ÃÂ¤ÃÂµÃÂ²Ã‘Â€ÃÂ°ÃÂ»Ã‘ÂŒ

More documents

Recommendations

Info

ХАКЕР.PROСергей «grinder» Яремчук/ grinder@ua.fm /IDSна стражепериметраSnort: мощный инструмент обнаружения сетевых атакЗащита компьютерных сетей, как обычных, так и беспроводных, - тема острая и злободневная.Сегодня информацию с описаниями взломов, а также готовых программ,реализующих их, найти легко, и любой может испытать на тебе весь доступныйарсенал. Чтобы обезопасить себя от неожиданных сюрпризов, следует реализоватьзащиту в комплексе: межсетевой экран, фильтрация MAC-адресов и шифрованиетрафика. Особое место в этом списке занимают системы обнаружения атак, своевременносигнализирующие о появлении хакера. К таким средствам относится сетеваяСОА Snort — мощный инструмент с открытым исходным кодом.Возможности SnortSnort является сетевой системой обнаруженияатак (IDS) с открытым исходным кодом, котораяспособна выполнить в реальном временианализ IP-пакетов, передаваемых на контролируемыхинтерфейсах. Snort обнаруживаетатаки, комбинируя два метода: сигнатурныйи анализ протоколов.Всю собранную информацию детектор Snortпозволяет сохранить в файлах журналов, которыемогут иметь различный формат: обычныйтекстовый ASCII или бинарный, совместимыйс tcpdump. Кроме того, для удобстваанализа информацию можно занести в базуданных: Postgresql, MySQL, unixODBC и некоторыедругие.Система, построенная на Snort, способна собиратьи обрабатывать информацию с несколькихразнесенных датчиков. Все в дело в производительностикомпьютеров, используемыхв качестве сенсоров. Для того чтобы улучшитьпроизводительность, разделяя быструю работуIDS по захвату пакетов и относительно медленнуюпо занесению информации, необходимоиспользовать Barnyard, который доступен настранице закачки проекта Snort. В этом случаеSnort создает специальный двоичный выходной«унифицированный» формат, с которымв дальнейшем и работает Barnyard.Snort and WirelessSnort непосредственно не умеет работать с беспроводнымисетями 802.11, но подключенныйк такому устройству сможет интерпретироватьполученную информацию. Сегодняшний Snort,в принципе, не делает различия в том, с какимтипом сети он имеет дело, никаких специфическихопций при установке также задаватьне надо. Как обычно, указываем интерфейс '-i',и Snort начинает анализ пакетов в режиме rawmonitoring (RFMON), без привязки к специфическойсети, собирая все пакеты, попадающиесяв радиоэфире. Чтобы контролировать толькосвою сеть, необходимо соответствующимобразом настроить Wi-Fi устройство или системуфильтров. Сети IEEE 802.11 используют тривида пакетов: управления, контроля и данных.Чтобы отслеживать первые два типа, необходимодобавить в строку запуска параметр '-w'.Для более эффективной защиты можноиспользовать орудие нападения — Kismet(www.kismetwireless.net), который умеетотлично сканировать эфир, а значит, его можноприменять для поиска посторонних устройств.Анализируя данные с различных точек доступаи Wi-Fi карт в связке с Snort, можно дать отпордаже опытному хакеру.Существует специальное ответвление Snort— Snort-Wireless (snort-wireless.org), как разпредназначенное для обнаружения атак, направленныхна сети стандарта 802.11. Snort-Wirelessобратно совместим с Snort 2.0, при этом содержитнекоторые специфические правила обработкипакетов, настроенных на уязвимости и типичныеатаки беспроводных сетей. Последниеобновления датированы ноябрем 2005 года, насайте доступен патч для Snort 2.4.3 (требующийпри компиляции опции '--enable-wireless'),также имеется и уже патченая версия Snort.Функционально Snort-Wireless мало отличаетсяот Snort, дополнительно в его состав включеннабор правил wifi.rules, содержащий описаниеспецифических уязвимостей и ряд препроцессоров.В настоящее время реализовано пятьпрепроцессоров:1. AntiStumbler (spp_antistumbler) — распознаетрассылку большого количества нулевыхSSID с одного MAC-адреса, что используютNetStumbler и MacStumbler для обнаруженияточек доступа;2. DeauthFlood (spp_deauth_flood) — подсчитываетколичество кадров деаутентификациии при превышении порога поднимает тревогу;3. AuthFlood (spp_auth_flood) — определяет количествопопыток аутентификации, что можетсвидетельствовать о возможной DOS-атаке;4. MacSpoof (spp_macspoof) — отслеживаетпопытки подмены МАС-адреса;5. RogueAP (spp_rogue_ap) — его задача сообщатьо присутствии других точек доступа.В Snort таких препроцессоров нет, поэтомудля защиты беспроводной сети имеет смыслиспользовать именно Snort-Wireless.Установка SnortНа момент написания статьи актуальной былаверсия 2.6.1.2. В репозитарии Ubuntu, которыйиспользовался при написании статьи, — 2.3.3.Хотелось бы отметить, что подкаталог contrib,/ 150xàêåð 02 /98/ 07
ХАКЕР.PROВеб-интерфейс к Snort — BASEwww.snort.orgсодержащий различные дополнения к Snort,начиная с версии 2.2.0, пустует. Скрипты длясоздания баз данных переместились в подкаталогschemas, а для создания rpm-пакетов— в одноименный подкаталог. Остальные жерасширения можно найти на страницеwww.snort.org / dl / contrib. Итак, все основноесказано, можно начинать установку.Распаковываем архив:# tar -xzvf snort-2.6.1.2.tar.gzКонфигурируем. В самом простом случаескрипту не нужно передавать никаких параметров.Если же необходимо использовать базуданных, то, например, для MySQL добавляемопцию '--with-mysql'. С версии 2.3.0 RC1 в Snortвключен код проекта Snort-inline, тем самым онполучил возможность не только выявлять, нои останавливать начавшуюся атаку, перестраиваяправила iptables. И теперь Snort являетсяполноценной системой предотвращения атак.Для включения этого режима добавляем'--enable-inline'.#./ configure --with-mysql# make# make installНастройка SnortНе знаю, с чем это связано, но все каталоги,необходимые для работы Snort, до сих порприходится создавать вручную. Сюда мыбудем складывать конфигурационные файлыи правила:# mkdir / etc / snortА здесь будет вестись журнал работы:# mkdir / var / log / snortТеперь в каталог / etc / snort копируем все, чтолежит в подкаталоге etc дистрибутива:# cp -R . / etc / * / etc / snort /Далее распаковываем файл правил и помещаемих в / etc / snort / rules. В принципе, место дляправил можно выбрать любое, но так удобнее,да и считается традиционным:# tar -xzvf snortrules-snapshot-CURRENT.tar.gz# mv rules / etc / snortИграем по правиламДля описания событий, которые могут считатьсязлонамеренными или аномальными, используетсягибкий язык правил плюс модульнаясистема анализа. Сегодня существует два типаправил. Первый тип — официальные сертифицированныеи строго протестированныеSourcefire VRT Certified Rules, распространяющиесяпо лицензии VRT Certified Rules LicenseAgreement, ограничивающей их коммерческоеиспользование. Эти правила доступны в двухвариантах: для зарегистрированных и не зарегистрированныхпользователей. Регистрацияабсолютно бесплатна. Все изменения в первуюочередь распространяются среди подписчиков(subscription release с буквой «s» в названиипакета), затем становятся доступными длязарегистрированных пользователей (безбуквы «s»). Те же, кто не зарегистрировался,довольствуются статистическими правилами,обновляемыми лишь к каждому релизу Snortи, естественно, отстающими от жизни (ониимеют префикс «pr» в названии). Второй типправил называется Community Rules. Этиправила создаются добровольцами, они ещене прошли проверку и распространяются подлицензией GPL. Для загрузки Certified Rulesнеобходимо зайти на страницу Download Rules,выбрать нужное правило и изменить ссылку.Например, ссылка на VRT Certified Rules forSnort CURRENT выглядит так: www.snort.org / pub-bin / downloads.cgi / Download / vrt_os / snortrules-snapshot-CURRENT.tar.gz.Но, нажав на нее, файл не получишь. Сначала еенеобходимо привести к такому виду :www.snort.org / pub-bin /oinkmaster.cgi / код_полученный_при_регистрации / vrt_os / snortrules-snapshot-CURRENT.tar.gz.Учти, что при ошибке ввода повторная закачкабудет возможна лишь через 15 минут, такженельзя пользоваться некоторыми менеджерамизакачки.Давай рассмотрим одно правило, для тогочтобы было ясно, как они пишутся. Вдруг тебепонадобится писать их самому или захочетсяразобраться в том, что конкретно делает то илииное правило. Возьмем одно правило из файлаcommunity-smtp.rule:alert tcp!