Безопасность Сервера

[Сэм]

Всем привет

Предлагаю обсудить свои тесты, вариации безопасности веб и разных серверов, которых нужно защищать от разных атак. Крутые аппараты ASA и дорогие программы не в счет. Давайте делиться опытом по принципу дешевле + сердито Можем делиться опытом, учиться друг у друга, практиковать выгодные и надежные варианты )

К примеру, сейчас тестирую свой принцип работы файрволла:

1) Минимально - на базе pf, ipfw - фильтруется и блокируется все сомнительное: грубо говоря, существует основной управляющий сервер и агенты на других серверах. В зависимости от событий, срабатывают 2 и 3 этапы, далее блокировка

2) Логи анализируются с помощью условно бесплатной программы. Удобная штука, но дорогая если работать с лицензией.

3) Есть свое и программное оповещение о разных атак, подозрительных действий с отправкой смс. Тоже обходится дорого - работает через свой шлюз и короткий номер от местного оператора, но дешевле чем enterprice версия анализатора.

[Boob]

1) Минимально - на базе pf, ipfw - фильтруется и блокируется все сомнительное: грубо говоря, существует основной управляющий сервер и агенты на других серверах. В зависимости от событий, срабатывают 2 и 3 этапы, далее блокировка

</p>По-моему запутанно и чересчур сложно. Главное в безопасности: простота реализации. А так легко что-то забыть. В общих чертах написан пост, поэтому ответов нет. Приведите наглядные примеры.

[Сэм]

</p>По-моему запутанно и чересчур сложно. Главное в безопасности: простота реализации. А так легко что-то забыть. В общих чертах написан пост, поэтому ответов нет. Приведите наглядные примеры.

Не запутанно. Если тест удастся, то серверов очень много, и просто необходимо как-то аккуратно вести работу. Не знаю, мне кажется, что все просто и стабильно работает пока что.

А у вас как обстоят дела с этим? Как управляете, узнаете о проблемах, чем защищаете?

У меня, примерно, получается похожая структура как на фото. Основной сервер анализирует, реагирует - посылает сигнал на шлюз для отправки смс; отправляет команду на блокировку и наоборот.

Работает так:

Атака на сервер -> реакция агента на атаку, при необходимости блокировка; --> отправка информации на основной сервер для анализа и оповещения о проблеме.

Пока серверов несколько ( тестовые, без выхода в нет ), поэтому, процесс занимает всего пару секунд - моментальная реакция и результат.

Получаю:

1) Никаких логов в основных серверах

2) Нормальная - бесплатная защита без специальной аппаратуры

3) Так как серверов будет очень много и важно узнать о проблемах сразу, моментально. Структура позволяет узнать все своевременно.

4) Более простая работа с логами для анализа - все в одном и под рукой

5) Более простой мониторинг защиты и в общем состояния самого сервера

Минусы:

1) Как то нужно еще защитить обмен данных между агентами и основным сервером

Может слишком просто смотрится, но основная цель - найти оптимальные методы работы, и чтобы дорого не было. Максимум из минимума, как бы так.

В основном сервере работает анализатор лога; скрипты самописные ( пока что простые правила для определения атак ), пару opensource программ - rkhunter и еще пару вещей от alienvault.

У агентов свой штатный файрволл.

Edited March 1, 2013 by Сэм

[Сэм]

глюк.

Edited March 1, 2013 by Сэм

[diagn0st]

Ну осталось только понять что

У меня, примерно, получается похожая структура как на фото. Основной сервер анализирует, реагирует - посылает сигнал на шлюз для отправки смс; отправляет команду на блокировку и наоборот.

Работает так:

Атака на сервер -> реакция агента на атаку, при необходимости блокировка; --> отправка информации на основной сервер для анализа и оповещения о проблеме.

Пока серверов несколько ( тестовые, без выхода в нет ), поэтому, процесс занимает всего пару секунд - моментальная реакция и результат.

Минусы:

1) Как то нужно еще защитить обмен данных между агентами и основным сервером

Может слишком просто смотрится, но основная цель - найти оптимальные методы работы, и чтобы дорого не было. Максимум из минимума, как бы так.

У агентов свой штатный файрволл.

Приветствую! Энтузиазм вещь замечательная. Даже если не принесет больших плодов, зато полностью погрузит в логику процессов NDS и NDP.

Без вникания в подробности реализации, описанное Вами можно назвать классической моделью любого NDS.

Канал связи между анализатором и агентами можно попробовать защитить при помощи IP-Sec чтобы не мучаться со своим центром сертефикации, для начала при помощи Pre-Shared keys.

Не совсем ясен момент - агенты стоят на файерволах внутренней границы периметра (второго уровня) или они конкретно на самих access (конечных) серверах?

Но в любом случае, задумка весма интересная....

В принципе, Вы все сами изложили, как-то добавлять нечего. Ну да, вы расширите список характерных сигнатур атак, построите соответсвующие механизмы реагирования. Механизхм оповещения уже готов как я понял, если надо, добавить опопвещение по почте.

Если станете наворачивать сам анализатор, можете добавить на него самого, а еще лучше на отдельный сервер механизм трассировки для выявления адреса атакующего.

Дополнительным слоем сюда можно добавить механизм защиты при помощи Honeypots.

Это немного сложноватый для програмной реализации механизм, характерен немалым (по началу) количеством ложных срабатываний, но довольно любопытный.

Создаются виртуальные копии (сервисы) серверов на которые будут перенаправляться запросы потенциальной атаки, с целью подтвердить атаку, если атака опровегнута, запросы перенаправляются к основному серверу (точнее перестауют направляться к виртуальному), а вот если атака подтверждается, блокировка не происходит, вместо этого включается трассировка адреса. А по теме трассировки - халявой многого не добьешся.

Кстати этот же метод будет особо полезен "в критические дни" (когда о времени потенциальной атаки уже известно)...

Edited March 2, 2013 by diagn0st

[diagn0st]

А по теме трассировки - халявой многого не добьешся.

Как-то несправедливое утверждение получилось.. Я имел в виду не сами утилиты а сервисы поддержки...

[Сэм]

Канал связи между анализатором и агентами можно попробовать защитить при помощи IP-Sec чтобы не мучаться со своим центром сертефикации, для начала при помощи Pre-Shared keys.

Надо посмотреть)

Не совсем ясен момент - агенты стоят на файерволах внутренней границы периметра (второго уровня) или они конкретно на самих access (конечных) серверах?

Но в любом случае, задумка весма интересная....

Нет, агенты, как и штатные файрволлы находятся на конечных серверах. Агенты нужны для контрола происходящего, а дальше в зависимости от события срабатывают правила для файрволла.

В принципе, Вы все сами изложили, как-то добавлять нечего. Ну да, вы расширите список характерных сигнатур атак, построите соответсвующие механизмы реагирования. Механизхм оповещения уже готов как я понял, если надо, добавить опопвещение по почте.

По почте есть оповещение, но отказался от этой идеи - на тестовых серверах пока нет никаких атак, кроме собственных для проверки. А если все это установить на реальные сервера - то от количество писем можно просто с ума сойти) Практически все типы атак приходятся на уровень больше 5 баллов по 10 шкале. Поэтому, сортировка тоже не поможет - сервер будет бомбить письмами. Читать их времени нет, притом, есть анализатор - все фиксируется и можно просматривать любую информацию.

Если станете наворачивать сам анализатор, можете добавить на него самого, а еще лучше на отдельный сервер механизм трассировки для выявления адреса атакующего.

Вы имеете ввиду обычные IP адреса? Зачем для этого отдельный сервер? Не совсем понял относительно механизма трассировки - что это мне даст? Если речь идет просто о айпи адресах, то они улавливаются и фиксируются (вне зависимости атака это или нормал коннекшн) все на том же основном сервере. Он у меня так же отвечает за сбор информации - логов и обработки. Логи разные - системные, пользовательские, апач, нгинх и так далее. Системные как раз сегодня решил, что буду управлять с помощью Nagios - хорошая штука для мониторинга сервисов.

Дополнительным слоем сюда можно добавить механизм защиты при помощи Honeypots.

Это немного сложноватый для програмной реализации механизм, характерен немалым (по началу) количеством ложных срабатываний, но довольно любопытный.

Создаются виртуальные копии (сервисы) серверов на которые будут перенаправляться запросы потенциальной атаки, с целью подтвердить атаку, если атака опровегнута, запросы перенаправляются к основному серверу (точнее перестауют направляться к виртуальному), а вот если атака подтверждается, блокировка не происходит, вместо этого включается трассировка адреса. А по теме трассировки - халявой многого не добьешся

Интересная вещь. Можно поподробнее о минусах механизма?

Edited March 2, 2013 by Сэм

[Mr_Shock]

дешевенький ISA сервер не прокатит?

[diagn0st]

По почте есть оповещение, но отказался от этой идеи - на тестовых серверах пока нет никаких атак, кроме собственных для проверки. А если все это установить на реальные сервера - то от количество писем можно просто с ума сойти) Практически все типы атак приходятся на уровень больше 5 баллов по 10 шкале. Поэтому, сортировка тоже не поможет - сервер будет бомбить письмами. Читать их времени нет, притом, есть анализатор - все фиксируется и можно просматривать любую информацию.

Трудно не согласится :)

Вы имеете ввиду обычные IP адреса? Зачем для этого отдельный сервер? Не совсем понял относительно механизма трассировки - что это мне даст? Если речь идет просто о айпи адресах, то они улавливаются и фиксируются (вне зависимости атака это или нормал коннекшн) все на том же основном сервере. Он у меня так же отвечает за сбор информации - логов и обработки. Логи разные - системные, пользовательские, апач, нгинх и так далее. Системные как раз сегодня решил, что буду управлять с помощью Nagios - хорошая штука для мониторинга сервисов.

Нет я имел в виду анализ маршрута к внешнему IP адресу потенциального взломщика. Для начала, хотя бы построить маршрут атаки. В дальнйшем блокировать (или контр-атака) сразу нескольких узлов маршрутизации по глубине начиная с самого дальнего узла ( возможного прокси). Например, заблокировать сразу всю сеть\группу сетей\провайдера, в которую входит адрес. Радикально, но эффективно, особенно от атаки ботнетов - на время атаки эти узлы будут заблокированы (например на 5-10-15... минут от начала и 2-3... повтора).

А на отдельном сервере, так как если сам анализатор, при компрометации, будет подвержен DoS атаке, чтобы трассировка не замедлялась (хуже - не прекращалась)...

Интересная вещь. Можно поподробнее о минусах механизма?

Самый главный минус описанного механизма - трудоемкость и затраты на реализацию, и его гемор - сам механизм временного перенаправления...

Требует много времени на анализ,а при этом конечная эффективность из-за бездействия иногда нулевая.

Словом, этим увлекаются особые структуры...

С другой стороны хонейпот (хонейнет) изначально - это просто сервер (сеть серверов) открытый к атаке - для дальнейшего анализа методов доступа и попыток взлома. Позволяет быстро пополнить базу "зловердных проявлений/действий". Часто строятся при заказе "белой атаки".

Не знаю, помогло ли Вам это с Вашим экспериментом, но хочется пожелать Вам успехов как в экспериментах, так и в построении механизмов обнаружения и защиты.

Удачи!!!

[Сэм]

дешевенький ISA сервер не прокатит?

