This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
обеспечение_безопасности_linux_решений_2024 [2024/05/20 14:06] val [4.4 Шифрование трафика] |
— (current) | ||
---|---|---|---|
Line 1: | Line 1: | ||
- | ====== Обеспечение безопасности Linux решений 2024 ====== | ||
- | |||
- | ===== Программа курса ===== | ||
- | |||
- | * [[http://www.specialist.ru/course/yunbez|Linux. Уровень 3. Обеспечение безопасности систем, сервисов и сетей]] | ||
- | |||
- | ===== Модуль 0. Подготовка стенда в классе ===== | ||
- | |||
- | * Узнать свой номер стенда | ||
- | * Удалить виртуалки | ||
- | * Удалить профили putty | ||
- | * Включить адаптер VirtualBox Host-Only Ethernet Adapter | ||
- | * Записать логин пароль и IP WAN интерфейса (сообщить преподавателю) от рабочей станции | ||
- | * Проверить наличие дистрибутивов и образов | ||
- | |||
- | ===== Модуль 1. Развертывание сети и сервисов предприятия ===== | ||
- | |||
- | ==== Теория ==== | ||
- | |||
- | * [[http://ru.wikipedia.org/wiki/Информационная_безопасность|Информационная безопасность]] | ||
- | * [[http://en.wikipedia.org/wiki/STRIDE_(security)|STRIDE is a system developed by Microsoft for thinking about computer security threats]] | ||
- | * [[http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)|Demilitarized Zone — демилитаризованная зона, ДМЗ]] | ||
- | |||
- | ==== Лабораторные работы ==== | ||
- | |||
- | Сценарий: 172.16.1.0/24 - WAN сеть, 192.168.X/24 - "белая" DMZ сеть, 192.168.100+X - "серая" LAN сеть | ||
- | |||
- | |||
- | ==== 1.1 Настройка систем gate, lan и server ==== | ||
- | |||
- | <code> | ||
- | Запустите с правами Administrator | ||
- | |||
- | C:\cmder\cmder.exe | ||
- | |||
- | bash | ||
- | |||
- | cd | ||
- | |||
- | test -d conf && rm -r conf | ||
- | |||
- | git clone http://val.bmstu.ru/unix/conf.git | ||
- | |||
- | cd conf/virtualbox/ | ||
- | |||
- | !!! 3 - это номер курса, вместо X укажите Ваш номер стенда, если не знаете его, спросите преподавателя !!! | ||
- | |||
- | ./setup.sh X 3 | ||
- | </code> | ||
- | |||
- | **Клонируем server в lan** | ||
- | |||
- | === Настраиваем gate === | ||
- | |||
- | * Адаптер 1 - Внутренняя сеть (eth0) - DMZ | ||
- | * Адаптер 2 - Сетевой мост (eth1) - WAN (уже подключен) | ||
- | * Адаптер 3 - Виртуальный адаптер хоста (eth2) - LAN | ||
- | |||
- | <code> | ||
- | gate# ifconfig eth2 inet 192.168.100+X.1/24 | ||
- | </code> | ||
- | |||
- | * Создаем в Putty профиль gate и подключаемся | ||
- | |||
- | <code> | ||
- | gate# sh net_gate.sh | ||
- | |||
- | gate# cat /etc/network/interfaces | ||
- | </code><code> | ||
- | ... | ||
- | auto eth2 | ||
- | iface eth2 inet static | ||
- | address 192.168.100+X.1 | ||
- | netmask 255.255.255.0 | ||
- | </code><code> | ||
- | gate# init 6 | ||
- | </code><code> | ||
- | gate# apt update | ||
- | </code> | ||
- | |||
- | === Настраиваем lan === | ||
- | |||
- | * Адаптер 1 - Виртуальный адаптер хоста (eth0) - LAN (уже подключен) | ||
- | |||
- | <code> | ||
- | lan# ifconfig eth0 inet 192.168.100+X.10/24 | ||
- | </code> | ||
- | |||
- | * Создаем в Putty профиль lan и подключаемся | ||
- | |||
- | <code> | ||
- | lan# sh net_server.sh | ||
- | |||
- | lan# hostnamectl set-hostname lan.corpX.un | ||
- | |||
- | lan# cat /etc/network/interfaces | ||
- | </code><code> | ||
- | auto lo | ||
- | iface lo inet loopback | ||
- | |||
- | auto eth0 | ||
- | iface eth0 inet static | ||
