Книга: Хаулет Т. «Защитные средства с открытыми исходными текстами»

Серия: "Основы информационных технологий"

Учебное пособие является практическим руководством по защитным приложениям. Рассматриваются вопросы защиты систем на базе операционных систем Unix и Windows. Представлены лучшие защитные средства с открытыми исходными текстами. Предназначено для специалистов в области информационной безопасности и системных администраторов.

Содержание:

Предисловие...... 19 На кого рассчитана эта книга...... 20 Содержание книги...... 20 Индекс защитных средств с открытыми исходными текстами...... 21 Глава 1: Информационная безопасность и программное обеспечение с открытыми исходными текстами...... 21 Глава 2: Средства уровня операционной системы...... 22 Глава 3: Межсетевые экраны...... 22 Глава 4: Сканеры портов...... 22 Глава 5: Сканеры уязвимостей...... 22 Глава 6: Сетевые анализаторы...... 22 Глава 7: Системы обнаружения вторжений...... 22 Глава 8: Средства анализа и управления...... 23 Глава 9: Криптографические средства...... 23 Глава 10: Средства для беспроводных сетей...... 23 Глава 11: Судебные средства...... 23 Глава 12: Еще о программном обеспечении с открытыми исходными текстами...... 23 Приложение А: Публичные лицензии для ПО с открытыми исходными текстами...... 23 Приложение В: Основные команды Linux/UNIX...... 23 Приложение С: Общеизвестные номера портов TCP/IP...... 24 Приложение D: Общая форма разрешения и отказа от претензий...... 24 Приложение Е: Встраиваемые модули Nessus...... 24 Содержимое и организация компакт-диска...... 24 Использование инструментария...... 24 Эталонная установка...... 25 Исходные данные или переменные...... 26 Благодарности...... 26 Об авторе...... 26 Индекс средств с открытыми исходными текстами...... 27 Глава 1. Информационная безопасность и программное обеспечение с открытыми исходными текстами...... 29 Защита периметра...... 29 Затыкание дыр...... 30 Создание системы раннего предупреждения...... 30 Создание системы управления данными безопасности...... 30 Реализация защищенного беспроводного решения...... 31 Защита важных файлов и коммуникаций...... 31 Расследование вторжений...... 31 Практика информационной безопасности...... 32 Конфиденциальность...... 32 Целостность...... 33 Доступность...... 34 Состояние компьютерной преступности...... 34 Появление Интернет...... 36 Повсеместно распространенная, недорогая широкополосная сеть...... 36 Атаки «командных детишек»...... 38 Черви, автосуперы и другие вредоносные программные средства...... 39 Риски организаций, связанные с информационной безопасностью...... 39 Потеря данных...... 40 Отказ в обслуживании...... 40 Трудности/потеря заказчиков...... 41 Законодательная ответственность...... 41 Раскрытие корпоративных секретов и данных...... 42 Искажение записей...... 43 Потеря производительности...... 43 История ПО с открытыми исходными текстами...... 44 На сцену выходит Linux...... 45 Достоинства ПО с открытыми исходными текстами...... 47 Стоимость...... 47 Расширяемость...... 47 Безопасность...... 48 Независимость...... 48 Поддержка пользователей...... 49 Продолжительность жизни продукта...... 51 Обучение...... 52 Репутация...... 52 Когда ПО с открытыми исходными текстами может не соответствовать требованиям...... 53 Компания по созданию программных средств защиты данных...... 53 Полный аутсорсинг информационных технологий...... 54 Ограничительные корпоративные стандарты в области ИТ...... 54 Windows и ПО с открытыми исходными текстами...... 54 Лицензии для ПО с открытыми исходными текстами...... 55 Генеральная публичная лицензия GNUGPL...... 56 Лицензия BSD...... 58 Глава 2. Средства уровня операционной системы...... 