-
Szczegóły techniczne Polityka bezpieczeństwa musi opisywać, co próbujesz chronić i dlaczego wcale nie musi szczegółowo informować, jak zamierzasz to zrobić. Dużo lepiej napisać jedno stronicowy dokument, który mówi co i dlaczego słowami zrozumiałymi dla każdego, niż stustronicowy dokument, który opisuje jak, ale jest zrozumiały tylko dla wyższego personelu technicznego. Rozważmy politykę, która zawiera następujący wymóg:…
Read more -
Systemy, które rozpoznają dobre zachowanie o tym, co dzieje się w zwykłych okolicznościach. System tego rodzaju rozpoznałby skanowanie portów jako atak, ponieważ wie, że gdy ktoś łączy się z portem, to zazwyczaj wykorzystuje go do zwykłej komunikacji. Podczas skanowania portów napastnik łączy się, uzyskuje odpowiedź, po czym natychmiast się rozłącza i wypróbo wuje inny port….
Read more -
Strzeż się współzależnych łat Choć w zasadzie nie powinieneś stosować łat rozwiązujących problemy, których nie masz, pamiętaj, że łaty rozwiązujące twoje rzeczywiste problemy mogą polegać na wcześniejszych łatach. Przy odrobinie szczęścia, dokumentacja łaty poin formuje cię, jakie wcześniejsze łaty są wymagane, ale nie jest to regułą. Czasem będziesz musiał zgadywać. W takich sytuacjach nieocenione są…
Read more -
SMTP SMTP nie daje zbyt wielu możliwości wyboru w żadnej konfiguracji. Chcemy, aby wszystkie zewnętrzne połączenia SMTP zmierzały do jednego komputera z zabezpieczonym serwerem SMTP, i nie liczymy na to, że w którymkolwiek komputerze wewnętrznym działa bezpieczny serwer SMTP. Oznacza to, że musimy umieścić zabezpieczony serwer SMTP w hoście bastionowym i użyć rekordów MX DNS,…
Read more -
Skrót lub suma mieszana Skrót lub suma mieszana (hash) przydaje się wtedy, gdy chcesz uzyskać krótki łańcuch o stałej długości, który można wygenerować z większego łańcucha i który zmienia się znacznie w wyniku niewielkich zmian łańcucha wejściowego. Algorytmy mieszające i algorytmy sum kontrolnych nie zawsze są używane do tych samych celów, ale jeśli rozszerzysz którekolwiek…
Read more -
Sieć w kryzysie Przybyłam na miejsce. Upewniłam się, że sieć jest odłączona, a inni członkowie zespołu kryzysowego zostali poinformowani o sytuacji i są już w drodze. Sporządziłam powiadomienia o incydencie w toku dla wiceprezesa działu inżynieryjnego i CERT, zgodnie z planem. Zaczynam analizować, jak napastnicy dostali się do sieci i co zrobili. Notatniki przydają się…
Read more -
W tym przykładzie jest sieć peryferyjna, ale nie ma rutera wewnętrznego i zewnętrznego. Pojedynczy komputer zapewnia trasowanie, filtrowanie, a także pełni niektóre funkcje hosta bastionowego. Sieć peryferyjna zapewnia tylko usługi zewnętrzne i nie ma żadnych połączeń między siecią peryferyjną a wewnętrzną. Architektura ta w oczywisty sposób zmniejsza koszt firewalla, ponieważ wymaga jednego rutera zamiast dwóch,…
Read more -
SHA i SHA1 to kryptograficzne algorytmy mieszające, które obliczają 12 bitową wartość na podstawie danych wejściowych o dowolnej długości. Algorytm SHA jest standardem NIST. Został wydany w 1992 roku i był przeznaczony do użycia z DSA. W1995 roku NIST opublikował techniczne uaktualnienie SHA, nazywane SHA1. Uaktualnienie to uchyla poprzednią wersję i rozwiązuje problemy z kolizjami,…
Read more -
Serwery proxy Jeśli chcesz używać serwera proxy ftpgw z TIS FWTK w hoście bastionowym, twój system filtrowania pakietów musi przepuszczać połączenia od portów o numerach powyżej 123 w hoście bastionowym do portów o numerach powyżej 123 w ho stach wewnętrznych oraz od portu 2 w hostach zewnętrznych do portów o numerach powyżej 123 w hoście…
Read more -
Każda z tych usług wewnętrznych jest dostarczana bezpośrednio (przez filtrowanie pakietów) albo pośrednio (przez serwery proxy działające w hoście bastionowym). Zakładamy (przynajmniej na potrzeby tego przykładu), że użytkownicy wewnętrzni w naszym systemie nie będą celowo próbowali omijać firewalla i że nie ma szczególnej potrzeby monitorowania lub rejestrowania ich czynności w Internecie. Zakładamy także, że używasz…
Read more -