- | address 192.168.100+X.10 | ||
- | netmask 255.255.255.0 | ||
- | gateway 192.168.100+X.1 | ||
- | </code><code> | ||
- | lan# init 6 | ||
- | </code> | ||
- | |||
- | === Настраиваем server === | ||
- | |||
- | * Адаптер 1 - Внутренняя сеть (eth0) - DMZ | ||
- | |||
- | <code> | ||
- | server# sh net_server.sh | ||
- | |||
- | server# init 6 | ||
- | </code> | ||
- | |||
- | * Создаем в Putty профиль server и подключаемся | ||
- | ==== 1.2 Подключение сети предприятия к Internet ==== | ||
- | |||
- | * Настраиваем доступ в Internet из сети LAN и использованием [[Сервис NAT]] | ||
- | * Тестируем | ||
- | <code> | ||
- | lan# apt update | ||
- | </code> | ||
- | |||
- | ==== 1.3 План размещения сервисов в сети предприятия ==== | ||
- | |||
- | === Сервис DNS === | ||
- | |||
- | <code> | ||
- | server# sh conf/dns.sh | ||
- | |||
- | lan# cat /etc/resolv.conf | ||
- | </code><code> | ||
- | search corpX.un | ||
- | nameserver 192.168.X.10 | ||
- | </code> | ||
- | * Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH#Аутентификация с использованием ключей ssh]]) | ||
- | <code> | ||
- | lan# ssh-copy-id server | ||
- | lan# ssh-copy-id gate | ||
- | |||
- | lan# scp /etc/resolv.conf server:/etc/ | ||
- | lan# scp /etc/resolv.conf gate:/etc/ | ||
- | </code> | ||
- | === Сервис EMAIL === | ||
- | |||
- | Будет развернут на системе server | ||
- | |||
- | === Сервис DHCP === | ||
- | |||
- | Разворачиваем на системе gate в сети LAN | ||
- | |||
- | * Сервис DHCP [[Сервис DHCP#isc-kea]] | ||
- | * Импорт и запуск системы linux client1 (демонстрирует преподаватель) | ||
- | * Импорт и запуск системы windows client2 | ||
- | |||
- | === Сервис CIFS === | ||
- | |||
- | Будет развернут на системе lan | ||
- | |||
- | === Сервис HTTP === | ||
- | |||
- | Сценарий: внешний корпоративный сайт на server | ||
- | |||
- | * [[Средства программирования shell#Web сервер на shell]] | ||
- | * [[Сервис INETD]] | ||
- | |||
- | |||
- | ===== Модуль 2. Анализ информационных систем предприятия с точки зрения безопасности ===== | ||
- | |||
- | ==== Теория ==== | ||
- | |||
- | * [[https://ru.wikipedia.org/wiki/%D0%90%D1%83%D0%B4%D0%B8%D1%82_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8|Аудит информационной безопасности]] | ||
- | * [[https://ru.wikipedia.org/wiki/%D0%A5%D0%BE%D1%81%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Хостовая система обнаружения вторжений]] | ||
- | * [[https://ru.wikipedia.org/wiki/Nmap|Nmap]] | ||
- | * [[https://www.kali.org/|Kali Linux - Advanced Penetration Testing Linux Distribution]] | ||
- | * [[https://ru.wikipedia.org/wiki/OpenVAS|OpenVAS]] | ||
- | |||
- | * [[https://youtu.be/zjzdqqk7xmo|Видео урок: Аудит системных событий в Linux/FreeBSD]] | ||
- | |||
- | * [[https://www.specialist.ru/course/ceh|Этичный хакинг. Техники атак и инструменты противодействия]] | ||
- | ==== Лабораторные работы ==== | ||
- | |||
- | ==== 2.1 Внешний аудит систем ==== | ||
- | |||
- | Сценарий: сканирование портов сервисов системы server (с lan или gate.isp.un по ip адресу), находим web сервер | ||
- | |||
- | * [[Утилита nmap]] | ||
- | |||
- | Сценарий: автоматизированный поиск уязвимостей, находим "directory traversal" | ||
- | |||
- | * [[Сервис OpenVAS]] | ||
- | * По окончании эксперимента остановить лишние экземпляры **pkill webd** или перезапустить server | ||
- | |||
- | Сценарий: эксплуатируем найденную уязвимость "directory traversal" | ||
