Раздел: Документация
0 ... 13 14 15 16 17 18 19 ... 169 iog.conf» на любое другое желаемое значение. После этого настроим наш новый конфигурационный файл на регистрацию событий как локально, так и на удаленном сервере (см. пример). Удостоверьтесь, что в стандартной копии конфигурационного файла (/etc/syslog.conf) также сделаны настройки на локальную регистрацию. Несмотря на то, что этот файл теперь не играет никакой роли, эта мера предосторожности не даст черной шляпе понять, что есть еще и удаленная регистрация. Другой подход — использовать безопасный метод регистрации. Он заключается в замене стандартного syslogd другим, с проверкой целостности и дополнительными опциями. Один из вариантов — syslog-ng, который вы можете найти по адресу http://www.balabit.hu/prod-ucts/syslog-ng.html. Большинство регистрационных журналов, которые мы будем использовать — это файлы, сохраненные на удаленном log-сервере. Как сказано выше, мы можем быть в достаточной степени уверены в их истинности, т.к. они находятся на удаленном и защищенном сервере. Кроме того, поскольку все системы посылают информацию в одно место, вам будет легче ее анализировать. Вы сможете быстро просмотреть, что происходит во всех системах, используя один источник. Единственный случай, когда вам понадобятся локальные регистрационные журналы, — это сравнение их с журналами на log-сервере. Это сравнение поможет вам установить факт подделки локальных журналов. Поиск характерных признаков Обычно вы можете определить факт сканирования портов вашей системы путем простого анализа регистрационных журналов. Большинство Script Kiddie сканирует сеть в поисках какой-то определенной уязвимости. вы замечаете в регистрационных журналах записи, указывающие попытку установить соединение на один и тот же порт большинства ваших систем с одного адреса, это указывает на такое специализированное сканирование. Вероятнее всего, злоумышленник имеет готовый эксплоит для какой-то определенной уязвимости и обследует сеть в ее поисках. Если поиск будет удачным, он попробует применить эксплоит. По умолчанию, большинство систем на базе Linux устанавливается с программой TCP Wrapper, поэтому мы можем увидеть такие записи в /var/log/secure. Для других разновидностей Unix мы можем фиксировать эти события путем запуска супердемона (inetd) с флажком «-t». Типичное сканирование на определенную уязвимость иыгля- 50 дит, как приведенный ниже листинг. В данном случае злоумышленник пытается найти демонв котором есть уязвимости. /var/log/secure Apr 10 13:43:48 mozart in.ftpd[ 66131 : connect from 192.168.11.200 Apr 10 13:43:51 bach in. ftpd[6613] : connect from 192.168.11.200 Apr 10 13:43:54 hadyen in. ftpd[6613] : connect from 192.168.11.200 Apr 10 13:43:57 vivaldi in.ftpd[6613] : connect from 192.168.11.200 Apr 10 13:43:58 brahms in.ftpd[6613] : connect from 192.168.11.200 Здесь ясно виден источник сканирования нашей сети — 192.168.11.200. Обратите внимание, как источник последовательно перебирает каждый IP-адрес (так бывает не всегда). В этом одно из преимуществ выделенного log-сервера — вы можете оценить картину в масштабе сети, т. к. регистрационные журналы объединены. Повторяющиеся соединения на порт 21 (ftp) наиболее вероятно указывают на поиск уязвимого демона wu-ftpd. Мы только что определили, что именно ищет черная шляпа. Очень часто сканирования идут волнами. Кто-то выпускает экс-плоит для imap, и вы обнаруживаете в регистрационных журналах всплеск сканирований порта imap. В следующем месяце вы обнаружите повышенное внимание к ftp. Отличное место для получения информации о текущих эксплоитах — http://www.cert.org/advisories/. Иногда сканирование производится на предмет наличия нескольких уязвимостей; тогда вы увидите в регистрационных журналах свидетельствующие о попытках соединения из одного источника к нескольким портам ваших систем. Помните, что если вы не регистрируете обращения к сервису, вы не сможете отследить факт сканирования. Например, большинство rpc-соединений не регистрируется. Между тем, большинство сервисов могут быть просто добавлены в /etc/inetd.conf и попытки соединений будут зафиксированы с помощью TCP Wrapper. Например, вы можете добавить в /etc/inetd.conf запись для NetBus. TCP Wrapper в этом случае настраивается на сброс и регистрацию соединения (см. Intrusion Detection для дополнительной информации по этому вопросу). 51 Какое средство применяется? Иногда вы можете достаточно точно определить, какое средство использовано для сканирования вашей сети. Большинство простых средств сканирования, таких как ftp-scan.c, исследует сеть в поисках конкретной уязвимости. Если в вашей сети наблюдается интерес к какому-то определенному порту, наиболее вероятно, что используется одно из таких специализированных средств. Существуют, однако, и более универсальные средства, проверяющие наличие сразу нескольких уязвимостей. Два наиболее известных - это sscan (автор -jsbach) и nmap (автор — Fyodor). Я выделил именно эти два средства, так как они представляют две «категории» сканеров. Я настойчиво рекомендую вам изучить собственные сети этими средствами результаты могут вас удивить. sscan достаточно старый сканер (ему уже больше года), и он рассмотрен здесь лишь в качестве примера. Для сканирования вашей собственной сети на предмет наличия уязвимос-тей я рекомендую использовать Nessus, распространяемый с открытыми исходными текстами. Sscan, часто применяемый Script Kiddie, является многоцелевым сканером. Он проверяет сеть на наличие набора заранее определенных уязвимостей. Это настраиваемое средство: оно позволяет вам добавить описание новых типов уязвимостей. Вы просто сообщаете ему адрес сети, и sscan делает остальную работу самостоятельно. Однако для его использования необходимо иметь права root в системе, на которой он запускается. Выдаваемая им информация чрезвычайно легко интерпретируется, что и сделало его Настолько популярным. Он выдает сводную информацию о многих уязвимых сервисах. Все, что вам надо — это запустить сканирование выбранной сети, проанализировать выходную информацию (найти с помощью grep слово «VULN») и запустить соответствующий «эксплоит дня». Ниже приведен результат работы sscan, запущенного на анализ системы под названием mozart. {172.17,6,30}. otto #./sscan -о 172.17.6.30 - * report for host mozart <[ tcp port: 80 (http) ]> <[ tcp port: 23 (telnet) ]> 52 0 ... 13 14 15 16 17 18 19 ... 169
|
