Linux zdobył popularność zarówno wśród użytkowników, jak i administratorów sieci i zaskarbił sobie ich uznanie. Stało się tak nie bez powodu, ponieważ pozwala on na uzyskanie imponującej elastyczności usług sieciowych przy relatywnie niewielkich kosztach. Usługi sieciowe Linuksa mogą zapewnić funkcjonalność niedostępną w przypadku innych systemów. Dzięki nim można stworzyć solidnie zabezpieczone, efektywne i doskonale dopasowane do szczególnych potrzeb organizacji środowisko sieciowe. Wystarczy dobrze poznać i zrozumieć działanie poszczególnych usług sieciowych Linuksa.
Ta książka jest przeznaczona dla inżynierów zarządzających infrastrukturą sieciową dowolnego rodzaju. Znajdziesz w niej niezbędne informacje, których potrzebujesz do uruchomienia i skonfigurowania różnych użytecznych usług sieciowych. Najpierw poznasz najważniejsze dystrybucje oraz podstawy konfiguracji sieci w Linuksie. Następnie przejdziesz do diagnozowania sieci, konfigurowania zapory oraz używania Linuksa jako hosta usług sieciowych. W dalszej kolejności uzyskasz informacje o przydatnych usługach oraz o ich wdrażaniu w środowisku korporacyjnym. Sporo miejsca w książce poświęcono też zagadnieniom ochrony przed nieuprawnionym dostępem: omówiono typowe sposoby przeprowadzania ataków oraz techniki skutecznego zabezpieczania usług sieciowych. Ta publikacja dostarczy Ci przydatnych wskazówek, które pozwolą nie tylko skonfigurować potrzebne usługi sieciowe, ale także zbudować centrum danych oparte wyłącznie na Linuksie.
Najciekawsze zagadnienia:
- Linux jako platforma do diagnozowania sieci i rozwiązywania problemów
- konfiguracja zapory Linuksa
- konfiguracja usług sieciowych, w tym DNS oraz DHCP
- rejestrowanie zdarzeń w celu monitorowania sieci
- wdrażanie i konfiguracja systemów zapobiegania włamaniom (IPS)
- konfiguracja usługi honeypot w celu wykrywania i odpierania ataków
Linux: korzystaj z najwyższych standardów bezpieczeństwa!
O autorze:
Rob VandenBrink jest uznanym ekspertem w dziedzinie bezpieczeństwa informacji, infrastruktury sieciowej oraz projektowania sieci i centrów danych, a także automatyzacji IT i wirtualizacji. Napisał oprogramowanie ułatwiające bezpieczne korzystanie z VPN i stworzył różnorodne narzędzia sieciowe dla Cisco IOS. VandenBrink uzyskał liczne certyfikaty SANS/GIAC, VMware i Cisco.
Spis treści:
O autorze
O recenzencie
Przedmowa
Część I. Podstawy Linuksa
- Rozdział 1. Witamy w rodzinie Linuksa
- Dlaczego Linux jest dobrym wyborem dla zespołu ds. sieci?
- Dlaczego Linux jest ważny?
- Historia Linuksa
- Popularne odmiany Linuksa dla centrów danych
- Red Hat
- Oracle/Scientific Linux
- SUSE
- Ubuntu
- BSD/FreeBSD/OpenBSD
- Wyspecjalizowane dystrybucje Linuksa
- Zapory open source
- Kali Linux
- SIFT
- Security Onion
- Wirtualizacja
- Linux i przetwarzanie danych w chmurze
- Wybieranie dystrybucji Linuksa dla swojej organizacji
- Podsumowanie
- Dalsza lektura
- Dlaczego Linux jest dobrym wyborem dla zespołu ds. sieci?
