Bsdmag 01 2012 rus

Page 26

HOWTO

Листинг 9 - Сообщение о блокированной атаке от системы Snort и сохраненной в /var/log/messages Dec 17 01:20:49 FreeBSD-IPS snort[838]: [1:2200001:1] HTTP FreeBSD-ATTACKER /etc/passwd attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 192.168.1.22:17123 -> 192.168.1.21:80

Теперь атакующая система FreeBSD-Attacker может попробовать запустить ping-пакеты на IPS-сенсор. Чтобы продемонстрировать работу IPS, на атакующей машине мы будем выводить сообщения с помощью команд printf и netcat, которые и сформируют HTTPзапрос для посылки на сервер Apache. В Листинге 8 приведен правильный HTTP-запрос, за которым следует попытка получить нужный файл. Первый запрос был отправлен веб-серверу Apache и от него был получен ответ HTTP 200 OK. Во втором запросе в адресное поле включена строка /etc/passwd. Этот запрос Snort заблокировал, но пропустил на обработку серверу Apache. В Листинге 9 приводится сообщение из /var/log/messages, т.к. Snort был настроен на использование syslog для сохранения лог-данных.

В сети • • • • • •

FREEBSD-INSTALL: http://www.freebsd.org/doc/handbook/install-start.html FreeBSD Snort Inline: http://freebsd.rogness.net/snort_ inline/ FreeBSD IPFW: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html FreeBSD Inline Forum Post: https://forums.snort.org/forums/support/topics/snort-inline-on-freebsd-ipfw Snort: http://www.snort.org Emerging Threats Rules: http://www.emergingthreats.net

В этой статье представлены только основы по организации совместного встроенного решения на базе Snort и FreeBSD. Сложные конфигурации могут учитывать частные сети, располагающиеся за экраном FreeBSD-IPS, защищающим таким образом эти сетевые сегменты от атак. В сегодняшнем примере мы использовали только одну сигнатуру, чтобы продемонстрировать функционал по блокировке атаки. Можно найти свободно-распространяемые в сети образцы правил, такие как Emerging Threats, а также зарегистрированные правила с сайт Sourcefire, которые вы можете задействовать для защиты собственной системы или сети от вредоносных атак.

ОБ АВТОРЕ Michael Shirk - фанатик BSD, который работает с OpenBSD и FreeBSD более 6 лет. Он работает в сообществе безопасности и занимается поддержкой открытых продуктов по безопасности, которые работают на операционных системах семейства BSD. Автор благодарит J. J. Cummings за помощь в проведении тестирования этой статьи.

26

01/2012

Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.