Zabezpieczenie Serwera

[dawidson]

Przez noc go zapuscilem i w logach mam cos takiego

[**] [1:528:5] BAD-TRAFFIC loopback traffic [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
03/23-20:10:31.967257 127.0.0.1:80 -> 81.15.183.3:1464
TCP TTL:127 TOS:0x0 ID:53451 IpLen:20 DgmLen:40
***A*R** Seq: 0x0  Ack: 0x19AB0001  Win: 0x0  TcpLen: 20
[Xref => [URL=http://rr.sans.org/firewall/egress.php]http://rr.sans.org/firewall/egress.php[/URL]]

Czy to cos groznego na loopback

a i jeszcze to

[**] [122:19:0] (portscan) UDP Portsweep [**]
03/23-18:58:21.251020 81.15.183.214 -> 83.216.228.105
PROTO255 TTL:0 TOS:0x0 ID:27031 IpLen:20 DgmLen:165

[snake]

Tak sobie czytam i się zastanawiam czy aby nie zapomnieliście o tym że w obecnej chwili nikt (no prawie nikt) już nie atakuje maszyny bezpośrednio wykorzystując potencjalne luki w usługach. Najgroźniejszy obecnie problem to aplikacje jakie wystawiacie na zewnątrz i błędy w nich zawarte.

Źle napisana strona w php i żadne firewalle czy snorty i tym podobne nic wam nie pomogą a tylko będą przeszkadzały w analizie problemu ( chroot, selinux daje szanse na przeżycie).

Praca osoby odpowiedzialnej za bezpieczeństwo systemu (specjalnie napisałem systemu a nie serwera) to mordęga i ciągłe uczenie się.

Pamiętajcie o tym że nadmiar informacji to żadna informacja.

Jeśli implementyjecie w systemie SYSTEM (składający się z wielu elementów) ZABEZPIECZEŃ to musicie znać podstawy każdego aspektu w którym ten SYSTEM będzie działał a następnie szlifować swoją wiedzę do końca waszego lub jego (to z filmu ).

Grsec i selinux razem wzięte to chyba drobna przesada

snort OK ale najpierw podstawy dotyczące sieci (idsy,protokoły,ramki ip tcp udp icmp,ipsec itd...).

Jeśli hostujecie np. aplikacje javy to podstawą jest znajomość tego języka i to w stopniu większym niż ten który napisał daną aplikację to samo z innymi sprawami.

Niestety inżynier bezpieczeństwa to baaaaardzo ciężki chleb powszedni.

Żmudna i wyczerpująca praca iciągłe ślęczenie nad logami kodem a jeszcze trzeba na bieżąco śledzić co się dzieje nowego na świecie

Pozdrawiam i życzę udanego weekendu

PS.

Mały przykład: dwa serwery współdziałające ze sobą 1- autoryzacja/autentykacja 2 - baza danych.

Hasła szyfrowane przechowywane w bazie .

Wszystko niby spoko ale admin zapomniał wyłączyć tryb debug w jednym miejscu i w logach pojawiały się nazy userów i hasła na serwie nr.1 który był wystawiony w świat. Mała pomyłka kosztowała gostka sporo )))) mimo że oba serwery były dobrze zabezpieczone. Hasła i użytkowników zawinął gostek z firmy, która wykonywała drobne poprawki na działającym sytstemie serwer 1 zgodnie z umową serwisową . Nie pytajcie mnie o nazę firmy )) nie powiem .