- Rozdział 2. Podstawowa konfiguracja i obsługa sieci w Linuksie - praca z interfejsami lokalnymi
- Wymagania techniczne
- Praca z ustawieniami sieci - dwa zbiory poleceń
- Wyświetlanie informacji o interfejsie IP
- Wyświetlanie informacji o trasach
- Adresy IPv4 i maski podsieci
- Adresy specjalnego przeznaczenia
- Adresy prywatne - RFC 1918
- Przypisywanie adresu IP do interfejsu
- Dodawanie trasy
- Dodawanie trasy tradycyjnym sposobem
- Wyłączanie i włączanie interfejsu
- Ustawianie jednostki MTU interfejsu
- Więcej o poleceniu nmcli
- Podsumowanie
- Pytania
- Dalsza lektura
Część II. Linux jako węzeł sieciowy i platforma diagnostyczna
- Rozdział 3. Używanie Linuksa i linuksowych narzędzi do diagnostyki sieci
- Wymagania techniczne
- Podstawy sieci - model OSI
- Warstwa 2. - kojarzenie adresów IP i MAC za pomocą protokołu ARP
- Wartości OUI adresów MAC
- Warstwa 4. - jak działają porty TCP i UDP?
- Warstwa 4. - TCP i potrójne uzgodnienie
- Wyliczanie portów lokalnych - do czego jestem podłączony? Czego nasłuchuję?
- Wyliczanie portów zdalnych za pomocą natywnych narzędzi
- Wyliczanie zdalnych portów i usług - Nmap
- Skrypty Nmap
- Czy Nmap ma jakieś ograniczenia?
- Diagnozowanie łączności bezprzewodowej
- Podsumowanie
- Pytania
- Dalsza lektura
- Rozdział 4. Zapora Linuksa
- Wymagania techniczne
- Konfigurowanie zapory iptables
- Ogólny opis zapory iptables
- Tabela NAT
- Tabela mangle
- Kolejność operacji w iptables
- Konfigurowanie zapory nftables
- Podstawowa konfiguracja nftables
- Używanie plików include
- Usuwanie konfiguracji zapory
- Podsumowanie
- Pytania
- Dalsza lektura
- Rozdział 5. Standardy bezpieczeństwa Linuksa na praktycznych przykładach
- Wymagania techniczne
- Dlaczego trzeba zabezpieczać hosty linuksowe?
- Kwestie bezpieczeństwa specyficzne dla chmury
- Często spotykane branżowe standardy bezpieczeństwa
- Krytyczne środki kontroli Center for Internet Security
- Krytyczne środki kontroli CIS nr 1 i 2 - pierwsze kroki
- OSQuery - krytyczne środki kontroli nr 1 i 2 uzupełnione o nr 10 i 17
- Wzorce Center for Internet Security
- Stosowanie wzorca CIS - zabezpieczanie SSH w Linuksie
- SELinux i AppArmor
- Podsumowanie
- Pytania
- Dalsza lektura
Część III. Usługi sieciowe w Linuksie
- Rozdział 6. Usługi DNS w Linuksie
- Wymagania techniczne
- Co to jest DNS?
- Dwa główne zastosowania serwera DNS
- "Wewnętrzny" serwer DNS organizacji (i przegląd systemu DNS)
- Internetowy serwer DNS
- Często używane implementacje DNS
- Podstawowa instalacja: BIND do użytku wewnętrznego
- BIND: implementacja do użytku internetowego
- Diagnozowanie i rekonesans DNS
- DoH
- DoT
- knot-dnsutils
- Implementacja DoT w Nmap
- DNSSEC
- Podsumowanie
- Pytania
- Dalsza lektura
- Rozdział 7. Usługi DHCP w Linuksie
- Jak działa DHCP?
- Podstawowe działanie DHCP
- Żądania DHCP z innych podsieci (przekaźniki DHCP)
- Opcje DHCP
- Zabezpieczanie usług DHCP
- Nieautoryzowany serwer DHCP
- Nieautoryzowany klient DHCP
- Instalowanie i konfigurowanie serwera DHCP
- Podstawowa konfiguracja
- Rezerwacje statyczne
- Proste rejestrowanie zdarzeń i diagnozowanie DHCP
- Podsumowanie
- Pytania
- Dalsza lektura
- Jak działa DHCP?
- Rozdział 8. Usługi certyfikatów w Linuksie
- Wymagania techniczne
- Czym są certyfikaty?
