Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

ICMP

Фильтрация нелегальных адресов в брандмауэре.

Рубрики: Безопасность | Брандмауэр
Метки: | | |
Дата: 08/04/2009 11:04:38
Подписаться на комментарии по RSS

     Loopback-адреса.

     Адреса обратной петли (127.0.0.0 - 127.255.255.255) никогда не могут ис­пользоваться за пределами интерфейса lo. Если пакеты с loopback-адресами появились на интерфейсе, отличном от lo, значит, они были подделаны (spoffed).

     В следующем примере кода будет создана пользовательская цепочка bad_packets, которая будет отбрасывать адреса, перечисленные выше. Все отброшенные пакеты будут запротоколированы - хороший способ отладки неправильно сконфигурированных приложений и попыток спуффинга.

Далее...

Создание набора правил брандмауэра(Часть 2).

Рубрики: Безопасность | Брандмауэр
Метки: | | | |
Дата: 06/04/2009 09:09:25
Подписаться на комментарии по RSS

     Защита нейтральной зоны (DMZ).

     Правила, заданные в сценарии nat.sh, ограничивали поток трафика в нейтральную зону, но не определяли ограничения на ис­ходящий от DMZ-серверов трафик, который может передаваться или в ло­кальную сеть, или в Интернет. В идеале нужно разрешить только ESTABLISED- и RELATED-трафик, так как DMZ-серверы будут только обрабатывать запросы клиен­тов и не будут устанавливать новых соединений.

     Но есть определенная проблема, которая заключается в том, что сервисы, в частности DNS и SMTP, будут устанавливать новые соединения. Если запретить созда­ние новых соединений для DNS-серверов, то прервется работа этих сер­висов. В этом случаем нужно написать более точные правила.

Далее...

Параметры /proc

Рубрики: Безопасность | Топология сети
Метки: | | |
Дата: 16/03/2009 10:03:23
Подписаться на комментарии по RSS

Опции маршрутизации.

     В каталоге /proc/sys/net/ipv4/conf содержится подкаталоги для каждого интерфейса, в частности для default и all.

dr-xr-xr-x 2 root root 0 Мар 16 09:25 all

dr-xr-xr-x 2 root root 0 Мар 16 09:25 br0

dr-xr-xr-x 2 root root 0 Мар 16 09:25 default

dr-xr-xr-x 2 root root 0 Мар 16 09:25 lo

dr-xr-xr-x 2 root root 0 Мар 16 09:25 eth0

     Для каждого интерфейса в каталогах находятся параметры сетевых интерфейсов:

Далее...

Файловая система /proc.

Рубрики: Безопасность | Топология сети
Метки: | |
Дата: 25/02/2009 15:18:50
Подписаться на комментарии по RSS

Довольно интересной функцией Linux и других UNIX-систем является файловая система   /proc. Она дает возможность смотреть и менять парамет­ры ядра "на лету". На самом деле это псевдофайловая система. Здесь нет файлов в обычном понимании. «Файлы», находящиеся в каталоге /рrос, - это просто ссылки на области памяти ядра, в которых хранятся значения некоторых параметров ядра. В этой файловой системе можно найти немало интересной информации о любом запущенном процессе, использовании процессора и памяти и много другого.

Далее...

Компоненты правил IPTables(специальные совпадения)

Рубрики: Безопасность | Брандмауэр
Метки: | | | |
Дата: 17/02/2009 16:05:17
Подписаться на комментарии по RSS

Следующие совпадения можно применять только к определенному протоколу: специальные совпадения TCP к TCP-пакетам, UDP к UDP-пакетам и ICMP к ICMP-пакетам соответственно. Из-за этого их выделили в отдельную группу компонент правил IPTables. Их так и называют - специальные совпадения протокола(TCP, UDP или ICMP).

     В документе Iptables Tutorial эти совпадения называют неявными критериями выделения пакета. Под этим там понимаются те критерии, которые явно не выражены и становятся доступны только после указания критерия, например -p tcp

     Эти критерии можно подгрузить и явным образом, указав ключа -m (-match), к примеру -m tcp.

     Рассмотрим эти специальные совпадения.

Далее...

Использование Nmap

Рубрики: Аудит сети | Безопасность
Метки: | | | | |
Дата: 02/02/2009 15:46:38
Подписаться на комментарии по RSS

Рассмотрим немного примеров использования nmap. Посмотрите от имени какого пользователя запускается nmap: если в приглашении командной строки указана решетка (#) - от пользователя root, а если доллар ($) - от обычного пользователя.

     TCP-Сканирование.

     Методом TCP connect () nmap будет сканировать диапазон портов (1-65535) компьютера с IP-адресом 172.16.0.1. Опция -sV служит для получения версий запущенных сервисов, а опция -I дает сведения о UID пользователей-владельцев запущенных сервисов:

Далее...

Отказ в обслуживании(DoS)

Рубрики: Безопасность | Уязвимости Linux-сервера
Метки: | | |
Дата: 21/01/2009 14:55:04
Подписаться на комментарии по RSS

DoS-атака. Цель - захватить все ресурсы компьютера-жертвы, чтобы другие пользователи не смогли использовать этот компьютер. К ресурсам относятся: память, процессорное время, дисковое пространство, пропускная полоса и др.Далее...