Zabezpieczenie systemu

[Dominik]

Witam, jestem ciekaw jak zabezpieczacie systemy działające na systemach linux. Chciałbym się dowiedzieć czy korzystacie tylko z regułek iptables, czy też może wykorzystujecie jakieś dodatkowe programy (antywirusy).

Piszcie zarówno o zabezpieczeniach systemów biurkowych jak też serwerów.

Pozdrawiam

[TQM]

Sorki... wyslalo mi 2 razy a ten byl nie dokonczony

[TQM]

Przede wszystki bardzo zaweziles juz pojecie bezpieczenstwa...

Firewall - owszem, jest potrzebny. Najlepiej sprzetowy (profesjonalny), ktory daje sporo wiecej niz Linux z iptables... Poza tym, nawet za firewall'em dobrze ustawic regulku - tak dla swietego spokoju, za duzo nigdy nie jest hehe, tylko pozniej trzeba pamietac co sie poblokowalo bo nagle chcesz cos odpalic a tu siec nie odpowiada...

Firewall na linuxie (w systemie) - wyciac wszystko (najlepiej INPUT/OUTPUT i FORWARD na DENY/DROP) i wpuszczac tylko to co ma dzialac. Jesli to stacja robocza to zapomnij o DROP na OUTPUT - bedzie na pewno sporo gadac po sieci a i INPUT musisz dobrze zaplanowac. Jesli to serwer zamkniecie obu jest bardzo logiczne...
Serwery WWW na przyklad zazwyczaj nawet nie potrzebuja DNSow uzywac, wiec zamykasz takiemu wszystko i otwierasz INPUT na port 80 (zapytania z sieci) i OUTPUT z portu 80 (odpowiedzi serwera WWW). Jest to najlepsze rozwiazanie, aczkolwiek i tak malo moim zdaniem.

Firewall sprzetowy - zasady podobne jak wyzej... Siec lokalna na jeden port, wlaczyc filtrowanie i jak sie da to antyvira na ten port. Serwery na inny port i okreslic jako osobna podsiec DMZ, puszczac bez NAT jak leci. Co do LAN to robisz NAT z filtrowaniem i antyvirem, aby dane wracajace w odpowiedzi na zapytania uzytkownikow nie zawieraly smieci - przez NAT raczej nikt nie wejdzie ale user moze jakiegos syfa sam zassac. Co do DMZ - tu wycinasz wszystko doslownie! Dla kazdego serwera tworzysz w firewall'u osobny obiekt adresowy (zalezy to jaki to jest firewall) i opisujesz go osobno - jakie uslugi ma obslugiwac, do jakich portow wolno mu sie laczyc - jak w poprzednim akapicie o linuxie... No i warto nadal dopiac firewall na systemie jako takim :-) Jedyne co mozna pozostawic, to wpuscic ALL z LAN do DMZ bez maskarady (jesli np poczte masz na maszynie w DMZ to chcesz wiedziec najczesciej kto z LAN sie laczy i kiedy a nie miec tylko adres firewall'a w logach).

WSZYSTKO TO MALO!!!
No i teraz - dlaczego? Jak juz tu kiedys pisalem, 90% nakladow (nie tylko w sensie wydatkow) na bezpieczenstwo w IT to naklady na zabezpieczenie sieci... z czego 75% atakow to nie ataki na sieci ale na oprogramowanie, wiec taka struktura nakladow jest zupelnie chybiona!

Dlaczego na przyklad ataki na serwery WWW sa tak skuteczne? Po prostu firewall jest ustawiony aby przepuszczac zapytania WWW i tyle - nawet ich nie analizuje najczesciej! Do tego dla utrudnienia wikeszosc z nich to legalne poprawne zapytania WWW. Nie atakuja samego serwera ale aplikacje ktora na nim dziala (CMS, forum, sklepik, cokolwiek tam jest), nawet nie ruszajac serwera i systemu. Czasami mozna uzyc takiego ataku do zapisania na dysku plikow pobranych z sieci i wtedy jest juz problem, bo masz swoje programy, ktore mozesz udpalic z uprawnieniami serwera WWW i zaczyna sie zabawa... wtedy juz nie atakujacy nie szuka remote-exploit'a ale local-exploit'a bo ma lokalne konto w systemie :-) Przykladow sa setki wiec nie bede opisywal.

Proponuje sie skupic bardziej na bezpieczenstwie oprogramowania niz na bezpieczenstwie sieci - dobrze ustawiony firewall powinien sobie poradzic, poza tym nawet jesli sobie nie poradzi to proponuje pobawic sie w tzw. system hardening - ostatnio nawet w UK chyba Linux Magazine opisywal (jakies 12 stron) dwie platformy - AppShield i SELinux (opracowane przez NSA), ale to nie sa wszystkie platformy dostepne dla nas... Po prostu chodzi o to, ze nawet jesli ktos uzyska dostep do systemu (tak jak dziura w Mambo - poszukaj w moich postach, znajdziesz link do opisu) to nie uda mu sie odpalic zadnego exploit'a... a nawet jesli to buffer overflow nie zadziala, aplikacja nie nadpisze pliku a root moze co najwyzej smieci wyniesc bo nie ma uprawnien :-)

Moja opinia odnosnie postawionego pytania - zaplanowac dobrze firewall jako poczatek pracy, podlaczyc system on-line jak juz wzmocnisz system i aplikacje na nim dzialajace (chroot jail, mod_rewrite dobrze zaplanowane, mod_security, itp.). Ja wlasnie siedze i robie przeglad kilkunastu aplikacji ktore moi ludzie z firmy chcieli wrzucic na serwery produkcyjne - 2 aplikacje juz wrocily do autorow - maja je przepisac od nowa w bezpieczny sposob by nie prowokowac glupich atakow (XSS, *-injection, wymuszenie bledu aplikacji, wymuszenie naruszenia zabezpieczen/limitow systemu przez aplikacje, etc.)...

