Информационная безопасность: защита и нападение

Оглавление
Вступление
0.1. Комментарии ко второму изданию
0.2. Комментарии к третьему изданию
0.3. Почему «защита и нападение»
0.4. Социальная инженерия вместо пролога
0.4.1. Чем грозит наличие у злоумышленника знаний о вашей сети?
0.4.2. «Разбираем» сканеры уязвимостей
0.4.3. Социальная инженерия
Понятие OSINT
0.4.4. Исходные данные
0.4.5. Анализируем вакансии
0.4.6. Беседа как источник информации
0.4.7. Анализируем результат
0.4.8. Немного о средствах связи
0.4.9. Электронная почта как источник информации о сети
0.4.10. Доменное имя как источник информации
0.4.11. Атака на клиента
0.4.12. Срочный звонок
0.4.13. Кто потерял флешку?
0.4.14. Промежуточные итоги
0.4.15. Защита от СИ
0.4.16. Заключение
Глава 1. Теоретические основы
1.1. Модель OSI
1.1.1. Прикладной (7-й) уровень (Application Layer)
1.1.2. Представительский (6-й) уровень (Presentation Layer)
1.1.3. Сеансовый (5-й) уровень (Session Layer)
1.1.4. Транспортный (4-й) уровень (Transport Layer)
1.1.5. Сетевой (3-й) уровень (Network Layer)
1.1.6. Канальный (2-й) уровень (Data Link Layer)
1.1.7. Физический (1-й) уровень (Physical Layer)
1.2. Модель DOD
1.3. Заключение
Глава 2. Классификация атак по уровням иерархической модели OSI
2.1. Атаки на физическом уровне
2.1.1. Концентраторы
2.1.2. Установка в разрыв
2.2. Атаки на канальном уровне
2.2.1. Атаки на коммутаторы
2.2.2. Переполнение CAM-таблицы
2.2.3. VLAN Hopping
2.2.4. Атаки на STP
2.2.5. DoS на STP
DoS: перебор Bridge Id
DoS: слияние–расхождение деревьев STP
DoS: фильтрация BPDU
2.2.6. MAC Spoofing
2.2.7. Атака на PVLAN (Private VLAN)
2.2.8. Атака на DHCP
2.2.9. ARP-spoofing
2.2.10. Заключение
2.3. Атаки на сетевом уровне
2.3.1. Атаки на маршрутизаторы
2.3.2. Среды со статической маршрутизацией
2.3.3. Безопасность статической маршрутизации
2.3.4. Среды с динамической маршрутизацией
2.3.5. Scapy – универсальное средство для реализации сетевых атак
2.3.6. Среды с протоколом RIP
2.3.7. Безопасность протокола RIP
2.3.8. Ложные маршруты RIP
2.3.9. Понижение версии протокола RIP
2.3.10. Взлом хеша MD5
2.3.11. Обеспечение безопасности протокола RIP
2.3.12. Среды с протоколом OSPF
Взлом OSPF MD5
2.3.13. Безопасность протокола OSPF
Проверка подлинности
Фильтры внешних маршрутов на граничных маршрутизаторах автономной системы
Защита от затопления LSA-пакетами
2.3.14. Среды с протоколом BGP
2.3.15. Атака BGP Router Masquerading
2.3.16. Атаки на MD5 для BGP
2.3.17. «Слепые» DoS-атаки на BGP-маршрутизаторы
2.3.18. Безопасность протокола BGP
2.3.19. Атаки на BGP
Простой BGP hijacking
BGP hijacking с добавлением AS жертвы в свой AS-SET
Возможные меры защиты
Сложно ли захватить torproject.org
2.3.20. Вопросы безопасности
2.3.21. Среды с протоколом IS-IS
2.3.22. Атаки на протокол IS-IS
Ложные маршруты
«Затопление» HELLO-пакетами
2.3.23. Среды с протоколом MPLS
Коммутация по меткам
Структура узла MPLS
Принцип работы MPLS VPN
2.3.24. Безопасность протокола MPLS
2.3.25. IPSec как средство защиты на сетевом уровне
2.3.26. Целостность данных
2.3.27. Защита соединения
Заголовок AH
Заголовок ESP
Security Associations
2.3.28. Заключение
2.4. Атаки на транспортном уровне
2.4.1. Транспортный протокол TCP
Установка соединения
Завершение соединения
2.4.2. Известные проблемы
2.4.3. Атаки на TCP
2.4.4. IP-spoofing
2.4.5. TCP hijacking
2.4.6. Десинхронизация нулевыми данными
2.4.7. Сканирование сети
2.4.8. SYN-флуд
2.4.9. Атака Teardrop
2.4.10. Безопасность TCP
2.4.11. Атаки на UDP
Виды атак на UDP
2.4.12. UDP Storm
2.4.13. Безопасность UDP
2.4.14. Протокол ICMP
2.4.15. Методология атак на ICMP
2.4.16. Обработка сообщений ICMP
2.4.17. Сброс соединений (reset)
2.4.18. Снижение скорости
2.4.19. Безопасность ICMP
2.5. Атаки на уровне приложений
2.5.1. Безопасность прикладного уровня
2.5.2. Протокол SNMP
2.5.3. Протокол Syslog
Настройка syslog для сбора логов с серверов на одном сервере
2.5.4. Протокол DNS
2.5.5. Атаки на DNS
Отравление кеша DNS (атака Каминского)
2.5.6. DNS для злоумышленника
2.5.7. Безопасность DNS
2.5.8. Веб-приложения
2.5.9. Атаки на веб через управление сессиями
Атаки на веб-приложения через систему управления сессиями
Кража сессии (Session Hijacking)
Фиксация сессии (Session Fixation)
Выдача cookie c использованием HTTP-заголовка ответа
Отравление сессии (Session Poisoning)
Аутентификация с помощью форм
Cross Site Request Forgery
2.5.10. Защита DNS
2.5.11. SQL-инъекции
Защита от атак типа внедрение SQL-кода
Фильтрация целочисленных параметров
Усечение входных параметров
2.6. Угрозы IP-телефонии
Возможные угрозы традиционной телефонии
2.6.1. Возможные угрозы VoIP
2.6.2. Поиск устройств VoIP
2.6.3. Перехват данных
2.6.4. Отказ в обслуживании
2.6.5. Подмена номера
2.6.6. Атаки на диспетчеров
2.6.7. Хищение сервисов и телефонный спам
2.7 Анализ удаленных сетевых служб
2.7.1. ICMP как инструмент исследования сети
2.7.2. Утилита fping
2.7.3. Утилита Nmap
2.7.4. Использование «Broadcast ICMP»
2.7.5. ICMP-пакеты, сообщающие об ошибках
2.7.6. UDP Discovery
2.7.7. Исследование с помощью TCP
2.7.8. Использование флага SYN
2.7.9. Использование протокола IP
2.7.10. Посылки фрагмента IP-датаграммы
Ошибочная длина заголовка
Неподдерживаемый протокол
2.7.11. Идентификация узла с помощью протокола ARP
2.7.12. Меры защиты
2.7.13. Идентификация ОС и приложений
2.7.14. Отслеживание маршрутов
2.7.15. Сканирование портов
Сканирование с установлением соединения
SYN-сканирование
Сканирование портов UDP
2.7.16. Идентификация сервисов и приложений
Анализ «баннеров»
2.7.17. Особенности работы протоколов
SMTP-сервер
Веб-сервер
2.7.18. Идентификация операционных систем
2.8. Заключение
Глава 3. Атаки на беспроводные устройства
3.1. Атаки на Wi-Fi
3.1.1. Протоколы защиты
3.1.2. Протокол WEP
3.1.3. Протокол WPA
3.1.4. Физическая защита
3.1.5. Сокрытие ESSID
3.1.6. Возможные угрозы
3.1.7. Отказ в обслуживании
3.1.8. Поддельные сети
3.1.9. Ошибки при настройке
3.1.10. Взлом ключей шифрования
3.1.11. Уязвимость 196
3.1.12. В обход защиты
3.1.13. Защита через веб
3.1.14. Проводим пентест Wi-Fi
Взлом WPA
Черный ход WPS
Когда WPS нет
Взлом WEP
3.1.15. Заключение
3.2. Безопасность Bluetooth
3.2.1. Угрозы Bluetooth
BlueBug
BlueSmack
BlueSnarf
Bluesnarf++
HeloMoto
BlueDump (Re-Pairing attack)
CarWhisperer
DoS-атаки с использованием bss (bluetooth stack smasher)
3.2.2. Другие беспроводные угрозы
3.3. Заключение
Глава 4. Уязвимости
4.1. Основные типы уязвимостей
4.1.1. Уязвимости проектирования
4.1.2. Уязвимости реализации
4.1.3. Уязвимости эксплуатации
4.2. Примеры уязвимостей
4.2.1. Права доступа к файлам
4.2.2. Оперативная память
4.2.3. Объявление памяти
4.2.4. Завершение нулевым байтом
4.2.5. Сегментация памяти программы
4.2.6. Переполнение буфера
4.2.7. Переполнения в стеке
4.2.8. Эксплойт без кода эксплойта
4.2.9. Переполнения в куче и bss
4.2.10. Перезапись указателей функций
4.2.11. Форматные строки
Чтение произвольного адреса памяти
0x294 Запись по произвольному адресу памяти
4.2.12. Сканирование приложений на наличие уязвимостей
4.2.13. Эксплуатация найденных уязвимостей
4.3. Защита от уязвимостей
4.3.1. WSUS
4.4. Заключение
Глава 5. Атаки в виртуальной среде
5.1. Технологии виртуализации
5.2. Сетевые угрозы в виртуальной среде
5.3. Защита виртуальной среды
5.4. Security Code vGate
5.4.1. Что защищает vGate?
5.4.2. Разграничение прав
5.4.3. Ограничение управления и политики
Блокирование и фильтрация сетевого трафика
Доверенная программная среда
Контроль целостности и аудит
5.5. Контейнеризация. Контейнеры Docker
Контейнеры и образы
Работа с приложениями
Когда нужен демон
Политика перезапуска
Зло из контейнера
Нам не надо много
Сканер контейнеров
Контейнер проверяет контейнер
Подпись
5.6. Kubernetes
Kube-bench
Сканер Checkov
Строим защиту
Ролевая модель
Использование сторонней аутентификации для API-сервера
Защита etcd
Изоляция узлов Kubernetes
Мониторинг сетевого трафика
Настройка белого списка процессов
Включение журналов аудита
Регулярное обновление компонентов
Безопасная настройка агента Kubelet
Admission Controllers
Безопасность в Run-Time
5.7. Заключение
Глава 6. Облачные технологии
6.1. Принцип облака
6.1.1. Структура ЦОД
6.1.2. Виды ЦОД
6.1.3. Требования к надежности
Надежность как фундамент для ЦОД
Tier I
Tier II
Tier III
Tier IV
Связность
Север–юг–восток–запад
Недостатки point to point
Про шкафы и кроссы
Организация кабельной разводки
6.2. Безопасность облачных систем
Общие требования к безопасности
Безопасность сетевой части облака
Безопасность серверной части облака
Облака в законе
Безопасность хранения данных и приложений
6.2.1. Контроль над ситуацией
6.2.2. Ситуационный центр
6.2.3. Основные элементы построения системы ИБ облака
6.3. Заключение
Глава 7. Средства защиты
7.1. Организация защиты от вирусов
7.1.1. Способы обнаружения вирусов
Обнаружение, основанное на сигнатурах
Обнаружение аномалий
Обнаружение при помощи эмуляций
Метод «белого списка»
Эвристический анализ
7.1.2. Проблемы антивирусов
Проблема № 1: пользователь
Проблема № 2: развитие вирусов
Проблема № 3: ликвидация последствий заражений
Проблема № 4: безопасность самого антивируса
Проблема № 5: … другие антивирусы
7.1.3. Архитектура антивирусной защиты
Не качеством, так количеством
Популярные тесты антивирусных программ
Зарекомендовавшие себя антивирусные программы
Комплекс защиты от вирусов
7.1.4. Борьба с нежелательной почтой
Черные списки
Заключение
7.2. Межсетевые экраны
7.2.1. Принципы работы межсетевых экранов
Настройка межсетевых экранов
7.2.2. Аппаратные и программные МЭ
7.2.3. Программный МЭ Iptables
7.2.4. Специальные МЭ
7.2.5. Next Generation Firewall
Сетевые угрозы
Где нужен NGFW
Варианты внедрения
Типичные представители
7.3. Средства обнаружения и предотвращения вторжений
7.3.1. Системы IDS/IPS
Виды систем обнаружения вторжений
TAP vs. SPAN
7.3.2. Web Application Firewall
WAF или IPS?
Как работают WAF
WAF Apache ModSecurity
7.3.3. Мониторинг событий ИБ в Windows 2019
Средства обнаружения и предотвращения вторжений. Мониторинг информационной безопасности
Централизованный мониторинг в сети под управлением Windows Server 2019
Подписки на события
Журналы
Фильтры
Реагируем на события
Немного о построении отчетов
7.3.4. Промышленные решения мониторинга событий
Kaspersky KUMA
RuSIEM
Комрад
7.4. Средства предотвращения утечек
7.4.1. Каналы утечек
7.4.2. Принципы работы DLP
Что такое DLP
Как работает DLP
Как лучше настраивать систему DLP
7.4.3. Сравнение систем DLP
Решения Searchinform
Решения Infowatch
А что же Linux?
7.4.4. Заключение
7.5. Средства шифрования
7.5.1. Симметричное шифрование
7.5.2. Инфраструктура открытого ключа
Основы PKI
Элементы PKI в Windows Server 2019
Удостоверяющие центры
Списки аннулированных сертификатов
Немного о центрах сертификации
Standalone CA
Enterprise CA
Готовим инфраструктуру Active Directory
Начнем с установки Offline Root CA
О защите корневого УЦ
Действия после установки
Разворачиваем подчиненный УЦ
Управление сертификатами
Доверительные отношения
Список доверенных сертификатов
Общий корневой УЦ
Коммерческие УЦ
Кросс-сертификация
Мост УЦ
Принцип работы SSL
Настраиваем выпуск сертификатов для доменных серверов
Выпуск сертификатов для серверов, не входящих в домен
Выпуск сертификатов для сторонних серверов
Защита электронной почты с помощью PKI
Secure/Multipurpose Internet Mail Extensions (S/MIME)
SSL для почтовых протоколов
Заключение
7.6. Системы двухфакторной аутентификации
Проблемы безопасности
7.6.1. Принципы работы двухфакторной аутентификации
Виды двухфакторной аутентификации
Другие виды двухфакторной аутентификации
Формируем требования
7.6.2. Сравнение систем
Аппаратные решения Рутокен
«Яндекс.Ключ»
7.6.3. Заключение
7.7. Однократная аутентификация
Немного о стоимости поддержания паролей
Взаимодействие со смежными системами
7.7.1. Принципы работы однократной аутентификации
Требования к SSO
Общие требования к управлению паролями
7.7.2. Решение Avanpost
7.8. Honeypot – ловушка для хакера
7.8.1. Принципы работы
7.9. Заключение
Глава 8. Нормативная документация
8.1. Политики ИБ
Политики безопасности
1. Общие положения
2. Порядок доступа к конфиденциальной информации
3. Работа с криптографическими системами
4. Физическая безопасность
5. Разграничение прав доступа к программному обеспечению и системам хранения данных
6. Работа в глобальной сети Интернет
7. Дублирование, резервирование и раздельное хранение конфиденциальной информации
1. Общие положения
1.1. Цель и назначение настоящей Политики
1.2. Область применения настоящей Политики
2. Требования и рекомендации
2.1. Ответственность за информационные активы
2.2. Контроль доступа к информационным системам
2.2.1. Общие положения
2.2.2. Доступ третьих лиц к системам Компании
2.2.3. Удаленный доступ
2.2.4. Доступ к сети Интернет
2.3. Защита оборудования
2.3.1. Аппаратное обеспечение
2.3.2. Программное обеспечение
2.4. Рекомендуемые правила пользования электронной почтой
2.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность
2.6. Помещения с техническими средствами информационной безопасности
2.7. Управление сетью
2.7.1. Защита и сохранность данных
2.8. Разработка систем и управление внесением изменений
I. Правила образования парольных фраз
II. Безопасное получение парольных фраз
III. Смена парольных фраз
IV. Использование одноразовых ключей аутентификации (аппаратных токенов)
8.2. Регламент управления инцидентами
Информирование о результатах расследования инцидента своих сотрудников и партнеров
Формализация принципов приоритезации событий информационной безопасности
Политика расследования инцидентов информационной безопасности
Структура команды по расследованию инцидентов информационной безопасности
Взаимодействие со структурой организации
Жизненный цикл процедуры реагирования на инциденты информационной безопасности
Ресурсы и инструментарий расследования инцидентов информационной безопасности
Превентивные мероприятия
Обнаружение и анализ инцидентов информационной безопасности
Признаки инцидента информационной безопасности
Анализ инцидентов информационной безопасности
Документирование инцидента информационной безопасности
Приоритезация инцидентов информационной безопасности
Рассылка уведомлений об инциденте информационной безопасности
Стратегия противодействия распространению последствий инцидента
Сбор свидетельств инцидента и их обработка
Идентификация нарушителя
Процедура ликвидации последствий инцидента информационной безопасности
Хранение материалов расследования инцидентов информационной безопасности
Правила хранения материалов расследования инцидента информационной безопасности
Контрольные листы мероприятий при проведении расследования инцидента информационной безопасности
8.4. Заключение
Приложение. Kali Linux - наш инструментарий
П.1. Немного о LiveCD
Загружаемые диски Live CD
Что это такое
Зачем нужны Live CD
Самые распространенные дистрибутивы Live CD
Как можно получить Kali Linux
Запуск загружаемого компакт-диска Linux
П.2. Инструментарий Kali Linux
П.2.1. Сбор сведений Information Gathering
П.2.2. Анализ уязвимостей Vulnerability Analysis
П.2.3. Анализ веб-приложений Web Application Analysis
П.2.4. Работа с базами данных Database Assessment
П.2.5. Взлом паролей Password Attacks
П.2.6. Работа с беспроводными сетями Wireless Attacks
П.2.7. Инструменты кракера Reverse Engineering
П.2.8. Средства Exploitation Tools
П.2.9. Средства перехвата Sniffing & Spoofing
П.2.10. Инструменты для закрепления Post Exploitation
П.2.11. Средства расследования Forensics
П.2.12. Построение отчетов Reporting Tools
П.2.13. Работа с людьми Social Engineering Tools
П.2.14. Системные сервисы System Services
П.4. Заключение
П.5. События BGP
Библиография