====== Обеспечение безопасности Linux решений ======
===== Программа курса =====
* [[http://www.specialist.ru/course/yunbez|Linux. Уровень 3. Обеспечение безопасности систем, сервисов и сетей]]
===== Модуль 0. Подготовка стенда в классе =====
* Узнать свой номер стенда
* Удалить виртуалки
* Удалить профили putty
* Включить адаптер VirtualBox Host-Only Ethernet Adapter
* Записать логин пароль и IP WAN интерфейса (сообщить преподавателю) от рабочей станции
* Проверить наличие дистрибутивов и образов
===== Модуль 1. Развертывание сети и сервисов предприятия =====
==== Теория ====
* [[http://ru.wikipedia.org/wiki/Информационная_безопасность|Информационная безопасность]]
* [[http://en.wikipedia.org/wiki/STRIDE_(security)|STRIDE is a system developed by Microsoft for thinking about computer security threats]]
* [[http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)|Demilitarized Zone — демилитаризованная зона, ДМЗ]]
==== Лабораторные работы ====
Сценарий: 172.16.1.0/24 - WAN сеть, 192.168.X/24 - "белая" DMZ сеть, 192.168.100+X - "серая" LAN сеть
==== 1.1 Настройка систем gate, lan и server ====
Запустите с правами Administrator
C:\cmder\cmder.exe
bash
cd
test -d conf && rm -r conf
git clone http://val.bmstu.ru/unix/conf.git
cd conf/virtualbox/
!!! 3 - это номер курса, вместо X укажите Ваш номер стенда, если не знаете его, спросите преподавателя !!!
./setup.sh X 3
**Клонируем server в lan**
=== Настраиваем gate ===
* Адаптер 1 - Внутренняя сеть (eth0) - DMZ
* Адаптер 2 - Сетевой мост (eth1) - WAN (уже подключен)
* Адаптер 3 - Виртуальный адаптер хоста (eth2) - LAN
gate# ifconfig eth2 inet 192.168.100+X.1/24
* Создаем в Putty профиль gate и подключаемся
gate# sh net_gate.sh
gate# cat /etc/network/interfaces
...
auto eth2
iface eth2 inet static
address 192.168.100+X.1
netmask 255.255.255.0
gate# init 6
gate# apt update
=== Настраиваем lan ===
* Адаптер 1 - Виртуальный адаптер хоста (eth0) - LAN (уже подключен)
lan# ifconfig eth0 inet 192.168.100+X.10/24
* Создаем в Putty профиль lan и подключаемся
lan# sh net_server.sh
lan# hostnamectl set-hostname lan.corpX.un
lan# cat /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.100+X.10
netmask 255.255.255.0
gateway 192.168.100+X.1
lan# init 6
=== Настраиваем server ===
* Адаптер 1 - Внутренняя сеть (eth0) - DMZ
server# sh net_server.sh
server# init 6
* Создаем в Putty профиль server и подключаемся
==== 1.2 Подключение сети предприятия к Internet ====
* Настраиваем доступ в Internet из сети LAN и использованием [[Сервис NAT]]
* Тестируем
lan# apt update
==== 1.3 План размещения сервисов в сети предприятия ====
=== Сервис DNS ===
server# sh conf/dns.sh
lan# cat /etc/resolv.conf
search corpX.un
nameserver 192.168.X.10
* Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH#Аутентификация с использованием ключей ssh]])
lan# ssh-copy-id server
lan# ssh-copy-id gate
lan# scp /etc/resolv.conf server:/etc/
lan# scp /etc/resolv.conf gate:/etc/
=== Сервис EMAIL ===
Будет развернут на системе server
=== Сервис DHCP ===
Разворачиваем на системе gate в сети LAN
* Сервис DHCP [[Сервис DHCP#isc-kea]]
* Импорт и запуск системы linux client1 ([[Инсталяция системы в конфигурации Desktop]], демонстрирует преподаватель)
* Импорт и запуск системы windows client2
=== Сервис CIFS ===
Будет развернут на системе lan
=== Сервис HTTP ===
Сценарий: внешний корпоративный сайт на server
* [[Средства программирования shell#Web сервер на shell]]
* [[Сервис INETD]]
===== Модуль 2. Анализ информационных систем предприятия с точки зрения безопасности =====
