- •2. Версии iPv4 и iPv6
- •3. Пакеты и их инкапсуляция
- •4. Адресация пакетов
- •Глава 14. Сети tcp/ip 505
- •6. Cidr: протокол бесклассовой междоменной маршрутизации
- •7. Частные адреса и система nat
- •8. Маршрутизация
- •9. Таблицы маршрутизации
- •10. Arp: протокол преобразования адресов
- •11. Dhcp: протокол динамического конфигурирования узлов
- •12. Ррр: протокол двухточечного соединения
- •13. Команда ifconfig: конфигурирование сетевых интерфейсов
- •14. Демоны маршрутизации
- •Глава 15. Маршрутизация 571
- •15. Основные протоколы маршрутизации
- •Глава 15. Маршрутизация 567
- •16. Технология Ethernet: сетевая панацея
- •17. Беспроводной стандарт: локальная сеть для кочевников
- •18. Dsl и кабельные модемы: “последняя миля” 8
- •Глава 16. Сетевые аппаратные средства 593
- •20. Основные задачи системы dns
- •Глава 18. Сетевой протокол Network File System 737
- •22. Серверная часть протокола nfs
- •Глава 18. Сетевой протокол Network File System 745
- •23. Клиентская часть протокола nfs
- •Глава 18. Сетевой протокол Network File System 753
- •24. Ldap: упрощенный протокол доступа к каталогам
- •25. Структура данных ldap
- •Глава 19. Совместное использование системных файлов 775
- •26. Nis: Сетевая информационная служба
- •27. Системы электронной почты
- •Глава 20. Электронная почта 789
- •28. Протоколы smtp, pop3.
- •30. Почтовые серверы
- •Часть II. Работа в сети
- •31. Cпам и вредоносные программы
- •Глава 20. Электронная почта 813 ip range
- •32. Фильтрация почты
- •33. Почтовый агент sendmail
- •34. Почтовый агент Postfix
- •Глава 20. Электронная почта 877
- •35. Поиск неисправностей в сетях
- •Глава 21. Управление сетями 911
- •36. Kоманда traceroute: трассировка ip-пакетов
- •Глава 21. Управление сетями 915
- •37. Команда netstat: получение информации о состоянии сети
- •Глава 21. Управление сетями 919
- •39. Snmp: простой протокол управления сетями
- •40. Протокол NetFlow: мониторинг соединений
- •Глава 21. Управление сетями 939
- •41. Ключевые аспекты безопасности
- •Глава 22. Безопасность 951
- •42. Пароли и учетные записи пользователей
- •43. Эффективное использование команды chroot
- •44. Команда nmap: сканирование сетевых портов
- •45. Bro: программная система для распознавания вторжения в сеть
- •Глава 22. Безопасность 967
- •46. Мандатное управление доступом
- •47. Ssh: безопасная оболочка
- •48. Брандмауэры
- •Глава 22. Безопасность 983
- •49. Функциональный стек lamp
- •50. Обнаружение ресурсов в сети веб
- •Глава 23. Веб-хостинг 1003
- •51. Принцип работы http
- •52. Конфигурирование сервера Apache
- •Глава 23. Веб-хостинг 1011
- •53. Виртуальные интерфейсы
- •54. Протокол Secure Sockets Layes
- •Глава 23. Веб-хостинг 1017
45. Bro: программная система для распознавания вторжения в сеть
Открытая система Вrо предназначена для распознавания вторжений в сеть (network intrusion detection system — NIDS). Она выполняет мониторинг сети и следит за подо зрительной активностью. Эта система была написана Верном Паксоном (Vern Paxson) и доступна на сайте bro-ids.org.
Система Вrо проверяет весь трафик, поступающий в сеть и исходящий из нее. Она может функционировать в пассивном режиме, генерируя предупреждения о подозритель ной активности, или в активном режиме, в котором она пресекает враждебные действия. Оба режима, скорее всего, потребуют внесения изменений в конфигурацию вашей сети.
В отличие от других систем NIDS, система Вrо отслеживает потоки трафика, а не просто сопоставляет образцы внутри отдельных пакетов. Это значит, что система Вrо
Глава 22. Безопасность 965
может распознавать подозрительную активность, основываясь на информации о том, кто с кем говорит, даже не сравнивая никаких строк или шаблонов. Например, система Bro может решать следующие задачи.
• Распознавать системы, использующие “мостики” (“stepping stones”), определяя корреляцию между входящим и исходящим трафиками.
• Распознавать сервер, имеющий лазейку, инсталлированную для неожиданных ис ходящих соединений сразу после входящего соединения.
• Распознавать протоколы, выполняемые на нестандартных портах.
