Linux и сети для профессионалов. Конфигурация и применение

Linux i obsługa sieci dla profesjonalistów. Konfiguracja i stosowanie bezpiecznych usług sieciowych

Rob VandenBrink

Linux zdobył popularność zarówno wśród użytkowników, jak i administratorów sieci i zaskarbił sobie ich uznanie. Stało się tak nie bez powodu, ponieważ pozwala on na uzyskanie imponującej elastyczności usług sieciowych przy relatywnie niewielkich kosztach. Usługi sieciowe Linuksa mogą zapewnić funkcjonalność niedostępną w przypadku innych systemów. Dzięki nim można stworzyć solidnie zabezpieczone, efektywne i doskonale dopasowane do szczególnych potrzeb organizacji środowisko sieciowe. Wystarczy dobrze poznać i zrozumieć działanie poszczególnych usług sieciowych Linuksa.

Ta książka jest przeznaczona dla inżynierów zarządzających infrastrukturą sieciową dowolnego rodzaju. Znajdziesz w niej niezbędne informacje, których potrzebujesz do uruchomienia i skonfigurowania różnych użytecznych usług sieciowych. Najpierw poznasz najważniejsze dystrybucje oraz podstawy konfiguracji sieci w Linuksie. Następnie przejdziesz do diagnozowania sieci, konfigurowania zapory oraz używania Linuksa jako hosta usług sieciowych. W dalszej kolejności uzyskasz informacje o przydatnych usługach oraz o ich wdrażaniu w środowisku korporacyjnym. Sporo miejsca w książce poświęcono też zagadnieniom ochrony przed nieuprawnionym dostępem: omówiono typowe sposoby przeprowadzania ataków oraz techniki skutecznego zabezpieczania usług sieciowych. Ta publikacja dostarczy Ci przydatnych wskazówek, które pozwolą nie tylko skonfigurować potrzebne usługi sieciowe, ale także zbudować centrum danych oparte wyłącznie na Linuksie.

Najciekawsze zagadnienia:

• Linux jako platforma do diagnozowania sieci i rozwiązywania problemów
• konfiguracja zapory Linuksa
• konfiguracja usług sieciowych, w tym DNS oraz DHCP
• rejestrowanie zdarzeń w celu monitorowania sieci
• wdrażanie i konfiguracja systemów zapobiegania włamaniom (IPS)
• konfiguracja usługi honeypot w celu wykrywania i odpierania ataków

Linux: korzystaj z najwyższych standardów bezpieczeństwa!

O autorze:

Rob VandenBrink jest uznanym ekspertem w dziedzinie bezpieczeństwa informacji, infrastruktury sieciowej oraz projektowania sieci i centrów danych, a także automatyzacji IT i wirtualizacji. Napisał oprogramowanie ułatwiające bezpieczne korzystanie z VPN i stworzył różnorodne narzędzia sieciowe dla Cisco IOS. VandenBrink uzyskał liczne certyfikaty SANS/GIAC, VMware i Cisco.

Spis treści:

O autorze

O recenzencie

Przedmowa

Część I. Podstawy Linuksa

• Rozdział 1. Witamy w rodzinie Linuksa

  Dlaczego Linux jest dobrym wyborem dla zespołu ds. sieci?

  Dlaczego Linux jest ważny?

  Historia Linuksa

  Popularne odmiany Linuksa dla centrów danych

  Red Hat

  Oracle/Scientific Linux

  SUSE

  Ubuntu

  BSD/FreeBSD/OpenBSD

  Wyspecjalizowane dystrybucje Linuksa

  Zapory open source

  Kali Linux

  SIFT

  Security Onion

  Wirtualizacja

  Linux i przetwarzanie danych w chmurze

  Wybieranie dystrybucji Linuksa dla swojej organizacji

  Podsumowanie

  Dalsza lektura

• Rozdział 2. Podstawowa konfiguracja i obsługa sieci w Linuksie - praca z interfejsami lokalnymi

  Wymagania techniczne

  Praca z ustawieniami sieci - dwa zbiory poleceń

  Wyświetlanie informacji o interfejsie IP

  Wyświetlanie informacji o trasach

  Adresy IPv4 i maski podsieci

  Adresy specjalnego przeznaczenia

  Adresy prywatne - RFC 1918

  Przypisywanie adresu IP do interfejsu

  Dodawanie trasy

  Dodawanie trasy tradycyjnym sposobem

  Wyłączanie i włączanie interfejsu

  Ustawianie jednostki MTU interfejsu

  Więcej o poleceniu nmcli

  Podsumowanie

  Pytania

  Dalsza lektura

Część II. Linux jako węzeł sieciowy i platforma diagnostyczna

• Rozdział 3. Używanie Linuksa i linuksowych narzędzi do diagnostyki sieci

  Wymagania techniczne

  Podstawy sieci - model OSI

  Warstwa 2. - kojarzenie adresów IP i MAC za pomocą protokołu ARP

  Wartości OUI adresów MAC

  Warstwa 4. - jak działają porty TCP i UDP?

  Warstwa 4. - TCP i potrójne uzgodnienie

  Wyliczanie portów lokalnych - do czego jestem podłączony? Czego nasłuchuję?

  Wyliczanie portów zdalnych za pomocą natywnych narzędzi

  Wyliczanie zdalnych portów i usług - Nmap

  Skrypty Nmap

  Czy Nmap ma jakieś ograniczenia?

  Diagnozowanie łączności bezprzewodowej

  Podsumowanie

  Pytania

  Dalsza lektura

• Rozdział 4. Zapora Linuksa

  Wymagania techniczne

  Konfigurowanie zapory iptables

  Ogólny opis zapory iptables

  Tabela NAT

  Tabela mangle

  Kolejność operacji w iptables

  Konfigurowanie zapory nftables

  Podstawowa konfiguracja nftables

  Używanie plików include

  Usuwanie konfiguracji zapory

  Podsumowanie

  Pytania

  Dalsza lektura

• Rozdział 5. Standardy bezpieczeństwa Linuksa na praktycznych przykładach

  Wymagania techniczne

  Dlaczego trzeba zabezpieczać hosty linuksowe?

  Kwestie bezpieczeństwa specyficzne dla chmury

  Często spotykane branżowe standardy bezpieczeństwa

  Krytyczne środki kontroli Center for Internet Security

  Krytyczne środki kontroli CIS nr 1 i 2 - pierwsze kroki

  OSQuery - krytyczne środki kontroli nr 1 i 2 uzupełnione o nr 10 i 17

  Wzorce Center for Internet Security

  Stosowanie wzorca CIS - zabezpieczanie SSH w Linuksie

  SELinux i AppArmor

  Podsumowanie

  Pytania

  Dalsza lektura

Część III. Usługi sieciowe w Linuksie

• Rozdział 6. Usługi DNS w Linuksie

  Wymagania techniczne

  Co to jest DNS?

  Dwa główne zastosowania serwera DNS

  "Wewnętrzny" serwer DNS organizacji (i przegląd systemu DNS)

  Internetowy serwer DNS

  Często używane implementacje DNS

  Podstawowa instalacja: BIND do użytku wewnętrznego

  BIND: implementacja do użytku internetowego

  Diagnozowanie i rekonesans DNS

  DoH

  DoT

  knot-dnsutils

  Implementacja DoT w Nmap

  DNSSEC

  Podsumowanie

  Pytania

  Dalsza lektura

• Rozdział 7. Usługi DHCP w Linuksie

  Jak działa DHCP?

  Podstawowe działanie DHCP

  Żądania DHCP z innych podsieci (przekaźniki DHCP)

  Opcje DHCP

  Zabezpieczanie usług DHCP

  Nieautoryzowany serwer DHCP

  Nieautoryzowany klient DHCP

  Instalowanie i konfigurowanie serwera DHCP

  Podstawowa konfiguracja

  Rezerwacje statyczne

  Proste rejestrowanie zdarzeń i diagnozowanie DHCP

  Podsumowanie

  Pytania

  Dalsza lektura

• Rozdział 8. Usługi certyfikatów w Linuksie

  Wymagania techniczne

  Czym są certyfikaty?

  Pozyskiwanie certyfikatu

  Używanie certyfikatu na przykładzie serwera WWW

  Budowanie prywatnego urzędu certyfikacji

  Budowanie urzędu CA z wykorzystaniem OpenSSL

  Tworzenie i podpisywanie wniosku CSR

  Zabezpieczanie infrastruktury urzędu certyfikacji

  Tradycyjna, wypróbowana rada

  Współczesna rada

  Zagrożenia specyficzne dla urzędów CA działających w nowoczesnych infrastrukturach

  Transparentność certyfikatów

  Używanie usług CT do inwentaryzacji lub rekonesansu

  Automatyzacja zarządzania certyfikatami i protokół ACME

  Ściągawka z OpenSSL

  Podsumowanie

  Pytania

  Dalsza lektura

• Rozdział 9. Usługi RADIUS w Linuksie

  Wymagania techniczne

  Podstawy protokołu RADIUS - czym jest i jak działa?

  Wdrażanie usług RADIUS z uwierzytelnianiem lokalnym

  Usługi RADIUS z zapleczem LDAP/LDAPS

  Uwierzytelnianie NTLM (AD) - wprowadzenie do CHAP

  Unlang - niejęzyk

  Zastosowania usług RADIUS

  Uwierzytelnianie VPN za pomocą identyfikatora użytkownika i hasła

  Dostęp administracyjny do urządzeń sieciowych

  Dostęp administracyjny do routerów i przełączników

  Konfigurowanie serwera RADIUS pod kątem uwierzytelniania EAP-TLS

  Uwierzytelnianie w sieci bezprzewodowej za pomocą 802.1x/EAP-TLS

  Uwierzytelnianie w sieci przewodowej za pomocą 802.1x/EAP-TLS

  Używanie usługi Google Authenticator do uwierzytelniania MFA z wykorzystaniem serwera RADIUS

  Podsumowanie

  Pytania

  Dalsza lektura

• Rozdział 10. Usługi równoważenia obciążenia w Linuksie

  Wymagania techniczne

  Wprowadzenie do równoważenia obciążenia

  Round Robin DNS (RRDNS)

  Serwer proxy dla ruchu przychodzącego - równoważenie obciążenia w warstwie 7.

  Translacja NAT połączeń przychodzących - równoważenie obciążenia w warstwie 4.

  Równoważenie obciążenia z użyciem DSR

  Algorytmy równoważenia obciążenia

  Sprawdzanie kondycji serwerów i usług

  Usługi równoważenia obciążenia w centrum danych - kwestie projektowe

  Sieć w centrum danych a kwestie zarządzania

  Budowanie usług równoważenia obciążenia typu NAT/proxy za pomocą HAProxy

  Przed przystąpieniem do konfiguracji - karty sieciowe, adresowanie i routing

  Przed przystąpieniem do konfiguracji - dostrajanie wydajności

  Równoważenie obciążenia usług TCP - usługi WWW

  Konfigurowanie trwałych połączeń

  Nota wdrożeniowa

  Przetwarzanie HTTPS na frontonie

  Końcowe uwagi dotyczące bezpieczeństwa usług równoważenia obciążenia

  Podsumowanie

  Pytania

  Dalsza lektura

• Rozdział 11. Przechwytywanie i analiza pakietów w Linuksie

  Wymagania techniczne

  Wprowadzenie do przechwytywania pakietów - miejsca, w których należy szukać

  Przechwytywanie po jednej ze stron

  Użycie portu monitorowania

  Pośredni host na ścieżce ruchu

  Podsłuch sieciowy

  Złośliwe sposoby przechwytywania pakietów

  Kwestie wydajnościowe podczas przechwytywania

  Narzędzia do przechwytywania

  tcpdump

  Wireshark

  TShark

  Inne narzędzia PCAP

  Filtrowanie przechwytywanego ruchu

  Filtry przechwytywania w programie Wireshark (przechwytywanie ruchu w sieci domowej)

  Filtry przechwytywania tcpdump - telefonyVoIP i DHCP

  Więcej filtrów przechwytywania - LLDP i CDP

  Pozyskiwanie plików z przechwyconych pakietów

  Diagnozowanie aplikacji - przechwytywanie połączenia telefonicznego VoIP

  Filtry wyświetlania w programie Wireshark - wyodrębnianie konkretnych danych

  Podsumowanie

  Pytania

  Dalsza lektura

• Rozdział 12. Monitorowanie sieci z wykorzystaniem Linuksa

  Wymagania techniczne

  Rejestrowanie zdarzeń z wykorzystaniem usługi syslog

  Rozmiar dziennika, rotacja i bazy danych

  Analiza dzienników - znajdowanie "tego czegoś"

  Alarmy dotyczące konkretnych zdarzeń

  Przykładowy serwer syslog

  Projekt Dshield

  Zarządzanie urządzeniami sieciowymi za pomocą SNMP

  Podstawowe zapytania SNMP

  Przykład wdrożenia systemu SNMP NMS - LibreNMS

  SNMPv3

  Gromadzenie danych NetFlow w Linuksie

  Co to jest NetFlow i jego "kuzyni" - SFLOW, J-Flow i IPFIX?

  Koncepcje wdrożeniowe związane z gromadzeniem informacji o przepływach

  Konfigurowanie routera lub przełącznika do gromadzenia informacji o przepływach

  Przykładowy serwer NetFlow wykorzystujący NFDump i NFSen

  Podsumowanie

  Pytania

  Dalsza lektura

  Często używane identyfikatory SNMP OID

• Rozdział 13. Systemy zapobiegania włamaniom w Linuksie

  Wymagania techniczne

  Co to jest IPS?

  Opcje architektoniczne - umiejscowienie systemu IPS w centrum danych

  Techniki unikania systemów IPS

  Wykrywanie rozwiązań WAF

  Fragmentacja i inne techniki unikania systemów IPS

  Klasyczne/sieciowe rozwiązania IPS - Snort i Suricata

  Przykładowy system IPS Suricata

  Konstruowanie reguły IPS

  Pasywne monitorowanie ruchu

  Monitorowanie pasywne za pomocą P0F - przykład

  Przykład użycia monitora Zeek - gromadzenie metadanych dotyczących sieci

  Podsumowanie

  Pytania

  Dalsza lektura

• Rozdział 14. Usługi honeypot w Linuksie

  Wymagania techniczne

  Przegląd usług honeypot - co to jest honeypot i do czego może się przydać?

  Architektura i scenariusze wdrożeniowe - gdzie umieścić honeypota?

  Zagrożenia związane z wdrażaniem honeypotów

  Przykładowe honeypoty

  Podstawowe honeypoty alarmujące o próbach połączenia z portem - iptables, netcat i portspoof

  Inne często używane honeypoty

  Honeypot rozproszony/społecznościowy - projekt DShield prowadzony przez Internet Storm Center

  Podsumowanie

  Pytania

  Dalsza lektura

• Sprawdziany wiadomości

  Rozdział 2., "Podstawowa konfiguracja i obsługa sieci w Linuksie - praca z interfejsami lokalnymi"

  Rozdział 3., "Używanie Linuksa i linuksowych narzędzi do diagnostyki sieci"

  Rozdział 4., "Zapora Linuksa"

  Rozdział 5., "Standardy bezpieczeństwa Linuksa na praktycznych przykładach"

  Rozdział 6., "Usługi DNS w Linuksie"

  Rozdział 7., "Usługi DHCP w Linuksie"

  Rozdział 8., "Usługi certyfikatów w Linuksie"

  Rozdział 9., "Usługi RADIUS w Linuksie"

  Rozdział 10., "Usługi równoważenia obciążenia w Linuksie"

  Rozdział 11., "Przechwytywanie i analiza pakietów w Linuksie"

  Rozdział 12., "Monitorowanie sieci z wykorzystaniem Linuksa"

  Rozdział 13., "Systemy zapobiegania włamaniom w Linuksie"

  Rozdział 14., "Usługi honeypot w Linuksie"

Skorowidz