Differences

This shows you the differences between two versions of the page.

--- обеспечение_безопасности_linux_решений_2024 [2024/05/01 08:09]
val [4.1 Ограничения учетных записей пользователей сервисов]
+++ — (current)
@@ Line 1: / Line 1: @@
-====== Обеспечение безопасности Linux решений 2024 ======
-===== Программа курса =====
-  * [[http://www.specialist.ru/course/yunbez|Linux. Уровень 3. Обеспечение безопасности систем, сервисов и сетей]]
-===== Модуль 0. Подготовка стенда в классе =====
-  * Узнать свой номер стенда
-  * Удалить виртуалки
-  * Удалить профили putty
-  * Включить адаптер VirtualBox Host-Only Ethernet Adapter
-  * Записать логин пароль и IP WAN интерфейса (сообщить преподавателю) от рабочей станции
-  * Проверить наличие дистрибутивов и образов
-===== Модуль 1. Развертывание сети и сервисов предприятия =====
-==== Теория ====
-  * [[http://ru.wikipedia.org/wiki/Информационная_безопасность|Информационная безопасность]]
-  * [[http://en.wikipedia.org/wiki/STRIDE_(security)|STRIDE is a system developed by Microsoft for thinking about computer security threats]]
-  * [[http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)|Demilitarized Zone — демилитаризованная зона, ДМЗ]]
-==== Лабораторные работы ====
-Сценарий: 172.16.1.0/24 - WAN сеть, 192.168.X/24 - "белая" DMZ сеть, 192.168.100+X - "серая" LAN сеть
-==== 1.1 Настройка систем gate, lan и server ====
-<code>
-Запустите с правами Administrator
-C:\cmder\cmder.exe
-bash
-cd
-test -d conf && rm -r conf
-git clone http://val.bmstu.ru/unix/conf.git
-cd conf/virtualbox/
-!!! 3 - это номер курса, вместо X укажите Ваш номер стенда, если не знаете его, спросите преподавателя !!!
-./setup.sh X 3
-</code>
-Клонировать server в lan
-=== gate ===
-  * Адаптер 1 - Внутренняя сеть (eth0) - DMZ
-  * Адаптер 2 - Сетевой мост (eth1) - WAN
-  * Адаптер 3 - Виртуальный адаптер хоста (eth2) - LAN
-<code>
-gate# ifconfig eth2 inet 192.168.100+X.1/24
-</code>
-  * Создать в Putty профиль gate и подключиться
-<code>
-gate# sh net_gate.sh
-gate# cat /etc/network/interfaces
-</code><code>
-...
-auto eth2
-iface eth2 inet static
-        address 192.168.100+X.1
-        netmask 255.255.255.0
-</code><code>
-gate# init 6
-</code><code>
-gate# apt update
-</code>
-=== lan ===
-  * Адаптер 1 - Виртуальный адаптер хоста (eth0) - LAN
-<code>
-lan# ifconfig eth0 inet 192.168.100+X.10/24
-</code>
-  * Создать в Putty профиль lan и подключиться
-<code>
-lan# sh net_server.sh
-lan# hostnamectl set-hostname lan.corpX.un
-lan# cat /etc/network/interfaces
-</code><code>
-auto lo
-iface lo inet loopback
-auto eth0
-iface eth0 inet static
-        address 192.168.100+X.10
-        netmask 255.255.255.0
-        gateway 192.168.100+X.1
-</code><code>
-lan# init 6
-</code>
-=== server ===
-<code>
-server# sh net_server.sh
-server# init 6
-</code>
-==== 1.2 Подключение сети предприятия к Internet ====
-  * Настраиваем доступ в Internet из сети LAN и использованием NAT ([[Сервис NAT#nftables]])
-  * Тестируем
-<code>
-lan# apt update
-</code>
-==== 1.3 План размещения сервисов в сети предприятия ====
-=== Сервис DNS ===
-<code>
-server# sh conf/dns.sh
-lan# cat /etc/resolv.conf
-</code><code>
-search corpX.un
-nameserver 192.168.X.10
-</code>
-  * Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH#Аутентификация с использованием ключей ssh]])
-<code>
-lan# ssh-copy-id server
-lan# ssh-copy-id gate
-lan# scp /etc/resolv.conf server:/etc/
-lan# scp /etc/resolv.conf gate:/etc/
-</code>
-=== Сервис EMAIL ===
-Если понадобится, будет развернут на системе server
