных сетях. (
Since you are trying to connect from home to work, MAC address filtering is not the proper solution. Layer 2 MAC addresses are rewritten by each router along the path to the final Layer 3 (IP) destination. Your companies firewall will always see the MAC address of your upstream ISP router, not the MAC address of your home PC/firewall. FWIW: MAC address filtering is typically used on the same subnet.)
-
-
- Xtables is the protocol-agnostic part of the kernel-level table code.
Xtables-addons is the successor to patch-o-matic(-ng). Likewise, it contains extensions that were not accepted in the main iptables package.
Xtables-addons is different from patch-o-matic in that you do not have to patch or recompile either kernel or Xtables(iptables)
[www.linux.org.ru]
-
5.2.2 Ipchains
5.2.3 Другие
5.3 Детекторы обнаружения вторжения - IDS (могут проверять входящий трафик, например, на www-сервер на наличие исполняемых модулей (которыеиспользуются для buffer overflow).
Prelude-NIDS[forum.opennet.ru]
PureSecure[forum.opennet.ru]
Snortsam[forum.opennet.ru]
Новый Intrusion Detection ToolkitSIDTk 1.0Краткое описание здесь.[Bugtraq]
IDS против Nmap и Queso (by Toby Miller) (на рус. яз.) [www.bezpeka.ru]
Symantec Host IDS
Hogwash - вместо закрытия портов подобно традиционной системе сетевой защиты,
Hogwash понижает или изменяет определенные пакеты, основанные на соответствии сигнатуры (основана на Snort )
SmashguardBuffer Overflow Prevention [Bugtraq]
Статья "Как ввести в заблуждение IDS, отслеживающую http-трафик." [Bugtraq]
Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection (1998) Скачать документ
Penta Security System's Siren [BugTraq]
Cтатья : IDS Snort [ufo.gnu.kz]
TIGER - The Unix security audit and intrusion detection tool
The Snort FAQ (на рус.яз.)
OSSEC-HIDS - хостовая система обнаружения атак [Источник]
Расширенная установка OSSEC-HIDS
Развернутый ответ на вопрос о детекторах сканирования
5.3.1 Проекты, разработанные для представления данных, сохраненных Snort'ом, в понятном виде:
- ACID [bugtraq@securityfocus.com]
- SnortSnarf: [bugtraq@securityfocus.com]
- Sguil [bugtraq@securityfocus.com]
5.3.2 Тестирование IDS
5.4 Xinetd
5.5 Access Control List (ACL) http://acl.bestbits.at/
5.6 Chroot
5.61 Jail
5.7 TCP_WRAPPER
5.8 Cканеры портов, сканирование, снифферы
- Nmap
- Nmap
- Cетевой сканер Nmap - руководство пользователя
- A practical approach for defeating Nmap OS-Fingerprinting
- Чтобы сканер nmap не выдавал время работы сервера [www.opennet.ru]
- Nmap: "Too many fingerprints match this host to give specific OS details":
David Fifield: " ...
That usually means that you did not find both and open port and a closed
port on the host. Sometimes a host is too heavily filtered to get a good
OS fingerprint. You can try scanning all ports with the -p 1-65535
option, and adding -sU to scan UDP ports too. However that will take a
long time, and if the host does not have open or closed ports at all it
won't help..."
- Remote OS detection via TCP/IP Stack FingerPrinting
-
- Статья "Тришкин кафтан" /Безопасность/Рубрики/Софтерра
- Advanced scanning
- Linux 2.2.3 patch to prevent FIN/NULL/XMAS scans
- TCP ports stealth scanning
- Сканирование сетей
- Сканер Retina
-
- Как защититься от определения ОС по tcp отпечаткам [www.linux.org.ru]
- Нужна команда, которая проскfнировала бы мою локальную сеть и вывела мне имя компа, его IP и MAC адрес: nmap -sP 192.168.2.0/23 | sed '/Host/d;s/.*Address://;s/.*for/\n/;s/^ //g'[www.opennet.ru]
Другие ответы: tcpdump, netscan, arp-scan и arpdig.
