开放资源安全工具实践

适合所有的网络管理员和系统管理员，对现今各种开源安全工具和安全解决方案进行了详尽介绍，同时针对各种安全隐患提出了许多可行的有效解决方案。可以说，《开放资源安全工具实践》是迄今为止最权威、详尽、系统的安全工具使用手册，其中凝聚了作者从实践中总结出来的智慧结晶，相信读者一定可以从中受益颇多。当然，不仅仅是网络管理员等专业人员，对于网络安全爱好者、对网络安全工具和技术关心的人乃至希望保障个人网络安全的读者来说，也同样能从《开放资源安全工具实践》中受益。作者不仅对开源安全工具进行了详细介绍，同时对涉及网络安全的各种问题都进行了阐述，并结合实际给出了具体的解决方法，而且这些方法是作者长期工作的经验积累，相信读者也必能从中找到感兴趣的内容。

重点介绍开源免费安全工具，并且对其特性、适用范围及详细配置和使用技巧进行了详细说明，同时针对各种安全隐患提出了许多可行的有效解决方案。同时，《开放资源安全工具实践》提供了大量的工具软件截图和配置实例，图文并茂，能帮助读者利用这些免费开源的安全工具快速直接地解决安全问题。适合网络管理员及对网络安全工具和技术感兴趣的读者阅读参考。

Raven Alder，网络安全设计和部署咨询公司IOActive的高级安全工程师，她专门从事大规模企业级安全咨询工作，推崇深度防御。她主要设计大规模的防火墙和IDS系统，然后进行漏洞评估和渗透测试来确保这些系统处于最佳的工作状态。此外她还兼任LinuxChix.org的网络安全讲师，并为Open SouIrce Vulnei’ability Database检查密码方面的漏洞。Raven住在西雅图，也是“Nesstls Network Auditing’（Syngress Pub-1ishing，ISBN：1-931836-08-6）一书的作者之一。
Josh Burke （CISSP），工作在西雅图和华盛顿的独立信息安全咨询师。过去7年，他致力于科技、金融和媒体部门的网络、系统和安全。他毕业于华盛顿大学，专研有关信息安全领域的各种技术和相关的商业需求。同时他主张更加积极的信息安全理念，鼓励企业讨论有关安全策略的好坏和定制原因，而不仅仅是对员工进行安全策略相关的教育。
Josh是应用开源安全工具的专家，例如，Snort，Ethereal和Nessus等。他的研究范围包括提高DNS和NTP协议的安全性和可靠性。同时他喜欢阅读有关数学和密码学历史的相关书籍，但常常是读得越多，懂得越少。
Chad Keefer Solirix的创始人之一，这是一家有关信息保障的计算机网络安全公司。Chad是Sourcefire RNA产品开发小组的早期成员之一，有超过13年的网络安全和软件工程的工作经验。他长期在联邦政府和各种商业机构中从事有关安全意识等的培训工作。同时作为这个领域的领先架构师，他一直监督各种安全基础建设的创新和构建。他从马里兰大学获得计算机科学学士学位，现在同他的妻子和女儿住在马里兰州的Annapolis。
Angela Orebaugh受到业界广泛肯定的信息安全技术专家，她有超过12年的亲身实践经验。同时，她一直在信息安全咨询工作的前线，从事有关提升信息系统安全技术发展水平的各种研究和开发工作。现在，她正在参与NIST（National Institute of Standards and Technology）中有关安全标准的相关原创工作。她还是National Vun卜nerability Database计划的主要专家，以及NIsT有关安全技术的部分书籍的作者。她有近10多年在信息技术的工作经验，重点在边界防护、安全网络设计、漏洞发现、渗透测试和入侵检测系统。她已经获得了计算机科学的硕士学位，目前正在（；eorge Ma-son大学主修信息安全的博士学位。Angela是Syngress出版社畅销书籍“EtherhealPacket Sniffing’（ISBN：1932266828）的作者，同时还合著了“Snort（200kbook and Intrusion Prevention and Active Respo~~~~1se：I）eph）ying NetWOrlk and}lost，IPS” （Syn-gress；ISBN：193226647X）。Angela还是SANS的研究学者、撰稿人和发言人，也是应用网络安全研究所（IANs）、George Mason大学的职员。她有渊博的知识，这些知识来自工程界、学术界、政府、世界前500强企业的安全咨询工作、国防部、网络公司的创建和大学机构的经历。她经常被邀请在各种安全会议上演讲。
她目前的研究方向有入侵检测、入侵防御、数据挖掘、攻击刻画、用户行为分析、网络取证等。
Larry Pesee（CCNA，GCFA Silver，GAWN Silver）新英格兰一家信息服务安全公司的经理，该公司是一家中等规模的健康保健单位。在过去13年的计算机工业中，不论是电脑维修、网络工程、网站web设计、非线性音频视频生产还是计算机安全，他都是杰出的。同时，他还被一些安全咨询机构雇作渗透测试和道德黑客。他毕业于Roger Williams大学计算机信息系统，目前正在完成硕士学位的课程。
他不仅有工业工作经验，还是PaulDotCom安全周刊（www.pauldotcom.com）博客的安全专家，目前正在同PaulDotCom的搭档Paul Asadoorian进行有关LinksysWRT54G的黑客攻击的研究。如果想了解更多有关Larry的文章、指南和笔记，可以访问他的博客www.haxorthematrix.com。
Eric S.Seagren（CISA，CISSP-ISSAP，SCNP，CCNA，CNE-4，MCP+I，MCSE-NT）他有超过10年的计算机相关的工作经验，在过去8年中一直为财富前100强企业进行安全相关的金融服务。Eric从最初为一家休斯顿的小公司解决Novell服务器网络故障开始计算机工作生涯。自从开始在金融服务行业工作后，他的工作地位和责任也不断稳步提升。他的工作包括服务器管理、灾难恢复、企业连续性协调、Y2K修复、网络漏洞评估和风险管理等。在过去的几年中，他一直作为一名IT网络设计师和风险评估专家，设计和评估安全、可扩展、冗余的网络。
Eric还是一些网络安全书籍的作者和技术编辑，这些书籍包括“Hardening Net-work Security”（McGraw-Hill）、“Harding Network Infratructure”（McGraw-Hill）、“Hacking Exposed：Cisco Networks”（McGraw-Hill）、“Configuring check Point NGXVPN-1／FireWall-1”（Syngress）、“Firewall Fundamentals”（Cisco Press）和“Desig-ning and Building Enterprise DMZs”（Syngress）。他获得了美国的CTM（演讲资格）。~

第1章 系统的测试与审计
引言
系统探测
定位和识别系统
无线系统定位
专业文档
漏洞扫描
Nessus
X-Scan
MBSA
OSSTMM
小结
快速解决方案
常见问题

第2章 保护你的网络边界
引言
防火墙类型
防火墙体系结构
屏蔽子网
单边隔离区
真正的DMZ
部署防火墙
硬件vs软件防火墙
Netfilter的配置
配置Windows防火墙
提供安全的远程访问
提供VPN访问
提供远程桌面访问服务
提供一个远程shell控制端
小结
快速解决方案
常见问题

第3章 网络资源的防护
引言
系统基本加固
策略定义
访问控制
Windows系统加固
通用加固步骤
Microsoft组策略对象
Unux系统加固
通用加固步骤
使用Bastille脚本
SELinux的使用
基础结构设备加固
系统补丁
Windows系统补丁
Linux系统补丁
个人防火墙
Windows防火墙
Netfilter防火墙
配置TCPWrappers
反病毒和反问谍软件
反病毒软件
反间谍软件
敏感数据加密
EFS
小结
快速解决方案
常见问题

第4章 Snort介绍
引言
IDS如何工作
IDS能完成的工作
IDS不能完成的工作
Snort的适用范围
Snort的系统要求
硬件
操作系统？
其他软件
Snort的特性
数据包嗅探器
预处理程序
检测引擎
报警／日志组件
Snort在网络中的使用
Snort的用途
snort与网络结构
Snort的使用缺陷
Snort的安全问题
Snort易受攻击
提高Snort系统的安全性
小结
快速解决方案
常见问题

第5章 安装snort2.6
引言
选择正确的操作系统
性能
稳定性
安全性
支持
成本
删除不必要的软件
DebianLinux
CentOS
Gentoo
BSD
Windows
Snort引导套件
硬件平台的考虑
CPU
存储器
系统总线
网卡
磁盘驱动
安装Snort
准备工作
源码安装
安装二进制软件包
系统加固
配置Snort
Snort配置文件
变量
命令行选项
配置指南
插件配置
include文件
相关阈值的设置
测试Snort
机构测试
维护Snort
更新规则
如何使更新变得容易
更新Snort
升级Snort
监控Snort传感器
小结
快速解决方案
常见问题

第6章 Snort及其插件的配置
IDS的放置
在Windows系统配置Snort
安装Snort
配置Snort
使用Snort图形界面
在Linux系统配置Snort
配置Snort
使用Snort图形界面
其他Snort插件
使用Oinkmaster
其他资料
有效性证实
小结
快速解决方案
常见问题

第7章 网络协议分析工具——Wireshark简介
引言
什么是Wireshark
Wireshark的历史
兼容性
支持的协议
Wireshark的用户界面
过滤器
相关资源
支持程序
Tshark
Editcap
Mergeeap
Text2peap
在网络构架中使用Wireshark
使用wireshark解决网络故障
使用Wireshark进行系统管理
检测网络的连接性
检测应用程序的网络连接性
使用wireshark进行安全管理
探测因特网在线聊天活动
Wireshark作为入侵检测系统
使用Wireshark探测包含机密信息的通信
保护Wireshark
优化Wireshark
网络连接速度
优化Wireshark的设置
CPU
内存
高级嗅探技巧
Dsniff
Ettercap
中间人攻击
破解
交换网络中的监听技巧
MAC洪泛
路由博弈
如何防止网络被监听
加密
SSH
SSL
PGP和S／MIME
交换机
应用检测技术
本地检测
网络检测
DNS查询
小结
快速解决方案
常见问题

第8章 下载和安装wireshark
引言
下载Wireshark
系统要求
数据包捕获驱动的安装
安装libcap
安装WinPcap
在Windows平台上安装Wireshark
在Linux平台上安装Wireshark
从RPM包安装Wireshark
在MacOSX平台上安装Wireshark
在MacOSX平台上使用源代码安装Wireshark
使用DrdrwinPorts在MacOSX上安装Wireshark
在MacOSX上使用Fink安装Wireshnark
使用源文件安装Wireshark
通过configure脚本来启用和禁用功能
小结
快速解决方案
常见问题

第9章 如何使用wireshark
引言
Wireshark入门
主窗口
总览窗口
协议树窗口
数据查看窗口
其他窗口组件
过滤器栏
信息栏
显示信息栏
菜单
文件菜单
编辑菜单
视图菜单
跳转菜单
捕获菜单
分析菜单
统计菜单
帮助菜单
弹出菜单
命令行选项
捕获和捕获文件选项
过滤器选项
其他选项
小结
快速解决方案
常见问题

第10章 使用其他工具进行网络报告和故障排除
引言
报告带宽利用情况和其他性能指标
收集用于分析的网络流量数据
深入理解SNMP
配置MRTG
配置MZL&Novatech流量统计工具
配置PRTG流量记录工具
配置Ntop
在Windows主机上使用SNMP
在Linux主机上使用SNMP
利用命令行工具解决网络故障
使用命令行Sniffer工具
其他故障排除的工具
Netcat
Tracetcp
Netstat
小结
快速解决方案
常见问题

第11章 无线网络监控与入侵检测
引言
设计检测系统
从封闭网络开始
排除环境障碍
排除干扰
网络防御与监控的要点
可用性和可连接性
监控网络性能
入侵检测策略
集成网络监控
常用网络监控产品
漏洞评估
事件应急响应和处理
策略和程序
响应方法
报告机制
清理
预防
针对非法访问点（AP）进行现场调查
非法的放置地点
小结
快速解决方案
常见问题

第1章 系统的测试与审计
引言
总有一天，我们需要识别自己网络上的所有系统。尽管有非常严格的使用策略，但有时网络中还是会存在未经授权的系统。这些系统可能是一直保持使用的“测试”系统，但在某些时候它们仅仅是存在于网络中并违反了使用策略的“流氓”（rogue）系统，也可能这些系统是由设备供应商提供的附加产品并由第三方部门管理。当你面对一个不熟悉的环境，如一个新收购的公司或者对职位还不了解时，全面的网络检测就显得更为重要。如果该网络所拥有的主机数目不多，那么这项工作不难完成。但如果网络十分庞大，甚至分布在不同的地理位置，则访问所有主机是不切实际的，此时自动化的检测方法是更合理的方案。本章将分析一些通用的探测／扫描工具，也包括针对特定服务的工具。
识别出网络上所有的系统后，下一步应当是确定这些系统的安全状态。现有的一些自动安全扫描工具可以帮助完成这项任务，并检测出大量的已知的漏洞。我们将示范如何配置和操作一些自动漏洞扫描器，并讨论如何使用Microsoft基准安全分析器（Microsoft Baseline Security Analyzer，MBSA），它可以扫描Microsoft系统并报告已发现的安全问题。最后，除了使用漏洞扫描器软件外，还可以使用规范的安全测试方法来评估一个系统的安全性。
系统探测
在理想状况下，你应该拥有连入公司网络的所有系统的描述文档，并且这些文档是100％准确和完整的。对于有网络访问权限的人而言，他们是不会在没有任何文档说明和授权的情况下将一台系统连入网络的。但我们都知道，“理想状况”是不存在的。也许你有一个特殊的理由进行网络探测，或者并没有。但无论如何，即使没有任何特殊的理由，也应该选择定期进行网络探测，这样可以成功地为网络上所有的设备生成文档化的许可，以确保它们遵守既定的策略。主机探测审计也可以验证描述文档与网络的真实状况是否一致，路由器和交换机是否在适当位置等。鉴于对主机系统进行物理定位的困难性，尤其是考虑无线接入设备越来越小型化，基于网络的探测比基于物理的探测将更加有效。

随着网络的迅速发展与普及，它给人们的生活带来了翻天覆地的变化。网上冲浪、电子商务、远程会议、文件共享、电子办公等，无不给人们的生活和工作带来了快乐和便利。然而伴随着网络的扩展，与之而来的是更多的安全问题，如账号密码泄露、机密文件被窃取、整个网络瘫痪导致业务失效、网络被攻击导致重要文件丢失，这些网络安全问题在大家充分享受网络便利的同时也告诫大家：网络安全问题不容忽失，否则可能导致难以弥补的损失。
考虑到商业安全解决方案不仅昂贵且缺乏灵活性等特性，本书重点介绍开源免费安全工具，并对它们的特性、适用场景以及详细的配置和使用技巧进行了详细说明，从而展示了众多可以立即免费获得的高灵活性、可配置的安全解决方案。同时，本书从安全加固程序的起始环节展开，介绍了开源免费安全工具的方方面面，一步步引导读者利用这些工具提高网络的安全性，解决现有网络中遗存的安全隐患。
本书适合所有的网络管理员和系统管理员，对现今各种开源安全工具和安全解决方案进行了详尽介绍，同时针对各种安全隐患提出了许多可行的有效解决方案。可以说，本书是迄今为止最权威、详尽、系统的安全工具使用手册，其中凝聚了作者从实践中总结出来的智慧结晶，相信读者一定可以从中受益颇多。当然，不仅仅是网络管理员等专业人员，对于网络安全爱好者、对网络安全工具和技术关心的人乃至希望保障个人网络安全的读者来说，也同样能从本书中受益。作者不仅对开源安全工具进行了详细介绍，同时对涉及网络安全的各种问题都进行了阐述，并结合实际给出了具体的解决方法，而且这些方法是作者长期工作的经验积累，相信读者也必能从中找到感兴趣的内容。
从内容方面看，本书可分为4个主要部分：第1～3章为第一部分，主要涉及系统的探测、网络边界和网络资源的保护，重点讨论了探测工具、防火墙的配置和使用，以及系统的加固技术；第4～6章为第二部分，涉及网络入侵检测，重点阐述了Snort的原理、安装以及具体使用；第7～9章为第三部分，涉及网络协议分析，重点剖析了Wireshark的原理、安装以及具体使用；第10～11章为最后部分，涉及其他开源安全工具，重点分析了其他网络嗅探和数据分析的工具、无线网络监控及入侵检测工具。本书包含大量的工具软件截图和配置实例，图文并茂，能帮读者利用免费开源的安全工具快速直接解决安全问题。可以毫不夸张地说，本书囊括了当前所有开源安全工具的使用技巧和相应的安全解决方案，必能成为解决安全问题的智囊宝典。
在本书翻译的过程中，得到了潘宣辰、潘谧、陈洋溢、乔伟、李珊珊、李萌萌、陶芬等同学的大力支持，他们结合自身实践经验为本书的翻译工作提供了大量的宝贵意见，在此我十分感谢他们的帮助。同时也希望我们的工作能给各位读者带来帮助。
由于译者的专业知识和外语水平有限，书中可能存在错误，敬请读者指正。