This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Next revision Both sides next revision | ||
обеспечение_безопасности_linux_решений [2020/07/20 07:37] val [4.1 Ограничения учетных записей пользователей сервисов] |
обеспечение_безопасности_linux_решений [2022/11/14 16:32] val [OPIE для подключения к "работе"] |
||
---|---|---|---|
Line 1: | Line 1: | ||
====== Обеспечение безопасности Linux решений ====== | ====== Обеспечение безопасности Linux решений ====== | ||
+ | ===== План на 14.11.2022 ===== | ||
+ | |||
+ | ==== Подготовка стенда ==== | ||
+ | |||
+ | * Схема стенда | ||
+ | * Развернуть все VM | ||
+ | * ext ip на extgate (10.5.N.100+X) | ||
+ | * named.conf forwarders на extgate | ||
+ | * resolv.conf на extgate | ||
+ | |||
+ | ==== OPIE для подключения к "работе" ==== | ||
+ | |||
+ | * Ставим Chrome и MobaXterm (что бы настроить opie на работе) | ||
+ | * [[Управление учетными записями в FreeBSD]] - cоздаем userX/passwordX | ||
+ | * Включемем и тестируем [[Аутентификация с использованием OPIE]] | ||
+ | * Включаем RDP (все, кто хочет:), пригодится в следующей лаборатороной) | ||
+ | * Преподаватель переносит Win7 в DMZ (ip: 10.100.100.31) | ||
+ | * Преподаватель демонмтрирует туннель -L (понадобилось остановить pf :) | ||
+ | |||
+ | ==== Подключение к своему оборудованию в чужой сети или к "работе" без разрешения:) ==== | ||
+ | |||
+ | * Преподаватель включает pf | ||
+ | |||
+ | * Изучаем туннель -R с параметрами 2000+X:localhost:22 подключаясь как userX к gate.isp.un | ||
+ | * [[Управление сервисами в Linux#Управление юнитами Systemd]] | ||
+ | |||
+ | * Преподаватель возвращает Win7 в LAN | ||
+ | * Изучаем туннель -R с параметрами 3000+X:localhost:3389 подключаясь как userX к gate.isp.un | ||
+ | |||
+ | ==== Корпоративный TeamViewer ==== | ||
+ | |||
+ | * Используются стенд преподавателя и одного из слушателей | ||
+ | * Устанавливаем на Win7 [[Сервис VNC]] на обоих стендах | ||
+ | * Разрешаем на extgate прохождение tcp трафика по всем портам на стенде слушателя | ||
+ | * Разрешаем на intgate прохождение исходящего tcp трафика по всем портам на стенде слушателя | ||
+ | * Преподаватель запускает VNCViewer в Listen mode | ||
+ | * Преподаватель устанавливает -R туннель 0:localhost:5500 | ||
+ | * Слушатель выполняет Attach Listener Viewer на gate.isp.un:NNNNN | ||
+ | * Возвращаем исходные настройки пакетных фильтров на extgate и intgate слушателя | ||
===== Программа курса ===== | ===== Программа курса ===== | ||
Line 56: | Line 95: | ||
</code> | </code> | ||
- | * Подключаемся putty к server и gate к адресам 192.168.X.Y | + | * Настраиваем профили putty к server и gate к адресам DMZ 192.168.X.Y (для gate это подключение пригодится в лабораторных работах с firewall) |
<code> | <code> | ||
Line 181: | Line 220: | ||
* [[Сервис OpenVAS]] | * [[Сервис OpenVAS]] | ||
- | * По окончании эксперимента остановить лишние экземпляры webd или перезапустить server | + | * По окончании эксперимента остановить лишние экземпляры **pkill webd** или перезапустить server |
==== 2.2 Сканеры безопасности сети ==== | ==== 2.2 Сканеры безопасности сети ==== | ||
Line 224: | Line 263: | ||
</code> | </code> | ||
- | * [[Утилита rkhunter]] (В Debian устанавливает exim) | + | * [[Утилита rkhunter]] |
* [[Утилита chkrootkit]] | * [[Утилита chkrootkit]] | ||
Line 243: | Line 282: | ||
* [[http://ru.wikipedia.org/wiki/Chroot|Вызов Chroot]] | * [[http://ru.wikipedia.org/wiki/Chroot|Вызов Chroot]] | ||
* [[https://ru.wikipedia.org/wiki/Песочница_(безопасность)|Песочница безопасность]] | * [[https://ru.wikipedia.org/wiki/Песочница_(безопасность)|Песочница безопасность]] | ||
- | * [[http://www.freebsd.org/doc/ru/books/handbook/securing-freebsd.html|Нandbook: Защита FreeBSD]] | ||
- | * [[http://www.openbsd.org/|OpenBSD - ОС ориентированная на безопасность]] | ||
* [[http://ru.wikipedia.org/wiki/Переполнение_буфера|Переполнение буфера]] | * [[http://ru.wikipedia.org/wiki/Переполнение_буфера|Переполнение буфера]] | ||
* [[http://www.unixwiz.net/techtips/mirror/chroot-break.html|Выход из Chroot]] | * [[http://www.unixwiz.net/techtips/mirror/chroot-break.html|Выход из Chroot]] | ||
Line 264: | Line 301: | ||
* [[Система безопасности UNIX]] | * [[Система безопасности UNIX]] | ||
* [[Сервис INETD]] | * [[Сервис INETD]] | ||
- | * [[Сервис XINETD]] | ||
=== POSIX ACL === | === POSIX ACL === | ||
Line 302: | Line 338: | ||
* Linux ([[Управление учетными записями в Linux#Перемещение учетных записей]]) | * Linux ([[Управление учетными записями в Linux#Перемещение учетных записей]]) | ||
- | * [[Технология Docker]] (До Микросервисы, разворачивать на lan, поскольку правила, добавленные docker-ce в netfilter блокируют LXC подключенный к bridge) | + | * [[Технология Docker]] (До Микросервисы) |
+ | |||
+ | * [[https://github.com/docker/for-linux/issues/103|Docker blocking network of existing LXC containers]] | ||
+ | <code> | ||
+ | iptables -F FORWARD | ||
+ | iptables -P FORWARD ACCEPT | ||
+ | </code> | ||
==== 3.4 Усиление системы с помощью специальных средств ==== | ==== 3.4 Усиление системы с помощью специальных средств ==== | ||
Line 356: | Line 398: | ||
* [[Технология Docker]] (От Микросервисы) | * [[Технология Docker]] (От Микросервисы) | ||
- | Сценарий: защита web сервера от DoS атак (демонстрирует преподаватель на CentOS вместе с SElinux) | ||
- | |||
- | * [[Сервис XINETD]] | ||
==== 4.4 Шифрование трафика ==== | ==== 4.4 Шифрование трафика ==== | ||
Line 367: | Line 406: | ||
=== Использование самоподписанных цифровых сертификатов === | === Использование самоподписанных цифровых сертификатов === | ||
- | Сценарий: замена сервиса HTTP на HTTPS на server (демонстрирует преподаватель) | + | Демонстрирует преподаватель |
+ | |||
+ | Сценарий: замена сервиса HTTP на HTTPS на www | ||
* [[Пакет OpenSSL#Использование алгоритмов с открытым ключем]] | * [[Пакет OpenSSL#Использование алгоритмов с открытым ключем]] | ||
Line 398: | Line 439: | ||
* [[Сервис MTA#Настройка MTA на релеинг почты на основе аутентификации]] (демонстрирует преподаватель) | * [[Сервис MTA#Настройка MTA на релеинг почты на основе аутентификации]] (демонстрирует преподаватель) | ||
- | **Задание:** создание пользовательских сертификатов | + | **Задание:** использование пользовательских сертификатов для аутентификации и авторизации |
* [[Пакет OpenSSL#Создание пользовательского сертификата, подписанного CA]] | * [[Пакет OpenSSL#Создание пользовательского сертификата, подписанного CA]] | ||
Line 429: | Line 470: | ||
=== Статичное, с использованием специальных средств === | === Статичное, с использованием специальных средств === | ||
- | Сценарий: разрешаем подключение к gate только из DMZ | + | Сценарий: разрешаем SSH подключение к www только из LAN |
* [[Сервис Tcpwrap]] | * [[Сервис Tcpwrap]] | ||
Line 446: | Line 487: | ||
* [[Антивирусная защита web трафика SQUID]] | * [[Антивирусная защита web трафика SQUID]] | ||
- | Сценарий: препятствуем попыткам сканирования системы server | + | Сценарий: Honeypot на gate |
* [[Сервис Portsentry]] | * [[Сервис Portsentry]] | ||
* [[https://youtu.be/6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]] | * [[https://youtu.be/6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]] | ||
- | Сценарий: блокируем атаки на сервис SSH на server | + | Сценарий: блокируем атаки SSH сервиса на gate |
