Wykrywaj i reaguj. Praktyczny monitoring sieci dla administratorów (Bejtlich R.).pdf

(18702 KB) Pobierz

Spis tre ci

O AUTORZE ..............................................................................................1

S OWO WST PNE ..................................................................................... 15

PRZEDMOWA ........................................................................................... 21

Czytelnicy ...............................................................................................................................23

Wymagania wst pne ..............................................................................................................23

Uwagi dotycz ce oprogramowania i protoko ów ..................................................................24

Zakres tematyczny ksi ki .....................................................................................................25

Podzi kowania .......................................................................................................................26

O wiadczenie .........................................................................................................................27

I Wprowadzenie

UZASADNIENIE MONITOROWANIA BEZPIECZE STWA SIECI ................ 31

Wprowadzenie do NSM ........................................................................................................32

Czy NSM zapobiega w amaniom? ......................................................................................33

Jaka jest ró nica mi dzy NSM a ci g ym monitorowaniem (CM)? .........................................34

Jak NSM wygl da w porównaniu z innymi podej ciami? ....................................................38

Dlaczego NSM dzia a? ........................................................................................................39

Jak system NSM jest skonfigurowany? ...............................................................................40

Kiedy NSM nie dzia a? ........................................................................................................42

Czy stosowanie NSM-u jest legalne? ..................................................................................42

W jaki sposób mo na chroni prywatno u ytkowników

w czasie wykonywania operacji systemu NSM? ..............................................................44

Przyk adowy test systemu NSM ............................................................................................44

Zakres danych systemu NSM .................................................................................................46

Pe ne dane ..........................................................................................................................46

Dane wyodr bnione ..........................................................................................................48

Dane sesji ...........................................................................................................................51

Dane transakcji .................................................................................................................. 52

Dane statystyczne .............................................................................................................. 54

Metadane ........................................................................................................................... 56

Dane alertów ..................................................................................................................... 59

Jaki jest sens zbierania tych wszystkich danych? .................................................................... 60

Wady systemu NSM .............................................................................................................. 62

Gdzie mog kupi system NSM? ........................................................................................... 62

Gdzie mog uzyska wsparcie i dodatkowe informacje? ....................................................... 63

Podsumowanie ...................................................................................................................... 63

ZBIERANIE ZAWARTO CI RUCHU SIECIOWEGO:

DOST P, PRZECHOWYWANIE I ZARZ DZANIE ..................................... 65

Przyk adowa sie dla pilota owego systemu NSM .................................................................. 66

Przep yw ruchu w prostej sieci ......................................................................................... 67

Mo liwe miejsca u ycia platformy NSM ............................................................................ 71

Adresy IP i NAT .................................................................................................................... 71

Bloki adresów sieci ............................................................................................................ 72

Przypisania adresów IP ...................................................................................................... 73

Translacja adresów ............................................................................................................ 74

Wybieranie najlepszego miejsca do uzyskania widoczno ci sieci .......................................... 78

Miejsce obserwacji ruchu dotycz cego sieci DMZ ............................................................ 78

Miejsca obserwacji ruchu dotycz cego sieci bezprzewodowej i sieci wewn trznej ......... 79

Uzyskiwanie fizycznego dost pu do ruchu sieciowego ......................................................... 81

U ycie prze czników do monitorowania ruchu sieciowego ............................................ 81

Wykorzystanie TAP’a sieciowego ..................................................................................... 82

Przechwytywanie ruchu bezpo rednio w systemie klienta lub serwera ........................... 83

Wybór platformy NSM .......................................................................................................... 83

Dziesi zalece dotycz cych zarz dzania platform NSM ................................................... 85

Podsumowanie ...................................................................................................................... 86

II Wdro enie pakietu Security Onion

WDRO ENIE I INSTALACJA AUTONOMICZNEJ PLATFORMY NSM ......... 91

Platforma autonomiczna czy serwer plus sensory? ............................................................... 92

Wybór sposobu instalacji kodu SO ........................................................................................ 95

Instalowanie systemu autonomicznego ................................................................................. 96

Instalowanie systemu SO na twardym dysku .................................................................... 96

Konfigurowanie oprogramowania SO ............................................................................. 101

Wybór interfejsu zarz dzania .......................................................................................... 103

Instalacja sk adników oprogramowania NSM .................................................................. 104

Sprawdzenie instalacji ...................................................................................................... 108

Podsumowanie .................................................................................................................... 112

Spis tre ci

WDRO ENIE ROZPROSZONE ................................................................. 113

Instalowanie serwera SO z wykorzystaniem pliku .iso projektu SO ....................................114

Uwagi dotycz ce serwera SO ..........................................................................................114

Tworzenie w asnego serwera SO ....................................................................................115

Konfigurowanie w asnego serwera SO ............................................................................117

Instalowanie sensora SO z wykorzystaniem obrazu .iso systemu SO ..................................119

Konfigurowanie sensora SO .............................................................................................119

Doko czenie procesu konfiguracji ...................................................................................121

Upewnienie si , e sensory dzia aj .................................................................................123

Sprawdzenie, czy tunel autossh dzia a .............................................................................123

Tworzenie serwera SO z wykorzystaniem archiwów PPA .................................................124

Instalacja Ubuntu Server jako systemu operacyjnego serwera SO ......................................125

Wybór statycznego adresu IP ..........................................................................................127

Aktualizacja oprogramowania ..........................................................................................128

Rozpocz cie konfiguracji systemu baz danych MySQL i pakietów PPA na serwerze SO ....128

Konfiguracja w asnego serwera SO z wykorzystaniem PPA ............................................130

Tworzenie sensora SO z wykorzystaniem archiwów PPA ..................................................132

Instalacja Ubuntu Server jako systemu operacyjnego sensora SO .....................................132

Konfigurowanie systemu jako sensora .............................................................................134

Uruchomienie kreatora ustawie ....................................................................................135

Podsumowanie .....................................................................................................................138

ZARZ DZANIE PLATFORM SO ........................................................... 141

Aktualizowanie systemu SO .................................................................................................141

Przeprowadzanie aktualizacji z wykorzystaniem interfejsu GUI ......................................142

Wykonywanie aktualizacji z wiersza polece ...................................................................143

Ograniczanie dost pu do systemu SO .................................................................................144

czenie si przez serwer proxy obs uguj cy protokó SOCKS ......................................145

Zmiana regu zapory sieciowej .........................................................................................147

Zarz dzanie przechowywaniem danych systemu SO ..........................................................148

Zarz dzanie pami ci masow sensora ...........................................................................149

Sprawdzanie wielko ci pami ci dyskowej zu ytej przez bazy danych .............................150

Zarz dzanie baz danych aplikacji Sguil ............................................................................151

ledzenie zu ycia pami ci dyskowej ................................................................................151

Podsumowanie .....................................................................................................................152

Spis tre ci

III Narz dzia

NARZ DZIA DO ANALIZY PAKIETÓW PRACUJ CE

W TRYBIE WIERSZA POLECE ............................................................... 155

Kategorie narz dzi SO ......................................................................................................... 156

Prezentacja danych .......................................................................................................... 156

Narz dzia SO do zbierania danych .................................................................................. 157

Narz dzia SO dostarczaj ce dane ................................................................................... 157

U ywanie programu Tcpdump ............................................................................................ 158

Wy wietlanie, zapisywanie i odczytywanie zawarto ci ruchu

za pomoc programu Tcpdump ................................................................................... 159

U ycie filtrów w programie Tcpdump ............................................................................ 161

Wydobywanie szczegó owych informacji z danych wyj ciowych programu Tcpdump ..... 164

Badanie pe nych danych za pomoc programu Tcpdump ............................................... 164

U ywanie narz dzi Dumpcap i Tshark ................................................................................ 165

Uruchamianie narz dzia Tshark ...................................................................................... 166

Uruchamianie narz dzia Dumpcap ................................................................................. 166

Zastosowanie narz dzia Tshark do odczytania ladu ruchu sieciowego

utworzonego przez program Dumpcap ...................................................................... 168

U ycie filtrów wy wietlania w programie Tshark ........................................................... 169

Filtry wy wietlania programu Tshark w dzia aniu ........................................................... 171

U ywanie narz dzia Argus i klienta Ra ................................................................................ 172

Zatrzymywanie i uruchamianie serwera Argus ............................................................... 173

Format pliku w aplikacji Argus ......................................................................................... 173

Badanie danych aplikacji Argus ........................................................................................ 174

Podsumowanie .................................................................................................................... 178

GRAFICZNE NARZ DZIA DO ANALIZY PAKIETÓW ............................. 179

U ywanie aplikacji Wireshark .............................................................................................. 179

Uruchamianie programu Wireshark ................................................................................ 180

Przegl danie przechwyconych pakietów w programie Wireshark ................................. 181

Modyfikowanie uk adu wy wietlania danych w programie Wireshark ............................ 182

Niektóre u yteczne funkcje programu Wireshark .......................................................... 185

Korzystanie z narz dzia Xplico ........................................................................................... 192

Uruchamianie Xplico ....................................................................................................... 193

Tworzenie przypadków i sesji w aplikacji Xplico ............................................................ 194

Przetwarzanie ruchu sieciowego ..................................................................................... 195

Interpretacja zdekodowanego ruchu ............................................................................... 195

Wy wietlanie metadanych i podsumowania ruchu .......................................................... 198

Badanie zawarto ci ruchu za pomoc narz dzia NetworkMiner ........................................ 200

Uruchamianie narz dzia NetworkMiner ......................................................................... 200

Zbieranie i organizacja szczegó ów dotycz cych ruchu sieciowego ................................ 201

Prezentacja tre ci ............................................................................................................ 202

Podsumowanie .................................................................................................................... 204

Spis tre ci

Plik z chomika:

Nowson04

Inne pliki z tego folderu:

Wykrywaj i reaguj. Praktyczny monitoring sieci dla administratorów (Bejtlich R.).pdf (18702 KB)

Wykrywaj i reaguj. Praktyczny monitoring sieci dla administratorów (Bejtlich R.).pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: