Книга: Лапонина О. Р. «Межсетевое экранирование»

Серия: "Основы информационных технологий"

В курсе рассматриваются вопросы обеспечения безопасности при подключении корпоративной сети к интернету. Основное внимание уделяется классификации межсетевых экранов (firewall'o в), систем обнаружения проникновений, а также обеспечению безопасности сервисов DNS и web серверов.
Учебное пособие для студентов вузов, обучающихся по специальности 511900 «Информационные технологии».

Содержание:

Лекция 1. Классификация firewall'oв и определение политики firewail'a...... 17 Введение...... 17 Классификация firewall'oв...... 18 Установление TCP-соединения...... 21 Пакетные фильтры...... 25 Пограничныероутеры...... 27 Пример набора правил пакетного фильтра...... 29 Stateful Inspection firewall'bi...... 32 Host-based firewall'ы...... 34 Персональные firewall'ы и персональные устройства firewail'a...... 34 Прокси-сервер прикладного уровня...... 36 Выделенные прокси-серверы...... 38 Гибридные технологии firewail'a...... 40 Трансляция сетевых адресов (NAT)...... 40 Статическая трансляция сетевых адресов...... 41 Скрытая трансляция сетевых адресов...... 41 Лекция 2. Классификация firewall'oв и определение политики firewail'a (продолжение)...... 42 Различные типы окружений firewail'a...... 42 Принципы построения окружения firewail'a...... 42 DMZ-cemu...... 43 Конфигурация с одной DMZ-сетью...... 43 Service Leg конфигурация...... 44 Конфигурация с двумя DMZ-сетями...... 45 Виртуальные частные сети...... 47 Расположение VPN-серверов...... 48 Интранет...... 48 Экстранет...... 49 Компоненты инфраструктуры: концентраторы и коммутаторы...... 50 Расположение серверов в DMZ-сетях...... 50 Внешне доступные серверы...... 51 VPN и Dial-in серверы...... 51 Внутренние серверы...... 51 DNS-серверы...... 52 SMTP-серверы...... 53 Политика безопасности firewail'a...... 55 Политика firewail'a...... 55 Реализация набора правил firewail'a...... 56 Тестирование политики firewail'a...... 58 Возможные подходы к эксплуатации firewail'a...... 59 Сопровождение firewail'a и управление firewall'oм...... 59 Физическая безопасность окружения firewail'a...... 60 Администрирование firewail'a...... 60 Встраивание firewall'oв в ОС...... 60 Стратегии восстановления после сбоев firewail'a...... 61 Возможности создания логов firewail'a...... 62 Инциденты безопасности...... 63 Создание backup'ов firewall'oв...... 63 Лекция 3. Классификация firewall'oв и определение политики firewail'a (окончание)...... 65 Пример пакетных фильтров в ОС FreeBSD 6. 0...... 65 Введение...... 65 Основные характеристики пакетных фильтров в ОС FreeBSD...... 66 ПО пакетных фильтров...... 66 OpenBSD Packet Filter (PF) и ALTQ...... 67 Указание необходимости использования PF...... 67 Опции ядра...... 67 Опции rc.conf...... 68 Указание необходимости использования ALTQ...... 68 Создание правил фильтрации...... 69 IPFILTER (IPF) firewall...... 69 Указание необходимости использования IPF...... 70 Опции ядра...... 70 Опции, доступные в rc.conf...... 70 IPF...... 71 IPFSTAT...... 71 IPMON...... 71 Построение скрипта правил с использованием символьных подстановок...... 72 Набор правил IPF...... 73 Синтаксис правила...... 74 Действие (action)...... 74 IN-OUT...... 75 Опции...... 75 SELECTION...... 76 PROTО...... 76 SRC_ADDR/DST_ADDR...... 76 PORT...... 76 TCP_FLAG...... 77 STATEFUL...... 77 Stateful-фильтрация...... 77 Пример включающего набора правил...... 78 NAT...... 83 IPNAT...... 84 Правила IPNAT...... 84 Как работает NAT...... 85 Запуск NAT...... 85 NAT для очень больших LAN...... 85 Указание порта...... 85 Использование пула публичных адресов...... 86 Port Redirection...... 86 FTP и NAT...... 86 Правила IPNAT...... 87 Правила фильтрации IPNAT FTP...... 87 IPFW...... 88 Указание необходимости использования IPFW...... 88 Опции ядра...... 89 Опции /etc/rc.conf...... 89 Команды IPFW...... 90 Набор правил IPFW...... 91 Синтаксис правил...... 91 Опции правила Stateful...... 94 Создание логов...... 94 Построение скрипта правила...... 95 Набор правил Stateful...... 96 Пример включающего набора правил...... 98 Пример совместного использования NAT и Stateful...... 101 Лекция 4. Intrusion Detection Systems (IDS)...... 109 Что такое IDS...... 109 Почему следует использовать IDS...... 110 Типы IDS...... 113 Архитектура IDS...... 113 Совместное расположение Host и Target...... 113 Разделение Host и Target...... 114 Способы управления...... 114 Централизованное управление...... 114 Частично распределенное управление...... 114 Полностью распределенное управление...... 114 Скорость реакции...... 115 Информационные источники...... 115 Network-Based IDS...... 115 Host-Based IDS...... 117 Application-Based IDS...... 118 Анализ, выполняемый IDS...... 119 Определение злоупотреблений...... 119 Определение аномалий...... 120 Возможные ответные действия IDS...... 122 Активные действия...... 122 Сбор дополнительной информации...... 122 Изменение окружения...... 122 Выполнение действия против атакующего...... 123 Пассивные действия...... 123 Тревоги и оповещения...... 124 Использование SNMP Traps...... 124 Возможности отчетов и архивирования...... 124 Возможность хранения информации о сбоях...... 125 Дополнительные инструментальные средства...... 125 Системы анализа и оценки уязвимостей...... 125 Процесс анализа уязвимостей...... 126 Классификация инструментальных средств анализа уязвимостей...... 127 Host-Based анализ уязвимостей...... 127 Network-Based анализ уязвимостей...... 127 Преимущества и недостатки систем анализа уязвимостей...... 128 Способы взаимодействия сканера уязвимостей и IDS...... 129 Проверка целостности файлов...... 129 Лекция 5. Intrusion Detection Systems (IDS) (окончание)...... 131 Системы Honey Pot и Padded Cell...... 131 Выбор IDS...... 132 Определение окружения IDS...... 133 Цели и задачи использования IDS...... 134 Существующая политика безопасности...... 135 Организационные требования и ограничения...... 135 Ограничения на ресурсы, существующие в организации...... 136 Возможности IDS...... 136 Учет возможного роста организации...... 137 Предоставляемая поддержка программного продукта...... 137 Развертывание IDS...... 139 Стратегия развертывания IDS...... 139 Развертывание network-based IDS...... 140 Позади внешнего firewail'a в DMZ-ceти (расположение 1)...... 140 Перед внешним firewall'oм (расположение 2)...... 141 На основной магистральной сети (расположение 3)...... 141 В критичных подсетях (расположение 4)...... 141 Развертывание host-based IDS...... 141 Стратегии оповещения о тревогах...... 142 Сильные стороны и ограниченность IDS...... 142 Сильные стороны IDS...... 142 Ограничения IDS...... 143 Обработка выходной информации IDS...... 144 Типичные выходные данные IDS...... 144 Выполняемые IDS действия при обнаружении атаки...... 145 Компьютерные атаки и уязвимости, определяемые IDS...... 145 Типы атак...... 145 Типы компьютерных атак, обычно определяемые IDS...... 146 Атаки сканирования...... 146 DoS-атаки...... 147 DoS-атаки шквальной эксплуатации...... 148 Flooding DoS-атаки...... 148 Атаки проникновения...... 148 Удаленные vs. локальные атаки...... 149 Атака авторизованного пользователя...... 149 Атаки публичного доступа...... 149 Определение расположения атакующего на основе анализа выходной информации IDS...... 150 Чрезмерная отчетность об, атаках...... 150 Соглашения по именованию атак...... 151 Уровни важности атак...... 151 Типы компьютерных уязвимостей...... 151 Ошибка корректности входных данных...... 152 Переполнение буфера...... 152 Ошибка граничного условия...... 152 Ошибка управления доступом...... 153 Исключительное условие при обработке ошибки...... 153 Ошибка окружения...... 153 Ошибка конфигурирования...... 153 Race-условие...... 153 Будущие направления развития IDS...... 154 Лекция 6. Принципы безопасного развертывания сервисов DNS...... 155 Введение...... 155 Безопасность DNS...... 155 Сервисы DNS...... 156 Инфраструктура DNS...... 157 Компоненты DNS и понятие безопасности для них...... 162 Основные механизмы безопасности для сервисов DNS...... 162 Данные DNS и ПО DNS...... 163 Зонный файл...... 163 Name-серверы...... 164 Авторитетные name-серверы...... 164 Кэширующие name-серверы...... 165 Resolver'ы...... 165 Транзакции DNS...... 165 Запрос / ответ DNS...... 166 Зонная пересылка...... 166 Динамические обновления...... 167 DNS NOTIFY...... 168 Безопасность окружения DNS...... 169 Угрозы и обеспечение защиты платформы хоста...... 169 Угрозы ПО DNS...... 170 Угрозы для данных DNS...... 170 Лекция 7. Принципы безопасного развертывания сервисов DNS (продолжение)...... 172 Угрозы для транзакций DNS...... 172 Угрозы DNS-запросам и ответам и способы обеспечения защиты...... 172 Поддельный или выдуманный ответ...... 173 Удаление некоторыхресурсных записей...... 174 Защищенный подход для DNS Query / Response - DNSSEC...... 174 Угрозы зонной пересылке и способы обеспечения защиты...... 175 Угрозы для динамических обновлений и способы обеспечения защиты...... 176 Угрозы DNS NOTIFY и способы обеспечения защиты...... 177 Выводы...... 178 Создание безопасного окружения для сервисов DNS...... 178 Безопасность платформы...... 179 Безопасность ПО DNS...... 179 Использование самой последней версии ПО name-сервера...... 179 Выполнение ПО name-сервера с ограниченными привилегиями...... 180 Изоляция ПО name-сервера...... 180 Выделенный экземпляр name-сервера для каждой функции...... 181 Удаление ПО name-сервера с не предназначенных для этого хостов...... 181 Сетевое и географическое расположение авторитетных name-серверов...... 182 Использование расчлененных зонных файлов...... 182 Использования отдельных name-серверов для различных типов клиентов...... 184 Управление содержимым зонного файла...... 184 Безопасность транзакций DNS...... 184 Ограничение участников транзакций на основе IP-адреса...... 185 Ограничение участников транзакции DNS Query / Response...... 187 Ограничение рекурсивных запросов (специальный случай DNS Query/ Response)...... 189 Ограничение участников транзакции зонной пересылки...... 191 Ограничение участников транзакции динамического обновления...... 192 Ограничение участников транзакции DNS NOTIFY...... 193 Защита транзакции с использованием ПМАС (TSIO)...... 194 Создание ключа...... 197 Определение ключей для взаимодействующих name-серверов...... 197 Указание name-серверу использовать ключи во всех транзакциях...... 198 Безопасность зонных пересылок с использованием TSIG...... 199 Безопасность динамических обновлений с использованием TSIG...... 199 Конфигурирование ограничений перенаправления динамических обновлений с использованием ключей TSIG...... 200 Конфигурирование более точных ограничений динамического обновления с использованием TSIG-ключей...... 201 Лекция 8. Принципы безопасного развертывания сервисов DNS (окончание)...... 203 Безопасность DNS Query / Response...... 203 Механизмы и операции DNSSEC...... 203 Типы записей, используемых DNSSEC...... 203 Список операций DNSSEC...... 205 Создание пары открытый /закрытый ключи (DNSSEC-OP1)...... 206 Пример создания пары ключей...... 209 Безопасное хранение закрытых ключей (DNSSEC-OP2)...... 210 Опубликование открытого ключа (DNSSEC-OP3) и конфигурирование доверенных anchor'oв (DNSSEC-OP7)...... 211 Подписывание зоны (DNSSEC-OP4)...... 212 Пример подписывания зоны...... 213 Создание доверенной цепочки и проверка подписи (DNSSEC-OPS)...... 214 Безопасность ответов кэширующего name-сервера...... 217 Дополнительные меры защиты для DNS Query / Response...... 218 Динамические обновления в поддерживающей DNSSEC-зоне...... 219 Краткое резюме...... 223 Минимизация раскрываемой DNS-информации...... 223 Выбор значений параметров в SOA RR...... 224 Утечка информации и Informational RRTypes...... 225 Использование периода действительности RRSIG для минимизации последствий компрометации ключа...... 226 Администрирование операций для обеспечения безопасности сервисов DNS...... 227 Плановое обновление ключа (время жизни ключа)...... 227 Обновление ключа в локально безопасной зоне...... 228 Обновление ключа в глобально безопасной зоне...... 229 Обновление ключа ZSK в глобально безопасной зоне...... 229 Обновление ключа KSK в глобально безопасной зоне...... 229 Аварийное обновление ключа...... 231 Аварийное обновление ZSK...... 231 Аварийное обновление KSK...... 232 Переподписывание зоны...... 232 Лекция 9. Обеспечение безопасности web-серверов...... 234 Введение...... 234 Причины уязвимости web-сервера...... 239 Планирование развертывания web-сервера...... 239 Безопасность лежащей в основе ОС...... 240 Безопасное инсталлирование и конфигурирование ОС...... 240 Применение Patch и Upgrade ОС...... 240 Удаление или запрещение ненужных сервисов и приложений...... 241 Конфигурирование аутентификации пользователя в ОС...... 242 Управление ресурсами на уровне ОС...... 245 Альтернативные платформы для web-сервера...... 245 Trusted ОС...... 246 Использование Appliances для web-сервера...... 246 Специально усиленные (pre-hardened) ОС и web-серверы...... 247 Тестирование безопасности операционной системы...... 248 Список действий для обеспечения безопасности ОС, на которой выполняется web-сервер...... 249 Безопасное инсталлирование и конфигурирование web-сервера...... 250 Безопасное инсталлирование web-сервера...... 250 Конфигурирование управления доступом...... 251 Разграничение доступа для ПО web-сервера...... 252 Управление доступом к директории содержимого web-сервера...... 254 Управление влиянием web Bots...... 256 Использование программ проверки целостности файлов...... 258 Список действий для безопасного инсталлирования и конфигурирования web-сервера...... 259 Лекция 10. Обеспечение безопасности web-серверов (продолжение)...... 261 Безопасность web-содержимого...... 261 Опубликование информации на web-сайтах...... 261 Обеспечение безопасности технологий создания активного содержимого...... 263 URLs и cookies...... 264 Уязвимости технологий активного содержимого на стороне клиента...... 265 Уязвимости технологий создания содержимого на стороне сервера...... 269 Список действий для обеспечения безопасности web-содержимого...... 275 Лекция 11. Обеспечение безопасности web-серверов (продолжение)...... 278 Технологии аутентификации и шифрования...... 278 Требования к аутентификации и шифрованию...... 278 Аутентификация, основанная на IP-адресе...... 279 Basic-аутентификация...... 279 Digest-аутентификация...... 280 SSL/TLS...... 280 Возможности SSL/TLS...... 280 Слабые места SSL/TLS...... 281 Пример SSL/TLS-ceccuu...... 