Защита от сканирования портов linux

DDOS & recent [www.linux.org.ru]
Spirit:». таблица модуля recent (/proc/net/ipt_recent/*) имеет ограниченный объём, если она меньше кол-ва ломящихся клиентов — новые записи будут вытеснять старые (сам тестил недавно), и правило с DROP не сработает.
Если в правиле с DROP есть —hitcount N, то надо чтоб запись для заданного src IP сохранилась в /proc/net/ipt_recent/suxx как минимум до тех пор, пока этот IP не обратится N раз втечение —seconds T. Если же клиентов много — записи будут вытесняться, и последующие обращения одного и того же IP модуль recent (не найдя в таблице) будет считать как первые, из-за этого —hitcount N не сработает, и клиент не будет запрещён. Это во-первых, во-вторых, с точки зрения работоспособности сайта (когда правильные клиенты будут иметь возможность нормально с ним работать) нужно учитывать динамику syn пакетов правильных клиентов: если сайт содержит картинки/flash/javascript/css, то при получении клиентом html-страницы сразу последует серия запросов её составляющих (запросы будут идти рывками — много, тишина, много, тишина, . ), что может вызвать срабатывание правила с seconds и hitcount. Поэтому для отлова досеров нужно выставлять время побольше, например, не 3 запроса за 300с, а 30 запросов за 3000с, что усугубляет проблему с вытеснением записей (да и с эффективностью такого firewall-а). «

Iptables против ssh bruteforce [www.linux.org.ru]
iptables -A INPUT -p tcp —syn —dport 22 -m recent —name radiator —set
iptables -A INPUT -p tcp —syn —dport 22 -m recent —name radiator —update —seconds 60 —hitcount 3 -j DROP
(нужна поддержка recent match в ядре)

По поводу ограничения параллельных соединений с одним хостом — connlimit. Если прежде требовалось установить ракет patch-o-matic-ng с последующей пересборкой ядра, то теперь в make menuconfig
Network support -> Network options -> Network packet filtering framework(Netfilter) -> Core Netfilter Configuration
Netfilter connection tracking support
«connlimit» match support
(This match allow you to match against the number of || connections to a server per client IP address or address block).
И обязательно
Network packet filtering framework(Netfilter) -> IP: NetFilter Configuration
IPv4 connection tracking support (required for NAT)
(Connection tracking keeps a record of what packets have passed through your machine, in order to figure out how they are related into connections).
При этом iptables требуется также свежий. У меня все это работает в связке Linux kernel-2.6.27 + iptables-1.4.2 (старый iptables просто не собирается при таком раскладе, а без опции » IPv4 connection tracking support (required for NAT)» не работают правила, использующие connlimit (при этом ошибка «ip_tables: connlimitmatch: invalid size 32 != 16»)).

• Ipchains — руководство по настройке
• Ipchains — еще одно руководство
• Ipchains-HOWTO
• Ipchains — Статья «Лучшая защита. За стеной ipchains»
• Ipchains & Iptables — сравнение

• Безопасность. Firewall Builder 2.0.6 Поддерживает iptables, ipfilter, ipfw, OpenBSD pf и Cisco PIX. [[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #368]
• Firewall CheckPoint — обсуждение
• Firewall
• Книга «Firewalls and Internet Security»
• Shorewall [Bugtraq]
• Astaro [Bugtraq]
• FWM [Bugtraq]
• DFW (FWM clone with more options)
• Firewall для приложений

5.3 Детекторы обнаружения вторжения — IDS (могут проверять входящий трафик, например, на www-сервер на наличие исполняемых модулей (которыеиспользуются для buffer overflow).

• Intrusion Detection/Prevention Systems — описание систем обнаружения/предотвращения вторжения с указанием соответствующих программ. [focus-ids@securityfocus.com]
• ID FAQ — What is nmap and what can it do?
• Подробная документация по IDS [Bugtraq]
• NIDS Snort http://www.snort.org
• Система обнаружения вторжений на базе IDS Snort [www.linux.org.ru]
• Автоматическое обновление правил в snort.conf [www.linux.org.ru]
• Другой скрипт для snort.conf [www.linux.org.ru]
• Устанавливаем IDS( краткий обзор детекторов, а самое главное, установка и настройка SNORT )
• Snortsam [forum.opennet.ru]
• Sguil — graphical interface to Snort
• Snort Install Manual by Patrick Harper on 23/09/03 [Bugtraq]
• A false positive generator for snort [http://www.securityfocus.com/archive/96/380724/2004-11-07/2004-11-13/0]
• Wkr :: ids alert verification [Bugtraq]
• LIDS http://www.linuxrsp.ru/artic/lids.html
  LIDS http://www.linuxrsp.ru/artic/lids8.html
  LIDS 1.2.2rc2 for kernel 2.4.27 has been released. http://www.lids.org
• Prelude-NIDS[forum.opennet.ru]
• PureSecure[forum.opennet.ru]
• Snortsam[forum.opennet.ru]
• Новый Intrusion Detection ToolkitSIDTk 1.0Краткое описание здесь.[Bugtraq]
• IDS против Nmap и Queso (by Toby Miller) (на рус. яз.) [www.bezpeka.ru]
• Symantec Host IDS
• Hogwash — вместо закрытия портов подобно традиционной системе сетевой защиты, Hogwash понижает или изменяет определенные пакеты, основанные на соответствии сигнатуры (основана на Snort )
• SmashguardBuffer Overflow Prevention [Bugtraq]
• Статья «Как ввести в заблуждение IDS, отслеживающую http-трафик.» [Bugtraq]
• Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection (1998) Скачать документ
• Penta Security System’s Siren [BugTraq]
• Cтатья : IDS Snort [ufo.gnu.kz]
• TIGER — The Unix security audit and intrusion detection tool
• The Snort FAQ (на рус.яз.)
• OSSEC-HIDS — хостовая система обнаружения атак [Источник]
• Расширенная установка OSSEC-HIDS
• Развернутый ответ на вопрос о детекторах сканирования

5.3.1 Проекты, разработанные для представления данных, сохраненных Snort’ом, в понятном виде:

• ACID [bugtraq@securityfocus.com]
• SnortSnarf: [bugtraq@securityfocus.com]
• Sguil [bugtraq@securityfocus.com]
• IDS test methodology [Bugtraq]
• OSEC is a framework for evaluating the security functionality of networked products. [Bugtraq]
• Experiences Benchmarking Intrusion Detection Systems by Marcus Ranum [Bugtraq]
• Аудит Брандмауэров и Средств обнаружения вторжений (IDS). [comp.soft.linux.linuxbegin: Выпуск #1 (#63)]
• Fragroute -IDS тест с изменением таймаутов и использованием динамических параметров; тестирование TCP/IP scrubbing (norm, OpenBSD pf); тестовое сканирование firewall инспекции; симулирует потерю данных, переполнение ими и односторонний таймаут; уклонение от OS fingerprinting; TCP Daytona и TCP MSS clamping.

• Списки контроля доступа
• ACL для портов и сокетов
• POSIX ACLs in Linux [ [Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #328]

• Chroot для bind — настройка
• Chroot для sendmail
• Chroot для sendmail
• Chrooting daemons and system processes HOWTO
• chroot-login-HOWTO
• Автор: -=Jul=- Chroot-им SSH (Debian Sarge (Debian 3.1),) [www.xakep.ru]
• Misha Volodko Помещение SSH пользователей в изолированное окружение. (Debian Etch и Suse Ent. 9)
• Vsftpd. Поместить пользователя в chroot можно с.п. опции конфига. Если нужен доступ наружу из chroot, примонтируй каталог вроде: mount -o bind /home/masha /home/vasya/masha» [www.linux.org.ru/forum/admin]

• Сергей Супрунов FreeBSD jail: зона строгого режима [Журнал «Системный администратор, 11.2006г. «]

