Одминский блог

Сервисы защиты от DDoS атак

Многие люди работающие в интернете, слышали про такого страшного зверя как DDos-атака, которая представляет собой тоже самое что и DoS атака, направленная на нарушение работоспособности целевого ресурса- будь то корпоративный сайт, почтовый сервер или сегмент сети. Основным отличием от DoS атаки в механизме DDos, является то что в этом типе атаки может быть использовано несколько типов DoS атак, и исходить они могут с десятков, а то и сотен тысяч узлов по всему интернету, так что обычные методы борьбы, применяемые против DoS атак, как то невосприимчивость целей к атакам, а также бан по IP атакующих хостов; в случае DDoS атаки не работают. Так как даже если у вас установлена заплатка на сервере и он не восприимчив в используемым типам атак, может сложиться такая ситуация, что сервер будет занят только отражением атакующих пакетов, или же эти тысячи обращений в секунду настолько забьют канал, что сервер, оставаясь работоспособным все равно будет не доступен для внешних сетей, то есть DDoS можно будет считать успешным и состоявшимся.

Естественно что для крупного корпоративного сайта, да и простого интернет-магазина, завязанных на продажах через интернет, каждый час простоя чреват финансовыми потерями, а при заинтересованности злоумышленников, или заказчика, подобная атака может идти неделями. Тем более что и стоимость атак может розниться от 3-4к зелени в день за атаку на ресурсы уровня ЖЖ, до сотни баксов за аут небольшого интернет магазина, хостящегося на шаред хостинге. Помимо финансовых потерь, для небольших проектов DDoS атака чревата баном аккаунта, так как большинству хостеров не нужны проблемы подобного характера, так как при распределенной атаке страдает не только целевой сайт, а как минимум вся хостинг ферма атакуемого сервера, а в случае небольшой компании подобная атака может привести к недоступности всех его ресурсов. К тому же целью DDoS атаки может быть как вывод сервера из строя, так и попытка скрыть более серьезные действия злоумышленников по получению несанкционированного доступа к атакуемым серверам и сайтам.

В этой связи существуют несколько видов борьбы с DDoS атаками:
1. Прежде всего ваш хостинг должен иметь защиту на уровне провайдера, так как часть атак можно отфильтровать на уровне доступа к сети, путем бана определенных пакетов, или же определенных IP адресов и сетей. Естественно что подобное оборудование весьма дорогостоящее, и только небольшая часть хостингов предлагает подобную защиту.
2. На самом сервере должны быть установлены необходимые заплатки, позволяющие не реагировать на различные типы DDoS атак, а также анализатор пакетов позволяющий отправлять в бан атакующие адреса.
3. Использовать сторонние сервисы, на которые средствами DNS заворачивается трафик, и они либо проксируют доступ к серверу, либо выдают статический контент на своей стороне. Естественно что эти услуги крайне не дешевы, поскольку используют избыточные серверные мощности.

Вот собственно на подобных сервисах, я бы и хотел остановиться отдельно:
1. Qrator.net – расписано все очень слажено, но по деньгам выходит жестковато. Пишут, что работают на ура, и все проблемы решабельны. Правда и денег за эт просят не мало.

2. DDoS-protection – тоже выглядит довольно убедительно и отзывы хорошие, но не понятно что по деньгам. Видимо такие суммы, что не стоит публиковать, чтобы не отпугнуть потенциальных клиентов. Но судя по подборке клиентов, сервисом много кто пользуется.

3. Как сказали на мауле хостинг Hostace вроде как специализируется на подобных решениях. У них в услугах не указано, так что видимо это выводится из личной беседы со спецами, типо как аренда хрумака. О которой никто не говорит, но она подразумевается.

4. Также на мауле есть чел, который как раз предлагает фронт-энд на своем или вашем оборудовании. Собственно его контакты есть в теме.

Рубрика: IT безопасность, Сайты и их проблемы | Ваш отзыв »

Новый троянский конь от Google?

Началось все довольно прозаично- увидел надстройку на Google Chrome, позволяющую установить удаленное соединение с компьютером опосредством браузера, но кроме этого никакой инфы на странице описания не было, так что решил поставить, для чистоты эксперимента на CentOS 5.7, но тут же уперся в то, что сусевский дистрибутив отказывается вставать, ругаясь на отсуствие libcurl.so.4 и lsb >= 3.2.

(more…)

Рубрика: IT безопасность | Ваш отзыв »

Разблокировка бана IP адреса в cpanel

Как то я тут распинался на тему защиты собственного хостинга под Cpanel WHM от брутфорса в том числе, через утилиту админки cPHulk Brute Force Protection, которая банит IP адреса, в случае произвести с них атаку брута. Но оказалось, что у этой защиты есть очень не приятный момент, благодаря которому хостинг в один прекрасный момент может, подобно Юлию Цезарю, сказать тебе: Et tu quoque, Brute!© и отрубить доступ к аккаунту вообще для всех, кроме адресов внесенных в белый список. Результатом чего станет отсутствие возможности залогиниться в админку и на сервак, через любой из протоколов: http, ssh, ftp и даже почтовую программу.

И именно поэтому необходимо дать доступ нескольким доверенным IP адресам, занеся их в белый список доверенных IP. В моем случае я дал доступ паре терминальных серверов, к которым имею доступ, двум купленным прокси серверам, а также к консоли еще пары серваков, которые удаленно администрирую по ssh. Ибо если у вас нет доступного терминального сервера, или же вы не можете использовать доверенный прокси сервер, то можно дать доступ хотя бы на какой нибудь собственный VPS с которого и можно разблокировать доступ к Cpanel WHM используя командную строку, путем обнуления базы брута.

Делается это следующим образом. Заходим в консоль, а дальше залезаем в командную строку мускуля:
# mysql
mysql> use cphulkd;
mysql>BACKUP TABLE `brutes` TO ‘/path/to/backup_file’;
Смотрим что вообще у нас есть в базе бана брута
mysql> SELECT * FROM `brutes`;
После этого, если список большой, то выбираем из базы свой IP и удаляем его
mysql> SELECT * FROM `brutes` WHERE `IP`=’X.X.X.X’;
mysql> DELETE FROM `brutes` WHERE `IP`=’X.X.X.X’;
mysql>\q

Узнать свой IP можно либо трейсом, либо зайдя на рутер либо воспользовавшись любым из многочисленных сервисов, определяющих IP адрес- ну хотя бы этот: WhatIsMyIP

Рубрика: IT безопасность, Хостинг | Ваш отзыв »

Баг прохождения пакетов keep state через фаервол IPF

Столкнулся с древним косяком работы Ipfilter, который был замечен в версии FreeBSD 6.1/6.2, но у меня вылез на 8.2. Причем совершенно не понятным образом, так как фаервол у людей работал уже порядка полугода, и тут отвалился VoIP. То есть в один прекрасный день, как водится в понедельник, перестали коннектится телефоны к удаленному VoIP серверу. Сначала думал что траблы в телефоне, но потом оказалось что не работают все.

Стал ковыряться и обнаружил в логах ipmon интересные записи:
Date em1 @0:38 b LAN_IP,port -> VoIP_server,port PR tcp len 20 60 -S OUT OOW
Date em1 @0:58 b VoIP_server,port -> LAN_IP,port  PR tcp len 20 81 -AP IN OOW NAT
Date em1 @0:58 b VoIP_server,port -> GW_LAN_IP,port  PR tcp len 20 81 -AP IN OOW NAT

Собственно самое интересно в этом флаг OOW, который переводится как out of window, и является багом фильтарции пакетов для которых правило идет со статусом keep state, то есть в момент установленного уже соединения, которое фаервол должен пропускать, он вдруг решает, что это неожиданный пакет и банит его именно по причине OOW. В моем случае- все эти прохождения пакетов были разрешены, и все блокировки были именно по флагу OOW.
Бороться с этим можно двумя способами: либо пропатчив фаервол, либо исключая из правила флаг keep state. Я предпочел последний, тем более что у меня баг срабатывает только на VOIP трафик, тогда как остальной продолжает ходить с флагом keep state.

Самое унылое во всем этом, что судя по инетам данная проблема была пофиксена еще на версии 1.3b5, тогда как у меня в данный момент используется:
# ipf -V
ipf: IP Filter: v4.1.28 (400)
Kernel: IP Filter: v4.1.28
так что видимо с оказией надо будет подумать об обновлении на текущую версию 5.1.0

Кстати просмотреть пакеты дропающиеся по out of window можно с помощью команды:
# ipmon -oI
Тогда как увидеть список загруженных правил можно с помощью команды:
# ipfstat -nio

Рубрика: FreeBSD, IT безопасность | Ваш отзыв »

Повышение безопасности VPN сообщества

В дополнение к статье об установке OpenVPN сервера в инфраструктуру предприятия, хочется разродиться измышлениями о том, каким образом можно повысить безопасность при работе через VPN соединение. Ведь не секрет, что работники бывают разные, как в плане пакостности, так и в плане рассеянности, и наличие соединения которое устанавливается одним кликом- в самое сердце предприятия, не есть здорово.

В этой связи можно произвести некоторые телодвижения, которыми возможно если не обезопасить, то хотя бы минимизировать риски, при работе сотрудников через удаленное соединение.

В первую очередь право раздачи удаленных доступов возложить на руководство отделов, а лучше компании, с тем чтобы избежать последующих воплей- как же ты мог допустить!!! Организации всех доступов только по письму начальника отдела. Никаких за шоколадку, на вечер, дочка болеет и прочей слюнявой шняги, ибо если что, то иметь будут персонально вашу задницу.

Крайне желательно, чтобы пользователи не имели вообще никакого доступа к сети, кроме терминального соединения со своей машиной, на которую бы они входили зная свою учетную запись, и IP адрес компьютера, с тем чтобы левому человеку было бы сложно отсканить сетку. В этой связи необходимо создавать базу пользователей и соответствия логинов (и как следствие сертификатов) и IP адресов машин, и поскольку мы заранее знаем какой IP получит сотрудник, то и на фаерволе на виртуальном интерфейсе разрешать прохождение не все ко всем, а определенный IP удаленного клиента, на определенный IP компьютера внутри сети. И только по RDP. Никаких 135, 137 и т.д портов. Ну или же, если у вас в сети есть терминальный сервер, то всех пользователей – на терминальный сервер.

