Počítačová bezpečnosť Windows + Linux

1. Počítačová bezpečnosť Windows + Linux Open Source riešenia pre bezpečné informačné systémy Prevzaté zo zahraničných zdrojov

2. Obsah Introduction Firewall Proxy Authentification Apache Host IDS (A.I.D.E) AntiSpam Antivirus Management tool Vulnerability scanner Log management tool

3. 25,00% 22,92% 22,92% 18,75% 12,50% Firewall IDS AUDIT Encryption PKI Spôsobyvyužívania Open Source produktov

4. Open source software pre bezpečnú sieť • Firewall : • Netfilter,IP-Filter, • Intrusion detection : • Snort , Prelude, Ntop, Shadow • Encryption : • OpenSSL, OpenSSH,Free S/Wan (ssltunnel), PGP, • Vulnerability scanner : • Nessus, Dsniff, Nmap, Sara, Whisker, Nikto, ,THC-Amap, Hping2, … • Strong Authentification : • OpenLdap, FreeRadius, S/Key • PKI : • Open_PKI, EuPKI Antivirus : Amavis, clamav • Anti-Spam : • Spam Assassin (solution serveur) • (solution client)SamSpade Honey-Pots Honeyd , HoneyNet, Deception Toolkit, Specter Sniffer detector : Neped , Sentinel, Cpm

5. INTERNET

6. NetFilter Paketový filter pre Linux kernel 2.4‘iptables’ Firewall “stateful inspection” Využitie NAT a PAT prezdieľanie Internet prístupu Koncept ‘transparentného proxy’ Umožňujenastaveniedômyselného QOS

7. NetFilter • Štandardné IP filtrovaciefunkcie • Filtrovacie parametre • Sieťová karta : input or output • IP Addresy (zdroj a cieľ) : host alebo sub-sieť • IP hlavička polia (Fragmentation, TOS et TTL) • Vrstva 4 protokoly : TCP, UDP and ICMP (zdrojové a cieľovéporty (TCP and UDP), príznaky (TCP), typy a kódy (ICMP) • Možnosti • Povoliť • Zakázať • Odmietnuť • Presmerovať (transparentné proxy)

8. NetFilter • Príklad skriptu IFACE=eth0 MYLAN=192.168.1.0 MYWKS=192.168.1.1 MYDNS=192.168.1.2 MYADDR=192.168.1.3 # Delete Standard chains iptables -F # Block the traffic ( default) iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Stateful inspection iptables -A OUTPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT # SSH Administration iptables -A INPUT -i $IFACE -p tcp -s $MYWKS --sport 1024:65535 -d $MYADDR --dport 22 \ -m state --state NEW -j ACCEPT # DNS Resolution iptables -A OUTPUT -i $IFACE -p udp -s $MYADDR --sport 1024:65535 -d $MYDNS --dport 53 \ -m state --state NEW -j ACCEPT # inspection with ping(1) iptables -A OUTPUT -i $IFACE -p icmp -s $MYADDR --icmp-type echo-request -d $MYLAN \ -m state --state NEW -j ACCEPT

9. NetFilter • Nástroje na generovanie skriptov FwBuilder : http://www.fwbuilder.org PHP Firewall Generator : http://phpfwgen.sourceforge.net Easyfwgen : http://easyfwgen.morizot.net/gen/ (On-Line) GIPTables Firewall : http://www.giptables.org

10. INTERNET

11. SQUID • SQUID je proxy server umožňujúci zdieľanie prístupudo Internetu užívateľmi cez jediné vytvorené spojenie. • SQUID tiež ponúka mechanizmus„cache“, ktorý dokáže pristupovať k dátam s využitím lokálnych zdrojovnamiesto Internetových.Tým redukuje prístupový čas a prenášané dáta z Internetu. • SQUID umožňuje„cache“ protokolov HTTP, https, ftp, gopher, a pod.

12. SQUID • Riadenie prístupu Autorizovanie prístupupodľa užívateľov, skupín, povoleného zoznamu web stránok, a pod. Autorizačné prvky (ACL) • src : klientská Ip zdrojová IP adresa • dst : cieľová serverová IP adresa • srcdomain : klientský doménový názov (zdroj) • dstdomain : serverový doménový názov (cieľ) • time : hodiny počas dňa a dniv týždni • url_regex : Regulárne výrazypopisujúce kategóriu URL • urlpath_regex: Regulárne výrazypopisujúce skupinu URL • proxy_auth : Proces pre externú autentifikáciu užívateľov • maxconn : Maximálny početspojení pre IP klientskú adresu • Je možnéspojiťmnoho aplikáciís squid (filtrovanie, štatistiky, riadenie...).

13. SquidGuard • Charakteristika : • Rozlišuje nasledujúce transformácie: • Počítačová adresa • Identifikácia užívateľa(aj podľa Windows doménových užívateľov) • URL (web adresa) • Časové plánovanie požiadavku • Druh presmerovania (napríklad reklama, sex, porno, a pod...) • SquidGuard umožňuje : • Limituje prístup užívateľov podľa povolených Web serverovalebo URL. • Blokuje prístup podľa zoznamu Web serverovalebo URLs: Blacklist • Blokujeprístuppodľa odpovedajúceho URLs so zoznamom regulárnychvýrazovalebo zoznamu kľúčových slov • Presmeruje blokované adresyna vlastnú CGI web stránku s údajmi. • Presmeruječasté downloadyna lokálnekópi. • Viaceré pravidlázaložené načase, dátumu... • Pravidlá pre užívateľské skupiny

14. INTERNET OpenLDAP

15. OpenLDAP • OpenLDAP je voľný „katalóg“ užívateľov • Možná integrácia OpenLDAP s Kerberos, Radius, a inými mechanizmami autentifikácie. • OpenLDAP môže byťpoužiténa riadenie užívateľov operačného systému, a zdieľanie súborov v sieti, akonapríklad Samba.

16. Apache INTERNET OpenLDAP

17. Apache • Stabilný spoľahlivý a flexibilný webový server • Konfigurovateľný cez httpd.conf – rozdelený do 3 častí ): • všeobecné direktívy, napríklad nastavenie portov, rôznych pomocných súborov • hlavná konfigurácia - zabezpečenie najdôležitejších adresárov, logovacích súborov... • virtuálne servre Apache Software Foundation - http://www.apache.org/

18. Apache INTERNET Port mirorring OpenLDAP

19. Snort • Network intrusion detection system (NIDS) = Systém detekcie narušenia počítačovej siete • Jednoducháinštalácia a konfigurácia • Silnádetekciav reálnomčase • Detekcia na vrstve protokolov : - IP – TCP – UDP - ICMP • Detekcia abnormálnych aktivít • Stealth scan _ For OS fingerprinting • ICMP Code "invalid" • HTTP Preprocessor (CGI attacks) • Small fragment detekcia • Denial of service detekcia • Buffer overflow detekcia

20. source port port dest date Time @IP source @IP dest protocol N° ACK Flag type of service Sequence number TTL packetidentification number Snort • Log (continuation) • Visualization log files • Rule : • alert TCP any any -> $MY_NET any (msg:"NMAP TCP ping !"; flags: A; ack: 0;)

21. Apache INTERNET Port mirorring OpenLDAP

22. A.I.D.E (HIDS) • AIDE is a HIDS : Host-based Intrusion Detection System -Systém na detekciu prienikov • AIDE vytvárakontrolné súčty (použitímkryptovacích algoritmov) zo súborovktoré chceme dohliadať, a periodicky (alebo podľa potreby) prepočítava tieto sumy, a porovnáva ich s originálne vypočítanými. • Ak sú kontrolné súčty rozdielne (súbor, jeho dátum, jehoprístupové práva, ...), AIDE bude detekovať modifikáciu súboru. • AIDE je veľmi výkonný v prípadenarušenia, na identifikáciuvšetkých modifikovaných objektov (pridané veci, binárne modifikované programyako netstat, lsof, who, sshd, konfiguračné súbory, web stránky, a pod).

23. Postfix Apache Spam Assassin INTERNET Port mirorring OpenLDAP

24. Postfix • Rýchly, vysoko bezpečný mail server • Ľahko administrovateľný • Variabilná konfigurácia (server, gateway, ...) • Podpora Maildir aj mailbox formátov • Podpora virtuálnych domén aj užívateľov – vysoká bezpečnosť pred zneužitím • Zabezpečenie - SASL autentikácia, TLS kryptovanie a atentikácia • Modulárny systém spolupracujúci s MySql, Courier IMAP, • Filtrovanie prechádzajúcich mailov – content filter (AntiVir, AntiSpam – UCE) The Postfix Home Page http://www.postfix.org/

25. SpamAssassin • « Likvidátor » Spam z elektronickejpošty – prinajmenej ho identifikuje ako neželaný a umožníoznačiť ho. • SpamAssassin realizujeveľa testov na analyzovanome-maile. Niektoré testysúibapre HTML e-maily, na zistenieči e-mailobsahuječasto používanévýrazy, "Million Dollars" a podobne. • Za každý realizovaný test každý mail dostáva body. Akpočet všetkých bodov prekračuje daný úroveň (konfigurovateľnú), SpamAssassin rozhodnečie-mail je Spam. SpamAssassin potom môže vložiť do hlavičky hodnotu výsledku teestov.

26. Postfix Apache Spam Assassin Amavis INTERNET Port mirorring OpenLDAP

27. Amavis • Amavis • Ponúka 2 verzie (v minulosti amavis-Perl): amavisd a amavisd-new • Amavisd : démon vypustenýraz prevšetko. • Amavisd-new jenovší amavis (spotrebovávajúciviac zdrojov pretože je potrebné štartovať Perl program pre každú spracovávanú správu), ktorý ponúkabohatšie funkcie (možnosť spájania antispamus antivirusmi ...). • Možnosťspolupráce snástrojom ako ClamAV

28. Postfix Apache Spam Assassin Amavis WebMin Management console INTERNET Port mirorring OpenLDAP

29. Webmin • Webmin je webovské rozhranie pre administráciu unixových serverov. • Takýto interfejsdovoľujeinterakciusovšetkými programami inštalovanými na servri (Snort, netfilter, apache, squid, sendmail, …) • Webmin obsahujeveľa funkcionalítako DNS menežment, MySql databaze menežment, plánovač úloh (cron), správa procesov, užívateľov a aplikácií • Jeho štruktúraponúkamožnosť pridať extra modulynarozšírenie funkcionalít

30. SendMail Apache Spam Assassin Amavis WebMin Swatch Log Watcher Management console INTERNET Port mirorring OpenLDAP

31. Swatch • Zaisťujevreálnom časedohľad a štartuje prednastavené akcie (alarm...) keďnastanepresne špecifikovaná udalosť (trigger) • Swatch (Simple WATCHer) jenástrojktorýdohliada nad záznamami v logoch. Swatch bolpostavený na redukovaniezdĺhavého riadenia úloh vyplývajúcich z enormného počtu záznamov v logoch.

32. SendMail Apache Spam Assassin Amavis WebMin Swatch Log Watcher Management console INTERNET Port mirorring OpenLDAP

33. Nessus • Nessus je bezpečnostný snímač: auditujebezpečnosťveľasieťovýchkomponentov. Založený nazraniteľnostnej databáze, hlási existujúce slabiny a zraniteľnosti nasieti. Jezaložený na client-server architektúre. • Nessus jenástroj schopný identifikovať : • Existujúcezariadenia nasieti (IP adresy, názvy) • Používané operačné systémy nazistených zariadeniach • Služby (démony) bežiace nasledovaných zariadeniach • Stav bezpečnosti počítačovej siete

34. Nessus • Činnosť: • Nessus auditovaniebezpečnostije založené nadvoch elementoch: klient aserver. Server, nessusd, testujepožadovaný systém skúšaním všetkýchútokovobsiahnutýchvdatabáze, pokiaľklient, nessus (s grafickým interfejsom), generujesprávu o získaných výsledkoch. • Server mádatabázu o 300 útokoch, administrátor ju môže periodicky aktualizovať. Nessusd útokysúkódovanéako externé moduly (plug-in) napísanévrôznych jazykoch.

35. Koniec