O'Reilly logo

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Monitoring i bezpieczeństwo sieci

Book Description

Książka Monitoring i bezpieczeństwo sieci zawiera zestaw wyjątkowych metod, służących do wykrywania incydentów w sieciach globalnych. Autorzy — eksperci do spraw bezpieczeństwa — najpierw podają elementy niezbędne do prowadzenia skutecznego monitorowania sieci, a następnie pokazują, jak stworzyć ukierunkowane strategie oraz wdrożyć pragmatyczne techniki ochrony.

Table of Contents

  1. Monitoring i bezpieczeństwo sieci
  2. Wstęp
    1. Czym ta książka nie jest?
    2. Czym jest ta książka?
    3. Konwencje stosowane w niniejszej książce
    4. Wykorzystanie przykładowych kodów
    5. Podziękowania
  3. 1. Zaczynamy
    1. Szybko zmieniający się kształt zagrożeń
      1. Słabe wyniki programów antywirusowych
    2. Po co monitorować?
      1. Łajdacka ekonomia i przestępczość zorganizowana
      2. Zagrożenia wewnętrzne
    3. Wyzwanie monitoringu
      1. Obietnice producentów
      2. Rzeczywistość
      3. Ilości danych
      4. Prywatność
    4. Zlecanie monitorowania zabezpieczeń
    5. Monitorowanie w celu minimalizacji ryzyka
    6. Monitorowanie sterowane regułami
    7. Czy to zadziała w moim przypadku?
    8. Produkty komercyjne a produkty o otwartych źródłach
    9. Firma Blanco Wireless
  4. 2. Implementowanie reguł monitorowania
    1. Monitorowanie czarnej listy
    2. Monitorowanie anomalii
    3. Monitorowanie reguł
    4. Monitorowanie z wykorzystaniem zdefiniowanych reguł
      1. Wymuszanie stosowania reguł
    5. Rodzaje reguł
      1. Reguły zgodności z regulacjami
        1. Przykład: monitorowanie kontroli konfiguracji COBIT
        2. Przykład: Monitorowanie SOX dotyczące finansowych aplikacji i baz danych
        3. Przykład: Monitorowanie nieautoryzowanych działań aplikacji HIPAA
        4. Przykład: Monitorowanie zgodne z ISO 17799
        5. Przykład: Monitorowanie PCI DSS (Payment Card Industry Data Security Standard)
      2. Reguły dotyczące pracowników
        1. Przykład: Unikalny login dla operacji uprzywilejowanych
        2. Przykład: Urządzenia bezprzewodowe
        3. Przykład: Bezpośrednie połączenia z internetem inicjowane przez serwery produkcyjne
        4. Przykład: tunelowanie ruchu sieciowego
    6. Reguły dla firmy Blanco Wireless
      1. Reguły
        1. Reguła ochrony danych
        2. Reguła zabezpieczeń serwera
      2. Implementowanie monitorowania na podstawie reguł
    7. Wnioski
  5. 3. Poznaj swoją sieć
    1. Taksonomia sieci
      1. Klasyfikacja typów sieci
        1. Sieci zewnętrzne
        2. Sieci wewnętrzne
      2. Dane systemu zarządzania adresami IP
    2. Telemetria sieci
      1. NetFlow
        1. Eksportowanie danych z systemu NetFlow
        2. Wydajność w kontekście zbierania danych systemu NetFlow
        3. Gdzie zbierać dane systemu NetFlow?
        4. Pakiet OSU flow-tools
          1. Identyfikowanie zainfekowanych komputerów, które stały się częścią botnetu
          2. Zbieranie przepływów
          3. Zaprzeczanie (ang. repudiation) i potwierdzanie (ang. nonrepudiation)
        5. Wybieranie elementu zbierającego dane systemu NetFlow
      2. Protokół SNMP
        1. MRTG
          1. Przykład zastosowania
      3. Trasowanie i topologie sieci
    3. Sieć firmy Blanco Wireless
      1. Zarządzanie adresami IP
      2. Zbieranie danych systemu NetFlow
      3. Informacje o trasowaniu
    4. Wnioski
  6. 4. Wybieranie celów monitorowania
    1. Metody wybierania celów
      1. Analiza wpływu na firmę
      2. Analiza wpływu na przychody
      3. Analiza wpływu na wydatki
      4. Wymagania prawne
        1. Zgodność z regulacjami
        2. Przykład: Ustawa Gramm-Leach Blilely Act
        3. Przykład: Standard PCI DSS
        4. Przykład: standardy ochrony istotnej infrastruktury
        5. Zobowiązania kontraktowe
      5. Profil wrażliwości
        1. Systemy korzystające z informacji osobistych
        2. Systemy korzystające z informacji poufnych
        3. Systemy korzystające z informacji utajnionych
      6. Profil ryzyka
        1. Ocena ryzyka
      7. Profil widoczności
    2. Praktyczne porady przy wybieraniu celów
    3. Zalecane cele monitorowania
    4. Wybieranie komponentów w ramach celów monitorowania
      1. Przykład: System ERP
