Настройка SSHGuard

SSHguard мониторит логи, выявляет атаки и с помощью фаервола блокирует адреса злоумышленников.

Установка в Linux Ubuntu/Debian:

sudo apt-get install sshguard

Команда информации:

man sshguard

Белый список адресов для исключения находится по адресу /etc/sshguard/whitelist.

Официальная документация www.sshguard.net/docs/

sshguard не имеет конфигурационного файла, поэтому нужно создать правило «sshguard» в iptables:

#Для IPv4
iptables -N sshguard
#Если используется IPv6 то вводим
ip6tables -N sshguard
# указываем чтобы входящий трафик шел через sshguard
iptables -A INPUT -j sshguard
# IPv6
ip6tables -A INPUT -j sshguard

# Либо указываем что нужно блокировать плохой трафик на порты SSH, FTP, POP и IMAP с использованием «multiport»

iptables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard
ip6tables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard

Списки proxy серверов

В интернете достаточно много бесплатных и платных прокси-серверов. Безусловно лучшими являются платные приватные прокси сервера, они не загружены, отличный пинг, десятки тысяч рабочих. С бесплатными все наоборот, низкая скорость, многие то работают, то не работают. Приведу список первых попавшихся сайтов со списками:
www.proxybox.ru
hideme.ru/proxy-list/
2ip.ru/proxy/
foxtools.ru/Proxy
www.freeproxy.ru/
hidemyass.com/proxy-list/
proxy-list.org/ru/
tsk.h18.ru/
www.cool-tests.com/
spys.ru/

Подавление DHCP серверов (dhcdrop)

dhcdrop — утилита для подавления ненужных DHCP серверов.
Устанавливаем необходимые пакеты чтобы скомпилировать исходники:

sudo apt-get install build-essential automake libtool libpcap-dev

Скачиваем архив с исходниками последней версии из сайта www.netpatch.ru/dhcdrop.html и распаковываем.
Открываем директорию с распакованными исходниками и компилируем их:

cd /dhcdrop
./autogen.sh
./configure
make
sudo make install

Пример команды запуска:

sudo dhcdrop -i eth0 -l мак_легального_сервера
sudo dhcdrop -i eth0 -y -l мак_легального_сервера

Ключи запуска (взято из официального сайта):

-h — показывает help-сообщение.
-D — просмотр списка имён и индексов сетевых интерфейсов. Актуально в ОС Windows — см. пример ниже.
-t — Режим теста. В этом режиме dhcdrop не выполняет подавление сервера. Производится лишь посылка DHCPDISCOVER, если на него приходит ответ нелегального сервера, то программа заверается возвращаяя код 200 и выводя на экран строку вида DHCP SRV: 10.7.7.1 (IP-hdr: 10.7.7.1) SRV ether: 00:02:44:75:77:E4, YIP: 10.7.7.205 содержащую минимум информации о создающем проблему DHCP сервере.
-y — подразумевается ответ «yes» на любой вопрос программы.
-r — отключает рандомизацию MAC адреса источника. Каждый последующий MAC адрес источника увеличивается на 1.
-b — указывает на необходимость использования флага BROADCAST в отправляемых DHCP пакетах.
-a — всегда ожидать ответа сервера на порт DHCP клиента по умолчанию (68), даже если задано значение номера порта клиента отличное от значения по умолчанию.
-A — всегда ожидать ответа с порта DHCP сервера по умолчанию (67), даже если задано значение номера порта сервера отличное от значения по умолчанию.
-f — режим флуда запросами DHCPDISCOVER. ПРИМЕНЯТЬ С ОСТОРОЖНОСТЬЮ. Удобен для стресс-тестирования сервера. В случае указания опции -r все отправляемые пакеты имеют одинаковый MAC адрес.
-R — отправляет сообщение DHCPRELEASE с MAC адресом источника указанном при запуске программы и IP адресом указанным при помощи опции -F к серверу указанному опцией -s.
-q — «тихий» режим работы. Выводится минимум информации.
-m count — максимальное число попыток получения ответа от сервера.
-c count — максимальное число адресов арендуемых у сервера.
-n hostname — значение DHCP опции HostName (по умолчанию — «DHCP-dropper»)
-N clientname — значение DHCP опции Vendor-Class (по умолчанию — «DHCP-dropper»)
-p port — порт используемый клиентом для отправки DHCP сообщений. По умолчанию — 68.
-P port — порт сервера, на который отправляются DHCP сообщения. По умолчанию — 67.
-w секунд — задаёт таймаут рестарта процесса получения IP адресов в случае использования агрессивного режима. По умолчанию — 60 секунд.
-T timeout — устанавливает таймаут ожидания ответа сервера (в секундах). По умолчанию — 3 секунды.
-M хостов-максимум — максимально допустимое количество сканируемых хостов в случае использования агрессивного режима.
-l MAC-address — Ethernet адрес сервера который необходимо игнориновать при выполненении поиска ложных DHCP серверов в сети. В этой опции следует указать адрес DHCP сервера ответственного за раздачу адресов в данном сегменте сети. Может быть указано несколько адресов — каждый должен предваряться ключом -l.
-L легальная-сеть — указывает легальную IP подсеть для выбранного интерфейса. Использование этой опции автоматически включает агрессивный режим получения IP адресов. Может быть указано несколько сетей — каждая должна предваряться ключом -L. Подробное описание смотрите ниже.
-S сеть/маска — ARP сканирование сети ‘сеть’ с использованием сетевой маски ‘маска’ в CIDR нотации. IP адрес источника задаётся опцией -F. Если IP адрес источника не задан — используется случайный адрес из диапазона указанной подсети. Пример использования смотрите ниже.
-F исходящий-IP-адрес — указывает IP адрес источника для сканирования сети (опция -S), либо IP адрес DHCP клиента для отправки сообщения DHCPRELEASE (опция -R).
-s IP-адрес-сервера — задаёт IP адрес DHCP сервера. Используется с опцией -R.
-C count — число порождаемых процессов-потомков. Совместим только с флагом -f. Используется для увеличения числа отправляемых пакетов за единицу времени. При значении этого параметра равном 30, 10000 пакетов генерировалось менее чем за 1,5 секунды.
-i interface — имя либо индекс сетевого интерфейса (см. ключ -D). Не может быть «any»! Единственный обязательный параметр программы.
initial MAC address — задаёт MAC адрес источника используемый при отправке первого DHCP сообщения, либо используемый постоянно, в случае использования опции ‘-f’ (flood) вместе с опцией ‘-r’. Если не указан, то используется случайный MAC адрес источника.

Настройка AppArmor

AppArmor — программный инструмент упреждающей защиты, основанный на профилях, которые определяют привилегиями доступа к тому или иному приложению. По умолчанию включен в операционных системах Ubuntu.

Установка дополнительных профилей:

sudo apt-get install apparmor-profiles

Проверка статуса:

sudo apparmor_status
sudo /etc/init.d/apparmor status

Профили могут быть запущены в щадящем режиме «complain mode» или вынужденном «enforce mode».

Справка по AppArmor:

man apparmor

Директория хранения профилей:

/etc/apparmor.d

Включение профиля:

cp /usr/share/doc/apparmor-profiles/extras/usr.bin.firefox /etc/apparmor.d

Удаляем из директории с отключенными профилями (если есть):

sudo rm /etc/apparmor.d/disable/usr.bin.firefox

Отключение профиля:

sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

Пример переключения режимов:

aa-enforce usr.bin.firefox
aa-complain usr.bin.firefox

Перезапускаем AppArmor:

sudo /etc/init.d/apparmor restart

Установка и настройка libapache2-mod-evasive

Модуль libapache2-mod-evasive может помочь защитится веб-серверу Apache от от атак медленного чтения, а так же некоторых других направленных атак.

Установка в Linux Ubuntu/Debian:

sudo apt-get install libapache2-mod-evasive

Откроем стандартный или создадим файл конфигурации:

sudo nano /etc/apache2/mods-available/evasive.conf

Пример содержимого:

<IfModule mod_evasive20.c>
#Размер таблицы адресов
DOSHashTableSize 4096
#Количество одновременно открытых одинаковых страниц сайта для каждого хоста в интервал времени
DOSPageCount 5
#Количество открытых страниц сайта для каждого хоста в интервал времени
DOSSiteCount 50
#Интервал времени для DOSPageCount в секундах
DOSPageInterval 1
#Интервал времени для DOSSiteCount в секундах
DOSSiteInterval 1
#Период блокировки хоста в секундах
DOSBlockingPeriod 10
#Файл логов
DOSLogDir /var/log/mod_evasive.log
#Email для уведомлений о блокировке
DOSEmailNotify test@example.com
#Можно выполнить команду
#DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
#Список адресов для которых не будут работать ограничения
DOSWhitelist 127.0.0.1
DOSWhitelist 192.168.1.1
</IfModule>

Активируем модуль:

sudo a2enmod mod-evasive

Перезагружаем apache:

/etc/init.d/apache2 restart

Проверяем (должно отобразится evasive20_module (shared)):

sudo apachectl -t -D DUMP_MODULES|grep evasive

Выполняем стандартный скрипт для проверки:

perl /usr/share/doc/libapache2-mod-evasive/examples/test.pl

Angry IP Scanner сканер портов в Linux

Angry IP Scanner — быстрый IP сканер портов, также выводит информацию о машине, имени пользователя, NetBIOS, рабочей группе, MAC адрес. Результаты сканирования могут быть сохранены в CSV, TXT, HTML, XML формате.

Официальная страница загрузки:
http://angryip.org/w/Download

Ipscan-linux

Изменение данных User Agent

Для редактирования настроек набимраем в адресной строке мозиллы:

about:config

Расширение для браузера Mozilla Firefox, позволяющее создавать, редактировать и выбирать данные заголовка User_Agent:
https://addons.mozilla.org/ru/firefox/addon/user-agent-switcher/

User Agent Switcher для Google Chrome:
https://chrome.google.com/webstore/search/user%20agent%20switcher/

Запуск Google Chrome с параметром -user-agent:

/opt/google/chrome/google-chrome '-user-agent=Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)'

Для виндовс, редактируем ярлык, в конце пути к файлу добавляем:

'-user-agent=Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; en)'

Проверить информацию выдаваемую браузером можно на сайтах:
whatsmyuseragent.com
panopticlick.eff.org
www.mybrowserinfo.com
и т.д.

Веб-прокси Privoxy

Privoxy — свободный веб-прокси с расширенными возможностями.

Официальный сайт: www.privoxy.org

Установка в Linux Ubuntu:

sudo apt-get install privoxy

После установки нужно прописать в настройки любього бразера http и SSL прокси с адресом:

localhost:8118

Работоспособность и настройки можно посмотреть оп адресу config.privoxy.org

Сами конфиги находятся в директории /etc/privoxy/

Можно соединить privoxy с TOR. Для этого нужно добавить в /etc/privoxy/config строку:

forward-socks4a / localhost:9050 .

или

forward-socks5 / 127.0.0.1:9050 .

и перезапустить privoxy:

sudo /etc/init.d/privoxy restart

Уничтожение данных с помощью Shred

Shred — позволяет перезаписать указанный файл случайными данными чтобы в случае необходимости обеспечить более тяжелый процесс восстановления или невозможность восстановления данных.
На некоторых файловых системах удаление данных не гарантируется и использование shred может быть не эффективным.

Список возможных аргументов:
Справка о программе:

--help
man shred

Читать далее «Уничтожение данных с помощью Shred»

Установка и настройка Aircrack-ng

Aircrack-ng — набор программ, предназначенных для обнаружения беспроводных сетей, перехвата передаваемого через беспроводные сети трафика, аудита WEP и WPA/WPA2-PSK ключей шифрования (проверка стойкости).
Официальный сайт: www.aircrack-ng.org

Устанавливается в Ubuntu так:

sudo apt-get install aircrack-ng

Смотрим имя беспроводного сетевого интерфейса (стандартно он называется wlan0):

sudo iwconfig

Сканируем существующие Wi-Fi сети и смотрим их тип шифрования, канал и т.д.

sudo iwlist scanning

Смотрим запущенные сетевые сервисы:

sudo airmon-ng check

Останавливаем мешающие:

sudo stop network-manager
sudo stop avahi-daemon
sudo killall wpa_supplicant

Запускаем монитор с именем mon0:

sudo airmon-ng start wlan0

Для удобства открываем новый терминал (чтобы можно было в любое время вернутся к предыдущему со списком сетей) и перехватываем все пакеты в файл (стандартно он создается в директории пользователя):

sudo airodump-ng --channel номерканала -w wep -i --bssid макадресточки mon0

Подбираем ключ из файла:

sudo aircrack-ng -a 1 -0 wep-01.ivs

Запускаем обратно сетевую службу network-manager чтобы можно было подключится к беспроводной сети:

sudo start network-manager

Подключаемся к беспроводной точке и вводим уже известный нам ключ безопасности.