wyszukiwanie

Katalog książek

Bony podarunkowe

Autorzy Nowości eBooki Bestsellery Zapowiedzi Przedsprzedaż Najlepiej oceniane Druk na żądanie

Helion SA
ul. Kościuszki 1c
44-100 Gliwice
tel. (32) 230-98-63

© Helion 1991-2011

Informacje podstawowe

Bezpieczeństwo sieci w Linuksie. Wykrywanie ataków i obrona przed nimi za pomocą iptables, psad i fwsnort

Autor: Michael Rash
Data wydania: 2008/09
Stron: 352

Powiadom mnie gdy książka będzie dostępna w druku na żądanie

Szczegóły:

Tytuł oryginału: Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort
Tłumaczenie: Andrzej Stefański
ISBN: 9788324615391 / 978-83-246-1539-1
Format: 170x230
Oprawa: miękka
Numer z katalogu: 4558

Informacje dodatkowe:

Pobierz przykładowy rozdział w PDF
Przykłady na ftp: 1038 kB
Oceń książkę
Erraty / Zgłoś erratę
Poinformuj znajomego o książce
Recenzje prasowe
Wydrukuj: opis, spis treści
Kategorie:
Hacking
» Bezpieczeństwo sieci
Systemy operacyjne
» Linux

Bezpieczeństwo sieci w Linuksie. Wykrywanie ataków i obrona przed nimi za pomocą iptables, psad i fwsnort

Wykrywanie i zwalczanie ataków sieciowych dla zaawansowanych

Jak wykrywać ataki i bronić sieci na różnych warstwach sieciowych?
Jak wykorzystać logi do automatycznego tworzenia reguł iptables?
Jak zabezpieczyć serwer przy użyciu metod pasywnej autoryzacji?

Każdy administrator sieci wie, jak ważna jest jej ochrona przed atakami z zewnątrz. Wie również, że jest to nieustająca walka z coraz bardziej zaawansowanymi technikami.

Raz postawiony firewall nie jest w stanie zapewnić sieci całkowitego bezpieczeństwa w nieskończoność, dlatego ciągłe poszerzanie swojej wiedzy i umiejętne jej zastosowanie jest nieodłączną częścią pracy administratorów. Jeśli jesteś odpowiedzialny za utrzymanie bezpieczeństwa sieci, książka ta jest dla Ciebie. Stanowi źródło wiedzy z zakresu wykorzystania oprogramowania open source i systemu Linux w walce o bezpieczeństwo sieci.

Michael Rash, autor wielu publikacji i książek, jest ekspertem w dziedzinie ochrony sieci. W książce Bezpieczeństwo sieci w Linuksie. Wykrywanie ataków i obrona przed nimi za pomocą iptables, psad i fwsnort przedstawia sposób łączenia metod zabezpieczeń w systemie Linux przy użyciu iptables, Snort oraz psad, fwsnort i fwknop, których sam jest twórcą. Na praktycznych przykładach udowadnia skuteczność zastosowanych technologii, które są porównywalne z komercyjnymi, i pokazuje sposoby ich wykorzystywania. Dołączone do książki skrypty umożliwiają przetestowanie omawianych technologii w praktyce.

Konfiguracja iptables
Atak i obrona w warstwach modelu OSI
Instalacja i konfiguracja psad
Integracja psad z oprogramowaniem zewnętrznym
Konfiguracja systemu wykrywania włamań Snort
Przetwarzanie sygnatur Snort na reguły iptables
Automatyzacja przetwarzania sygnatur poprzez fwsnort
Analiza i raporty psad
Instalacja i konfiguracja fwknop
Wizualizacja logów iptables

Poznaj niekomercyjne metody skutecznej ochrony sieci!

Podziękowania (13)
Przedmowa (15)
Wprowadzenie (19)

Dlaczego wykrywać ataki przy pomocy iptables? (20)

Co z dedykowanymi sieciowymi systemami wykrywania włamań? (21)
Głęboka obrona (22)

Wymagania (22)
Literatura (23)
Strona internetowa (24)
Podsumowanie rozdziałów (24)

1. Konfigurowanie iptables (27)

iptables (27)
Filtrowanie pakietów z iptables (28)

Tabele (29)
Łańcuchy (29)
Dopasowania (30)
Cele (30)

Instalacja iptables (31)
Konfiguracja jądra (32)

Najważniejsze opcje kompilacji Netfilter (33)
Kończenie konfiguracji jądra (35)
Ładowalne moduły jądra kontra opcje wkompilowane i bezpieczeństwo (35)

Bezpieczeństwo i minimalna kompilacja (36)
Kompilacja i instalacja jądra (37)
Instalacja binariów iptables działających w przestrzeni użytkownika (38)
Domyślna polityka bezpieczeństwa iptables (39)

Wymagania polityki bezpieczeństwa (39)
Początek skryptu iptables.sh (41)
Łańcuch INPUT (42)
Łańcuch OUTPUT (44)
Łańcuch FORWARD (45)
Translacja adresów sieciowych (NAT) (46)
Uaktywnianie polityki bezpieczeństwa (47)
Programy iptables-save i iptables-restore (47)
Testowanie polityki bezpieczeństwa: TCP (50)
Testowanie polityki bezpieczeństwa: UDP (52)
Testowanie polityki bezpieczeństwa: ICMP (53)

Podsumowanie (54)

2. Atak i obrona w warstwie sieciowej (55)

Logowanie nagłówków warstwy sieci w iptables (56)

Logowanie nagłówka IP (56)

Definicje ataków na warstwę sieci (59)
Nadużycia w warstwie sieci (60)

ICMP Ping z Nmap (60)
Fałszowanie pakietów IP (IP spoofing) (61)
Fragmentacja pakietów IP (63)
Niskie wartości TTL (63)
Atak smerfów (the Smurf Attack) (65)
Ataki DDoS (65)
Ataki IGMP jądra Linuksa (66)

Odpowiedzi w warstwie sieci (66)

Filtrowanie w warstwie sieci (67)
Odpowiedź wyzwalana w warstwie sieci (67)
Łączenie odpowiedzi w różnych warstwach (68)

3. Obrona i atak w warstwie transportowej (71)

Logowanie nagłówków warstwy transportowej za pomocą iptables (72)

Logowanie nagłówka TCP (72)
Logowanie nagłówka UDP (74)

Definicje ataków na warstwę transportową (75)
Nadużycia w warstwie transportowej (75)

Skanowanie portów (76)
Przemiatanie portów (84)
Ataki przewidujące sekwencję TCP (85)
SYN flood (85)

Obrona w warstwie transportowej (86)

Obrona protokołu TCP (86)
Obrona protokołu UDP (90)
Reguły firewalla i listy kontrolne routera (91)

4. Atak i obrona w warstwie aplikacji (93)

Dopasowanie ciągów znaków w warstwie aplikacji przy użyciu iptables (94)

Obserwowanie rozszerzenia porównującego ciągi znaków w działaniu (94)
Dopasowywanie znaków niedrukowalnych w warstwie aplikacji (96)

Definicje ataków w warstwie aplikacji (97)
Nadużycia w warstwie aplikacji (98)

Sygnatury Snort (98)
Wykorzystanie przepełnienia bufora (99)
Ataki typu SQL injection (101)
Czynnik ludzki (102)

Szyfrowanie i kodowanie danych w aplikacji (105)
Obrona w warstwie aplikacji (106)

5. Wprowadzenie do psad (107)

Historia (107)
Po co analizować logi firewalla? (108)
Możliwości psad (109)
Instalacja psad (109)
Administracja psad (111)

Uruchamianie i zatrzymywanie psad (112)
Unikalność procesu usługi (112)
Konfiguracja polityki bezpieczeństwa iptables (112)
Konfiguracja syslog (113)
Klient usługi whois (116)

Konfiguracja psad (117)

/etc/psad/psad.conf (117)
/etc/psad/auto_dl (123)
/etc/psad/signatures (124)
/etc/psad/snort_rule_dl (124)
/etc/psad/ip_options (125)
/etc/psad/pf.os (125)

Podsumowanie (126)

6. Działanie psad: wykrywanie podejrzanych danych (127)

Wykrywanie skanowania portów przy pomocy psad (128)

Skanowanie TCP connect() (129)
Skanowanie TCP SYN (132)
Skanowanie TCP FIN, XMAS i NULL (134)
Skanowanie UDP (135)

Ostrzeganie i raportowanie przy pomocy psad (137)

Ostrzeżenia psad wysyłane przez email (137)
Raporty generowane przez psad do sysloga (140)

Podsumowanie (141)

7. Zaawansowane zagadnienia psad: od porównywania sygnatur do wykrywania systemów operacyjnych (143)

Wykrywanie ataku z wykorzystaniem reguł Snort (144)

Wykrywanie skanera portów ipEye (145)
Wykrywanie ataku LAND (146)
Wykrywanie ruchu na 0 porcie TCP (147)
Wykrywanie pakietów z zerową wartością TTL (147)
Wykrywanie ataku Naptha DoS (148)
Wykrywanie prób rutowania źródła (148)
Wykrywanie spamu komunikatora Windows Messenger (149)

Uaktualnienia sygnatur psad (150)
Wykrywanie systemów operacyjnych (151)

Aktywne wykrywanie systemów operacyjnych za pomocą Nmap (151)
Pasywne wykrywanie systemu operacyjnego z p0f (152)

Raportowanie DShield (154)

Format raportów DShield (155)
Przykładowy raport DShield (155)

Przeglądanie danych o statusie psad (156)
Analizowanie archiwalnych logów (159)
Tryb informacyjny/śledzenia (160)
Podsumowanie (161)

8. Automatyczna obrona za pomocą psad (163)

Zapobieganie włamaniom a aktywna obrona (163)
Minusy aktywnej obrony (165)

Rodzaje ataków (165)
Fałszywe alarmy (166)

Reagowanie za pomocą psad na atak (166)

Opcje (167)
Zmienne konfiguracyjne (168)

Przykłady automatycznej obrony (170)

Konfiguracja automatycznej obrony (170)
Reakcja na skanowanie typu SYN (171)
Reakcja na skanowanie UDP (173)
Sprawdzanie wersji oprogramowania za pomocą Nmap (174)
Reakcja na skanowanie typu FIN (174)
Złośliwe fałszowanie skanowania (175)

Integrowanie automatycznych odpowiedzi psad z innymi narzędziami (176)

Interfejs wiersza poleceń (176)
Integracja ze Swatch (178)
Integracja z własnymi skryptami (179)

Podsumowanie (181)

9. Tłumaczenie reguł Snort na reguły iptables (183)

Dlaczego warto używać fwsnort? (184)

Dogłębna obrona (185)
Wykrywanie włamań zorientowane na cel i defragmentacja warstwy sieci (185)
Małe wymagania (186)
Bezpośrednie odpowiedzi (186)

Przykłady przetłumaczonych sygnatur (187)

Sygnatura Nmap command attempt (187)
Sygnatura Bancos Trojan z Bleeding Snort (188)
Sygnatura próby połączenia PGPNet (189)

Interpretacja reguł Snort przez fwsnort (190)

Tłumaczenie nagłówka reguły Snort (190)
Tłumaczenie opcji reguł Snort: logowanie pakietów w iptables (192)
Opcje Snort i filtrowanie pakietów w iptables (195)
Niewspierane opcje reguł Snort (207)

Podsumowanie (209)

10. Uruchomienie fwsnort (211)

Instalacja fwsnort (211)
Uruchomienie fwsnort (214)

Plik konfiguracyjny fwsnort (215)
Budowa skryptu fwsnort.sh (217)
Parametry fwsnort (221)

Obserwowanie fwsnort w działaniu (222)

Wykrywanie Trin00 (223)
Wykrywanie ruchu sieciowego związanego z wykonywaniem kodów powłoki systemu Linux (224)
Wykrywanie i obrona przed trojanem Dumador (225)
Wykrywanie i reagowanie na atak fałszujący pamięć podręczną DNS (227)

Tworzenie białych i czarnych list (230)
Podsumowanie (231)

11. Połączenie psad i fwsnort (233)

Łączenie wykrywania fwsnort i działań psad (234)

Atak na Setup.php z WEB-PHP (234)

Aktywna obrona (238)

psad kontra fwsnort (238)
Ograniczanie działań psad wobec ataków wykrytych przez fwsnort (239)
Łączenie działań fwsnort i psad (240)
Cele DROP i REJECT (242)

Uniemożliwianie uaktualnień Metasploit (245)

Uaktualnienia Metasploit (245)
Tworzenie sygnatury (248)
Zatrzymywanie uaktualnień Metasploit za pomocą fwsnort i psad (249)

Podsumowanie (253)

12. Port knocking a autoryzacja pojedynczym pakietem (255)

Redukcja możliwości ataku (256)
Problem ataków 0-Day (256)

Odkrywanie ataków typu 0-Day (257)
Wpływ na systemy wykrywania włamań wykorzystujące sygnatury (258)
Dogłębna obrona (259)