-=== Сервис DHCP ===
-Разворачиваем на системе gate в сети LAN
-  * Сервис DHCP [[Сервис DHCP#isc-kea]]
-  * Запуск системы clientN
-=== Файловый сервис ===
-Будет развернут на системе lan
-=== Сервис WWW ===
-Сценарий: внешний корпоративный сайт на server
-  * [[Средства программирования shell#Web сервер на shell]]
-  * [[Сервис INETD]]
-===== Модуль 2. Анализ информационных систем предприятия с точки зрения безопасности =====
-==== Теория ====
-  * [[https://ru.wikipedia.org/wiki/%D0%90%D1%83%D0%B4%D0%B8%D1%82_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8|Аудит информационной безопасности]]
-  * [[https://ru.wikipedia.org/wiki/%D0%A5%D0%BE%D1%81%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Хостовая система обнаружения вторжений]]
-  * [[https://ru.wikipedia.org/wiki/Nmap|Nmap]]
-  * [[https://www.kali.org/|Kali Linux - Advanced Penetration Testing Linux Distribution]]
-  * [[https://ru.wikipedia.org/wiki/OpenVAS|OpenVAS]]
-  * [[https://youtu.be/zjzdqqk7xmo|Видео урок: Аудит системных событий в Linux/FreeBSD]]
-==== Лабораторные работы ====
-==== 2.1 Внешний аудит систем ====
-Сценарий: сканирование портов сервисов системы server, находим web сервер
-  * [[Утилита nmap]]
-Сценарий: определяем "вручную" нет ли уязвимости directory traversal
-<code>
-gate.isp.un$ curl --path-as-is http://server.corpX.un/../../../etc/passwd
-gate.isp.un$ fetch -o - http://server.corpX.un/../../../etc/passwd
-gate.isp.un$ telnet server.corpX.un 80
-</code><code>
-GET /../../../etc/passwd HTTP/1.1
-GET /../../../etc/shadow HTTP/1.1
-GET /../../../etc/master.passwd HTTP/1.1
-</code>
-Сценарий: автоматизированный поиск уязвимостей
-  * [[Сервис OpenVAS]]
-  * По окончании эксперимента остановить лишние экземпляры **pkill webd** или перезапустить server
-Сценарий: Brute force-атака по известным login
-  * [[Утилита hydra]]
-==== 2.2 Внутренний аудит систем ====
-=== Проверка стойкости паролей ===
-  * [[http://www.openwall.com/john/|John the Ripper password cracker]]
-  * [[Утилита john]]
-=== Проверка целостности системы ===
-Сценарий: находим модифицированное ПО (можно изменить код web сервера)
-  * [[Утилита tripwire]] ([[https://youtu.be/FR_5am9__Ug|Видео Урок: Tripware - мониторинг и предупреждения об изменениях файлов в системе]])
-  * [[Утилита aide]]
-=== Проверка системы на наличие закладок ===
-  * [[https://www.upcloud.com/support/scanning-centos-server-for-malware/|Scanning CentOS 7 Server for Malware]]
-  * [[https://en.wikipedia.org/wiki/Xor_DDoS|XOR DDoS is a Linux Trojan malware]]
-  * [[https://www.raspberrypi.org/documentation/linux/usage/users.md|User management in Raspberry Pi]]
-  * Загружаем на server
-<code>
-server# cd /
-server# wget http://gate.isp.un/unix/xor_ddos_linux_trojan.tgz
-server# tar -xvzf xor_ddos_linux_trojan.tgz
-</code>
-  * [[Утилита rkhunter]]
-  * [[Утилита chkrootkit]]
-  * [[Сервис OSSEC]]
-=== Аудит системных событий ===
-Сценарий: фиксируем обращения к файлам базы данных учетных записей со стороны процессов с EUID=user1/student. Можно тестировать из shell или запустить www сервер на server с правами user1/student
-  * [[Система Linux Auditing]]
-  * [[https://youtu.be/zjzdqqk7xmo|Видео урок: Аудит системных событий в Linux/FreeBSD]]
-===== Модуль 3. Защита систем предприятия =====
-==== Теория ====
-  * [[https://habrahabr.ru/company/xakep/blog/305262/|Гугл для хакера]]
-  * [[https://nvd.nist.gov/vuln/search|Computer Security Resource Center National Vulnerability Database]] Keyword Search: Apache 2.4.18
