Port Scan Attack Detector (PSAD)
, ,

PSAD — представляет собой набор из трех легких системных демонов, которые работают на Linux и анализируют логи iptables  для обнаружения сканирования портов и наличие  подозрительного трафика.

Читать далее Port Scan Attack Detector (PSAD)

Обзор IPS: The Artillery Project
, , ,

В данной статье будет коротко рассмотрен инструмент The Artillery Project компании Binary Defense Systems,
целью которого является защита операционной системы от сетевых атак.

Читать далее Обзор IPS: The Artillery Project

Состояния гонки (race conditions). Часть 1. TOCTOU в *nix-системах.

 

Общие моменты

Состояние гонки — ошибка, допущенная при разработки программы, приводящая к нежелательному поведению данной программы в процессе её исполнения из-за временных задержек в работе.

Читать далее Состояния гонки (race conditions). Часть 1. TOCTOU в *nix-системах.

Введение в системы обнаружения вторжений (IDS). Часть 1
, ,

Как работают системы обнаружения вторжений?

В идеальном мире, в Вашу сеть заходят только те кто нужно — коллеги, друзья, работники компании.. Другими словами те, кого Вы знаете и доверяете.

В реальном же мире, часто нужно давать доступ к внутренней сети клиентам, вендорам ПО и т. д. При этом, благодаря глобализации и повсеместному развитию фрилансерства, доступ лиц которых Вы не очень хорошо знаете и не доверяете уже становится необходимостью.

Читать далее Введение в системы обнаружения вторжений (IDS). Часть 1

Обеспечение безопасности сетевого периметра с использованием Snort, OSSEC и Prelude SIEM
, , , , , , ,

Рассмотрим пример реализации защиты сетевого периметра с использованием Opensource-решений на базе:
Snort — система обнаружения\предотвращения вторжения (в контексте данной статьи будет рассматриваться как IDS);
OSSEC — хостовая IDS (Host-based intrusion detection system);
Prelude\Prewikka — SIEM-система для обработки и управления событиями (Security information and event management).

В предыдущих статьях, посвященных обеспечению безопасности веб-сайта и сетевого периметра были рассмотрены инструменты nginx-naxsi (web application firewall), fail2ban (сервис блокировки доступа) и snort (IDS). Давайте попробуем соединить все подсистемы воедино, снарядив в довесок SIEM, позволяющей просматривать и анализировать события в удобном виде. Кроме этого, использование подобной системы позволит подготовиться к соответствию со стандартом PCI DSS.

Далее в примерах будут использоваться 3 сервера:
Сервер R — сетевой шлюз;
Сервер WAF — веб-сервер с установленным Nginx-Naxsi и Fail2ban;
Сервер SIEM — сервер просмотра и обработки событий.

Итак, приступим!

Читать далее Обеспечение безопасности сетевого периметра с использованием Snort, OSSEC и Prelude SIEM