Подробности
Въпреки че всеки хак е представен самостоятелно, тази книга широко използва взаимните препратки между хаковете. Ако намерите препратка към нещо, което ви интересува, докато четете някой хак, чувствайте се свободни да го видите (в Уеб пространството например). Самата книга е разделена на няколко глави, подредени по теми:
Глава 1, Защита на UNIX- система
Както казва една стара поговорка, Unix е създаден за споделяне на информация, а не, за да я защитава. Тази стара максима вече не важи за модерните операционни системи, където сигурността е съществен компонент от всеки сървър. Много нови програми и свойства на ядрото бяха създадени, за да предоставят по-висока степен на контрол върху това, което операционните системи, подобни на Unix, могат да правят. Глава 1 демонстрира напреднали техники за заздравяване на вашия Linux-, FreeBSD- или OpenBSD-сървър.
Глава 2, Защита на Windows система
Microsoft Windows се използва като платформа за сървъри в много организации. Тъй като платформата Windows често става мишена за различни атаки, администрирането на такива системи може да бъде предизвикателство. Тази глава обхваща много важни стъпки, които са пренебрегвани от Windows администраторите, включително затягането на позволенията, наблюдение на цялата активност на системата и елиминиране наличието на дупки в сигурността в стандартно инсталиран Windows.
Глава 3, Мрежова сигурност
Без оглед на операционната система, използвана от вашите сървъри, ако мрежата ви е свързана с Internet, тя използва TCP/IP за комуникация. Мрежовите протоколи могат да бъдат сринати по доста мощни и изненадващи начини в резултат от атаки, вариращи от елементарната "denial of service" до придобиване на неоторизиран достъп с пълни привилегии. Тази глава демонстрира няколко инструмента и техники, използвани за атаки върху сървъри чрез самата мрежа, както и методите за предотвратяването на тези атаки.
Глава 4, Създаване на логове
Мрежовите системни администратори живеят и умират за качеството на своите логове. Ако е записана прекалено малко информация, нахлуванията могат да се изплъзнат незабелязани. Ако е записано прекалено много, атаката може да бъде загубена в потопа несъществена информация. Глава 4 ви показва как да балансирате необходимото ви количество информация с изискването за краткост, като автоматично събирате, обработвате и защитавате своите логове.
Глава 5, Наблюдение на мрежата и на тенденциите в нея
Сканирането на мрежата е толкова полезно, колкото и системните логове, предоставящи частични данни от цялата информация, важна единствено за момента, в който са били записани събитията. Без история на активността на вашата мрежа няма начин да установите какво е „нормално", нито да разберете дали наистина става нещо подозрително. Тази глава ви представя няколко инструмента и метода за наблюдение на вашата мрежа и ползваните услуги във времето, като ви позволява да видите тенденциите в нея, които пък ще ви помогнат в бъдещото планиране и ще ви дадат възможност да виждате с един поглед дали има нещо, което не е наред.
Глава 6, Сигурни тунели
Как е възможно осъществяването на сигурна комуникация през несигурни мрежи, каквато е Internet? Отговорът винаги включва мощно криптиране и техники за проверка на истинността. Глава 6 ви показва как да имплементирате мощни VPN-технологии, включително IPSec, РРТР и OpenVPN. Ще намерите също така и техники за защита на услуги, като използвате SSL, SSH и други инструменти за силно криптиране.
Глава 7, Откриване на нахлувания в мрежата
Как да разберете, ако мрежата ви е под атака? Докато логовете и статистиките с история могат да ви покажат дали нещо не е наред, съществуват инструменти, направени, за да ви уведомяват (или други, които направо действат) незабавно при откриване на често срещани атаки. Тази глава се фокусира върху изключително популярния NIDS-инструмент Snort и представя много техники и допълнения, които отключват целия потенциал на този мощен инструмент. Също така са представени и методи за залагане на мрежа от тип „гърне с мед" за првличане и объркване на кандидат-кракерите.