      2. Zbieranie danych o komponentach dla kanałów zdarzeń
        1. Nazwy i adresy IP serwerów
        2. „Ogólne” identyfikatory użytkowników
        3. Identyfikatory użytkowników administracyjnych
        4. Szczegóły baz danych
        5. Kontrola dostępu
    5. Blanco Wireless: Wybieranie celów monitorowania
      1. Komponenty do monitorowania
        1. Reguła ochrony danych
        2. Reguła bezpieczeństwa serwera
    6. Wnioski
  7. 5. Wybieranie źródeł zdarzeń
    1. Zadanie źródła danych
      1. Metody zbierania zdarzeń
      2. Wpływ zbierania zdarzeń
        1. Protokoły komputerów
        2. Sieciowe systemy IDS
        3. System NetFlow
        4. Protokoły aplikacji
        5. Protokoły baz danych
        6. Protokoły sieciowych list ACL
    2. Wybieranie źródeł zdarzeń dla firmy Blanco Wireless
    3. Wnioski
  8. 6. Dostosowywanie
    1. Sieciowe systemy wykrywania włamań
      1. Analiza pakietów i alarmowanie
      2. Sieciowe systemy zapobiegania włamaniom
      3. System wykrywający czy zapobiegający?
        1. Dostępność
          1. Niesprzętowe powody przestojów
          2. Systemy NIPS a przepustowość sieci
      4. Zakres kontroli
    2. Wdrażanie systemu NIDS
      1. Analiza
      2. Projekt
        1. Projekt sieci strefy zdemilitaryzowanej
        2. Projekt centrum przetwarzania danych
        3. Projekt ekstranetu
      3. Wdrożenie
      4. Dostosowywanie i konserwacja
        1. Dostosowywanie czujnika
        2. Dostosowywanie systemu SIM
        3. Zmienne sieciowe
        4. Dostosowywanie za pomocą zmiennych lokalnych
        5. Własne sygnatury
    3. Protokoły systemowe
      1. Kluczowe zdarzenia usługi syslog
        1. Zdarzenia uwierzytelniania
        2. Zdarzenia autoryzacji
        3. Zdarzenia stanu demonów
        4. Zdarzenia aplikacji zabezpieczających
      2. Szablony dla demona syslog
      3. Kluczowe zdarzenia protokołów systemów Windows
        1. Uwierzytelnianie w systemach Windows
        2. Autoryzacja w systemach Windows
        3. Zdarzenia stanu procesów
        4. Zdarzenia kontrolerów domen Windows
        5. Zdarzenia bezpieczeństwa aplikacji systemów Windows
      4. Protokoły aplikacji
      5. Protokoły baz danych
        1. Zbieranie danych z demona syslog
    4. NetFlow
      1. Filtrowanie danych za pomocą narzędzi OSU flow-tools
      2. Program flow-fanout
    5. Źródła alarmów bezpieczeństwa w firmie Blanco Wireless
      1. System NIDS
      2. Protokoły syslog
      3. Protokoły serwera Apache
      4. Protokoły baz danych
      5. Protokoły programów antywirusowych i systemów HIDS
      6. Protokoły urządzeń sieciowych
      7. System NetFlow
    6. Wnioski
  9. 7. Utrzymywanie niezawodnych źródeł danych
    1. Utrzymywanie konfiguracji urządzeń
      1. Tworzenie umów świadczenia usług
      2. Uprawomocnienie za pomocą reguł
      3. Części umowy SLA
      4. Zautomatyzowane zarządzanie konfiguracją
    2. Monitorowanie monitorujących
      1. Monitorowanie stanu systemów
        1. Monitorowanie obciążenia systemu
        2. Monitorowanie pamięci
        3. Monitorowanie przestrzeni dyskowej
        4. Monitorowanie wydajności sieci
      2. Monitorowanie systemów NIDS
        1. Monitorowane kanałów ruchu sieciowego
        2. Monitorowanie procesów czujników
        3. Monitorowanie alarmów
      3. Monitorowanie zbierania danych o przepływach w sieci
        1. Monitorowanie stanu systemu
        2. Monitorowanie kanałów danych z routerów
        3. Monitorowanie konfiguracji systemu zbierającego
        4. Monitorowanie katalogów zbierających
        5. Monitorowanie procesu zbierającego
        6. Konserwacja przechowywania danych
      4. Monitorowanie systemów zbierających protokoły zdarzeń
        1. Monitorowanie stanu systemów
        2. Monitorowanie procesów zbierających
        3. Monitorowanie katalogów zbierających protokoły
        4. Monitorowanie ruchu sieciowego
        5. Audyt konfiguracji
        6. Konserwacja przechowywania danych
    3. Monitorowanie baz danych
      1. Monitorowanie serwerów Oracle
        1. Konserwacja systemowych ustawień audytu Oracle
        2. Monitorowanie zdarzeń audytu serwera Oracle
        3. Konserwacja ustawień audytu serwera Oracle wobec obiektów
        4. Monitorowanie uprawnień administracyjnych
      2. Monitorowanie serwerów MySQL
    4. Automatyczne monitorowanie systemów
      1. Tradycyjne systemy monitorowania i zarządzania sieciami
        1. Jak działa monitorowanie systemów
      2. Jak monitorować systemy monitorujące
      3. Monitorowanie za pomocą systemu Nagios
    5. Monitorowanie systemów w firmie Blanco Wireless
      1. Monitorowanie zbierania danych systemu NetFlow
      2. Monitorowanie stanu systemów zbierających
        1. Przestrzeń dyskowa
        2. Uprawnienia
        3. Obciążenie
        4. Pamięć
        5. Przestrzeń wymiany
      3. Monitorowanie procesów zbierających
        1. Ciągłość przepływów
        2. Procesy
      4. Monitorowanie przepływów z routerów na bramach
      5. Monitorowanie zbierania protokołów zdarzeń
        1. Monitorowanie stanu systemów zbierających
        2. Kontrolowanie przestrzeni dyskowej
        3. Kontrola uprawnień
        4. Monitorowanie procesów zbierających
        5. Utrzymywanie ciągłości protokołów
        6. Monitorowanie zbierania protokołów z serwerów
      6. Monitorowanie systemów NIDS
        1. Monitorowanie stanu urządzenia
        2. Monitorowanie kanałów
        3. Kontrola procesów czujnika
        4. Monitorowanie generowania alarmów
      7. Monitorowanie protokołów serwera Oracle
      8. Monitorowanie protokołów antywirusa i systemów HIDS
    6. Wnioski
  10. 8. Konkluzja: nie trać kontaktu z rzeczywistością
    1. Co może się nie udać?
      1. Tworzenie reguł
        1. Radek monitoruje ryzykowne przedsięwzięcie
        2. Patrycja wykrywa nadużycia prowadzone przez zewnętrznego partnera
      2. Poznaj swoją sieć
        1. Michał monitoruje przejęcie
        2. Helena dodaje kontekst do systemu NIDS
      3. Wybieranie celów do monitorowania
        1. Patrycja i nieudany pilot
      4. Wybierz źródła zdarzeń
        1. Daniel monitoruje pracowników wysokiego ryzyka
      5. Dostosuj źródła danych
        1. Janina i fałszywy alarm
        2. Darek przeciąża system zbierania zdarzeń
      6. Twórz zależne źródła zdarzeń
        1. Jacek i uszkodzone systemy zbierania danych NetFlow
        2. Maria i poważna groźba
    2. Studium przypadków
      1. KPN-CERT
        1. Reguły
        2. Sieć
        3. Cele monitorowania
        4. Źródła zdarzeń
        5. Konserwacja
        6. Rozwiązanie ochrony danych klientów
      2. Northrop Grumman
        1. Reguły
        2. Topologia sieci, metadane i cele monitorowania
        3. Źródła zdarzeń
        4. Konserwacja
        5. Dynamiczny zespół ukierunkowany na zagrożenia
    3. Opowieści zespołów CSIRT
      1. Skradziona własność intelektualna
      2. Atak wymierzony w pracowników
    4. Wymagania minimalne
      1. Reguły
        1. Reguła numer 1 — Dozwolone działania w sieci
        2. Reguła numer 2 — Dozwolony dostęp
        3. Reguła numer 3 — Minimalne standardy dostępu
      2. Poznawanie sieci
        1. Krok 1 — Konfiguracja systemu IPAM
        2. Krok 2 — Dokumentacja podstawowych podziałów sieci
      3. Wybieranie celów dla skutecznego monitorowania
      4. Wybieranie źródeł zdarzeń
        1. Alarmy systemów NIDS
        2. Dane o przepływach
        3. Protokoły serwerów
      5. Dostosowywanie
        1. Konfigurowanie systemu SIM
        2. Instalowanie systemów NIDS
        3. Połączenie systemu NetFlow z systemem SIM
        4. Konfigurowanie protokołów serwerów
      6. Utrzymywanie solidnych źródeł zdarzeń
    5. Wnioski
  11. A. Szczegółowa konfiguracja narzędzi OSU flow-tools
    1. Konfigurowanie serwera
    2. Konfigurowanie eksportu danych NetFlow na routerze
  12. B. Szablon umowy o świadczenie usług
    1. Umowa o świadczenie usług: dział sieci i dział bezpieczeństwa
      1. Postanowienia ogólne
      2. Opis usługi
      3. Zakres
      4. Zadania i odpowiedzialność
        1. Zadania zespołu NetEng
        2. Zadania zespołu InfoSec
      5. Realizowanie usługi
        1. Żądanie świadczenia usługi
        2. Godziny pracy
        3. Czasy reakcji
        4. Eskalacja
        5. Zmiany konserwacyjne i serwisowe
      6. Czas obowiązywania umowy
      7. Realizowane wzorce i reguły
      8. Przeglądy i osoby upoważnione
        1. Osoby upoważnione
        2. Osoby upoważnione do zakończenia umowy
        3. Recenzenci
  13. C. Obliczanie dostępności
  14. D. O autorach
  15. Indeks
  16. About the Authors
  17. Kolofon
  18. Copyright