Антихакинг в сети

Очистка файла подкачки при отключении

admin — Wed, 01 Sep 2010 14:53:29 +0000

Система управления виртуальной памятью (Virtual memory management, VMM) — прекрасная штука. Она защищает программы друг от друга и позволяет им пользоваться объемом памяти, который превосходит объем физический памяти, установленной в системе. Для реализации этого VMM использует то, что называется страничным файлом (своп-файлом, файлом подкачки).
По мере запуска все большего числа программ объем физической памяти исчерпывается. При этом диспетчер памяти находит реже используемый участок памяти, относящийся к программам, которые в данный момент не проявляют никакой активности, и записывает его на жесткий диск (то есть в виртуальную память). Этот процесс называется подкачкой.
Однако у этого процесса имеется один существенный недостаток: если запущена программа, обрабатывающая конфиденциальную информацию в «своем» пространстве памяти, то эта информация может оказаться на диске. Хорошо, если запущена операционная система и существуют средства защиты, предотвращающие возможность чтения файла подкачки, но как быть в случае, если эта система отключена или производится перезагрузка компьютера в другую операционную систему?
Вот где становится необходимым данный трюк. Все, что необходимо сделать, — это попросить операционную систему при выключении заполнить файл подкачки нулями. Учтите, что это не сработает, если отключение производится извлечением сетевого кабеля из розетки или система выключается неверно; описываемая перезапись возможна только при корректном выключении компьютера.
Для включения этой функции Windows необходимо внести изменения в системный реестр. Для этого откройте реестр и найдите ключ HKEY LOCAL МАСНINE SYSTEMCurrentControlSetControlSession ManagerMemory Management. Найдите параметр ClearPageFileAtShutdown в правой панели и измените его значение на 1. Для того чтобы изменение вступило в силу, перезагрузите Windows, и теперь перед выключением компьютера ваш своп-файл будет очищаться. Единственный побочный эффект от использования этой функции заключается в том, что выключение Windows теперь будет занимать больше времени. Однако это очень сильно зависит от аппаратного обеспечения (то есть от чипсета контроллера диска, скорости вращения диска, скорости процессора и т. п.), что определяет длительность записи нулей в файл подкачки.

Автоматизация обновления системы

admin — Sat, 28 Aug 2010 12:48:43 +0000

Периодическое обновление системы и исправление ее недочетов — это один из основных шагов, предпринимаемых для защиты вашей системы от использования только что найденных уязвимых мест системы безопасности. К сожалению, решение этих задач обычно откладывается и предпочтение отдается «экстренным» проблемам, таким как тонкая настройка производительности, обслуживание аппаратного и отладка программного обеспечения. Некоторые администраторы считают это напрасной тратой времени и сил, что не способствует выполнению основной функции системы. Приоритетным становится требование руководства повысить производительность системы, поэтому ее поддержание в обновленном состоянии зачастую откладывается в долгий ящик.
Обновление системы может быть очень скучным и отнимающим много времени занятием, если не использовать сценарии автоматизации. К счастью, большинство дистрибутивов Linux позволяет загружать пакеты обновления непосредственно со стандартного адреса в сети. Можно наблюдать за появлением обновлений на этом ресурсе, что позволяет автоматически определять и загружать новые обновления сразу, как только они появятся. Для демонстрации этой возможности на базе RPM-дистрибутива воспользуемся инструментом AutoRPM (http://www.autorpm.org).
AutoRPM — это мощный Perl-сценарий, позволяющий обнаруживать изменения на FTP-сайтах. Этот сценарий может автоматически обнаружить, загрузить и установить измененные пакеты либо оповестить о необходимости сделать это. Помимо просмотра отдельных FTP-сайтов, можно просматривать пул «зеркал» сайтов, чтобы гарантировать получение обновлений, невзирая на загрузку одного FTP-сервера. Эта функция очень полезна потому, что AutoRPM учитывает, сколько попыток обращения к определенному FTP-серверу было предпринято. На основе этого составляется внутренний рейтинг серверов. Для установки AutoRPM загрузите из Сети свежий пакет и установите его:
# rpm -ivh autorpm-3.3-l.noarch.rpm
ХОТЯ AutoRPM имеется и в tar-архиве, но его установка более сложна, чем с помощью традиционных mate и mate install, поэтому рекомендуется устанавливать этот сценарий из RPM-пакета.
По умолчанию AutoRPM настраивается на наблюдение обновленных пакетов для версии Red Hat ОС Linux. При желании можно настроить наблюдение за любым хранилищем файлов, например, версий SuSe или Mandrake.

Параметры IPsec

admin — Thu, 19 Aug 2010 14:50:46 +0000

Файл содержит раздел настройки (config) и раздел соединения (conn). В разделе настройки указываются основные параметры IPsec, такие как доступные интерфейсы и специальные директивы, передаваемые в pluto. Раздел соединения описывает различные соединения, которые допустимы в VPN. Существует глобальный раздел соединения (conn %default), в котором указываются общие для обоих разделов значения, такие как время жизни (lifetime) ключа и способ обмена ключами.
В представленном далее ipsec.conf на вашем шлюзе шифруется вся информация для Интернета с конечной точкой VPN:
# /etc/ipsec.conf
# установка параметров настройки config setup
interfaces=Udefaultroute
# отладочные параметры. Установите в "all" для получения подробной информации klipsdebug=none
plutodebug=none
# стандартная настройка Pluto plutoload=Usearch

plutostart=Ssearch
# гарантирует отсутствие проблем PMTU Discovery dverridemtu=1443
# установка настройки по умолчанию conn %default
# быть агрессивным в попытках повторного обмена ключами keymgtries=0
# использовать IKE keyexchange=ike keylife=12h
# использовать общие секреты authby^secret
# настройка VPN в Internet conn wire1ess_connectionl
type=tunnel
# левая - сторона клиента left=192.168.0.104
# правая - шлюз Интернета nght=192.168.0.1 nghtsubnet-0.0.0.0/0
# автоматическое установление соединения auto-start
Теперь добавьте в ipsec.seerets совместно используемын «секрет»; 192.168.D.104 192.168.0.1: PSK "supersecret"
Вот и все. После настройки шлкш попробуйте «прозвонить» (ping) шлюз по умолчанию. Pluto запустится автоматически и установит соединение. Если шлюз недоступен, просмотрите сообщения в журнале событий syslog на клиентской стороне и на шлюзе.
Настройка шлюза в значительной степени схожа с настройкой клиента. Если вы имеете представление о ipsec.conf, это не составит никакого труда, Нам придется внести лишь незначительные изменения. Если шлюз имеет' более одной сетевой Ethernet-карты, то необходимо жестко настроить IPsec на использование конкретного сетевого интерфейса:
# assume internal ethernet interface is ethO interfaces-"TpsecO-ethO"
После этого необходимо будет добавить соединение для каждого внутреннего клиента. Это можно сделать различными способами в зависимости от масштабов сети; представленная далее настройка будет работать для умеренного количества клиентов:
conn wireless_connection2 type-tunnel lef1=192.168.0,105 right=192.168.0.1 rightsubnet=0.0.0.0/0 auto=start

Включение трафика к DNS-серверу

admin — Tue, 03 Aug 2010 08:32:59 +0000

Для включения трафика к DNS-серверу, имеющему адрес 192.168.1.18, необходимо добавить следующее правило:
pass in on $FXT_IF proto tcp from ary to 192.168.1.18 port 53 modulate state flags SSA
При этом межсетевой экран по-прежнему осуществляет блокировку UDP DNS-трафика. Для его включения добавьте следующее правило:
pass in on $B(T_F proto udp from ary to 192.168.1.18 port 53 keep state
Обратите внимание на то, что, хотя это правило для UDP-пакетов, мы все равно используем ключевое слово state. В этом случае PF будет отслеживать соединение, используя IP-адреса источника и пункта назначения, а также пары портов. Поскольку UDP-дейтаграммы не содержат последовательного номера, ключевое слово modulate не применяется. Вместо этого используется слово keep state, которое определяет, как указать инспекцию состояния, когда ISN не модулируются. Кроме того, UDP-дейтаграммы не содержат флагов; мы их просто опускаем.
Теперь можно разрешить, чтобы соединение, инициируемое из внешней сети, проходило через межсетевой экран. Для этого необходимо добавить следующие правила, разрешающие трафик во внутреннем интерфейсе межсетевого экрана:
pass in on $INT_IF from $INTr_IF:network to any
pass out on $INT_IF from ary to $INT_IF:network
pass out on $FXT_IF proto tcp all modulate state flags SSA
pass out on $FXT_IF proto { icmp, udp } all keep state
Как видим, OpenBSD имеет очень мощную и гибкую систему разделения сетей. В ней имеется слишком много возможностей и функций, которые мы здесь рассмотреть не можем. Дополнительную информацию можно найти в удобной документации по PF, находящейся в сети или в справке pfconf manpage.

Ведите учет объектов сети

admin — Wed, 28 Jul 2010 10:32:12 +0000

Nmap (http://www.nsecure.org/nmap/), это бесплатное средство, которое может использоваться для выполнения различного типа сканирования сетей. Обычно Nmap рассматривается как программа, которая используется для различного рода сетевой разведки или подготовки к атаке. Но, как и все мощные средства, Nmap может использоваться не только для нарушения работы сетей. Например, простое сканирование TCP-подключений может выполняться без наличия root-привилегий:
$ nmap rigel
Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-12-15 17:42 MST Interesting ports on rigel (192.168.0.61):
(The 1595 ports scanned but not shown below are in state: filtered) Nmaр run completed - 1 IP address (1 host up) scanned in 75.992 seconds
Проверять состояние собственных машин крайне полезно. Возможно, вы догадались, что это сканирование было выполнено на Solaris-машине. Nmap может также сканировать диапазоны IP-адресов, указанных в CIDR-нотации:
nmaр 192.168.0.1-254 nmap 192,168.0.0/24
Nmap может предоставить еще больше сведений, если будет запущена с root-привилегиями. В этом случае при использовании флага -0 могут использоваться специальные пакеты, позволяющие определить ОС на удаленной машине. Кроме того, с помощью флага -sS можно выполнять полуоткрытое TCP-сканирование. При этом Nmap посылает на удаленный узел SYN-пакет и ожидает приема от него АСК-пакета. Если получен АСК, значит, порт открыт. В этом состоит отличие такого сканирования от нормального трехэтапного ТСР-«рукопожатия», при котором клиент посылает SYN-пакет, а затем отправляет обратно на сервер полученный от него начальный АСК-пакет. Взломщики обычно используют эту возможность для того, чтобы избежать попадания в протокол удаленной машины. Попробуйте сами:
# nmaр -sS -0 rigel
Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on rigel.nnc (192.168.0.61):
(The 1578 ports scanned but not shown below are in state: filtered) Remole operating system guess: Solaris 9 Beta through Release on SPARC Uptime 44.051 days (since Sat Nov 1 16:41:50 2008) Nmap run completed — 1 IP address (1 host up) scamed in 166 seconds При возможности определения ОС Nmap подтвердила, что операционной системой является Solaris, но теперь известно, что это, скорее всего, девятая версия, выполняемая на SPARC-процессоре.
Одна из мощнейших функций, которая может помочь в отслеживании работы сети, — это возможность вывода результатов в XML. Она активизируется с помощью ключа -оХ # nmap -sS -0 -оХ scandata.xml rigel
Эта функция особенно полезна при сканировании диапазона IP-адресов по всей сети, поскольку с ее помощью можно собрать все сведения в один XML-файл, который затем можно анализировать и добавить в базу данных. Вот как представлен в XML один открытый порт:
Nmap — очень мощное средство. При выводе результатов в XML, написании небольшого сценария и использовании базы данных вы можете создать более серьезное средство, которое будет наблюдать за появлением в сети несанкционированных служб и машин.

Поиск владельца сети

admin — Mon, 26 Jul 2010 11:17:10 +0000

Просматривая протоколы IDS, можно заметить много странного трафика, поступающего из другой сети, подключенной через Интернет. При просмотре IP-адреса в DNS он разрешается как, например, dhcp-103.badguydomain.com. С кем связаться, чтобы он помог отследить человека, отправляющего такой трафик? Вероятно, вы уже знаете, что для нахождения контактной информации о владельцах доменных имен Интернета можно использовать команду whois. Если вы еще не пользовались ею, то просто введите whois:
$ whois baclguyclomain.com Registrant:
Dewey Cheatum
Registered through: GoDaclcly.com Domain Name: BADGOYDOMAIN. COM
Domain servers in listed order:
PARK13.SECORESERVER.NET
PARK14.SEC0RESERVER.NET For complete domain details go to: http://whoi s. godaddy.com
К сожалению, эта запись whois не столь полезна, какой могла бы быть. Обычно здесь перечисляются контактные сведения об администраторах и технических службах, дополненные телефонными номерами и адресами электронной почты. Очевидно, что godaddy.com предоставляет эти сведения только по web-интерфейсу, чтобы избежать спама. Но если в качестве имени лица, зарегистрировавшего домен, указано Оэлеу Qieatum2, насколько верной является остальная информация
0 домене? Хотя при регистрации домена необходимо указывать достоверную информацию, могу сказать, по своему опыту, что использование whois помогает отследить лишь честных людей.
Поскольку такой подход вам не помог, что еще можно сделать? Можно снова использовать whois, но для определения регистра номеров блока IP-адресов, в который входит «раздражающий» адрес. Регистры номеров — это элементы, с которыми должен зарегистрироваться владелец большого блока IP-адресов и которые должен разделить в соответствии с географическим местоположением. Основная сложность заключается в отборе для запроса верного регистра, но лучше всех справляется с этим WHOIS-сервер ARIN (American Registry for Internet Numbers) — он сообщит верный регистр, если IP-адрес не найден в его БД.
Parent:    NET-208-192-0-0-1
NetType:    Reallocated
Comnent:
RegDate:    1996-09-12
Updated:    2002-08-23
OrgTechHandle: NETW0144-ARIN OrgTechName:    Network Operations OrgTechPhone: +1-707-522-1000 OrgTechEmal 1:   noc&som с. net
# ARIN WHOIS database, last updated 2004-01-18 19:15
§ Enter ? for additional hints on searching ARlN's WHOIS database. Здесь мы видим, что теперь имеется контактный телефон и электронный адрес. Скорее всего, это данные провайдера Интернета, которыми воспользовался злоумышленник. Теперь у вас есть контактная информация того, кто должен сказать, кто скрывается под именем badguydomajn.com. Вы можете известить его о наблюдаемом подозрительном трафике и разрешить ситуацию.
Между прочим, при запросе некоторых новых TLD (таких, как .us, .biz, .info и т. п.) с помощью whois могут возникнуть проблемы. Одним из наиболее правильных вариантов автоматического поиска whois-сервера является использование whois-прокси на geektools.com. Он автоматически перенаправит запросы соответствующему whois-серверу, основываясь на запрашиваемом TLD. Я указываю в моем профиле .profile представленный далее псевдоним, чтобы всегда использовать прокси geektools.com:
alias whois-whois -h whois.geektools.com
Теперь, когда я запускаю whois из командной строки, мне не надо помнить адрес одного whois-сервера. Парни на geektools имеют и другие отличные средства, облегчающие работу системного администратора. Познакомьтесь с ними на http://geektools.com.