Netscan выдаст такое:
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
192.168.10.10 UNIT010 < server > < unknown > 48-5b-39-8c-88-b1
192.168.10.18 UNIT001 < server > < unknown > 90-e6-ba-2d-1c-f0
-
-
- СнифферIris
- Настройка Iris
- Nessus
- Cтатья "NESSUS - современный анализ безопасности, методы и типы сканирования"
- Nessus Анонсирован выход очередной версии популярного сканера уязвимостей Nessus 2.0. Из нововведений - переписанный с нуля интерпретатор встроенного языка NASL, а также расширения самого языка; более интеллектуальный планировщик подключаемых модулей; уменьшение объема используемой памяти; обновленный сканер портов и т.п.
- Satan
- Saint
- Oнлайновый сканер безопасности (используется сканер Nessus и сканер портов nmap)
- Xspider - проверка windows-систем на наличие exploitable vulnerabilities
- Hardening the TCP/IP stack to SYN attacks [LinuxBegin]
- Tcpdump
- Средства перехвата сетевого трафика
- Как выделить файлы из перехваченной tcpdump-ом сессии. Утилита chaosreader.
- Tcpick is a textmode sniffer libpcap-based that can track, reassemble and reorder tcp streams. Tcpick is able to save the captured flows in different files or displays them in the terminal, and so it is useful to sniff files that are transmitted via ftp or http.
- Сканирование портов: за и против [ BugTraq: Обозрение #145, 03.10.2003 ]
- Тришкин кафтан (обзор сканеров от 15.01.2002)
- Host Vulnerability Scanners
- Chaosreader is a freeware tool that can trace HTTP sessions from a packet
log, displaying which bytes are plaintext. A freeware tool to trace TCP/UDP/... sessions and fetch application data from snoop or tcpdump logs [Bugtarq]
- Ethereal
- Sniffer: * View and log the following user space protocols FTP, POP3, HTTP [http://www.linux.org.ru/view-message.jsp?msgid=1663159]
- Its not open source but it is FREE, its
limited to 1gb captures but sniff your egress traffic and you will spot outbound Botnet connections very quickly, you may also see some other surprising traffic
[,25 Фев 2009 10:47:00 , "Chris Brown" ]
- I use rules from emerging threats on my Snort sensors...
I use also honeypots and darknets to intent find another bots on my network.
In past post some guy suggets use BotHunter, and the last moth I implement on two sensors, but at today Bothunter cant create any profile of some bot, I mean bothunter dont find ny bot on my network :s to me dont work very well.
For example I also use Argus to find more bots (you can check this link, its very interesting ) [,25 Фев 2009 ]
- I use the Netwitness NextGen platform, www.netwitness.com this provides full
packet capture for forensic analysis and incident response. Excellent for
detecting Botnets and encrypted C&C channels especially when combined with a
threat feed. www.netwitness.com [ 23 Фев 2009 ]
- "Утилиту Netcat часто называют эдаким «Швейцарским армейским ножом»...сканирование портов, передачу файлов, прослушивание портов и она может быть использована как бэкдор...":
Полезные Unix утилиты. Netcat. [Источник]
- Оригинал предыд. статьи - A Unix Utility You Should Know About: Netcat (Feb 17,2009)
5.8A Обнаружение сканирования, атак на отказ в обслуживании, снифферов
- PortSentry - детектор сканирования http://www.linuxrsp.ru/artic/portsentry.html
- Обнаружение атак своими силами
- PSAD (в отличие от PortSentry не требует изменений в политике iptables) [bugtraq@securityfocus.com]
- Glflow -DoS-детектор[ [Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #342]
- Port Scan Attack Detector[[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #341]
- Port Scan Attack Detector[[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #401]
- psad, или Port Scan Attack Detector - коллекция из
трёх системных демонов, работающих с кодом Linux Netfilter для определения попыток сканирования портов и
подозрительного трафика. "Пороги чувствительности" всей связки подвластны тонкой настройке (хотя и без того,
достаточно чувствительны по умолчанию), а поведение при обнаружении угрозы безопасности не ограничивается обычными
и почтовыми сообщениями, но и позволяет автоматически блокировать адреса раздражителей, кроме того, psad включает
массу образцов сигнатур для определения угрозы, включенных в Snort и оснащается алгоритмом, используемым p0f.
Для удобства kmsgsd.conf, psadwatchd.conf, alert.conf и fw_search.conf убраны, и все настройки с новой версии
сосредоточены в одном файле /etc/psad/psad.conf.
[[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #417]
- FAQ: Системы обнаружения атак на сетевом уровне
- Обнаружение пакетных снифферов -3 [Opennet.ru]
- Обнаружение пакетных снифферов -1 [LinuxBegin]
- Обнаружение пакетных снифферов -2 [Opennet.ru]
- Обнаружение пакетных снифферов
- Distack - is a framework for local and distributed attack detection and
traffic analysis. It can run on live interfaces or traces files, as well
as in simulation environments. Therefore it provides easy ways to
develop attack detection mechanisms and evaluate them on a large-scale
in simulated networks.
Whether you want to perform traffic analysis, attack detection or just
look into the traffic that runs over your network, Distack gives you a
complete environment to implement and evaluate your mechanisms.
To get a quick overview on what Distack does, have a look at the
publications covering Distack and current presentations:
http://doc.tm.uka.de/2008/Mayer_SECURWARE08.pdf
http://doc.tm.uka.de/2008/MaGaZit_Eurecom2008.pdf
https://projekte.tm.uka.de/trac/Distack/wiki/DistackPublications
We are looking forward to see the community using the Distack Framework
and would be happy to receive feedback from you! Cooperation in
development is also highly appreciated.[focus-ids@securityfocus.com ]
5.8B Определение типа операционной системы хоста, инициирующего соединение с вами.
- P0f v2 is a versatile passive OS fingerprinting tool. P0f can identify the operating system on:
- machines that connect to your box (SYN mode),
- machines you connect to (SYN+ACK mode),
- machine you cannot connect to (RST+ mode),
- machines whose communications you can observe.
P0f can also do many other tricks, and can detect or measure the following:
- firewall presence, NAT use (useful for policy enforcement),
- existence of a load balancer setup,
- the distance to the remote system and its uptime,
- other guy's network hookup (DSL, OC3, avian carriers) and his ISP.
Обсуждение.
5.9 Stunnel
5.10 Криптография
5.11 Средства, позволяющие проверить целостность системы.
5.13 Log-server. Remote log-server
5.14 Анализируем логи
5.14.1 Анализаторы логов- To analyse the logs (in real-time, with email notification, customized rules, log in html, etc), you can use the os-hids [Bugtraq]
- Use prelude-lml to analyze log files[Bugtraq]]
- Stargazer - авторизация и учет в домашних сетях [Forum.Opennet.ru ]
- NETAMS -"... бесплатный, удобный, простой и умеет блокировать интернет-юзерам при превышении лимита, разве что не умеет считать деньги [отзыв с forum.opennet.ru]
- Управление log-файлами [[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #349]
- The System Log: Logging News and Information
-
5.14.2 Разбираем логи вручную
- Если вы обнаружили входящий трафик на клиентские порты вашего хоста с 80 порта другого хоста ... [Bugtraq]
- Если команда netstat выдает сообщение:"warning, got bogus unix (или tcp) line", то это означает, что unix-овый сокет был изменен во время просмотра (во время работы netstat)
- Если ядро выдает на консоль и в /var/log/dmesg сообщение kernel: sending pkt_too_big (len[1500] pmtu[1476]) to self
Еще один ответ.
- Если ядро выдает на консоль и в /var/log/dmesg сообщение > UDP: short packet: 0/42. Эта проблема свойственна ядрам 2.4.X
Еще один ответ: (Fix up potential oops in udp short packet logging | doesn't affect mainline.)
- Как побороть в /var/og/messages сообщение: kernel: eth0: Transmit error, Tx status register 82.
kernel: Probably a duplex mismatch. See Documentation/networking/vortex.txt
kernel: Probably a duplex mismatch. See Documentation/networking/vortex.txt [www.linux.org.ru]
- Если в логах www-сервера появляются записи вида GET /c/winnt/system32/cmd.exe?/c+dir или "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX", то загляните сюда.
- Сообщение в /var/log/messages: hostname inetd[123]: pop-3/tcp server failing(looping). Service terminated.
- Сообщения "POST, /_vti_bin/_vti_aut/fp30reg.dll" и "SEARCH, /ђЙЙЙЙЙЙЙЙЙЙЙ" в логах www-сервера.
