Często po zainstalowaniu serwera stajemy przed zadaniem utwardzenia jego konfiguracji. Metod jest wiele, ale z reguły stosujemy te ręczne, np. wyrzucanie niepotrzebnych modułów jądra, ładowanych bibliotek, czy sprawdzanie uprawnień w systemie plików. Można jednak zadanie to trochę uprościć, chociażby poprzez automatyczny skan konfiguracji systemu. Z pomocą przychodzą tutaj narzędzia ze stajni CIS Security (www.cisecurity.org). Organizacja ta udostępnia odpowiednie skrypty - NG Scoring Tools dla niektórych systemów operacyjnych czy urządzeń sieciowych. Hardening pozostałych systemów jest szczegółowo opisany w instrukcjach. Możemy więc spojrzeć "twardym" okiem na Red Hat 5, serwer MS SQL 2005, Oracle 11 czy FreeRADIUS-a.
Aplikacje w Samurai WTF
Hardening to nie tylko dostrojenie konfiguracji systemu. To również zadbanie o określenie praw pracujących na nim aplikacji. W systemach Linux mamy do wyboru w zasadzie dwie godne uwagi propozycje: AppArmor i SELinux. Obie realizują koncepcję tzw. MAC (Mandatory Access Control), gdzie wg zestawów reguł aplikacje, czy procesy/demony mają prawo lub nie - wchodzić w interakcję z innymi elementami systemu - na przykład portami TCP/UDP, plikami czy obszarami pamięci. Słowem, określamy, co wolno im robić. Oba rozwiązania sprawdzą się doskonale, jeżeli na serwerze uruchamiamy kluczowe dla biznesu aplikacje, chcemy zminimalizować ryzyko kompromitacji albo jesteśmy obwarowani regulacjami bezpieczeństwa. My jednak skłaniamy się ku AppArmor, pomimo bardziej kompleksowego podejścia do tematu przez SELinux. Na jego korzyść przemawia łatwość konfiguracji - poprawne ustawienie SELinux to droga przez mękę (choć są aplikacje, ułatwiające to zadanie, np. SEEdit - seedit.sourceforge.net). AppArmor nastawiony jest również na ochronę przed jednymi z najpoważniejszych zagrożeń - lukami w aplikacjach. Dlatego też nieźle sprawdzi się w przypadku hardeningu serwisów webowych, a opartych na nich aplikacji jest przecież mnóstwo. AppArmor stale monitoruje i "przycina" aplikacje, nawet jeżeli pracują w kontekście roota. Domyślnie otrzymamy zestaw profili dla najpopularniejszych aplikacji, takich jak Apache, Squid czy chociażby postfix. Nie jest to wbrew pozorom narzędzie przeznaczone jedynie do dystrybucji sygnowanych przez Novella. Z powodzeniem możemy je uruchomić na Debianie czy Ubuntu.
Po utwardzeniu serwera, dobrze jest poddać go próbom. Tutaj na scenę wchodzą narzędzia pentesterskie. Od kilku lat triumfy święcą dwa narzędzia - Nessus i Metasploit. Pierwszy to skaner podatności, drugi - platforma do tworzenia i testowania exploitów.
Nessus
Nessus
Nessus to kolejny "twardy" punkt na liście darmowych aplikacji. Podobnie jak w przypadku Snort, twórcy postanowili uruchomić wersję komercyjną swojego produktu. Zgodnie z warunkami licencyjnymi najnowszego Nessusa 3 w wersji darmowej (tj. z subskrypcjami typu "HomeFeed") nie mamy prawa używać go w firmie - możemy więc skanować swój prywatny komputer lub własną niekorporacyjną sieć. Jeżeli jednak szkolimy innych i na zajęciach chcielibyśmy wykorzystać Nessusa 3, to mamy (po spełnieniu wielu warunków) prawo do korzystania z pełnej subskrypcji (ProfessionalFeed), i to za darmo. Mówiąc o testowaniu podatności, warto także wspomnieć o interesującej dystrybucji LiveCD o wdzięcznej nazwie Samurai WTF (Web Testing Framework), której wersję 0.4 (z lutego br.) możemy pobrać ze strony samurai.inguardians.com. Zgromadzono tu wiele narzędzi przydatnych podczas badania "odporności" aplikacji webowych, np. Nikto, Fierce Domain Scanner, Maltego czy W3AF .
