• Информационная безопасность
• STRIDE is a system developed by Microsoft for thinking about computer security threats

• Demilitarized Zone — демилитаризованная зона, ДМЗ

• Настройка стендов слушателей
• Адаптер 3 - Виртуальный адаптер хоста (eth2/em2)
• route -p add 192.168.0.0 mask 255.255.0.0 10.10.109.252

root@gate:~# cat /etc/network/interfaces

...
auto eth2
iface eth2 inet static
        address 192.168.100+X.1
        netmask 255.255.255.0

# cat /etc/rc.conf

...
ifconfig_em2="192.168.100+X.1/24"
...

Общие файлы конфигурации

root@localhost:~# cat /etc/hostname

lan.corpX.un

root@localhost:~# cat /etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.100+X.10
        netmask 255.255.255.0
        gateway 192.168.100+X.1

root@localhost:~# init 6

...

root@lan:~# apt update

# cat /etc/rc.conf

hostname="lan.corpX.un"
ifconfig_em0="192.168.100+X.10/24"
defaultrouter=192.168.100+X.1

keyrate="fast"
sshd_enable=yes

# init 6

# pkg update -f

# pkg install pkg

Сценарий: 192.168.X/24 - “белая” DMZ сеть, 192.168.100+X - “серая” LAN сеть

• Назначаем host системе на интерфейсе “VirtualBox Host-Only Network” ip address 192.168.100+X.20/24 и подключаемся putty к lan
• Трансляция на основе адреса отправителя

• Сервис DNS
• Сервис EMAIL
• Сервис DHCP
• Файловый сервис
• Сервис WWW

Сценарий: внешний самописный корпоративный сайт на server, контент обновляется через ftp с использованием учетной записи user1 (не забыть изменить владельца каталога /var/www)

• Сервис INETD
• Web сервер на shell

• Аудит информационной безопасности
• Видео урок: Аудит системных событий в Linux/FreeBSD

Сценарий: сканирование портов сервисов системы server

• Cканирование портов сервисов системы

Сценарий: определение версий ПО и уязвимостей системы server (ищем directory traversal http://www.securityfocus.com/bid/3666/discuss)

gate.isp.un$ curl --path-as-is http://server.corpX.un/../../../etc/passwd

gate.isp.un$ fetch -o - http://server.corpX.un/../../../etc/passwd

gate.isp.un$ telnet server.corpX.un 80

GET /../../../etc/passwd HTTP/1.1

GET /../../../etc/shadow HTTP/1.1

GET /../../../etc/master.passwd HTTP/1.1

Nessus

• Nessus
• https://nessus.isp.un:8834/ (использовать Internal Network Scan с Max Simultaneous TCP Sessions Per Host=1)

OpenVAS

• Сервис OpenVAS
• https://openvas.isp.un/
• Определяет уязвимость как: JRun directory traversal

freebsd# cat /var/log/messages
...
May 12 14:36:05 server inetd[908]: http from 172.16.1.248 exceeded counts/min (limit 60/min)
May 12 14:36:36 server last message repeated 154 times
...

Kali Linux

• Advanced Penetration Testing Linux Distribution

Сценарий: перехват учетных данных при обновлении пользователем user1 веб информации на server по протоколу ftp

• Сервис DHCP Установка
• Сервис DHCP Стандартная настройка
• Проверка конфигурации и запуск
• Запуск системы client1
• Сервис DHCP Поиск и подавление посторонних DHCP серверов (см. модуль 4.8)
• Управление учетными записями в Linux, Управление учетными записями в FreeBSD
• Сервер ftp
• Утилита ettercap
• tcpdump

• John the Ripper password cracker
• An online password cracking service

• Утилита john

• Утилита tripwire
• Видео Урок: Tripware - мониторинг и предупреждения об изменениях файлов в системе

• Безопасность сервера FreeBSD: проверка на rootkit
• Scanning CentOS 7 Server for Malware
• Утилита rkhunter

!!! Тестировать из shell или запустить самописный www сервер на server с правами пользователя user1

• Система FreeBSD Audit
• Система Linux Auditing
• Видео урок: Аудит системных событий в Linux/FreeBSD

• Гугл для хакера
• Управление ПО в Linux
• Обновление системы и базового ПО в FreeBSD
• Обновление дополнительного ПО в FreeBSD

Сценарий: Запуск самописного www сервера на server с правами пользователя user1 не позволит получить через него доступ к /etc/shadow (linux) или /etc/master.passwd (freebsd)

• Система безопасности UNIX
• Сервис INETD

Сценарий: с помощью POSIX ACL запрещаем пользователю user1 читать файл /etc/passwd

• POSIX ACL

Сценарий: Ограничения, накладываемые политиками на самописный www сервер на server не позволят получить через него доступ к любым файлам, кроме разрешенных даже в случае запуска его с правами root

• Модуль AppArmor
• Модули MAC
• Видео Урок: FreeBSD MAC and Linux AppArmor

• Вызов Chroot

Сценарий: Запуск самописного www сервера на server в chroot позволит получить через него доступ только к файлам, которые мы скопировали в chroot окружение

• Команда chroot

• Песочница безопасность

Сценарий: www хостинг

• Технология LXC, Технология jail
• Установка и запуск сервера Apache
• Linux (Перемещение учетных записей), FreeBSD (Перемещение учетных записей)

• Нandbook: Защита FreeBSD
• OpenBSD - ОС ориентированная на безопасность

• Переполнение буфера
• Выход из Chroot
• GRSecurity
• Hardened Gentoo
• Видео урок: Использование GRSecurity

Сценарий: разворачиваем на server, MTA для домена server.corpX.un, IMAP без SSL. Учетные записи почтовых пользователей не должны иметь shell, предоставляющий командную строку

• Настройка MTA
• Управление учетными записями в Linux, Управление учетными записями в FreeBSD
• UA mail
• Сервер dovecot
• В linux (Изменение атрибутов учетной записи)
• В freebsd (Изменение атрибутов учетной записи)

Сценарий: заменяем банеры сервисов SMTP, IMAP, FTP, HTTP, CIFS, SSH

• Сервис SMTP (Сокрытие названия сервиса)
• Сервис IMAP (Сокрытие названия сервиса)
• Сервис FTP (Сокрытие названия/версии сервиса)
• Сервис HTTP (Сокрытие версии сервиса)
• Сервис CIFS (Публичный каталог доступный на запись, Сокрытие названия/версии сервиса)
• Сервис SSH (OpenSSH Hide Version Number From Clients)

Сценарий: для хостинга заменяем FTP на SFTP

• SSH вместо FTP (SFTP)
• Использование домашних каталогов

Сценарий: защита самописного web сервера от DoS

• Сервис XINETD

Сценарий: замена сервиса HTTP на HTTPS на www

• Использование алгоритмов с открытым ключем
• Синхронизируем время систем gate, server, lan (Сервис NTP)
• Создание самоподписанного сертификата
• Сервис HTTPS (Поддержка протокола HTTPS)

Сценарий:

1. развертывание корпоративного CA (на lan)
2. замена IMAP на IMAPS (на server)
3. замена HTTP на HTTPS на lan (в клиенте добавлять сертификат CA в корневые центры сертификации)

• Установка и запуск сервера Apache
• Создаем CA на lan (Создание центра сертификации)
• Создание сертификата сервиса, подписанного CA для server
• Сервис HTTPS (Поддержка протокола HTTPS)
• Cервиса IMAPS (Использование сертификатов для шифрования трафика)
• Создание сертификата сервиса, подписанного CA для www

• Управление идентификацией в сетях UNIX и Windows
• Видео урок: Использование одноразовых паролей OPIE
• Видео урок: SSH SSO

Сценарий: создание пользовательских сертификатов

• Создание пользовательского сертификата, подписанного CA
• Оформление сертификата и ключа в формате PKS#12 с парольной защитой

Сценарий: использование пользовательских сертификатов для доступа по https на www

• Управление доступом к HTTP серверу на основе сертификатов
• Использование директивы Redirect
• CGI интерфейс сервера

Сценарий: использование пользовательских сертификатов для доступа по imaps на server и для электронной подписи

• Сервер dovecot (Аутентификация на основе пользовательских сертификатов)

Сценарий: разрешаем подключение к gate только из DMZ

• Сервис Tcpwrap

• Публичный каталог доступный на запись
• Ограничение доступа к DNS серверу
• Настройка MTA на релеинг почты из LAN
• Управление доступом к HTTP серверу на основе сетевых адресов
• Установка, настройка и запуск пакета SQUID

• Защита почты от вирусов и SPAMа
• Антивирусная защита web трафика SQUID

Сценарий: препятствуем попыткам сканирования системы server

• Сервис Portsentry
• Видео урок: Honeypot из tcpwrap и portsentry

Сценарий: размещаем данные пользователей на шифрованном разделе для сервера SAMBA

• Создаем раздел, без файловой системы (Добавление дисков в Ubuntu, Добавление дисков в FreeBSD)
• Использование шифрованных разделов в Linux, Использование шифрованных разделов в FreeBSD
• Установка сервера SAMBA
• Публичный каталог доступный на запись
• Убираем сервисы smbd и nmbd из автозагрузки (Управление сервисами в Linux, Управление сервисами в FreeBSD)

Сценарий: защита LAN от посторонних сервисов DHCP

• DHCP, TFTP, DNS, SNTP и Syslog для Windows
• DHCP snooping
• Поиск и подавление посторонних DHCP серверов

Сценарий: защита сервиса ssh на server от bruteforce

• еще один споcоб блокировать ssh bruteforce роботов
• Конфигурация для защиты от bruteforce (атакуем server через putty с host системы)

Проверять с windows клиента, переместив его в WAN

• Сервис SNORT
• Сервис SNORTSAM
• Сервис BARNYARD2
• Сервис Fail2ban

Virtual Private Network — виртуальная частная сеть

Сценарий: используя доступность LAN с server осуществляем доступ по RDP в сеть LAN через учетную запись user1 системы server

• Добавляем учетную запись user1 в linux (Добавление учетной записи), в freebsd (Добавление учетной записи)
• SSH вместо VPN (привязка к порту клиента)

Сценарий: отключаем доступность LAN с server (и других систем, имеющих туда маршрут), осуществляем доступ по RDP в сеть LAN через учетную запись user1 системы server с использованием ssh соединения между lan и server

• Настройка Firewall (Конфигурация для шлюза WAN - LAN - DMZ)
• Назначаем host системе на интерфейсе “VirtualBox Host-Only Network” ip address 192.168.100+X.20/24 и подключаемся putty к lan
• SSH вместо VPN (привязка к порту сервера), использовать Bitvise SSH Client (Tunnelier)

Сценарий: требуется предоставить авторизованный доступ внешних пользователей к любым LAN сервисам компании, например - CIFS

• Пакет OpenVPN
• Настройка client/server конфигурации
• Отзыв сертификатов

Сценарий: требуется объединить сети филиалов

• Пакет OpenVPN
• Настройка peer2peer конфигурации

• Генератор паролей
• Top 125 Network Security Tools
• Рекомендации по защите от DoS атак
• Утилита для создания MitM-точек доступа: wifiphisher
• Shellshock оставил беззащитным Интернет