Два варианта приема данных от Sebek

admin — Thu, 17 Jun 2010 13:10:47 +0000

Существует два варианта приема данных от Sebek. Самый простой — запустить Sebek-сервер, который будет улавливать информацию и автоматически извлекать ее для вас. Если вы предпочитаете собирать данные вручную, то можете использовать анализатор на узле, который вы указали в сценарии sbkjnstall.sh, а позже с помощью специальной утилиты извлечения данньж Sebek «вытягивать» данные из хранилища пакетов.
Для установки сервера загрузите его дистрибутив из Сети, распакуйте его, перейдите в созданный при этом каталог и запустите команду
$ ./configure && mate
После завершения компиляции получите root-полномочия и запустите make install. При этом будут установлены sbkextract, sbk_ksjog.pl и sbkjjpload.pl. Для извлечения сведений из «приманки» используется sbk_extract. Его можно запустить в режиме анализатора (sniffer mode), задав параметры -i и -р, указывающие, какой интерфейс «слушать» и какой порт назначения искать соответственно. Если хотите обрабатывать пакеты, уже перехваченные с помощью средств перехвата пакетов, для указания размещения файла-хранилища пакетов используйте ключ -£ После извлечения данньж просмотр действий атакующего осуществляется с помощью sbk_ks_log.pl.
Sebek имеет также дополнительный web-интерфейс, использующий РНР и MySQL, что позволяет выполнять более сложные запросы о собранных данньж. Помимо протоколирования нажатий клавиш, web-интерфейс может извлекать файлы, которые были загружены на «приманку». Сценарий sbk_upload.pl загружает протоколы в web-интерфейс. Установка web-интерфейса довольно сложна и требует наличия сервера Apache, РНР и БД MySQL 4. Дополнительные сведения можно получить на домашней страничке Sebek, расположенной по адресу: http://www.honeynet.org/tools/sebek/.

Сканирование системы HFNetChk

admin — Sat, 05 Jun 2010 09:08:44 +0000

В ходе сканирования системы HFNetChk сначала проверяет ключи реестра, связанные с большинством обновлений, доступных для текущей конфигурации системы. Если какие-либо из ключей пропущены или не соответствуют содержанию XML-файла, будет установлен флаг необходимости их обновления. Если ключ существует и его содержание соответствует XML-файлу, то HFNetChk проверит наличие указанного файла, а также его версию и контрольную сумму. В случае несовпадения контрольной суммы будет установлен флаг необходимости обновления. Все флаги необходимости обновления будут выведены в отчете вместе со ссылками на пункт базы Microsoft Knowledge Base, содержащей дополнительные сведения о необходимом обновлении.
Для установки HFNetChk сначала необходимо загрузить и установить Baseline Security Analyzer. Для запуска HFNetChk в режиме командной строки необходимо указать каталог, созданный в ходе установки (по умолчанию C:Program Flles Microsoft Baseline Security Analyzer). Для проверки необходимости обновления локальной системы выполните команду
С:> Program FilesVMicrosoft Baseline Security Analyzer> mbsacli /hf Microsoft Baseline Security Analyzer Version 1.1.1
Powered by HFNetChk Technology - Version 3.82.0.1 Copyright (C) Shavlik Technologies. 2001-2003 Developed for Microsoft by Shavlik Technologies, LLC info@shavlik.com (www.shavlik.com)

При сканировании локальной системы требуются полномочия администратора. При сканировании удаленной машины требуются полномочия администратора удаленной машины. Существует несколько вариантов сканирования удаленных компьютеров. Для сканирования одиночной удаленной системы в качестве значения ключа -h должно быть указано NetBIOS-имя. Точно так же в качестве значения ключа -1 может быть указан IP-адрес системы. Например, для сканирования машины PLUNDER с другой машины можно использовать любую из представленных команд: mbsacli /hf -h PLUNDER mbsacli /hf -i 192.168.0.65

