Wykrywaj i reaguj. Praktyczny monitoring sieci dla administratorów - ebook

Bądź o krok przed intruzem!

Zagwarantowanie bezpieczeństwa sieci to ogromne wyzwanie i najwyższa konieczność. Aby to osiągnąć, nie wystarczy budowanie murów — prędzej czy później napastnicy przenikną przez takie zabezpieczenia. Dlatego kluczowe jest stałe monitorowanie ruchu w sieci i wykrywanie podejrzanych zachowań. Jak to zrobić? Jak wykorzystać w tym celu darmowe oprogramowanie z otwartym kodem? Na te i wiele innych pytań odpowiada ta wspaniała książka.

W trakcie lektury dowiesz się, jak uzyskać dostęp do ruchu sieciowego, zbierać go i zarządzać nim. W kolejnych rozdziałach poznasz narzędzie Security Onion (autonomiczną platformę pozwalającą na monitorowanie bezpieczeństwa w sieci) oraz dowiesz się, jak je skonfigurować i wykorzystać. Do Twojej dyspozycji jest również wiele narzędzi działających w trybie tekstowym, z Tcpdump na czele. Ich możliwości oraz zastosowanie poznasz w kolejnych rozdziałach. Na sam koniec zobaczysz, jak wygląda cykl zapewniania bezpieczeństwa w przedsiębiorstwie oraz jakie działania należy podjąć w przypadku wykrycia naruszenia zasad bezpieczeństwa. Książka ta jest obowiązkową lekturą dla wszystkich administratorów sieci. Dostarcza ona cennych informacji na temat dostępnych narzędzi, procedur oraz trendów w tej dziedzinie.

Dzięki tej książce:

• poznasz dostępne narzędzia i ich możliwości w zakresie monitorowania ruchu w sieci
• dowiesz się, jak zorganizować procedurę monitorowania
• zainstalujesz i skonfigurujesz system Security Onion
• zwiększysz swoje szanse na wykrycie i odparcie ataku

Obowiązkowa lektura każdego administratora!

O autorze (1)

Słowo wstępne (15)

Przedmowa (21)

• Czytelnicy (23)
• Wymagania wstępne (23)
• Uwagi dotyczące oprogramowania i protokołów (24)
• Zakres tematyczny książki (25)
• Podziękowania (26)
• Oświadczenie (27)

CZĘŚĆ I. WPROWADZENIE

1. Uzasadnienie monitorowania bezpieczeństwa sieci (31)

• Wprowadzenie do NSM (32)
  • Czy NSM zapobiega włamaniom? (33)
  • Jaka jest różnica między NSM a ciągłym monitorowaniem (CM)? (34)
  • Jak NSM wygląda w porównaniu z innymi podejściami? (38)
  • Dlaczego NSM działa? (39)
  • Jak system NSM jest skonfigurowany? (40)
  • Kiedy NSM nie działa? (42)
  • Czy stosowanie NSM-u jest legalne? (42)
  • W jaki sposób można chronić prywatność użytkowników w czasie wykonywania operacji systemu NSM? (44)
• Przykładowy test systemu NSM (44)
• Zakres danych systemu NSM (46)
  • Pełne dane (46)
  • Dane wyodrębnione (48)
  • Dane sesji (51)
  • Dane transakcji (52)
  • Dane statystyczne (54)
  • Metadane (56)
  • Dane alertów (59)
• Jaki jest sens zbierania tych wszystkich danych? (60)
• Wady systemu NSM (62)
• Gdzie mogę kupić system NSM? (62)
• Gdzie mogę uzyskać wsparcie i dodatkowe informacje? (63)
• Podsumowanie (63)

