This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
обеспечение_безопасности_unix_решений_20170601 [2017/06/01 14:56] val [Теория] |
обеспечение_безопасности_unix_решений_20170601 [2017/11/29 07:28] val [2.3 Аудит систем] |
||
---|---|---|---|
Line 1: | Line 1: | ||
====== Обеспечение безопасности UNIX решений ====== | ====== Обеспечение безопасности UNIX решений ====== | ||
- | * [[http://ru.wikipedia.org/wiki/Информационная_безопасность|Информационная безопасность]] | + | ===== Программа курса ===== |
- | * [[http://en.wikipedia.org/wiki/STRIDE_(security)|STRIDE is a system developed by Microsoft for thinking about computer security threats]] | + | |
+ | * [[http://www.specialist.ru/course/yunbez|Linux (Ubuntu)/FreeBSD. Уровень 3. Обеспечение безопасности систем, сервисов и сетей]] | ||
===== Модуль 1. Развертывание сети и сервисов предприятия ===== | ===== Модуль 1. Развертывание сети и сервисов предприятия ===== | ||
Line 8: | Line 9: | ||
==== Теория ==== | ==== Теория ==== | ||
+ | * [[http://ru.wikipedia.org/wiki/Информационная_безопасность|Информационная безопасность]] | ||
+ | * [[http://en.wikipedia.org/wiki/STRIDE_(security)|STRIDE is a system developed by Microsoft for thinking about computer security threats]] | ||
* [[http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)|Demilitarized Zone — демилитаризованная зона, ДМЗ]] | * [[http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)|Demilitarized Zone — демилитаризованная зона, ДМЗ]] | ||
Line 14: | Line 17: | ||
Сценарий: 192.168.X/24 - "белая" DMZ сеть, 192.168.100+X - "серая" LAN сеть | Сценарий: 192.168.X/24 - "белая" DMZ сеть, 192.168.100+X - "серая" LAN сеть | ||
+ | Если занятие не в комплексе "Радио", выполнить на рабочей станции: | ||
+ | <code> | ||
+ | route -p add 192.168.0.0 mask 255.255.0.0 10.N.M.252 | ||
+ | </code> | ||
==== 1.1 Настройка систем Gate и Сервер ==== | ==== 1.1 Настройка систем Gate и Сервер ==== | ||
* [[Настройка стендов слушателей]] | * [[Настройка стендов слушателей]] | ||
* Адаптер 3 - Виртуальный адаптер хоста (eth2/em2) | * Адаптер 3 - Виртуальный адаптер хоста (eth2/em2) | ||
- | * route -p add 192.168.0.0 mask 255.255.0.0 10.10.109.252 | + | * route -p add 192.168.0.0 mask 255.255.0.0 10.N.M.252 |
+ | * Подключаемся putty к server и gate к адресам 192.168.X.Y | ||
=== Ubuntu === | === Ubuntu === | ||
Line 62: | Line 70: | ||
</code><code> | </code><code> | ||
root@localhost:~# init 6 | root@localhost:~# init 6 | ||
- | |||
- | ... | ||
- | |||
- | root@lan:~# apt update | ||
</code> | </code> | ||
Line 80: | Line 84: | ||
</code><code> | </code><code> | ||
# init 6 | # init 6 | ||
- | |||
- | # pkg update -f | ||
- | |||
- | # pkg install pkg | ||
</code> | </code> | ||
Line 89: | Line 89: | ||
* Назначаем host системе на интерфейсе "VirtualBox Host-Only Network" ip address 192.168.100+X.20/24 и подключаемся putty к lan | * Назначаем host системе на интерфейсе "VirtualBox Host-Only Network" ip address 192.168.100+X.20/24 и подключаемся putty к lan | ||
- | * Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH|Аутентификация с использованием ключей ssh]]) | ||
* Настраиваем доступ в Internet из сети LAN ([[Сервис NAT#Трансляция на основе адреса отправителя]]) | * Настраиваем доступ в Internet из сети LAN ([[Сервис NAT#Трансляция на основе адреса отправителя]]) | ||
+ | * Тестируем | ||
+ | <code> | ||
+ | lan# apt update | ||
+ | |||
+ | lan# pkg update -f | ||
+ | |||
+ | lan# pkg install pkg | ||
+ | </code> | ||
+ | * Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH|Аутентификация с использованием ключей ssh]]) | ||
+ | |||
==== 1.4 План размещения сервисов в сети предприятия ==== | ==== 1.4 План размещения сервисов в сети предприятия ==== | ||
Line 104: | Line 113: | ||
=== Сервис DHCP === | === Сервис DHCP === | ||
- | Разворачиваем на системе gate в сети LAN | + | Разворачиваем на системе gate в сети LAN (при проведении занятий не в комплексе "Радио" можно не разворачивать, назначив клиенту 101-й адрес статически) |
* Сервис DHCP [[Сервис DHCP#Установка]] | * Сервис DHCP [[Сервис DHCP#Установка]] | ||
Line 188: | Line 197: | ||
=== Проверка системы на наличие закладок === | === Проверка системы на наличие закладок === | ||
- | * [[http://ramzess.ru/bezopasnost-servera-freebsd-proverka-na-rootkity-chast-i/|Безопасность сервера FreeBSD: проверка на rootkit]] | + | * [[http://housecomputer.ru/os/unix/bsd/freebsd/freebsd_server_security.html|Безопасность сервера FreeBSD: проверка на rootkit]] |
* [[https://www.upcloud.com/support/scanning-centos-server-for-malware/|Scanning CentOS 7 Server for Malware]] | * [[https://www.upcloud.com/support/scanning-centos-server-for-malware/|Scanning CentOS 7 Server for Malware]] | ||
* [[Утилита rkhunter]] | * [[Утилита rkhunter]] | ||
Line 205: | Line 214: | ||
* [[https://habrahabr.ru/company/xakep/blog/305262/|Гугл для хакера]] | * [[https://habrahabr.ru/company/xakep/blog/305262/|Гугл для хакера]] | ||
+ | * [[https://nvd.nist.gov/vuln/search|Computer Security Resource Center National Vulnerability Database]] Keyword Search: Apache 2.4.18 | ||
* [[http://ru.wikipedia.org/wiki/Chroot|Вызов Chroot]] | * [[http://ru.wikipedia.org/wiki/Chroot|Вызов Chroot]] | ||
* [[https://ru.wikipedia.org/wiki/Песочница_(безопасность)|Песочница безопасность]] | * [[https://ru.wikipedia.org/wiki/Песочница_(безопасность)|Песочница безопасность]] | ||
Line 213: | Line 223: | ||
* [[http://samag.ru/archive/article/341|GRSecurity]] | * [[http://samag.ru/archive/article/341|GRSecurity]] | ||
* [[https://wiki.gentoo.org/wiki/Hardened_Gentoo/ru|Hardened Gentoo]] | * [[https://wiki.gentoo.org/wiki/Hardened_Gentoo/ru|Hardened Gentoo]] | ||
- | |||
==== Лабораторные работы ==== | ==== Лабораторные работы ==== | ||
Line 273: | Line 282: | ||
*[[https://ru.wikipedia.org/wiki/%D0%A6%D0%B5%D0%BD%D1%82%D1%80_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8|Центр сертификации]] | *[[https://ru.wikipedia.org/wiki/%D0%A6%D0%B5%D0%BD%D1%82%D1%80_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8|Центр сертификации]] | ||
* [[https://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F|Аутентификация]] | * [[https://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F|Аутентификация]] | ||
+ | |||
+ | |||
==== Лабораторные работы ==== | ==== Лабораторные работы ==== | ||
Line 294: | Line 305: | ||
* Сервис FTP ([[Сервис FTP#Сокрытие названия/версии сервиса]]) | * Сервис FTP ([[Сервис FTP#Сокрытие названия/версии сервиса]]) | ||
* Сервис HTTP ([[Сервис HTTP#Сокрытие версии сервиса]]) | * Сервис HTTP ([[Сервис HTTP#Сокрытие версии сервиса]]) | ||
+ | <code> | ||
+ | gate# curl -I http://www.corpX.un/ | ||
+ | </code> | ||
* Сервис CIFS ([[Файловый сервер SAMBA#Публичный каталог доступный на запись]], [[Файловый сервер SAMBA#Сокрытие названия/версии сервиса]]) | * Сервис CIFS ([[Файловый сервер SAMBA#Публичный каталог доступный на запись]], [[Файловый сервер SAMBA#Сокрытие названия/версии сервиса]]) | ||
* Сервис SSH ([[http://www.cyberciti.biz/faq/howto-ssh-server-hide-version-number-sshd_config/|OpenSSH Hide Version Number From Clients]]) | * Сервис SSH ([[http://www.cyberciti.biz/faq/howto-ssh-server-hide-version-number-sshd_config/|OpenSSH Hide Version Number From Clients]]) | ||
Line 304: | Line 318: | ||
* [[Сервис HTTP#Использование домашних каталогов]] | * [[Сервис HTTP#Использование домашних каталогов]] | ||
- | Сценарий: защита web сервера от DoS | + | Сценарий: защита web сервера от DoS атак (демонстрирует преподаватель) |
* [[Сервис XINETD]] | * [[Сервис XINETD]] | ||
Line 334: | Line 348: | ||
* [[Сервис HTTP#Установка и запуск сервера Apache]] на lan | * [[Сервис HTTP#Установка и запуск сервера Apache]] на lan | ||
- | * [[Пакет OpenSSL#Создание центра сертификации]] на lan | + | * [[Пакет OpenSSL#Создание центра сертификации]] на lan (удалить index.html) |
* [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для server | * [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для server | ||
* [[Сервис HTTP#Поддержка протокола HTTPS]] для server | * [[Сервис HTTP#Поддержка протокола HTTPS]] для server | ||
- | * [[Сервер dovecot#Использование сертификатов для шифрования трафика]] (IMAPS на server) | + | * [[Сервер dovecot#Использование сертификатов для шифрования трафика]] IMAPS на server (демонстрирует преподаватель) |
- | + | ==== 4.5 Аутентификация и Авторизация доступа к сервису ==== | |
- | ==== 4.5 Аутентификация и Авторизация при доступе к сервису ==== | + | |
* [[Управление идентификацией в сетях UNIX и Windows]] | * [[Управление идентификацией в сетях UNIX и Windows]] | ||
Line 385: | Line 398: | ||
* [[Сервис Portsentry]] | * [[Сервис Portsentry]] | ||
* [[https://youtu.be/6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]] | * [[https://youtu.be/6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]] | ||
+ | |||
+ | Сценарий: блокируем атаки на сервис SSH на server | ||
+ | |||
+ | * [[Сервис Fail2ban]] | ||
==== 4.7 Шифрование контента ==== | ==== 4.7 Шифрование контента ==== | ||
Line 404: | Line 421: | ||
===== Модуль 5. Защита сети предприятия ===== | ===== Модуль 5. Защита сети предприятия ===== | ||
+ | |||
+ | ==== Теория ==== | ||
+ | |||
+ | * [[https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%8D%D0%BA%D1%80%D0%B0%D0%BD|Межсетевой экран]] | ||
+ | * [[http://www.linux.org.ru/forum/security/1320671|еще один споcоб блокировать ssh bruteforce роботов]] | ||
+ | * [[https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Система обнаружения вторжений]] | ||
+ | * [[https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D1%80%D0%B5%D0%B4%D0%BE%D1%82%D0%B2%D1%80%D0%B0%D1%89%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Система предотвращения вторжений]] | ||
+ | |||
+ | ==== Лабораторные работы ==== | ||
==== 5.1 Пакетные фильтры ==== | ==== 5.1 Пакетные фильтры ==== | ||
Line 409: | Line 435: | ||
Сценарий: защита сервиса ssh на server от bruteforce | Сценарий: защита сервиса ssh на server от bruteforce | ||
- | * [[http://www.linux.org.ru/forum/security/1320671|еще один споcоб блокировать ssh bruteforce роботов]] | ||
* [[Сервис Firewall#Конфигурация для защиты от bruteforce]] (атакуем server через putty с host системы) | * [[Сервис Firewall#Конфигурация для защиты от bruteforce]] (атакуем server через putty с host системы) | ||
==== 5.2 Системы IDS и IPS ==== | ==== 5.2 Системы IDS и IPS ==== | ||
- | Проверять с windows клиента, переместив его в WAN | + | Сценарий: фиксируем атаки на server из WAN, проверять с gate.isp.un |
+ | |||
+ | * [[Сервис SNORT]] на gate (указать правильный интерфейс) | ||
+ | |||
+ | Сценарий: блокируем атаки на server из WAN, проверять с client1, переместив его в WAN (демонстрирует преподаватель на FreeBSD) | ||
- | * [[Сервис SNORT]] | ||
* [[Сервис SNORTSAM]] | * [[Сервис SNORTSAM]] | ||
* [[Сервис BARNYARD2]] | * [[Сервис BARNYARD2]] | ||
- | * [[Сервис Fail2ban]] | + | |
===== Модуль 6. Использование VPN для соединения сетей филиалов предприятия и удаленных пользователей ===== | ===== Модуль 6. Использование VPN для соединения сетей филиалов предприятия и удаленных пользователей ===== | ||
- | [[http://ru.wikipedia.org/wiki/VPN|Virtual Private Network — виртуальная частная сеть]] | + | ==== Теория ==== |
+ | |||
+ | * [[http://ru.wikipedia.org/wiki/VPN|Virtual Private Network — виртуальная частная сеть]] | ||
+ | |||
+ | ==== Лабораторные работы ==== | ||
==== 6.1 Использование сервиса SSH ==== | ==== 6.1 Использование сервиса SSH ==== | ||
Line 429: | Line 462: | ||
=== SSH вместо VPN (привязка к порту клиента) === | === SSH вместо VPN (привязка к порту клиента) === | ||
- | Сценарий: используя доступность LAN с server осуществляем доступ по RDP в сеть LAN через учетную запись user1 системы server | + | Сценарий: Отключаем на host системе VirtualBox Host-Only Network адаптер и, используя доступность LAN с server, осуществляем доступ по HTTP в систему LAN через учетную запись user1 системы server |
* Добавляем учетную запись user1 в linux ([[Управление учетными записями в Linux#Добавление учетной записи]]), в freebsd ([[Управление учетными записями в FreeBSD#Добавление учетной записи]]) | * Добавляем учетную запись user1 в linux ([[Управление учетными записями в Linux#Добавление учетной записи]]), в freebsd ([[Управление учетными записями в FreeBSD#Добавление учетной записи]]) | ||
Line 446: | Line 479: | ||
Сценарий: требуется предоставить авторизованный доступ внешних пользователей к любым LAN сервисам компании, например - CIFS | Сценарий: требуется предоставить авторизованный доступ внешних пользователей к любым LAN сервисам компании, например - CIFS | ||
+ | <code> | ||
+ | lan# scp /etc/ssl/openssl.cnf gate:/etc/ssl/ | ||
+ | |||
+ | lan# scp /var/www/html/ca.crt gate: | ||
+ | |||
+ | lan# scp /var/www/html/ca.crl gate: | ||
+ | </code> | ||
+ | |||
+ | * [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для gate | ||
* [[Пакет OpenVPN]] | * [[Пакет OpenVPN]] | ||
* [[Пакет OpenVPN#Настройка client/server конфигурации]] | * [[Пакет OpenVPN#Настройка client/server конфигурации]] |