Я понимаю, что по поводу защиты\файрволла и т.д. сказано было уже много и в этом форуме тоже. Но хочется как минимум подвести под всем этим итог.
1) что правильно писать в iptables и почему!
скрипт genie видел, но он требует пояснений, зачем какие правила там стоят и почему не стоят другие.
2) а как насчет intrunsion detection?
как обезапаситься от атак на службы? под виндом сидит у меня Symnatec client firewall и гундит, что кто-то меня там где-то хочет пробить, а он не дает. не пропишешь же в iptables вообще все службы!
3) ну от антивирусов мы отказались, ну а sniffer? (или это относить к пункту (2))
опять таки это я знаю только про снифферов. но ведь есть и еще подобные вещи!
4) а все ли я учел в выше стоящих пунктах?
// Тему переместил(а) fly4life из форума «UNIX FAQ».
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Ну, чтобы понять «зачем какие правила там стоят», нужно прочитать iptables-tutorial <font size=«-2»>(в гугле ищется на раз)</font> — оттуда узнаешь, что значит каждый аргумент в каждой строчке правил. После понимания этого придёт и понимание «почему» они там стоят.
Хотя, если Genie будет не лень, то он тебе может быть и сам расскажет ;)
iptables — это далеко не IDS. iptables пердназначен для фильтрации трафика по заданным правилам. А IDS — это совсем другого круга приложение. В качестве оного можешь попробовать Snort.
А «обезопаситься от атак на службы» каким-то образом можно, пытаясь сочетать вместе IDS и iptables.
Ну, кроме как непониманием работы iptables, я эту реплику больше расценить никак не могу.
Что-то не фижу связи между антивирусом и сниффером. А также между сниффером и пунктом 2 (т.е. IDS, насколько я понял).
Смотря что ты про них знаешь. А-то по фразе: «ну от антивирусов мы отказались, ну а sniffer? (или это относить к пункту (2)», сдаётся мне, что и о них ты знаешь немного.
ИМХО, в принципе, для защиты линукс сервера тебе понадобятся iptables, логирующая система (IDS или даже простой логгер, типа iplog или portsentry) и человек, периодически следящий за показаниями логирующей системы. Ну, и регулярные backup с патчами сервисов никогда не будут лишними ;).
П.С. «full security» не существует (по кнайней мере, в сети) ;)
объяснять всё и подробно — дудет не то, чтобы лень (хотя и это тоже), но и некогда, и, насколько я понимаю дело объяснений, малополезно.
потому как о подготовленности и желании разбираться в вопросеу propeller ничего не известно.
вот если будут конкретные вопросы… это да, там ещё можно ;)
какое-то время за этим наблюдать интересно. поитом — тихо и молча шлюз выполняет свою работу.
по-крайней мере, это именно так у меня и было, когда я настраивал шлюз. да, логи ведутся, но эти логи — видны только на мониторе, если он подключен к видеокарте на шлюзе.. только её там нету :))
а так.. ну, узнал я, что бывает до 140 радостных попыток windows подарить от всей души букет вирусов. и что?
настроил автоотпраку smb-сообщений «Кажется, у Вас на компьютере вирус. Установите антивирус и проверьте, так ли это. Спасибо.» и.. и всё, даже больше и не заглядываю.
пропишешь, пропишешь.
и попробуй хоть что-то сделать с таким. правда, и на нём самом ничего особенного не поделаешь, без прописывания дополнительно разрешающих правил…. ;)
правильно говорит fly4life, связи совершенно никакой нет…
хотя, опять же — от антивируса для самого *nix пользы-то, честно говоря — никакой..
ставить его, разве что, для защиты стоящих за ним windows с их дырками в базовой установке.
а sniffer… это вообще-то неасколько иное. и защищаться от него — либо использованием криптованных соединений (https, ftps, imaps, pop3s,…), либо ставить хорошее сетевое оборудование и грамотно его настраивать.
гы. ты б лучше задачу, стоящую перед тобой толково объяснил. именно толково.
а уж что и как, по какой документации, глядишь, кто-нибуть что-нибудь да сказал.
хотя, тебе для начала iptables-tutorial с opennet.ru надо прочитать
там ещё дополнительные вопросы возникнут — что такое активный и пассивный режим у ftp, в чем тонкость их настройки и почему при, вроде бы правильно написанных правилах, активный ftp-таки не работает… и т.д.
Первым делом прошу простить за то, что писал не там. поискал внутри раздела про юникс и не нашел лучше, чем в чаво.
Желание разбираться у пропеллера большое. хочется вот именно что разобраться, а не сказать «круто, работает! не знаю, почему, но больше мне ничего не надо!» Коль тратить время на это, то не на один же раз! хочется потом уметь сделать самому! а что понимать под подготовленностью?
сразу честно — туториал не дочитал… проблема в том, что защита нужна здесь и сейчас, а времени по нулям (узнаете, что я студент — будете после этого долго смеяться). но я не раз читал ман.
-A xINPUT -p tcp -m state --state NEW ! --syn -j LOG_DROP
>>А хорошо ли рубить все icmp запросы?
-A xINPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 20 -j ACCEPT
>>Почему только 20 порт? Выходит, что вызванные другими приложениями (related) будут идти лишь на 20 порту? а почему нельзя на других портах?
-A INPUT -p tcp -m multiport --dports 20,21,23,6566 -j LOG_DROP
>>а как же мыло???
А насколько хорошо использовать только drop? с хакерами хорошо, а вот с добропорядочными людьми?
Со службами глупость понял. то есть только приемом того, чему верим.
О том, что связи нет между снифферами и антивирусами я понимал. Но дело в другом. Если я не ошибаюсь, они не попадают под то, чт оправится iptables и не попадают под то, что правится IDS. сидят себе у меня на компе и шлют на лишний адрес все мои пакеты. ну а что с ними делать? Грамотно настраивать — вот это расскажите! Да, должен сказать, что у меня только хаб планируется, коль скоро нат встал.
а потом снифферы были лишь примером! если они не подошли под аыпи таблицы и идс, то есть и еще что-то типа снифферов, что тоже ни тут ни там не убьется?
Слышал, что можно эфективно читать логи. Но что с того — время уже потеряно! не читать же их каждые 10 секунд!
fly4life:> Ну, и регулярные backup с патчами сервисов никогда не будут лишними ;)
а вот про это бы побольше! как я понимаю, речь идет об обнаружении дырок в сетевых сервисах, о которых следует быстренько узнать и адекватно отерагировать?
З.Ы. Да, я не мега-супер гуру. Да, мои знания просто местами скудны. но пришел-то я сюда не чтобы хвастаться, а чтобы учиться! так что не удивляйтесь тому, что я иной раз говорю что-то не в кассу. хотя чаще всего это относится к тому, что русский язык со школы забыт.
То, что желание большое — это хорошо ;). А под «подготовленностью» всегда понималась некая база знаний человека. Так сказать, что знает, как знает, где узнал и т.д. в том же духе.
В приведённой строчке описывается правило для протокола tcp. Этим правилом осуществляется действие 'LOG_DROP' для всех новых tcp-пакетов, за исключением пакетов с флагом 'SYN’. Про протокол icmp тут ни слова.
не «на» 20-м порту, а «с» 20-го. Т.е. пакеты запрошенные с 20-го порта удалённого сервера будут проходить. Делается это для возможности работы ФТП (точнее, соединения и передачи данных между клиентом и удалённым ФТП-сервером) в активном режиме.
Что мыло?
Насколько это хорошо — решается политиками безопасности каждой отдельновзятой ситуации.
А iptables’ом и IDS’ом разве что-то «правится»? Или ты хотел сказать «прикрывается»?
Бррр… кто сидит на компе? Куда шлёт? В чём смысл куда-то «слать все твои пакеты"?! В любом случае, при грамотно настроенном файерволле никто лишний и никуда не отошлёт никакие пакеты.