* [[Сервис Fail2ban]] | * [[Сервис Fail2ban]] | ||
Line 457: | Line 498: | ||
==== 4.7 Шифрование контента ==== | ==== 4.7 Шифрование контента ==== | ||
- | Сценарий: размещаем данные пользователей на шифрованном разделе для сервера SAMBA | + | Сценарий: размещаем данные на шифрованном разделе для lan сервиса SAMBA (сетевой диск с двойным дном:) |
* Создаем раздел, без файловой системы ([[Управление файловыми системами в Linux#Добавление дисков в Linux]]) | * Создаем раздел, без файловой системы ([[Управление файловыми системами в Linux#Добавление дисков в Linux]]) | ||
* [[Управление файловыми системами в Linux#Использование шифрованных разделов в Linux]] | * [[Управление файловыми системами в Linux#Использование шифрованных разделов в Linux]] | ||
- | * [[Файловый сервер SAMBA#Установка]] сервера SAMBA | + | * Настроить права доступа к [[Файловый сервер SAMBA#Публичный каталог доступный на запись]] |
- | * [[Файловый сервер SAMBA#Публичный каталог доступный на запись]] | + | |
- | * Убираем сервисы smbd и nmbd из автозагрузки ([[Управление сервисами в Linux]]) | + | |
==== 4.8 Специальные решения ==== | ==== 4.8 Специальные решения ==== | ||
Line 469: | Line 509: | ||
Сценарий: защита LAN от посторонних сервисов DHCP | Сценарий: защита LAN от посторонних сервисов DHCP | ||
- | * [[Материалы по Windows#DHCP, TFTP, DNS, SNTP и Syslog для Windows]] | ||
* [[Оборудование уровня 2 Cisco Catalyst#DHCP snooping]] | * [[Оборудование уровня 2 Cisco Catalyst#DHCP snooping]] | ||
- | * [[Сервис DHCP#Поиск и подавление посторонних DHCP серверов]] | + | * [[Сервис DHCP#Поиск посторонних DHCP серверов]] |
===== Модуль 5. Защита сети предприятия ===== | ===== Модуль 5. Защита сети предприятия ===== | ||
Line 486: | Line 525: | ||
==== 5.1 Пакетные фильтры ==== | ==== 5.1 Пакетные фильтры ==== | ||
- | Сценарий: защита сервиса ssh на server от bruteforce | + | Сценарий: защита http сервиса на server от bruteforce |
- | * [[Сервис Firewall#Конфигурация для защиты от bruteforce]] (атакуем server через putty с host системы) | + | * [[Сервис Firewall#Конфигурация для защиты от bruteforce]] (генерируем запросы с host системы) |
==== 5.2 Системы IDS и IPS ==== | ==== 5.2 Системы IDS и IPS ==== | ||
- | Сценарий: фиксируем атаки на server из WAN, проверять с gate.isp.un | + | Сценарий: фиксируем атаки из WAN, проверять с host системы |
* [[Сервис SNORT]] на gate (указать правильный интерфейс) | * [[Сервис SNORT]] на gate (указать правильный интерфейс) | ||
- | Сценарий: блокируем атаки на server из WAN, проверять с client1, переместив его в WAN | + | Сценарий: блокируем атаки из WAN, проверять с host системы |
* [[Сервис Fail2ban#Интеграция fail2ban и snort]] | * [[Сервис Fail2ban#Интеграция fail2ban и snort]] | ||
Line 507: | Line 546: | ||
* [[http://ru.wikipedia.org/wiki/VPN|Virtual Private Network — виртуальная частная сеть]] | * [[http://ru.wikipedia.org/wiki/VPN|Virtual Private Network — виртуальная частная сеть]] | ||
+ | * [[https://ngrok.com/product|What is ngrok?]] | ||
==== Лабораторные работы ==== | ==== Лабораторные работы ==== | ||
Line 531: | Line 571: | ||
==== 6.2 Пакет OpenVPN ==== | ==== 6.2 Пакет OpenVPN ==== | ||
- | Сценарий: требуется предоставить авторизованный доступ внешних пользователей к любым LAN сервисам компании, например - CIFS | + | Сценарий: требуется предоставить авторизованный доступ пользователей, работающих на __ноутбуках__ и ездящих в командировки, к любым сервисам в сети LAN компании, например - CIFS |
* [[Пакет OpenSSL#Инициализация списка отозванных сертификатов]] | * [[Пакет OpenSSL#Инициализация списка отозванных сертификатов]] |