2. Zbieranie zawartości ruchu sieciowego: dostęp, przechowywanie i zarządzanie (65)

• Przykładowa sieć dla pilotażowego systemu NSM (66)
  • Przepływ ruchu w prostej sieci (67)
  • Możliwe miejsca użycia platformy NSM (71)
• Adresy IP i NAT (71)
  • Bloki adresów sieci (72)
  • Przypisania adresów IP (73)
  • Translacja adresów (74)
• Wybieranie najlepszego miejsca do uzyskania widoczności sieci (78)
  • Miejsce obserwacji ruchu dotyczącego sieci DMZ (78)
  • Miejsca obserwacji ruchu dotyczącego sieci bezprzewodowej i sieci wewnętrznej (79)
• Uzyskiwanie fizycznego dostępu do ruchu sieciowego (81)
  • Użycie przełączników do monitorowania ruchu sieciowego (81)
  • Wykorzystanie TAP'a sieciowego (82)
  • Przechwytywanie ruchu bezpośrednio w systemie klienta lub serwera (83)
• Wybór platformy NSM (83)
• Dziesięć zaleceń dotyczących zarządzania platformą NSM (85)
• Podsumowanie (86)

CZĘŚĆ II. WDROŻENIE PAKIETU SECURITY ONION

3. Wdrożenie i instalacja autonomicznej platformy NSM (91)

• Platforma autonomiczna czy serwer plus sensory? (92)
• Wybór sposobu instalacji kodu SO (95)
• Instalowanie systemu autonomicznego (96)
  • Instalowanie systemu SO na twardym dysku (96)
  • Konfigurowanie oprogramowania SO (101)
  • Wybór interfejsu zarządzania (103)
  • Instalacja składników oprogramowania NSM (104)
  • Sprawdzenie instalacji (108)
• Podsumowanie (112)

4. Wdrożenie rozproszone (113)

• Instalowanie serwera SO z wykorzystaniem pliku .iso projektu SO (114)
  • Uwagi dotyczące serwera SO (114)
  • Tworzenie własnego serwera SO (115)
  • Konfigurowanie własnego serwera SO (117)
• Instalowanie sensora SO z wykorzystaniem obrazu .iso systemu SO (119)
  • Konfigurowanie sensora SO (119)
  • Dokończenie procesu konfiguracji (121)
  • Upewnienie się, że sensory działają (123)
  • Sprawdzenie, czy tunel autossh działa (123)
• Tworzenie serwera SO z wykorzystaniem archiwów PPA (124)
  • Instalacja Ubuntu Server jako systemu operacyjnego serwera SO (125)
  • Wybór statycznego adresu IP (127)
  • Aktualizacja oprogramowania (128)
  • Rozpoczęcie konfiguracji systemu baz danych MySQL i pakietów PPA na serwerze SO (128)
  • Konfiguracja własnego serwera SO z wykorzystaniem PPA (130)
• Tworzenie sensora SO z wykorzystaniem archiwów PPA (132)
  • Instalacja Ubuntu Server jako systemu operacyjnego sensora SO (132)
  • Konfigurowanie systemu jako sensora (134)
  • Uruchomienie kreatora ustawień (135)
• Podsumowanie (138)

5. Zarządzanie platformą SO (141)

• Aktualizowanie systemu SO (141)
  • Przeprowadzanie aktualizacji z wykorzystaniem interfejsu GUI (142)
  • Wykonywanie aktualizacji z wiersza poleceń (143)
• Ograniczanie dostępu do systemu SO (144)
  • Łączenie się przez serwer proxy obsługujący protokół SOCKS (145)
  • Zmiana reguł zapory sieciowej (147)
• Zarządzanie przechowywaniem danych systemu SO (148)
  • Zarządzanie pamięcią masową sensora (149)
  • Sprawdzanie wielkości pamięci dyskowej zużytej przez bazy danych (150)
  • Zarządzanie bazą danych aplikacji Sguil (151)
  • Śledzenie zużycia pamięci dyskowej (151)
• Podsumowanie (152)

CZĘŚĆ III. NARZĘDZIA

6. Narzędzia do analizy pakietów pracujące w trybie wiersza poleceń (155)

• Kategorie narzędzi SO (156)
  • Prezentacja danych (156)
  • Narzędzia SO do zbierania danych (157)
  • Narzędzia SO dostarczające dane (157)
• Używanie programu Tcpdump (158)
  • Wyświetlanie, zapisywanie i odczytywanie zawartości ruchu za pomocą programu Tcpdump (159)
  • Użycie filtrów w programie Tcpdump (161)
  • Wydobywanie szczegółowych informacji z danych wyjściowych programu Tcpdump (164)
  • Badanie pełnych danych za pomocą programu Tcpdump (164)
• Używanie narzędzi Dumpcap i Tshark (165)
  • Uruchamianie narzędzia Tshark (166)
  • Uruchamianie narzędzia Dumpcap (166)
  • Zastosowanie narzędzia Tshark do odczytania śladu ruchu sieciowego utworzonego przez program Dumpcap (168)
  • Użycie filtrów wyświetlania w programie Tshark (169)
  • Filtry wyświetlania programu Tshark w działaniu (171)
• Używanie narzędzia Argus i klienta Ra (172)
  • Zatrzymywanie i uruchamianie serwera Argus (173)
  • Format pliku w aplikacji Argus (173)
  • Badanie danych aplikacji Argus (174)
• Podsumowanie (178)

7. Graficzne narzędzia do analizy pakietów (179)

• Używanie aplikacji Wireshark (179)
  • Uruchamianie programu Wireshark (180)
  • Przeglądanie przechwyconych pakietów w programie Wireshark (181)
  • Modyfikowanie układu wyświetlania danych w programie Wireshark (182)
  • Niektóre użyteczne funkcje programu Wireshark (185)
• Korzystanie z narzędzia Xplico (192)
  • Uruchamianie Xplico (193)
  • Tworzenie przypadków i sesji w aplikacji Xplico (194)
  • Przetwarzanie ruchu sieciowego (195)
  • Interpretacja zdekodowanego ruchu (195)
  • Wyświetlanie metadanych i podsumowania ruchu (198)
• Badanie zawartości ruchu za pomocą narzędzia NetworkMiner (200)
  • Uruchamianie narzędzia NetworkMiner (200)
  • Zbieranie i organizacja szczegółów dotyczących ruchu sieciowego (201)
  • Prezentacja treści (202)
• Podsumowanie (204)

8. Konsole NSM (205)

• Rzut oka na ruch sieciowy z perspektywy systemu NSM (206)
• Używanie konsoli Sguil (207)
  • Uruchamianie aplikacji Sguil (208)
  • Sześć kluczowych funkcji aplikacji Sguil (210)
• Używanie aplikacji Squert (221)
• Snorby (223)
• ELSA (227)
• Podsumowanie (231)

CZĘŚĆ IV. NSM W AKCJI

9. Operacje NSM (235)

• Cykl zapewniania bezpieczeństwa w przedsiębiorstwie (236)
  • Faza planowania (237)
  • Faza odpierania (237)
  • Fazy wykrywania i reagowania (238)
• Zbieranie danych, analiza, eskalacja i rozwiązanie (238)
  • Zbieranie danych (239)
  • Analiza (244)
  • Eskalacja (247)
  • Rozwiązanie (250)
• Naprawa (254)
  • Używanie metodologii NSM do poprawy bezpieczeństwa (255)
  • Tworzenie zespołu CIRT (256)
• Podsumowanie (259)

10. Naruszenie bezpieczeństwa po stronie serwera (261)

• Charakterystyka naruszenia bezpieczeństwa po stronie serwera (262)
• Naruszenie bezpieczeństwa po stronie serwera w akcji (263)
  • Rozpoczęcie pracy od uruchomienia konsoli Sguil (264)
  • Kwerenda danych sesji przy użyciu konsoli Sguil (265)
  • Powrót do danych alertów (269)
  • Przeglądanie pełnych danych za pomocą programu Tshark (271)
  • Wyjaśnienie działania furtki (273)
  • Co zrobił włamywacz? (274)
  • Co jeszcze zrobił włamywacz? (278)
• Eksploracja danych sesji (280)
  • Przeszukiwanie dzienników DNS aplikacji Bro (280)
  • Przeszukiwanie dzienników SSH aplikacji Bro (282)
  • Przeszukiwanie dzienników FTP aplikacji Bro (283)
  • Dekodowanie kradzieży wrażliwych danych (285)
  • Wyodrębnianie skradzionego archiwum (286)
• Retrospekcja (287)
  • Podsumowanie pierwszego etapu (287)
  • Podsumowanie drugiego etapu (288)
  • Kolejne kroki (288)
• Podsumowanie (289)

11. Naruszenie bezpieczeństwa po stronie klienta (291)

• Definicja naruszenia bezpieczeństwa po stronie klienta (292)
• Naruszenie bezpieczeństwa po stronie klienta w akcji (294)
  • Otrzymanie zgłoszenia incydentu od użytkownika (295)
  • Rozpoczęcie analizy przy użyciu narzędzia ELSA (295)
  • Szukanie brakującego ruchu (300)
• Analiza zawartości pliku dns.log aplikacji Bro (302)
• Sprawdzanie portów docelowych (304)
• Zbadanie kanału dowodzenia i kontroli (307)
  • Początkowy dostęp (308)
  • Uruchomienie lepszej powłoki (313)
  • Podsumowanie pierwszego etapu (314)
  • Przeniesienie ataku na drugi komputer (314)
  • Instalacja ukrytego tunelu (316)
  • Zebranie informacji o ofierze (317)
  • Podsumowanie drugiego etapu (318)
• Podsumowanie (319)

12. Rozszerzanie systemu Security Onion (321)

• Użycie aplikacji Bro do śledzenia plików wykonywalnych (322)
  • Obliczanie przez Bro skrótów pobranych plików wykonywalnych (322)
  • Sprawdzenie skrótu w serwisie VirusTotal (323)
• Wykorzystywanie aplikacji Bro do wyodrębniania binariów z ruchu sieciowego (324)
  • Skonfigurowanie aplikacji Bro do wyodrębniania binariów z ruchu sieciowego (325)
  • Zbieranie ruchu do testowania aplikacji Bro (326)
  • Testowanie aplikacji Bro pod względem wyodrębniania binariów z ruchu HTTP (328)
  • Badanie pliku binarnego wyodrębnionego z ruchu HTTP (330)
  • Testowanie aplikacji Bro pod względem wyodrębniania binariów z ruchu FTP (331)
  • Badanie pliku binarnego wyodrębnionego z ruchu FTP (332)
  • Sprawdzenie skrótu i pliku binarnego w serwisie VirusTotal (332)
  • Ponowne uruchomienie programu Bro (334)
• Wykorzystanie danych analitycznych dotyczących zagrożenia APT1 (337)
  • Używanie modułu APT1 (337)
  • Instalacja modułu APT1 (339)
  • Wygenerowanie ruchu potrzebnego do testowania modułu APT1 (340)
  • Testowanie modułu APT1 (341)
• Informowanie o pobraniu złośliwych binariów (343)
  • Korzystanie z repozytorium skrótów złośliwego oprogramowania oferowanego przez Team Cymru (343)
  • Repozytorium MHR a system SO (345)
  • MHR i SO kontra pobranie złośliwego pliku (346)
  • Identyfikacja programu binarnego (348)
• Podsumowanie (349)

13. Serwery proxy i sumy kontrolne (351)

• Serwery proxy (351)
  • Serwery proxy a widoczność (352)
  • Radzenie sobie z serwerami proxy w sieciach produkcyjnych (356)
• Sumy kontrolne (357)
  • Prawidłowa suma kontrolna (357)
  • Nieprawidłowa suma kontrolna (358)
  • Identyfikowanie prawidłowych i nieprawidłowych sum kontrolnych za pomocą programu Tshark (358)
  • Dlaczego pojawiają się nieprawidłowe sumy kontrolne? (361)
  • Aplikacja Bro a nieprawidłowe sumy kontrolne (362)
  • Ustawienie trybu ignorowania nieprawidłowych sum kontrolnych w programie Bro (363)
• Podsumowanie (366)

Zakończenie (367)

• Przetwarzanie w chmurze (368)
  • Wyzwania wynikające z przetwarzania w chmurze (369)
  • Korzyści wynikające z przetwarzania w chmurze (370)
• Przepływ pracy, metryki i współpraca (371)
  • Przepływ pracy a metryki (372)
  • Współpraca (373)
• Podsumowanie (373)

DODATEK. Skrypty i konfiguracja systemu SO (375)

• Skrypty sterujące systemu Security Onion (375)
  • /usr/sbin/nsm (377)
  • /usr/sbin/nsm_all_del (377)
  • /usr/sbin/nsm_all_del_quick (378)
  • /usr/sbin/nsm_sensor (379)
  • /usr/sbin/nsm_sensor_add (380)
  • /usr/sbin/nsm_sensor_backup-config (380)
  • /usr/sbin/nsm_sensor_backup-data (380)
  • /usr/sbin/nsm_sensor_clean (380)
  • /usr/sbin/nsm_sensor_clear (380)
  • /usr/sbin/nsm_sensor_del (380)
  • /usr/sbin/nsm_sensor_edit (381)
  • /usr/sbin/nsm_sensor_ps-daily-restart (381)
  • /usr/sbin/nsm_sensor_ps-restart (381)
  • /usr/sbin/nsm_sensor_ps-start (383)
  • /usr/sbin/nsm_sensor_ps-status (384)
  • /usr/sbin/nsm_sensor_ps-stop (384)
  • /usr/sbin/nsm_server (385)
  • /usr/sbin/nsm_server_add (385)
  • /usr/sbin/nsm_server_backup-config (385)
  • /usr/sbin/nsm_server_backup-data (385)
  • /usr/sbin/nsm_server_clear (385)
  • /usr/sbin/nsm_server_del (385)
  • /usr/sbin/nsm_server_edit (385)
  • /usr/sbin/nsm_server_ps-restart (385)
  • /usr/sbin/nsm_server_ps-start (386)
  • /usr/sbin/nsm_server_ps-status (386)
  • /usr/sbin/nsm_server_ps-stop (386)
  • /usr/sbin/nsm_server_sensor-add (386)
  • /usr/sbin/nsm_server_sensor-del (386)
  • /usr/sbin/nsm_server_user-add (387)
• Pliki konfiguracyjne systemu Security Onion (387)
  • /etc/nsm/ (387)
  • /etc/nsm/administration.conf (388)
  • /etc/nsm/ossec/ (388)
  • /etc/nsm/pulledpork/ (388)
  • /etc/nsm/rules/ (388)
  • /etc/nsm/securityonion/ (389)
  • /etc/nsm/securityonion.conf (389)
  • /etc/nsm/sensortab (391)
  • /etc/nsm/servertab (392)
  • /etc/nsm/templates/ (392)
  • /etc/nsm/$HOSTNAME-$INTERFACE/ (392)
  • /etc/cron.d/ (396)
  • Bro (396)
  • CapMe (397)
  • ELSA (397)
  • Squert (397)
  • Snorby (397)
  • Syslog-ng (397)
  • /etc/network/interfaces (397)
• Aktualizacja systemu SO (398)
  • Aktualizowanie dystrybucji systemu SO (399)
  • Aktualizowanie systemu baz danych MySQL (399)

Skorowidz (401)