Views
3 years ago

НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

SYN/ACK ЕВГЕНИЙ

SYN/ACK ЕВГЕНИЙ ЗОБНИН / J1M@SYNACK.RU / Доверься ищейке Прикручиваем к Snort систему блокировки атак SnortSAM и веб-консоль BASE Ежесекундно по интернет-каналу корпоративной сети проходят тысячи пакетов. Часть из них нацелена на то, чтобы обойти все заслоны и нарушить работу сетевых сервисов или предоставить их автору базу для рассылки спама. И здесь на помощь администратору приходят системы обнаружения атак, позволяющие вовремя среагировать на угрозу. >> SYN/ACK Íàèáîëåå ïîïóëÿðíîé OpenSource ñèñòåìîé NIDS (Network Intrusion Detection System) è ñèñòåìîé ïðåäîòâðàùåíèÿ âòîðæåíèé (Intrusion Prevention System) ÿâëÿåòñÿ Snort (www.snort.org). Ýòî ìîùíûé èíñòðóìåíò, ñïîñîáíûé îáíàðóæèâàòü è áëîêèðîâàòü àòàêè (ñ ïîìîùüþ âíåøíèõ ïðîãðàìì âðîäå SnortSAM). Ïðèíöèï ðàáîòû Snort äîâîëüíî ïðîñò: âñå ïàêåòû çàõâàòûâàþòñÿ ñíèôåðîì, çàòåì àíàëèçèðóåòñÿ èõ ñîäåðæèìîå, è ïðè ñîâïàäåíèè ñ ïðàâèëàìè âûäàåòñÿ ïðåäóïðåæäåíèå. Ðàñïîçíàþòñÿ íåêîòîðûå ìåòîäû ñêàíèðîâàíèÿ, ïîïûòêè îïðåäåëèòü ÎÑ è èñïîëüçîâàòü â íåé óÿçâèìîñòè, ñåòåâûå àòàêè, íàëè÷èå âèðóñîâ â ôàéëàõ è ò.ä. Âñÿ èíôîðìàöèÿ ïðîòîêîëèðóåòñÿ è çàïèñûâàåòñÿ ëèáî â ôàéëàõ æóðíàëîâ ðàçíîãî ôîðìàòà (îáû÷íûé òåêñòîâûé ASCII èëè áèíàðíûé tcpdump-ôîðìàò), ëèáî â ÑÓÁÄ (MySQL, PostgreSQL). Ñèñòåìà ñ óñòàíîâëåííîé Snort îáû÷íî ñòàâèòñÿ «íà âõîäå» ñåòè (íàïðèìåð, â äåìèëèòàðèçîâàííîé çîíå). Äëÿ ìàêñèìàëüíîé ýôôåêòèâíîñòè âîçìîæíî èñïîëüçîâàíèå äîïîëíèòåëüíûõ ñåíñîðîâ íà äðóãèõ ñèñòåìàõ. MySQL è ïëàãèíà SnortSAM: # cd /usr/ports/security/snort # make -DWITH_MYSQL -DWITH_SNORTSAM # make install Ïðè ñáîðêå áåç ïàðàìåòðîâ ïðîñòî îòìå÷àåì íóæíûå ôëàæêè. Êàê è áîëüøèíñòâî ïîðòîâ, âñå ôàéëû êîíôèãóðàöèè Snort ðàñïîëàãàåò â êàòàëîãå / usr/local/etc è ñêðèïò çàïóñêà — â /usr/local/etc/ rc.d. Êîíôèãóðàöèîííûé ôàéë snort.conf íàõîäèòñÿ â ïîäêàòàëîãå /usr/local/etc/snort âìåñòå ñ íåêîòîðûìè äðóãèìè ôàéëàìè. ×òîáû ñýêîíîìèòü æóðíàëüíîå ìåñòî, îñòàíîâèìñÿ òîëüêî íà îñíîâíûõ íàñòðîéêàõ snort.conf: # ee /usr/local/etc/snort/snort.conf ; Óêàçûâàåì äèàïàçîí àäðåñîâ âíóòðåííåé ñåòè (êàê âàðèàíò, ìîæíî èñïîëüçîâàòü èìÿ èíòåðôåéñà) var HOME_NET 192.168.1.0/24 ; Çàäàåì âíåøíèå àäðåñà var EXTERNAL_NET !