5.8 Cканеры портов, сканирование, снифферы

• Nmap
• Nmap
• Cетевой сканер Nmap — руководство пользователя
• A practical approach for defeating Nmap OS-Fingerprinting
• Чтобы сканер nmap не выдавал время работы сервера [www.opennet.ru]
• Nmap: «Too many fingerprints match this host to give specific OS details»: David Fifield: » . That usually means that you did not find both and open port and a closed port on the host. Sometimes a host is too heavily filtered to get a good OS fingerprint. You can try scanning all ports with the -p 1-65535 option, and adding -sU to scan UDP ports too. However that will take a long time, and if the host does not have open or closed ports at all it won’t help. «
• Remote OS detection via TCP/IP Stack FingerPrinting
• Статья «Тришкин кафтан» /Безопасность/Рубрики/Софтерра
• Advanced scanning
• Linux 2.2.3 patch to prevent FIN/NULL/XMAS scans
• TCP ports stealth scanning
• Сканирование сетей
• Сканер Retina
• Как защититься от определения ОС по tcp отпечаткам [www.linux.org.ru]
• Нужна команда, которая проскfнировала бы мою локальную сеть и вывела мне имя компа, его IP и MAC адрес: nmap -sP 192.168.2.0/23 | sed ‘/Host/d;s/.*Address://;s/.*for/\n/;s/^ //g'[www.opennet.ru]
  Другие ответы: tcpdump, netscan, arp-scan и arpdig.
  Netscan выдаст такое:
  IP address NetBIOS Name Server User MAC address
  ——————————————————————————
  192.168.10.10 UNIT010 48-5b-39-8c-88-b1
  192.168.10.18 UNIT001 90-e6-ba-2d-1c-f0
• СнифферIris
• Настройка Iris
• Nessus
• Cтатья «NESSUS — современный анализ безопасности, методы и типы сканирования»
• Nessus Анонсирован выход очередной версии популярного сканера уязвимостей Nessus 2.0. Из нововведений — переписанный с нуля интерпретатор встроенного языка NASL, а также расширения самого языка; более интеллектуальный планировщик подключаемых модулей; уменьшение объема используемой памяти; обновленный сканер портов и т.п.
• Satan
• Saint
• Oнлайновый сканер безопасности (используется сканер Nessus и сканер портов nmap)
• Xspider — проверка windows-систем на наличие exploitable vulnerabilities
• Hardening the TCP/IP stack to SYN attacks [LinuxBegin]
• Tcpdump
• Средства перехвата сетевого трафика
• Как выделить файлы из перехваченной tcpdump-ом сессии. Утилита chaosreader.
• Tcpick is a textmode sniffer libpcap-based that can track, reassemble and reorder tcp streams. Tcpick is able to save the captured flows in different files or displays them in the terminal, and so it is useful to sniff files that are transmitted via ftp or http.
• Сканирование портов: за и против [ BugTraq: Обозрение #145, 03.10.2003 ]
• Тришкин кафтан (обзор сканеров от 15.01.2002)
• Host Vulnerability Scanners
• Chaosreader is a freeware tool that can trace HTTP sessions from a packet log, displaying which bytes are plaintext. A freeware tool to trace TCP/UDP/. sessions and fetch application data from snoop or tcpdump logs [Bugtarq]
• Ethereal
• Sniffer: * View and log the following user space protocols FTP, POP3, HTTP [http://www.linux.org.ru/view-message.jsp?msgid=1663159]
• Its not open source but it is FREE, its limited to 1gb captures but sniff your egress traffic and you will spot outbound Botnet connections very quickly, you may also see some other surprising traffic [ ,25 Фев 2009 10:47:00 , «Chris Brown» ]
• I use rules from emerging threats on my Snort sensors. I use also honeypots and darknets to intent find another bots on my network. In past post some guy suggets use BotHunter, and the last moth I implement on two sensors, but at today Bothunter cant create any profile of some bot, I mean bothunter dont find ny bot on my network :s to me dont work very well. For example I also use Argus to find more bots (you can check this link, its very interesting ) [ ,25 Фев 2009 ]
• I use the Netwitness NextGen platform, www.netwitness.com this provides full packet capture for forensic analysis and incident response. Excellent for detecting Botnets and encrypted C&C channels especially when combined with a threat feed. www.netwitness.com [ 23 Фев 2009 ]
• «Утилиту Netcat часто называют эдаким «Швейцарским армейским ножом». сканирование портов, передачу файлов, прослушивание портов и она может быть использована как бэкдор. «: Полезные Unix утилиты. Netcat. [Источник]
• Оригинал предыд. статьи — A Unix Utility You Should Know About: Netcat (Feb 17,2009)

5.8A Обнаружение сканирования, атак на отказ в обслуживании, снифферов

• PortSentry — детектор сканирования http://www.linuxrsp.ru/artic/portsentry.html
• Обнаружение атак своими силами
• PSAD (в отличие от PortSentry не требует изменений в политике iptables) [bugtraq@securityfocus.com]
• Glflow -DoS-детектор[ [Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #342]
• Port Scan Attack Detector[[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #341]
• Port Scan Attack Detector[[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #401]
• psad, или Port Scan Attack Detector — коллекция из трёх системных демонов, работающих с кодом Linux Netfilter для определения попыток сканирования портов и подозрительного трафика. «Пороги чувствительности» всей связки подвластны тонкой настройке (хотя и без того, достаточно чувствительны по умолчанию), а поведение при обнаружении угрозы безопасности не ограничивается обычными и почтовыми сообщениями, но и позволяет автоматически блокировать адреса раздражителей, кроме того, psad включает массу образцов сигнатур для определения угрозы, включенных в Snort и оснащается алгоритмом, используемым p0f. Для удобства kmsgsd.conf, psadwatchd.conf, alert.conf и fw_search.conf убраны, и все настройки с новой версии сосредоточены в одном файле /etc/psad/psad.conf. [[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #417]
• FAQ: Системы обнаружения атак на сетевом уровне
• Обнаружение пакетных снифферов -3 [Opennet.ru]
• Обнаружение пакетных снифферов -1 [LinuxBegin]
• Обнаружение пакетных снифферов -2 [Opennet.ru]
• Обнаружение пакетных снифферов
• Distack — is a framework for local and distributed attack detection and traffic analysis. It can run on live interfaces or traces files, as well as in simulation environments. Therefore it provides easy ways to develop attack detection mechanisms and evaluate them on a large-scale in simulated networks.
  Whether you want to perform traffic analysis, attack detection or just look into the traffic that runs over your network, Distack gives you a complete environment to implement and evaluate your mechanisms.
  To get a quick overview on what Distack does, have a look at the publications covering Distack and current presentations:
  http://doc.tm.uka.de/2008/Mayer_SECURWARE08.pdf
  http://doc.tm.uka.de/2008/MaGaZit_Eurecom2008.pdf
  https://projekte.tm.uka.de/trac/Distack/wiki/DistackPublications
  We are looking forward to see the community using the Distack Framework and would be happy to receive feedback from you! Cooperation in development is also highly appreciated.[focus-ids@securityfocus.com ]

5.8B Определение типа операционной системы хоста, инициирующего соединение с вами.

• P0f v2 is a versatile passive OS fingerprinting tool. P0f can identify the operating system on:
  — machines that connect to your box (SYN mode),
  — machines you connect to (SYN+ACK mode),
  — machine you cannot connect to (RST+ mode),
  — machines whose communications you can observe.
  P0f can also do many other tricks, and can detect or measure the following:
  — firewall presence, NAT use (useful for policy enforcement),
  — existence of a load balancer setup,
  — the distance to the remote system and its uptime,
  — other guy’s network hookup (DSL, OC3, avian carriers) and his ISP.
  Обсуждение.

• LinuxRSP.Ru. Все о Linux по-русски. Stunnel: Шифрование трафика
• Ерижоков А.А.Stunnel

• Использование CFS, криптографической файловой системы.
• Криптография во FreeBSD и не только.
• Защита ваших данных. PGP & Linux.[LinuxRSP.ru]
• В лесу далеком клад зарыт. Как спрятать файлы.[LinuxRSP.ru]
• Открытая криптография. Использование SSH.[LinuxRSP.ru]
• Открытая криптография. Конфигурирование SSH[LinuxRSP.ru]
• Программы шифрования по стандарту ГОСТ для Windows и Linux
• Шифрование разделов
• Шифрование дисков ( к losetup нужен патч)
• Выбор алгоритма шифрования
• Нужно чтобы директория расшифровывалась после правильного ввода имени/пароля пользователя и успешной авторизации.

5.11 Средства, позволяющие проверить целостность системы.

• Tripwire
• Bog BOS: Tripwire: принципы работы, установка и настройка
• Tripwire
• Tripwire
• «The Design and Implementation of TripWire: A File System Integrity Checker»
• Tripwire
• Sxid
• В.А.Костромин Утилита lsof — инструмент администратора []
• Полезные Unix утилиты. lsof.
• Оригинал предыд. статьи — A Unix Utility You Should Know About: lsof
• Linux Security Protection System LinSec.Краткое описание
• Новый Intrusion Detection Toolkit SIDTk 1.0Краткое описание здесь.[Bugtraq]
• File Integrity Checkers [Bugtraq]
• Osiris (По отзыву из Bugtraq Osiris позволяет следить за целостностью файлов всех систем в локальной сети с центального сервера) [Bugtraq]
• Sentinel, Fast File Integrity Checker [BugTraq]
• Verasity is a System Integrity Assessment (SIA) tool [BugTraq]
• NetScreen
• FICC — is designed to aid system administrators that need to monitor and maintain multiple Tripwire installations. FICC maintains a database (in a simple flat-file manner) of the checksums of the three key Tripwire files (the configuration file, the Tripwire executable, and the Tripwire database) for all of the hosts that your monitoring.
• Samhain
• Rechecker [[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #362]

• Протоколирование (см. Сетевое протоколирование) [www.linuxshop.ru]
• Cистемное протоколирование в Linux (см. Протоколирование в сети)[ linux.yaroslavl.ru]
• Демон syslogd (ведение лог-файлов в UNIX-подобных системах) [Дом. стр. С.Лапшанского]
• Пример использования фильтра в syslog.conf [www.opennet.ru]
• Как на лог-сервере можно раскидать логи по разным директориям в зависимости от того, откуда они пришли. [www.linux.org.ru]
• Syslog_ng
• Фильтр сообщений в syslog-ng
• Builing secure server with Linux (работа с логами)
• Чтобы syslog сообщения, приходящие с машин с разными IP записывались в разные папки или в разные файлы.
• Настройка syslog [www.opennet.ru]
• In order to cut down your time of going through textual logs, I recommend using some kind of visualization to analyze the log data that you capture. There are a number of people, especially ones part of the Honeynet Alliance that have done bot net visualization work. I am working with some of them to come up with some better methods also. To get some ideas, visit SecViz: [ 23 Фев 2009 ]
• rsyslog

• Сколько нужно хранить логи

5.14.1 Анализаторы логов
• To analyse the logs (in real-time, with email notification, customized rules, log in html, etc), you can use the os-hids [Bugtraq]
• Use prelude-lml to analyze log files[Bugtraq]]
• Stargazer — авторизация и учет в домашних сетях [Forum.Opennet.ru ]
• NETAMS -«. бесплатный, удобный, простой и умеет блокировать интернет-юзерам при превышении лимита, разве что не умеет считать деньги [отзыв с forum.opennet.ru]
• Управление log-файлами [[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #349]
• The System Log: Logging News and Information
  5.14.2 Разбираем логи вручную
  • Если вы обнаружили входящий трафик на клиентские порты вашего хоста с 80 порта другого хоста . [Bugtraq]
  • Если команда netstat выдает сообщение:»warning, got bogus unix (или tcp) line», то это означает, что unix-овый сокет был изменен во время просмотра (во время работы netstat)
  • Если ядро выдает на консоль и в /var/log/dmesg сообщение kernel: sending pkt_too_big (len[1500] pmtu[1476]) to self Еще один ответ.
  • Если ядро выдает на консоль и в /var/log/dmesg сообщение > UDP: short packet: 0/42. Эта проблема свойственна ядрам 2.4.X Еще один ответ: (Fix up potential oops in udp short packet logging | doesn’t affect mainline.)
  • Как побороть в /var/og/messages сообщение: kernel: eth0: Transmit error, Tx status register 82.
    kernel: Probably a duplex mismatch. See Documentation/networking/vortex.txt
    kernel: Probably a duplex mismatch. See Documentation/networking/vortex.txt [www.linux.org.ru]
  • Если в логах www-сервера появляются записи вида GET /c/winnt/system32/cmd.exe?/c+dir или «GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX», то загляните сюда.
  • Сообщение в /var/log/messages: hostname inetd[123]: pop-3/tcp server failing(looping). Service terminated.
  • Сообщения «POST, /_vti_bin/_vti_aut/fp30reg.dll» и «SEARCH, /ђЙЙЙЙЙЙЙЙЙЙЙ» в логах www-сервера.
  • Сообщение в /var/log/messages:
    ip_local_deliver: bad skb: PRE_ROUTING LOCAL_IN LOCAL_OUT POST_ROUTING
    skb: pf=2 (unowned) dev=lo len=120
  • Сообщение в /var/log/messages: process `named’ is using obsolete setsockopt SO_BSDCOMPAT
  • Сообщение в /var/log/messages kernel: 1.2.3.4 sent an invalid ICMP error to broadcast
  • Сообщения named, появляющиеся после апгрейда ядра:
    20-Dec-2005 13:33:26.763 general: error: socket.c:1115: unexpected error:
    20-Dec-2005 13:33:26.764 general: error: internal_send: 62.76.90.40#1040: Invalid argument
    20-Dec-2005 13:33:26.764 client: warning: client 62.76.90.40#1040: error sending response: invalid file
  • В /var/log/dmesg или messages сообщение: TCP: Treason uncloaked! Peer 66.198.39.22:30288/80 shrinks window 2832517974:2832522058. Repaired. (В каждом пакете, подтверждающем получение пакета данных (пакет ACK), получатель объявляет количество байт, которыми он может оперировать к настоящему времени. Это позволяет передатчику понять сколько данных нужно послать. Перехватывая пакеты ACK и уменьшая размер объявленного окна, передатчик обманывается, думая что, получатель имеет меньшие возможности, чем на самом деле. Передатчик затем старается уменьшить свою скорость передачи.) Это способ управления пропускной способностью. [ www.opennet.ru ]
  • 5.14.3 Ротация логов
    • Ротация журналов

    5.15 Ipsysctl на страже безопасности

    • Ipsysctl tutorial 1.0.4(как можно увеличить производительност и повысить уровень безопасности, изменяя настройки ядра «на лету») [Bugtraq]
    • Перевод «Ipsysctl tutorial 1.0.4» Андрея Киселева [www.opennet.ru]
    • Защищаем TCP/IP стек от SYN DoS атак
    • Hardening the TCP/IP stack to SYN attacks
    • http://www.securitylab.ru/39331.html [www.securitylab.ru]
    • 13.2. Obscure settings
    • Оптимизация TCP/IP стека в Linux для нагруженного сервера. [www.opennet.ru]
    • Понятие Rootkit
    • Rootcheck Project
    • Rootkit Hunter 1.1.9 Этот охотник на rootkit’ы сканирует систему на предмет обнаружения известных и неизвестных rootkits, backdoors и sniffers. Пакет содержит один shell-скрипт, небольшие текстовые базы данных и модули Perl. Должен работать практически на любой UNIX-подобной системе. [[Linux и BSD]: новости, статьи, свежий софт от LinuxRSP.RU #353]
    • Проверка на наличие известных rootkits
    • В помощь сисадмину: Защита систем семейства *nix от руткитов (rootkit) [www.linux.org.ru]

    5.17 Мониторы сетевой безопасности

    • Sguil’s — main component is an intuiative GUI that provides the analyst with realtime events from snort/barnyard. It also includes other components which faciliate the practice of Network Security Monitoring and event driven analysis of IDS alerts. Краткое описание.
    • Big Brother monitors System and Network-delivered services for availability. Документация, скрипты, tools — здесь [Bugtraq]

    5.19 Организация борьбы с подменой ip-адресов и средства, отслеживающие «левые» IP-адреса и MAC-адреса в локальной сети

    • IP Sentinel, Local Network Watch Guard [Bugtraq]
    • Как бороться со сменой IP адресов клиентами локальной сети?
    • Detecting Wireless LAN MAC Address Spoofing(a white paper that demonstrates some techniques that can be used for detecting spoofed MAC addresses on 802.11 networks; in this paper I identify tactics that can be used to identify the use of the Wellenreiter, FakeAP and AirJack tools through anomaly analysis)
    • Организация защиты от подмены IP адреса [forum.opennet.ru]
    • Vlad PinzheninБезопасность сети (защита от подмены адресов) на основе 802.1х и SFlow [www.opennet.ru]
    • Как привязать IP к MAC-адресу сетевой карты
    • MAC & IP
    • Защита от смены IP [forum.opennet.ru]
    • Squid и ловля гулящих ip [www.linux.org.ru]
    • Запрет подмены IP?

    5.20 Настройка конфигов и безопасность

    • О пользе настройки /etc/security/limits.conf или Hello может убить систему [ LRN ]
    • Как в syslog организовать прохождение логов через программу-фильтр [forum.opennet.ru]

    5.21 Программно-аппаратные комплексы

    WatchDog [ LinuxRSP.Ru: новости, статьи, софт. Linux и Open Source #294]
    Мини-дистрибутив Linux для восстановления испорченных систем [LinuxRSP.Ru: новости, статьи, софт. Linux и Open Source #320]
    • http://www.openssl.org/news/
    • 1. Архив сообщений openssl-users
    • 2. mailing.openssl.users: архив сообщений openssl-users
    • 3. openssl-users Users list for the OpenSSL Project
    • OpenSSH для Linux
    • DenyHosts is a script intended to be run by Linux system administrators to help thwart ssh server attacks.
    • Autoblocking many ssh failed logins from the same IP.
    • Sshblack — Automatically BLACKLIST SSH attackers
    • A cure for the comman ssh login attack
    • How to deter SSH brute force login attacks with iptables
    • /usr/ports/security/bruteforceblocker/ (ищите в дистрибутиве)
    • Скрипт, блокирующий ip-переборщик
    • Preventing SSH Dictionary Attacks With DenyHosts
    • Аутентификация в ssh через pam
    • Iptables против ssh bruteforce [www.linux.org.ru]
      iptables -A INPUT -p tcp —syn —dport 22 -m recent —name radiator —set
      iptables -A INPUT -p tcp —syn —dport 22 -m recent —name radiator —update —seconds 60 —hitcount 3 -j DROP
      (нужна поддержка recent match в ядре)
    • Chroot ssh
    • Юзер трёт

    /.bash_history после ssh-сессии

  • Как настроить доступ по SSH на базе секретных ключей без ввода пароля. [www.linux.org.ru]
  • SSH без пароля. IN WORK . [www.linux.org.ru]
  • Установить пустой пароль ss
  • 3 неудачные попытки логина и бан на 5 мин.:
    iptables -A INPUT -p tcp —syn —dport 22 -m recent —name sshd —set
    iptables -A INPUT -p tcp —syn —dport 22 -m recent —name sshd —update —seconds 300 —hitcount 3 -j DROP
    Если в sshd_config стоит MaxAuthTries 2, то получится 6 попыток. Если задать —hitcount 1 и MaxAuthTries 3, то получим 3 попытки!
  • Автор: -=Jul=- Chroot-им SSH (Debian Sarge (Debian 3.1),) [www.xakep.ru]
  • Misha Volodko Помещение SSH пользователей в изолированное окружение. (Debian Etch и Suse Ent. 9)

    /.bash_history после ssh-сессии

  • Как не дать пользователю запускать свои программы?
  • rssh — Restricted shell allowing only scp, sftp, cvs, rsync and/or rdist
    (Description: Restricted shell allowing only scp, sftp, cvs, rsync and/or rdist rssh is a restricted shell, used as a login shell, that allows users to perform only scp, sftp, cvs, rdist, and/or rsync operations. It can also optionally chroot user logins into a restricted jail. ) [Источник]
  • Как юзеру запретить некоторые комманды? (предлагается решить противоположную задачу: разрешить юзеру некоторые команды с.п. скрипта, указанного в качестве shell в passwd )

  • 5.26 Зарезервированные адреса сетей.

    • Срочное уничтожение собственной системы:». чтобы пойдя в любое интернет-кафе можно было полностью уничтожить систему . «
    • Использовании Creak для программного обеспечения. Проблемы и способы их решения, возникающие при проверке использования лицензионных программ налоговой полицией.
    • Приказ Минсвязи РФ от 25 июля 2000 г. N 130 «О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызова общего пользования»
    • CARP – Common Address Redundancy Protocol — это протокол избыточности, который позволяет двум или более компьютерам в одной подсети иметь одновременно один и тот же IP адрес, при этом возможна настройка этой группы компьютеров как взаимозаменяемые (главный компьютер отключился/сломался – вместо него сразу же принимается за работу другой, у которого приоритет выше) и так по кругу.
    • Антивирусы для «маков» и Linux пока не нужны? 7 декабря, 2009. [Источник]
    • Как выбрать антивирус? Часть 1: Сертификация ФСТЭК России 18 сентября, 2008.

    5.30 Средства для проверки на устойчивость системы к различного рода атакам

    • Hyenae Hyenae is a highly flexible platform independent network packet generator. It allows you to reproduce several MITM, DoS and DDoS attack scenarios, comes with a clusterable remote daemon and an interactive attack assistant. [www.linux.org.ru]
    • Главная задача проекта OSSIM (Open Source Security Information Management, ossim.net) — максимальная интеграция разнородных утилит в пределах единой открытой архитектуры. В результате появляется возможность накоплять данные, находить и отслеживать четкие взаимосвязи в собранной информации. Источниками служат практически любые утилиты, способные обрабатывать сетевую или системную информацию в реальном времени. В настоящее время список интегрированных в OSSIM инструментов довольно широк: Arpwatch, P0f, pads, Nessus/OpenVAS, Ntop, Snort, tcptrack, tcpdump, Nmap, Spade, Nagios, Osiris, OCSInventory-NG, OSSEC, RRDTool (дополнительно возможен анализ данных, собираемых preludeIDS, NTsyslog, Snare, Cisco Secure IDS). Данные могут быть доставлены при помощи разных способов: syslog, plain log, SNMP, OPSEC, сокет и пр.
    • Инструкция по настройке OSSIM. [Источник]
    • AlienVault Open Source SIM (OSSIM) Installation Guide
    • OSSIM User Guide
    • Caligare Flow Inspector (CFI) — Cisco NetFlow monitoring software. CFI analyze Cisco NetFlow Data Exports (NDE) sent by router or switch. [Источник]

    5.33 Мониторинг работоспособности системы. Состояние сервера на sms.

    Источник

    Читайте также:  Аудит действий пользователя linux