-  * [[http://ru.wikipedia.org/wiki/Chroot|Вызов Chroot]]
-  * [[https://ru.wikipedia.org/wiki/Песочница_(безопасность)|Песочница безопасность]]
-  * [[http://ru.wikipedia.org/wiki/Переполнение_буфера|Переполнение буфера]]
-  * [[http://www.unixwiz.net/techtips/mirror/chroot-break.html|Выход из Chroot]]
-  * [[http://samag.ru/archive/article/341|GRSecurity]]
-  * [[https://wiki.gentoo.org/wiki/Hardened_Gentoo/ru|Hardened Gentoo]]
-==== Лабораторные работы ====
-==== 3.1 Обновление систем ====
-  * [[Управление ПО в Linux]]
-==== 3.2 Управление привилегиями ====
-=== Система безопасности UNIX ===
-Сценарий: Запуск www сервера с правами пользователя user1/student не позволит получить через него доступ к /etc/shadow (linux) или /etc/master.passwd (freebsd)
-  * [[Система безопасности UNIX]]
-  * [[Сервис INETD]]
-=== Списки контроля доступа ===
-Сценарий: с помощью POSIX ACL запрещаем пользователю user1 читать файл /etc/passwd
-  * [[POSIX ACL]]
-=== Расширенные атрибуты ===
-  * [[POSIX capabilities]]
-=== Переменные ядра ===
-  * [[Управление ядром и модулями в Linux#Переменные ядра]]
-==== 3.3 Изоляция сервисов ====
-=== Модули Linux LSM ===
-Сценарий: ограничения, накладываемые политиками на www сервер на server не позволят получить через него доступ к любым файлам, кроме разрешенных даже в случае запуска его с правами **root**
-  * [[Модуль AppArmor]]
-  * [[https://youtu.be/AaB5mL3SAlQ|Видео Урок: FreeBSD MAC and Linux AppArmor]]
-  * [[Модуль SELinux]]
-=== Изоляция сервисов в файловой системе ===
-Сценарий: запуск www сервера на server в chroot позволит получить через него доступ только к файлам, которые мы скопировали в chroot окружение
-  * [[Команда chroot]]
-=== Изоляция сервисов в выделенном окружении ===
-Сценарий: переносим www хостинг в контейнер
-  * [[Технология namespaces]]
-  * [[Технология cgroup]]
-  * [[Технология LXC]]
-  * [[Пакет RSYNC#Инкрементное копирование (Incremental Backup)]]
-  * [[Сервис HTTP#Установка и запуск сервера Apache]] на www
-  * Linux ([[Управление учетными записями в Linux#Перемещение учетных записей]])
-  * [[Технология Docker]] (До Микросервисы)
-  * [[https://github.com/docker/for-linux/issues/103|Docker blocking network of existing LXC containers]]
-<code>
-iptables -F FORWARD
-iptables -P FORWARD ACCEPT
-</code>
-==== 3.4 Усиление системы с помощью специальных средств ====
-  * [[Linux Hardened]]
-  * [[https://youtu.be/-6aM7q27NbM|Видео урок: Использование GRSecurity]]
-===== Модуль 4. Защита сервисов предприятия =====
-==== Теория ====
-  * [[https://ru.wikipedia.org/wiki/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5|Шифрование]]
-  * [[https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D1%81_%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%BC_%D0%BA%D0%BB%D1%8E%D1%87%D0%BE%D0%BC|Криптосистема с открытым ключом]]
-  *[[https://ru.wikipedia.org/wiki/%D0%A6%D0%B5%D0%BD%D1%82%D1%80_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8|Центр сертификации]]
-  * [[https://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F|Аутентификация]]
-  * [[https://en.wikipedia.org/wiki/Privacy-enhanced_Electronic_Mail|Privacy-enhanced Electronic Mail]]
-==== Лабораторные работы ====
-==== 4.1 Ограничения учетных записей пользователей сервисов ====
-Демонстрирует преподаватель
-Сценарий: разворачиваем на server, MTA для домена corpX.un, IMAP без SSL. Учетные записи почтовых пользователей не должны иметь shell, предоставляющий командную строку
-  * [[Сервис MTA#Настройка MTA]]
-  * [[UA mail]]
-  * [[Сервер dovecot]]
-<code>
-server# apt install ansible
-server# ansible-playbook conf/ansible/roles/mail.yml
-</code>
-  * [[Управление учетными записями в Linux]]
-  * [[Управление учетными записями в Linux#Изменение атрибутов учетной записи]] в Linux
-==== 4.2 Скрытие баннеров сервисов ====
-Сценарий: заменяем банеры сервисов SMTP, IMAP, FTP, HTTP, CIFS, SSH
-  * Сервис SMTP ([[Сервис MTA#Сокрытие названия сервиса]])
-  * Сервис IMAP ([[Сервер dovecot#Сокрытие названия сервиса]])
-  * Сервис FTP ([[Сервис FTP#Сокрытие названия/версии сервиса]])
-  * Сервис HTTP ([[Сервис HTTP#Сокрытие версии сервиса]])
-<code>
-gate# curl -I http://www.corpX.un/
-</code>
-  * Сервис CIFS ([[Файловый сервер SAMBA#Публичный каталог доступный на запись]], [[Файловый сервер SAMBA#Сокрытие названия/версии сервиса]]) !!! Сделать
-  * Сервис SSH ([[http://www.cyberciti.biz/faq/howto-ssh-server-hide-version-number-sshd_config/|OpenSSH Hide Version Number From Clients]])
-==== 4.3 Замена устаревших сервисов ====
-Сценарий: перехват учетных данных при обновлении пользователем user1 веб информации на server по протоколу ftp
-  * [[Управление учетными записями в Linux]] (все по умолчанию, назначить пароль через echo)
-  * [[Сервис FTP#Сервер ftp]]
-  * [[Утилита ettercap]]
-  * [[Утилиты для тестирования сети#tcpdump]]
-Сценарий: для хостинга на www используем SFTP вместо FTP
-  * [[Сервис SSH#SSH вместо FTP (SFTP)]]
-  * [[Сервис HTTP#Использование домашних каталогов]]
-  * [[Технология Docker]] (От Микросервисы)
-==== 4.4 Шифрование трафика ====
-=== Подготовка стенда ===
-  * [[Локализация системы#Локализация временной зоны]]
-=== Использование самоподписанных цифровых сертификатов ===
-Демонстрирует преподаватель
-Сценарий: замена сервиса HTTP на HTTPS на www
-  * [[Пакет OpenSSL#Использование алгоритмов с открытым ключем]]
-  * [[Пакет OpenSSL#Создание самоподписанного сертификата]] для системы www
-  * [[Сервис HTTP#Поддержка протокола HTTPS]] для системы www
-=== Использование PKI ===
-Сценарий:
-  - развертывание корпоративного CA (на lan)
-  - замена HTTP на HTTPS (на www)
-  - замена IMAP на IMAPS (на server)
-  - в client-ах добавляем сертификат CA в корневые центры сертификации
-  * [[Сервис HTTP#Установка и запуск сервера Apache]] на lan
-  * [[Пакет OpenSSL#Создание центра сертификации]] на lan (удалить index.html)
-  * [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для www
-  * [[Сервис HTTP#Поддержка протокола HTTPS]] для www
-  * [[Пакет OpenSSL#Импорт сертификата центра сертификации]]
-  * [[Сервер dovecot#Использование сертификатов для шифрования трафика]] IMAPS на server (демонстрирует преподаватель)
-==== 4.5 Аутентификация и Авторизация доступа к сервису ====
-  * [[Linux. Интеграция с корпоративными решениями Microsoft]]
-  * [[https://youtu.be/-fcJ8MkoLts|Видео урок: Использование одноразовых паролей OPIE]]
-  * [[https://youtu.be/kXi1KXYy-NE|Видео урок: SSH SSO]]
-  * [[Сервис MTA#Настройка MTA на релеинг почты на основе аутентификации]] (демонстрирует преподаватель)
-**Задание:** использование пользовательских сертификатов для аутентификации и авторизации
-  * [[Пакет OpenSSL#Создание пользовательского сертификата, подписанного CA]]
-  * [[Пакет OpenSSL#Оформление сертификата и ключа в формате PKS#12 с парольной защитой]]
-<code>
-lan# cp -v user* /disk2/samba/
-lan# cp /var/www/html/ca* /disk2/samba/
-lan# chown -v games /disk2/samba/*
-</code>
-**Сценарий:** использование пользовательских сертификатов на server для электронной подписи (PEM :)
-  * [[Thunderbird]] (демонстрирует преподаватель, подделку писем удобнее показать в старой версии)
