книги хакеры / журнал хакер / 137_Optimized

Типичноеправилоfirewall

выводятся данные логов Squid. Тут есть суммарный отчет за месяц «директору на стол», только почему-то он перебрасывает в «Монитор» — как-то это нелогично. Хотя сам отчет вполне ничего себе, с картинками, а директорам, как известно, картинки нравятся :).

БЕЗОПАСНОСТЬВНУТРЕННЕЙСЕТИ

Несмотря на пафосные обещания, безопасность, в общем-то, основана на стандартном наборе подходов: chroot основных сервисов и проверка контрольных сумм системных файлов. С другой стороны, аналогичная связка используется и в дистрибутиве Linux МСВС для российских военных (в нем, правда, есть еще ACL-листы и различные роли для пользователей), да и мы знаем, что им можно доверять. Настройки всех компонентов, отвечающих за защиту ресурсов внутренней сети, собраны в меню «Безопасность» и состоят из 10 подпунктов. Чтобы разрешить доступ по SSH, надо установить соответствующий флажок в «Общих настройках». Здесь же устанавливаются ограничения на количество сессий и блокировка сканеров портов, указывается IP системы админа. Далее идут две группы правил firewall: системные (то есть общие для всех) и пользовательские, которые затем можно назначить пользователям. Все это сделано для того, чтобы самому не копаться в iptables.

Âрезультате все задается в интуитивно понятной среде: IPадреса источника и назначения, протокол, порт, время действия, направление, интерфейс, скорость, действие. Список последних очень большой, от стандартных «Запретить/ Разрешить» до использования шейпера и фильтров. Чтобы просмотреть список фильтров, идем в подменю «Ключевые слова», где уже есть заготовки для 15 категорий. Причем никто не мешает тебе создать свой фильтр — достаточно взять за основу любой из уже имеющихся.

Âцелях повышения безопасности все встроенные сервисы по умолчанию отключены. Админ самостоятельно выбирает и активирует в разделе «Сервер» то, что ему действительно необходимо. Каждый раз, подключая новый сервис с помощью подобной сборки, я опасаюсь, что сейчас выйдет какой-нибудь сплойт, и придется заниматься обновлением вручную. В случае с Ideco все выполняется автоматически. Есть интересный момент. В разделе «Сервер -> Авт. Обновление», где администратору предлагаются расширенные настройки обновления сервера по расписанию, есть возможность «задержки установки обновления». Наверное, для ожидания обновления для обновления :). Рядышком находятся настройки резервного копирования. Но если выбрать «Сервер -> Резервное копирование -> На CD» и нажать на ссылку «Записать на CD сейчас», выдается сообщение «Данная опция доступна только через локальную консоль сервера».

WMIИPOWERSHELL

ÂWinNT 4.0SP4 администраторы получили новый инструмент для централизованного управления и слежения за работой различ- ных частей операционной системы — WMI (Windows Management Instrumentation, Инструментарий для Управления Windows). Правда, в первых версиях заложенных компонентов было немного (всего 15). Но в последующих Win2k+ их количество увели- чивалось вместе с возможностями. Сегодня WMI доступен для всех версий ОС Windows, включая Se7en. Опрашивая различные WMIклассы локальной и удаленных систем, мы можем получить всю необходимую информацию по имеющемуся в компании программному обеспечению и оборудованию.

Âпримерах предлагаю не использовать VBScript, JScript или другие скриптовые языки, уж слишком они громоздки и неудобны, тем более у нас уже есть роскошный PowerShell, способный выполнить за нас львиную долю работы (подробнее о PS читай в ][ 09.2009 и 05.2010).

ДляначалаполучимсписокBIOSнаподчиненныхкомпьютерах:

PS> Get-WMIObject Win32_BIOS -computerName synack.ru

Кактыпонимаешь,после'-computerName'ука- зываетсяимяхоста.Хотяприопроселокальной системыэтотпараметрможноопускать,чтомы ибудемделатьвдальнейшемдлякраткости.

Написавпростенькийскрипт,легкопередать

Get-WMIObjectсписоксистем,скоторых будетсобиратьсяинформация.Результатпри

необходимостисохраняемвтекстовыйфайлдля дальнейшегоанализа.