Wywołania portów (port knocking) (259)

Uniemożliwienie wyszukiwania celów za pomocą Nmap (261)
Jawne sekwencje wywołań portów (261)
Zaszyfrowane sekwencje wywołań portów (263)
Ograniczenia architektury techniki wywołań portów (266)

Autoryzacja pojedynczym pakietem (269)

Przekraczanie ograniczeń wywołań portów (270)
Ograniczenia architektoniczne SPA (271)

Zabezpieczanie przez utajnianie? (272)
Podsumowanie (274)

13. Wprowadzenie fwknop (275)

Instalacja fwknop (276)
Konfiguracja fwknop (278)

/etc/fwknop/fwknop.conf (278)
/etc/fwknop/access.conf (282)
Przykładowy plik /etc/fwknop/access.conf (285)

Format pakietu SPA fwknop (286)
Uruchomienie fwknop (289)

SPA i szyfrowanie symetryczne (289)
SPA i szyfrowanie asymetryczne (292)
Wykrywanie i powstrzymywanie ataku odtwarzającego pakiety (296)
Fałszowanie adresu źródłowego pakietu SPA (298)
Integracja OpenSSH z fwknop (299)
SPA przez Tor (300)

Podsumowanie (302)

14. Wizualizacja logów iptables (303)

Dostrzec nietypowe (304)
Gnuplot (306)

Rysowanie wykresów w Gnuplot (307)
Łączenie psad i Gnuplot (308)

AfterGlow (309)
Wizualizacje ataków iptables (310)

Skanowania portów (310)
Przemiatanie portów (314)
Robak Slammer (318)
Robak Nachi (319)
Połączenia wychodzące z zaatakowanych systemów (321)

Podsumowanie (323)

A: Fałszowanie ataku (325)
B: Skrypt fwsnort (331)
Skorowidz (337)

Osoby, które kupowały tę książkę, często kupowały też:

<strong><a href="/ksiazki/artde2.htm" style="color:black;" title="Sztuka podstepu. Łamałem ludzi nie hasła. Wydanie II">Sztuka podstepu. Łamałem ludzi nie hasła. Wydanie II</a></strong><br/> <img src="/img/6.gif" class="stars" /> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 39.90 zł</b> </td><td> <a href="/zakupy/add.cgi?id=artde2"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj artde2" /></a> </td> </tr> </table>

<strong><a href="/ksiazki/sievp2.htm" style="color:black;" title="Sieci VPN. Zdalna praca i bezpieczeństwo danych. Wydanie II rozszerzone">Sieci VPN. Zdalna praca i bezpieczeństwo danych. Wydanie II rozszerzone</a></strong><br/> <img src="/img/55.gif" class="stars" /> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 47.00 zł</b> </td><td> <a href="/zakupy/add.cgi?id=sievp2"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj sievp2" /></a> </td> </tr> </table>

<strong><a href="/ksiazki/mibeit.htm" style="color:black;" title="Mity bezpieczeństwa IT. Czy na pewno nie masz się czego bać?">Mity bezpieczeństwa IT. Czy na pewno nie masz się czego bać?</a></strong><br/> <img src="/img/4.gif" class="stars" /> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 39.00 zł</b> </td><td> <a href="/zakupy/add.cgi?id=mibeit"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj mibeit" /></a> </td> </tr> </table>

<strong><a href="/ksiazki/ubuof2.htm" style="color:black;" title="Ubuntu Serwer. Oficjalny podręcznik. Wydanie II">Ubuntu Serwer. Oficjalny podręcznik. Wydanie II</a></strong><br/> <img src="/img/6.gif" class="stars" /> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 79.00 zł</b> </td><td> <a href="/zakupy/add.cgi?id=ubuof2"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj ubuof2" /></a> </td> </tr> </table>

<strong><a href="/ksiazki/cwmaco.htm" style="color:black;" title="Mac OS X Tiger. Ćwiczenia praktyczne">Mac OS X Tiger. Ćwiczenia praktyczne</a></strong><br/> <div style="height:8px;"></div> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 18.99 zł</b> </td><td> <a href="/zakupy/add.cgi?id=cwmaco"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj cwmaco" /></a> </td> </tr> </table>

<strong><a href="/ksiazki/linkp3.htm" style="color:black;" title="Linux. Komendy i polecenia. Wydanie III">Linux. Komendy i polecenia. Wydanie III</a></strong><br/> <img src="/img/3.gif" class="stars" /> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 18.99 zł</b> </td><td> <a href="/zakupy/add.cgi?id=linkp3"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj linkp3" /></a> </td> </tr> </table>

<strong><a href="/ksiazki/ws28ke.htm" style="color:black;" title="Windows Server 2008 PL. Księga eksperta ">Windows Server 2008 PL. Księga eksperta </a></strong><br/> <img src="/img/55.gif" class="stars" /> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 199.00 zł</b> </td><td> <a href="/zakupy/add.cgi?id=ws28ke"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj ws28ke" /></a> </td> </tr> </table>

<strong><a href="/ksiazki/wccnaz.htm" style="color:black;" title="W drodze do CCNA. Zadania przygotowujące do egzaminu">W drodze do CCNA. Zadania przygotowujące do egzaminu</a></strong><br/> <div style="height:8px;"></div> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 69.00 zł</b> </td><td> <a href="/zakupy/add.cgi?id=wccnaz"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj wccnaz" /></a> </td> </tr> </table>

<strong><a href="/ksiazki/tijque.htm" style="color:black;" title="Tablice informatyczne. JQuery">Tablice informatyczne. JQuery</a></strong><br/> <div style="height:8px;"></div> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 12.90 zł</b> </td><td> <a href="/zakupy/add.cgi?id=tijque"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj tijque" /></a> </td> </tr> </table>

<strong><a href="/ksiazki/marspo_ebook.htm" style="color:black;" title="Marketing społecznościowy. Tajniki skutecznej promocji w social media. eBook. ">Marketing społecznościowy. Tajniki skutecznej promocji w social media. eBook. </a></strong><br/> <div style="height:8px;"></div> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 27.90 zł</b> </td><td> <a href="/zakupy/add.cgi?id=marspo_ebook"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj marspo_ebook" /></a> </td> </tr> </table>

<strong><a href="/ksiazki/vb27pp_ebook.htm" style="color:black;" title="Więcej niż Excel 2007. 166 gotowych rozwiązań i trików w języku VBA. eBook. ">Więcej niż Excel 2007. 166 gotowych rozwiązań i trików w języku VBA. eBook. </a></strong><br/> <div style="height:8px;"></div> <table cellpadding="0" cellspacing="0" style="margin:0 auto;"> <tr> <td style="width:129px;height:24px;background:url(/img/tlopodkoszyk2.gif) no-repeat scroll 0 4px;padding-left:5px;"> <b>Cena: 29.90 zł</b> </td><td> <a href="/zakupy/add.cgi?id=vb27pp_ebook"><img class="stars" src="/img/koszyk2.gif" alt="Dodaj vb27pp_ebook" /></a> </td> </tr> </table>

W wielu publikacjach można znaleźć zalety zamiany ogólnie używanego systemu operacyjnego na Linuksa - czy zamiany te obejmują też korzystanie z sieci? Jak wygląda kwestia bezpieczeństwa sieciowego w pingwinie? Jak wykrywać ataki i bronić sieci na różnych warstwach sieciowych? Jak wykorzystać logi do automatycznego tworzenia reguł iptables? Jak zabezpieczyć serwer przy użyciu metod pasywnej autoryzacji? Na te oraz inne pytania odpowiedzi można znaleźć w książce "Bezpieczeństwo sieci w Linuksie - wykrywanie ataków i obrona przed nimi za pomocą iptables, psad, fwsnort". Dzięki skryptom dolączonym do książki można samodzielnie przetestować omawiane technologie.
W rozdziale pierwszym pod tytułem Konfigurowanie iptables autor wprowadza czytelnika w temat filtrowania pakietów, administracji, iptables, kompilacji jądra, ustalenia domyślnego zestawu reguł oraz diagramu sieci.
Rozdział następny to krótka prezentacja ataków przeprowadzonych w warstwie sieci, łącznie ze sposobami reagowania na nie. Czytelnik zapoznaje się z formatami logowania iptables oraz informacjami na temat warstwy sieci, jakie można uzyskać z logów iptables.
W rozdziale pt. Atak i obrona w warstwie transportowej następuje przegląd wewnętrznych mechanizmów metod rozpoznawania serwera za pomocą skanowania i przemiatania portów. Dzięki działaniom z poprzedniego rozdziału format logowania iptables jest dobrze przygotowany do prezentowania informacji z nagłówka warstwy transportowej. Ułatwia to wykrywanie różnego rodzaju nieprawidłowości. Rozdział czwarty to ostatnia część dotycząca ataku i obrony w różnych warstwach sieci. Tutaj ma miejsce wprowadzenie do rozszerzenia iptables, dzięki któremu możliwe jest porównanie ciągu znaków oraz opis ataków na warstwę aplikacji, wykorzystujących stos TCP/IR.
Dzięki części pt. Wprowadzenie do psad (Port Sean Attack Detector) łatwiejsza będzie instalacja i konfiguracja narzędzia umożliwiajqcego skanowanie portów - psad. Po zapoznaniu się z treścią tego rozdziału łatwiejsze będzie zrozumienie logów iptables.
Rozdział szósty to omówienie funkcjonalności psad: maksymalne wykorzystanie informacji logów iptables, skanowanie portów, poszukiwanie backdoorów, wykrywanie i raportowanie podejrzanej aktywności poczty elektronicznej oraz ostrzeżeń zawartych z syslogu.
Fragment książki pt. Zaawansowane zagadnienia psad zaczyna się od porównania sygnatur Snort na podstawie nagłówków pakietów. W kolejnych partiach zawarte jest pasywne wykrywanie systemu operacyjnego (OS fingerprinting) oraz pełna informacja o statusie i raportowaniu Dshield.. Informacje umieszczone w tym miejscu przedstawiają użyteczność logów iptables w utrzymaniu bezpieczeństwa danych.
Rozdział ósmy pt. Automatyczna obrona za pomocą psad mówi o zastosowaniu automatyzmu w działaniach - w tym przypadku omówiony zostaje przejrzysty interfejs, dzięki któremu możliwa jest integracja z zewnętrznym oprogramowaniem. Wszystko poparte połączeniem ze Swatch. W kolejnym fragmencie książki czytelnik poznaje możliwość przetłumaczenia sygnatur Snort na reguły iptables. Wszystko to możliwe jest dzięki bogatemu formatowi logowania i sprawdzania danych warstwy aplikacji dostarczonych przez iptables. Dzięki możliwościom opisywanego projektu możliwe stało się zadanie automatycznego tłumaczenia sygnatur Snort na reguły iptables. Rozdział wzbogacony opisem możliwości wykrywania włamań za pomocą zestawu reguł linuksowego firewalla zawartych w skrypcie, tłumaczącym reguły Snort na równoważne reguły iptables.
Czytając rozdział Połączenie psad i fwsnort można pogłębić swoją wiedzę na temat strategii wykrywania i łagodzenia ataków z wykorzystaniem iptables. Dokładne wyjaśnienie znaczenia logów generowanych przez fwsnort, które po pobraniu i analizie przez psad, stanowią cenne źródio raportowania za pomocą poczty elektronicznej (usługi: whois, odwrotne przeszukiwanie DNS, pasywne wykrywanie systemu operacyjnego). Mechanizmy pasywnej autoryzacji, ważne dla utrzymania bezpieczeństwa usług sieciowych, to temat podjęty w rozdziale Port knocking a autoryzacja pojedynczym pakietem. Następuje tu porównanie i zróżnicowanie obu mechanizmów.
Trzynasty rozdział pokazuje metody instalowania i wykorzystania fwknop wraz z iptables do utworzenia zapory domyślnie odrzucającej wszystkie nieautoryzowane połączenia z serwerem SSH. Ostatni rozdział zawiera natomiast wybrane sposoby graficznej reprezentacji danych z logów iptables. W połączeniu z AfterGlow za pomocą obrazka możliwe jest otrzymanie informacji o potencjalnym włamaniu.
Do książki dołączono również rozdziały o fałszowaniu ataku i skrypt fwsnort. Dzięki nim można praktycznie wykorzystać informacje z książki.

HAKIN9

Michael Rash przedstawia w swojej książce koncepcję budowy systemu firewall/IDS/lPS za pomocą narzędzi dostępnych w systemie Linux. Na wstępie, w sposób prosty i zwięzły opisuje zasadę działania iptables, metody tworzenia reguł filtrowania dla tego pakietu, jak również sposoby testowania polityk bezpieczeństwa. W dalszej części następuje prezentacja metod ataków i sposobów obrony przed nimi dla różnych warstw modelu OSI. Kolejnym elementem, którego opis znajdziemy w książce jest program psad - Port Sean Attack Detector. Narzędzie to pozwala na generowanie różnych zachowań systemu na podstawie analizy logów tworzonych przez iptables. Dowiadujemy się, w jaki sposób zainstalować pakiet, jak nim administrować, a następnie, jak przy jego użyciu wykrywać zagrożenia i, co chyba jest najważniejsze, w jaki sposób za jego pomocą bronić się przed atakami. Drugim z elementów systemu obrony opisywanym przez autora, jest fwsnort. Pozwala on na użycie przez iptables sygnatur programu Snort, dzięki czemu w prosty sposób, w zasadzie automatyczny, można tworzyć reguły filtrowania na podstawie bardzo obszernej bazy wzorców ataków dostarczanych przez Snorta. Tak jak w przypadku iptables i psad znajdziemy tu dokładny opis instalacji i konfiguracji pakietu fwsnort, a także informacje o sposobie jego działania. Dopełnienie całości stanowi opis połączenia działania pakietów psad i fwsnort, które daje nam całkiem dobrze działający system ochrony przed atakami sieciowymi. Interesującym dodatkiem do systemu obrony jest omówiony przez autora program fwknop będący ciekawym pomysłem na autoryzację użytkownika za pomocą pojedynczego pakietu sieciowego. Tu również znajdziemy precyzyjny opis instalacji i konfiguracji, a ponadto dowiemy się więcej na temat sposobów szyfrowania informacji przesyłanych przez sieć, oraz jak można wykorzystać fwknop w połączeniu z OpenSSH. Jeden z ostatnich rozdziałów książki poświęcony jest zagadnieniu wizualizacji logów. W czasach rosnącego zagrożenia logi systemów obrony stają się coraz większe, często nie ma możliwości dokładnej ich analizy, a pewne zdarzenia mogą pozostać niezauważone w natłoku informacji. Dobrym pomysłem wydaje się, więc graficzna prezentacja logów. W książce znajdziemy przykłady takiej wizualizacji wykonane przez połączenie funkcjonalności psad z projektami Gnuplot i AfterGlow. Z zaprezentowanych przykładów wyraźnie wynika przydatność takiego rozwiązania. Anomalie ruchu sieciowego, które mogłyby nie zostać dostrzeżone, na wykresach widać wyraźnie. Reasumując, książka Bezpieczeństwo sieci w Linuksie jest ciekawą pozycją na rynku wydawniczym. Autor opisuje rzeczy skomplikowane w sposób pozwalający na ich zrozumienie przez osoby niebędące zaawansowanymi użytkownikami Linuksa, a równocześnie nie ogranicza się do poziomu książki dla opornych. Dawno nie czytałem książki, jakby nie było technicznej, z taką przyjemnością.

Linux+ Leszek Konka, 01/06/2009

Działania w obszarze bezpieczeństwa sieci nigdy się nie kończą, środki zapewniające bezpieczeństwo muszą być stale doskonalone. Książka wskazuje na sposób wykorzystania zapory sieciowej iptables w systemie Linux i radzi, jak ją połączyć z innym oprogramowaniem open source, w tym oprogramowaniem opracowanym przez autora publikacji. Definiuje ataki, nadużycia i środki obrony w warstwie sieciowej, transportowej i aplikacji. Prezentuje możliwości wykorzystania programu wykrywającego ataki na skanowanie portów psad. Wyjaśnia cel i sposób łączenia programów iptables i psad z programami fwsnort i fwknop, opisuje ich działanie i podaje procedury instalowania, konfigurowania i administrowania. Książką powinien się zainteresować każdy, komu zależy na zapewnieniu bezpieczeństwa sieci z systemem Linux.

NetWorld Piotr Kociatkiewicz, 11/2008

Autor podręcznika w bardzo fachowy, ale i przystępny sposób tłumaczy, jak wdrażać niezbędne narzędzia i używać ich do skutecznego zarządzania linuksowymi serwerami. Wymaga od czytelnika znajomości systemu, ale szczegółowo wyjaśnia mu, jak zarządzać polityką bezpieczeństwa sieci. W kolejnych rozdziałach omówiony jest m.in. sposób działania systemowego firewalla, analiza logów i tworzenie nowych reguł ip-tables. Na konkretnych przykładach wyjaśnione są mechanizmy ataków na serwer, a także sposoby obrony przed nimi. W książce zawarto też przegląd najciekawszych narzędzi ułatwiających codzienne prace administracyjne.

NEXT 12/2008