- Сообщение в /var/log/messages:
ip_local_deliver: bad skb: PRE_ROUTING LOCAL_IN LOCAL_OUT POST_ROUTING
skb: pf=2 (unowned) dev=lo len=120
- Сообщение в /var/log/messages: process `named' is using obsolete setsockopt SO_BSDCOMPAT
- Сообщение в /var/log/messages kernel: 1.2.3.4 sent an invalid ICMP error to broadcast
- Сообщения named, появляющиеся после апгрейда ядра:
20-Dec-2005 13:33:26.763 general: error: socket.c:1115: unexpected error:
20-Dec-2005 13:33:26.764 general: error: internal_send: 62.76.90.40#1040: Invalid argument
20-Dec-2005 13:33:26.764 client: warning: client 62.76.90.40#1040: error sending response: invalid file
- В /var/log/dmesg или messages сообщение: TCP: Treason uncloaked! Peer 66.198.39.22:30288/80 shrinks window 2832517974:2832522058. Repaired.
(В каждом пакете, подтверждающем получение пакета данных (пакет ACK), получатель объявляет количество байт, которыми он может оперировать к настоящему времени.
Это позволяет передатчику понять сколько данных нужно послать. Перехватывая пакеты ACK и уменьшая размер объявленного окна, передатчик обманывается, думая что, получатель имеет меньшие возможности, чем на самом деле.
Передатчик затем старается уменьшить свою скорость передачи.) Это способ управления пропускной способностью.
[ www.opennet.ru ]
-
-
-
5.15 Ipsysctl на страже безопасности
5.16 Rootkit
5.17 Мониторы сетевой безопасности
- Sguil's - main component is an intuiative GUI that provides the
analyst with realtime events from snort/barnyard. It also includes other
components which faciliate the practice of Network Security Monitoring and event
driven analysis of IDS alerts. Краткое описание.
- Big Brother monitors System and Network-delivered services for availability. Документация, скрипты, tools - здесь [Bugtraq]
5.18 Архивы security-tools
5.19 Организация борьбы с подменой ip-адресов и средства, отслеживающие "левые" IP-адреса и MAC-адреса в локальной сети
5.20 Настройка конфигов и безопасность
5.21 Программно-аппаратные комплексы
- WatchDog [ LinuxRSP.Ru: новости, статьи, софт. Linux и Open Source #294]
5.22 Защита wireless-сетей
5.23 Восстановление системы
5.24 OpenSSL & OpenSSH
5.24A. PAM
5.24B. Restricted shell
- Iron Bars Shell - restricted system shell for Linux/Unix
- Юзер трёт ~/.bash_history после ssh-сессии
- Как не дать пользователю запускать свои программы?
- rssh - Restricted shell allowing only scp, sftp, cvs, rsync and/or rdist
(Description: Restricted shell allowing only scp, sftp, cvs, rsync and/or rdist
rssh is a restricted shell, used as a login shell, that allows users to
perform only scp, sftp, cvs, rdist, and/or rsync operations. It can
also optionally chroot user logins into a restricted jail.
) [Источник]
- Как юзеру запретить некоторые комманды? (предлагается решить противоположную
задачу: разрешить юзеру некоторые команды с.п. скрипта, указанного в качестве shell в passwd )
-
-
5.24С Контролируем юзера
5.26 Зарезервированные адреса сетей.
5.28 Взаимозаменяемость серверов.
- CARP – Common Address Redundancy Protocol - это протокол избыточности, который позволяет двум или более компьютерам в одной подсети иметь одновременно один и тот же IP адрес, при этом возможна настройка этой группы компьютеров как взаимозаменяемые (главный компьютер отключился/сломался – вместо него сразу же принимается за работу другой, у которого приоритет выше) и так по кругу.
-
-
5.29 Антивирусы и Linux
5.30 Средства для проверки на устойчивость системы к различного рода атакам
- Hyenae Hyenae is a highly flexible platform independent network packet generator. It allows you to reproduce several MITM, DoS and DDoS attack scenarios,
comes with a clusterable remote daemon and an interactive attack assistant. [www.linux.org.ru]
-
-
-
5.31 Комплексные решения
- Главная задача проекта OSSIM (Open Source Security Information Management, ossim.net)
- максимальная интеграция разнородных утилит в пределах единой открытой архитектуры. В результате появляется возможность накоплять данные, находить и отслеживать четкие взаимосвязи в собранной информации.
Источниками служат практически любые утилиты, способные обрабатывать сетевую или системную информацию в реальном времени.
В настоящее время список интегрированных в OSSIM инструментов довольно широк: Arpwatch, P0f, pads, Nessus/OpenVAS, Ntop, Snort, tcptrack, tcpdump,
Nmap, Spade, Nagios, Osiris, OCSInventory-NG, OSSEC, RRDTool (дополнительно возможен анализ данных, собираемых preludeIDS, NTsyslog, Snare,
Cisco Secure IDS). Данные могут быть доставлены при помощи разных способов: syslog, plain log, SNMP, OPSEC, сокет и пр.
- Инструкция по настройке OSSIM. [Источник]
- AlienVault Open Source SIM (OSSIM) Installation Guide
- OSSIM User Guide
-
-
5.32 Анализ данных Netflow
5.33 Мониторинг работоспособности системы. Состояние сервера на sms.
5.34
5.34
5.34
5.39 Бюро расследований
- Поиск в базе данных РосНИИРОС (RIPN)
- Поиск географического местонахождения IP-адреса, выделенного RIPE локальным интернет-реестрам (LIR-ам) для Российской Федерации. Поиск IP адреса осуществляется с точностью до города.
-
- IANA is responsible for global coordination of the Internet Protocol addressing systems, as well as the Autonomous System Numbers used for routing Internet traffic.
- The RIPE NCC is one of five Regional Internet Registries (RIRs) providing Internet resource allocations, registration services and co-ordination activities that support the operation of the Internet globally.
- LACNIC, the Internet Address Registry for Latin America and the Caribbean, is the organization responsible for allocating and administrating IP Addresses and other related resources (Autonomous System Numbers and Reverse Resolution) for the region of Latin America and the Caribbean and is one of the five Regional Internet Registries that exist worldwide.
- AfriNIC is a non-government, not-for-profit, membership based organization, based in Mauritius that serves the African Internet Community. AfriNIC is the Regional Registry for Internet Number Resources for Africa. Membership is open to anybody.
- American registry for Internet numbers.
- APNIC is an open, membership-based, not-for-profit organization providing Internet addressing services to the Asia Pacific.
-
- Currently the most popular has been free tools like rbls.org and network explorer.
Those tools are now merged closer and is called "robtex swiss army knife".
We are redesigning the homepage and are presenting the old tools and products as well as some new ones. Only a few are linked today.
- DNS checks detailed dns information for a hostname
- IP-number checks ip number information such as dns reverse and forwards
- whois lookup checks whois information for a domain
- route checks a specific routed prefix
- AS numbers checks information on an AS-number
- BGP announcements checks prefixes origined from a specific AS-number
- AS macros checks who belongs to an AS-macro
- A-net checks an entire a-network
- B-net checks an entire b-network
- C-net checks an entire c-network
-
- SEO TOOLS: Useful free tools to analyze the web from the seo eggheads
- What is Hosted on that IP?
- View HTTP Headers
- View HTTP Path
- Scan for HTML Injection
- Check PageRank
- WHOIS Search
- Find Inlinks
- Test Simple Cloak
- What is My IP?
- Free Web Counter
-
- IP Калькулятор
-
-
-
-
-
-
-
-
-
-
-
5.40 Разное
- Программка для генерирования логина/пароля
- honeyclient - A honeyclient is a dedicated host that drives specially instrumented applications to access remote servers to see if those servers are behaving in a malicious manner. Specifically, honeyclients can proactively detect exploits against client applications without known signatures.
The MITRE Honeyclient Project strives to educate the public about client application exploits and their attack mechanisms. This project is an open source framework, designed to create and manage implementations of Honeyclient systems.
[www.linux.org.ru]
-
-
Обратная связь
Последнее обновление: 20 января 2011 г.
Вопросы, замечания, комментарии, пожалуйста, сюда sciurus@mail.ru
Просьба в качестве темы сообщения указать слово "Linux", отвечу обязательно.
Этот почтовый ящик я проверяю не чаще раза в неделю, поэтому не обессудьте за задержку с ответом.
------------