60 Повышение безопасности системы защитных средств...... 63 Установка Bastille Linux...... 64 Запуск Bastille Linux...... 65 traceroute (UNIX) или tracert (Windows): средства диагностики сети...... 68 Особенности повышения безопасности Windows...... 82 Установка и применение Sam Spade for Windows...... 83 Установка и запуск PuTTY...... 87 Глава 3. Межсетевые экраны...... 89 Основы архитектуры сетей...... 90 Физический уровень...... 91 Канальный уровень...... 91 Сетевой уровень...... 92 Транспортный уровень...... 93 Уровень сеанса...... 93 Уровень представления...... 93 Прикладной уровень...... 94 Сети TCP/IP...... 94 Бизнес-процессы безопасности...... 97 Установка Iptables...... 102 Использование Iptables...... 102 Создание межсетевого экрана Iptables...... 105 IP-маскарад с помощью Iptables...... 109 Установка Turtle Firewall...... 111 Требования SmoothWall к оборудованию...... 117 Сравнение SmoothWall Express и SmoothWall Corporate...... 117 Установка SmoothWall...... 118 Администрирование межсетевого экрана SmoothWall...... 120 Создание виртуальной собственной сети с помощью межсетевого экрана SmoothWall...... 124 Дополнительные приложения SmoothWall...... 126 Межсетевые экраны на платформе Windows...... 127 Глава 4. Сканеры портов...... 128 Обзор сканеров портов...... 131 Соображения по поводу сканирования портов...... 134 Применение сканеров портов...... 135 Инвентаризация сети...... 135 Оптимизация сети/сервера...... 135 Выявление шпионского ПО, троянских программ и сетевых червей...... 136 Поиск неавторизованных или запрещенных сервисов...... 137 Установка Nmaр в Linux...... 139 Установка Nmap для Windows...... 141 Сканирование сетей с помощью Nmap...... 143 Запуск Nmap из командной строки...... 145 Типы сканирования в Nmap...... 145 Опции-раскрытия для Nmap...... 149 Опции времени для Nmap...... 150 Другие опции Nmap...... 151 Запуск Nmap в качестве службы...... 154 Вывод результатов Nmap...... 155 Установка Nlog...... 157 Использование Nlog...... 159 Дрполнения для Nlog...... 160 Создание собственныхрасширений Nlog...... 161 Интересные применения Nlog и Nmap...... 163 Выявление малоупотребительных сервисов...... 163 Охота на незаконные/неизвестные Web-серверы...... 163 Охота на троянские программы...... 164 Проверка внешнего представления сети...... 165 Глава 5. Сканеры уязвимостей...... 166 Выявление дыр в безопасности ваших систем...... 167 Переполнение буфера...... 169 Слабые места маршрутизаторов и межсетевых экранов...... 170 Использование уязвимостей Web-серверов...... 171 Использование уязвимостей почтовых серверов...... 171 Серверы DNS...... 171 Использование уязвимостей баз данных...... 172 Управление пользователями и файлами...... 173 Подразумеваемые системные счета производителей...... 174 Пустые или слабые пароли...... 175 Ненужные сервисы...... 175 Утечки информации...... 176 Атаки на доступность...... 178 Сканеры уязвимостей спешат на помощь...... 178 Глубина тестирования...... 179 Архитектура клиент-сервер...... 180 Независимость...... 181 Встроенный язык сценариев атак...... 181 Интеграция с другими средствами...... 181 Интеллектуальное тестирование...... 182 База знаний...... 182 Множество форматов отчетов...... 182 Сеть надежной поддержки...... 183 Установка Nessus для систем Linux...... 184 Настройка Nessus...... 186 Входная страница Nessus...... 187 Вкладка встраиваемых модулей Nessus...... 189 Вкладка предпочтений Nessus...... 189 Nmap...... 190 Ting the remote host (Эхо-тестирование удаленного хоста)...... 190 Login configurations (Конфигурации входа)...... 191 Brute-force login (Hydra) (Вход методом грубой силы - Hydra)...... 191 SMB use host SID to enumerate local users (Использование SMB SID хоста для перебора локальных пользователей)...... 192 Services (Сервисы)...... 192 Web mirroring (Зеркалирование Web)...... 192 Misc. Information on the News Server (Прочая информация о сервере телеконференций)...... 192 Test HTTP dangerous methods (Проверка опасных методов HTTP)...... 193 Ftp writable directories (Каталоги Ftp, допускающие запись)...... 193 SMTP settings (Настройки SMTP)...... 193 Libwhisker options (Опции Libwhisker)...... 193 SMB use domain SLD to enumerate users (Использование SMB SID домена для перебора пользователей)...... 194 HTTP MDS evasion (Обход сетевой системы выявления вторжений при тестировании HTTP)...... 194 NIDS evasion (Обход сетевых систем выявления вторжений)...... 194 Вкладка Scan Options (Опции сканирования)...... 195 Port range (Диапазон портов)...... 195 Consider unscanned ports as closed (Считать несканированные порты закрытыми)...... 196 Number of hosts to test at the same time (Число одновременно тестируемых хостов)...... 196 Number of checks to perform at the same time (Число одновременно выполняемых проверок)...... 196 Path to the CGIs (Маршрут к CGI)...... 196 Do a reverse lookup on the IP before testing it (Выполнять обратный поиск Шадреса перед тестированием)...... 197 Optimize the test (Оптимизировать тестирование)...... 197 Safe checks (Безопасные проверки)...... 197 Designate hosts by their MAC address (Обозначать хосты адресами доступа к среде передачи)...... 197 Detached scan (Обособленное сканирование)...... 197 Continuous scan (Непрерывное сканирование)...... 198 Port scanner (Сканер портов)...... 198 Вкладка Target Selection (Выбор цели)...... 198 Read file (Прочитать файл)...... 199 Perform a DNSzone transfer (Выполнить передачу зон DNS)...... 199 Save this session (Сохранять сеанс)...... 200 Save empty sessions (Сохранять пустые сеансы)...... 200 Previous sessions (Предыдущие сеансы)...... 200 Вкладка User (Пользователь)...... 200 Вкладка KB (Knowledge Base) (База Знаний)...... 201 Test all hosts (Тестировать все хосты)...... 201 Test only hosts that have been tested in the past (Тестировать только хосты, тестировавшиеся ранее)...... 201 Test only hosts that have never been tested in the past (Тестировать только хосты, не тестировавшиеся ранее)...... 201 Reuse the knowledge bases about the hosts for the test (Использовать при тестировании базы знаний о хостах)...... 201 Max age of a saved KB (in sees) (Максимальный возраст сохраненной базы знаний (в секундах))...... 202 Опции оперативного управления процессом сканирования...... 202 Установка Nessus WX...... 204 Применение Windows-клиента NessusWX...... 205 Создание профиля сеанса...... 206 Отчеты NessusWX...... 209 Примеры конфигураций сканирования Nessus...... 209 Пример конфигурации 1: Внешнее сканирование множества IP-адресов без межсетевого экрана...... 210 Пример конфигурации 2: Внешнее сканирование сети с одним внешним IP-адресом межсетевого экрана...... 210 Пример конфигурации 3: Внешнее сканирование сети с несколькими общедоступными IP-адресами - для межсетевого экрана и в демилитаризованной зоне...... 210 Пример конфигурации 4: Несколько внешних IP-адресов с сетевой системой обнаружения вторжений...... 211 Пример конфигурации 5: Внутреннее сканирование позади межсетевого экрана...... 211 Особенности сканирования уязвимостей...... 214 Не сканируйте без разрешения...... 214 Убедитесь, что все резервные копии актуальны...... 214 Планируйте время сканирования...... 215 Избегайте избыточного сканирования...... 215 Правильно размещайте сервер сканирования...... 215 Какие уязвимости тестирование не находит...... 216 Логические ошибки...... 216 Необнаруженные уязвимости...... 216 Индивидуальные приложения...... 217 Безопасность персонала...... 217 Атаки прошлые и текущие...... 217 Глава 6. Сетевые анализаторы...... 219 Краткая история Ethernet...... 221 Особенности применения сетевых анализаторов...... 222 Всегда получайте разрешение...... 222 Разберитесь в топологии сети...... 223 Используйте жесткие критерии поиска...... 223 Установите эталонное состояние сети...... 224 Установка Tcpdump...... 225 Запуск Тсрdump...... 226 Заголовки пакетов TCP/IP...... 227 Выражения Tcpdump...... 232 Примеры применения Tcpdump...... 236 Просмотр всего входящего и исходящего трафика определенного хоста...... 236 Наблюдение за входящим и исходящим трафиком определенного порта...... 237 Просмотр всего входящего и исходящего трафика определенного хоста, за исключением некоторых видов трафика...... 237 Выявление вредоносной рабочей станции...... 237 Слежение за определенной рабочей станцией...... 238 Поиск подозрительного сетевого трафика...... 238 Установка WinDump...... 239 Применение WinDump...... 239 Установка Ethereal для Linux...... 242 Установка Ethereal для Windows...... 243 Применение Ethereal...... 243 Запуск сеанса перехвата...... 245 Опции отображения...... 248 Средства Ethereal...... 248 Сохранение вывода Ethereal...... 249 Приложения Ethereal...... 249 Оптимизация сети...... 249 Поиск дефектов в работе серверов приложений...... 249 Глава 7. Системы обнаружения вторжений...... 251 Примеры сигнатур сетевых систем обнаружения вторжений...... 254 Проблема ложных срабатываний сетевых систем обнаружения вторжений...... 257 Типичные причины ложных срабатываний...... 257 Работа системы мониторинга сети...... 257 Сетевое сканирование уязвимостей/сканеры портов...... 258 Пользовательская активность...... 258 Поведение, напоминающее троянскую программу или червя...... 258 Длинные базовые цепочки аутентификации...... 259 Аутентификационная активность базы данных...... 259 Как получить максимум пользы от системы обнаружения вторжений...... 260 Правильное конфигурирование системы...... 260 Настройка системы обнаружения вторжений...... 261 Средства анализа для систем обнаружения вторжений...... 261 Уникальные особенности Snort...... 263 Установка Snort...... 263 Запуск Snort...... 264 Режим анализа пакетов...... 264 Режим протоколирования пакетов...... 265 Режим обнаружения вторжений...... 266 Режимы сигнализации Snort...... 267 Конфигурирование Snort для достижения максимальной производительности...... 268 Отключение правил в Snort...... 273 Запуск Snort в качестве службы...... 279 Требования для использования Snort в Windows...... 284 Установка Snort для Windows...... 284 Настройка Snort для Windows...... 284 Хостовые системы обнаружения вторжений...... 289 Преимущества хостовых методов обнаружения вторжений...... 290 Недостатки хостовых методов обнаружения вторжений...... 290 Установка Tripwire...... 291 Конфигурирование Tripwire...... 292 Инициализация эталонной базы данных...... 295 Проверка целостности файлов...... 295 Обновление базы данных...... 295 Обновление файла политики...... 296 Глава 8. Средства анализа и управления...... 297 Установка Swatch...... 301 Конфигурирование и запуск Swatch...... 302 Конфигурационный файл Swatch...... 304 Использование баз данных и Web-серверов для управления защитными данными...... 306 Настройка сервера MySQL...... 306 Настройка Web-сер вер a Apache...... 309 Настройка PHP...... 311 ADOdb...... 313 PHPLOT...... 314 JpGraph...... 314 GD...... 314 Конфигурирование Snort для MySQL...... 314 Установка ACID...... 315 Конфигуриривание ACID...... 315 Основы применения ACID...... 318 Применение ACID для управления сетевыми системами обнаружения вторжений и их настройки...... 319 Другие способы проанализировать данные сигналов тревоги с помощью ACID...... 322 Кого атакуют...... 322 Кто атакует...... 322 Какой сервис атакуется чаще всего...... 323 Ежедневное применение ACID...... 324 Графическое представление данных ACID...... 325 Обслуживание базы данных ACID...... 326 Установка NPI...... 328 Импорт результатов сканирования Nessus в NPI...... 331 Применение NPI...... 332 Рождение проекта с открытыми исходными текстами...... 333 Нет ли уже чего-то подходящего...... 333 Имеет ли ваша программа широкую область применения...... 334 Разрешено ли вам выпускать свой продукт как открытое ПО...... 334 Платформы для NCC...... 336 Установка NCC...... 339 Применение NCC...... 341 Добавление пользователей...... 343 Добавление целей...... 344 Составление расписания сканирований...... 345 Глава 9. Криптографические средства...... 348 Виды криптографии...... 349 Криптографические алгоритмы...... 352 Стандарт шифрования данных DES (Data Encryption Standard)...... 353 Тройной DES...... 353 RC4,RC5 и RC6...... 353 AES...... 354 Приложения криптографии...... 354 Хэши...... 354 Цифровые сертификаты...... 355 Криптографические протоколы...... 355 IPsec...... 355 Протокол туннелирования точка-точка (РРТР - Point-to-Point Tunneling Protocol)...... 357 Протокол туннелирования второго уровня (L2TP - Layer Two Tunneling Protocol)...... 357 Защищенный протокол сеансового уровня (SSL - Secure Socket Layer)...... 357 Криптографические приложения...... 358 Установка PGP и генерация пары ключей открытый/секретный...... 361 Применение PGP...... 362 PGPKeys...... 362 Encrypt...... 364 Sign...... 365 Encrypt and Sign...... 366 Decrypt/Verify...... 366 Wipe...... 366 Freespace Wipe...... 366 Опции PGP...... 367 Установка GnuPG...... 370 Создание ключевых пар...... 370 Создание сертификата отзыва...... 371 Публикация открытого ключа...... 372 Шифрование файлов с помощью GnuPG...... 372 Расшифрование файлов...... 372 Подписывание файлов...... 373 Модель сети доверия PGP/GnuPG...... 373 Подписывание ключей и управление доверием к ключам...... 374 Установка и запуск сервера OpenSSH...... 377 Переправка портов посредством OpenSSH...... 379 Пример 1: Создание криптографически защищенного соединения для электронной почты с помощью OpenSSH...... 380 Пример 2: Создание безопасного Web-соединения...... 380 Виртуальные защищенные сети...... 381 Установка и запуск FreeS/WAN...... 383 Применение EreeS/WiN...... 384 Одноранговый режим...... 384 Режим мобильного пользователя...... 386 Оппортунистическое шифрование...... 387 Настройка частичного оппортунистического шифрования (только инициирование)...... 387 Настройка полного оппортунистического шифрования...... 388 Взлом паролей...... 389 Установка в Windows...... 390 Установка в VNIX...... 390 Применение программы John the Ripper...... 391 Глава 10. Средства для беспроводных сетей...... 393 Обзор технологий беспроводных ЛВС...... 395 Терминология Wi-Fi...... 396 Опасности беспроводных ЛВС...... 398 Прослушивание...... 398 Доступ к ПК с беспроводными платами...... 398 Доступ к ЛВС...... 398 Анонимный доступ в Интернет...... 399 Специфические уязвимости 802. 11...... 399 Подразумеваемые идентификаторы набора сервисов...... 399 Вещание радиомаяка...... 400 Применение по умолчанию нешифруемых коммуникаций...... 400 Слабые места WEP...... 400 Феномен «агрессивного объезда»...... 401 Оценивание безопасности беспроводной сети...... 402 Выбор оборудования...... 402 Беспроводные платы...... 402 Аппаратное и программное обеспечение...... 403 Антенны...... 404 Установка NetStumbler...... 405 Применение NetStumbler...... 406 Опции NetStumbler...... 410 Сохранение сеансов NetStumbler...... 412 Установка StumbVerter...... 413 Применение StumbVerter...... 414 Установка сетевой интерфейсной платы и драйверов...... 417 Установка Kismet...... 420 Применение Kismet Wireless...... 422 Поддержка GPS в Kismet...... 425 Kismet как система обнаружения вторжений...... 426 Применение AirSnort...... 427 Установка AirSnort...... 427 Запуск AirSnort...... 428 Меры по повышению безопасности беспроводной ЛВС...... 429 Включите WEP...... 430 Применяйте беспроводное оборудование с улучшенным протоколом шифрования...... 430 Требуйте, чтобы беспроводные пользователи входили через туннель виртуальных защищенных сетей...... 430 Считайте свою беспроводную сеть недоверенной...... 430 Регулярно проверяйте свой беспроводной периметр...... 431 Переместите точки доступа...... 431 Должным образом сконфигурируйте беспроводную сеть...... 431 Обучите свой персонал...... 432 Глава 11. Судебные средства...... 433 Применение компьютерных судебных средств...... 433 Очистка и восстановление...... 434 Уголовное расследование...... 434 Гражданский иск...... 436 Внутренние расследования...... 437 Жалобы поставщику Интернет-услуг...... 437 Выработка плана реагирования на инциденты...... 438 Предварительная подготовка для получения доброкачественных судебных данных...... 439 Степень подробности журналов...... 439 Используйте центральный сервер журналирования...... 439 Синхронизация времени серверов...... 440 Где искать судебные данные...... 440 Догматы надлежащего судебного анализа...... 441 Оперируйте с системой, отсоединенной от сети...... 441 Работайте с копиями свидетельств...... 442 Применяйте хэши для обеспечения свидетельств целостности...... 442 Применяйте доверенные загрузочные носители и исполнимые файлы...... 442 Средства судебного анализа...... 443 Установка Fport...... 444 Применение Fport...... 444 Установка Isof...... 447 Применение Isof...... 447 Просмотр файлов журналов...... 450 Создание копий судебных свидетельств...... 451 Установка dd...... 453 Применение dd...... 453 Установка Sleuth Kit...... 456 Установка Autopsy Forensic Browser...... 456 Применение Sleuth Kit и Autopsy Forensic Browser...... 457 Заведение и протоколирование дела...... 457 Добавление хоста...... 459 Добавление образа...... 460 Анализ данных...... 461 Установка The Forensic Toolkit...... 463 Применение The Forensic Toolkit...... 463 Afind...... 463 Hfind...... 464 Sfind...... 464 FileStat...... 464 Hunt...... 466 Глава 12. Еще о программном обеспечении с открытыми исходными текстами...... 468 Ресурсы открытого ПО...... 468 Телеконференции USENET...... 468 Списки почтовой рассылки...... 469 Web-сайты...... 469 SourceForge...... 470 Slashdot...... 471 Freshmeat...... 471 Open Source Initiative...... 471 Free Sdftware Foundation...... 471 Присоединение к движению за открытое ПО...... 472 Поиск ошибок/бета-тестирование...... 472 Участие в дискуссионных группах и поддержка других пользователей...... 473 Предоставление ресурсов для проекта...... 475 Станьте постоянным клиентом организаций, использующих или поддерживающих открытое ПО...... 476 Еще о защитных средствах с открытыми исходными текстами...... 476 Приложение А Лицензии для ПО с открытыми исходными текстами...... 477 Приложение В Основные команды Linux/UNIX...... 478 Приложение С Общеизвестные номера портов TCP/IP...... 480 Приложение D...... 531 Общая форма разрешения и отказа от претензий...... 531 Сканирование портов и тестирование уязвимостей...... 531 Общее разрешение и отказ от претензий...... 531 Гарантийные обязательства...... 532 Приложение Е Встраиваемые модули Nessus...... 533 Литература...... 607

Издательство: "Интернет-Университет Информационных Технологий" (2007)

ISBN: 9785947746297