Аналогичнопроводимопросостальныхпараметров.Например,запрашиваеминформацию оCPU:

PS> Get-WMIObject Win32_Processor

Полныйсписокданных,какправило,ненужен, поэтомуотбираемтольконеобходимыепараметры:

PS> Get-WmiObject Win32_

ComputerSystem | Select

Manufacturer, Model

Посмотрим,какаяунасматеринскаяплата:

PS> Win32_Baseboard | Select Manufacturer, Name, Product | ft -a

КлассыWin32_ComputerSystem, Win32_ComputerSystemProductиWin32_ OperatingSystemпозволятсобратьобщие данныепокомпьютеруисистеме:

PS> "127.0.0.1", "synack.ru", "pc01" | Check-Online | Foreach-Object { Get-WMIObject Win32_ComputerSystem -computerName $_ }

ЗапрашиваемверсиюОС:

PS> Get-WmiObject Win32_ OperatingSystem | Select CSName,Buil dNumber,ServicePackMajorVersion

Прижеланиирезультатможносохранитьв файл,например«Export-CliXMLC:\check.xml»,а затемотфильтроватьилиобработать:

PS> Import-CliXML C:\check.xml |

Out-GridView

ПолныйсписокWin32_*классовисвойствдоступенвдокументацииMSDN«Win32_Classes» (http://msdn.microsoft.com/en-us/library/ aa394084%28v=VS.85%29.aspx).Альтернатив- ныйвариант—воспользоватьсяфункциейпо- иска.Кпримеру,просмотримсписокобъектов,в именахкоторыхприсутствуетсловоdisk:

PS> Get-WmiObject -List | where {$_. name -match "disk"}

ГОТОВЫЕУТИЛИТЫИПРИЛОЖЕНИЯ

Еслихорошопоискатьвинтернете,можно найтинеодиндесятокготовыхWMI-скриптов насамыхразныхязыкахпрограммирования, которыелегкоадаптируютсяподтвоинужды. МоевниманиепривлеклоHTA-приложение HardwareInventory(www.robvanderwoude.com/ hardware.php)свеб-оболочкой.Простовводим имякомпьютераиполучаемданныеобустановленномоборудовании.Принеобходимости можноотредактироватьсырецвтекстовомредакторе,дополнивегонужнымипараметрами (опросWMI-объектовреализованнаVBScript).

Стороннимиразработчикамисозданрядспециальныхкомандлетов, упрощающихнаписаниескриптов.СкриптComputerInventoryScript (CompInv),которыйдоступеннасайтеpowershellpro.com,позволяет получитьинформациюожелезе,ОСисохранитьвсесобранныеданныев Excel'евскийфайлдлядальнейшегоанализа.Послезапускаскриптзадаст нескольковопросов,отвечаянакоторые,админвыбираетрежимсбора данных.Списоккомпьютеровдляпроверкиопределяетсяприпомощи специальноготекстовогофайла,такжескриптможетавтоматически проверитьвсесистемыилисерверы,входящиевдомен.Каквариант— имякомпьютеразадаетсявручную.Поумолчаниюиспользуетсятекущая учетнаязапись,но,ответив«Yes»навопрос«Wouldyouliketousean alternativecredential?»,можноуказатьтребуемуюучетнуюзапись.

Чтобызатемнезапускатьсозданныйскриптсамостоятельно,поручимэто SchTasks.Например:

> SchTasks /CREATE /TN CheckScript /TR "powershell.exe ` -noprofile -executionpolicy Unrestricted `

-file check.ps1" /IT /RL HIGHEST /SC DAILY

ВрезультатесоздаетсязаданиесназваниемCheckScript,котороебудет ежедневновыполнятьPS-скриптcheck.ps1,причемснаивысшимприори- тетом.