• Сообщать о правильно угаданных паролях (и игнорировать неправильные догадки).
Некоторые из этих функциональных возможностей требуют существенных систем ных ресурсов, но система Bro имеет поддержку кластеризации, облегчающую управле ние группами машин, распознающих вторжение.
Система Bro имеет сложный язык конфигурации, требующий значительного опыта кодирования. К сожалению, в системе нет конфигурации, заданной по умолчанию, ко торую было бы легко инсталлировать новичкам. Большинство сайтов требует умеренно го уровня настройки.
Система до некоторой степени поддерживается Группой сетевых исследований Международного института компьютерных наук (Networking Research Group of the International Computer Science Institute (ICSI)), но в большей степени она поддерживает ся сообществом ее пользователей. Если вы ищете готовую коммерческую систему NIDS, то, вероятно, будете разочарованы системой Bro. Однако она может делать то, что не доступно коммерческим системам NIDS, и может служить дополнением или заменой коммерческого продукта.
Snort: популярная программная система для распознавания проникновения в сеть
Открытая система Snort предназначена для предотвращения и распознавания не санкционированного проникновения в сеть; написана Марти Решем (Marty Roesch) и в настоящее время поддерживается коммерческой компанией Sourcefire (snort.org). Она де-факто стала стандартом для кустарных систем NIDS, а также основной для многих коммерческих реализаций систем NIDS с “управляемыми услугами”.
Сама по себе система Snort распространяется как пакет с открытым кодом. Однако компания Sourcefire взимает плату за подписку на доступ к новейшим правилам рас познавания.
Большое количество платформ, созданных сторонними производителями, включают в себя или экспортируют систему Snort, причем некоторые из этих проектов являют ся программами с открытым кодом. Ярким примером является проект Aanval (aanval. com), собирающий данные от многочисленных датчиков системы Snort на веб-консоль.
Система Snort перехватывает пакеты из кабеля и сравнивает их с наборами правил, которые называются сигнатурами. Когда система Snort распознает событие, которое представляет интерес, она может предупредить системного администратора или устано вить контакт с сетевым устройством и, помимо прочего, заблокировать нежелательный трафик.
Несмотря на то что система Bro намного мощнее, система Snort намного проще и легче конфигурируется, благодаря чему является удачным выбором для стартовой плат формы NIDS.
966 Часть II. Работа в сети
OSSEC: система для распознавания вторжения в сеть на уровне узла
Мучались ли вы бессонницей из-за опасения, что ваша система безопасности сети будет взломана? Не предполагали ли вы, что ваш рассерженный сотрудник может ин сталлировать вредоносную программу в ваших системах? Если на один из этих вопросов вы ответили положительно, то подумайте над инсталляцией системы для распознавания проникновения на уровне узла (HIDS), такой как OSSEC.
Система OSSEC — это свободное программное обеспечение, доступное в виде от крытого кода по лицензии GNU (General Public License). Ее коммерческая поддерж ка обеспечивается компанией Third Brigade (недавно приобретенной компанией Trend Micro). Система OSSEC имеет версии для систем Linux, Solaris, HP-UX, AIX и Windows. Она обеспечивает следующие функциональные возможности.
• Распознавание руткитов.
• Проверка целостности файловой системы. • Анализ регистрационных файлов.
• Выдача сигналов по расписанию.
• Активные реакции.
Система OSSEC работает в заданной операционной системе и отслеживает ее актив ность. Она может выдавать сигналы или предпринимать действия, предусмотренные на бором правил, которые устанавливает пользователь. Например, система OSSEC может выполнять мониторинг операционных систем с целью выявления добавления неавто ризованных файлов и посылать по электронной почте уведомления, похожие на при веденное ниже.
Subject: OSSEC Notification - courtesy - Alert level 7
Date: Fri, 15 Jan 2010 14:53:04 -0700
From: OSSEC HIDS <ossecm@courtesy.atrust.com>
To: <courtesy-admin@atrust.com>
OSSEC HIDS Notification.
2010 Jan 15 14:52:52
Received From: courtesy->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):
New file
'/courtesy/httpd/barkingseal.com/html/wp-content/uploads/2010/01/hbird.jpg'
added to the file system.
--END OF NOTIFICATION
Таким образом, система OSSEC работает круглосуточно, следя за операционной си стемой. Мы рекомендуем запускать эту систему на каждой операционной системе, одно временно изменяя политику управления (см. главу 32).
Основные принципы системы OSSEC
Система OSSEC состоит из двух основных компонентов: менеджера (сервера) и аген тов (клиентов). В сети нужен один менеджер, который необходимо инсталлировать пер вым. Менеджер хранит базу данных для проверки целостности файловой системы, реги-