Differences

This shows you the differences between two versions of the page.

--- обеспечение_безопасности_unix_решений_20170601 [2017/06/01 14:06]
val [4.5 Аутентификация и Авторизация при доступе к сервису]
+++ обеспечение_безопасности_unix_решений_20170601 [2017/08/18 14:02]
val [4.4 Шифрование трафика]
@@ Line 14: / Line 14: @@
 Сценарий: 192.168.X/24 - "белая" DMZ сеть, 192.168.100+X - "серая" LAN сеть
+Если занятие не в комплексе "Радио", выполнить на рабочей станции:
+<code>
+route -p add 192.168.0.0 mask 255.255.0.0 10.N.M.252
+</code>
 ==== 1.1 Настройка систем Gate и Сервер ====
   * [[Настройка стендов слушателей]]
   * Адаптер 3 - Виртуальный адаптер хоста (eth2/em2)
-  * route -p add 192.168.0.0 mask 255.255.0.0 10.10.109.252
+  * route -p add 192.168.0.0 mask 255.255.0.0 10.N.M.252
+  * Подключаемся putty к server и gate к адресам 192.168.X.Y
 === Ubuntu ===
@@ Line 62: / Line 67: @@
 </code><code>
 root@localhost:~# init 6
-...
-root@lan:~# apt update
 </code>
@@ Line 80: / Line 81: @@
 </code><code>
 # init 6
-# pkg update -f
-# pkg install pkg
 </code>
@@ Line 89: / Line 86: @@
   * Назначаем host системе на интерфейсе "VirtualBox Host-Only Network" ip address 192.168.100+X.20/24 и подключаемся putty к lan
-  * Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH|Аутентификация с использованием ключей ssh]])
   * Настраиваем доступ в Internet из сети LAN ([[Сервис NAT#Трансляция на основе адреса отправителя]])
+  * Тестируем
+<code>
+lan# apt update
+lan# pkg update -f
+lan# pkg install pkg
+</code>
+  * Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH|Аутентификация с использованием ключей ssh]])
 ==== 1.4 План размещения сервисов в сети предприятия ====
@@ Line 104: / Line 110: @@
 === Сервис DHCP ===
-Разворачиваем на системе gate в сети LAN
+Разворачиваем на системе gate в сети LAN (при проведении занятий не в комплексе "Радио" можно не разворачивать, назначив клиенту 101-й адрес статически)
   * Сервис DHCP [[Сервис DHCP#Установка]]
@@ Line 205: / Line 211: @@
   * [[https://habrahabr.ru/company/xakep/blog/305262/|Гугл для хакера]]
+  * [[https://nvd.nist.gov/vuln/search|Computer Security Resource Center National Vulnerability Database]] Keyword Search: Apache 2.4.18
   * [[http://ru.wikipedia.org/wiki/Chroot|Вызов Chroot]]
   * [[https://ru.wikipedia.org/wiki/Песочница_(безопасность)|Песочница безопасность]]
@@ Line 213: / Line 220: @@
   * [[http://samag.ru/archive/article/341|GRSecurity]]
   * [[https://wiki.gentoo.org/wiki/Hardened_Gentoo/ru|Hardened Gentoo]]
 ==== Лабораторные работы ====
@@ Line 269: / Line 275: @@
 ==== Теория ====
-  * [[https://ru.wikipedia.org/wiki/%D0%A6%D0%B5%D0%BD%D1%82%D1%80_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8|Центр сертификации]]
+  * [[https://ru.wikipedia.org/wiki/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5|Шифрование]]
+  * [[https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D1%81_%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%BC_%D0%BA%D0%BB%D1%8E%D1%87%D0%BE%D0%BC|Криптосистема с открытым ключом]]
+  *[[https://ru.wikipedia.org/wiki/%D0%A6%D0%B5%D0%BD%D1%82%D1%80_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8|Центр сертификации]]
+  * [[https://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F|Аутентификация]]
 ==== Лабораторные работы ====
@@ Line 292: / Line 302: @@
   * Сервис FTP ([[Сервис FTP#Сокрытие названия/версии сервиса]])
   * Сервис HTTP ([[Сервис HTTP#Сокрытие версии сервиса]])
+<code>
+gate# curl -I http://www.corpX.un/
+</code>
   * Сервис CIFS ([[Файловый сервер SAMBA#Публичный каталог доступный на запись]], [[Файловый сервер SAMBA#Сокрытие названия/версии сервиса]])
   * Сервис SSH ([[http://www.cyberciti.biz/faq/howto-ssh-server-hide-version-number-sshd_config/|OpenSSH Hide Version Number From Clients]])
@@ Line 302: / Line 315: @@
   * [[Сервис HTTP#Использование домашних каталогов]]
-Сценарий: защита web сервера от DoS
+Сценарий: защита web сервера от DoS атак (демонстрирует преподаватель)
   * [[Сервис XINETD]]
@@ Line 332: / Line 345: @@
   * [[Сервис HTTP#Установка и запуск сервера Apache]] на lan
-  * [[Пакет OpenSSL#Создание центра сертификации]] на lan
+  * [[Пакет OpenSSL#Создание центра сертификации]] на lan (удалить index.html)
   * [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для server
   * [[Сервис HTTP#Поддержка протокола HTTPS]] для server
-  * [[Сервер dovecot#Использование сертификатов для шифрования трафика]] (IMAPS на server)
+  * [[Сервер dovecot#Использование сертификатов для шифрования трафика]] IMAPS на server (демонстрирует преподаватель)
+==== 4.5 Аутентификация и Авторизация доступа к сервису ====
-==== 4.5 Аутентификация и Авторизация при доступе к сервису ====
   * [[Управление идентификацией в сетях UNIX и Windows]]
@@ Line 383: / Line 395: @@
   * [[Сервис Portsentry]]
   * [[https://youtu.be/6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]]
+Сценарий: блокируем атаки на сервис SSH на server
+  * [[Сервис Fail2ban]]
 ==== 4.7 Шифрование контента ====
@@ Line 402: / Line 418: @@
 ===== Модуль 5. Защита сети предприятия =====
+==== Теория ====
+  * [[https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%8D%D0%BA%D1%80%D0%B0%D0%BD|Межсетевой экран]]
+  * [[http://www.linux.org.ru/forum/security/1320671|еще один споcоб блокировать ssh bruteforce роботов]]
+  * [[https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Система обнаружения вторжений]]
+  * [[https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D1%80%D0%B5%D0%B4%D0%BE%D1%82%D0%B2%D1%80%D0%B0%D1%89%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Система предотвращения вторжений]]
+==== Лабораторные работы ====
 ==== 5.1 Пакетные фильтры ====
@@ Line 407: / Line 432: @@
 Сценарий: защита сервиса ssh на server от bruteforce
-  * [[http://www.linux.org.ru/forum/security/1320671|еще один споcоб блокировать ssh bruteforce роботов]]
   * [[Сервис Firewall#Конфигурация для защиты от bruteforce]] (атакуем server через putty с host системы)
 ==== 5.2 Системы IDS и IPS ====
-Проверять с windows клиента, переместив его в WAN
+Сценарий: фиксируем атаки на server из WAN, проверять с gate.isp.un
+  * [[Сервис SNORT]] на gate (указать правильный интерфейс)
+Сценарий: блокируем атаки на server из WAN, проверять с client1, переместив его в WAN (демонстрирует преподаватель на FreeBSD)
-  * [[Сервис SNORT]]
   * [[Сервис SNORTSAM]]
   * [[Сервис BARNYARD2]]
-  * [[Сервис Fail2ban]]
 ===== Модуль 6. Использование VPN для соединения сетей филиалов предприятия и удаленных пользователей =====
-[[http://ru.wikipedia.org/wiki/VPN|Virtual Private Network — виртуальная частная сеть]]
+==== Теория ====
+  * [[http://ru.wikipedia.org/wiki/VPN|Virtual Private Network — виртуальная частная сеть]]
+==== Лабораторные работы ====
 ==== 6.1 Использование сервиса SSH ====
@@ Line 427: / Line 459: @@
 === SSH вместо VPN (привязка к порту клиента) ===
-Сценарий: используя доступность LAN с server осуществляем доступ по RDP в сеть LAN через учетную запись user1 системы server
+Сценарий: Отключаем на host системе VirtualBox Host-Only Network адаптер и, используя доступность LAN с server, осуществляем доступ по HTTP в систему LAN через учетную запись user1 системы server
   * Добавляем учетную запись user1 в linux ([[Управление учетными записями в Linux#Добавление учетной записи]]), в freebsd ([[Управление учетными записями в FreeBSD#Добавление учетной записи]])
@@ Line 444: / Line 476: @@
 Сценарий: требуется предоставить авторизованный доступ внешних пользователей к любым LAN сервисам компании, например - CIFS
+<code>
+lan# scp /etc/ssl/openssl.cnf gate:/etc/ssl/
+lan# scp /var/www/html/ca.crt gate:
+lan# scp /var/www/html/ca.crl gate:
+</code>
+  * [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для gate
   * [[Пакет OpenVPN]]
   * [[Пакет OpenVPN#Настройка client/server конфигурации]]

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools