Debian incluye algunas herramientas para detectar intrusiones, las cuales usted quisiera configurar para montar la defensa de su sistema local (si es verdaderamente paranoico o si su sistema es realmente crítico) o para defender otros sistemas en la misma red.
Siempre debe darse cuenta que para mejorar realmente el sistema de seguridad con la introducción de algunas de estas herramientas, usted necesitara tener un mecanismo de alerta+respuesta, pero no use el descubrimiento de intrusión si usted no va a alertar a nadie (i.e. no malgaste su tiempo configurando cosas que mas tarde no usara).
La maryoría de herramientas de descubrimiento de intrusión sera también registrada bajo syslog o enviará mensajes hacia el usuario root. (muchos de ellos pueden ser configurados para enviar correo a otros usuarios) con respecto al particualar ataque que ha sido detectado. Un administrador tiene que configurarlos apropiadamente, para que los falsos-positivos no envíen alertas y a las alertas también se tengan en cuenta apropiadamente. Las alertas pueden indicar un ataque en curso y puede no ser útil, por ejemplo, que un dia mas tarde, después del ataque exitoso este sea descubierto. Para estar seguro que una política es apropiada sobre la dirección de alertas y para que los mecanismos técnicos se puedan implementar y estén en su sitio.
Una interesante fuente de información es CERT's
Intrusion Detection Checklist
snort
es un flexible paquete de sniffer o logger el cual detecta
ataques usando un ataque de asignatura. Este detecta una variedad de ataques y
examinaciones, tales como buffer overflows, stealth pot scans, ataques CGI,
examinaciones SMB y más. Snort tiene la capacidad de alertar en tiempo real.
Esta es una herramienta la cual debe ser instalada sobre toda ruta para
mantener un ojo sobre su red. Ya instalado apt-get install
snort,siga las preguntas y obseve su registro.
Snort en Debian está habilitado con muchos chequeos de seguridad los cuales usted debe solicitar, sin embargo, usted debe personalizar el montaje para tomarlo dentro de las consideraciones de servicios particulares en donde usted avanza sobre su sistema. Usted también tiene que solicitarlo para recuperar los chequeos adicionales y asi especificar estos servicios.
Usted también puede usar ambos snort
para establecer detención de
red para un rango de servidor en su red como también detecta ataques de red
sobre su propio servidor.
Hay otras herramientas que pueden ser usadas para detectar ataques de red
(aunque mas simples). Portsentry
es otro interesante paquete que
puede sugerir su aislamiento cuando una examinación es hecha hacia su site.
Otras herramientas como ippl
iplogger
también
detectaran ataques de IP (TCP Y ICMP), igual que si ellos no suministraran
técnicas avanzadas para la detención de ataques de red. (como lo hace snort).
Usted puede evaluar cualquiera de estas herramientas con el programa
idswakeup
, un generador falso-positivo que alerta los NIDSs con
plenitud de considerar ataques comunes disponibles en Debian.
Tiger
es una vieja herramienta de intrusión de detención la cual
ha sido soportada por Debian desde la distribución de woody. Tiger suministra
la forma de revisar asuntos comunes relatados para los rompimientos de
seguridad, passwords, problemas en archivos del sistema, procesos de
comunicación ... La versión de Debian incluye nueva seguridad específica para
Debian: MDSsums da suministros binarios y también revisa los ya instalados y
los paquetes vulnerables. La falta de instalación hace que tiger
avance cada día y génere un reporte el cual es enviadao hacia el super usuario.
Los reportes generados pueden darse a través de la información de un cuidadoso
compromiso del sistema.
Hay también un número de registros de auditorias de herramientas, en el site,
como logcheck. Estas herramientas pueden ser absolutamente usables si se
garantiza propiamente para alertar al administrador sobre eventos inusuales en
el sistema de archivos locales. logcheck
. pude ser enteramente
garantizado, pude enviar mensajes desde eventos recuperados y desde los
registros que son meritorios de atención. El abandono de instalación incluye
perfiles para eventos ignorados y violaciones políticas para tres diferentes
montajes (estación de trabajo, servidor y paranoia). Los paquetes de Debian
incluyen un archivo de configuración /etc/logcheck/logcheck.conf
,
dirigido por el programa, que define al usuario y que también revisa sus
envios. También suministra una forma de paquete que provee servicios para
implementar nuevas políticas en los directorios:
/etc/logcheck/hacking.d/_packagename_
,
/etc/logcheck/violations.d/_packagename_
,
/etc/logcheck/violations.ignore.d/_packagename_
,
/etc/logcheck/ignore.d.paranoid/_packagename_
,
/etc/logcheck/ignore.d.server/_packagename_
, and
/etc/logcheck/ignore.d.workstation/_packagename_
. Sin embargo, no
muchos paquetes lo hacen actualmente. Si usted tiene una política que puede
ser útil para otros usuarios , por favor envielo como un pequeño reporte para
los paquetes apropiados, mire mas información en
/usr/share/doc/logcheck/README.Debian
también algunos de los chequeadores de archivo de sistemaintegrados (mire en Integridad de su sistema de archivos, Sección 4.14.3) puede ser absolutamenetutil para montar la detención de anomalias en un medio asegurado. Unaintrusión efectiva, muy seguramente, modificara los archivos en el sistema de archivos locales en orden para salvar las políticas de seguridad local. Instala troyanos, crea usuarios...Este evento puede ser detectado con ellos.