-**Сценарий:** использование пользовательских сертификатов для доступа по https на www
-  * [[Сервис HTTP#Управление доступом к HTTP серверу на основе сертификатов]]
-  * [[Сервис HTTP#Использование директивы Redirect]]
-  * [[Сервис HTTP#CGI интерфейс сервера]]
-**Сценарий:** использование пользовательских сертификатов для доступа по imaps на server
-  * [[Сервер dovecot#Аутентификация на основе пользовательских сертификатов]] в протоколе IMAP (обсудить, оставить парольную аутентификацию, поскольку ей же пользуется postfix, а thunderbird не поддерживает использование сертификатов для SMTP)
-==== 4.6 Ограничение доступа к сетевым сервисам ====
-=== Статичное, с использованием специальных средств ===
-Сценарий: разрешаем SSH подключение к www только из LAN
-  * [[Сервис Tcpwrap]]
-=== Статичное, с использованием средств встроенных в сервис ===
-  * [[Файловый сервер SAMBA#Публичный каталог доступный на запись]]
-  * [[Сервис DNS#Ограничение доступа к DNS серверу]]
-  * [[Сервис MTA#Настройка MTA на релеинг почты из LAN]]
-  * [[Сервис HTTP#Управление доступом к HTTP серверу на основе сетевых адресов]]
-  * [[Установка, настройка и запуск пакета SQUID]]
-=== Адаптивное, с использование специальных средств ===
-  * [[Защита почты от вирусов и SPAMа]]
-  * [[Антивирусная защита web трафика SQUID]]
-Сценарий: Honeypot на gate
-  * [[Сервис Portsentry]]
-  * [[https://youtu.be/6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]]
-Сценарий: блокируем атаки SSH сервиса на gate
-  * [[Сервис Fail2ban]]
-==== 4.7 Шифрование контента ====
-Сценарий: размещаем данные на шифрованном разделе для lan сервиса SAMBA (сетевой диск с двойным дном:)
-  * Создаем раздел, без файловой системы ([[Управление файловыми системами в Linux#Добавление дисков в Linux]])
-  * [[Управление файловыми системами в Linux#Использование шифрованных разделов в Linux]]
-  * Настроить права доступа к [[Файловый сервер SAMBA#Публичный каталог доступный на запись]]
-==== 4.8 Специальные решения ====
-Сценарий: защита LAN от посторонних сервисов DHCP
-  * [[Оборудование уровня 2 Cisco Catalyst#DHCP snooping]]
-  * [[Сервис DHCP#Поиск посторонних DHCP серверов]]
-===== Модуль 5. Защита сети предприятия =====
-==== Теория ====
-  * [[https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%8D%D0%BA%D1%80%D0%B0%D0%BD|Межсетевой экран]]
-  * [[http://www.linux.org.ru/forum/security/1320671|еще один споcоб блокировать ssh bruteforce роботов]]
-  * [[https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Система обнаружения вторжений]]
-  * [[https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D1%80%D0%B5%D0%B4%D0%BE%D1%82%D0%B2%D1%80%D0%B0%D1%89%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Система предотвращения вторжений]]
-==== Лабораторные работы ====
-==== 5.1 Пакетные фильтры ====
-Сценарий: защита http сервиса на server от bruteforce
-  * [[Сервис Firewall#Конфигурация для защиты от bruteforce]] (генерируем запросы с host системы)
-==== 5.2 Системы IDS и IPS ====
-Сценарий: фиксируем атаки из WAN, проверять с host системы
-  * [[Сервис SNORT]] на gate (указать правильный интерфейс)
-Сценарий: блокируем атаки из WAN, проверять с host системы
-  * [[Сервис Fail2ban#Интеграция fail2ban и snort]]
-===== Модуль 6. Использование VPN для соединения сетей филиалов предприятия и удаленных пользователей =====
-==== Теория ====
-  * [[http://ru.wikipedia.org/wiki/VPN|Virtual Private Network — виртуальная частная сеть]]
-  * [[https://ngrok.com/product|What is ngrok?]]