Бррр…. Где связь между НАТом и хабом? Опять-таки непонимание чего-то…
Нда, что такое сниффер ты всё-таки не понимаешь. Почитай чтоли что-нибудь про них.
Подробнее про что? Про backup? Так он не зависит от скорости нахождения дырок и их количества. Его просто нужно делать регулярно ;).
Подробнее про патчи? Так это да, желательно «быстренько узнать и адекватно отерагировать». Для этого необходимо регулярно получать обновления от производителя своего дистрибутива (обычно, в самом дистрибутиве имеются для этого специальные утилиты), если это линукс, или же подписаться на списки рассылок по безопасности, если это FreeBSD (кажись, там это так называется).
А кто тут «мега-супер гуру"? ;). Все мы ещё учимся… А русский язык ты зря забыл — родную речь знать надо.
База знаний — это хорошо, но как ее оценить???
Глупость с icmp полнял — это протокол на уровень выше tcp. Но ведь дело в том, что му его все равно обрубаем! при таком скрипте все icmp запросы к нам на вход убиваются!
извините, перепутал sport и dport.
На почве этого по поводу мыла возникает обратный вопрос. выходит, что для tcp открыты все порты кроме 20,21,23,6566. а не лучше ли наоборот оставить только пару ясных портов?
Как я понял, считается, что достаточно ptables+IDS+logview? тогда расскажите побольше про чтение логов. сдается мне, что они буду быстро забиваться!
По поводу хаба и ната непонимания нет. просто хотел я сделать возможность доступа в инет сразу с нескольких компов — вот и пришлось ставить нат с хабом.
Да, должен извиниться за то, что выложил тут неполный скрипт, написаный Genie, а лишь часть, вызывающуу вопросы. и все равно неясно, почему правил, что у него написаны достаточно для спокойной жизни в сети!
На уровень ниже, propeller, ниже ;)
Это почему же? Давай пиши сюда смущающее тебя правило из этого скрипта.
бывает…
Опять же, повоторюсь: всё зависит от конкретной отдельновзятой ситуации. Может лучше, а может и нет. Тебе привели лишь пример. Не стОит брать его за основу всех и всея.
Может будут, а может и нет. Но в основном IDS позовляет настроить автоматические реакции на те или иные события (например, блокировать IP адреса, с которых идёт «подозрительный» трафик). Плюс, во многих можно настроить, чтобы в логи записывались лишь самые опасные попытки взлома <font size=«-2»>(не слишком параноидально звучит? ;))</font> и критические ошибки. А таковых не так много. Вобщем, IDS — это целая система. И по каждой конкретной IDS нужно разбираться с настройками и с возможными реакциями на те или иные события.
Просто это тогда никакого отношения к вопросу не имеет, и можно было опустить эту подрбность ;).
Опять же, пусть автор рассказывает, если ему будет не лень да и на работе отстанут (в чём сумневаюсь ;))
Кстати, насчёт достаточности iptables’а и IDS — это лишь моё субьективное мнение. Есть ещё много чего, вплоть до систем слежения за целостностью системных файлов (типа, tripwire), которые предназначены для того, чтобы не допустить внедрения в систему вредоносных прогамм (руткитов и прочих бэкдоров).
брррр. куда это обоих понесло-то?!
MAC — IP — TCP|UDP|ICMP|BGP|IGP|GGP|… — ftp|http|pop|imap|…
(упрощённо).
хотя, это надо поглядеть точнее, уже не помню :)
охохо. по умолчанию политика в ACCEPT, а не DROP. поэтому оно как раз всё приходит. кстати, должен ещё раз надпомнить — это у меня конфиг на шлюзе. на котором даже ssh не предусмотрено. и вообще, он по сети грузится.
вполне вероятно, что его можно и взломать. (ядро стоит 2.4.18-586tsc, из дистрибутива, даже не обновлённое на предмет дырок последнего года). но так как там ничего для работы с сети нет, сохранять бинарникик — некуда, то и фиг с ними.