- | |||
- | * [[Управление учетными записями в Linux#Создание тестового набора учетных записей]] на server | ||
- | |||
- | <code> | ||
- | lan# curl --path-as-is http://192.168.X.10/../../../etc/passwd | ||
- | |||
- | gate.isp.un$ fetch -o - http://192.168.X.10/../../../etc/passwd | ||
- | |||
- | gate.isp.un$ telnet 192.168.X.10 80 | ||
- | </code><code> | ||
- | GET /../../../etc/passwd HTTP/1.1 | ||
- | </code> | ||
- | |||
- | |||
- | Сценарий: Brute force-атака по известным login | ||
- | |||
- | * [[Утилита hydra]] | ||
- | ==== 2.2 Внутренний аудит систем ==== | ||
- | |||
- | === Проверка стойкости паролей === | ||
- | |||
- | <code> | ||
- | lan# curl --path-as-is http://192.168.X.10/../../../etc/shadow | tee shadow | ||
- | </code> | ||
- | |||
- | * [[http://www.openwall.com/john/|John the Ripper password cracker]] | ||
- | * [[Утилита john]] | ||
- | |||
- | === Проверка целостности системы === | ||
- | |||
- | Сценарий: находим модифицированное ПО (можно изменить код web сервера) | ||
- | |||
- | * [[Утилита tripwire]] ([[https://youtu.be/FR_5am9__Ug|Видео Урок: Tripware - мониторинг и предупреждения об изменениях файлов в системе]]) | ||
- | * [[Утилита aide]] | ||
- | |||
- | === Проверка системы на наличие закладок === | ||
- | |||
- | * [[https://www.upcloud.com/support/scanning-centos-server-for-malware/|Scanning CentOS 7 Server for Malware]] | ||
- | |||
- | * [[https://en.wikipedia.org/wiki/Xor_DDoS|XOR DDoS is a Linux Trojan malware]] | ||
- | * [[https://www.raspberrypi.org/documentation/linux/usage/users.md|User management in Raspberry Pi]] | ||
- | * Загружаем на server | ||
- | <code> | ||
- | server# cd / | ||
- | |||
- | server# wget http://gate.isp.un/unix/xor_ddos_linux_trojan.tgz | ||
- | |||
- | server# tar -xvzf xor_ddos_linux_trojan.tgz | ||
- | </code> | ||
- | |||
- | * [[Утилита rkhunter]] | ||
- | * [[Утилита chkrootkit]] | ||
- | |||
- | * [[Сервис OSSEC]] | ||
- | |||
- | === Аудит системных событий === | ||
- | |||
- | Сценарий: фиксируем обращения к файлам базы данных учетных записей со стороны процессов с EUID=user1/student. Можно тестировать из shell или запустить www сервер на server с правами user1/student | ||
- | |||
- | * [[Система Linux Auditing]] | ||
- | * [[https://youtu.be/zjzdqqk7xmo|Видео урок: Аудит системных событий в Linux/FreeBSD]] | ||
- | ===== Модуль 3. Защита систем предприятия ===== | ||
- | |||
- | ==== Теория ==== | ||
- | |||
- | * [[https://habrahabr.ru/company/xakep/blog/305262/|Гугл для хакера]] | ||
- | * [[https://nvd.nist.gov/vuln/search|Computer Security Resource Center National Vulnerability Database]] Keyword Search: Apache 2.4.18 | ||
- | * [[http://ru.wikipedia.org/wiki/Chroot|Вызов Chroot]] | ||
- | * [[https://ru.wikipedia.org/wiki/Песочница_(безопасность)|Песочница безопасность]] | ||
- | * [[http://ru.wikipedia.org/wiki/Переполнение_буфера|Переполнение буфера]] | ||
- | * [[http://www.unixwiz.net/techtips/mirror/chroot-break.html|Выход из Chroot]] | ||
- | * [[http://samag.ru/archive/article/341|GRSecurity]] | ||
- | * [[https://wiki.gentoo.org/wiki/Hardened_Gentoo/ru|Hardened Gentoo]] | ||
- | ==== Лабораторные работы ==== | ||
- | |||
- | ==== 3.1 Обновление систем ==== | ||
- | |||
- | * [[Управление ПО в Linux]] | ||
- | |||
- | |||
- | ==== 3.2 Управление привилегиями ==== | ||
- | |||
- | === Система безопасности UNIX === | ||
- | |||
- | Сценарий: Запуск www сервера с правами пользователя user1/student не позволит получить через него доступ к /etc/shadow | ||
- | |||
- | * [[Система безопасности UNIX]] | ||
- | * [[Сервис INETD]] | ||
- | |||
- | === Списки контроля доступа === | ||
- | |||
- | Сценарий: с помощью POSIX ACL запрещаем пользователю user1 читать файл /etc/passwd | ||
- | |||
- | * [[POSIX ACL]] | ||
- | |||
- | === Расширенные атрибуты === | ||
- | |||
- | * [[POSIX capabilities]] | ||
- | |||
- | === Переменные ядра === | ||
- | |||
- | * [[Управление ядром и модулями в Linux#Переменные ядра]] | ||
- | |||
- | ==== 3.3 Изоляция сервисов ==== | ||
- | |||
- | === Модули Linux LSM === | ||
- | |||
- | Сценарий: ограничения, накладываемые политиками на www сервер на server не позволят получить через него доступ к любым файлам, кроме разрешенных даже в случае запуска его с правами **root** | ||
- | |||
- | * [[Модуль AppArmor]] | ||
- | * [[https://youtu.be/AaB5mL3SAlQ|Видео Урок: FreeBSD MAC and Linux AppArmor]] | ||
- | |||
- | |||
- | * [[Модуль SELinux]] | ||
- | |||
- | |||
- | === Изоляция сервисов в файловой системе === | ||
- | |||
- | Сценарий: запуск www сервера на server в chroot позволит получить через него доступ только к файлам, которые мы скопировали в chroot окружение | ||
- | |||
- | * [[Команда chroot]] | ||
- | |||
- | === Изоляция сервисов в выделенном окружении === | ||
- | |||
- | Сценарий: переносим www хостинг в контейнер | ||
- | |||
- | <code> | ||
- | server# systemctl stop inetutils-inetd && systemctl disable inetutils-inetd | ||
- | </code> | ||
- | |||
- | * [[Технология namespaces]] | ||
- | * [[Технология cgroup]] | ||
- | |||
- | * [[Технология LXC]] | ||
- | * [[Пакет RSYNC#Инкрементное копирование (Incremental Backup)]] | ||
- | * [[Сервис HTTP#Установка и запуск сервера Apache]] на www | ||
- | <code> | ||
- | server# cat /etc/bind/corpX.un | ||
- | </code><code> | ||
- | ... | ||
- | @ ... | ||
- | ... | ||
- | A 192.168.X.20 | ||
- | ... | ||
- | www A 192.168.X.20 | ||
- | </code><code> | ||
- | server# service named restart | ||
- | </code> | ||
- | |||
- | |||
- | * [[Технология Docker]] (До Микросервисы) | ||
- | * [[Технология Docker#Установка]] | ||
- | * [[Технология Docker#Создание контейнера для приложения вручную]] | ||
- | * [[Технология Docker#Запуск в режиме демона и подключение к контейнеру]] | ||
- | * [[Технология Docker#Создание контейнера для приложения с использованием Dockerfile]] | ||
- | |||
- | * [[https://github.com/docker/for-linux/issues/103|Docker blocking network of existing LXC containers]] | ||
- | <code> | ||
- | iptables -F FORWARD | ||
- | iptables -P FORWARD ACCEPT | ||
- | </code> | ||
- | * [[Сервис NAT#Управление состоянием iptables]] | ||
- | ==== 3.4 Усиление системы с помощью специальных средств ==== | ||
- | |||
- | * [[Linux Hardened]] | ||
- | * [[https://youtu.be/-6aM7q27NbM|Видео урок: Использование GRSecurity]] | ||
- | |||
- | ===== Модуль 4. Защита сервисов предприятия ===== | ||
- | |||
- | ==== Теория ==== | ||
- | |||
- | * [[https://ru.wikipedia.org/wiki/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5|Шифрование]] | ||
- | * [[https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D1%81_%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%BC_%D0%BA%D0%BB%D1%8E%D1%87%D0%BE%D0%BC|Криптосистема с открытым ключом]] | ||
- | *[[https://ru.wikipedia.org/wiki/%D0%A6%D0%B5%D0%BD%D1%82%D1%80_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8|Центр сертификации]] | ||
- | * [[https://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F|Аутентификация]] | ||
- | * [[https://en.wikipedia.org/wiki/Privacy-enhanced_Electronic_Mail|Privacy-enhanced Electronic Mail]] | ||
- | |||
- | ==== Лабораторные работы ==== | ||
- | |||
- | ==== 4.1 Ограничения учетных записей пользователей сервисов ==== | ||
- | |||
- | Демонстрирует преподаватель | ||
- | |||
- | Сценарий: разворачиваем на server, MTA для домена corpX.un, IMAP без SSL. Учетные записи почтовых пользователей не должны иметь shell, предоставляющий доступ к командной строке | ||
- | |||
- | * [[Сервис MTA#Настройка MTA]] | ||
- | * [[UA mail]] | ||
- | * [[Сервер dovecot]] | ||
- | <code> | ||
- | server# apt install ansible | ||
- | |||
- | server# ansible-playbook conf/ansible/roles/mail.yml | ||
- | </code> | ||
- | |||
- | * [[Управление учетными записями в Linux#Изменение атрибутов учетной записи]] shell в Linux | ||
- | |||
- | ==== 4.2 Скрытие баннеров сервисов ==== | ||
- | |||
- | Сценарий: заменяем банеры сервисов SMTP, IMAP, FTP, HTTP, CIFS, SSH | ||
- | |||
- | * Сервис SMTP ([[Сервис MTA#Сокрытие названия сервиса]]) | ||
- | * Сервис IMAP ([[Сервер dovecot#Сокрытие названия сервиса]]) | ||
- | * Сервис HTTP ([[Сервис HTTP#Сокрытие версии сервиса]]) | ||
- | <code> | ||
- | gate# curl -I http://www.corpX.un/ | ||
- | </code> | ||
- | |||
- | * Сервис SSH ([[http://www.cyberciti.biz/faq/howto-ssh-server-hide-version-number-sshd_config/|OpenSSH Hide Version Number From Clients]]) | ||
- | |||
- | ==== 4.3 Замена устаревших сервисов ==== | ||
- | |||
- | Сценарий: перехват учетных данных при подключении пользователей по протоколу ftp для загрузки информации в каталог public_html на server и замена его на sftp | ||
- | |||
- | |||
- | * Сервис HTTP [[Сервис HTTP#Использование домашних каталогов]] | ||
- | * [[Сервис FTP#Сервер ftp]] (/usr/sbin/nologin в /etc/shells) | ||
- | * [[Утилита ettercap]] и [[Утилиты для тестирования сети#tcpdump]] | ||
- | * [[Сервис SSH#SSH вместо FTP (SFTP)]] | ||
- | |||
- | * Технология Docker [[Технология Docker#Микросервисы]] | ||
- | ==== 4.4 Шифрование трафика ==== | ||
- | |||
- | === Подготовка стенда === | ||
- | |||
- | * [[Локализация системы#Локализация временной зоны]] | ||
- | |||
- | === Использование самоподписанных цифровых сертификатов === | ||
- | |||
- | Демонстрирует преподаватель | ||
- | |||
- | Сценарий: замена сервиса HTTP на HTTPS на www | ||
- | |||
- | * [[Пакет OpenSSL#Использование алгоритмов с открытым ключем]] (на примере обмена данными по ftp между student@lan и student@server) | ||
- | * [[Пакет OpenSSL#Создание самоподписанного сертификата]] для системы www | ||
- | * [[Сервис HTTP#Поддержка протокола HTTPS]] для системы www | ||
- | |||
- | === Использование PKI === | ||
- | |||
- | **Сценарий:** | ||
- | |||
- | - развертывание корпоративного CA (на lan) | ||
- | - замена HTTP на HTTPS (на www) | ||
- | - в client-ах добавляем сертификат CA в корневые центры сертификации | ||
- | |||
- | * [[Сервис HTTP#Установка и запуск сервера Apache]] на lan | ||
- | <code> | ||
- | lan# rm /var/www/html/index.html | ||
- | |||
- | server# cat /etc/bind/corpX.un | ||
- | </code><code> | ||
- | ... | ||
- | lan A 192.168.100+X.10 | ||
- | </code><code> | ||
- | server# service named restart | ||
- | </code> | ||
- | * [[Пакет OpenSSL#Создание центра сертификации]] на lan | ||
- | * [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для www | ||
- | * [[Сервис HTTP#Поддержка протокола HTTPS]] для www | ||
- | |||
- | * [[Материалы по Windows#Импорт сертификата]] центра сертификации в windows client (через http://lan.corpX.un/) | ||
- | * [[Пакет OpenSSL#Импорт сертификата центра сертификации]] в linux client | ||
- | |||
- | **Дополнительные задания:** | ||
- | |||
- | - HTTPS доступ к приложению webd (можно gowebd) через nginx на gate | ||
- | - замена IMAP на IMAPS (на server) | ||
- | |||
- | <code> | ||
- | server# cat /etc/bind/corpX.un | ||
- | </code><code> | ||
- | ... | ||
- | gowebd A 192.168.X.1 | ||
- | </code><code> | ||
- | server# service named restart | ||
- | </code> | ||
- | |||
- | * [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] (можно wildcard) | ||
- | <code> | ||
- | lan# scp wild.key gate:gowebd.key; scp wild.crt gate:gowebd.crt | ||
- | </code> | ||
- | * Установка [[Сервис HTTP#NGINX]] на gate | ||
- | * [[Сервис HTTP#HTTPS Прокси (пример 4)]] для HTTP приложения (webd или gowebd) | ||
- | |||
- | <code> | ||
- | lan# scp wild.key server:server.key; scp wild.crt server:server.crt | ||
- | </code> | ||
- | * [[Сервер dovecot#Использование сертификатов для шифрования трафика]] dovecot IMAPS на server | ||
- | |||
- | **Дополнительные задания:** | ||
- | |||
- | * [[Letsencrypt Certbot]] | ||
- | |||
- | ==== 4.5 Аутентификация и Авторизация доступа к сервису ==== | ||
- | |||
- | * [[Linux. Интеграция с корпоративными решениями Microsoft]] | ||
- | * [[https://youtu.be/-fcJ8MkoLts|Видео урок: Использование одноразовых паролей OPIE]] или [[https://habr.com/ru/articles/713582/|Безопасное подключение с чужого компьютера]] | ||
- | * [[https://youtu.be/kXi1KXYy-NE|Видео урок: SSH SSO]] | ||
- | |||
- | * [[Сервис MTA#Настройка MTA на релеинг почты на основе аутентификации]] postfix smtp ssl (демонстрирует преподаватель) | ||
- | |||
- | **Задание:** использование пользовательских сертификатов | ||
- | |||
- | * [[Пакет OpenSSL#Создание пользовательского сертификата, подписанного CA]] | ||
- | * [[Пакет OpenSSL#Оформление сертификата и ключа в формате PKS#12 с парольной защитой]] | ||
- | |||
- | * Рассылка сертификатов, ключей и файлов PKCS#12 владельцам по почте через [[UA mutt]] | ||
- | * Публикация пользовательских сертификатов | ||
- | |||
- | <code> | ||
- | lan.corpX.un:~# cp -v user*crt /var/www/html/ | ||
- | </code> | ||
- | |||
- | * Вариант для курса: | ||
- | |||
- | <code> | ||
- | server# cat /etc/bind/corpX.un | ||
- | </code><code> | ||
- | ... | ||
- | lan A 192.168.100+X.10 | ||
- | </code><code> | ||
- | server# service named restart | ||
- | </code> | ||
- | |||
- | * [[Файловый сервер SAMBA#Установка SAMBA]] на системе lan | ||
- | * [[Файловый сервер SAMBA#Публичный каталог доступный на запись]] | ||
- | <code> | ||
- | lan# cp -v user* /disk2/samba/ | ||
- | |||
- | lan# cp /var/www/html/ca* /disk2/samba/ | ||
- | |||
- | lan# chown -v games /disk2/samba/* | ||
- | </code> | ||
- | |||
- | **Сценарий:** использование пользовательских сертификатов для PEM :) | ||
- | |||
- | * [[Thunderbird#Настройка на использование S/MIME]] Thunderbird (демонстрирует преподаватель) | ||
- | |||
- | **Сценарий:** использование пользовательских сертификатов для аутентификации и авторизации доступа к сайту www | ||
- | |||
- | * [[Сервис HTTP#Управление доступом к HTTP серверу на основе сертификатов]] | ||
- | * [[Сервис HTTP#Использование директивы Redirect]] | ||
- | * [[Сервис HTTP#CGI интерфейс сервера]] | ||
- | <code> | ||
- | lan# curl --cert user1.crt --key user1.key --cacert /var/www/html/ca.crt https://www.corpX.un/cgi-bin/test-cgi | ||
- | </code> | ||
- | |||
- | |||
- | ==== 4.6 Ограничение доступа к сетевым сервисам ==== | ||
- | |||
- | === Статичное, с использованием специальных средств === | ||
- | |||
- | Сценарий: разрешаем SSH подключение к www только из LAN | ||
- | |||
- | * [[Сервис Tcpwrap]] | ||
- | |||
- | === Статичное, с использованием средств встроенных в сервис === | ||
- | |||
- | * [[Файловый сервер SAMBA#Публичный каталог доступный на запись]] | ||
- | * [[Сервис DNS#Ограничение доступа к DNS серверу]] (обсудить) | ||
- | * [[Сервис MTA#Настройка MTA на релеинг почты из LAN]] (обсудить) | ||
- | * [[Сервис HTTP#Управление доступом к HTTP серверу на основе сетевых адресов]] (обсудить) | ||
- | * [[Установка, настройка и запуск пакета SQUID]] (обсудить) | ||
- | |||
- | === Адаптивное, с использование специальных средств === | ||
- | |||
- | * [[Защита почты от вирусов и SPAMа]] (обсудить) | ||
- | * Использование [[Сервис Clamav]] и [[Сервис Clamav#API ядра FANOTIFY]] для защиты файлового сервера на lan (что бы не отключать антивирус на windows, проверить через [[Подключение к файловым серверам CIFS из UNIX#linux проводник thunar]]) | ||
- | |||
- | ==== 4.7 Шифрование контента ==== | ||
- | |||
- | Сценарий: размещаем данные на шифрованном разделе для lan сервиса SAMBA (сетевой диск с двойным дном:) | ||
- | |||
- | * Добавляем диск к lan | ||
- | * [[Управление файловыми системами в Linux#Использование шифрованных разделов в Linux]] | ||
- | * Создать каталог и настроить права доступа для [[Файловый сервер SAMBA#Публичный каталог доступный на запись]] | ||
- | |||
- | |||
- | ==== 4.8 Специальные решения ==== | ||
- | |||
- | Сценарий: защита LAN от посторонних сервисов DHCP | ||
- | |||
- | * [[Оборудование уровня 2 Cisco Catalyst#DHCP snooping]] | ||
- | * [[Сервис DHCP#Поиск посторонних DHCP серверов]] | ||
- | |||
- | ===== Модуль 5. Защита сети предприятия ===== | ||
- | |||
- | ==== Теория ==== | ||
- | |||
- | * [[https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%8D%D0%BA%D1%80%D0%B0%D0%BD|Межсетевой экран]] | ||
- | * [[http://www.linux.org.ru/forum/security/1320671|еще один споcоб блокировать ssh bruteforce роботов]] | ||
- | * [[https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Система обнаружения вторжений]] | ||
- | * [[https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D1%80%D0%B5%D0%B4%D0%BE%D1%82%D0%B2%D1%80%D0%B0%D1%89%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Система предотвращения вторжений]] | ||
- | |||
- | ==== Лабораторные работы ==== | ||
- | |||
- | ==== 5.1 Пакетные фильтры ==== | ||
- | |||
- | Сценарий: защита http сервиса на server от DDOS | ||
- | |||
- | * [[Сервис HTTP#Нагрузочное тестирование]] | ||
- | * [[Сервис Firewall#Конфигурация для защиты от bruteforce]] | ||
- | |||
- | ==== 5.2 Системы IDS и IPS ==== | ||
- | |||
- | Сценарий: Honeypot на gate | ||
- | |||
- | * [[Сервис Portsentry]] | ||
- | * [[https://youtu.be/6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]] | ||
- | |||
- | Сценарий: блокируем атаки на SSH сервис на на server | ||
- | |||
- | * [[Сервис Fail2ban]] | ||
- | |||
- | |||
- | ===== Модуль 6. Использование VPN для соединения сетей филиалов предприятия и удаленных пользователей ===== | ||
- | |||
- | ==== Теория ==== | ||
- | |||
- | * [[http://ru.wikipedia.org/wiki/VPN|Virtual Private Network — виртуальная частная сеть]] | ||
- | * [[https://ngrok.com/product|What is ngrok?]] | ||
- | |||
- | ==== Лабораторные работы ==== | ||
- | |||
- | ==== 6.1 Использование сервиса SSH ==== | ||
- | |||
- | === SSH вместо VPN (привязка к порту клиента) === | ||
- | |||
- | Сценарий: подключаемся с "домашнего" компьютера по RDP к компьютеру в LAN сети предприятия через "рабочую" linux систему, с которой есть доступ в LAN | ||
- | |||
- | Реализация: Отключаем на host системе VirtualBox Host-Only Network адаптер и, используя доступность сети LAN с server, осуществляем доступ по RDP к системе client1 через учетную запись user1 системы server | ||
- | |||
- | * [[Сервис SSH#SSH вместо VPN (привязка к порту клиента)]] | ||
- | |||
- | === SSH вместо VPN (привязка к порту сервера) === | ||
- | |||
- | Сценарий: подключаемся с "домашнего" компьютера по RDP или SSH к компьютеру в LAN сети предприятия, через "внешнюю" linux систему, к которой "заранее" установлено SSH соединение из LAN | ||
- | |||
- | Реализация: отключаем доступность сети LAN "отовсюду", считаем server - "внешним" ресурсом (например VPS), осуществляем доступ по RDP к client1 или SSH к lan через туннель в SSH соединении к server, установленном с client1 или lan | ||
- | |||
- | * Настройка Firewall ([[Сервис Firewall#Конфигурация для шлюза WAN - LAN - DMZ]]) | ||
- | |||
- | * [[Сервис SSH#SSH вместо VPN (привязка к порту сервера)]] | ||
- | * [[https://habr.com/ru/post/709218/|TeamViewer из подручных материалов]] | ||
- | * [[https://habr.com/ru/articles/732736/|GPO для Linux из подручных материалов]] (help.desktop) | ||
- | |||
- | ==== 6.2 Пакет OpenVPN ==== | ||
- | |||
- | Сценарий: требуется предоставить авторизованный доступ пользователей, работающих на __ноутбуках__ и ездящих в командировки, к любым сервисам в сети LAN компании, например - CIFS | ||
- | |||
- | * [[Пакет OpenSSL#Инициализация списка отозванных сертификатов]] | ||
- | |||
- | <code> | ||
- | lan# scp /etc/ssl/openssl.cnf gate:/etc/ssl/ | ||
- | |||
- | lan# scp /var/www/html/ca.crt gate: | ||
- | |||
- | lan# scp /var/www/html/ca.crl gate: | ||
- | </code> | ||
- | |||
- | * [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для gate | ||
- | * [[Пакет OpenVPN]] | ||
- | * [[Пакет OpenVPN#Настройка client/server конфигурации]] | ||
- | * [[Пакет OpenSSL#Отзыв сертификатов]] | ||
- | |||
- | * [[Управление учетными записями в Linux#Перемещение учетных записей]] | ||
- | * [[Пакет OpenVPN#Использование PAM аутентификации]] | ||
- | |||
- | Сценарий: требуется объединить сети филиалов (обсудить) | ||
- | |||
- | * [[Пакет OpenVPN]] | ||
- | * [[Пакет OpenVPN#Настройка peer2peer конфигурации]] | ||
- | |||
- | ===== Вопросы ===== | ||
- | |||
- | ===== Дополнительные материалы ===== | ||
- | |||
- | * [[http://www.onlinepasswordgenerator.ru/|Генератор паролей]] | ||
- | * [[http://sectools.org/tag/crackers/|Top 125 Network Security Tools]] | ||
- | * [[http://www.opennet.ru/dev/alertmon/DoS_prevent.txt|Рекомендации по защите от DoS атак]] | ||
- | * [[https://www.linux.org.ru/news/security/11204691|Утилита для создания MitM-точек доступа: wifiphisher]] | ||
- | * [[http://www.vesti.ru/doc.html?id=2006216|Shellshock оставил беззащитным Интернет]] | ||
- | |||