ARREGLAME: Las secciones necesitan como cubrir los parches específicos que pueden ser instalados en Debian usando el paquete del kernel-2.x.x-patch-XXX.
Hay algunos parches de núcleos, las cuales incrementan significativamente los sistemas de seguridad. Aqui hay algunos de ellos:
/tmp
, restringidos
/proc
,un archivo manejado por descriptor especial, sin el área de
un grupo de usarios y otros mas. homepage:http://www.openwall.com/linux/
http://www.lids.org
http://acl.bestbits.at/
http://trustees.sourceforge.net/
http://www.kerneli.org
http://www.immunix.org/subdomain.html
http://ramses.smeyers.be/useripacct
.
http://www.freeswan.org
LKM (Loadable Kernel Modules) son archivos que contienen dinamicamente modulos caragables del núcleo. Ellos son dinámicamente cargables en el núcleo para avanzar en tareas asignadas. SobreGNU/Linux son usadas para expandir la funcionalidad del núcleo. se pueden tomar grandes ventajas usando LKMs, como habiamos dicho, ellospueden ser dinamicamente cargables sin la recopilación del núcleo total, puede ser usado para especificar dispositivos de drivers (o archivos del sistema) y otros drives de hardware como tarjetas de sonido, tarjetas de red. Pero algunos crackers deben usar LKMs para rootkits (knark y adore) para instalar puertas traseras en los sistemas de GNU/Linux.
LKM rootkits pueden esconder procesos, archivos, directorio y las mismas
conexiones sin modificar el origen de códigos binarios. Porejemplo,
ps
puede tomar procesos de información desde/proc
, un
malicioso LKM puede derrocar el núcleo paraesconder el proceso especifico desde
procfs, pero no siempre una buenacopia de binarios ps
deben
alistar todos los procesos correctos de información.
El trabajo detector puede ser simple y doloroso, o difícil y agotador, depende de la medida que escoja. Hay dos medidas de defensa con respecto a la seguridad LKM, la proactiva y reactiva.
La ventaja de esta defensa es que previene algunos daños lkm rootkit del sistema. La defensa proactiva mas usada es "obteniendo el primero", este está caragando un diseño LKM para proteger los daños de un sistema ocasionados por un diseño malicioso. Hay otra medida para eliminar las capacidades en el núcleo, haciendo el sistema mas seguro. Por ejemplo, usted remueve la capacidad para detener la carga y la descarga del módulo del núcleo.
Sobre el sistema de Debian usted puede encontrar algunos paquetes los cuales son una herramienta proactiva mas segura.
kernel-patch-2.4-lsm
- LSM son los modulos de seguridad de la
estructura Linux.
lcap
- Remueve las capacidades en el núcleo, haciendo del sistema
mas seguro.
Si usted realmente no necesita muchas caracteristicas del núcleo sobre su GNU/Linux usted tiene que solicitar modulos de soporte caragables incapacitados durante la configuración del núcleo. Este previene LKM rootkits, pero usted no debe usar las caracteristicas del modulo del núcleo sobre su GNU/Linux. Fijese que indiscapacitando los modulos caragables usted puede sobrecargar el núcleo, en ocasiones no es necesario.
Para indiscapacitar los modulos de soporte cargables, solo valla a
CONFIG_MODULES=n on .config
.
La ventaja de la defensa reactiva es que tiene una sobrecarga en los recursos del sistema. Este trabaja comparando el sistema de llamadas tabulando con una copia limpia conocida en el archivo de un diskette. La mas obvia desventaja es llamada para el único administrador cuando el sistema no ha sido comprometido.
El detector de rootkits en Debian puede ser consumado con
chkrootkit
. Este programa revisa signos de rootkits sobre el
sistema local y si el objetivo del computador es infectado con un rootkit.
Usted también puede usar SKAT
. SKAT revisa el area de
memoria del núcleo a (/dev/kmem
) para información acerca del
objetivo del servidor, esta información incluye la instalación de modulos
cargables del núcleo.
ARREGLAME: información adicional sobre como compilar el soporte del nrúucleo w/o lkm.
Ésta es probablemente la más inestable y divertida sección, ya que espero que algunas de de los "duh. ideas locas del sonido" puedan ser realizadas. Siguiendo aqui usted debera encontrar algunas ideas —esto depende del punto de vista en donde usted observe si ellos son genios, paranóicos, locos o si pueden dar una garantía — para incrementar su seguridad rápidamente usted no deberá venir y sacarlo ileso.
/bin
, /sbin/
, /usr/bin
,
/usr/sbin
y /usr/lib
(y un poco de otros inusuales
sospechosos) y hagalo en uso liberal de chattr +i command
.
también se suma en la raiz de archivos del núcleo. Ahora mkdir
/etc/.dist/
copia todo desde /etc/
de la parte interior (Lo
hago en dos pasos usando /tmp/etcdist.tar
para evitar la
recurrencia) dentro del directoro (opcionalmente usted puede crear
/etc/.dist.tar.gz
) y marquelo como inmutable.
La razón para todo es limitar el daño que usted pueda ocasionar cuando se
registyra como root. Usted no podra sobreescribir archivos con un desviado
operador de redirecciones, usted no podra hacer del sitema algo inusual con un
desviado espacio dentro de un comando rm -fr
(usted puede
permancer haciendo lo suficiente con los daños de sus datos —: pero sus
libs y bins estaran seguros).
Ésta también emplea una variedad de seguridad y rechazo de servicios de cualquier imposible explosión o algo de mayor dificultad (ya que muchos de ellos confian en sobre copiar archivos a través de las acciones de algun programa SUIDque no suministra arbitrariamente una interfase de comandos)
El único inconveniente de este es cuando se construye y se hace su make
install
sobre varias clases de sistemas binarios. Sobre la otra mano
también previene la instalación desde los archivos sobre escritos. Cuando
usted olvida leer el Makefile y chattr -i los archivos que pueden ser sobre
escritos fallan con el make (y los directorios para los cuales usted necesita
para añadir archivos), usted solo use el comando chattr y regrese. Usted
también puede tener la oportuinidad de mover sus viejos bins, libs o lo que sea
dentro de un old/directory o puede renombrar, marcar o lo que sea.
Note que esto lo previene de hacer una actualización de los paquetes de su
sistema. Dado que los archivos que ellos suministran no pueden ser sobre
escritos, y usted debe tener un mecanismo para desactivar la bandera de
inmutable sobre todos los binarios antes de un apt-get update
.
ARREGLAME. Mas contenido específico necesario para Debian
Si usted desea (y también puede implementarlo y dedicarle tiempo) usted puede mintar todo un equipo trampa (del inglés, honeypot [4]) usando un sistema de Debian GNU/Linux. Usted tiene todas las herramientas necesarias en orden para montar toda la red trampa (N.T. del inglés honeynet, el honeypot es sólo el servidor falso): el cortafuegos, los detectores de intrusión y el servidor falso. Sea cuidadoso. Sin embargo, tiene que estar bien seguro de que sea alertado a tiempo (vea "la importancia del registro y las alertas" en la pagina 36 La importancia de logs y alarmas, Sección 4.10), usted debe tomar la medida apropiada y terminar el compromiso tan pronto como haya visto suficiente. Los siguientes paquetes le pueden ser de utilidad:
syslog-ng
para enviar el registro desde el honeypot hacia una
máquina de servidor remota.
snort
para montar la captura de todo la llegada del trafico de red
para honeypot y para detectar ataques.
osh
el cual puede ser usado para montar una restricción de
comandos de interfase con el inicio de sesión (mire el bajo Lnce Spitzener).
dtk
si usted
necesita usar el honeypot también como un servicio de detección de intrusión.
tct
) para hacer una auditoria de post ataque.
Usted puede leer más acerca de la construcción de honeypots en el excelente
artículo de Lanze Spitzner para construir un honeypotTo
Build a Honeypot
(desde las serie conocidad de su enemigo), o la
construcción de su propio honeypot de David Raikow Building
your own honeypot
. también el proyecto de honeynet Honeynet Project
es dedicado
para la construcción de honeypots y auditorias de ataques hechos para ellos,
ésta es una información valios sobre como montar un honeypot y resultados de
auditoría de un ataque (mire el concurso).
Manual de Seguridad de Debian
Version: 2.4 (revisión de traducción 3), Mon, 16 May 2005 21:28:04 +0200jfs@debian.org