دفاع از حملات به سرور های لینوکس

[4cheshmi]

با سلام:

مدیران شبکه ومشاورین امنیتی با آپدیت کردن اطلاعات خود در زمینه انواع حملات نقض کننده امنیت و راهکارهای مقابله با آنها، میتونن در بالا بردن ضریب امنیتی موثر باشن.
البته باید توجه داشت که در بحث امنیت، امنیت فیزیکی که رابطه مستقیم با $$$ داره، سهم بیشتری در بالا بردن ضریب امنیتی خواهد داشت ولی بروز کردن اطلاعات در زمینه راههای نفوذ و حملات ومقابله با آنها نیز میتونه بسیار مفید و موثر باشه...

هدف این تاپیک:
ارائه راهکارهای مفید امنیتی برای مقابله با حملات علیه سرورهای لینوکس.

Attacks:
------------------
1- DNS
2- P2P
3- Mass
4- RAM Scrapers
5- Brute Force
6- Root ssh login
7- Sniffing
8- Spoofing
9- DOS- DDOS
10- Explotation of weak Programs
11- port Scan
12- Attacks Sneaks Rootkits
13- Malware Attacks
و ...

---------- Post added at 01:42 PM ---------- Previous post was at 01:41 PM ----------

1- DNS
مهمترین نوع حملات DNS ، حملات Cache Poisoning هست که مهاجم میتونه به علت اشکال اساسی که در ساختار DNS سرورها وجود داره، رکوردهای جعلی در Cache یک DNS سرور تزریق کنه که باعث میشه وقتی کلاینت، درخواستی برای رکورد مورد نظر به سمت DNS سرورارسال میکنه، به سمت رکورد جعلی که در Cache، جایگزین رکورد اصلی شده، تغییر مسیر پیدا کنه...

یک black hat باهوش میتونه با آلوده کردن رکوردهای DNS به بهترین شکل ممکن سوءاستفاده کنه، مثلا:

1-مهاجم میتونه یک رکورد DNS رو به یک Domain name اختصاص بده که توسط Google AdSense به عنوان یک آگهی تبلیغاتی در وب سایتها نشون میده. اگر مهاجم این Domain name رو به
یک Banking Trojan آلوده کرده باشه، ویزیتورهای وب سایتهایی که اون Domain name از طریق google ads در آنها بارگذاری میشه، بطور ناخواسته آلوده به Banking Trojan میشن و...


2- همینطور میتونه رکورد DNS رو به Domain name آلوده کنه که این Domain name میتونه یک نسخه کپی شده باشه از یک وب سایت بانکی یا موسسات مالی که در وب سایتشون امکان تراکنش اینترنتی دارن. (Malicious Banking Web page)
ویزیتورهای از همه جا بی خبر، با تغییر مسیر به سمت نسخه کپی شده وب سایت بانکی، با وارد کردن اطلاعات حساب بانکی خود ... ii: ii:
اگر مهاجم، DNS سرور یک ISP بزرگ رو از این طریق آلوده کنه، طبیعتا قربانیان زیادتری خواهد داشت.

راهکارهای امنیتی مفید:
(CentOS v5.x- RHEL v5.x)
1- تنظیمات iptables
2- تنظیمات iptables برای ممانعت از cache poisoning
3- تنظیمات BIND DNS Server (پیکربندی TSIG و...)

---------- Post added at 01:42 PM ---------- Previous post was at 01:42 PM ----------

1- تنظیمات iptables
ویرایش فایل etc/sysconfig/iptables/ :

کد:
#vi etc/sysconfig/iptables/
اضافه کردن خطوط زیر قبل از خطهای LOG و DROP:

کد:
-A RH-Firewall-1-INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
سپس:
کد:
# service iptables restart
2- تنظیمات iptables برای ممانعت از cache poisoning(برای یک یا تعداد کمی از Domain ها)
(تست شده روی CentOS سرور، با اینکار از درخواستهای DNS تکراری توسط مهاجم جلوگیری میشه)
تنظیمات زیر رو برای Domainهای زیاد نباید انجام داد، چون فایروال روانی میشه...

کد:
-A RH-Firewall-1-INPUT -p udp -m udp -m recent -i eth0 --dport 53\
--update --seconds 660 --hitcount 7 --name DNSTHROTTLE --rsource -j DROP

-A RH-Firewall-1-INPUT -p udp -m udp -m recent -i eth0 --dport 53\
-j ACCEPT --set --name DNSTHROTTLE --rsource
ترکیب راه اول و دوم، باعث میشه میزان DNS query دراین حملات محدود بشه، راه اول به تنهایی تاثیری نداره ولی ترکیب اون با راه دوم، باعث میشه درخواستهای DNS query برای
یک ip آدرس (entry) با استفاده ازنتایج ان در مموری فایل proc/net/ipt_recent/DNSTHROTTLE/ محدود شود.

---------- Post added at 01:42 PM ---------- Previous post was at 01:42 PM ----------

(پست های بعدی 2 هفته دیگه تقریبا گذاشته میشه)