RSS

Архив метки: network

Мой рецепт по детектированию и блокированию аномального сканирования средствами iptables в Linux


Давно не писал сам, хочу исправиться.

Сегодня речь пойдет о детектировании и блокировки аномального сканирования средствами iptables в операционной системе Linux.

Т. к. рецептами моего блога пользуются без указания меня, как первоисточника (и без ссылок на мои статьи), размещая, к тому же, аналогичную информацию задним числом, то обещаю, что это последняя моя помощь вам, любители плагиата.

Нижеописанные правила собраны мною из различных, не русскоязычных, источников, но все вместе, в том виде, в котором они будут приведены мною, вы не найдете ни на одном ресурсе в сети Интернет. Впрочем информация, приведенная по тьюнингу сетевого стека Windows в разделе MS Platforms на данном сайте, также уникальна и нигде не встречается в том виде, в котором она дается мною.

Не буду зазря лить воду, перейдем к делу.

Предлагаю внести следующие изменения в ваши таблицы iptables:

iptables -A INPUT -p tcp —tcp-flags ALL NONE -j LOG —log-prefix «Stealth scan: 0STEAL «
iptables -A INPUT -p tcp —tcp-flags ALL NONE -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL ALL -j LOG —log-prefix «Stealth scan: 1STEAL «
iptables -A INPUT -p tcp —tcp-flags ALL ALL -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL FIN,URG,PSH -j LOG —log-prefix «Stealth scan: 2STEAL «
iptables -A INPUT -p tcp —tcp-flags ALL FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG —log-prefix «Stealth scan: 3STEAL «
iptables -A INPUT -p tcp —tcp-flags ALL SYN,RST,ACK,FIN,URG -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,RST SYN,RST -j LOG —log-prefix «Stealth scan: 4STEAL «
iptables -A INPUT -p tcp —tcp-flags SYN,RST SYN,RST -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN SYN,FIN -j LOG —log-prefix «Stealth scan: 5STEAL «
iptables -A INPUT -p tcp —tcp-flags SYN,FIN SYN,FIN -j STEAL
iptables -A INPUT -p tcp —tcp-flags FIN,ACK FIN -j LOG —log-prefix «6Stealth scan»
iptables -A INPUT -p tcp —tcp-flags FIN,ACK FIN -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j LOG —log-prefix «7Abnormal steal»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG URG -j LOG —log-prefix «8Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG URG -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK FIN -j LOG —log-prefix «A9bnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK FIN -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK NONE -j LOG —log-prefix «10Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK NONE -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j LOG —log-prefix «11Abnormal sc$
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j LOG —log-prefix «12Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags ACK,URG URG -j LOG —log-prefix «13Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ACK,URG URG -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL FIN -j LOG —log-prefix «14Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL FIN -j STEAL
iptables -A INPUT -p tcp —tcp-flags FIN,RST FIN,RST -j LOG —log-prefix «15Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags FIN,RST FIN,RST -j STEAL
iptables -A INPUT -p tcp —tcp-flags ACK,PSH PSH -j LOG —log-prefix «16Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ACK,PSH PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,ACK,FIN,RST SYN -j LOG —log-prefix «17Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,ACK,FIN,RST SYN -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,URG SYN,URG -j LOG —log-prefix «18Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,URG SYN,URG -j STEAL
iptables -A INPUT -p tcp —tcp-flags FIN,SYN,RST,ACK SYN -j LOG —log-prefix «19Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags FIN,SYN,RST,ACK SYN -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j LOG —log-prefix «20Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST SYN,FIN,RST -j LOG —log-prefix «21Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST SYN,FIN,RST -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j LOG —log-prefix «22Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL SYN,PSH -j LOG —log-prefix «23Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL SYN,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL SYN,ACK,PSH -j LOG —log-prefix «24Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL SYN,ACK,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags ACK,FIN FIN -j LOG —log-prefix «25Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ACK,FIN FIN -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL RST -j LOG —log-prefix «26Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL RST -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL RST,ACK -j LOG —log-prefix «27Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL RST,ACK -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL ACK,PSH,RST -j LOG —log-prefix «28Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL ACK,PSH,RST -j STEAL
iptables -A INPUT -p tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG —log-prefix «29Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j STEAL

Как вы видите всего 29 цепочек. Данный список можно дополнить еще несколькими цепочками, но они нарушат нормальное функционирование сетевого стека вашего пингвина и могут быть использованы только на станции в конфигурации со средствами детектирования и превентивного реагирования сетевого вторжения. Поэтому мною они приводится не будут.

Не стоит также забывать о способах тmюнига сетевого стека средствами sysctrl, которые более богато представлены, по сравнению с возможностями сетевого стека MS Windows. С помощью средств sysctrl вы сможете еще более защитить ваш дефолтный тюкс.

Обещаю вам еще чем-нибудь порадовать в будущем.

Удачи! И до новых встреч!

P.S.: STEAL уже не используется в последних векрсиях ntfilter, а жаль, поэтому надо заменить на DROP. Также разумным было бы заменить iptables -A INPUT на iptables -t filter -A INPUT. 😉

 

Метки: , , , , , , , , , , ,

Генераторы пакетов. Добро или зло? ;-)


Генератор пакетов – это программа, позволяющая создавать произвольным образом сформированные пакеты различных уровней, исключая физический, согласно модели OSI. Всего уровней в OSI – семь (физический, канальный, сетевой, транспортный, сеансовый, представительский, прикладной).
Генератор пакетов, пожалуй, одна из самых малодокументированных и, в то же время, функциональных программ, которые доступны системным администраторам, сетевым инженерам или специалистам, расследующим те или иные инциденты информационной безопасности в сетях. На это есть масса причин. Одна из таких причин – при умелом использовании и достаточно глубоком знании отдельных (или всех/О, чудо!/) протоколов, входящих в модель OSI, результатом работы генератора пакетов могут стать деструктивные явления в сети, вплоть до краха атакуемого узла, недоступности сегмента сети или вывода из строя атакуемого сервиса. В то же время генераторы пакетов применяются и для антихакинга, выявления компьютерных хулиганов в вычислительных и иных сетях.
У палки, как говорится, всегда 2 конца (и одна середина). 😉

 

Метки: , , , , , ,

Использование динамической адресации (DHCP/D/).


Использование динамической адресации в домене MS Windows и сетях Linux дает улучшение общей управляемостью в сети, т. к. отпадает необходимость в дополнительных издержках, например, при смене адресации. Но при этом следует учесть и требования безопасности, налагаемые на задействование DCHP адресации. А именно, крайне желательно иметь активное сетевое управляемое оборудование, которое позволяет автоматически переадресовывать DHCP запросы непосредственно на легальный сервер DHCP, это так называемая функция DHCP redirect у управляемых коммутаторов. Задействование данной функции позволит минимизировать негативные последствия в случае появления в сети ложного DHCP сервера. Кроме того, следует запретить получение данных для DHCP клиентов и сервера (-ов) от нелегитимных источников (IP адресов), для чего можно воспользоваться средствами фильтрации трафика IPSec/iptables по портам для клиентов DHCP и серверов DHCP. От пролучения пакетов, созданных генераторами пакетов это не защитит, при умелой генерации, но таких профессионалов среди народных умельцев, как правило, не наблюдается в локальных сетях. Но и от этой напасти есть весьма простой и действенный способ – всегда имеется возможность перезапустить службу DHCP. Еще больше усилит безопасность клиентов и серверов при динамической адресации использование возможностей изоляции доменов для сетей Windows и аналогичные возможности IpSec в сетях Linux. В этом случае извне никто не сможет нарушить сетевую безопасность, просто подключившись к локальной сети организации. А вычисление народных умельцев, которые хулиганят в рабочее время, станет лишь делом техники, а точнее умелого использования сочетания средств управления сетью и средств мониторинга сети.

 

Метки: , , ,

Улучшаем работу Wi-Fi сети с тюксом на борту. ;-)


Предлагаю произвести следующие изменения в алгоритме управления соединениями:
1. Подключаем следующие модули:
modprobe tcp_vegas
modprobe tcp_veno
2. Включаем управление передачей veno
echo “veno” > /proc/sys/net/ipv4/tcp_congestion_control

Алгоритм reno уже зарегистрирован в системе. Алгоритм veno является гибридом из алгоритмов vegas и reno, он аккумулирует все лучшее данных алгоритмов, но пока все еще является экспериментальным. Если вы не хотите использовать его на ответственных узлах с Wi-Fi, то включите алгоритм vegas.

Удачи в дружбе с тюксом!

 

Метки: , , , , , ,