Moja rada - pomyslec wiecej o aplikacjach niz o sieci - to aplikacje sa najczesciej celem ataku, nie same systemy!


Wybacz, ale kwestie desktop'ow nie ruszam bo zakladam ze sa w sieci LAN za firewall'em - tak czy inaczej powinny miec swoj firewall i wylaczone wszystkie uslugi chyba ze sa na prawde potrzebne... ale wtedy firewall lokalny powinien to zamykac.

[TQM]

Przyklady bledow z zycia wzietych...

Wczoraj probowalem kupic sobie kilka drobiazgow z Belgii. Zalozylem konto w sklepie internetowym producenta sprzetu, wrzucilem do koszyka, checkout - podaje dane karty kredytowej, wszystko ok... Daje "Process payment" i co widze?!

500 Application error

Warning: ocilogon(): _oci_open_server: ORA-12541: TNS:no listener in C:\Inetpub\vhosts\firma.be\httpdocs\shop\includes\ classes\import_order.php on line 52
Connect error: ORA-12541: TNS:no listener PHP Warning: ocilogon(): _oci_open_server: ORA-12541: TNS:no listener in C:\Inetpub\vhosts\firma.be\httpdocs\shop\includes\ classes\import_order.php on line 52

No to teraz pytanie co to daje potencjalnemu atakujacemu (domena zostala zamieniona powyzej na firma.be)?

1. serwer dziala pod Windows
2. baza danych to Oracle (ktory wlasnie poszedl na spacer)
3. software napisany jest w PHP
4. serwer nie podaje adresu admina gdzie zglaszac bledy
5. PHP nadal ma display_errors On :-)
6. poszukajmy atakow na PHP dzialajace pod Windows'em

Chyba jest to dosc dobry wektor ataku - aplikacja a nie system hehe

[Dominik]

tqm, dzieki za odpowiedz.

Co do systemow biurkowych - chodzilo mi o kompy domowe, nie koniecznie o te biurowe. Jestem ciekaw czy ktos wogole zabezpiecza je w inny sposob niz przy uzyciu firewalla, np. antyvirusem (jesli tak to jakim).

[TQM]

Co do domowych - roznie ludzie zabezpieczaja... zone alarm (ponoc dziurawy ale i tak zawsze duzo lepszy niz nic), symantec client firewall - ostatnio dostepny z antywirem, poza tym sporo darmowych jest na sieci...

Co do antywira - ja uzywam akurat Symantec Antyvirus Corporate Edition - nie spowalnia systemu (tak jak to robi Norton Antyvirus 2003 i nowsze), ma zupelnie inny (skuteczniejszy) mechanizm detekcji... tylko cene tez swoja ma :-) Ogolnie mam go ostatnie chyba 4 lata czy jakos tak i nigdy nic nie wpuscil, co innym sie zdazalo... Musze przyznac ze ja jestem zadowolony.

Pod linuxem do sprawdzania np poczty itp to clamav - darmowy, latwo integrowalny z amavis'em :-) i mozn go wplesc do squid'a tez :-) Dla windows jest jako ClamWin - tez free.

[Dominik]

Ech, chciałem tylko informacje o antywirach na linuksa, bo słyszałem tylko o paru i jestem ciekaw czy ktoś z nich korzysta. Weźmy np. produkt firmy Kaspersky

Co do oprogramowania antywirusowego na windowsa to rzeczywiście sporo tego jest, sporo też jest wersji darmowych do użytku domowego. Jednak w tym dziale wolałby żebyście pisali tylko na temat linuxa. Z tego co się orientuje to ZoneAlarm tworzy swoje produkty tylko na jedną platformę i nie jest to linux.

P.S.
Odnośnie antywirusów pod winde. Nie pierwszy raz słyszę że ktoś chwali Norton Antyvirus 2003. Może rzeczywiście jest to jeden z lepszych programów tego typu. Godnym polecenia (moim zdaniem) jest też oprogramowanie firmy F-Secure. Kaspersky wymaga dobrego sprzętu inaczej będzie się wszystko muliło.

Pozdrawiam

[scorn]

http://bash.org.pl/52649

to najzajebistsze zabezpieczenie o jakim czytałem ;}

[TQM]

=B-P~

chmod -x `which chmod` - powinno poprawic wydajnosc hehehehe

[scorn]

myśle, że cat /dev/urandom > /etc/shadow też zajebiście załata system ;-)
ale ogólnie to jeśli chodzi o desktopa na linuxie, to proponuje portsentry + iptables z dobrym konfigiem, coś do skanowania poczty, jeśli odbierasz bezpośrednio na kompa, anie np. przez przeglądarke, ewentualnie proponuje jeszcze wrzucić jakiegoś IDS'a/IPS'a, honeyd... opcji jest mnóstwo, naprawde

kiedyś robiłem tak, że skanowałem swój system najróżniejszymi skanerami i patrzyłem, jak wyglądają logi po każdym takim skanowaniu, po czym z wyników skanu, zbierałem informacje o swoim własnym kompie i próbowałem sie na niego włamać, testując podatność różnorakich aplikacji i usług na nim znalezionych, czy to lokalnie, czy zdalnie, obojętne mi było. wyniki były fascynujące szczerze mówiąc i dość dużo się dzięki temu nauczyłem. roboty od cholery, ale polecam ;-)