User Tools

Site Tools


обеспечение_безопасности_unix_решений_20170601

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
обеспечение_безопасности_unix_решений_20170601 [2017/06/01 15:05]
val
обеспечение_безопасности_unix_решений_20170601 [2017/11/29 07:28] (current)
val [2.3 Аудит систем]
Line 1: Line 1:
 ====== Обеспечение безопасности UNIX решений ====== ====== Обеспечение безопасности UNIX решений ======
  
-  ​* [[http://ru.wikipedia.org/wiki/Информационная_безопасность|Информационная безопасность]] +===== Программа курса ===== 
-  * [[http://​en.wikipedia.org/​wiki/​STRIDE_(security)|STRIDE is a system developed by Microsoft for thinking about computer security threats]]+ 
 +  ​* [[http://www.specialist.ru/course/yunbez|Linux (Ubuntu)/​FreeBSD. Уровень 3. Обеспечение безопасности ​систем, сервисов и сетей]]
  
 ===== Модуль 1. Развертывание сети и сервисов предприятия ===== ===== Модуль 1. Развертывание сети и сервисов предприятия =====
Line 8: Line 9:
 ==== Теория ==== ==== Теория ====
  
 +  * [[http://​ru.wikipedia.org/​wiki/​Информационная_безопасность|Информационная безопасность]]
 +  * [[http://​en.wikipedia.org/​wiki/​STRIDE_(security)|STRIDE is a system developed by Microsoft for thinking about computer security threats]]
   * [[http://​ru.wikipedia.org/​wiki/​DMZ_(компьютерные_сети)|Demilitarized Zone — демилитаризованная зона, ДМЗ]]   * [[http://​ru.wikipedia.org/​wiki/​DMZ_(компьютерные_сети)|Demilitarized Zone — демилитаризованная зона, ДМЗ]]
  
Line 14: Line 17:
 Сценарий:​ 192.168.X/​24 - "​белая"​ DMZ сеть, 192.168.100+X - "​серая"​ LAN сеть Сценарий:​ 192.168.X/​24 - "​белая"​ DMZ сеть, 192.168.100+X - "​серая"​ LAN сеть
  
 +Если занятие не в комплексе "​Радио",​ выполнить на рабочей станции:​
 +<​code>​
 +route -p add 192.168.0.0 mask 255.255.0.0 10.N.M.252
 +</​code>​
 ==== 1.1 Настройка систем Gate и Сервер ==== ==== 1.1 Настройка систем Gate и Сервер ====
  
   * [[Настройка стендов слушателей]]   * [[Настройка стендов слушателей]]
   * Адаптер 3 - Виртуальный адаптер хоста (eth2/em2)   * Адаптер 3 - Виртуальный адаптер хоста (eth2/em2)
-  * route -p add 192.168.0.0 mask 255.255.0.0 10.10.109.252+  * route -p add 192.168.0.0 mask 255.255.0.0 10.N.M.252 
 +  * Подключаемся putty к server и gate к адресам 192.168.X.Y
  
 === Ubuntu === === Ubuntu ===
Line 62: Line 70:
 </​code><​code>​ </​code><​code>​
 root@localhost:​~#​ init 6 root@localhost:​~#​ init 6
- 
-... 
- 
-root@lan:~# apt update 
 </​code>​ </​code>​
  
Line 80: Line 84:
 </​code><​code>​ </​code><​code>​
 # init 6 # init 6
- 
-# pkg update -f 
- 
-# pkg install pkg 
 </​code>​ </​code>​
  
Line 89: Line 89:
  
   * Назначаем host системе на интерфейсе "​VirtualBox Host-Only Network"​ ip address 192.168.100+X.20/​24 и подключаемся putty к lan   * Назначаем host системе на интерфейсе "​VirtualBox Host-Only Network"​ ip address 192.168.100+X.20/​24 и подключаемся putty к lan
-  * Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH|Аутентификация с использованием ключей ssh]]) 
   * Настраиваем доступ в Internet из сети LAN ([[Сервис NAT#​Трансляция на основе адреса отправителя]])   * Настраиваем доступ в Internet из сети LAN ([[Сервис NAT#​Трансляция на основе адреса отправителя]])
 +  * Тестируем
 +<​code>​
 +lan# apt update
 +
 +lan# pkg update -f
 +
 +lan# pkg install pkg
 +</​code>​
 +  * Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH|Аутентификация с использованием ключей ssh]])
 +
  
 ==== 1.4 План размещения сервисов в сети предприятия ==== ==== 1.4 План размещения сервисов в сети предприятия ====
Line 188: Line 197:
 === Проверка системы на наличие закладок === === Проверка системы на наличие закладок ===
  
-  * [[http://ramzess.ru/bezopasnost-servera-freebsd-proverka-na-rootkity-chast-i/​|Безопасность сервера FreeBSD: проверка на rootkit]]+  * [[http://housecomputer.ru/os/​unix/​bsd/​freebsd/freebsd_server_security.html|Безопасность сервера FreeBSD: проверка на rootkit]]
   * [[https://​www.upcloud.com/​support/​scanning-centos-server-for-malware/​|Scanning CentOS 7 Server for Malware]]   * [[https://​www.upcloud.com/​support/​scanning-centos-server-for-malware/​|Scanning CentOS 7 Server for Malware]]
   * [[Утилита rkhunter]]   * [[Утилита rkhunter]]
Line 205: Line 214:
  
   * [[https://​habrahabr.ru/​company/​xakep/​blog/​305262/​|Гугл для хакера]]   * [[https://​habrahabr.ru/​company/​xakep/​blog/​305262/​|Гугл для хакера]]
 +  * [[https://​nvd.nist.gov/​vuln/​search|Computer Security Resource Center National Vulnerability Database]] Keyword Search: Apache 2.4.18
   * [[http://​ru.wikipedia.org/​wiki/​Chroot|Вызов Chroot]]   * [[http://​ru.wikipedia.org/​wiki/​Chroot|Вызов Chroot]]
   * [[https://​ru.wikipedia.org/​wiki/​Песочница_(безопасность)|Песочница безопасность]]   * [[https://​ru.wikipedia.org/​wiki/​Песочница_(безопасность)|Песочница безопасность]]
Line 213: Line 223:
   * [[http://​samag.ru/​archive/​article/​341|GRSecurity]]   * [[http://​samag.ru/​archive/​article/​341|GRSecurity]]
   * [[https://​wiki.gentoo.org/​wiki/​Hardened_Gentoo/​ru|Hardened Gentoo]]   * [[https://​wiki.gentoo.org/​wiki/​Hardened_Gentoo/​ru|Hardened Gentoo]]
- 
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
  
Line 296: Line 305:
   * Сервис FTP ([[Сервис FTP#​Сокрытие названия/​версии сервиса]])   * Сервис FTP ([[Сервис FTP#​Сокрытие названия/​версии сервиса]])
   * Сервис HTTP ([[Сервис HTTP#​Сокрытие версии сервиса]])   * Сервис HTTP ([[Сервис HTTP#​Сокрытие версии сервиса]])
 +<​code>​
 +gate# curl -I http://​www.corpX.un/​
 +</​code>​
   * Сервис CIFS ([[Файловый сервер SAMBA#​Публичный каталог доступный на запись]],​ [[Файловый сервер SAMBA#​Сокрытие названия/​версии сервиса]])   * Сервис CIFS ([[Файловый сервер SAMBA#​Публичный каталог доступный на запись]],​ [[Файловый сервер SAMBA#​Сокрытие названия/​версии сервиса]])
   * Сервис SSH ([[http://​www.cyberciti.biz/​faq/​howto-ssh-server-hide-version-number-sshd_config/​|OpenSSH Hide Version Number From Clients]])   * Сервис SSH ([[http://​www.cyberciti.biz/​faq/​howto-ssh-server-hide-version-number-sshd_config/​|OpenSSH Hide Version Number From Clients]])
Line 306: Line 318:
   * [[Сервис HTTP#​Использование домашних каталогов]]   * [[Сервис HTTP#​Использование домашних каталогов]]
  
-Сценарий:​ защита web сервера от DoS+Сценарий:​ защита web сервера от DoS атак (демонстрирует преподаватель)
  
   * [[Сервис XINETD]] ​   * [[Сервис XINETD]] ​
Line 336: Line 348:
  
   * [[Сервис HTTP#​Установка и запуск сервера Apache]] на lan   * [[Сервис HTTP#​Установка и запуск сервера Apache]] на lan
-  * [[Пакет OpenSSL#​Создание центра сертификации]] на lan+  * [[Пакет OpenSSL#​Создание центра сертификации]] на lan (удалить index.html)
   * [[Пакет OpenSSL#​Создание сертификата сервиса,​ подписанного CA]] для server   * [[Пакет OpenSSL#​Создание сертификата сервиса,​ подписанного CA]] для server
   * [[Сервис HTTP#​Поддержка протокола HTTPS]] для server   * [[Сервис HTTP#​Поддержка протокола HTTPS]] для server
-  * [[Сервер dovecot#​Использование сертификатов для шифрования трафика]] ​(IMAPS на server) +  * [[Сервер dovecot#​Использование сертификатов для шифрования трафика]] IMAPS на server ​(демонстрирует преподаватель
- +==== 4.5 Аутентификация и Авторизация доступа к сервису ====
-==== 4.5 Аутентификация и Авторизация ​при ​доступе к сервису ====+
  
   * [[Управление идентификацией в сетях UNIX и Windows]]   * [[Управление идентификацией в сетях UNIX и Windows]]
Line 387: Line 398:
   * [[Сервис Portsentry]]   * [[Сервис Portsentry]]
   * [[https://​youtu.be/​6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]]   * [[https://​youtu.be/​6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]]
 +
 +Сценарий:​ блокируем атаки на сервис SSH на server
 +
 +  * [[Сервис Fail2ban]]
 ==== 4.7 Шифрование контента ==== ==== 4.7 Шифрование контента ====
  
Line 424: Line 439:
 ==== 5.2 Системы IDS и IPS ==== ==== 5.2 Системы IDS и IPS ====
  
-Проверять с windows ​клиента,​ переместив его в WAN+Сценарий:​ фиксируем атаки на server из WAN, проверять с gate.isp.un 
 + 
 +  * [[Сервис SNORT]] на gate (указать правильный ​интерфейс) 
 + 
 +Сценарий: блокируем атаки на server из WAN, проверять с client1, переместив его в WAN (демонстрирует преподаватель на FreeBSD)
  
-  * [[Сервис SNORT]] 
   * [[Сервис SNORTSAM]]   * [[Сервис SNORTSAM]]
   * [[Сервис BARNYARD2]]   * [[Сервис BARNYARD2]]
-  * [[Сервис Fail2ban]]+ 
  
 ===== Модуль 6. Использование VPN для соединения сетей филиалов предприятия и удаленных пользователей ===== ===== Модуль 6. Использование VPN для соединения сетей филиалов предприятия и удаленных пользователей =====
  
-[[http://​ru.wikipedia.org/​wiki/​VPN|Virtual Private Network — виртуальная частная сеть]]+==== Теория ==== 
 + 
 +  * [[http://​ru.wikipedia.org/​wiki/​VPN|Virtual Private Network — виртуальная частная сеть]] 
 + 
 +==== Лабораторные работы ====
  
 ==== 6.1 Использование сервиса SSH ==== ==== 6.1 Использование сервиса SSH ====
Line 439: Line 462:
 === SSH вместо VPN (привязка к порту клиента) === === SSH вместо VPN (привязка к порту клиента) ===
  
-Сценарий:​ используя доступность LAN с server осуществляем доступ по RDP в сеть LAN через учетную запись user1 системы server+Сценарий: ​Отключаем на host системе VirtualBox Host-Only Network адаптер и, используя доступность LAN с serverосуществляем доступ по HTTP в систему ​LAN через учетную запись user1 системы server
  
   * Добавляем учетную запись user1 в linux ([[Управление учетными записями в Linux#​Добавление учетной записи]]),​ в freebsd ([[Управление учетными записями в FreeBSD#​Добавление учетной записи]])   * Добавляем учетную запись user1 в linux ([[Управление учетными записями в Linux#​Добавление учетной записи]]),​ в freebsd ([[Управление учетными записями в FreeBSD#​Добавление учетной записи]])
Line 456: Line 479:
 Сценарий:​ требуется предоставить авторизованный доступ внешних пользователей к любым LAN сервисам компании,​ например - CIFS Сценарий:​ требуется предоставить авторизованный доступ внешних пользователей к любым LAN сервисам компании,​ например - CIFS
  
 +<​code>​
 +lan# scp /​etc/​ssl/​openssl.cnf gate:/​etc/​ssl/​
 +
 +lan# scp /​var/​www/​html/​ca.crt gate:
 +
 +lan# scp /​var/​www/​html/​ca.crl gate:
 +</​code>​
 +
 +  * [[Пакет OpenSSL#​Создание сертификата сервиса,​ подписанного CA]] для gate
   * [[Пакет OpenVPN]]   * [[Пакет OpenVPN]]
   * [[Пакет OpenVPN#​Настройка client/​server конфигурации]]   * [[Пакет OpenVPN#​Настройка client/​server конфигурации]]
обеспечение_безопасности_unix_решений_20170601.1496318712.txt.gz · Last modified: 2017/06/01 15:05 by val