Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
Serwery internetowe
Red Hat Linux
Autorzy: Paul G. Sery, Jay Beale
Tumaczenie: Rafa Szpoton (rozdz. 1 - 9, 19, dod. A - C),
Marek Ptlicki (rozdz. 10 - 18)
ISBN: 83-7361-415-X
Tytu oryginau: Red Hat Linux Internet Server
Format: B5, stron: 536
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
Eksperci od systemu Red Hat Linux: Paul Sery oraz Jay Beale rozpoczynaj od podstaw
istotnych informacji na temat zagadnie sieciowych, pocze z sieci Internet,
zapr sieciowych. Nastpnie w sposb bardziej szczegowy przedstawiaj sposb
konfigurowania usug sieciowych oraz internetowych, poczwszy od poczenia z baz
danych, tworzenia pocze bezpiecznych i udostpniania mediw strumieniowych.
W dalszej kolejnoci zajmuj si konfiguracj serwerw nazwy domenowej, usug poczty
elektronicznej, serwerw FTP oraz Samba. W kolejnych rozdziaach autorzy powicaj
wiele miejsca zarzdzaniu serwerami, jak rwnie umieszczaj porady dotyczce
utrzymywania zabezpiecze sieci.
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Spis treci
O Autorach ...................................................................................... 13
Przedmowa...................................................................................... 15
Cz I
Rozdzia 3. Nawizywanie poczenia z sieci Internet przy uyciu cza DSL ....... 61
Podstawy technologii DSL................................................................................................62
Terminologia stosowana w technologii DSL ....................................................................66
Oglne definicje..........................................................................................................66
Rodzaje usug DSL .....................................................................................................70
Tworzenie poczenia z sieci Internet przy uyciu cza DSL........................................71
Uzyskiwanie poczenia internetowego DSL .............................................................71
Fizyczne podczanie modemu DSL ..........................................................................71
Konfiguracja wyposaenia udostpnianego przez dostawc usugi DSL...................73
Podstawowe wskazwki przydatne podczas rozwizywania problemw.........................79
Podsumowanie ..................................................................................................................83
Spis treci
5
Sprawdzanie moduw jdra oraz znacznikw.........................................................137
Wykorzystywanie narzdzi podsuchujcych ruch w sieci.......................................137
Dodatkowe informacje ....................................................................................................139
Podsumowanie ................................................................................................................139
Cz II
Spis treci
7
Obsuga niechcianej poczty.............................................................................................259
Najwaniejsze parametry z pliku main.cf .......................................................................259
queue_directory.........................................................................................................259
command_directory ..................................................................................................259
daemon_directory .....................................................................................................260
mail_owner ...............................................................................................................260
default_privs .............................................................................................................260
myhostname ..............................................................................................................261
mydomain .................................................................................................................261
myorigin....................................................................................................................261
inet_interfaces ...........................................................................................................261
mydestination............................................................................................................262
local_recipient_maps ................................................................................................262
masquerade_domains................................................................................................262
masquerade_exceptions ............................................................................................262
local_transport...........................................................................................................263
alias_maps.................................................................................................................263
alias_database ...........................................................................................................263
home_mailbox...........................................................................................................263
mail_spool_directory ................................................................................................263
mailbox_command....................................................................................................264
mailbox_transport .....................................................................................................264
fallback_transport .....................................................................................................264
luser_relay.................................................................................................................264
smtpd_recipient_limit ...............................................................................................265
smtpd_timeout...........................................................................................................265
mynetworks_style .....................................................................................................265
mynetworks...............................................................................................................266
allow_untrusted_routing ...........................................................................................266
maps_rbl_domains ....................................................................................................266
smtpd_client_restrictions ..........................................................................................266
smtpd_sender_restrictions.........................................................................................267
smtpd_recipient_restrictions .....................................................................................267
smtpd_helo_required.................................................................................................267
smtpd_helo_restrictions ............................................................................................267
smtpd_delay_reject ...................................................................................................268
strict_rfc821 _envelopes ...........................................................................................268
header_checks ...........................................................................................................268
body_checks..............................................................................................................268
message_size_limit ...................................................................................................269
relay_domains ...........................................................................................................269
mynetworks...............................................................................................................269
smtpd_banner............................................................................................................269
local_destination_concurrency_limit........................................................................270
default_destination_concurrency_limit.....................................................................270
debug_peer_list .........................................................................................................270
debug_peer_level ......................................................................................................270
debugger_command..................................................................................................270
disable_vrfy_command.............................................................................................271
Konfiguracja podstawowych plikw...............................................................................271
Konfiguracja pliku master.cf ....................................................................................271
Konfiguracja pliku aliases.........................................................................................271
Konfiguracja pliku virtual.........................................................................................272
Konfiguracja pliku canonical....................................................................................272
Konfiguracja pliku access .........................................................................................272
Spis treci
Cz V
10
Spis treci
11
Rozdzia 19. Monitorowanie plikw dziennika oraz reagowanie na zdarzenia ......... 469
Odczytywanie systemowych plikw dziennika ..............................................................469
Rejestrowanie danych w plikach dziennika ....................................................................470
Rejestrowanie danych w plikach dziennika aplikacji ...............................................471
Rejestrowanie danych w plikach dziennika systemu................................................472
Rejestrowanie danych w hybrydowych plikach dziennika.......................................473
Syslog........................................................................................................................474
Wykonywanie akcji wybranych przez selektor...............................................................475
Pola selektorw, jednostki oraz priorytety................................................................475
Miejsca docelowe......................................................................................................477
Wykorzystywanie plikw dziennika ...............................................................................478
Analiza bezporednia ................................................................................................479
Narzdzia przetwarzajce pliki dziennika ................................................................479
egrep..........................................................................................................................480
Tworzenie raportw ..................................................................................................482
Narzdzie monitorujce pliki dziennika ...................................................................485
Zarzdzanie odpowiedziami na zdarzenia.......................................................................486
Najgorsza jest panika ................................................................................................486
Przewidywanie oznacza polityk bezpieczestwa....................................................487
Podsumowanie ................................................................................................................487
Dodatki .......................................................................................489
Dodatek A
Skorowidz...................................................................................... 511
Rozdzia 18.