282 Схемы шифрования SSL/TLS...... 283 Требования креализации SSL/TLS...... 284 Список действий для технологий аутентификации и шифрования...... 285 Firewall прикладного уровня для web - ModSecurity...... 286 Введение...... 286 Понятие регулярных выражений...... 286 Конфигурирование...... 287 Включение фильтрации...... 287 Сканирование POST-запросов...... 288 Настройка отключения динамической буферизации...... 288 Динамическое управление ModSecurity...... 288 Кодирование запросов и ответов, использующих chunk...... 289 Список действий по умолчанию...... 289 Неявная проверка корректности...... 290 Наследование фильтра...... 290 Наследование фильтра в многопользовательских окружениях...... 292 Проверка корректности представления URL...... 293 Проверка корректности представления Unicode...... 293 Проверка диапазона байтов...... 294 Правила (Rules)...... 294 Простая фильтрация...... 294 Нормализация пути...... 295 Предотвращать null byte атаки...... 295 Выборочное фильтрование...... 295 Исключение фильтрования аргументов...... 297 Cookies...... 297 Исходящая фильтрация...... 298 Действия (Actions)...... 299 Способы задания действий...... 299 Действия для правила...... 300 Ограничения в списке действий для каждого правила...... 301 Встроенные действия...... 301 Заголовки запроса, добавляемые mod_security...... 305 Занесение в лог тела запроса...... 306 Взаимодействие ModSecurity с пакетным фильтром...... 306 Специальные возможности...... 307 Поддержка загрузки (upload) файла...... 307 Выбор местоположения для загружаемых файлов...... 307 Проверка файлов...... 307 Хранение загруженных файлов...... 307 Взаимодействие с другими демонами...... 307 Ограничение памяти, используемой для загрузки...... 308 Скрытие идентификации сервера...... 308 Поддержка chroot...... 308 Стандартный подход...... 308 Подход mod_security...... 308 Решение общих проблем безопасности...... 309 Перемещение по директории...... 309 Атаки Cross Site Scripting...... 309 Атаки SQL / база данных...... 310 Выполнение команд ОС...... 310 Атаки переполнения буфера...... 310 Проверка параметров...... 311 Загрузка файлов...... 311 Рекомендуемая конфигурация...... 311 Лекция 12. Обеспечение безопасности web-серверов (окончание)...... 313 Реализация безопасной сетевой инфраструктуры для web-сервера...... 313 Топология сети...... 313 Демилитаризованная зона...... 314 Хостинг во внешней организации...... 317 Сетевые элементы...... 318 Роутер и firewall...... 318 Системы обнаружения проникновения (IDS)...... 319 Сетевые коммутаторы и концентраторы...... 320 Список действий для обеспечения безопасности сетевой инфраструктуры...... 320 Администрирование web-сервера...... 322 Создание логов...... 322 Основные возможности создания логов...... 322 Дополнительные требования для создания логов...... 323 Возможные параметры логов...... 324 Просмотр и хранение лог-файлов...... 324 Автоматизированные инструментальные средства анализа лог-файлов...... 325 Процедуры создания backup web-сервера...... 326 Политики и стратегии выполнения backup'а web-сервера...... 326 Поддержка тестового web-сервера...... 328 Поддержка аутентичной копии web-содержимого...... 328 Восстановление при компрометации безопасности...... 329 Тестирование безопасности web-серверов...... 331 Сканирование уязвимостей...... 331 Тестирование проникновения...... 333 Удаленное администрирование web-сервера...... 333 Список действий для безопасного администрирования web-сервера...... 334 Литература...... 337 Словарь терминов...... 339

Издательство: "Интернет-Университет Информационных Технологий" (2007)

ISBN: 5955600760