а надо?
к примеру, тогда надо самостоятельно и долго, нудно искать, как при этом настраивать RELATED соединения. (по conntrack — особенно). там своих граблей достаточно…
если это будет как вчера…. уу. :(
почему для меня достаточно — ну, потому, что несколько дальше — ещё один НАТ, который и даёт доступ в инет.
да, есть вероятность взлома одного НАТ-прокси. только очень сомневаюсь я, что это будут реаольно делать — gprs не то, где этим можно спокойно заниматься.
а ломать через 2 НАТа… ну, гении они, конечно же, водятся…
Немножко в сторону, но поправлю…
Ну, если только уж сильно упрощённо. Правда, тут надо уточнить. Я, когда говорил о ращных уровнях этих протооклов, руководствовался моделью OSI. В ней ICMP — протокол сетевого уровня, TCP — транспортного. А по модели OSI сетевой протокол на ступеньку ниже, чем транспортный.
а, ну, да, OSI/ISO — это там есть… :)
надо собственный недоделанный перевод документации к AstaroLinux поглядеть
tcp/icmp — глупость новичка, не привыкшего, что над кем стоит — то, что выше, или что ниже. хотя скорее всего все-таки вопрос числа отданных на сон часов суток.
вообще, все новые и новые подробности машины Genie просто убивают. Ну если его скрипт написан для машины — шлюза (как я понял, с ней пользователь-то вообще не общается как с десктопом? она существует только для доступа в сеть? и это как раз тот старенький пенек-100, о котором где-то писалось?), то насколько он вообще применим тогда на десктопе?
потом у меня уже не жпрс. и все радости локальной сетки!
так что ломать меня даже гении не нужны!
Гм. Так тебе на десктоп хочется взгромоздить файерволл и IDS? Поверь мне, тебе это нафиг не надо. Во-первых, у тебя на десктопе не будет висеть никаких сервисов, присущих серверам, и за которыми необходимо следить (необходимость IDS отсутствует). Т.е., вся твоя защита сведётся к выключению всех лишних сервисов на твоём десктопе. Во-вторых, скрипт iptables, приведённый Genie, предназначен для настройки НАТа (чтобы в интернет могло выходить несколько машин под одним IP адресом). Этой настройке iptables присущи некие ньюансы, но они на десктопной машине не интересны и не нужны.
Вот задумайся, зачем тебе файерволл в виндовсе, а потом прикинь, понадобится ли он в линуксе.
П.С. ну, можешь поставить себе какой-нибудь логгер, типа iplog или scanlogd и смотреть ради интереса, на какие порты и в каком количестве лезет всякая виндовая вирусня (оччень, конечно, увлекательное занятие ;)), а также попытки сканирования твоих портов недоделанными куль хацкерами.
Да, видимо я просто уже запарил всех полуверной информацией.
шутка такая — то самый нат, что я сделал с вашей помощью в разделе чаво стоит ровно на этой вот машине, на которой я хочу еще и десктопом пользоваться. Ведь там машина Genie, как я понимаю, даже не имеет монитора и спокойно занимается лишь пропусканием трафика и больше ничем. на моем компе висит dhcpd, httpd. и это начало. просто хочу вешать еще либо ftp, либо самбу (для общения на уровне ресурсов с виндовс-машинами, что-то меня все отговаривают от самбы). Ну и нат она раздает всем тем, кому дала dhcp. смысл был втом, что я на этом компе еще и сам сижу. не висит он за вторым натом. а если по-хорошему, то от локальной сетки даже за первым не висит.
Расскажие, какой бы лучше ids и как лучше пользовать (замечательное слово, правда?) логгеров.
Да, пользователю с ней и общаться не зачем. работает оно и работает себе сутками…
Да, это именно древний pentium-133@150 :) с 24 Мб RAM, грузящийся с основного моего компа, который dhcp, tftp, dns, ftp, http, mail, sql,… сервер для локалки. а так же и мой десктоп.
локалка домашняя вся насквозь подконтрольна мне. так что — угрозы безопасности в ней у меня нет. ну, разве что, я сам что наделаю по глупости… ;)))
а скрипт применим ровно в той мере, в которой у тебя комп является шлюзом. ;)
делай пока минимум — что нужно защитить — закрой. остальное — разреши.
некоторое время поживёт, посмотришь, может найдёшь чего, что неправильно было сделано (а найдёшь обязательно… может даже носом ткнут)
а сказать однозначно, что тебе сделать надо — никто вроде бы и не скажет ;_ всех условий не знает вроде бы никто, кроме тебя.
некоторые рекомендации:
1) ты ставишь dhcp сервер. сразу задумайся о том, чтобы он не слушал интерфейс, который не должен обслуживать. настраивать раздачу по mac-адресам вроде бы понятно, что это делать надо.
2) ты ставишь dns-сервер. как мастер-сервер для локалки и как кеширующий для запросов о внешних адресах. соответственно, слушать внешний адрес ему не положено. отдавать список зоны внутренней — он не должен всем. только некоторым.
3) по остальнымсервисам вроде бы всё в том же духе. четко рапределяй, где доступ должен быть, а куда — не должен. и тебе даже fw ставить будет не особенно обязательно — порт не открыт — прицепиться некуда.
4) многим сетевым сервисам нет необходимости иметь доступ до всего дерева каталогов и файлов. поэтому те сервисы, которые пукаются от root, а потом себе понижают привелегии, очень желательно запускать в chroot.
пример такого сервиса, который уже на это настраиваются по умолчанию — postgres.
так желательно запускать все сетевые демоны, кроме, разве что, ssh :)
5) всё, что не нужно — работать не должно. и установлено — тоже. и gcc запускать не всем. а только группе c-developer, к примеру.
в общем, рекомендаций таких — большой состав и куча маленьких тележек.
сразу ими заниматься — бесполезно, бессмысленно и, в итоге, не эффективно.
Я пока как раз записал себе тот самый Генин скрипт. Надо сказать, первые впечатления такие — буд то бы интернет стал потормознее.
а не очень тормозит этот старый пенек-133 на весь этот мега-набор, да еще и десктоп?
Я себе не стал ставить named. потому у меня адрес dns стоит статически. Но мысль такая была. На самом деле я тоже хочу вот поставить себе мелкий комп типа пень-100 на сервер, а к нему всех подключить как дмз. я просто полагал, что нехорошо использовать такой комп (стоящий файрволлом на выход дмз) для десктопа тоже!
dhcp у меня уже только на одном интерфейсе. так и написал сразу.
chroot — слыхал, но ни разу не использовал.
Да, а как все-таки с ids?
И зачем вам так много всего сразу? ну в частности tftp and ftp?
Полегче с никами. А то допрылаемся до «Мистера Улётного». Пойдёт Вам такое трактование Вашего ника?
tftp+dhcp — необходимы для того, чтобы мой шлюз грузился по сети. у него ж винта нет.
всё остальное — ну, это уже просто как полигон для экспериментов.
О, прошу простить мою неосторожность. Буду поаккуратнее с именами. А я так понял, все — таки из вежливости всех следует все-таки на ты? (между делом — а неплохое трактование, я то долго не думал выбирая себе имя; нельзя же во всех форумах одно и то же имя брать!)
Но если по делу — ты же так и не ответил толком на мой предыдущий вопрос.
1 = не замедляет ли такая конструкция работу сети?
2 = смысл сервера имен лишь в том, что адрес его дается динамически?
3 = что с ids. насколько это надо?
при такой конструкции, как я понимаю, вся опастность уже падает на шлюз. тогда получается, что тут надо посильнее прикрыть, в частности апача. Не проще ли тут поставить апача не на шлюзе, а полгубже — чтобы все запросы к нему шли через еще один нат, который могут поломать, как было сказано, лишь гении?
1) ощутимое замедление происходит при количестве правил более 100.
2) бррр. сервер имён, как я понимаю, DNS, находится на том же компьютере, что и dhcp-сервер, и у этого компьютера статический адрес.
у шлюза — статический, выдаваемый ему по dhcp (иначе оно грузиться не будет)
поэтому что-то сути вопроса е видно.
3) не знаю. для ответа нужно иметь хоть какой-то опыт. а я этим не занимался пока. :)
Нет, ну ведь оператором этого жпрс сервер имен дается вовсе не статически!
А что-то про апач ничего не было сказано!
долго думал, что же это могло бы означать. так и не понял.
а что про него говорить? работает.
даже доступен по ipv6 из интернета.
когда gprs на шлюзе подключён. ;)
если тебе хочется узнать, как и что в нём, апаче, настраивать — то в /usr/share/doc/apache/ довольно много всего имеется. полезного. о настройке.
Кого поломать? НАТ? А зачем его ломать?
Насчёт апача. Если у тебя будет дырявая его версия, то взломать смогут, за сколькими бы НАТами он не стоял (естесственно, если этот апач виден снаружи). А отсюда и вероятость компрометации машинки, на которм этот апач стоит. Дальше вывод делай сам, есть ли смысл ставить апач «поглубже». Защищать сам апач — никакого, защищать машинку с НАТом — может и есть…
Ну я тут не рассматривал проблемы именно сервисов. просто если уже есть форточка-дырочка в сервисе, то его просто надо либо ставить посвежее, либо латать патчами. Ну а меня больше инетерсовал вопрос атаки, когда на машине открыт 80 порт. я плохо себе представляю, как эти атаки проходят, что они там делают, и что они там реально сделать могут. система, когда получается пароль рута в резальтате дыры с сервисе, который запускается с правами рута ясна (хотя как именно это делать я не знаю и особо не интересуюсь). ну а как еще можно поломать машину с httpd?
у меня просто как зашито с мозгу — машина с апачем заранее более подвержена атакам, чем те, на которых такового нет.
Атакуется, как раз, висящий на данном порту сервис. При атаке используется узявимость (если таковые существуют) этого сервиса. А уже как именно используется — это дело взломщика (тут я не спец и ничего не скажу…)
Наверное, зависит от свежести апача? ;)
Ну, пусть на машине и запущен апач — взломать могут через ФТП сервер, висящий на этой же машине ;)
Я хотел тут спросить как раз при устновке, что апач и прочие серивисы дырок не имеют. все, считаем, что они стоят на убой и никому ничего лишнего не делают. так же считаем, что никаких глупостей в пхп и перле у самого сайта, которого крутит апач нет.
при таких н.у. есть ли способы взлома? или все взломы делаются именно на дырках в программном обеспечении?
Просто очень может стать, что скоро придется вывесить у себя на внешнем адресе апача.
Взломать могут из-за дырок в сервисе (это из-за недосмотра/кривизны рук разработчиков). Или же из-за неправильной настройки сервиса (а это уже из-за кривизны рук администратора). Больше причин в голову не лезет.
Типа, ты это первый в мире сделаешь ;)
Польщен. потом расскажу, как сделал.
Да нет, propeller, это ж я сиронизировал ;)
Я к тому, что апач у многих смотрит во внешнюю сеть. И, вроде как, никто не расстраивается, что их могут взломать. Почему? Да потому что «волков бояться — в лес не ходить». Просто нужно предохр…кхм… следить за рассылками по безопасности интересующих тебя сервисов и адекватно и, главное, вовремя на них [на рассылки] реагировать. А если бояться взломов, то проще компьютер не включать в сеть, или вообще не включать, или даже его не покупать.
может сперва поставить, посмотреть, кому ты нужен? ;)
в общем, не плоди сущностей сверх должного.
думать о том, что могут сломать то, что ещё даже не поставлено/настроено — всё равно, что спускаться по лестнице с раскрытым парашютом. :D (наверное это на случай, если лестница вдруг так невзначай рухнет..)
Что до ироний — это, уж извини, я просто вспылил. знаю, что это было не всерьез.