Proste systemy
wykrywania wama
W niniejszym rozdziale zajmiemy si systemami wykrywania wama (Intrusion
Detection System IDS). System IDS nie wie, kim jest intruz. Taki system ledzi
zdarzenia i warunki zwizane z wrog aktywnoci w komputerze lub sieci. Kto
a konkretnie administrator musi okreli, ktre sytuacje oznaczaj wamanie i upewni si, e IDS bdzie na nie odpowiednio reagowa.
W rzeczywistoci wikszo systemw IDS ma okrelony zestaw domylnych warunkw
wskazujcych, e w systemie dzieje si co niedobrego, lecz kadego dnia pojawiaj
si nowe sytuacje tego typu, wic kto musi uzupenia ustawienia IDS, tak aby reagowa na takie niestandardowe przypadki. Jak si wkrtce przekonamy, administrator
znajduje sytuacje specyficzne dla konkretnej konfiguracji, ktre chciaby uwzgldni
w reakcjach systemu wykrywania, a ktre nie byy przewidziane w standardowej konfiguracji udostpnionej przez dostawc systemu IDS.
Sieciowe i systemowe
wykrywanie wama
Wielu obcych i zych ludzi przyglda si cigle naszym komputerom. By moe spotkae si ju z ich ladami wyzierajcymi z katalogw, w ktrych wprowadzili wasne
poprawki i podmienili narzdzia systemowe na wasne, ktre bardziej im si podobay.
Biznes alarmw antywamaniowych kwitnie najbardziej w okresach, kiedy wamywacze
s bardziej aktywni. Z tego samego powodu wysok popularnoci ciesz si alarmy
antywamaniowe sieci komputerowych, czyli systemy IDS. Wielu sprzedawcw wmusza je tak samo, jak robi to z zaporami sieciowymi sugeruj jakoby byy cudownym
rodkiem rozwizujcym wszelkie problemy z intruzami. Jeli wierzysz fachowcom od
marketingu, powtrzymy to, co mwilimy ju kilkakrotnie: nie ma cudownych rodkw. Naprawd. Zaufaj nam.
444
Cz V Zwikszanie bezpieczestwa
Nie chcemy jednak deprecjonowa znaczenia zapr sieciowych czy systemw IDS.
Zarwno zapory sieciowe jak, i IDS s potrzebne pod warunkiem, e zostay waciwie
zaprojektowane. Nie uzyskamy wikszych korzyci z ich stosowania, jeli ich implementacja nie bdzie poprzedzona dokadn analiz konkretnej sieci i systemw. W tym
rozdziale omwimy oglne koncepcje zwizane z systemami IDS, a nastpnie przedstawimy bardzo ciekawy i darmowy system sieciowego wykrywania wama (NIDS)
o nazwie Snort. Nawiasem mwic, skrt NIDS oznacza Network Intrusion Detection
System, czyli system sieciowego wykrywania wama, natomiast HIDS jest skrtem
od Host Intrusion Detection System, czyli systemu wykrywania wama na poziomie
systemu (systemowy).
Sieciowe systemy IDS ledz zdarzenia w sieci w oczekiwaniu na ataki. Systemowe
IDS dziaaj w monitorowanym systemie w oczekiwaniu na nieautoryzowany dostp,
a nawet na nietypowe zachowanie systemu i uytkownikw. Zalet podejcia sieciowego jest lepsza skalowalno i o wiele wiksza prostota rozwizania. W rezultacie
w wikszoci przypadkw pojcie IDS jest utosamiane z podejciem sieciowym do
tego zagadnienia, czyli z NIDS.
Teoretycznie podejcie systemowe cechuje si wiksz dokadnoci, z mniejszym
prawdopodobiestwem faszywych alarmw, lecz do trudno o dobr implementacj
systemu HIDS opartego o analiz nietypowych zachowa. Najpopularniejsza implementacja systemu HIDS polega na sprawdzaniu integralnoci plikw systemowych.
Program tego typu monitoruje najwaniejsze pliki w systemie pod ktem wprowadzanych zmian. Podejcie to opiera si o stwierdzenie, e wamywacz w celu zwikszenia swoich uprawnie lub zachowania dostpu do systemu na stae z reguy stara si
zmodyfikowa wane konfiguracje w systemie.
W kolejnym podrozdziale zapoznamy si z koncepcj NIDS jako czci planowania
systemu bezpieczestwa. Rozpoczniemy od problemu okrelenia roli, jak chcemy
powierzy podsystemowi NIDS w caym systemie.
Odpowiedzialno administratora
Ten rozdzia ksiki zajmuje si bezpieczestwem, rozpatrzymy zatem odpowiedzialno
administratora w dziedzinie bezpieczestwa.
445
Cz V Zwikszanie bezpieczestwa
446
Gdy okrelimy zakres ochrony, musimy ustali zakres nadzoru, aby uzyska informacje
wystarczajce do zapewnienia tej ochrony. Naley okreli zakres monitoringu sieciowego.
Zakres monitoringu mgby z powodzeniem obejmowa cay Internet i kady komputer
w Internecie, jak rwnie podsystemy energetyczne, do ktrych podczony jest nasz
system. Oczywicie nie mamy dostpu do tych informacji, dlatego musimy skoncentrowa si na kontroli tych obszarw, ktre moemy kontrolowa. Do tej grupy naley
cay ruch przechodzcy przez monitorowany system (niezalenie od tego, czy ruch jest
skierowany do tego systemu). Mamy dostp do wszystkich dziennikw systemowych,
ktre moe wygenerowa system (niestety nie wszystkie procesy, ktre s w stanie wygenerowa informacje do dziennika, maj domylnie aktywn t funkcj). Czy posiadane informacje s wartociowe? Prawdopodobnie. Czy s wystarczajce? Na pewno nie.
Informacji nigdy nie jest wystarczajco duo. Czy posiadana ilo informacji jest rozsdna z punktu widzenia potrzeb zwizanych z wykonywanymi przez nas zadaniami?
To zaley od wasnej oceny. Nie moemy na nikim wymusi zakresu prowadzonego
monitoringu, kady musi sam to okreli. My moemy jedynie powiedzie, e zakres
monitoringu powinien odpowiada zakresowi wymaga.
447
Mechanizmy sieciowe
Niniejszy podrozdzia omawia zagadnienia zwizane z systemami wykrywania wama,
szczeglnie sieciowymi; skupia si na konkretnym rozwizaniu o nazwie Snort. Uzgodnilimy, e do obowizkw administratora naley okrelenie zakresu kontroli zdarze
w sieci w odniesieniu do specyfiki danej instalacji. Czytelnicy, ktrzy posiadaj dobr
orientacj w zakresie zagadnie TCP/IP oraz rodzajw atakw i skanowania sieci, mog
potraktowa ten podrozdzia jak podsumowanie. Pozostali znajd w nim skromne wprowadzenie do grubych ksiek traktujcych o tych tematach, ktrych poznanie jest kluczowe w celu dalszej i skutecznej pracy z mechanizmami typu NIDS.
TCP/IP jest rodzin standardowych protokow sieciowych wykorzystywanych w Internecie (w rzeczywistoci IP jest skrtem od Internet Protocol). Protok sieciowy mona
traktowa jak jzyk, ktrym porozumiewaj si urzdzenia sieciowe podczas przesyania
komunikatw przy uyciu kabli, wiatowodw czy fal radiowych. W sieci mog by
przesyane rwnie i inne rodzaje ruchu, szczeglnie jeli wykorzystywany w niej jest
system Microsoft Windows. Innych protokow uywa rwnie sie Novell. Nie bdziemy jednak wnika w szczegy. Zajmiemy si rodzin protokow TCP/IP, poniewa
to one obsuguj komunikacj w Internecie.
Pakiety
Informacje przesyane w sieci s podzielone na kawaki, nie s przesyane cigym
strumieniem danych. Dziki temu rne transakcje mog regularnie otrzymywa fragmenty czasu w sieci. Najpierw przechodzi jeden z pakietw nadawcy A, nastpnie jeden
od nadawcy B, nastpnie od C, potem znw od A. Waciwie wikszo aktywnoci
odbywa si w trakcie pisania na klawiaturze czy przegldania stron WWW.
Cz V Zwikszanie bezpieczestwa
448
Kapsukowanie
Przygldajc si bliej opakowaniu, stwierdzimy, e dane przesyane w sieci raczej nie
s zamykane w jednym pakiecie, lecz z reguy znajduj si w pakiecie, ktry znajduje
si w innym pakiecie, ktry znajduje si w kolejnym rednio wykorzystywane s
cztery warstwy takiego opakowania. Takie warstwowe pakiety mona sobie wyobrazi jako koperty woone jedna w drug, gdy kada z nich zawiera pewne informacje
czciowe, niezbdne w celu dostarczenia zawartych w nich danych. Taka informacja
w zagniedonych warstwach jest czci strategii komunikacyjnej znanej pod nazw
kapsukowania (encapsulation) lub izolacji. Taka strategia komunikacyjna jest niezbdna,
poniewa trasa przesyania danych jest skomplikowana, a my na kadym etapie podry nie chcemy zawiera w danych pakietu wicej informacji, ni to niezbdne. Pamitajmy, e trasa pakietu prowadzi od procesu na jednej maszynie w konkretnej sieci, do
drugiego procesu, najczciej na innej maszynie, niejednokrotnie w zupenie innej sieci.
Pakiet musi przej przez rne sieci na swojej drodze. Zewntrzna koperta zawsze
zawiera informacje niezbdne do podry do nastpnej sieci. Po dotarciu do niej router
zdejmuje jedn warstw pakietu (zewntrzn kopert) i nakada kolejn, zawierajc
informacj na temat podry do nastpnej sieci. Kolejne warstwy wewntrzne zawieraj coraz bardziej szczegowe informacje na temat adresu komputera w Internecie
oraz procesu na komputerze bdcym adresatem pakietu. Informacje te obejmuj rwnie rne typy wiadomoci na temat priorytetu przenoszonych danych oraz inne dane
pomagajce w bezpiecznej przesyce.
449
Adresy IP
Kady interfejs sieciowy w Internecie posiada wasny adres IP. Jeli zaoymy, e wykorzystywany serwer posiada tylko jedn kart sieciow, bdzie on wacicielem co najmniej jednego adresu IP. W przypadku zastosowa domowych i maych form adres IP
jest nadawany przez dostawc usug internetowych. W firmach adres ten nadaje z reguy
administrator sieci.
Kiedy stosujemy mechanizm translacji adresw (NAT), wykorzystywane s adresy
prywatne. Jeli uywasz tego typu konfiguracji, najprawdopodobniej wiesz wystarczajco duo, by spokojnie pomin dalszy cig wywodw na temat adresw, lub
wpdzasz si w kopoty, z ktrych bdziesz mg wybrn tylko przy pomocy dobrze
opaconego specjalisty.
Adres IP jest zapisany w postaci czterech liczb o wartociach od 0 do 255. Typowy adres
IP ma nastpujc posta: 192.168.1.14. Nie wszystkie kombinacje liczb daj uyteczne
adresy IP, lecz nie musimy si tym przejmowa, poniewa to nie my je wymylamy.
Kady pakiet skierowany do naszego systemu bdzie mia wyspecyfikowany jego adres
IP w polu swojego adresu docelowego. Kady pakiet wychodzcy z systemu bdzie
mia jego adres w swoim polu adresu rdowego. Te same zasady dotycz innych systemw w sieci, ktrych ruch bdziemy monitorowa z naszego serwera. System NIDS
mona skonfigurowa w taki sposb, e bdzie monitorowa okrelone adresy rdowe
i docelowe (w dowolnych kombinacjach).
Adresy dynamiczne
Adres IP skonfigurowany na stae w systemie nazywamy adresem statycznym. Wiele
organizacji wykorzystuje odmienne podejcie polegajce na dynamicznym nadawaniu
adresw IP z predefiniowanej puli podczas uruchamiania systemu. Ten mechanizm
obsuguje protok DHCP (Dynamic Host Configuration Protocol). Wykorzystanie
tego typu mechanizmu utrudnia konfiguracj systemu NIDS, poniewa nie mona okreli adresw IP systemw, ktre miayby by ledzone przez ten system (mog by
rne po kadym uruchomieniu systemu).
DNS
Niewiele osb ma wpraw w zapamitywaniu czwrek liczb od 0 do 255 (cho podczas
pracy z systemami NIDS mona w tym doj do wprawy). Ludzi preferuj nazwy, takie
jak Alicja, Dawid czy www.yahoo.com. System DNS (Domain Name System)
jest sposobem na zwizanie adresw IP z nazwami oraz na udostpnienie wszystkim
zainteresowanym nazw systemw podczonych do Internetu. W ten sposb kada organizacja moe zarzdza list nazw wasnych serwerw podczonych do Internetu.
Gdy system zna nazw systemu docelowego, najczciej komunikuje si z serwerem
DNS w celu uzyskania odpowiedniego adresu IP, na ktry moe przesa dane. Zwrmy uwag, e danie DNS jest samo w sobie rwnie transakcj, odbywajc si przed
Cz V Zwikszanie bezpieczestwa
450
Routery
Komunikacja (pakiety) na swojej drodze od nadawcy do adresata przechodzi przez
rne urzdzenia zwane routerami i bramami. Router po prostu przesya pakiet z jednej sieci do drugiej. W organizacji redniej wielkoci komunikacja wewntrzna najczciej jest przekazywana za porednictwem jednego do czterech takich urzdze.
Zewntrzna komunikacja przechodzi przez 10 do 20 routerw.
W naszych rozwaaniach uywamy okrele sie lokalna oraz inne sieci. Jednak
zaawansowana technologia sieciowa nieco rozmywa granice midzy sieciami, lecz
nadal w miar konsekwentnie mona twierdzi, e granic midzy rnymi sieciami
stanowi router.
Router brzegowy jest ostatni barier midzy sieci lokaln a Internetem. Routery
posiadaj dwa lub wiksz liczb interfejsw sieciowych, kady z nich przyczony
jest do innej sieci. Jeli pakiet wysany z sieci lokalnej moe dotrze do adresata bez
potrzeby przechodzenia przez router brzegowy, oznacza to, e adresat rwnie znajduje si w sieci lokalnej. Kilka lat temu z dowolnej stacji mona byo monitorowa
kady pakiet przychodzcy do sieci lokalnej, nawet jeli by przeznaczony do innego
adresata. W wielu sieciach wykorzystujcych przestarzay lub niedrogi sprzt nadal
jest to moliwe.
Coraz popularniejsze staj si jednak sieci przeczane. W sieciach tego typu dane,
ktre docieraj do danego interfejsu sieciowego, s tylko do niego adresowane. Ruch
nieadresowany do danego interfejsu nigdy do niego nie dotrze. Jeli chcemy monitorowa ruch w sieci, administrator sieci moe skonfigurowa specjalny port na przeczniku (tzw. monitor port), na ktry bdzie dodatkowo przesyany cay ruch adresowany do pozostaych stacji przyczonych do przecznika. Jeli na przykad wykryjemy
podejrzany ruch w podsieci, ktry wydaje si pochodzi z zewntrz, lecz ruch ten nie
jest wykrywany na routerze brzegowym, mamy jasny dowd na to, e ktry z systemw w sieci zosta przejty przez wamywacza, ktry faszuje adres rdowy wysyanych przez siebie pakietw.
yj jak najlepiej z innymi administratorami!
Jak mona zauway, wiele rzeczy, ktre istniej w sieci i s nam potrzebne, zaley od administratora tej sieci. W rzeczywistoci dobre poznanie swojego administratora i jego pracy jest
jedn z lepszych inwestycji. Jeli powanie traktujesz wykorzystanie mechanizmw NIDS, bardzo
wane jest nadanie za zmianami w sieci, czsto niezauwaalnymi dla zwykych uytkownikw.
Informacje te posiada administrator sieci, poniewa to on wdraa zmiany!