Глава 8, Възстановяване и ответни действия
Възможно е дори най-компетентният и внимателен мрежов администратор да има проблеми с успели пробиви в сигурността. Тази глава съдържа предложения за това как да проверите целостта на системата, да запазите доказателства за по-нататъшен анализ и да проследите хората, намиращи се на другия край на нежелания мрежов трафик.
Заслуги
Предговор
Глава 1. Защита на UNIX система
1. Защита на точките на монтиране (mount points)
2. Сканиране за SUID- и SGID-програми
3. Сканиране за директории, върху които имат право на
запис групата и всички останали потребители
4. Създаване на гъвкави йерархии от разрешения с POSIX ACL
5. Защитете вашите логове от фалшифициране
6. Разпределяне на административните роли
7. Автоматизиране на проверката за криптографски подпис
8. Проверка за слушащи услуги
9. Предпазете услугите си от обвързване
към интерфейс
10. Ограничете услугите в защитени среди
11. Използване на proftp с MySQL като източник за проверка
на истинност
12. Спрете разбиващите стека атаки
13. Заключване на ядрото с grsecurity
14. Ограничаване на приложенията с grsecurity
15. Ограничаване на системните повиквания чрез Systrace
16. Автоматизирано създаване на Systrace политики
17. Контролиране на достъпа за влизане с РАМ
18. Ограничаване на средите за работни обвивки
19. Налагане на ограничения в ресурсите за потребители и групи
20. Автоматизиране на обновяването на системата
Глава 2. Защита на Windows система
21. Проверка на сървърите за обновяване с кръпки
22. Извеждане на списък с отворени файлове и процесите,
които ги притежават
23. Извеждане на списък с изпълнявани услуги и
отворени портове
24. Включване на наблюдението
25. Защита на логовете на събития
26. Промяна на максималния размер на файловете за
вашите логове
27. Забрана на споделяните по подразбиране устройства
28. Криптиране на директорията Temp
29. Изчистване на Paging-файла при изключване
30. Ограничаване на достъпните за потребители
приложения
Глава 3. Мрежова сигурност
31. Откриване на АRP-измами
32. Създаване на статична ARP-таблица
33. Защитна стена с Netfilter
34. Защитна стена с PacketFilter на OpenBSD
35. Създаване на портал с проверка на истинност
36. Изграждане на защитни стени с Windows
37. Ограничаване на изходящия трафик от мрежата ви
38. Тестване на вашата защитна стена
39. МАС-филтриране с Netfilter
40. Блокиране разпознаването на ОС
41. Надхитряване на отдалеченото разпознаване на
операционната система
42. Поддържане на ред в мрежата
43. Сканиране на мрежата ви за уязвимости
44. Поддържане часовниците на сървъра синхронизирани
45. Създаване на собствен орган за сертификати
46. Разпространяване на вашия СА сред клиенти
47. Криптиране на IMAP и POP със SSL
48. Настройка на SMTP за поддръжка на TLS
49. Откриване на Ethernet-подслушвачи от разстояние
50. Инсталиране на Apache със SSL и suEXEC
51. Защита на BIND
52. Защита на MySQL
53. Сигурно споделяне на файлове в Unix
Глава 4. Създаване на логове
54. Пускане на централен Syslog сървър
55. Управление на Syslog
56. Интегриране на Windows във вашата Syslog инфраструктура
57. Автоматично обединяване на вашите логове
58. Автоматично наблюдение на вашите логове
59. Събиране на логове от отдалечени сайтове
60. Записване на потребителска активност
чрез отчитане на процесите
Глава 5. Наблюдение на мрежата и на тенденциите в нея
61. Наблюдение на състоянието
62. Представяне на тенденциите в графичен вид
63. Използване на ntop за статистики на мрежата в реално време
64. Оценка на мрежовия трафик
65. Водене на статистики чрез правила от защитна стена
66. Подслушване на мрежа от разстояние
Глава 6. Сигурни тунели
67. Пускане на IPsec под Linux
68. Пускане на IPsec под FreeBSD
69. Пускане на IPsec под OpenBSD
70. Създаване на тунели с PPTP
71. Случайно криптиране с FreeS/WAN
72. Насочване и криптиране на трафик със SSH
73. Бързо влизане с клиентски SSH-ключове
74. Squid прокси през SSH
75. Използване на SSH за SOCKS-прокси
76. Криптиране и тунели за трафик
посредством SSL
77. Създаване на тунели за връзки вътре в НТТР
78. Тунели с VTun и SSH
79. Автоматичен генератор на vtund.conf файлове
80. Създаване на VPN, свързващ различни платформи
81. РРР-тунели
Глава 7. Откриване на нахлувания в мрежата
82. Откриване на нахлувания с помощта на Snort
83. Следене на предупрежденията
84. Наблюдение в реално време
85. Управление на мрежа от сензори
86. Написване на ваши собствени правила за Snort
87. Предотвратяване и ограничаване на нахлувания със
Snort_inline
88. Автоматична и динамична защита със стена
чрез SnortSam
89. Откриване на ненормално поведение
90. Автоматично обновяване на правилата на Snort
91. Създаване на разпределена мрежа от скрити сензори
92. Използване на Snort заедно с Barnyard в тежко
натоварени среди
93. Откриване и предотвратяване на нахлуванията
през уеб-приложения
94. Симулиране на мрежа от уязвими хостове
95. Записване активността на гърнето с мед
Глава 8. Възстановяване и ответни действия
96. Огледални образи на файлови системи
97. Проверка целостта на файловете и намиране на
компрометирани файлове
98. Намиране на компрометирани пакети с RPM
99. Сканиране за rootkits
100. Откриване собственика на мрежа
Индекс
Предговор
Глава 1. Защита на UNIX система
1. Защита на точките на монтиране (mount points)
2. Сканиране за SUID- и SGID-програми
3. Сканиране за директории, върху които имат право на
запис групата и всички останали потребители
4. Създаване на гъвкави йерархии от разрешения с POSIX ACL
5. Защитете вашите логове от фалшифициране
6. Разпределяне на административните роли
7. Автоматизиране на проверката за криптографски подпис
8. Проверка за слушащи услуги
9. Предпазете услугите си от обвързване
към интерфейс
10. Ограничете услугите в защитени среди
11. Използване на proftp с MySQL като източник за проверка
на истинност
12. Спрете разбиващите стека атаки
13. Заключване на ядрото с grsecurity
14. Ограничаване на приложенията с grsecurity
15. Ограничаване на системните повиквания чрез Systrace
16. Автоматизирано създаване на Systrace политики
17. Контролиране на достъпа за влизане с РАМ
18. Ограничаване на средите за работни обвивки
19. Налагане на ограничения в ресурсите за потребители и групи
20. Автоматизиране на обновяването на системата
Глава 2. Защита на Windows система
21. Проверка на сървърите за обновяване с кръпки
22. Извеждане на списък с отворени файлове и процесите,
които ги притежават
23. Извеждане на списък с изпълнявани услуги и
отворени портове
24. Включване на наблюдението
25. Защита на логовете на събития
26. Промяна на максималния размер на файловете за
вашите логове
27. Забрана на споделяните по подразбиране устройства
28. Криптиране на директорията Temp
29. Изчистване на Paging-файла при изключване
30. Ограничаване на достъпните за потребители
приложения
Глава 3. Мрежова сигурност
31. Откриване на АRP-измами
32. Създаване на статична ARP-таблица
33. Защитна стена с Netfilter
34. Защитна стена с PacketFilter на OpenBSD
35. Създаване на портал с проверка на истинност
36. Изграждане на защитни стени с Windows
37. Ограничаване на изходящия трафик от мрежата ви
38. Тестване на вашата защитна стена
39. МАС-филтриране с Netfilter
40. Блокиране разпознаването на ОС
41. Надхитряване на отдалеченото разпознаване на
операционната система
42. Поддържане на ред в мрежата
43. Сканиране на мрежата ви за уязвимости
44. Поддържане часовниците на сървъра синхронизирани
45. Създаване на собствен орган за сертификати
46. Разпространяване на вашия СА сред клиенти
47. Криптиране на IMAP и POP със SSL
48. Настройка на SMTP за поддръжка на TLS
49. Откриване на Ethernet-подслушвачи от разстояние
50. Инсталиране на Apache със SSL и suEXEC
51. Защита на BIND
52. Защита на MySQL
53. Сигурно споделяне на файлове в Unix
Глава 4. Създаване на логове
54. Пускане на централен Syslog сървър
55. Управление на Syslog
56. Интегриране на Windows във вашата Syslog инфраструктура
57. Автоматично обединяване на вашите логове
58. Автоматично наблюдение на вашите логове
59. Събиране на логове от отдалечени сайтове
60. Записване на потребителска активност
чрез отчитане на процесите
Глава 5. Наблюдение на мрежата и на тенденциите в нея
61. Наблюдение на състоянието
62. Представяне на тенденциите в графичен вид
63. Използване на ntop за статистики на мрежата в реално време
64. Оценка на мрежовия трафик
65. Водене на статистики чрез правила от защитна стена
66. Подслушване на мрежа от разстояние
Глава 6. Сигурни тунели
67. Пускане на IPsec под Linux
68. Пускане на IPsec под FreeBSD
69. Пускане на IPsec под OpenBSD
70. Създаване на тунели с PPTP
71. Случайно криптиране с FreeS/WAN
72. Насочване и криптиране на трафик със SSH
73. Бързо влизане с клиентски SSH-ключове
74. Squid прокси през SSH
75. Използване на SSH за SOCKS-прокси
76. Криптиране и тунели за трафик
посредством SSL
77. Създаване на тунели за връзки вътре в НТТР
78. Тунели с VTun и SSH
79. Автоматичен генератор на vtund.conf файлове
80. Създаване на VPN, свързващ различни платформи
81. РРР-тунели
Глава 7. Откриване на нахлувания в мрежата
82. Откриване на нахлувания с помощта на Snort
83. Следене на предупрежденията
84. Наблюдение в реално време
85. Управление на мрежа от сензори
86. Написване на ваши собствени правила за Snort
87. Предотвратяване и ограничаване на нахлувания със
Snort_inline
88. Автоматична и динамична защита със стена
чрез SnortSam
89. Откриване на ненормално поведение
90. Автоматично обновяване на правилата на Snort
91. Създаване на разпределена мрежа от скрити сензори
92. Използване на Snort заедно с Barnyard в тежко
натоварени среди
93. Откриване и предотвратяване на нахлуванията
през уеб-приложения
94. Симулиране на мрежа от уязвими хостове
95. Записване активността на гърнето с мед
Глава 8. Възстановяване и ответни действия
96. Огледални образи на файлови системи
97. Проверка целостта на файловете и намиране на
компрометирани файлове
98. Намиране на компрометирани пакети с RPM
99. Сканиране за rootkits
100. Откриване собственика на мрежа
Индекс
Андрю Локхарт е родeн в Южна Калифорния, но в момента живее в северен Колорадо. Там той прекарва по-голяма част от времето, като полага усилия да усвои черното изкуство на четенето на дезасемблирани двоични файлове и да не замръзне до смърт. Той има бакалавърска степен по компютърни науки от Colorado State University. Бил е консултант по сигурността за малки предприятия в областта. Когато не пише, работи в компанията Fortune 100. В свободното си време работи по Snort-Wireless (http://snort-wireless.org), проект целящ да добави свойства за откриване на нахлувания в безжичните мрежи към популярната IDS с отворен код Snort.