Tipy a triky útokov a útočníkov

linux_server.jpg V pred­chád­za­jú­cich čas­tiach sme sa za­obe­ra­li bez­peč­nos­ťou sie­te, rôz­ny­mi útok­mi a oc­hra­nou pro­ti nim. Ve­no­va­li sme sa nas­ta­vo­va­niu sys­té­mu, pí­sa­li sme rôz­ne skrip­ty, rie­ši­li prob­lé­my. Ten­to­raz sa sús­tre­dí­me na troc­hu ľah­šiu, ale stá­le veľ­mi dô­le­ži­tú té­mu. Je­den či­ta­teľ mi po­lo­žil otáz­ku, ako zis­tí, či je je­ho sys­tém zra­ni­teľ­ný, ako zis­tí, že prís­luš­ný po­rt je ot­vo­re­ný ale­bo že da­ná služ­ba je zra­ni­teľ­ná ale­bo zby­toč­ná... A mu­sím mu dať za prav­du. Nes­ta­čí uro­biť opat­re­nia pro­ti prí­pad­ným na­ru­ši­te­ľom a mať (nie­ke­dy nao­zaj klam­li­vý) po­cit, že sme pre bez­peč­nosť na­šej sie­te ale­bo server­a uro­bi­li všet­ko. Tre­ba vy­ko­nať aj ur­či­tú kon­tro­lu, či je to nao­zaj tak. A prá­ve o tom bu­de te­raz reč.

Pre­ven­cia, sa­mo­vy­šet­re­nie, di­ag­nos­ti­ka, lieč­ba
V tej­to čas­ti si po­ži­čia­me ur­či­té po­jmy z me­di­cí­ny. Veď po­čí­ta­čo­vé ví­ru­sy či oc­ho­re­nia sie­te ma­jú po­dob­né príz­na­ky ako tie v ľud­skom ži­vo­te. Asi všet­ci uz­ná­me, že lieč­ba je asi naj­prob­lé­mo­vej­šia a naj­nák­lad­nej­šia – či už v ži­vo­te, ale­bo v ob­las­ti po­čí­ta­čov. A pre­to sto­jí na kon­ci hie­rarchie uve­de­ných po­jmov. Všet­ky os­tat­né pred lieč­bou sú lac­nej­šie, rých­lej­šie a efek­tív­nej­šie. A to pla­tí aj vo sve­te po­čí­ta­čov.

Pre­ven­cii sme sa ve­no­va­li v pred­chád­za­jú­cich čas­tiach se­riá­lu, k di­ag­nos­ti­ke pris­tu­pu­je­me vte­dy, ak sa nám v na­šom sys­té­me nie­čo nez­dá, na­ko­niec nas­le­du­je lieč­ba, o kto­rej sa zmie­ni­me ino­ke­dy. Te­raz sa bu­de­me za­obe­rať sa­mo­vy­šet­ro­va­ním, te­da me­tó­da­mi a po­stup­mi, kto­ré nám uká­žu zra­ni­teľ­né mies­ta v sie­ti, mož­nos­ti prie­ni­ku, ot­vo­re­né dvier­ka. Sa­mo­vy­šet­re­nie nám uká­že, či už sa ná­ho­dou niek­to ne­po­kú­šal o útok či prie­nik, vte­dy je už nao­zaj naj­vyš­ší čas s tým nie­čo uro­biť. Vý­stu­pom sa­mo­vy­šet­re­nia by ma­li byť opat­re­nia, kto­ré zvý­šia bez­peč­nosť sie­te či sys­té­mu na maximum.

Z po­hľa­du útoč­ní­ka
Aby sme moh­li správ­ne vy­šet­riť na­šu sieť, mu­sí­me sa na chví­ľu prev­te­liť do ko­že po­ten­ciál­ne­ho útoč­ní­ka. Iba tak mô­že­me as­poň troc­hu po­cho­piť, ako útoč­ník roz­mýš­ľa a aké nás­tro­je po­uží­va. Eš­te prv ako sa pus­tí­me do kon­krét­nych po­stu­pov na od­ha­le­nie prie­ni­ku, po­ved­zme si nie­čo o naj­zák­lad­nej­ších prak­ti­kách, ako zís­kať in­for­má­cie o sys­té­me.

Hro­mad­ný ping
Hro­mad­ný ping je me­tó­da, po­mo­cou kto­rej útoč­ní­ci zis­ťu­jú, či v da­nom roz­sa­hu vy­bra­ných IP ad­ries sa nac­hád­za fun­gu­jú­ci sys­tém, kto­ré­ho IP ad­re­su ne­poz­na­jú. Sú dve mož­nos­ti – ruč­ne sa do­py­to­vať na kaž­dú ad­re­su (pin­gom) ale­bo si náj­sť nás­troj, kto­rý to vy­ko­ná za nás. Ta­ký je nap­rík­lad le­gen­dár­ny prog­ram Nmap (na ad­re­se www.in­se­cu­re.org/nmap).

Je­ho po­uži­tie na hro­mad­ný ping je jed­no­duc­hé: nmap -sP 192.168.1.0/24 a dos­ta­ne­me vý­sled­ky po­dob­né ako na vý­pi­se č. 1.

Star­ting Nmap 4.52 ( http://in­se­cu­re.org ) at 2009-07-04 11:25 CEST
Host 192.168.1.1 ap­pears to be up.
Host 192.168.1.50 ap­pears to be up.
MAC Ad­dress: 00:1E:58:40:A8:7F (D-Link)
Host 192.168.1.140 ap­pears to be up.
MAC Ad­dress: 00:1B:11:4E:40:75 (D-Link)
Host 192.168.1.200 ap­pears to be up.
MAC Ad­dress: 00:13:21:C0:FF:09 (Hewlett Pac­kard)
Nmap do­ne: 256 IP ad­dres­ses (4 hosts up) scan­ned in 10.946 se­conds


Ta­ký­to hro­mad­ný ping po­skyt­ne útoč­ní­ko­vi veľ­mi dô­le­ži­té in­for­má­cie o štruk­tú­re sie­te. Aby sme moh­li na to­to rea­go­vať, mu­sí­me naj­prv ve­dieť, že sa niek­to o ping po­kú­ša. Na de­tek­ciu ta­kýc­hto si­tuá­cii sa od­po­rú­ča po­uží­vať nás­troj Scan­logd (na strán­ke www.openwall.com/scan­logd). Je to dé­mon bež­iaci na po­za­dí, kto­rý nás in­for­mu­je o kaž­dom vzdia­le­nom do­py­to­va­ní na náš po­čí­tač. Len na dopl­ne­nie: scan­logd exis­tu­je aj pre ope­rač­ný sys­tém MS Win­dows.

Ske­no­va­nie po­rtov
Keď útoč­ník zis­til IP ad­re­su po­čí­ta­čov, kto­ré sú ak­tív­ne (tzv. ži­vé), za­čne sa za­obe­rať jed­not­li­vý­mi stroj­mi. Naj­prv si vy­be­rie jed­nu ad­re­su a za­čne skú­šať, aké po­rty sú na tom­to po­čí­ta­či dos­tup­né. My už vie­me, že kaž­dý po­rt slú­ži pre ur­či­tú kon­krét­nu služ­bu, nap­rík­lad ssh po­uží­va po­rt 22, SMTP za­se po­rt 25 ale­bo PO­P3 po­rt čís­lo 110. Útoč­ník tak mô­že niek­to­rým ot­vo­re­ným po­rtom vkĺznuť do sys­té­mu, ak vie, ako na to, te­da zneu­ži­je služ­bu, kto­rá na da­nom po­rte beží. Aby zis­til, kto­ré po­rty sú ot­vo­re­né, opäť mô­že po­užiť nás­troj Nmap s pa­ra­met­ra­mi -sS:

nmap -sS 192.168.1.1

Po je­ho spus­te­ní mô­že­me dos­tať vý­sled­ky po­dob­né tým na vý­pi­se č. 2.

Star­ting Nmap 4.52 ( http://in­se­cu­re.org ) at 2009-07-04 11:47 CEST
Inter­es­ting po­rts on 192.168.1.1:
Not shown: 1700 clo­sed po­rts
PO­RT      STA­TE SERVIC­E
25/tcp    open  smtp
80/tcp    open  http
110/tcp   open  po­p3
111/tcp   open  rpcbind
139/tcp   open  net­bios-ssn
143/tcp   open  imap
443/tcp   open  https
445/tcp   open  mic­ro­soft-ds
901/tcp   open  sam­ba-swat
993/tcp   open  imaps
995/tcp   open  po­p3s
3128/tcp  open  squid-http
3306/tcp  open  mysql
10000/tcp open  snet-sen­sor-mgmt

Nmap do­ne: 1 IP ad­dress (1 host up) scan­ned in 0.213 se­conds


Z vý­sled­kov dob­re vi­dieť, kto­ré po­rty sú ot­vo­re­né a aké služ­by na nich bež­ia. Aby sme ma­li preh­ľad o tom, kto a ke­dy zis­ťo­val in­for­má­cie o na­šom sys­té­me, po­rtoch a služ­bách, je vhod­né nain­šta­lo­vať prog­ram, kto­rý ten­to preh­ľad za­bez­pe­čí. Tým­to prog­ra­mom sa ho­vo­rí IDS (In­tru­sion De­tec­tion Sys­tem).

Vý­bor­ný nás­troj je prog­ram Snort (www.snort.org). Ten za­zna­me­ná­va všet­ky po­dob­né ak­cie a hlá­se­nie ulo­ží do preh­ľad­né­ho lo­gu. Ten mô­že­me bež­ne pre­čí­tať ale­bo ana­ly­zo­vať po­mo­cou iné­ho exter­né­ho prog­ra­mu, kto­rý umož­ňu­je nas­ta­vo­vať rôz­ne filtrač­né pra­vid­lá. Ta­kým nás­tro­jom mô­že byť prog­ram Snor­tSnarf (http://www.se­cu­ri­ty­fo­cus.com/tools/1603) ale­bo Snor­tA­CID (http://www.an­drew.cmu.edu/user/rda­ny­liw/snort/snor­ta­cid.html), prí­pad­ne prog­ram BA­SE (http://sour­ce­for­ge.net/pro­jects/se­cu­rei­deas/).

Ske­no­va­nie bež­iacich slu­žieb
Po­rty na po­čí­ta­či sú ot­vo­re­né pre­to, aby po­sky­to­va­li služ­by. A služ­by po­tre­bu­je­me – nie je rie­še­ním služ­by za­ká­zať. Ta­ký sys­tém by bol v po­dsta­te na­nič. Ako však zis­tiť, či po­sky­to­va­né služ­by sú bez­peč­né a po­uží­va­né ap­li­ká­cie v nich sú bez chýb?

Dnes exis­tu­jú rôz­ne nás­tro­je, kto­ré to umož­ňu­jú zis­tiť. Je­den z nich je bez­peč­nost­ný ske­ner Nes­sus (www.nes­sus.org). Prin­cíp je­ho prá­ce spo­čí­va v tom, že do­ká­že roz­poz­nať ope­rač­ný sys­tém po­čí­ta­ča, ap­li­ká­cie, po­rty a služ­by v ňom a na zá­kla­de vsta­va­nej da­ta­bá­zy vie vy­hod­no­tiť chy­by ve­dú­ce k zra­ni­teľ­nos­ti sys­té­mu. Po kon­tro­le po­čí­ta­ča zis­tí, kde a aké sú ne­dos­tat­ky v ob­las­ti bez­peč­nos­ti, vie pred­po­ve­dať ur­či­té prob­lé­my a kom­pli­ká­cie, prí­pad­ne navr­hne aj ich rie­še­nie. Je to moc­ný nás­troj pra­cu­jú­ci pod rôz­ny­mi ope­rač­ný­mi sys­té­ma­mi a tu pla­tí jed­no dô­le­ži­té pra­vid­lo: Po­uži­me prog­ram Nes­sus skôr, ako to uro­bí útoč­ník! A ne­za­bud­ni­me na pra­vi­del­nú ak­tua­li­zá­ciu je­ho da­ta­bá­zy chýb a bez­peč­nos­tných prob­lé­mov.

Na­bu­dú­ce bu­de­me v tej­to té­me po­kra­čo­vať.

Ďal­šie čas­ti >>

Zdroj: Infoware 8-9/2009



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Li­nux prak­tic­ky ako server úvod
Linux ako server je pomerne zložitá technológia. Jej výhodou je určitá modularita, keď sa nemusí nastaviť celý server naraz, ale postupne. čítať »
 
Syn­chro­ni­zá­cia ča­su v Li­nuxe
V predchádzajúcich dvoch častiach sme si ukázali, že Linux a všeobecne open source softvér sa nenachádza iba v serveroch a počítačových sieťach, ale aj v iných zariadeniach bežnej domácej potreby a v oblasti hobby. čítať »
 
Za­ria­de­nia za­lo­že­né na Li­nuxe
V predchádzajúcej časti sme si spomenuli definície nie - ktorých pojmov z oblasti nášho záujmu, teda Linuxu. Vysvetlili sme si, čo je to Open Source, Public Domain, proprietárny softvér a GNU GPL. Tentoraz ukážeme, ako sa tieto pojmy využívajú v praxi. čítať »
 
Po­jmy z ob­las­ti
Tentoraz na chvíľu trochu odbočíme od bezpečnosti Linuxu a jeho siete. V tejto neštandardnej časti seriálu sa mu budeme venovať len okrajovo. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí II.
V predchádzajúcej časti sme sa začali zaoberať bezpečnosťou bezdrôtových sietí. Poukázali sme na rôzne faktory zneužitia siete, podstatu rizika a vysvetlili sme základné prvky bezpečnosti. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí I.
V predchádzajúcich častiach sme sa venovali bezpečnosti linuxového servera. Riešili sme firewall, bezpečnosť prístupu na internet, zaoberali sme sa demilitarizovanou zónou a podobne. čítať »
 
Údr­žba lo­gov – kon­fi­gu­rá­cia log­ro­ta­te
V predchádzajúcej časti sme sa venovali rotácii logov. Vysvetlili sme princíp ukladania logov, spôsob, ako sa rotujú, a uviedli sme niečo o tom, čo a ako treba nastaviť čítať »
 
Údr­žba lo­gov – ro­tá­cia
V predošlej časti sme sa zaoberali spôsobom logovania informácií na iný alebo vzdialený počítač a ukázali sme, ako riešiť problém s logovaním uzavretých procesov pomocou chroot. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter