Pytanie: Pierwsze testy penetracyjne, wykonywane przez atakującego, polegają przeważnie na skanowaniu portów. Chciałbym zabezpieczyć się w podstawowym stopniu przed atakiem na serwery pracujące pod kontrolą systemu operacyjnego Linux. Jak utrudnić skanowanie potencjalnemu intruzowi?

Odpowiedź: Istnieją zarówno komercyjne, jak i darmowe rozwiązania utrudniające skanowanie portów. Przeważnie taką rolę spełniają systemy IDS (Intrusion Detection System). Znanym i cenionym narzędziem IDS jest Snort (http://www.snort.org ). Program ten potrafi w czasie rzeczywistym dokonywać analizy ruchu, wykrywać różne typy ataków oraz blokować określone zachowania. Jest to rozbudowane narzędzie, dla którego stworzono dużo oprogramowania do prezentacji wyników oraz gromadzenia danych. Sygnatury ataków są powszechnie dostępne, często są tworzone przez użytkowników, co stwarza wprost nieograniczone możliwości konfiguracyjne.

Można także wykorzystać wewnętrzne mechanizmy jądra systemu Linux. W pewnym stopniu zabezpieczenie może stanowić blokada odpowiedzi na komunikaty ICMP, zabezpieczenie przed skanowaniem SYN oraz spoofingiem IP. Konfigurację taką łatwo jest zrealizować poprzez odpowiednie ustawienie wartości w pliku /etc/sysctl.conf:

net.ipv4.icmp_echo_ignore_all=1

net.ipv4.icmp_echo_ignore_broadcasts=1

net.ipv4.tcp_syncookies=1

net.ipv4.conf.all.rp_filter=1

Warto rozważyć także użycie darmowego oprogramowania o nazwie PortSentry (http://sourceforge.net/projects/sentrytools/ ). Program wykrywa oraz podejmuje odpowiednie akcje w przypadku wykrycia próby skanowania. Akcję stanowi zazwyczaj zapis w dzienniku adresu IP hosta podejmującego atak oraz zapis metody skanowania. Konfiguracja programu w zależności od zabezpieczeń systemu, na którym zainstalujemy oprogramowanie, stwarza możliwość automatycznej blokady atakującego hosta za pomocą zapory ogniowej (ipchains, iptables).

Koniecznie należy zapisywać próby ataków oraz systematycznie śledzić dzienniki zdarzeń. Niepotrzebne usługi należy wyłączyć. Dobrą rzeczą jest zmiana domyślnych ustawień identyfikacji oprogramowania, co pozwoli zmylić atakującego. Większość oprogramowania umożliwia zmianę wersji i nazwy, w przypadku gdy atakujący zapyta system o te dane. Bezwzględnie należy utrzymywać najnowsze i aktualne wersje używanego oprogramowania.