Μετάβαση στο κύριο περιεχόμενο

Steel Shield

Το Steel Shield είναι το πλαίσιο ενίσχυσης ασφαλείας του NetRecon. Παρέχει πολλαπλά επίπεδα προστασίας για αναπτύξεις αυτο-φιλοξενίας, εξασφαλίζοντας την ακεραιότητα και αυθεντικότητα όλων των στοιχείων της πλατφόρμας.

Επισκόπηση

Το Steel Shield περιλαμβάνει τέσσερις βασικούς μηχανισμούς ασφαλείας:

ΧαρακτηριστικόΣκοπός
Ακεραιότητα ΕκτελεσίμωνΕπαλήθευση ότι τα εκτελέσιμα δεν έχουν παραποιηθεί
Καρφίτσωμα ΠιστοποιητικώνΑποτροπή επιθέσεων man-in-the-middle στην επικοινωνία API
Απόκριση ΠαραποίησηςΑνίχνευση και απόκριση σε μη εξουσιοδοτημένες τροποποιήσεις
Προστασία Χρόνου ΕκτέλεσηςΠροστασία από παραποίηση μνήμης και αποσφαλμάτωση

Επαλήθευση Ακεραιότητας Εκτελεσίμων

Κάθε εκτελέσιμο του NetRecon (backend αισθητήρα, agents, υπηρεσίες) είναι ψηφιακά υπογεγραμμένο. Κατά την εκκίνηση, κάθε στοιχείο επαληθεύει τη δική του ακεραιότητα.

Πώς Λειτουργεί

  1. Κατά τη δημιουργία, κάθε εκτελέσιμο υπογράφεται με ιδιωτικό κλειδί που κατέχει η NetRecon
  2. Η υπογραφή ενσωματώνεται στα μεταδεδομένα του εκτελεσίμου
  3. Κατά την εκκίνηση, το εκτελέσιμο υπολογίζει ένα SHA-256 hash του εαυτού του
  4. Το hash επαληθεύεται έναντι της ενσωματωμένης υπογραφής
  5. Εάν η επαλήθευση αποτύχει, το εκτελέσιμο αρνείται να ξεκινήσει και καταγράφει μια ειδοποίηση

Χειροκίνητη Επαλήθευση

Επαληθεύστε χειροκίνητα την ακεραιότητα ενός εκτελεσίμου:

# Επαλήθευση του backend αισθητήρα
netrecon-verify /usr/local/bin/netrecon-probe

# Επαλήθευση ενός agent
netrecon-verify /usr/local/bin/netrecon-agent

# Αναμενόμενη έξοδος:
# Binary: /usr/local/bin/netrecon-probe
# SHA-256: a1b2c3d4e5f6...
# Signature: VALID
# Signed by: NetRecon Build System
# Signed at: 2026-03-15T10:00:00Z

Επαλήθευση Docker Image

Τα Docker images υπογράφονται χρησιμοποιώντας Docker Content Trust (DCT):

# Ενεργοποίηση content trust
export DOCKER_CONTENT_TRUST=1

# Λήψη με επαλήθευση υπογραφής
docker pull netrecon/api-gateway:latest

Καρφίτσωμα Πιστοποιητικών

Το καρφίτσωμα πιστοποιητικών εξασφαλίζει ότι τα στοιχεία του NetRecon επικοινωνούν μόνο με νόμιμους διακομιστές, αποτρέποντας υποκλοπή ακόμα και αν μια αρχή πιστοποίησης έχει παραβιαστεί.

Καρφιτσωμένες Συνδέσεις

ΣύνδεσηΤύπος Καρφιτσώματος
Agent προς ΑισθητήραΚαρφίτσωμα δημόσιου κλειδιού
Admin Connect προς ΑισθητήραΑποτύπωμα πιστοποιητικού
Αισθητήρας προς Update ServerΚαρφίτσωμα δημόσιου κλειδιού
Αισθητήρας προς License ServerΑποτύπωμα πιστοποιητικού

Πώς Λειτουργεί

  1. Το αναμενόμενο hash δημόσιου κλειδιού πιστοποιητικού ενσωματώνεται σε κάθε εκτελέσιμο πελάτη
  2. Κατά τη δημιουργία σύνδεσης TLS, ο πελάτης εξάγει το δημόσιο κλειδί του διακομιστή
  3. Ο πελάτης υπολογίζει ένα SHA-256 hash του δημόσιου κλειδιού
  4. Εάν το hash δεν ταιριάζει με την καρφιτσωμένη τιμή, η σύνδεση απορρίπτεται
  5. Η αποτυχημένη επαλήθευση καρφιτσώματος ενεργοποιεί μια ειδοποίηση ασφαλείας

Εναλλαγή Καρφιτσωμάτων

Κατά την εναλλαγή πιστοποιητικών:

  1. Νέα καρφιτσώματα διανέμονται μέσω του update server πριν την αλλαγή πιστοποιητικού
  2. Τόσο τα παλιά όσο και τα νέα καρφιτσώματα είναι έγκυρα κατά τη μεταβατική περίοδο
  3. Μετά τη μετάβαση, τα παλιά καρφιτσώματα αφαιρούνται στην επόμενη ενημέρωση

Για αναπτύξεις αυτο-φιλοξενίας, ενημερώστε τα καρφιτσώματα στην παραμετροποίηση:

# /etc/netrecon/security.yaml
certificate_pins:
  api_gateway:
    - "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA="  # Τρέχον
    - "sha256/BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="  # Εφεδρικό

Απόκριση Παραποίησης

Το Steel Shield παρακολουθεί κρίσιμα αρχεία και παραμετροποιήσεις για μη εξουσιοδοτημένες αλλαγές.

Παρακολουθούμενα Στοιχεία

ΣτοιχείοΣυχνότητα ΕλέγχουΑπόκριση
Αρχεία εκτελεσίμωνΚατά την εκκίνηση + κάθε 1 ώραΕιδοποίηση + προαιρετικός τερματισμός
Αρχεία παραμετροποίησηςΚάθε 5 λεπτάΕιδοποίηση + επαναφορά σε αντίγραφο
Ακεραιότητα βάσης δεδομένωνΚάθε 15 λεπτάΕιδοποίηση + έλεγχος συνέπειας
Πιστοποιητικά TLSΚάθε 5 λεπτάΕιδοποίηση εάν αλλάξουν
Πακέτα συστήματοςΚαθημερινάΕιδοποίηση εάν εντοπιστούν απροσδόκητες αλλαγές

Ενέργειες Απόκρισης

Όταν ανιχνεύεται παραποίηση, το Steel Shield μπορεί:

  1. Καταγραφή — καταγραφή του συμβάντος στο αρχείο ελέγχου ασφαλείας
  2. Ειδοποίηση — αποστολή ειδοποίησης μέσω ρυθμισμένων καναλιών
  3. Επαναφορά — επαναφορά του παραποιημένου αρχείου από γνωστό καλό αντίγραφο
  4. Απομόνωση — περιορισμός πρόσβασης δικτύου μόνο σε διαχείριση
  5. Τερματισμός — διακοπή της υπηρεσίας για αποτροπή περαιτέρω παραβίασης

Ρυθμίστε το επίπεδο απόκρισης:

# /etc/netrecon/security.yaml
tamper_response:
  level: "alert_and_revert"  # Επιλογές: log, alert, alert_and_revert, isolate, shutdown
  notify_email: "[email protected]"

Βάση Δεδομένων Ακεραιότητας Αρχείων

Το Steel Shield διατηρεί μια βάση δεδομένων hash όλων των προστατευόμενων αρχείων:

# Αρχικοποίηση της βάσης δεδομένων ακεραιότητας
netrecon-shield init

# Χειροκίνητος έλεγχος ακεραιότητας
netrecon-shield verify

# Αναμενόμενη έξοδος:
# Checked 47 files
# Status: ALL INTACT
# Last verified: 2026-03-15T14:30:00Z

Προστασία Χρόνου Εκτέλεσης

Αντι-αποσφαλμάτωση

Σε λειτουργία παραγωγής, τα εκτελέσιμα του NetRecon περιλαμβάνουν μέτρα κατά της αποσφαλμάτωσης:

  • Ανίχνευση συνδεδεμένων αποσφαλματωτών (ptrace σε Linux, IsDebuggerPresent σε Windows)
  • Έλεγχοι χρονισμού για εκτέλεση βήμα-προς-βήμα
  • Όταν ανιχνεύεται αποσφαλμάτωση σε παραγωγή, η διεργασία τερματίζεται ομαλά
info

Η αντι-αποσφαλμάτωση είναι απενεργοποιημένη σε εκδόσεις ανάπτυξης για να επιτρέπει κανονικές ροές εργασίας αποσφαλμάτωσης.

Προστασία Μνήμης

  • Ευαίσθητα δεδομένα (tokens, κλειδιά, κωδικοί) αποθηκεύονται σε προστατευμένες περιοχές μνήμης
  • Η μνήμη μηδενίζεται μετά τη χρήση για αποτροπή έκθεσης υπολειμματικών δεδομένων
  • Σε Linux, χρησιμοποιείται mlock για αποτροπή ανταλλαγής ευαίσθητων σελίδων στον δίσκο

Παραμετροποίηση

Ενεργοποίηση Steel Shield

Το Steel Shield είναι ενεργοποιημένο από προεπιλογή σε αναπτύξεις παραγωγής. Ρυθμίστε το στο:

# /etc/netrecon/security.yaml
steel_shield:
  enabled: true
  binary_integrity: true
  certificate_pinning: true
  tamper_response: true
  runtime_protection: true
  integrity_check_interval: 3600  # δευτερόλεπτα
  tamper_check_interval: 300      # δευτερόλεπτα

Απενεργοποίηση για Ανάπτυξη

Για περιβάλλοντα ανάπτυξης και δοκιμών:

steel_shield:
  enabled: false

Ή απενεργοποιήστε συγκεκριμένα χαρακτηριστικά:

steel_shield:
  enabled: true
  binary_integrity: false   # Παράλειψη επαλήθευσης hash κατά την ανάπτυξη
  runtime_protection: false  # Επιτρέψτε σύνδεση αποσφαλματωτή

Ίχνος Ελέγχου

Όλα τα συμβάντα Steel Shield καταγράφονται στο αρχείο ελέγχου ασφαλείας:

# Προβολή πρόσφατων συμβάντων ασφαλείας
netrecon-shield audit --last 24h

# Εξαγωγή αρχείου ελέγχου
netrecon-shield audit --export csv --output security-audit.csv

Οι εγγραφές αρχείου ελέγχου περιλαμβάνουν:

  • Χρονοσήμανση
  • Τύπος συμβάντος (integrity_check, pin_validation, tamper_detected κ.λπ.)
  • Επηρεαζόμενο στοιχείο
  • Αποτέλεσμα (επιτυχία/αποτυχία)
  • Ενέργεια που ελήφθη
  • Πρόσθετες λεπτομέρειες

Ζητήματα Αυτο-φιλοξενίας

Κατά την αυτο-φιλοξενία, λάβετε υπόψη:

  1. Προσαρμοσμένα πιστοποιητικά: Εάν χρησιμοποιείτε δική σας CA, ενημερώστε τη ρύθμιση καρφιτσώματος πιστοποιητικών μετά την ανάπτυξη
  2. Ενημερώσεις εκτελεσίμων: Μετά την ενημέρωση εκτελεσίμων, εκτελέστε netrecon-shield init για ανακατασκευή της βάσης ακεραιότητας
  3. Αντίγραφο ασφαλείας βάσης ακεραιότητας: Συμπεριλάβετε το /etc/netrecon/integrity.db στη ρουτίνα αντιγράφων ασφαλείας σας
  4. Παρακολούθηση ειδοποιήσεων: Ρυθμίστε ειδοποιήσεις email ή webhook για ειδοποιήσεις παραποίησης

Συχνές Ερωτήσεις

Ε: Μπορεί το Steel Shield να προκαλέσει ψευδώς θετικά αποτελέσματα; A: Τα ψευδώς θετικά αποτελέσματα είναι σπάνια αλλά μπορεί να συμβούν μετά από ενημερώσεις συστήματος που τροποποιούν κοινόχρηστες βιβλιοθήκες. Εκτελέστε netrecon-shield init μετά τις ενημερώσεις συστήματος για ανανέωση της βάσης ακεραιότητας.

Ε: Επηρεάζει το Steel Shield την απόδοση; A: Η επίδραση στην απόδοση είναι ελάχιστη. Οι έλεγχοι ακεραιότητας εκτελούνται σε νήμα παρασκηνίου και συνήθως ολοκληρώνονται σε λιγότερο από 1 δευτερόλεπτο.

Ε: Μπορώ να ενσωματώσω τις ειδοποιήσεις Steel Shield με το SIEM μου; A: Ναι. Ρυθμίστε την έξοδο syslog στη ρύθμιση ασφαλείας για προώθηση συμβάντων στο SIEM σας. Το Steel Shield υποστηρίζει μορφές syslog (RFC 5424) και JSON.

Ε: Είναι απαραίτητο το Steel Shield για αναπτύξεις παραγωγής; A: Το Steel Shield συνιστάται ανεπιφύλακτα αλλά δεν είναι αυστηρά απαραίτητο. Μπορείτε να το απενεργοποιήσετε, αλλά αυτό αφαιρεί σημαντικές προστασίες ασφαλείας.

Για επιπλέον βοήθεια, επικοινωνήστε με [email protected].