Расскажите поподробнее

[Сэм]

Нет я имел в виду анализ маршрута к внешнему IP адресу потенциального взломщика. Для начала, хотя бы построить маршрут атаки. В дальнйшем блокировать (или контр-атака) сразу нескольких узлов маршрутизации по глубине начиная с самого дальнего узла ( возможного прокси). Например, заблокировать сразу всю сеть\группу сетей\провайдера, в которую входит адрес. Радикально, но эффективно, особенно от атаки ботнетов - на время атаки эти узлы будут заблокированы (например на 5-10-15... минут от начала и 2-3... повтора).

Да, это неплохо бы доделать. Можно заблокированные айпи адреса дальше передать на анализ, и блокировать все, что находится выше)

Есть проверенные механизмы, примеры?

А на отдельном сервере, так как если сам анализатор, при компрометации, будет подвержен DoS атаке, чтобы трассировка не замедлялась (хуже - не прекращалась)...

Чем можно минимизировать дос атаку? Интересны любые варианты

Самый главный минус описанного механизма - трудоемкость и затраты на реализацию, и его гемор - сам механизм временного перенаправления... Требует много времени на анализ,а при этом конечная эффективность из-за бездействия иногда нулевая. Словом, этим увлекаются особые структуры...

С другой стороны хонейпот (хонейнет) изначально - это просто сервер (сеть серверов) открытый к атаке - для дальнейшего анализа методов доступа и попыток взлома. Позволяет быстро пополнить базу "зловердных проявлений/действий". Часто строятся при заказе "белой атаки".

Полезный механизм, в будущем обязательно протестирую. Все практичное когда нибудь нужен бывает)

Спасибо!

[diagn0st]

Расскажите поподробнее

Если это был не прикол, то... Наверное уже лучше поговорить не про ISA - морально устарел, а про TMG (Threat Management Gateway).

В сравнении с ISA люксовый бизнесс класс.

http://www.forefront-tmg.ru/

Все конечно не так романтично, как мы с Вами обсуждали ранее... Все уже сделано :)

Но нет механизма управления штатными файерволами... Вместо этого, можно построить второй уровень фильтрации с механизмом Front-End/Back-End.

А с использованием UAG (Unified Access Gateway) становится особенно любопытным.

http://www.microsoft.com/ru-ru/server-cloud/forefront/unified-access-gateway.aspx

http://www.oszone.net/11401/Microsoft-Forefront-UAG

[Сэм]

Если это был не прикол, то... Наверное уже лучше поговорить не про ISA - морально устарел, а про TMG (Threat Management Gateway).

В сравнении с ISA люксовый бизнесс класс.

http://www.forefront-tmg.ru/

Все конечно не так романтично, как мы с Вами обсуждали ранее... Все уже сделано

Но нет механизма управления штатными файерволами... Вместо этого, можно построить второй уровень фильтрации с механизмом Front-End/Back-End.

А с использованием UAG (Unified Access Gateway) становится особенно любопытным.

http://www.microsoft...ss-gateway.aspx

http://www.oszone.ne...t-Forefront-UAG

Прикол, не прикол - выслушаем всех

TMG уже настроен, и работает неплохо. Для тестовой среды тоже можно, но, к нему нужна лицензия (слухи ходят, что скоро вообще накроется - не знаю, утка или нет), виндоуз лицензии.. , так же отдельно поднять бяк-ап сервер и держать на всякий случай в стороне или же настроить балансер...

Edited March 2, 2013 by Сэм

[diagn0st]

Да, это неплохо бы доделать. Можно заблокированные айпи адреса дальше передать на анализ, и блокировать все, что находится выше)

Есть проверенные механизмы, примеры?

Сорри, тут и сходу примеров нет... "Я не знаю как включается компьютер" (с)

Чем можно минимизировать дос атаку? Интересны любые варианты

Тут все зависит от типа ОС и конкрентной конфигурации, набора сервисов... Ну к Вашему примеру, приблизительно:

http://www.opennet.ru/base/sec/linux_dos_guard.txt.html

[diagn0st]

Прикол, не прикол - выслушаем всех

TMG уже настроен, и работает неплохо. Для тестовой среды тоже можно, но, к нему нужна лицензия (слухи ходят, что скоро вообще накроется - не знаю, утка или нет), виндоуз лицензии.. , так же отдельно поднять бяк-ап сервер и держать на всякий случай в стороне или же настроить балансер...

