31.08.2015 @ 11:10 Waidps — средство обнаружения атак в Wi-Fi сетях

Существует много материала про атаки и про защиту в Wi-Fi сетях , но практически нет информации об обнаружении вторжения в беспроводные сети. Данный обзор будет посвящен одной из таких утилит: waidps — установка, настройка и параметры.

Читать далее Waidps — средство обнаружения атак в Wi-Fi сетях →

31.07.2015 @ 11:02 Состояния гонки (race conditions). Часть 1. TOCTOU в *nix-системах.

linux

Общие моменты

Состояние гонки — ошибка, допущенная при разработки программы, приводящая к нежелательному поведению данной программы в процессе её исполнения из-за временных задержек в работе.

Читать далее Состояния гонки (race conditions). Часть 1. TOCTOU в *nix-системах. →

16.07.2015 @ 14:02 Введение в системы обнаружения вторжений (IDS). Часть 2

algorithms, ids, network ids, nids, search, signature-based, snort

Ссылка на первую часть статьи.

Сигнатурные методы детектирования в IDS

В данной статье мы рассмотрим методы детектирования, использующие предопределенные правила, в которых содержатся сигнатуры — признаки определенного события. Сигнатурный подход к детектированию берет начало с самых ранних реализаций систем обнаружения вторжений и используется до сих пор.

Читать далее Введение в системы обнаружения вторжений (IDS). Часть 2 →

30.06.2015 @ 13:33 Введение в системы обнаружения вторжений (IDS). Часть 1

hids, network ids, nids

Как работают системы обнаружения вторжений?

В идеальном мире, в Вашу сеть заходят только те кто нужно — коллеги, друзья, работники компании.. Другими словами те, кого Вы знаете и доверяете.

В реальном же мире, часто нужно давать доступ к внутренней сети клиентам, вендорам ПО и т. д. При этом, благодаря глобализации и повсеместному развитию фрилансерства, доступ лиц которых Вы не очень хорошо знаете и не доверяете уже становится необходимостью.

Читать далее Введение в системы обнаружения вторжений (IDS). Часть 1 →

29.06.2015 @ 20:53 Обеспечение безопасности сетевого периметра с использованием Snort, OSSEC и Prelude SIEM

host ids, network ids, network security, ossec, prelude, siem, snort, сетевая безопасность

Рассмотрим пример реализации защиты сетевого периметра с использованием Opensource-решений на базе:
— Snort — система обнаружения\предотвращения вторжения (в контексте данной статьи будет рассматриваться как IDS);
— OSSEC — хостовая IDS (Host-based intrusion detection system);
— Prelude\Prewikka — SIEM-система для обработки и управления событиями (Security information and event management).

В предыдущих статьях, посвященных обеспечению безопасности веб-сайта и сетевого периметра были рассмотрены инструменты nginx-naxsi (web application firewall), fail2ban (сервис блокировки доступа) и snort (IDS). Давайте попробуем соединить все подсистемы воедино, снарядив в довесок SIEM, позволяющей просматривать и анализировать события в удобном виде. Кроме этого, использование подобной системы позволит подготовиться к соответствию со стандартом PCI DSS.

Далее в примерах будут использоваться 3 сервера:
Сервер R — сетевой шлюз;
Сервер WAF — веб-сервер с установленным Nginx-Naxsi и Fail2ban;
Сервер SIEM — сервер просмотра и обработки событий.

Итак, приступим!

Читать далее Обеспечение безопасности сетевого периметра с использованием Snort, OSSEC и Prelude SIEM →

14.06.2015 @ 0:21 Анализ сетевого трафика с помощью утилиты NetworkMiner

networkminer, penetration testing, wireshark

nm_a9867t986f086dvgg

Недавно, при обсуждении в одном чате вопроса: как из Wireshark вытащить файл, всплыла утилита NetworkMiner. Пообщавшись с коллегами и по гуглив в Интернете, я сделал вывод, что об этой утилите знает не так много народу. Так как утилита в разы упрощает жизнь исследователя/пентестера, то исправляю этот недостаток и расскажу сообществу о том, что же такое NetworkMiner.

Читать далее Анализ сетевого трафика с помощью утилиты NetworkMiner →

11.06.2015 @ 18:50 Поиск вредоносного кода на сайте без сканеров

git, integrity check, unix, анализ, взлом, вирусы, сканеры

Правда жизни такова, что сайт рано или поздно могут взломать. После успешной эксплуатации уязвимости хакер старается закрепиться на сайте, размещая в системных директориях хакерские веб-шеллы, загрузчики и внедряя бэкдоры в код скриптов и базу данных CMS.

Для обнаружения вредоносного кода в файлах и базе существуют специализированные решения – антивирусы и сканеры для хостингов. Их не так много, из популярных – это AI-BOLIT, MalDet (Linux Malware Detector) и ClamAv.

Сканеры помогают обнаруживать загруженные веб-шеллы, бэкдоры, фишинговые страницы, спам-рассыльщики и другие типы вредоносных скриптов – все то, что им известно и заранее добавлено в базу сигнатур вредоносного кода. Некоторые сканеры, например, AI-BOLIT, обладают набором эвристических правил, которые позволяют обнаруживать файлы с подозрительным кодом, который часто используется во вредоносных скриптах, или файлы с подозрительными атрибутами, которые могут быть загружены хакерами. Но, к сожалению, даже в случае использования нескольких сканеров на хостинге, возможны ситуации, когда некоторые хакерские скрипты остаются не обнаруженными, что фактически означает, что у злоумышленника остается “черный ход” и он может взломать сайт и получить над ним полный контроль в любой момент.

Читать далее Поиск вредоносного кода на сайте без сканеров →

10.06.2015 @ 22:32 Безопасность корпоративной сети с использованием Snort

network ids, snort, безопасность сетевого периметра

В статье будет рассмотрен пример реализации системы IDS на базе OS Debian и Snort для мониторинга внутреннего сетевого периметра, включающей подсистемы:
— сервис обнаружения вторжений Snort;
— сервер БД MySQL для хранения записей событий атак, полученный от Snort;
— интерфейс анализа, обработки и визуализации событий Snort (nginx, php5-fpm, BASE).

Читать далее Безопасность корпоративной сети с использованием Snort →

01.06.2015 @ 20:59 Обеспечение безопасности сайта

fail2ban, iptables, linux, naxsi, nginx, site security, WAF

Обеспечение безопасности веб-сайта на базе ОС Linux (в примере будет использован Linux Debian), nginx, naxsi, iptables и fail2ban:

nginx — веб-сервер;
naxsi — web application firewall;
также нам потребуется fail2ban и iptables.

Установка и первичная настройка nginx и naxsi

Компилируем и устанавливаем nginx с модулем naxsi. Я использую следующий скрипт для автоматической компиляции:
Читать далее Обеспечение безопасности сайта →

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.