Вместессистемойинвентаризацииоборудованияиустановленныхпри- ложенийNetPoint(www.neutex.net)предлагаетсянаборPS-скриптов(Get- Net*),предназначенныхкакраздлясбораопределенноготипаданных

оподчиненныхсистемах.Например,просмотримналичиесвободного местанахарде:

PS> Get-NetLogicalDisk -DriveType "Local Disk" | where { $_.FreeSpace / $_.Size -lt .10 } | % { $_.ComputerSystemName }

Теперьпопробуемсобратьинформациюобустановленныхпрограммах:

PS> Get-NetProgram -System synack.ru -Uninstalled $False

| % { $_.DisplayName } | sort -unique

Всеговпоставкувходит20командлетов.

ДоступнабесплатнаяверсияNetPointExpressEdition,котораяработаетв 32/64-битныхWinXP/2k3/2k8/Vista/Se7en,ееможноприменятьвсетях любогоразмера.ДляустановкиNetPointпонадобитсяналичиеPS2.0,IISи SQL-сервера(достаточноExpressEdition).

Кстати,списокустановленныхпрограммможнополучить,простопрочи- тавнужнуюветкуреестра:

PS> Get-ItemProperty HKLM:\SOFTWARE\Microsoft\

Windows\CurrentVersion\Uninstall\* | Format-Table

DisplayName,Publisher | Out-GridView

КомандлетOut-GridViewвыводитданныевотдельномокнесвозмож- ностьюпоискаисортировки.

МИНУСЫИСПОЛЬЗОВАНИЯСКРИПТОВ

ЕслисборданныхприпомощиWMI/PowerShellдовольнопрост,товсе отчетыиизменениявконфигурацияхприходитсяконтролировать вручную.Конечно,можноусложнятьсвоискрипты,пытаясьавтоматизироватьпроцесс,нонекаждыйзахочеттратитьнаэтовремя.Здесьстоит напомнить,чтоMicrosoftпредлагаетнеобходимуюфункциональность

âSCCM(SystemCenterConfigurationManager),окотороммыужеписали

âномерах08.2009,09.2009и01-02.2010.Новтехслучаях,когдавраспоря- женииадминанаходятсятакже*nixсистемы,всевозможныероутеры

ипрочееоборудование,котороенеобходимоучитывать,WMI—ужене помощник.Крометого,остаетсяпроблемавизуальногопредставления данныхиотчетов.Здесьпридетсяприбегнутькстороннимпрограммам(в томчислераспространяемымподсвободнымилицензиями),благо,есть изчеговыбирать.

СИСТЕМАИНВЕНТАРИЗАЦИИMYZCI

Многие,ктопробовалсистемуинвентаризацииzCI(zci.sf.net),находили еедовольноудачнымрешением,ноейнехваталовозможностизаносить

Смотримсписокустановленных программсиспользованиемOutGridView

ЧтобысоздатьтаблицывБД,используемскрипт mysqlscript.sql,находящийсявкаталогеengine. Записивнутринужнопривестивсоответствие сданными:

$ sudo nano mysqlscript.sql

create database zci;

...

grant all on zci.* to 'zci'@'localhost' identified by 'passwd';

#Если не планируется доступ к БД с других систем, последнюю строку комментируем

#grant select,delete,insert,update on zci.* to 'zci'@'%' identified by 'zci';

Локализацияинтерфейсапроизводитсяустановкойпеременной“$Lang”взначение“ru”в файлеlangconfig.php.

ДлясбораинформациивWindows-системе используетсяWindowsScriptHost,вLinux— lshwclientнаJava.Всекомпонентынаходятсяв подкаталогеadd-onsиengine.ЗдесьжележатMS WindowsScriptingHost5.6иMSWMICore1.5, которыенеобходимыдляработыклиентской частивWin95/98/NT4.Передразвертыванием вфайлахtakedata.jsиlshwclient.javaследует изменитьзначениепеременнойMyZCIpathи MyZCIserver,чтобыонауказывалаURLсервера. Процесснастройкиклиентскойчастинаконеч- ныхсистемахупрощен.Так,скриптinstall.sh, используемыйприустановкевLinux,проверяет наличиепакетовlshw,jdkиread-edid(инфао мониторе)иприихотсутствиивыдаетпояснительноесообщение.Далеепроисходитсборка Java-клиентаиустановказаданияcron.После развертыванияMyZCIнужноподключиться

ксерверусудаленнойсистемыизарегистрироватькомпьютер,нажавсоответствующую ссылкунаглавнойстранице.Информация оновойсистемедолжнапоявитьсявбазе

MyZCI.Скачиваемсглавнойстраницыархивс клиентскойчастьюизапускаемустановщик. Послечегоскриптыначнутотсылатьданныена сервер.

Интерфейспредельнопростипозволяетвыводитьдетальнуюинформациюожелезе,вносить иредактироватьданныеокомпьютерах,

ПриложениеHardware Inventory

группировать,искатьсистемыпоопределенномукритерию (например,типвидеокартыимонитор),отслеживатьизменения.Менюадминистраторапозволяетопределятьстатус (закреплен,аренда)иместонахождениесистемы.

СИСТЕМАOCSINVENTORYNG

РешениеOCSInventoryNG(OCSNG,OpenComputersand SoftwareInventoryNewGeneration,ocsinventory-ng.org) позволяетпроизвестиинвентаризациюкомплектующихи программногообеспечения,установленныхнакомпьютерах влокальнойсети,иотслеживатьихизменения,периодическиполучаяданныеоконфигурациисистем.Ещеоднойполезнойфункциейявляетсявозможностьудаленнойустановки программивыполнениякоманд.Длясбораинформациина клиентскиекомпьютерыустанавливаетсяпрограмма-агент. АгентдоступенпрактическидлявсехверсийWindowsот95

Локализация

OCSNG/GLPI

ИнтерфейсOCSNGлокализован,новсежеесть небольшиепроблемы,приводящиектому,что русскоязычныеназванияпрограмм,установленныхвWindows,отображаютсянекорректно. Деловтом,чтовOCSNGизначальноиспользу- етсякодировкаISO-8859-1(дляотображенияCP- 1251),вGLPI—UTF8.ПриимпортеданныхOCSNG ->GLPIтакжевозникаютпроблемыскодиров- ками.Известнодвапутирешения:

1.Налетуприэкспортеменятьданныеииспользуемыешрифты.Чтобысделатьэто,нужно поправитьфайлexport.function.phpипри помощипакетаttf2pt1создатьновыешрифты, поддерживающиеUTF8.

2.ИзначальнонаучитьOCSNGработатьсUTF8. Дляэтогопредложеныпатчиипересобранные установочныефайлыдляWindows.Скачатьих можносftp://linvinus.ru/ocs.Здесьженаходят- сяготовыеdeb-пакетыдляUbuntu/Debian.

Крометого,вфайлеinc/ocsng.class.phpследует изменитьстроку«$this->dbenc="latin1";»на «$this->dbenc="utf8";»ив/etc/php5/apache2/ php.iniпроверитьустановку«default_charset= "utf-8"».

$ sudo cpan -i XML::Entities

Впроцессеустановкибудутсозданывсенеобходимыеконфигурационные файлыиалиасыдлявеб-сервера.Таккакфайлы,которыемогутраспро- странятьсяприпомощиOCSNG,частоимеютбольшойразмер,следует установитьнужныезначенияпеременныхpost_max_sizeиupload_max_ filesizeвфайлах/etc/php5/apache2/php.ini(поумолчанию—8и2Мб)

иocsinventory-reports.conf.Послевсехнастроеквызываембраузери запускаемустановочныйскриптhttp://localhost/ocsreports/install.php, гдеуказываемпараметрыдоступакБД.Впроцессеустановкидлядоступа кбазеocswebбудетсозданаучетнаязапись«ocs»спаролем«ocs».Если доступкбазенеограниченлокальнойсистемой,вцеляхбезопасности дефолтныйпарольследуетизменить.ДляустановкиагентавLinuxпотребуетсяналичиенекоторыхмодулейPerl(XMLиZlib)иdmidecode.