$HOME_NET ; Äëÿ íàèáîëåå ïîëíîé ôóíêöèîíàëüíîñòè Snort ðåêîìåíäóåòñÿ îïðåäåëèòü IP-àäðåñà ñïåöèôè÷åñêèõ ñåðâèñîâ.  ôàéëå íàéäåøü ðÿä ãîòîâûõ øàáëîíîâ, äîñòàòî÷íî ïðîñòàâèòü íóæíûå àäðåñà var DNS_SERVERS 192.168.1.1 var SMTP_SERVERS 192.168.1.2 ; Òåïåðü óêàçûâàåì ïîðòû äëÿ îïðåäåëåííûõ ñåðâèñîâ (â äàííîì ñëó÷àå HTTP), ÷òîáû Snort ïîäõîäèë ê àíàëèçó áîëåå èçáèðàòåëüíî portvar HTTP_PORTS [80,8000:8080] portvar SHELLCODE_PORTS !80 ; Âûïîëíÿåì æóðíàëèðîâàíèå ñîáûòèé ïîñðåäñòâîì Syslog output alert_syslog: LOG_AUTH LOG_ ALERT Äàëåå â ôàéëå îïèñûâàþòñÿ ïðàâèëà (rules), êîòîðûå áóäåò èñïîëüçîâàòü Snort ïðè àíàëèçå òðàôèêà. Ïî óìîë÷àíèþ êàòàëîã ñ ïðàâèëàìè íàõîäèòñÿ â /usr/local/etc/snort/rules, íî åñëè îñòàâèòü çàïèñü ïî óìîë÷àíèþ «var RULE_PATH ./rules», òî ïîëó÷èì îøèáêó î íåâîçìîæíîñòè îòêðûòèÿ ôàéëà local.rules. Èñïðàâëÿåì íà «var RULE_PATH rules». Êñòàòè, íèêòî íå ìåøàåò óêàçàòü è ïîëíûé ïóòü ê êàòàëîãó. Ôàéëû ñ îïèñàíèÿìè ïðàâèë ïîäêëþ÷àþòñÿ â ñåêöèè «Step #6: Customize your rule set», ðàñïîëîæåííîé â ñàìîì êîíöå snort.conf. include $RULE_PATH/local.rules include $RULE_PATH/bad-traffic.rules # include $RULE_PATH/experimental. rules УСТАНОВКА SNORT Èòàê, ïîñëå íåáîëüøîãî âñòóïëåíèÿ ðàññìîòðèì ïðîöåññ óñòàíîâêè Snort ñ ïëàãèíîì SnortSAM íà FreeBSD 7.x. Äëÿ íàãëÿäíîãî àíàëèçà ñîáðàííîé èíôîðìàöèè áóäåì èñïîëüçîâàòü âåá-êîíñîëü BASE. Ïåðâûì äåëîì îáíîâëÿåì ïîðòû: # portsnap fetch # portsnap update Óñòàíàâëèâàåì Snort, ïîäêëþ÷èâ ïîääåðæêó Íàçâàíèÿ ïðàâèë ãîâîðÿò ñàìè çà ñåáÿ. Ôàéë local.rules ïðåäíàçíà÷åí äëÿ ñîçäàíèÿ ðóëåñåòîâ ïîëüçîâàòåëåì, ïîýòîìó èçíà÷àëüíî îí ïóñò. Îñòàâëÿé òî, ÷òî äåéñòâèòåëüíî íóæíî, à îñòàëüíîå îòêëþ÷àé, óñòàíîâèâ çíàê êîììåíòàðèÿ ïåðåä èìåíåì. Ñàìèõ ïðàâèë â rules ïîêà íåò. Íà÷èíàÿ ñ Snort 2.4.0 (2005 ãîä), îíè ðàñïðîñòðàíÿþòñÿ îòäåëüíî. Äëÿ èõ ïîëó÷åíèÿ òðåáóåòñÿ ðåãèñòðàöèÿ íà snort.org, ïîñëå êîòîðîé òû ïîëó÷èøü ñïåöèàëüíûé OinkCode, ïðåäíàçíà÷åííûé äëÿ çàãðóç- 126 XÀÊÅÐ 07 /127/ 09

SYN/ACK CHECKPOINT FIREWALL WITH SNORTSAM AGENT COMPANY NETWORK SNORT SENSOR CHECKPOINT FIREWALL WITH SNORTSAM AGENT êè ïðàâèë. Èñêëþ÷åíèå ñîñòàâëÿþò ëèøü Community rules. Îíè ëåæàò â ñâîáîäíîì äîñòóïå. Ïðàâèëà ìîæíî óñòàíàâëèâàòü âðó÷íóþ, ïðîñòî ñêà÷àâ è ðàñïàêîâàâ â êàòàëîã rules, è çàòåì ñàìîñòîÿòåëüíî ñëåäèòü çà èõ îáíîâëåíèåì. Òàê, åñëè òû âíåñåøü â ïðàâèëî èçìåíåíèÿ, ïðè ñëåäóþùåì îáíîâëåíèè îíî áóäåò óòåðÿíî. Ëó÷øå èñïîëüçîâàòü Perl-ñêðèïò Oinkmaster (oinkmaster. sf.net), îí áóäåò ïðîèçâîäèòü âñå îïåðàöèè ïî îáíîâëåíèþ. Ñòàâèì: # cd /usr/ports/security/oinkmaster # make install clean Ïî óìîë÷àíèþ Oinkmaster èùåò ñâîé êîíôèã oinkmaster.conf ñíà÷àëà â êàòàëîãå /etc, à çàòåì — â /usr/local/etc.  FreeBSD óæå åñòü ãîòîâûé øàáëîí, ïåðåèìåíîâûâàåì åãî è ïðàâèì: # cp -v /usr/local/etc/oinkmaster.conf.sample /usr/local/etc/oinkmaster.conf # ee /usr/local/etc/oinkmaster.conf ; Ñíèìàåì êîììåíòàðèé ñî ñòðîêè è çàìåíÿåì ïàðàìåòð ñâîèì çíà÷åíèåì, ïîëó÷åííûì ñ ñàéòà snort.org url = http://www.snort.org/pub-bin/oinkmaster.cgi/ /snortrules-snapshot-CURRENT.tar.gz Воздвигнуть IDS/IPS на бюджетном железе, используя только свободно доступные компоненты, вполне возможно. И работать такая защита будет ничуть не хуже, чем программные комплексы, за которые невменяемые разработчики просят десятки тысяч долларов и которые работают под вредоносными операционными системами, требующими кучу памяти и отжирающими уйму процессорных тактов. Начнем с того, что IDS/IPS вовсе не одно и то же — хотя их частенько путают, чему весьма способствуют гибридные варианты (они представляют собой IDS, которая реализует некоторое подмножество функ ционала, формально являющегося прерогативой IPS). «Чистые» IDS в природе практически не встречаются (поскольку атаку необходимо не только распознать, но и блокировать, чем и занимаются IPS). В некоторых случаях IPS опирается на IDS, например, анализирует сетевой трафик на предмет наличия известных сигнатур, блокируя «нехорошие» TCP-пакеты, а то и вовсе работает на уровне приложений. Однако это не единственный вариант. Ряд атак удается блокировать безо всякой детекции. В частности, «нормализаторы» (от английского normalize) регенерируют трафик, работая по принципу прокси-серверов. Они «выхватывают» из пакетов только те поля, которые понимают, преобразуя их в «канонический» вид. В результате, хакер уже не XÀÊÅÐ 07 /127/ 09 может послать жертве неожиданный запрос, вызывающий рвотный рефлекс. Естественно, такой подход не защищает от ошибок переполнения, ведь с его точки зрения «взрывпакеты» выглядят вполне легитимно — так что, без детекции не обойтись. И тут мы приходим к проблеме ложных позитивных срабатываний. IDS обнаруживает атаку там, где она и не ночевала, отклоняя запрос пользователя. Это не есть хорошо! А IPS, установленная на «пароноидальный» уровень, сама по себе является нехилым источником DoS-атак. Пользователи матерятся так, что хвост увядает. Поэтому IPS обычно настраивается на довольно грубый уровень, допускающий блокировку только явных атак. Какое количество атак при этом остается незамеченным — приходится только гадать. В этом смысле IDS намного перспективнее, поскольку даже на самом чувствительном уровне ложные позитивные срабатывания не приносят никакого ущерба, ограничиваясь новой записью в логе. Естественно, когда ложных срабатываний становится ОЧЕНЬ много, админ просто перестает обращать на них внимание, и это проблема не админа, а IDS. Ну, невозможно досконально расследовать каждую тревогу, если они сыплются косяками. Крис Касперски 127

Май - Xakep Online
Скачать - Xakep Online
ИюНь - Xakep Online
Январь - Xakep Online
УЧИМ КАКОценить сбалансированность системы ... - Xakep Online
Ноябрь - Xakep Online
Офисное западло - Xakep Online
ЛУЧШИХ ВИРУСОВ - Xakep Online
КОНКУРС - Xakep Online
JIT SPRAY АНАЛИЗ TDSS - Xakep Online
Скачать - Xakep Online
Скачать - Xakep Online
ЛЕГКИЙ ХАК - Xakep Online
Взлом GSM - Xakep Online
2009 - Xakep Online
7 ЧУДЕС KDE - Xakep Online
ВЗЛОМ ИНТЕРНЕТ-МАГАЗИНА: - Xakep Online
с татьи - Xakep Online
Ноябрь - Xakep Online
c-лето ;) - Xakep Online
WebMoney - Xakep Online
Untitled - Xakep Online
содержание 10 (59) - Xakep Online
ЗАКАДРИ КАРДИНГ НАШИ ИДУТ! - Xakep Online
шпион внутри - Xakep Online
сишься, что левые трояны, вирусы и всякая про ... - Xakep Online
cамые лучшие материалы 1-4 номеров + вся ... - Xakep Online