$SMTP_SERVERS any -> any 25 (msg:"COMMUNITY SMTPMytob MAIL FROM Attempt";flow: established, to_server;content:"MAIL FROM|3A|"; nocase;pcre:" / MAIL \ s+FROM\ s* \ x3A \ s* \ x3C?(spm| fcnz|www|secur| abuse)@ / i";reference: url,www.symantec.com / avcenter / venc / data / w32.mytob@mm.html; classtype: misc-attack;sid:100000689; rev:1;)Несмотря на довольно серьезный вид, правилодовольно простое, и если разобрать его почастям, то все становится на свои места. Перваястрока говорит о том, что все сообщения попротоколу TCP, направленные с любого портана порт 25 (то есть почтовый трафик), с определеннымадресом в поле отправителя принадлежатвирусу-червю W32. Mytob@mm. Ниже данкомментарий (reference), позволяющий найтиболее подробную информацию об уязвимости насайте Symantec. Некоторые правила занимаютнесколько экранов монитора. Директиваalert указывает на действия, которые долженпроизводить Snort при обнаружении пакета,попадающего под это правило. По умолчаниюxàêåð 02 /98/ 07/151
Page 6:
meganewsОлег чебенеев/
Page 10:
meganews«Газету.Ru»задо
Page 14:
meganewsAppleпредставляе
Page 17 and 18:
ДНК-машиныоткрываю
Page 19 and 20:
STRTICHO$65>> ferrum$160YUBESTBUYBE
Page 21 and 22:
SBSTBRTI>> ferrum$87$130BESTBUYHOIC
Page 23 and 24:
ferrumСтать крутым фр
Page 26 and 27:
ferrumИгорь ФедюкинОб
Page 28 and 29:
ferrumСергей Долин/ dlin
Page 30 and 31:
ferrum!Разработкулюбо
Page 32 and 33:
ferrumСтепан Сергей Д
Page 34 and 35:
ferrumсвежачок$120$232GMC N
Page 36:
insideДенис «ELF» Роман
Page 39 and 40:
insideСнетч - автоматХ
Page 41 and 42:
pc_zoneА что нам стоит
Page 43:
pc_zoneПолезные ресур
Page 46 and 47:
pc_zoneАндрей «Skvoznoy» К
Page 48:
pc_zoneМетод триангул
Page 52 and 53:
pc_zonefree!Степан «STEP»
Page 54 and 55:
pc_zoneПеред использо
Page 56 and 57:
implantЮрий Свидиненк
Page 58 and 59:
implantДобыча проб гру
Page 60 and 61:
implantМладший брат «Hu
Page 62 and 63:
взломКрис Касперск
Page 64 and 65:
взлом123412341 2Перепол
Page 66:
взломNVIDIA признает,
Page 69 and 70:
взломxàêåð 02 /98/ 070 xor
Page 71 and 72:
взломАудитор безоп
Page 73 and 74:
взломУзнаем адреса
Page 75 and 76:
взломАудит роутера
Page 77 and 78:
взломЗа такой патч
Page 79 and 80:
взломЗдание финанс
Page 81 and 82:
взломDVDНаши права в
Page 84 and 85:
взломGoga, 4ever/ www.newuin.r
Page 86 and 87:
взлом!Ломая номера
Page 88:
взломСравнительна
Page 91 and 92:
взломПопулярный chec
Page 93 and 94:
взломУязвимость в
Page 95 and 96:
взломUNION ALL SELECT 1,2,3,TA
Page 98 and 99:
взломЗагрузка расш
Page 100 and 101:
взломПросматривая
Page 102 and 103: сценаИлья Александ
Page 104 and 105: сценас удивительно
Page 106 and 107: сценаFBIИлья Алекса
Page 108 and 109: сценаСистема PayPal —
Page 110 and 111: сценаИлья Александ
Page 112 and 113: unixoidКрис Касперски
Page 114 and 115: unixoidDVDНа прилагаемо
Page 116 and 117: unixoidЛинуксдля люде
Page 118 and 119: unixoidhttp://www.ubuntu.com— о
Page 120 and 121: unixoidВиктор Евгенье
Page 122 and 123: unixoidiНа рынке есть и
Page 124 and 125: codingМихаил Фленов/ ww
Page 126 and 127: codingЛистинг 1procedure TFo
Page 128 and 129: codingМихаил Фленов/ ww
Page 130 and 131: codingglEnable(GL_LIGHTING);glEnabl
Page 132 and 133: codingБорис Вольфсон/
Page 134 and 135: codingФорма регистрац
Page 136 and 137: codingГостевая книга
Page 138 and 139: codingКрис Касперскит
Page 140 and 141: креатиffmeganews/138xàêåð
Page 142 and 143: креатиffmeganewsот длин
Page 144 and 145: unitsСтепан «Step» Ильи
Page 146 and 147: x№ 02(98) ФЕВРАЛЬ 2007>> W
Page 148 and 149: ХАКЕР.PROСергей «grinde
Page 150 and 151: ХАКЕР.PROНастройка с
Page 154 and 155: ХАКЕР.PROВеб-интерфе
Page 156 and 157: ХАКЕР.PROСергей Супр
Page 158 and 159: ХАКЕР.PROГрафически
Page 160 and 161: ХАКЕР.PROКрис Каспер
Page 162: ХАКЕР.PROВыбор типа
show all

ÃÂ¤ÃÂµÃÂ²Ã‘Â€ÃÂ°ÃÂ»Ã‘ÂŒ

Create successful ePaper yourself

Delete template?

Save as template?

ÃÂ¤ÃÂµÃÂ²Ã‘Â€ÃÂ°ÃÂ»Ã‘ÂŒ