Как я это не ни люблю, но необходимо вести полное логирование безопасности- входов в домен и выходов, а также действий внутри домена.

Естественно, что для удаленного использования, оптимально было бы задействовать двухфакторную аутентификацию, основанную не только на шифровании на основе сертификата, но и на вводе пароля. Ибо если пользователь профуфыкает сертификат, то между логином и доступом в защищенное пространство сети, остается прокладочка в виде пароля. Для этого, для генерации сертификата пользователя, следует использовать команду:
# ./build-key-pass vpn-client
естественно не забывая проделывать все необходимые для генерации процедуры. Но тут мы можем упереться в пользователей не желающих вводить два пароля подряд- их конечно понять можно, но тут уже зависит от вашей настойчивости. Мне, если честно, мои нервы, в этом плане, всегда были дороже.

Если вы устанавливаете удаленных клиентов на ноутбуки сотрудников, то повторно рекомендую организовать хранение сертификатов на флешках, или, что еще лучше, на шифрованных носителях- крипт-контейнерах. Настройка клиента в этом случае, указана в конце статьи по установке сервера OpenVPN.

Надеюсь, что указанные шаги, помогут вам повысить безопасность вашего VPN-сообщества, без погружения в пучину админской паранойи.

Рубрика: IT безопасность | Ваш отзыв »

Заражение сайта Trojan.Mayachok.1 через кражу данных ftp

Уже не первый раз по веб-мастерским форумам вижу ситуацию, когда людям напихивают на их сайты какие то многостраничники с ссылками в отдельные папки, а также внедряют iframe код. Причем все это преимущественно предваряется письмом от якобы вашего хостинга (замечены были пока только российские хостинги), в котором предлагается пройти на сайт для того чтобы оплатить перерасход трафика, и естественно после тупого перехода по десятисложному адресу, человек попадает на фишинговый сайт, на котором ему засовывают по самое не-балуйся троянчегоф, которые в свою очередь лезут в сохраненные пароли ftp-клиента и сливают их по нужному адресу.

После чего через полученный доступ на сайт заливается многотысячник якобы содержащий драйвера различных устройств, а по сути как раз модификации троянца Trojan.Mayachok.1 , который, установившись на целевой компьютер, при обращении к ряду популярных сайтов, перенаправляет пользователя на фишинговый сатй, предлагая ввести номер телефона и ответить на полученное смс, вроде как от администрации ресурса.

В связи с чем компания Dr.Web на начало сентября зафиксировала более 21к случая заражения сайтов, которые после хищения паролей стали донорами для распространения заразы по интернету.

В связи с чем хотелось бы напомнить всех пользователям интернета элементарные правила интернет-гигиены: работать в Интернете только при наличии актуально обновленных антивируса + фаервола и системы предотвращения вторжений IPS, не открывать ссылки от неизвестных адресатов, а при открытии – копировать их из почтовой программы в окно браузера и проверять соответствие конечного адреса и желаемого. При открытии странной странницы, вызывающей недоверие, не нажимать никаких кнопок- как ОК, так и просто каких либо диалогов- максимум что можно- это по-тихому закрыть окно. Также не рекомендуется ротозеям хранить пароли в ftp-клиентах, хранящих их в открытом виде, хотя как пишут – шифрованные пароли также становятся жертвой взлома. Также стоит ограничивать пользователя под которым вы лазите по интернету, в правах на машину, и желательно давно уже перейти на Windows 7, как наиболее защищенную из всех имеющихся в наличии, на данный момент, систем.

Рубрика: IT безопасность | Ваш отзыв »

Настройка VPN-сообщества под FreeBSD и OpenVPN

Возникла тут необходимость дать видеоинженерам клиента удаленный доступ в локалку. Видеоинженеры же народ ленивый- хочет монтировать передачи и ролики, не отрывая задницу от домашнего дивана, так что этим они несколько похожи на одминов. Поскольку клиент оказался нераскручивываем на приобретение CheckPoint UTM-1, а фаервол я ему уже как то поднимал под FreeBSD, то пришлось мутиться с настройкой VPN сервера под фряхой 8.2. Хотя я и хотел поставить Untangle, про который уже как то рассказывал, но по итогам решил, что проще будет поднять все на одной машине, но под управлением хорошо зарекомендовавшего себя пакета OpenVPN, который помимо того что поддерживает все вариации подключений, так еще и идет со своим клиентом. Поднимать все это богатство я решил на сертификатах открытых ключей Х.509 под управлением RSA Key Management. Лить воду на жернов копирайта по поводу выбора сертификации мне неохота, так как меня от этой темы трясет еще с экзаменов CCSA, так что сразу перейду к настройке решения. Ставить будем на нашу любимскую FreeBSD, предварительно заточив её по всем правилам науки.

(more…)

Рубрика: FreeBSD, IT безопасность | Ваш отзыв »