Gdy co pjdzie le, nie obraaj administratora, wytykajc mu niekompetencj. Aby wykona
swoj prac, musicie koegzystowa. Pamitaj, e administrator sieci prawdopodobnie myli
o Tobie to samo, co Ty mylisz o swoich uytkownikach.
451
Zatem kady adres IP z pierwszymi 23 bitami takimi, jak w powyszej masce naley
do podsieci. Zatem zakres adresw obejmuje adresy od nastpujcego:
do nastpujcego:
Porty
Unikalne adresy IP s podstaw komunikacji midzy systemami w Internecie. Jednak
komunikacja tak naprawd nie odbywa si midzy komputerami, a midzy procesami
dziaajcymi w tym przypadku na rnych komputerach. Dostarczenie pakietu do
komputera to nie wszystko, pakiet musi zosta dostarczony do odpowiedniego procesu,
ktry bdzie wiedzia, co z nim zrobi.
Kademu procesowi komunikujcemu si w sieci nadawany jest unikalny numer portu
z przedziau od 1 do 65535. Kady pakiet przesyany na dany adres, w ktrym warto
w polu Destination Port (port docelowy) pasuje do portu danego procesu, zostanie dostarczony wanie do niego. Oczywiste jest, e kady pakiet przesany przez ten proces bdzie
mia w polu Source Port (port rdowy) okrelony ten sam numer portu.
Wczeniej wspomnielimy o rnicach midzy protokoami TCP i UDP. Protokoy te
rni si od siebie na tyle, e ten sam numer portu moe by wykorzystany przez dwa
Cz V Zwikszanie bezpieczestwa
452
rne procesy, jeli tylko jeden z nich wykorzystuje protok TCP, a drugi UDP.
Egzemplarze tego samego portu dla protokou TCP i dla protokou UDP s uwaane za
dwa rne porty. Pierwszy z nich okrelamy jako
, a drugi jako
.
Zgodnie z przyjt konwencj porty od 1 do 1024 s na stae przypisane okrelonym
usugom sieciowym, na przykad proces serwera SMTP bdzie wykorzystywa port
, serwer WWW udostpnia swoje usugi na porcie
, usugi DNS s dostpne
na portach oraz (wybr protokou uzaleniony jest od tego, jakie informacje s odczytywane z serwera DNS) itd.
453
###$(/###$*+,-&/00!
###$(&###$*+,-%//!
###$(&###$*+,-%%00!
###$(.0###$*+,-.(.!2
###$###$*+,-../!"
###$&###$*+,-(/!1
###$&&###$*+,-(&/!
###$&%###$*+,-(/!1
###$(###$*+,-').!
###$(###$*+,-0'!
###$(&###$*+,-%&0.!
###$(%###$*+,-/&)!
###$(.###$*+,-.%'!
###$(0###$*+,-./&!
##(#%)$(##(#%)$0.).,+34, 0'!
##(#%)$(##(#%)$0.),+34, 0'!
##(#%)$&%##&&#&%.$&&0%,+34, &/))'!#
0&##(#%)$&&##)&#(($%,+34, (%%)!
##(#%)$&&##//#)$0&%',+34, .%'!
##(#%)$&&##'/#)%$0,+34, %0!
##(#%)$&%###&&$&0,+34, .!#
##(#%)$&%###'$%0)0',+34, ''0!#
##(#%)$&%%#)#(#&/$.%)',+34, /0&!#
##(#%)$(&##(#%)$.'/,+34, %//!
##(#%)$&%###'($%.,+34, .'%0!#
##(#%)$&&()#0#''#&0$)&,+34, &)%/!
, jak i
(oraz inne adresy, ktre mogyby by przypisane
systemowi).
lsof
Kolejny program, lsof, wypisuje nawet wiksz ilo informacji. Wywoanie programu
lsof z nazw pliku spowoduje wypisanie nazwy procesu aktualnie wykorzystujcego
dany plik. Opcja & ogranicza wypisywane procesy do wykorzystujcych gniazda danego
typu. W celu uzyskania tych informacji naley wywoa polecenie )#*+ jako root:
5
6788- 9, +:, ,;6,<,-7 ,-8,
'%%.=.(.0&(&''+6"#"2#$
>
//# =#
"$/'0
,+34,
1'%%.%=.&0/+6*$5+,-
1'%%..=.&0/+6*$+,-
1'%%.'=.&0/%+6*$+,-
1'%%./=.&0/0+6*$+,-
1'%%.=.(.0&(%.+6"#"2#$5
>
/# =#
"$&0
,+34,
1'%%.=.(.0&(%0+6"#"2#$0.'.
>5#"2#$5
,+34,
Cz V Zwikszanie bezpieczestwa
454
#'.'0=.(%/(/0.+6"#"2#$
>
#
#$/(.
,+34,
#'.'0=.(%/(/0.+6"#"2#$
>
#
#$/(.
,+34,
#'.'0&=.(%/(/0.+6"#"2#$
>
#
#$/(.
,+34,
')..=.(%/'&/+6"#"2#$
>
# #$%'((
,+34,
W wyniku swojego dziaania program lsof wypisa jako plik kade z gniazd, nazw
procesu wykorzystujcego gniazdo, identyfikator tego procesu oraz jego waciciela.
Informacje te mog by bardzo uyteczne do okrelenia procesu inicjujcego poczenie
sieciowe, ktrego nie powinno by w systemie i ktrego pochodzenie jest trudne do
okrelenia.
ICMP
Protok ICMP (Internet Control Message Protocol) wykorzystuje pakiety w charakterze stosunkowo niewielkich komunikatw sucych do celw informacyjnych oraz
do zarzdzania sieci. Wiele z tych komunikatw pozwala rozezna sytuacj problemu
z funkcjonowaniem systemu lub usugi oraz jego przyczyny. Na przykad podczas wysania pakietu do nieistniejcego systemu, router danej podsieci odele pakiet ICMP typu
(Destination Unreachable) o kodzie (Host Unreachable).
Najlepiej znanym zastosowaniem protokou ICMP jest polecenie ,, wysyajce
pakiety ICMP typu (Echo Request), po ktrych oczekuje w odpowiedzi pakietw
typu
(Echo Reply).
UDP
Jak pamitamy, UDP (User Datagram Protocol) jest protokoem komunikacji bezpoczeniowej z rodziny protokow TCP/IP. Protok ten jest wykorzystywany zwykle
wtedy, gdy na drodze komunikacji nie oczekujemy wielu routerw (lub adnego). Innymi
sowy, UDP jest wykorzystywane do realizacji usug, takich jak NFS, ktre z reguy
s wykorzystywane w sieciach lokalnych.
Z powodu braku poczenia w komunikacji UDP nagwek pakietu jest stosunkowo
niewielki. Dla uproszczenia przyjmijmy, e nagwek ten zawiera jedynie adresy oraz
porty rdowe i docelowe pakietu.
TCP
TCP jest protokoem wykorzystujcym poczenia. Nagwek pakietu zawiera sporo
informacji wykorzystywanych w celu kontroli przekazania pakietu oraz w celu odtworzenia penych danych z poszczeglnych pakietw skadowych. Protok TCP zapewnia
odtworzenie pakietw w odpowiedniej kolejnoci nawet wtedy, gdy do odbiorcy docieray one w kolejnoci zaburzonej (dwa kolejne pakiety mog teoretycznie przemieszcza si rnymi trasami, wic docieranie ich do adresata w nieoryginalnej kolejnoci
455
nie jest niczym nadzwyczajnym). Protok TCP zapewnia rwnie integralno przesyanych danych. Ponadto ma on wbudowany mechanizm wysyania da ponownego
przesania na przykad uszkodzonych pakietw. Te procedury zapewniajce poprawno
transmisji s cech charakterystyczn protokow poczeniowych. Poczenia TCP
w rzeczywistoci rozpoczynaj si wymian pakietw zoonych z samych nagwkw
bez adnej zawartoci w celu nawizania komunikacji i ustalenia parametrw transmisji.
Poczenia TCP s wykorzystywane do komunikacji na dugich dystansach (w ujciu
sieciowym), na przykad przy usugach FTP oraz SSH.
TCP jest protokoem zachowujcym stan. W UDP dane s wysyane i tutaj koczy si
troska nadawcy. Protok ten nie ledzi stanu transmisji, poniewa przy transmisji bezpoczeniowej nie ma kontroli dostarczenia pakietu. W protokole TCP sprawdzany jest
stan przekazania kadego pakietu. Z tego powodu TCP musi pamita wysane pakiety,
aby potwierdzi sobie stan poprawnej wysyki po otrzymaniu potwierdzenia (lub wysa
pakiet ponownie w razie problemw).
Taka pami nazywana jest stanem. Po wysyce pakietu TCP znajduje si w stanie
oczekiwania na potwierdzenie (awaiting receipt). Po potwierdzeniu dotarcia pakietu
TCP przechodzi w stan nieoczekujcy potwierdzenia (not awaiting receipt). Oprcz
tych dwch podstawowych stanw TCP wykorzystuje inne, ktre pozwalaj na dokadn kontrol poprawnoci dostarczania danych.
Cz V Zwikszanie bezpieczestwa
456
Rozpoznania i zagroenia
Poznalimy podstawy funkcjonowania rodziny protokow TCP/IP, nadszed czas,
aby omwi niektre sposoby wykorzystania ich przez napastnikw. Oglnie mwic,
dziaania podejmowane przez napastnikw mona z grubsza podzieli na rozpoznania
i zagroenia.
Rozpoznanie (lub skanowanie) oznacza prb zdobycia wikszej iloci informacji na
temat systemu bez wyrzdzania mu krzywdy. W rzeczywistoci wikszo rozpozna
ma na celu zwrcenie na siebie jak najmniejszej uwagi, aby unikn wykrycia. Zagroeniem jest kada prba wyrzdzenia szkody lub przejcia kontroli nad systemem.
457
Cz V Zwikszanie bezpieczestwa
458
459
Projektowanie defensywnej
konfiguracji sieci
Przed rozpoczciem konfiguracji systemu NIDS naley pozna konfiguracj sieci.
W tym podrozdziale zapoznamy si z wybranymi strategiami wykorzystywanymi do
budowania stosunkowo bezpiecznych sieci.
Cz V Zwikszanie bezpieczestwa
460
Oczywicie zapora sieciowa nadal bdzie podatna na atak typu zalewu pakietami SYN,
lecz w tym przypadku dodatkowe zasoby musz by zabezpieczone tylko na zaporze,
a nie na wszystkich systemach z dostpem do Internetu.
888 lub
w notacji CIDR
Regua 1. Na interfejsie zewntrznym blokujemy wszystkie przychodzce
pakiety z adresami rdowymi z sieci
DMZ
Termin DMZ jest stosunkowo mao obrazowy. Dokadnie oznacza on stref zdemilitaryzowan. W naszym kontekcie oznacza wydzielon cz sieci midzy routerem
a zapor sieciow lub midzy dwoma zaporami. Koncepcja DMZ-tu polega na tym,
e wydzielona jest cz sieci, ktra musi by eksponowana w Internecie. Pozostaa
cz sieci jest kryta za dodatkow zapor i nie jest dostpna bezporednio przez systemy z Internetu. Caa komunikacja systemw z sieci prywatnej nastpuje za porednictwem jednego, dobrze zabezpieczonego systemu umieszczonego w DMZ.
Hosty bastionowe
Koncepcja hostw bastionowych wie si z koncepcj DMZ-tu. Gdy chcemy udostpni
bezpieczny serwer WWW, jedn ze strategii jest skonfigurowanie serwera udostpniajcego wycznie usug WWW. W serwer ten inwestujemy sporo czasu i wysiku, konfigurujc go w bezpieczny sposb za pomoc at i technik wzmacniajcych (hardening). Ten
serwer staje si hostem bastionowym WWW i najprawdopodobniej wylduje w DMZ.
Hosty bastionowe s niez strategi nawet wtedy, gdy nie wykorzystuje si konfiguracji typu DMZ.
461
Dedykowane serwery
Wykorzystanie dedykowanych serwerw stanowi strategi administracyjn i strategi
bezpieczestwa. Koncepcja polega na wiadczeniu pojedynczych usug na kadym
z serwerw tak, aby serwer FTP udostpnia jedynie usugi FTP, serwer SSH wycznie
pozwala na zalogowanie si za pomoc SSH, serwer pocztowy uruchamia jedynie
serwer SMTP itd.
Z punktu widzenia administracji w przypadku koniecznoci zaoenia poprawki na
serwer FTP nie ma problemu z okreleniem komputerw, na ktrych trzeba to zrobi.
Nie ma rwnie obaw o efekty uboczne dziaania takiej poprawki na przykad na nasz
serwer HTTP.
Z punktu widzenia bezpieczestwa mamy lepszy wgld w sytuacj i wiemy, ktre serwery mog by podatne na bdy typowe dla serwerw FTP. Co wicej, wiemy, ktre
z serwerw z ca pewnoci nie s podatne na tego typu bdy, poniewa na nich nie
s w ogle zainstalowane adne programy wykorzystujce protok FTP. Mona rwnie skonfigurowa router lub zapor sieciow w taki sposb, e nie bdzie przepuszcza
ruchu dotyczcego nieobsugiwanych usug do danych adresw docelowych. Innymi
sowy, dla IP nalecego do serwera poczty nie ma sensu przepuszczanie pakietw kierowanych na port 21 (FTP).
Oczywicie blokowanie portw, ktre i tak nie s otwarte, wydaje si nieco przesadne
i brzmi jak strategia jednoczesnego uywania paska i szelek. W tym dziwnym wiecie
trudno okreli, co to jest nadmiar zabezpiecze. Z drugiej strony, czy lepiej wykaza
za duo ostronoci, czy za mao?
Po okreleniu strategii obronnych nadszed czas na instalacj alarmu antywamaniowego na wypadek, gdyby mimo caych zabiegw zabezpieczajcych komu udao si
przedosta przez bariery.
Projektowanie strategii
wykrywania wama
Serwery przypisalimy ich usugom, bastiony s maksymalnie wzmocnione, a reguy
zapr sieciowych s zaaplikowane. Nadszed czas na skonfigurowanie systemu NIDS.
Przypomnijmy sobie twierdzenia z podrozdziau Okrelenie zakresu odpowiedzialnoci.
Zadajmy sobie ponownie to pytanie. Za co jestem odpowiedzialny? Czy jest to podsie,
konkretny serwer czy tylko okrelona usuga na konkretnym porcie w wybranym serwerze naley skupi si dokadnie na tym, co mamy chroni.
System NIDS monitorujcy serwer moe by zainstalowany na tym serwerze lub na
innej stacji pod warunkiem, e cay ruch kierowany do serwera jest widziany z tej stacji.
Umieszczenie systemu NIDS na tym samym komputerze, ktry ma by monitorowany,
jest najprostszym podejciem i zapewnia dostp do odpowiedniego ruchu sieciowego.
Cz V Zwikszanie bezpieczestwa
462
Ustalanie regu
W tym podrozdziale zajmiemy si nastpujcymi tematami.
Detektory wama nie wykrywaj wama.
Pozytywne specyfikacje s ze.
Negatywne specyfikacje nie s lepsze.
Heurystyczne wykrywanie anomalii wity Graal.
463
Pozytywne specyfikacje s ze
Wiemy, e niektre pakiety oznaczaj kopoty. Kady pakiet z jednoczenie ustawionymi znacznikami SYN i FIN oznacza ze wieci. Jeli pakiet SYN zawiera dane, co
si popsuo w sieci. Pakiety SSH z doklejonym na kocu tekstem /bin/sh lub znanymi
sekwencjami kodw uruchamiajcych powok (shellcode) oznaczaj prb wywoania
przepenienia bufora (z drugiej strony istnieje pewne drobne prawdopodobiestwo, e
zakodowane dane bd miay posta przypominajc shellcode).
Pozytywne specyfikacje dziaaj tak. Gdy bierzemy udzia w okazaniu i przygldamy
si szeregowi osb w celu wybrania osoby podejrzanej, przypominamy sobie plakaty
osb ciganych. Kto, kto jest w caym kraju cigany za przestpstwa, jest podejrzany
z definicji.
Gwn wad pozytywnych specyfikacji jest to, e najpierw musz by utworzone.
A wic jeli napastnik uyje nieznanego wczeniej ataku lub nawet wystarczajco
zmodyfikuje typowy atak, nie zostanie wykryty przez IDS.
oprcz serwera poczty? Jeli tak, to ruch na tym porcie na innych maszynach
oznacza kopoty.
Czy zachcasz uytkownikw do wymiany pirackiego oprogramowania
(tzw. warez) i obrotu plikami MP3 na serwerze NFS? Nie? Skd zatem wzi
si ruch midzy tym serwerem i portem na irc.copyright.violation.net?
Czy w organizacji wykorzystuje si wycznie Linuksa? Skd zatem tyle
Cz V Zwikszanie bezpieczestwa
464
Opis i historia
Snort pojawi si na scenie sieciowej podczas prelekcji na konferencji LISA (Large
Installation System Administration) w listopadzie 1999 roku. Marty Roesch odpowiedzia na zapotrzebowanie, tworzc system NIDS nieco bardziej funkcjonalny od programu tcpdump, lecz mniejszy i taszy od wszystkich innych. Od tej pory Snort rozwija
si systematycznie bez zwikszania komplikacji instalacji, konfiguracji i uytkowania.
465
Cho Snort posiada wiele opcji, mona uywa go w najprostszej konfiguracji, wczeniej przez kilka minut trzeba poczyta doczony do niego plik README. Marty zaoy firm o nazwie Sourcefire, ktra zajmuje si rozwojem i sprzeda specjalizowanych dodatkw do systemu Snort. Cho wielu z nas moe wykorzystywa Snort w takiej
postaci, w jakiej jest dostpny, to wielkie organizacje maj zupenie inne potrzeby.
Komercyjne firmy, jak jest Sourcefire, s w stanie takie potrzeby zrealizowa.
Cz V Zwikszanie bezpieczestwa
466
Opcja #, ustawia tre komunikatu zapisywanego przy dopasowaniu reguy. Komunikat zostanie zapisany do dziennika wraz ze znacznikiem czasu (time stamp), adresem
i portem rdowym i docelowym oraz z innymi informacjami na temat pakietu.
Opcja +)$,# definiuje znaczniki, ktre musi posiada pakiet, aby wywoa ostrzeenie.
W tym przypadku dopasowany zostanie pakiet zawierajcy znaczniki -! i 3!.
Zwrmy uwag na zmienne =?@A <! oraz = > 2!.<! . Snort, podobnie jak wikszo innych systemw NIDS, najlepiej dziaa, gdy jest dopasowany do rodowiska.
Ustawienie tych zmiennych w pliku konfiguracyjnym systemu Snort pozwoli wykrywa
ataki na systemy w sieci lokalnej i unikn faszywych alarmw.
Kolejny przykad:
@,A+,-?-,+ 2
>@478,?-,+ 2"$B4,67 ,=1
BC
$BL///)
555555L!!BC
Opcja * w tej regule wyszukuje dane w pakiecie pasujce do cigu znakw
w argumencie. Liczby pomidzy liniami pionowymi (B) okrelaj cig liczb szesnastkowych, kada para cyfr okrela jeden bajt. Fragment /bin/sh stanowi ju zwyky tekst.
Przedstawiona regua wyszukuje w danych znany shellcode uywany do uzyskania
uprawnie konta root w systemie. Ta regua dopasuje kady pakiet IP (zarwno protokou TCP, jak i UDP).
467
Nastpnie moemy wyprbowa regu wykorzystujc konkretny adres w sieci. Zamy, e serwer FTP dziaa w naszej sieci tylko pod adresem
. Kady ruch
FTP na inny adres jest uwaany za podejrzany, wic dodajemy nastpujc regu:
2 2
>M#&#.#0&"$BIN 2 O+BC
W tym momencie docenie ju zalety prostoty. Serwer dedykowany umoliwia zastosowanie znacznie prostszych regu wykrywania atakw!
Podsumowanie
W niniejszym rozdziale omwilimy systemy NIDS jako integraln cz strategii
obronnej w sieci. Przed opisaniem zagadnie systemw NIDS rozpatrzylimy uyteczne strategie sieciowe, takie jak wykorzystanie dedykowanych serwerw, konfiguracj zapr sieciowych i uycie dedykowanych hostw bastionowych w podsieci DMZ.
Nastpnie omwilimy systemy NIDS w wietle projektu sieci i podanej lokalizacji
tego systemu. Zarwno zakres dziaania, jak i lokalizacja systemu NIDS ma wpyw
na reguy monitorowania ruchu sieciowego zdefiniowane w tym systemie. Nie uda si
wykorzysta wszystkich zalet stosowania systemu NIDS, zapory sieciowej i innego
oprogramowania wspomagajcego bezpieczestwo, jeli bdziemy je traktowa jak
magiczne pudeka czarodziejskim sposobem rozwizujce wszystkie problemy. Najlepsze wyniki dziaania mechanizmw obronnych uzyskamy wtedy, gdy kady z jego
elementw bdzie uzupenia i wspomaga dziaanie drugiego, a nad wszystkim bdzie
panowa administrator.
468
Cz V Zwikszanie bezpieczestwa
Nastpnie opisalimy zagadnienia projektowania strategii bezpieczestwa uwzgldniajcej wykorzystanie systemu NIDS. Czci planu byo wprowadzenie do systemu Snort
i pokazanie zagroe w sieci, ktre czyhaj na nasze systemy kadego dnia. Innym
celem byo przedstawienie strategii bezpieczestwa jako wsppracujcych elementw
obejmujcych kontrol dostpu do sieci, dedykowane serwery i system NIDS. Naszym
celem byo rwnie zaciekawienie czytelnika, poniewa jestemy pewni, e w tej chwili
konfigurujesz swj system NIDS, zamiast czyta te sowa. Owocnej parcy ze Snortem!