- Pozyskiwanie certyfikatu
- Używanie certyfikatu na przykładzie serwera WWW
- Budowanie prywatnego urzędu certyfikacji
- Budowanie urzędu CA z wykorzystaniem OpenSSL
- Tworzenie i podpisywanie wniosku CSR
- Zabezpieczanie infrastruktury urzędu certyfikacji
- Tradycyjna, wypróbowana rada
- Współczesna rada
- Zagrożenia specyficzne dla urzędów CA działających w nowoczesnych infrastrukturach
- Transparentność certyfikatów
- Używanie usług CT do inwentaryzacji lub rekonesansu
- Automatyzacja zarządzania certyfikatami i protokół ACME
- Ściągawka z OpenSSL
- Podsumowanie
- Pytania
- Dalsza lektura
- Rozdział 9. Usługi RADIUS w Linuksie
- Wymagania techniczne
- Podstawy protokołu RADIUS - czym jest i jak działa?
- Wdrażanie usług RADIUS z uwierzytelnianiem lokalnym
- Usługi RADIUS z zapleczem LDAP/LDAPS
- Uwierzytelnianie NTLM (AD) - wprowadzenie do CHAP
- Unlang - niejęzyk
- Zastosowania usług RADIUS
- Uwierzytelnianie VPN za pomocą identyfikatora użytkownika i hasła
- Dostęp administracyjny do urządzeń sieciowych
- Dostęp administracyjny do routerów i przełączników
- Konfigurowanie serwera RADIUS pod kątem uwierzytelniania EAP-TLS
- Uwierzytelnianie w sieci bezprzewodowej za pomocą 802.1x/EAP-TLS
- Uwierzytelnianie w sieci przewodowej za pomocą 802.1x/EAP-TLS
- Używanie usługi Google Authenticator do uwierzytelniania MFA z wykorzystaniem serwera RADIUS
- Podsumowanie
- Pytania
- Dalsza lektura
- Rozdział 10. Usługi równoważenia obciążenia w Linuksie
- Wymagania techniczne
- Wprowadzenie do równoważenia obciążenia
- Round Robin DNS (RRDNS)
- Serwer proxy dla ruchu przychodzącego - równoważenie obciążenia w warstwie 7.
- Translacja NAT połączeń przychodzących - równoważenie obciążenia w warstwie 4.
- Równoważenie obciążenia z użyciem DSR
- Algorytmy równoważenia obciążenia
- Sprawdzanie kondycji serwerów i usług
- Usługi równoważenia obciążenia w centrum danych - kwestie projektowe
- Sieć w centrum danych a kwestie zarządzania
- Budowanie usług równoważenia obciążenia typu NAT/proxy za pomocą HAProxy
- Przed przystąpieniem do konfiguracji - karty sieciowe, adresowanie i routing
- Przed przystąpieniem do konfiguracji - dostrajanie wydajności
- Równoważenie obciążenia usług TCP - usługi WWW
- Konfigurowanie trwałych połączeń
- Nota wdrożeniowa
- Przetwarzanie HTTPS na frontonie
- Końcowe uwagi dotyczące bezpieczeństwa usług równoważenia obciążenia
- Podsumowanie
- Pytania
- Dalsza lektura
- Rozdział 11. Przechwytywanie i analiza pakietów w Linuksie
- Wymagania techniczne
- Wprowadzenie do przechwytywania pakietów - miejsca, w których należy szukać
- Przechwytywanie po jednej ze stron
- Użycie portu monitorowania
- Pośredni host na ścieżce ruchu
- Podsłuch sieciowy
- Złośliwe sposoby przechwytywania pakietów
- Kwestie wydajnościowe podczas przechwytywania
- Narzędzia do przechwytywania
- tcpdump
- Wireshark
- TShark
- Inne narzędzia PCAP
- Filtrowanie przechwytywanego ruchu
- Filtry przechwytywania w programie Wireshark (przechwytywanie ruchu w sieci domowej)
- Filtry przechwytywania tcpdump - telefonyVoIP i DHCP
- Więcej filtrów przechwytywania - LLDP i CDP
- Pozyskiwanie plików z przechwyconych pakietów
- Diagnozowanie aplikacji - przechwytywanie połączenia telefonicznego VoIP
- Filtry wyświetlania w programie Wireshark - wyodrębnianie konkretnych danych
- Podsumowanie
- Pytania
- Dalsza lektura
- Rozdział 12. Monitorowanie sieci z wykorzystaniem Linuksa
- Wymagania techniczne
- Rejestrowanie zdarzeń z wykorzystaniem usługi syslog
- Rozmiar dziennika, rotacja i bazy danych
- Analiza dzienników - znajdowanie "tego czegoś"
- Alarmy dotyczące konkretnych zdarzeń
- Przykładowy serwer syslog
- Projekt Dshield
- Zarządzanie urządzeniami sieciowymi za pomocą SNMP
- Podstawowe zapytania SNMP
- Przykład wdrożenia systemu SNMP NMS - LibreNMS
- SNMPv3
- Gromadzenie danych NetFlow w Linuksie
- Co to jest NetFlow i jego "kuzyni" - SFLOW, J-Flow i IPFIX?
- Koncepcje wdrożeniowe związane z gromadzeniem informacji o przepływach
- Konfigurowanie routera lub przełącznika do gromadzenia informacji o przepływach
- Przykładowy serwer NetFlow wykorzystujący NFDump i NFSen
- Podsumowanie
- Pytania
- Dalsza lektura
- Często używane identyfikatory SNMP OID
- Rozdział 13. Systemy zapobiegania włamaniom w Linuksie
- Wymagania techniczne
- Co to jest IPS?
- Opcje architektoniczne - umiejscowienie systemu IPS w centrum danych
- Techniki unikania systemów IPS
- Wykrywanie rozwiązań WAF
- Fragmentacja i inne techniki unikania systemów IPS
- Klasyczne/sieciowe rozwiązania IPS - Snort i Suricata
- Przykładowy system IPS Suricata
- Konstruowanie reguły IPS
- Pasywne monitorowanie ruchu
- Monitorowanie pasywne za pomocą P0F - przykład
- Przykład użycia monitora Zeek - gromadzenie metadanych dotyczących sieci
- Podsumowanie
- Pytania
- Dalsza lektura
- Rozdział 14. Usługi honeypot w Linuksie
- Wymagania techniczne
- Przegląd usług honeypot - co to jest honeypot i do czego może się przydać?
- Architektura i scenariusze wdrożeniowe - gdzie umieścić honeypota?
- Zagrożenia związane z wdrażaniem honeypotów
- Przykładowe honeypoty
- Podstawowe honeypoty alarmujące o próbach połączenia z portem - iptables, netcat i portspoof
- Inne często używane honeypoty
- Honeypot rozproszony/społecznościowy - projekt DShield prowadzony przez Internet Storm Center
- Podsumowanie
- Pytania
- Dalsza lektura
- Sprawdziany wiadomości
- Rozdział 2., "Podstawowa konfiguracja i obsługa sieci w Linuksie - praca z interfejsami lokalnymi"
- Rozdział 3., "Używanie Linuksa i linuksowych narzędzi do diagnostyki sieci"
- Rozdział 4., "Zapora Linuksa"
- Rozdział 5., "Standardy bezpieczeństwa Linuksa na praktycznych przykładach"
- Rozdział 6., "Usługi DNS w Linuksie"
- Rozdział 7., "Usługi DHCP w Linuksie"
- Rozdział 8., "Usługi certyfikatów w Linuksie"
- Rozdział 9., "Usługi RADIUS w Linuksie"
- Rozdział 10., "Usługi równoważenia obciążenia w Linuksie"
- Rozdział 11., "Przechwytywanie i analiza pakietów w Linuksie"
- Rozdział 12., "Monitorowanie sieci z wykorzystaniem Linuksa"
- Rozdział 13., "Systemy zapobiegania włamaniom w Linuksie"
- Rozdział 14., "Usługi honeypot w Linuksie"
Skorowidz