$ sudo apt-get install libcompress-zlib-perl libnet-ip- perl libnet-ssleay-perl libwww-perl libxml-simple-perl po-debconf ucf dmidecode pciutils

ПослечегоагентустанавливаетсястандартнымдляPerl'овыхприложений способом:

$ tar xzvf Ocsinventory-Agent-1.1.2.tar.gz $ cd Ocsinventory-Agent-1.1.2

$ perl Makefile.PL $ make

$ sudo make install

Далеескриптначнетзадаватьрядвопросовпоразмещениюконфигурационныхфайлов.Вводимданныесервера,создаемтэг(длягруппировки систем),активируемзадачудляcron.Поокончаниинастройкисобранные данныеоконфигурациикомпьютераотправляютсянасервер.Еслисвязь установленаиполучаемответ«Success!»,установкуагентаможносчитать законченной.Егоданныепоявятсяввеб-консоли,вразделе«Всекомпью- теры».Вкаталоге/var/lib/ocsinventory-agentбудетсозданXML-файл, содержащийтекущуюконфигурациюкомпьютера.Еслижесоединения непроизошло,запустиагентврежимеотладки:

$ ocsinventory-agent -l /tmp –debug --server http:// ocsng-server/ocsinventory

Обычнополученнойинформациихватаетдлядиагностикиошибок. АгентдляWindowsможетбытьустановленнесколькимиспособами.Са- мыйпростой—вручнуюилиспомощьюприлагающегосяlogonскрипта.

ПослеинсталляциисервераустановочныйфайлагентаможноимпортироватьвбазуOCSNG.Простовыбираемвкладку«Агент»иуказываем месторасположениефайла,послечегоонбудетдоступенслюбогокомпьютерасети.Установкастандартна:напоследнемэтапесообщаемимя илиIP-адресOCSNGсервера,и,чтобысразужесформироватьиотправить отчет,устанавливаемфлажок«Immediatelylaunchinventory».Далееагент прописываетсявавтозагрузкуистартуетвкачествесервиса.

РАБОТАСИНТЕРФЕЙСОМOCSNG

Интерфейслокализован,поэтому,чтобыразобратьсясегоиспользованием,многовременинепонадобится.Поумолчаниюнавкладке«Всекомпьютеры»показанысемьосновныххарактеристикклиентскихмашин. Список«Addcolumn»позволяетлегкодобавитьещедо23полей.Очень удобно,чтоданныеподдаютсяручномуредактированию.Такжеследует отметитьлегкийпоискиудалениедубликатовсистем.

Какужеговорилосьранее,вOCSNGзаложенавозможностьустановки приложенийизапускаскриптов(bat,vbsит.п.)Такаяфункциональность сильновыручает.СоздаемпакетвDeployment—Buildизаполняемполя Newpackagebuilding:название,Priority(порядокустановки)идействиев Action.Предусмотренотриварианта:

-Store — копировать на целевую систему;

-Execute — копировать и выполнить с командой;

-Launch — копировать и запустить.

ПараметрывUsernotificationsпозволяютвывестипредупреждениепользователюиразрешитьемуотменятьзадачу.

ПослесозданияпакетаегоследуетактивироватьвDeployment—Activate. ВводимURLсервераинажимаем«Отправить».Выбираемкомпьютер, накоторыйбудемустанавливатьпакет,переходимвменюCustomization инажимаемссылкуAddpackage.Указываемпакетизапускаемпроцесс нажатиемAffect.СостояниезадачивыводитсявCustomization,общая статистикадоступнавтаблицеActivate.

ВOCSNGинициаторомсоединениявыступаетагент,которыйподклю- чаетсяксерверуразвсутки,отправляетинформациюосостояниии получаетзадания.Еслисозданныйпакетнеобходимоустановитьраньше, наклиентеследуетпринудительнозапуститькомандуocsinventory-agent.

ЗАКЛЮЧЕНИЕ

Посленастройкиизаполнениябазыданныхвсистемеинвентаризации тыбудешьпостоянноиметьподрукойактуальнуюинформациюотекущемсостояниикомповисможешьотслеживатьизменения.Отчеты,которыеонагенерирует,даютвозможностьбыстроопределитьконфигурациютиповогокомпьютера,используемоговорганизации,чтосослужит хорошуюслужбуприпланируемомапгрейдеилисменеОС.z

Евгений Зобнин j1m@synack.ru

Главнаяцельвсехвзломщиков—получение доступаккомандномуинтерпретаторусервера дляиспользованияеговозможностейвсвоих интересах.Наиболеечастопроникновениев «святаясвятых»осуществляетсяспомощьюдыр всервисахилижечерезподборпароля(брутфорс)кодномуизних(например,ssh).

СКАНИРОВАНИЕПОРТОВ

Чтобывыявитьналичиеуязвимыхсервисов намашине,атакующийпроизводитразведкус помощьюсканерапортовиразличныхсистем обнаруженияуязвимостей.Обычновкачестве сканерапортовиспользуетсяnmap,который

способеносуществлятьсканированиедесятком различныхспособовивнекоторыхслучаяхумеетвыявлятьверсииОСисервисов.Вотсписок особеннопопулярныхфлаговnmap,которые обычноиспользуютвзломщики:

Флагиnmap, используемые присканировании

-sT — обычное TCP-сканирование с помощью открытия соединения на указанный порт и его завершения;

-sS — SYN/ACK-сканирование, связь разрывается сразу после ответа на запрос открытия соединения;

-sU — UDP-сканирование;

-sF — сканирование пакетами с установленным флагом FIN;

-sX — сканирование пакетами с установленными флагами FIN, PSH и URG; -sN — сканирование пакетами без установленных флагов.

Методзащитыотсканированияпрости известенлюбомусистемномуадминистрато-

ру.Заключаетсяонвпростомзакрытиивсех сервисов,которыенедолжныбытьвидныиз внешнейсети.Например,еслинамашинеработаютсервисыssh,sambaиapache,аизвнешнего мирадолженбытьвидентольковеб-серверс корпоративнойвеб-страницей,томежсетевой экранможетбытьнастроентак:

Начальнаянастройкаiptables

outif="eth1" iptables -F

iptables -i $outif -A INPUT \ -m conntrack \

--ctstate ESTABLISHED,RELATED \ -j ACCEPT

iptables -i $outif -A INPUT -p tcp \ --dport 80 -j ACCEPT

iptables -i $outif -P INPUT DROP iptables -i $outif -P OUTPUT ACCEPT

Начальнаянастройкаipfw

outif="rl0"

ipfw add allow ip from any to any \ via lo0

ipfw add allow ip from me to any \ via $outif

ipfw add allow tcp from any to me \ established via $outif

ipfw add allow tcp from any 80 \ to me via $outif

ipfw add deny ip from any to any \ via $outif

Начальнаянастройкаpf

outif="rl0" set skip on lo0 block all

pass out on $outif from $outif \

to any keep state

pass in on $outif proto from any \ to $outif port 80

Всетринабораправилделаютодноитоже

—разрешаютпрохождениелюбоготрафика поинтерфейсуобратнойпетли(loopback), разрешаютприниматьпакетыужеустановленныхсоединений(чтобы,например,браузер могполучитьответназапроскудаленному серверу),разрешаютобращенияна80-йпорт, блокируявсеостальные,иразрешаютлюбые коннектынаружу.Обративнимание,чтоеслив

примерахiptablesиipfwмыявнозадалиправила дляразрешенияприемапакетовужеустановленныхсоединений(established),товслучаесpf дляэтогодостаточнобылоуказать«keepstate»

âрулесете,разрешающемлюбыеисходящие соединения.

Вобщем-то,такаясхемазащитысетевых сервисовотсканированияипроникновения отличноработает, номыможемпойтидальше инастроитьфайертак,чтобынекоторыевиды сканированиявообщенемоглибыбытьвыполнены.Техническимынеможемсделатьэто

âотношенииобычногосканирования(флаги nmap'-sT','-sS'и'-sU')простопотому,чтовнем нетничегокриминального,однаконестандарт- ныетипысканирования,такиекак'-sN','-sF'

и'-sX',порождаютпакеты,которыеникакне моглибытьсозданылегальнымиприложениями.Поэтомубезтенисомненияотбрасываем подобныесоединения.

Методыборьбысэкзотическими видамисканирования

# Запрет FIN-сканирования Linux> iptables -A INPUT –p tcp \

–m tcp \

–-tcp-flags FIN,ACK FIN -j DROP

FreeBSD> ipfw add reject tcp from any to any \ not established tcpflags fin

# Запрет X-сканирования

Linux> iptables -A INPUT –p tcp –m tcp \ --tcp-flags FIN,SYN,RST,PSH,ACK,URG

FIN,SYN,RST,PSH,ACK,URG \ –j DROP

FreeBSD> ipfw add reject tcp from any to any \ tcpflags fin, syn, rst, psh, ack, urg

# Запрет N-сканирования

Linux> iptables -A INPUT –p tcp –m tcp \ –-tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP

FreeBSD> ipfw add reject tcp from any to any \ tcpflags !fin, !syn, !rst, !psh, !ack, !urg

ВOpenBSDвсеэтистрокиможнозаменитьпростойзаписьювначале /etc/pf.conf:

scrub in all

Директиваscrubактивируетмеханизмнормализациипакетов,при которомфрагментированныепакетывоссоединяются,апакетыснедопустимойкомбинациейфлаговотбрасываются.Кромеэкзотических видовсканированияscrubпозволяетзащититьсяиотобманасистем обнаружениявторжений(посылкасильнофрагментированныхпакетов) инекоторыхвидовDoS-атак.

ДлязащитыотSYN/ACK-сканирования,инициируемогоспомощью nmap-флага'-sS',мыможемиспользоватьметодпассивногоопределения ОС(OSFingerprint),доступныйвбрандмауэрахpfиiptables/netfilter (начинаясверсии1.4.6).Вовремяпроведенияобычногосканирования (флаг'-sT')nmapиспользуетстандартныйинтерфейссокетовоперацион- нойсистемы,поэтомутакойсканпочтиничемнеотличаетсяотпотока обычныхпакетов(нижемырассмотримнекоторыеегоотличия),однако приSYN/ACK-сканированииnmapформируетпакетысамостоятельно, поэтомуониимеютнекоторыечерты,которыевыдаютихисточник.Ме-

тодпассивногоопределенияОСпозволяетидентифицироватьэтипакеты иотброситьихспомощьюстандартныхправилфайервола:

OpenBSD> block in quick from any os NMAP

Linux> iptables -I INPUT -p tcp -m osf --genre NMAP \ -j DROP

Модульosfбрандмауэраiptables/netfilterиспользуетбазу«отпечатков», собраннуюиобновляемуюразработчикамиOpenBSD(/etc/pf.os), поэтомуобаэтихправиладолжныпривестикодинаковымрезультатам. Интереснотакжеито,чтоонипозволяютэффективнопротиводейство- ватьфункцииопределенияОСутилитыnmap(флаг'-O').

Теперь мы защищены почти от всех видов сканирования, кроме стандартного и тупого '-sT'. Как быть с ним? На самом деле все просто. Факт сканирования портов легко заметить, просто проанализировав логи файервола. Если за короткий промежуток времени происходило множество коннектов на различные порты — зна- чит, нас сканировали. Осталось только переложить эту идею на правила брандмауэра. Для iptables есть отличный рецепт, который блокирует всех, кто слишком настойчиво стучится в нерабочие порты:

Борьбасосканированиемспомощьюiptables

#Проверка на стук в нерабочие порты (10 в час) iptables -A INPUT -m recent --rcheck \

--seconds 3600 --hitcount 10 --rttl -j RETURN

#Вторая проверка на стук в нерабочие порты (2 в минуту) iptables -A INPUT -m recent --rcheck \

--seconds 60 --hitcount 2 --rttl -j RETURN

#Заносим адреса стучащихся в список

iptables -A INPUT -m recent --set

# Отбрасываем пакеты всех, кто превысил лимит на количество подключений

iptables -P INPUT -j DROP

Установивпакетxtables-addons,содержащийнаработкипроектаpatch-o- matic,мыполучимдоступкмодулюPSD(PortScanDetect),реализованномупообразуиподобиюдемонаscanlogd.Всепредыдущиестрокимогут бытьлегкозамененыпростымправилом:

FWBuilder: универсальныйGUI длянастройкиiptables, ipfw, pf и ipf

icmp-type { 3, 8, 12 } keep state OpenBSD> pass out inet proto icmp \