Рисунок 1

Установка SHADOW

К сожалению, проект практически лишен нормальной документации. Имеется инструкция по установке да пара ссылок на устаревшие статьи с других сайтов. Инструкция показывает процесс установки в пошаговом режиме, но при этом в некоторых ключевых местах допущены мелкие, но сбивающие и запутывающие ошибки, а о некоторых важных деталях там совсем ничего не сказано. Вся же конфигурация производится исключительно вручную и требует знаний архитектуры сетей, строения UNIX и особенностей настройки некоторых Open Source-разработок. Поэтому это занятие не тривиальное, требующее внимательности и знаний, и у новичков, скорее всего, возникнут трудности. Но вот что мне нравится, так это подход. Фактически пользователь (или злоумышленник) в правильно настроенной системе обставлен флажками, за которые он выскочить не сможет при всем своем желании. Поэтому использование SHADOW, даже при многочисленных сенсорах, вряд ли может снизить общую защищенность сети и служить источником утечки информации или дать информацию о строении сети. С другой стороны, тем, кто хочет разобраться с безопасной настройкой и использованием всех упоминаемых ниже сервисов, стоит для ознакомления почитать эту инструкцию. Также одной из целей этой статьи является показ варианта безопасного конфигурирования разных сервисов. В различной литературе не всегда можно найти ответы на все вопросы.

Для датчиков и анализаторов подойдет любая UNIX-подобная система, под которую можно скомпилировать libpcap, tcpdump, Perl, gzip, Apache и OpenSSH. Датчики и анализатор в целях безопасности должны находиться на разных машинах. Хотя в принципе и возможно их размещение на одном компьютере, но подразумевается, что датчик будет находиться в агрессивной среде, и поэтому в целях безопасности рекомендуется раздельное размещение. Девиз такой – никакого доверия датчикам. Датчик сконфигурирован так, чтобы работать только по SSH и только с анализаторами. Датчики должны быть защищены в максимально возможной степени. Чтобы сделать датчик невидимым, рекомендуется использование двух сетевых плат. Одна «невидимая» без IP-адреса будет собирать данные, а другая, которую желательно поместить за firewall, будет передавать информацию анализаторам.

Для включения режима невидимости в дистрибутиве Red Hat и базирующихся на нем, файл /etc/sysconfig/network-scripts/ifcfg-eth0 (где eth0 – первая сетевая карта), должен содержать такие строки.

DEVICE=eth0

ONBOOT= no

В других дистрибутивах это будет скорее выглядеть несколько иначе, например, в SuSE за загрузку отвечает переменная STARTMODE.

Системные требования невысоки. Единственное, в больших и активных сетях может понадобиться применение SCSI-диска и больший объем жесткого диска (в основном для анализаторов) для хранения захваченной информации. В моем случае система на детекторы захватывала около 2-3 Гб в день. Дополнительно рекомендуется выкинуть все ненужное из ядра и отказаться от использования модулей (ответ «N» в «Enable loadable module support.»). В документации приведен пример .config-файла для перекомпиляции ядра, желательно также обновить систему.

В целях безопасности все процессы и каталоги на датчиках и анализаторах работают от имени отдельного непривилегированного пользователя. Поэтому его необходимо будет завести перед установкой:

# useradd -c "SHADOW" -u 666 -d /home/SHADOW shadow