ЦЕПНЫЕ ПСЫ

Vitls (vitls@chat.ru)

Спецвыпуск Xakep, номер #032, стр. 032-022-2

LIDS

Обзор начну с LIDS. По своему существу LIDS относится к системам контроля целостности. Во время своей работы LIDS следит за состоянием файловой системы, справляется со списками доступа и, в случае неразрешенных действий, сообщает администратору о нарушении целостности. Данная система отличается тем, что на самом деле является патчем к ядру Linux. Поэтому для каждой версии ядра требуется своя реализация LIDS, что не совсем удобно. Плюс к ней поставляется утилита lidsadm для управления. Несмотря на это, LIDS считается довольно мощным средством противостояния атакам именно благодаря тому, что жестко контролирует все происходящие в системе действия.

В настройке LIDS очень непрост. Для установки сначала нужно на твое ядро наложить патч (именно на твою версию ядра, иначе ни фига не заработает), сконфигурить его и пересобрать. Самое главное - не перегружаться, пока до конца не настроишь LIDS, иначе тебе конец. Если ты решишься заюзать LIDS, то будь готов к тому, что тебе придется очень читать много документации. Хорошо, что в Сети ее море, в том числе и на русском языке.

Систему, на которой стоит грамотно настроенный LIDS, практически невозможно вскрыть с налету. С его помощью можно, например, защитить головную страницу www-сервера от дефейсинга, предохранить системные журналы от несанкционированного изменения, скрыть критические процессы в списке выполняемых задач, запретить выполнение ядерных модулей и приложений и многое другое.

SNORT

Snort - гораздо проще, да и занимается он совсем другим. Snort - практический пример системы обнаружения вторжений из сети. Демон сидит в памяти и просматривает весь сетевой трафик. Перехваченные пакеты поступают в анализатор, который на основе набора правил, определяемых админом, принимает решение, происходит атака или обычная работа. К анализатору могут быть подключены сторонние модули, чтобы увеличить его функциональность. Информация, собранная анализатором, поступает в систему предупреждения и регистрирования. Таким образом распознаются разнообразные нападения типа переполнения буфера, скрытых просмотров порта, CGI-атак, попыток определения OS и т.п.

Для успешной сборки и установки необходимо наличие библиотеки libpcap и утилиты tcpdump. На сайте доступны исходные тексты snort версии 2.0. Компиляция и инсталляция проблем не вызывают. Волшебная сила команд configure; make; make install просто чудеса творит. Затем нужно создать каталог (какой-нибудь /var/log/snort) для хранения журналов.

Запуск snort -? выведет тебе список команд. Ты его внимательно изучишь и начнешь настраивать. Snort выполняется в трех различных режимах:

1. Режим пакетного сниффера. Когда Snort работает в этом режиме, он читает и дешифрует все сетевые пакеты и формирует дамп к stdout (экран). Для перевода snort в режим сниффера юзай ключ -v: snort -v

2. Режим регистрации пакетов. Этот режим записывает пакеты на диск и декодирует их в ASCII формат. snort -l < directory to log packets to >