Хммм... Все зависит от того как "установлен и впарвлен" - не должен накрыться...

Последняя часть поста про TMG или свое решение?

[Сэм]

Хммм... Все зависит от того как "установлен и впарвлен" - не должен накрыться...

Последняя часть поста про TMG или свое решение?

Про TMG. Если накроется, то нужно ведь как-то все поднять быстро. Как-то сервер сам по себе перезагрузился из за апдейтов- неправильно настроили, точнее, вообще забыли :) , мелочь вроде - но превратилась в серьезную проблему и в итоге до утра в серверной мерзнули перед kvm :) Тут без готового бякап-а не обойтись. Поднял, все заработало, а потом можно спокойно искать причины сбоя.

[diagn0st]

Про TMG. Если накроется, то нужно ведь как-то все поднять быстро. Как-то сервер сам по себе перезагрузился из за апдейтов- неправильно настроили, точнее, вообще забыли , мелочь вроде - но превратилась в серьезную проблему и в итоге до утра в серверной мерзнули перед kvm Тут без готового бякап-а не обойтись. Поднял, все заработало, а потом можно спокойно искать причины сбоя.

TMG даже стандартную версию можно объединить в массив - так можно настроить отказоустойчивость Интернет канала за счет самого TMG + балансер на внутреннем адресе, либо допольнительный шлюз в раздаче на DHCP. На взброс - но должно сработать...

[Boob]

Редко как-то встает этот вопрос. Написал пару скриптиков, один для нахождения в реальном времени того, кто резолвер мочит:

#!/usr/local/bin/bash

f=/tmp/tcpdump.log

tcpdump -n 'udp port 53' > "$f" &amp;

sleep 5

kill %1

awk '{print $3}' "$f" | cut -d. -f1-4 | sort | uniq -c | sort -n -r -k1,1 | head

И второй для выявления и временного блокирования спамщика через qmail

#!/bin/sh

exec 2>/dev/null

fillbuff() {

buff="$(find /var/qmail/queue/mess/ -type f | xargs -n1 -I% sh -c "fgrep -w -B1 'by mx.example.net' % | grep '^Received:' | awk '{print \$NF}'" | tr -dC '[ .[:digit:]]\n' | sort | uniq -c | sort -n -k1,1 -r | awk '$1 > 69 { print $2 }')"

}

fillbuff

[ "$1" = 'flush' ] && {

/sbin/ipfw table 0 flush

[ -z "$buff" ] && {

sleep 120

fillbuff

}

}

echo "$buff" | while read ip; do

/sbin/ipfw -q table 0 add "$ip"

done

Вторая прога самодостаточна и использует ipfw.

Вызывается из cron каждые 5 минут как /path/to/kill-qmail-spammer.sh и раз в час как /path/to/kill-qmail-spammer.sh flush

Ничего друго централизованного или общего назначения не использую - как бы нет нужды. Если вовремя секьюрити апгрейды проводить, вменяемые настройки использовать, и лишнего ничего не держать.

Edited March 3, 2013 by Boob

[Mr_Shock]

Если это был не прикол, то... Наверное уже лучше поговорить не про ISA - морально устарел, а про TMG (Threat Management Gateway).

В сравнении с ISA люксовый бизнесс класс.

http://www.forefront-tmg.ru/

Все конечно не так романтично, как мы с Вами обсуждали ранее... Все уже сделано

Но нет механизма управления штатными файерволами... Вместо этого, можно построить второй уровень фильтрации с механизмом Front-End/Back-End.

А с использованием UAG (Unified Access Gateway) становится особенно любопытным.

http://www.microsoft...ss-gateway.aspx

http://www.oszone.ne...t-Forefront-UAG

у меня привычка тотже TMG называть ISA Serverom.