Межсетевое экранирование
ВведениеКлассификация firewall’ов
Установление ТСР-соединения
Пакетные фильтры
Пограничные роутеры
Пример набора правил пакетного фильтра
Stateful Inspection firewall’ы
Host-based firewall’ы
Персональные firewall’ы и персональные устройства firewall’а
Прокси-сервер прикладного уровня
Выделенные прокси-серверы
Гибридные технологии firewall’а
Трансляция сетевых адресов (NAT)
Статическая трансляция сетевых адресов
Скрытая трансляция сетевых адресов
Межсетевое экранирование
Принципы построения окружения firewall’аКонфигурация с одной DMZ-сетью
Service Leg конфигурация
Конфигурация с двумя DMZ-сетями
Виртуальные частные сети
Расположение VPN-серверов
Интранет
Экстранет
Компоненты инфраструктуры: концентраторы и коммутаторы
Расположение серверов в DMZ-сетях
Внешне доступные серверы
VPN и Dial-in серверы
Внутренние серверы
DNS-серверы
SMTP-серверы
Политика безопасности firewall’а
Политика firewall’а
Реализация набора правил firewall’а
Тестирование политики firewall’а
Возможные подходы к эксплуатации firewall’а
Сопровождение firewall’а и управление firewall’ом
Физическая безопасность окружения firewall’а
Встраивание firewall’ов в ОС
Стратегии восстановления после сбоев firewall’а
Возможности создания логов firewall’а
Инциденты безопасности
Создание backup’ов firewall’ов
Межсетевое экранирование
ВведениеОсновные характеристики пакетных фильтров в ОС FreeBSD
ПО пакетных фильтров
OpenBSD Packet Filter (PF) и ALTQ
Указание необходимости использования PF
Опции ядра
Опции rc.conf
Указание необходимости использования ALTQ
Создание правил фильтрации
IPFILTER (IPF) firewall
Указание необходимости использования IPF
Опции, доступные в rc.conf
IPF
IPFSTAT
IPMON
Построение скрипта правил с использованием символьных подстановок
Набор правил IPF
Синтаксис правила
Действие (action)
IN-OUT
Опции
SELECTION
PROTO
SRC_ADDR / DST_ADDR
PORT
TCP_FLAG
STATEFUL
Stateful-фильтрация
Пример включающего набора правил
Пример включающего набора правил - 2
NAT
IPNAT
Правила IPNAT
Как работает NAT
Запуск NAT
NAT для очень больших LAN
Указание порта
Использование пула публичных адресов
Port Redirection
FTP и NAT
Правила фильтрации IPNAT FTP
IPFW
Указание необходимости использования IPFW
Опции /etc/rc.conf
Команды IPFW
Набор правил IPFW
Синтаксис правил
CMD
RULE_NUMBER
ACTION
Создание логов
Опции правила Stateful
Построение скрипта правила
Набор правил Stateful
Пример совместного использования NAT и Stateful
Example.3.1
Межсетевое экранирование
Что такое IDS
Почему следует использовать IDS
Типы IDS
Архитектура IDS
Совместное расположение Host и Target
Разделение Host и Target
Способы управления
Централизованное управление
Частично распределенное управление
Полностью распределенное управление
Скорость реакции
Информационные источники
Network-Based IDS
Host-Based IDS
Application-Based IDS
Анализ, выполняемый IDS
Определение злоупотреблений
Определение аномалий
Возможные ответные действия IDS
Активные действия
Сбор дополнительной информации
Изменение окружения
Выполнение действия против атакующего
Пассивные действия
Тревоги и оповещения
Использование SNMP Traps
Возможности отчетов и архивирования
Возможность хранения информации о сбоях
Дополнительные инструментальные средства
Системы анализа и оценки уязвимостей
Процесс анализа уязвимостей
Классификация инструментальных средств анализа уязвимостей
Host-Based анализ уязвимостей
Network-Based анализ уязвимостей
Преимущества и недостатки систем анализа уязвимостей
Способы взаимодействия сканера уязвимостей и IDS
Проверка целостности файлов
Межсетевое экранирование
Системы Honey Pot и Padded CellВыбор IDS
Определение окружения IDS
Цели и задачи использования IDS
Существующая политика безопасности
Организационные требования и ограничения
Ограничения на ресурсы, существующие в организации
Возможности IDS
Учет возможного роста организации
Предоставляемая поддержка программного продукта
Развертывание IDS
Стратегия развертывания IDS
Развертывание network-based IDS
Позади внешнего firewall’а в DMZ-сети (расположение 1)
На основной магистральной сети (расположение 3)
В критичных подсетях (расположение 4)
Развертывание host-based IDS
Стратегии оповещения о тревогах
Сильные стороны и ограниченность IDS
Сильные стороны IDS
Ограничения IDS
Типичные выходные данные IDS
Выполняемые IDS действия при обнаружении атаки
Компьютерные атаки и уязвимости, определяемые IDS
Типы атак
Типы компьютерных атак, обычно определяемые IDS
Атаки сканирования
DoS-атаки
DoS-атаки шквальной эксплуатации
Flooding DoS-атаки
Атаки проникновения
Удаленные vs. локальные атаки
Атака авторизованного пользователя
Атаки публичного доступа
Определение расположения атакующего на основе анализа выходной информации IDS
Чрезмерная отчетность об атаках
Соглашения по именованию атак
Уровни важности атак
Типы компьютерных уязвимостей
Ошибка корректности входных данных
Переполнение буфера
Ошибка граничного условия
Ошибка управления доступом
Исключительное условие при обработке ошибки
Ошибка окружения
Ошибка конфигурирования
Race-условие
Будущие направления развития IDS
Межсетевое экранирование
Введение
Безопасность DNS
Сервисы DNS
Инфраструктура DNS
Компоненты DNS и понятие безопасности для них
Основные механизмы безопасности для сервисов DNS
Данные DNS и ПО DNS
Зонный файл
Name-серверы
Авторитетные name-серверы
Кэширующие name-серверы
Resolver’ы
Транзакции DNS
Запрос / ответ DNS
Зонная пересылка
Динамические обновления
DNS NOTIFY
Безопасность окружения DNS
Угрозы и обеспечение защиты платформы хоста
Угрозы ПО DNS
Угрозы для данных DNS
Межсетевое экранирование
Угрозы для транзакций DNSУгрозы DNS-запросам и ответам и способы обеспечения защиты
Поддельный или выдуманный ответ
Удаление некоторых ресурсных записей
Защищенный подход для DNS Query/Response – DNSSEC
Угрозы зонной пересылке и способы обеспечения защиты
Угрозы для динамических обновлений и способы обеспечения защиты
Угрозы DNS NOTIFY и способы обеспечения защиты
Выводы
Создание безопасного окружения для сервисов DNS
Безопасность платформы
Безопасность ПО DNS
Использование самой последней версии ПО name-сервера
Выполнение ПО name-сервера с ограниченными привилегиями
Изоляция ПО name-сервера
Выделенный экземпляр name-сервера для каждой функции
Удаление ПО name-сервера с не предназначенных для этого хостов
Сетевое и географическое расположение авторитетных name-серверов
Использование расчлененных зонных файлов
Использования отдельных name-серверов для различных типов клиентов
Управление содержимым зонного файла
Безопасность транзакций DNS
Ограничение участников транзакций на основе IP-адреса
Ограничение участников транзакции DNS Query/Response
Ограничение рекурсивных запросов (специальный случай DNS Query/Response)
Ограничение участников транзакции зонной пересылки
Ограничение участников транзакции динамического обновления
Ограничение участников транзакции DNS NOTIFY
Защита транзакции с использованием НМАС (TSIG)
Создание ключа
Определение ключей для взаимодействующих name-серверов
Указание name-серверу использовать ключи во всех транзакциях
Безопасность зонных пересылок с использованием TSIG
Безопасность динамических обновлений с использованием TSIG
Конфигурирование ограничений перенаправления динамических обновлений с использованием ключей TSIG
Конфигурирование более точных ограничений динамического обновления с использованием TSIG-ключей
Межсетевое экранирование
Механизмы и операции DNSSECТипы записей, используемых DNSSEC
Список операций DNSSEC
Создание пары открытый / закрытый ключи (DNSSEC-ОР1)
Пример создания пары ключей
Безопасное хранение закрытых ключей (DNSSEC-OP2)
Опубликование открытого ключа (DNSSEC-OP3) и конфигурирование доверенных anchor’ов (DNSSEC-OP7)
Подписывание зоны (DNSSEC-OP4)
Пример подписывания зоны
Создание доверенной цепочки и проверка подписи (DNSSEC-OP8)
Безопасность ответов кэширующего name-сервера
Дополнительные меры защиты для DNS Query / Response
Динамические обновления в поддерживающей DNSSEC-зоне
Добавление нового типа ресурсной записи в существующий домен
Удаление некоторого типа ресурсной записи из существующего домена
Добавление нового имени домена в зону
Удаление домена из зоны
Краткое резюме
Минимизация раскрываемой DNS-информации
Выбор значений параметров в SOA RR
Утечка информации и Informational RRTypes
Использование периода действительности RRSIG для минимизации последствий компрометации ключа
Администрирование операций для обеспечения безопасности сервисов DNS
Плановое обновление ключа (время жизни ключа)
Обновление ключа в локально безопасной зоне
Обновление ключа в глобально безопасной зоне
Обновление ключа ZSK в глобально безопасной зоне
Обновление ключа KSK в глобально безопасной зоне
Аварийное обновление ключа
Аварийное обновление ZSK
Аварийное обновление KSK
Переподписывание зоны
Межсетевое экранирование
Введение
Причины уязвимости web-сервера
Планирование развертывания web-сервера
Безопасность лежащей в основе ОС
Применение Patch и Upgrade ОС
Удаление или запрещение ненужных сервисов и приложений
Конфигурирование аутентификации пользователя в ОС
Управление ресурсами на уровне ОС
Альтернативные платформы для web-сервера
Trusted ОС
Использование Appliances для web-сервера
Специально усиленные (pre-hardened) ОС и web-серверы
Тестирование безопасности операционной системы
Список действий для обеспечения безопасности ОС, на которой выполняется web-сервер
Безопасное инсталлирование и конфигурирование web-сервера
Безопасное инсталлирование web-сервера
Конфигурирование управления доступом
Разграничение доступа для ПО web-сервера
Управление доступом к директории содержимого web-сервера
Управление влиянием web Bots
Использование программ проверки целостности файлов
Список действий для безопасного инсталлирования и конфигурирования web-сервера
Межсетевое экранирование
Опубликование информации на web-сайтахОбеспечение безопасности технологий создания активного содержимого
URLs и cookies
Уязвимости технологий активного содержимого на стороне клиента
Уязвимости технологий создания содержимого на стороне сервера
Список действий для обеспечения безопасности web-содержимого
Межсетевое экранирование
Требования к аутентификации и шифрованию
Аутентификация, основанная на IP-адресе
Basic-аутентификация
Digest-аутентификация
Решение общих проблем безопасности
Перемещение по директории
Атаки Cross Site Scripting
Атаки SQL / база данных
Выполнение команд ОС
Атаки переполнения буфера
Проверка параметров
Загрузка файлов
Рекомендуемая конфигурация
SSL/TLS
Возможности SSL/TLS
Слабые места SSL/TLS
Пример SSL/TLS-сессии
Схемы шифрования SSL/TLS
Требования к реализации SSL/TLS
Список действий для технологий аутентификации и шифрования
Введение
Понятие регулярных выражений
Конфигурирование
Включение фильтрации
Сканирование POST-запросов
Настройка отключения динамической буферизации
Динамическое управление ModSecurity
Кодирование запросов и ответов, использующих chunk
Список действий по умолчанию
Неявная проверка корректности
Наследование фильтра
Наследование фильтра - 2
Наследование фильтра в многопользовательских окружениях
Проверка корректности представления URL
Проверка корректности представления Unicode
Проверка диапазона байтов
Правила (Rules)
Простая фильтрация
Нормализация пути
Предотвращать null byte атаки
Выборочное фильтрование
Исключение фильтрования аргументов
Cookies
Исходящая фильтрация
Действия (Actions)
Способы задания действий
Действия для правила
Ограничения в списке действий для каждого правила
Встроенные действия
Заголовки запроса, добавляемые mod_security
Занесение в лог тела запроса
Взаимодействие ModSecurity c пакетным фильтром
Поддержка загрузки (upload) файла
Выбор местоположения для загружаемых файлов
Проверка файлов
Хранение загруженных файлов
Взаимодействие с другими демонами
Ограничение памяти, используемой для загрузки
Скрытие идентификации сервера
Стандартный подход
Подход mod_security
Example.11.1
Межсетевое экранирование
Топология сетиДемилитаризованная зона
Хостинг во внешней организации
Сетевые элементы
Роутер и firewall
Системы обнаружения проникновения (IDS)
Сетевые коммутаторы и концентраторы
Список действий для обеспечения безопасности сетевой инфраструктуры
Создание логов
Основные возможности создания логов
Дополнительные требования для создания логов
Возможные параметры логов
Просмотр и хранение лог-файлов
Автоматизированные инструментальные средства анализа лог-файлов
Процедуры создания backup web-сервера
Политики и стратегии выполнения backup’а web-сервера
Поддержка тестового web-сервера
Поддержка аутентичной копии web-содержимого
Восстановление при компрометации безопасности
Восстановление при компрометации безопасности - 2
Тестирование безопасности web-серверов
Сканирование уязвимостей
Тестирование проникновения
Удаленное администрирование web-сервера
Список действий для безопасного администрирования web-сервера
Содержание раздела