Celem rutera wewnętrznego jest ochrona sieci wewnętrznej przed Internetem i przed naszym własnym hostem bastionowym. Ruter wewnętrzny do obsługi opisanej konfiguracji potrzebuje poniższych reguł (wyjaśnionych pod tabelą): uter zewnętrzny ma dwa zadania: połączyć sieć peryferyjną (a za jej pośrednictwem sieć wewnętrzną) ze światem zewnętrznym zabezpieczyć sieć peryferyjną i wewnętrzną przed światem zewnętrznym. W wielu okolicznościach…
Read more -
Reguły reagowania na incydent W książce Practical Unix & Internet Security Simson Garfinkel i Gene Spafford podają dwie doskonałe, podstawowe reguły reagowania na incydent. Pamiętaj o nich, czytając tę książkę, a także wtedy, gdy będziesz miał do czynienia z rzeczywistym incydentem: Reguła 1: Nie panikuj Reguła 2: Dokumentuj! Oceń sytuację Zaraz po wystąpieniu incydentu zdecyduj,…
Read more -
Reguły filtrowania Ogólnie rzecz biorąc, kiedy przyjrzysz się poniższej tabeli, zauważysz, że reguła filtrowania „do wewnątrz” dla jednego interfejsu będzie identyczna z regułą filtrowania „na zewnątrz” dla innego interfejsu. Dzięki połączeniu w pary reguł i interfejsów zyskujemy pewność, że reguły filtrowania nie są zależne od trasowania pakietów. W poniższej tabeli kierunki są podane względem interfejsu,…
Read more -
Reagowanie na incydenty CERT Coordination Center (CERTCC) twierdzi, że mimo zwiększonej świadomości zagrożeń, wiele organizacji zaczyna myśleć o sposobach radzenia sobie z incydentami dopiero po włamaniu. Oczywiście nie jest to najrozsądniejsze. Powinieneś mieć plan postępowania na wypadek, gdyby w twojej sieci zdarzyło się naruszenie bezpieczeństwa, i musisz opracować ten plan jeszcze przed wystąpieniem incydentu. Nie…
Read more -
Reagowanie na ataki Jeśli twoje dzienniki wykazują, że ktoś przeprowadza zdecydowany atak na twój system (czego symptomy opisaliśmy we wcześniejszym podrozdziale „Dobrzy, źli i brzydcy”), zapewne powinieneś zrobić coś więcej, niż tylko siedzieć i się przyglądać. W rozdziale 27, „Reagowanie na incydenty” opisujemy szczegółowo, jak powinieneś zareagować na prawdziwy incydent związany z bezpieczeństwem. Uwzględnianie nowych…
Read more -
RC2 i RC4 RC2 to symetryczny 64bitowy szyfr blokowy ze zmienną długością klucza, a RC4 to szyfr strumieniowy ze zmienną długością klucza. Długość klucza w obu algorytmach może wynosić od 1 do 24 bitów. Algorytmy te są zwykle używane z kluczami 4 i 12bitowymi. Klucz 4bitowy jest zdecydowanie za krótki, aby zabezpieczać jakiekolwiek wartościowe informacje,…
Read more -
Quake Quake we wszystkich swoich różnorodnych wersjach jest jedną z najpopularniejszych gier internetowych. Ma również długą i smutną historię problemów z bezpieczeństwem, zwłaszcza w wersjach uniksowych. Nie powinieneś uruchamiać plików binarnych Quake’a z przywilejami roota, bez względu na to, co twierdzi dokumentacja serwery Quake’a są podatne na zdalne ataki, a klienty Quake’a działające z przywilejami…
Read more -
Przykładowy plik syslog (dodano numery wierszy) Takie komunikaty powinny zostać wysłane do kogoś, kto je bliżej zbada. Przykładem może być komunikat 1 w przykładzie 26.1 czemu ktoś wysyła pakiety UDP z portu 2 do portu powyżej 124? Nie pasuje to do żadnego popularnego protokołu. Określanie kryteriów to proces interaktywny kiedy tajemniczy komunikat zostanie zbadany przez…
Read more -
Przykładowe powiadomienie dla użytkowników komputerów Twój plan powinien także zawierać przykładowe powiadomienie dla użytkowników komputerów, co czasem może być trudne. Twój komunikat powinien zawierać dość informacji, aby pełnoprawni użytkownicy zrozumieli, co się dzieje. Muszą wiedzieć: które usługi zostały wyłączone czemu uprzykrzasz im życie zwykłych czynności będą niemożliwe do wykonania kiedy usługi zostaną przywrócone co powinni…
Read more -
Kierownik działu martwi się, że zostaną ujawnione informacje o przebiegu zatrudnienia pracowników. Kierownik średniego szczebla jest zirytowany tym, że pracownicy marnotrawią czas na czytanie grup dyskusyjnych albo surfowanie po Sieci. Inny kierownik średniego szczebla obawia się, że pracownicy pobierają z Internetu zarażone wirusami oprogramowanie dla komputerów osobistych. Jeszcze inny kierownik średniego szczebla zastanawia się, jak…
Read more -
Firewall jest podstawowym serwerem DNS w swojej domenie. Masz zewnętrzny, wtórny serwer DNS na potrzeby swojej domeny (na przykład jeden z komputerów twojego dostawcy usług), o Wewnętrzny host usługowy jest podstawowym wewnętrznym serwerem DNS. Reguły filtrowania pakietów Przyjrzyjmy się regułom filtrowania pakietów niezbędnym do zrealizowania konfiguracji opisanej w poprzednich podrozdziałach. Podobnie jak w przykładzie archi…
Read more -
Przechowywanie zabezpieczonych sum kontrolnych Kiedy ktoś włamie się do twojej sieci, będziesz musiał ustalić, co zostało zmienione w twoich systemach. Standardowe narzędzia systemu operacyjnego nie powiedzą ci nic na ten temat napastnicy mogą sfałszować daty modyfikacji plików i przeliczyć proste sumy kontrolne używane przez większość systemów operacyjnych. Będziesz musiał zainstalować kryptograficzny program do obliczania sum…
Read more -
Próby zalogowania się na kontach żądania przesłania plików TFTP albo map NIS kogoś podającego polecenie debug twojemu serwerowi SMTP pakiety wysiane do tych samych portów pod każdy adres IP z twojego zakresu. Do poniższych zdarzeń powinieneś przywiązywać większą wagę być może są symptomem ataku: wiele nieudanych prób zalogowania się na ważnych kontach w twoich komputerach,…
Read more -
Powszechna współpraca Jeśli nasza sieć ma tylko jedno połączenie z Internetem, mamy do czynienia z mimowolną powszechną współpracą każdy musi przejść przez firewall, żeby połączyć się z Internetem. Oczywiście, dużo lepiej sprawdza się dobrowolna powszechna współpraca, ale to wymaga zaznajomienia użytkowników z sensem stosowanych przez nas środków bezpieczeństwa. Jeśli chodzi o zasadę powszechnej współpracy, nie…
Read more -
Powiadamiaj o „incydencie w toku” Nie jesteś jedyną osobą, która musi wiedzieć, co się dzieje. Informacje o przebiegu zdarzeń powinny trafiać także do innych ludzi, również spoza twojej organizacji. Twoja organizacja W twojej organizacji pracują ludzie, którzy powinni wiedzieć, że coś się dzieje: kierownictwo, użytkownicy i personel techniczny. Musisz powiedzieć im przynajmniej tyle, że próbujesz…
Read more -
Plan tworzenia kopii Twój plan reakcji na incydent powinien określać, jak należy sporządzić kopię zaatakowanych systemów. Upewnij się, że znajdą się w nim odpowiedzi na następujące pytania: Gdzie znajdują się potrzebne nośniki i jakiego programu należy użyć? Jak należy oznaczyć kopię i gdzie ją przechowywać? Jak można zabezpieczyć kopię przed ingerencją z zewnątrz, aby można…
Read more -
Plan odłączania i wyłączania komputerów Twój plan reakcji musi określać, jaka sytuacja usprawiedliwia odłączenie albo wyłączenie komputerów i kto może podjąć taką decyzję. Co najważniejsze jak już powiedzieliśmy w podrozdziale „Ściganie i chwytanie napastnika” czy zamierzasz pozwalać zidentyfikowanym intruzom na pozostawanie połączonymi z twoim systemem? Jeśli nie, czy wyłączysz system, czy też odłączysz go od…
Read more -
Notatniki najbardziej użyteczne będą notatniki z kalką, ponieważ możesz zapisać notatkę, wyrwać ją i dać komuś innemu, a samemu nadal dysponować jej kopią. Ponadto strony w takich notatnikach są zwykle numerowane, dzięki czemu będziesz mógł później stwierdzić, czy jakieś strony nie zostały usunięte lub wstawione. Terminale z dołączonymi drukarkami lub staromodne terminale drukujące. Powłoka działająca…
Read more -
Plan oceny Incydentów Kto będzie decydował, że nie masz do czynienia z podejrzaną sytuacją, ale z prawdziwym zagrożeniem bezpieczeństwa? Wyznacz osobę, która będzie odpowiedzialna za podejmowanie ważnych decyzji. Najłatwiej zawczasu wybrać konkretną osobę i umieścić jej nazwisko w planie. Co jednak się stanie, gdy osoba ta będzie nieosiągalna w momencie wystąpienia incydentu? Kto przejmie jej…
Read more -
Wreszcie nadszedł moment, w którym możesz rzeczywiście zająć się incydentem. Co powinieneś zrobić? To zależy od okoliczności. Oto kilka możliwości: Jeśli napastnik nie zdołał wtargnąć do twojego systemu, jest szansa, że nie będziesz musiał robić zbyt wiele. Może uznasz, że nie warto reagować na niedbałe próby włamania. Może się także okazać, że twój incydent to…
Read more