-==== Лабораторные работы ====
-==== 6.1 Использование сервиса SSH ====
-=== SSH вместо VPN (привязка к порту клиента) ===
-Сценарий: подключаемся с "домашнего" компьютера по RDP к компьютеру в LAN сети предприятия через "рабочую" linux систему, с которой есть доступ в LAN
-Реализация: Отключаем на host системе VirtualBox Host-Only Network адаптер и, используя доступность сети LAN с server, осуществляем доступ по RDP к системе client1 через учетную запись user1 системы server
-  * [[Сервис SSH#SSH вместо VPN (привязка к порту клиента)]]
-=== SSH вместо VPN (привязка к порту сервера) ===
-Сценарий: подключаемся с "домашнего" компьютера по RDP или SSH к компьютеру в LAN сети предприятия, через "внешнюю" linux систему, к которой "заранее" установлено SSH соединение из LAN
-Реализация: отключаем доступность сети LAN "отовсюду", считаем server - "внешним" ресурсом (например VPS), осуществляем доступ по RDP к client1 или SSH к lan через туннель в SSH соединении к server, установленном с client1 или lan
-  * Настройка Firewall ([[Сервис Firewall#Конфигурация для шлюза WAN - LAN - DMZ]])
-  * [[Сервис SSH#SSH вместо VPN (привязка к порту сервера)]], использовать Bitvise SSH Client (Tunnelier)
-==== 6.2 Пакет OpenVPN ====
-Сценарий: требуется предоставить авторизованный доступ пользователей, работающих на __ноутбуках__ и ездящих в командировки, к любым сервисам в сети LAN компании, например - CIFS
-  * [[Пакет OpenSSL#Инициализация списка отозванных сертификатов]]
-<code>
-lan# scp /etc/ssl/openssl.cnf gate:/etc/ssl/
-lan# scp /var/www/html/ca.crt gate:
-lan# scp /var/www/html/ca.crl gate:
-</code>
-  * [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для gate
-  * [[Пакет OpenVPN]]
-  * [[Пакет OpenVPN#Настройка client/server конфигурации]]
-  * [[Пакет OpenSSL#Отзыв сертификатов]]
-Сценарий: требуется объединить сети филиалов
-  * [[Пакет OpenVPN]]
-  * [[Пакет OpenVPN#Настройка peer2peer конфигурации]]
-===== Дополнительные материалы =====
-  * [[http://www.onlinepasswordgenerator.ru/|Генератор паролей]]
-  * [[http://sectools.org/tag/crackers/|Top 125 Network Security Tools]]
-  * [[http://www.opennet.ru/dev/alertmon/DoS_prevent.txt|Рекомендации по защите от DoS атак]]
-  * [[https://www.linux.org.ru/news/security/11204691|Утилита для создания MitM-точек доступа: wifiphisher]]
-  * [[http://www.vesti.ru/doc.html?id=2006216|Shellshock оставил беззащитным Интернет]]
-==== План на 14.11.2022 ====
-=== Подготовка стенда ===
-  * Схема стенда
-  * Развернуть все VM
-  * ext ip на extgate (10.5.N.100+X)
-  * named.conf forwarders на extgate
-  * resolv.conf на extgate
-=== OPIE для подключения к "работе" ===
-  * Ставим Chrome и MobaXterm (что бы настроить opie "на работе")
-  * [[Управление учетными записями в FreeBSD]] - создаем userX/passwordX
-  * Включаем и тестируем [[Аутентификация с использованием OPIE]]
-  * Включаем RDP (все, кто хочет:), пригодится в следующей лабораторной)
-  * Преподаватель переносит Win7 в DMZ (ip: 10.100.100.31)
-  * Преподаватель демонстрирует туннель -L (понадобилось остановить pf :)
-=== Подключение к своему оборудованию в чужой сети или к "работе" без разрешения:)  ===
-  * Преподаватель включает pf
-  * Изучаем туннель -R с параметрами 2000+X:localhost:22 подключаясь как userX к gate.isp.un
-  * [[Управление сервисами в Linux#Управление юнитами Systemd]]
-  * Преподаватель возвращает Win7 в LAN
-  * Изучаем туннель -R с параметрами 3000+X:localhost:3389 подключаясь как userX к gate.isp.un
-=== Корпоративный TeamViewer ===
-  * Используются стенд преподавателя и одного из слушателей
-  * Устанавливаем на Win7 [[Сервис VNC]] на обоих стендах
-  * Разрешаем на extgate прохождение tcp трафика по всем портам на стенде слушателя
-  * Разрешаем на intgate прохождение исходящего tcp трафика по всем портам на стенде слушателя
-  * Преподаватель запускает VNCViewer в Listen mode
-  * Преподаватель устанавливает -R туннель 0:localhost:5500
-  * Слушатель выполняет Attach Listener Viewer на gate.isp.un:NNNNN
-  * Возвращаем исходные настройки пакетных фильтров на extgate и intgate слушателя

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools