| View previous topic :: View next topic |
| Author |
Message |
Maqlik
Tux's lil' helper
Joined: 13 Sep 2005
Posts: 145
Location: Tychy
|
 Posted: Tue Dec 06, 2005 10:23 pm Post subject: [SOLVED][SECURITY] czyli bezpieczeństwo Gentoo |
 |
|
Witam...
Gentoo urzwyam już jakiś czas i co jakiś czas czymś się bawię. To sys. plików to kernel itp... a teraz przyszło mi do głowy że nigdy pod linuksem się nie zabezpieczałem przed atakami z sieci itp. Czy ja w Gentoo moge czuć się bezpiecznie? Jak zabezpieczyć desktop by któregoś dnia nie mieć przykrości. Szukałem manuali... ale były to manuale dla Adminów z serwerami... na komp biurkowy nic nie zauważyłem.
P.S. Wirusy, spyware, backdory itp... to chyba dla pingwinka żadne zagrożenie... tak?
Za wszelkie koncepcje dziękuje 
Last edited by Maqlik on Wed Dec 07, 2005 1:12 am; edited 1 time in total |
|
| Back to top |
|
 |
Crenshaw
Guru
Joined: 23 Jun 2004
Posts: 474
Location: Poland
|
|
| Back to top |
|
|
Maqlik
Tux's lil' helper
Joined: 13 Sep 2005
Posts: 145
Location: Tychy
|
| Posted: Tue Dec 06, 2005 11:01 pm Post subject: |
|
|
| miałem nadzieje na jakiegos polskiego manuala... angielski cos tam umie... ale z takimi tekstami mam wiele niewiadomych. |
|
| Back to top |
|
|
n3rd
Guru
Joined: 30 Apr 2005
Posts: 328
|
|
| Back to top |
|
|
Maqlik
Tux's lil' helper
Joined: 13 Sep 2005
Posts: 145
Location: Tychy
|
| Posted: Wed Dec 07, 2005 1:00 am Post subject: |
|
|
o.k.
o to chodziło... DZIĘKI BARDZO!!! |
|
| Back to top |
|
|
aqu
Apprentice
Joined: 12 Nov 2005
Posts: 249
Location: Kalisz, Poland
|
| Posted: Wed Dec 07, 2005 10:44 am Post subject: |
|
|
w sumie to na desktop to nie potrzebujesz jakis wielkich zabezpieczen,
z emerguj jakiegos antyvira, zaluz firewalla i chyba wszystko, oczywicie zostaja jeszcze aplety z witryn, obejscie firewalla itp ale na to tez chyba jest jakies rozwiazanie
sorry za poznie odsiezenie topica ;P |
|
| Back to top |
|
|
JarekG
Apprentice
Joined: 26 Jan 2005
Posts: 160
Location: Poland | Birmingham [UK]
|
| Posted: Wed Dec 07, 2005 2:22 pm Post subject: Re: [SOLVED][SECURITY] czyli bezpieczeństwo Gentoo |
|
|
| Maqlik wrote: | Witam...
Gentoo urzwyam już jakiś czas i co jakiś czas czymś się bawię. To sys. plików to kernel itp... a teraz przyszło mi do głowy że nigdy pod linuksem się nie zabezpieczałem przed atakami z sieci itp. Czy ja w Gentoo moge czuć się bezpiecznie? Jak zabezpieczyć desktop by któregoś dnia nie mieć przykrości. Szukałem manuali... ale były to manuale dla Adminów z serwerami... na komp biurkowy nic nie zauważyłem.
P.S. Wirusy, spyware, backdory itp... to chyba dla pingwinka żadne zagrożenie... tak?
Za wszelkie koncepcje dziękuje |
Ja bym Ci polecil zainstalowanie oprogramowania blokujacego skanowanie portow (np. portsentry). Dzieki temu w bardzo duzym stopniu utrudniasz jakiekolwiek wykrycie dziury w twoim systemie, bo potencjalny napastnik tak naprawde nie wie z czym ma do czynienia... no chyba, ze to Twoj kolega, ktoremu sie zwierzasz z tego co masz na komputerze, jaki system i jak go zabezpieczasz i czego np. nie potrafisz zrobic.
Po drugie powylaczaj wszystkie niepotrzebne uslugi, a te ktore masz jesli nie maja byc publicznie udostepniane to je odpowiednio zabezpiecz konfiguracja oprogramowania. Np. jesli chcesz zeby tylko twoj kolega mial dostep na ftp i znasz jego ip i wiesz, ze to ip mu sie nie zmienia, to sobie ograniczasz np. na firewallu jakie adresy ma na dany port wpuszczac... inne odrzucasz.
Piszesz o atakach z sieci. Jakich konkretnie ? DDoS ? Ping of death ? Syn-flood ? Musisz sobie przejrzec mozliwe ataki jakie sa w sieci i poczytac o ich blokowaniu na firewallu np.
Wszystko to zalezy od Twojej polityki bezpieczenstwa, ktora musisz sobie ustalic. Jak Ci to pomoze to mozesz sobie nawet to rozrysowac, bo jak to mowia starozytni mysliciele: podstawa dobrego projektu jest rysunek i zalozenia  .
p.s. A no i duzo zalezy czy masz ip zewnetrzny czy jestes w sieci jakiejs i juz jestes np. za natem. Bo jesli masz ip zewnetrzny to jestes bardziej narazony na atak z sieci niz w sieci wewnetrznej.
_________________
Pozdrawiam
Jarosław Grząbel
HERE I AM |
|
| Back to top |
|
|
n3rd
Guru
Joined: 30 Apr 2005
Posts: 328
|
| Posted: Wed Dec 07, 2005 5:27 pm Post subject: Re: [SOLVED][SECURITY] czyli bezpieczeństwo Gentoo |
|
|
| JarekG wrote: | | Ja bym Ci polecil zainstalowanie oprogramowania blokujacego skanowanie portow (np. portsentry). Dzieki temu w bardzo duzym stopniu utrudniasz jakiekolwiek wykrycie dziury w twoim systemie, bo potencjalny napastnik tak naprawde nie wie z czym ma do czynienia... |
Może coś źle ustawiłem w konfigach lub czegoś nie wiem ale portsentry ma to do siebie, ze otwiera porty które monitoruje... i jeżeli przeskanujesz takiego kompa z portsentry np. nmapem to jak byk wyskoczą Ci informacje o systemie. Nie zgodziłbym się więc z twierdzeniem, że "potencjalny napastnik tak naprawde nie wie z czym ma do czynienia...". Jedyny plus z jego obecności jest taki, że masz możliwość zablokowania IP z którego było przeprowadzane skanowanie lub przekierować cały ruch z tego hosta do siecioego /dev/null - ale to raczej nie będzie wielkim problemem dla "potencjalnego napastnika" skoro zdobył on już informacje jakich potrzebował  .
Kolejna wada portsentry jest taka, że można przeprowadzić skanowanie typu stealth na UDP i zalać skanowany komputer pakietami i przez to zmusić portsentry do dopisywania ostrzeżeń do dziennika systemowego i tym samym doprowadzić do ataku typu DOS (sparaliżować kompa). Można co prawda ograniczyć takie ryzyko Generalnie jednak portsentry mi się nie podoba. Już bardziej podoba mi się scanlog. Osobiście polecałbym jednak dobrze skonfigurowanego Snorta.
Pozdrawiam
daniel cegielka
Update. To co najbardziej denerwuje w portsentry: jeżeli otwarty port jest niczym lampeczka w ciemnej sieci, to z portsentry będziesz świecił niczym choinka w Boże Narodzenie (tym bardziej jak będziesz chciał zabezpieczyć większość portów ) i wszystkie mendy będą się do Ciebie zlatywać. Czy warto jest się tak rzucać w oczy?
_________________
"Jeśli coś jest niemożliwe do zrobienia, przychodzi ktoś kto o tym nie wie i robi to."
-- Albert Einstein
Zanim zadasz pytanie na forum, wykonaj: /etc/init.d/brain. |
|
| Back to top |
|
|
JarekG
Apprentice
Joined: 26 Jan 2005
Posts: 160
Location: Poland | Birmingham [UK]
|
| Posted: Wed Dec 07, 2005 7:55 pm Post subject: Re: [SOLVED][SECURITY] czyli bezpieczeństwo Gentoo |
|
|
| n3rd wrote: | | Może coś źle ustawiłem w konfigach lub czegoś nie wiem ale portsentry ma to do siebie, ze otwiera porty które monitoruje... i jeżeli przeskanujesz takiego kompa z portsentry np. nmapem to jak byk wyskoczą Ci informacje o systemie. Nie zgodziłbym się więc z twierdzeniem, że "potencjalny napastnik tak naprawde nie wie z czym ma do czynienia...". Jedyny plus z jego obecności jest taki, że masz możliwość zablokowania IP z którego było przeprowadzane skanowanie lub przekierować cały ruch z tego hosta do siecioego /dev/null - ale to raczej nie będzie wielkim problemem dla "potencjalnego napastnika" skoro zdobył on już informacje jakich potrzebował . |
Nie wiem jak tam Twoja konfiguracja, wiem jak wyglada moja. Skanowanie nie daje zadnych wynikow. Probowalem na paru komputerach i z paru komputerow probowalem skanowac. Generalnie mozna przeciez polaczyc portsentry z iptables lub tcpwrappers, co spowoduje, ze jakakolwiek proba przeskanowania skonczy sie odmowa odpowiedzi ze strony Twojego komputera - przynajmniej powinna, bo to zalezy od konfiguracji. Jesli zDROPujesz proby skanowania nie ma szans zeby dowiedziec sie cokolwiek o Twojej maszynie. Dolozyc do tego odpowiednio przygotowane iptables i kupa.
| n3rd wrote: | | Kolejna wada portsentry jest taka, że można przeprowadzić skanowanie typu stealth na UDP i zalać skanowany komputer pakietami i przez to zmusić portsentry do dopisywania ostrzeżeń do dziennika systemowego i tym samym doprowadzić do ataku typu DOS (sparaliżować kompa). |
Znow sie z Toba nie zgodze. Nadal uwazam, ze jesli zDROPujesz proby skanowan to nie dojdzie do zadnego DoSa chyba, ze nagle z sieci przeskanuje Cie milion komputerow, a to juz inna sytuacja. Wtedy mowie... dobrze przygotowane iptables.
| n3rd wrote: | | Już bardziej podoba mi się scanlog. Osobiście polecałbym jednak dobrze skonfigurowanego Snorta. |
Nie znam scanloga, ale moze zainteresuje sie w wolnej chwili . Co do snorta to uwazam, ze na komputer desktopowy to jest tak jak mierzenie do muchy z armaty , albo przygotowywanie swojego komputera w domu w taki sposob zeby wszystko filtrowac przez router cisco .
| n3rd wrote: | Pozdrawiam
daniel cegielka |
Rowniez...
| n3rd wrote: | | Update. To co najbardziej denerwuje w portsentry: jeżeli otwarty port jest niczym lampeczka w ciemnej sieci, to z portsentry będziesz świecił niczym choinka w Boże Narodzenie (tym bardziej jak będziesz chciał zabezpieczyć większość portów ) i wszystkie mendy będą się do Ciebie zlatywać. Czy warto jest się tak rzucać w oczy? |
No tak jak pisalem. Ulubiona pozycja DROP. Chyba, ze ja nie rozumiem pewnych dzialan sieciowych, ale z tego co czytalem i praktykowalem to na DROPa nie ma bata . No ale moze mi wytlumaczysz pare rzeczy i bede madrzejszy o pewne rzeczy .
p.s. 100 post... juppi
_________________
Pozdrawiam
Jarosław Grząbel
HERE I AM |
|
| Back to top |
|
|
n3rd
Guru
Joined: 30 Apr 2005
Posts: 328
|
| Posted: Wed Dec 07, 2005 8:20 pm Post subject: |
|
|
DROP - a tak to się bardzo zgadzam I jakoś trudno mi znaleźć skaner co by sobie z DROP poradził (p0f?) -scanlog też nic nie wykrywa jak DROP ustawisz. Tylko z drugiej strony chyba upośledzasz takim sposobem portsentry skoro dropujesz pakiety. Myślę, że portsentry bardziej powinno być instalowane na serwerach niż domowych kompach (gdzie można właściwie wszystko dropować).
Fajny jest snort ale ma bardzo popapraną konfigurację... i trochę wiele ramu zjada 
pozdrawiam
daniel
_________________
"Jeśli coś jest niemożliwe do zrobienia, przychodzi ktoś kto o tym nie wie i robi to."
-- Albert Einstein
Zanim zadasz pytanie na forum, wykonaj: /etc/init.d/brain. |
|
| Back to top |
|
|
JarekG
Apprentice
Joined: 26 Jan 2005
Posts: 160
Location: Poland | Birmingham [UK]
|
| Posted: Thu Dec 08, 2005 8:26 am Post subject: |
|
|
| n3rd wrote: | | DROP - a tak to się bardzo zgadzam I jakoś trudno mi znaleźć skaner co by sobie z DROP poradził (p0f?) -scanlog też nic nie wykrywa jak DROP ustawisz. Tylko z drugiej strony chyba upośledzasz takim sposobem portsentry skoro dropujesz pakiety. Myślę, że portsentry bardziej powinno być instalowane na serwerach niż domowych kompach (gdzie można właściwie wszystko dropować). |
Nie wiem czy uposledzam portsentry czy nie. Wazne, ze mi robi loga, kto skanowal i nie wpuszcza go dalej. To tak jakbys podal koledze adres, a w dzien przed jego przyjsciem zamurowal drzwi w swoim domu i udawal, ze tam nie mieszkasz , a czekajac na niego bys wiedzial, ze przyszedl. Taka jest moja polityka bezpieczenstwa i nic na to nie poradze . Co do wyokorzystania portsentry to ja zostawiam wolna reke. Jesli ktos chce miec go w domu to prosze bardzo, jesli nie, to nie. Czytajac watek nie zauwazylem zadnego rozwiazania problemu ani wskazowek w danym temacie (skanowanie) wiec podsunalem swoj pomysl . Ja tam w domu nie uzywam zadnych zabezpieczen. Co innego na serwerze w pracy. W domu nie musze, bo nie jestem w swiecie widoczny, jestem za NATem i mi wszystko zwisa ;D.
| n3rd wrote: | | Fajny jest snort ale ma bardzo popapraną konfigurację... i trochę wiele ramu zjada |
Nie mialem okazji tego tak naprawde testowac, bo nie bylo mi to do niczego potrzebne. Czytalem jednak na temat tego dosyc duzo. Jeszcze slyszalem o takim czyms jak tripware, ale to ma troche inne zastosowanie niz snort.
| n3rd wrote: | pozdrawiam
daniel |
_________________
Pozdrawiam
Jarosław Grząbel
HERE I AM |
|
| Back to top |
|
|
n3rd
Guru
Joined: 30 Apr 2005
Posts: 328
|
| Posted: Thu Dec 08, 2005 12:56 pm Post subject: |
|
|
Jeszcze co do antyskanerów dodałbym psad (jest chyba nawet bardziej poleceny niz portsentry).
Myślę, że bardzo ważne jest wydzielenie /tmp i /var na oddzielne partycje i montowanie przynajmniej samej /tmp z opcjalmi nodev,nosuid,noexec (w razie problemów ze skryptami można chwilowo przemontować). To bardzo ważne aby wydzielić /tmp i montować z tymi opcjami - niestety podręcznik instalacji gentoo o tym coś bardzo mało wspomina
Pozdrawiam
daniel
EDIT
scanlogd jednak odpada. Działa on na takiej zasadzie, że alarm jest generowany wtedy, gdy stuka się do znacznej liczby portów... 1, 2, 3 itd. Jeżeli więc będziemy stukać w konkretny port, scanlogd nie wykryje takiego skanowania. Można przetestować...
pełne skanowanie nmap -sS 127.0.0.1 i zobaczyć logi - będzie wpis o scanowaniu. I skanowanie konkretnego portu nmap -sS -p 80 127.0.0.1... tym razem już nie będzie wpisu.
Update do portsentry: | Quote: | Portsentry jest jednak podatny na ataki z sieci ze wzgledu na komunikaty, ktore zapisuje do plikow.
Maszyna, na ktorej jest odpalony program jest narazona na ataki DoS i DDoS. Czasem rowniez automatyczne
wyblokowanie jakiegos hosta moze nie byc pozadane. Czasem serwery wywoluja host aby sprawdzic czy jest
w sieci (DHCP) etc. zatem ich postepowanie jest jak najbardziej zrozumiale i do zaakceptowania. A co jezeli
ktos wysle pakiety z fake ip, ktory jest dla nas strategiczny w jakikolwiek sposob? Zamieszalem...
Hmm, reasumujac: wiele osob twierdzi, iz PortSentry to zart. Zalezy co chcemy osiagnac... |
_________________
"Jeśli coś jest niemożliwe do zrobienia, przychodzi ktoś kto o tym nie wie i robi to."
-- Albert Einstein
Zanim zadasz pytanie na forum, wykonaj: /etc/init.d/brain. |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Polskie forum (Polish)