Шифрование IMAР и POP с помощью SSL

admin — Wed, 26 May 2010 12:03:33 +0000

Размещение электронной почты на ШАР-сервере — это самый разумный вариант, когда необходимо иметь возможность обращаться к ней из разных мест. В отличие от POP, протокол IMАР хранит всю почту и любые создаваемые папки на сервере, поэтому вы можете обращаться к любой своей корреспонденции независимо от используемого почтового клиента (программы обмена почтой). Можно даже воспользоваться web-интерфейсом, что делает почту доступной практически с любой машины, имеющей браузер и соединение с Интернетом. Но, скорее всего, при этом вам придется пройти через ненадежные сети. Как защитить пароль электронной почты и саму почту от нежелательных посягательств? Конечно же, с помощью шифрования!
Если у вас уже установлен ШАР- или POP-демон, не имеющий возможности использовать SSL в чистом виде, то можно воспользоваться stunnel, чтобы создать оболочку для службы в виде SSL-канала. Если вы начинаете «с нуля», то можете насладиться выбором демона, имеющего SSL-подержку, скомпилированную непосредственно в двоичный файл.
Одним из демонов, которые изначально поддерживают SSL, является демон University of Washington's IMAP, известный также под именем UW-IMAP (http://www. washington.edu/imap/). IMAP-демон включен в пакет установки программного обеспечения IMAP.
Для компиляции и установки ШАР-демона загрузите из Сети tar-архив и запустите команды:
$ tar xfz imap.tar.Z $ cd imap-2002e
$ mak Inp SSLDIR=/usr SSLCERTS=/usr/share/ssl/certs
Аргумент Makefile указывает, для системы какого типа идет компоновка. В нашем случае Inp — это сокращение от Linux-PAM. Другими популярными системами являются bsf — FreeBSD, bso — OpenBSD, osx — Mac OS X, sol — Solaris и gso — Solaris with GCC. Переменная SSLDIR используется для установки базового каталога для установки OpenSSL. По умолчанию Makefile настроен на использование каталога /usr/local/ssl с помещением библиотек в /usr/local/ssl/lib, а заголовочных файлов — в /usr/local/ssl/include. Если OpenSSL установлена вместе с операционной системой и вы хотите продолжить ее эксплуатировать, необходимо использовать SSLDIfWusr (как в примере). Переменная SSLCERTS применяется для указания демонам imapd и popd местонахождения SSL-сертификатов.
Если компиляция прервется с ошибками, найдите сообщение, подобное этому:
In file included from /usr/include/openssl/ssl.h:179. from osdep.c:218:
/usr/include/openssl/kssl.h:72:18: krb5.h: No such file or directory In file included from /usr/include/openssl/ssl.h:179. from osdep.c:218:
Это означает, что компилятор не может найти заголовочные файлы системы Kerberos, что является распространенной проблемой в новых версиях Red Hat Linux. Ошибка возникает по причине того, что файлы расположены в каталоге /usr/kerberos/include, нестандартном для системы.

Сценарии инициализации Nagios

admin — Wed, 12 May 2010 15:04:03 +0000

Как и обычно, это поведение можно изменить с помощью ключа --prefix. По завершении работы сценария настройки выполните компиляцию Nagios запуском команды make all. После этого получите root-полномочия и запустите nrte install. Кроме того, с помощью команды nrte install -init можно установить сценарии инициализации Nagios.
Если теперь заглянуть в каталог /usr/local/nagios, то в нем можно увидеть четыре подкаталога. Каталог bin содержит один файл, nagios, являющийся основой пакета. Именно он выполняет мониторинг. Каталог sbin содержит CGI-сценарии, используемые при обращении к программе по web-интерфейсу. В каталоге share находятся HTML-файлы и документация. И наконец, в каталоге var приложение Nagios будет сохранять полученные в ходе работы сведения.
Для использования Nagios потребуется парочка настроечных файлов. Эти файлы помещаются в каталог etc, который создается при выполнении команды install-config. Эта команда также создает пример каждого файла настройки и помещает их в каталог etc.
На этом установка Nagios завершена. Однако в таком состоянии это приложение не очень полезно по причине отсутствия действительных приложений наблюдения. Эти приложения, проверяющие правильность функционирования конкретной наблюдаемой службы, называются надстройками (plug-ins). Nagios имеет стандартный набор надстроек, но их необходимо отдельно загружать из Сети и устанавливать.