==== Теория ====
* [[https://ru.wikipedia.org/wiki/%D0%90%D1%83%D0%B4%D0%B8%D1%82_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8|Аудит информационной безопасности]]
* [[https://ru.wikipedia.org/wiki/%D0%A5%D0%BE%D1%81%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Хостовая система обнаружения вторжений]]
* [[https://ru.wikipedia.org/wiki/Nmap|Nmap]]
* [[https://www.kali.org/|Kali Linux - Advanced Penetration Testing Linux Distribution]]
* [[https://ru.wikipedia.org/wiki/OpenVAS|OpenVAS]]
* [[https://youtu.be/zjzdqqk7xmo|Видео урок: Аудит системных событий в Linux/FreeBSD]]
* [[https://www.specialist.ru/course/ceh|Этичный хакинг. Техники атак и инструменты противодействия]]
==== Лабораторные работы ====
==== 2.1 Внешний аудит систем ====
Сценарий: сканирование портов сервисов системы server (с lan или gate.isp.un по ip адресу), находим web сервер
* [[Утилита nmap]]
Сценарий: автоматизированный поиск уязвимостей, находим "directory traversal"
* [[Сервис OpenVAS]]
* По окончании эксперимента остановить лишние экземпляры **pkill webd** или перезапустить server
Сценарий: эксплуатируем найденную уязвимость "directory traversal"
* [[Управление учетными записями в Linux#Создание тестового набора учетных записей]] на server
lan# curl --path-as-is http://192.168.X.10/../../../etc/passwd
gate.isp.un$ fetch -o - http://192.168.X.10/../../../etc/passwd
gate.isp.un$ telnet 192.168.X.10 80
GET /../../../etc/passwd HTTP/1.1
Сценарий: Brute force-атака по известным login
* [[Утилита hydra]]
==== 2.2 Внутренний аудит систем ====
=== Проверка стойкости паролей ===
lan# curl --path-as-is http://192.168.X.10/../../../etc/shadow | tee shadow
* [[http://www.openwall.com/john/|John the Ripper password cracker]]
* [[Утилита john]]
=== Проверка целостности системы ===
Сценарий: находим модифицированное ПО (можно изменить код web сервера)
* [[Утилита tripwire]] ([[https://youtu.be/FR_5am9__Ug|Видео Урок: Tripware - мониторинг и предупреждения об изменениях файлов в системе]])
* [[Утилита aide]]
=== Проверка системы на наличие закладок ===
* [[https://www.upcloud.com/support/scanning-centos-server-for-malware/|Scanning CentOS 7 Server for Malware]]
* [[https://en.wikipedia.org/wiki/Xor_DDoS|XOR DDoS is a Linux Trojan malware]]
* [[https://www.raspberrypi.org/documentation/linux/usage/users.md|User management in Raspberry Pi]]
* Загружаем на server
server# cd /
server# wget http://gate.isp.un/unix/xor_ddos_linux_trojan.tgz
server# tar -xvzf xor_ddos_linux_trojan.tgz
* [[Утилита rkhunter]]
* [[Утилита chkrootkit]]
* [[Сервис OSSEC]]
=== Аудит системных событий ===
Сценарий: фиксируем обращения к файлам базы данных учетных записей со стороны процессов с EUID=user1/student. Можно тестировать из shell или запустить www сервер на server с правами user1/student
* [[Система Linux Auditing]]
* [[https://youtu.be/zjzdqqk7xmo|Видео урок: Аудит системных событий в Linux/FreeBSD]]
===== Модуль 3. Защита систем предприятия =====
==== Теория ====
* [[https://habrahabr.ru/company/xakep/blog/305262/|Гугл для хакера]]
* [[https://nvd.nist.gov/vuln/search|Computer Security Resource Center National Vulnerability Database]] Keyword Search: Apache 2.4.18
* [[http://ru.wikipedia.org/wiki/Chroot|Вызов Chroot]]
* [[https://ru.wikipedia.org/wiki/Песочница_(безопасность)|Песочница безопасность]]
* [[http://ru.wikipedia.org/wiki/Переполнение_буфера|Переполнение буфера]]
* [[http://www.unixwiz.net/techtips/mirror/chroot-break.html|Выход из Chroot]]
* [[http://samag.ru/archive/article/341|GRSecurity]]
* [[https://wiki.gentoo.org/wiki/Hardened_Gentoo/ru|Hardened Gentoo]]
==== Лабораторные работы ====
==== 3.1 Обновление систем ====
* [[Управление ПО в Linux]]
==== 3.2 Управление привилегиями ====
=== Система безопасности UNIX ===
Сценарий: Запуск www сервера с правами пользователя user1/student не позволит получить через него доступ к /etc/shadow
* [[Система безопасности UNIX]]
* [[Сервис INETD]]
=== Списки контроля доступа ===
Сценарий: с помощью POSIX ACL запрещаем пользователю user1 читать файл /etc/passwd
* [[POSIX ACL]]
=== Расширенные атрибуты ===
* [[POSIX capabilities]]
=== Переменные ядра ===
* [[Управление ядром и модулями в Linux#Переменные ядра]]
==== 3.3 Изоляция сервисов ====
=== Модули Linux LSM ===
Сценарий: ограничения, накладываемые политиками на www сервер на server не позволят получить через него доступ к любым файлам, кроме разрешенных даже в случае запуска его с правами **root**
* [[Модуль AppArmor]]
* [[Модуль AppArmor#Создание профиля "вручную"]]
* [[https://youtu.be/AaB5mL3SAlQ|Видео Урок: FreeBSD MAC and Linux AppArmor]]
* [[Модуль SELinux]]
=== Изоляция сервисов в файловой системе ===
Сценарий: запуск www сервера на server в chroot позволит получить через него доступ только к файлам, которые мы скопировали в chroot окружение
* [[Команда chroot]]
=== Изоляция сервисов в выделенном окружении ===
Сценарий: переносим www хостинг в контейнер
server# systemctl stop inetutils-inetd && systemctl disable inetutils-inetd
* [[Технология namespaces]]
* [[Технология cgroup]]
* [[Технология LXC]]
* [[Пакет RSYNC#Инкрементное копирование (Incremental Backup)]]
* [[Сервис HTTP#Установка и запуск сервера Apache]] на www
server# cat /etc/bind/corpX.un
...
@ ...
...
A 192.168.X.20
MX 1 server
...
www A 192.168.X.20
server# service named restart
* [[Технология Docker]]
server# cat /etc/bind/corpX.un
...
lan A 192.168.100+X.10
server# service named restart
lan# rsync -avz server:/var/www/ /var/www/
* [[Технология Docker#Установка]] Docker
* [[Технология Docker#Создание образа для приложения вручную]]
* [[Технология Docker#Запуск в режиме демона и подключение к контейнеру]]
* [[Технология Docker#Создание образа для приложения с использованием Dockerfile]]
* [[Технология Docker#Копирование образов]]
==== 3.4 Усиление системы с помощью специальных средств ====
* [[Linux Hardened]]
* [[https://youtu.be/-6aM7q27NbM|Видео урок: Использование GRSecurity]]
===== Модуль 4. Защита сервисов предприятия =====
==== Теория ====
* [[https://ru.wikipedia.org/wiki/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5|Шифрование]]
* [[https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D1%81_%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%BC_%D0%BA%D0%BB%D1%8E%D1%87%D0%BE%D0%BC|Криптосистема с открытым ключом]]
*[[https://ru.wikipedia.org/wiki/%D0%A6%D0%B5%D0%BD%D1%82%D1%80_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8|Центр сертификации]]
* [[https://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F|Аутентификация]]
* [[https://en.wikipedia.org/wiki/Privacy-enhanced_Electronic_Mail|Privacy-enhanced Electronic Mail]]
==== Лабораторные работы ====
==== 4.1 Ограничения учетных записей пользователей сервисов ====
Демонстрирует преподаватель
Сценарий: разворачиваем на server, MTA для домена corpX.un, IMAP без SSL. Учетные записи почтовых пользователей не должны иметь shell, предоставляющий доступ к командной строке
* [[Сервис MTA#Настройка MTA]]
* [[UA mail]]
* [[Сервер dovecot]]
server# apt install ansible
server# ansible-playbook conf/ansible/roles/mail.yml
* [[Управление учетными записями в Linux#Изменение атрибутов учетной записи]] shell в Linux
==== 4.2 Скрытие баннеров сервисов ====
Сценарий: заменяем банеры сервисов SMTP, IMAP, FTP, HTTP, CIFS, SSH
* Сервис SMTP ([[Сервис MTA#Сокрытие названия сервиса]])
* Сервис IMAP ([[Сервер dovecot#Сокрытие названия сервиса]])
* Сервис HTTP ([[Сервис HTTP#Сокрытие версии сервиса]])
gate# curl -I http://www.corpX.un/
* Сервис SSH ([[http://www.cyberciti.biz/faq/howto-ssh-server-hide-version-number-sshd_config/|OpenSSH Hide Version Number From Clients]])
==== 4.3 Замена устаревших сервисов ====
Сценарий: перехват учетных данных при подключении пользователей по протоколу ftp для загрузки информации в каталог public_html на server и замена его на sftp
* Сервис HTTP [[Сервис HTTP#Использование домашних каталогов]]
* [[Сервис FTP#Сервер ftp]] (/usr/sbin/nologin в /etc/shells)
* [[Утилита ettercap]] и [[Утилиты для тестирования сети#tcpdump]]
* [[Сервис SSH#SSH вместо FTP (SFTP)]]
* Технология Docker [[Технология Docker#Микросервисы]]
==== 4.4 Шифрование трафика ====
=== Подготовка стенда ===
* [[Локализация системы#Локализация временной зоны]]
=== Использование самоподписанных цифровых сертификатов ===
Демонстрирует преподаватель
Сценарий: замена сервиса HTTP на HTTPS на www
* [[Пакет OpenSSL#Использование алгоритмов с открытым ключем]] (на примере обмена данными по ftp между student@lan и student@server)
* [[Пакет OpenSSL#Создание самоподписанного сертификата]] для системы www
* [[Сервис HTTP#Поддержка протокола HTTPS]] для системы www
=== Использование PKI ===
**Сценарий:**
- развертывание корпоративного CA (на lan)
- замена HTTP на HTTPS (на www)
- в client-ах добавляем сертификат CA в корневые центры сертификации
* [[Сервис HTTP#Установка и запуск сервера Apache]] на lan
lan# rm /var/www/html/index.html
* [[Пакет OpenSSL#Создание центра сертификации]] на lan
* [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для www
* [[Сервис HTTP#Поддержка протокола HTTPS]] для www
* [[Материалы по Windows#Импорт сертификата]] центра сертификации в windows client (через http://lan.corpX.un/)
* [[Пакет OpenSSL#Импорт сертификата центра сертификации]] в linux client
**Дополнительные задания:**
- HTTPS доступ к приложению webd (можно gowebd) через nginx на gate
- замена IMAP на IMAPS (на server)
server# cat /etc/bind/corpX.un
...
gowebd A 192.168.X.1
server# service named restart
* [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] (можно wildcard)
lan# scp wild.key gate:gowebd.key; scp wild.crt gate:gowebd.crt
* Установка [[Сервис HTTP#NGINX]] на gate
* [[Сервис HTTP#HTTPS Прокси (пример 4)]] для HTTP приложения (webd или gowebd)
lan# scp wild.key server:server.key; scp wild.crt server:server.crt
* [[Сервер dovecot#Использование сертификатов для шифрования трафика]] dovecot IMAPS на server
* [[Пакет OpenSSL#Интерактивное подключение по ssl]]
* [[Протокол IMAP]]
**Дополнительные задания:**
* [[Letsencrypt Certbot]]
==== 4.5 Аутентификация и Авторизация доступа к сервису ====
* Курс про аутентификацию и авторизацию: [[Linux. Интеграция с корпоративными решениями Microsoft]]
* [[https://youtu.be/-fcJ8MkoLts|Видео урок: Использование одноразовых паролей OPIE]] или статья [[https://habr.com/ru/articles/713582/|Безопасное подключение с чужого компьютера]]
* [[https://youtu.be/kXi1KXYy-NE|Видео урок: SSH SSO]]
Задание: Настройка почтового сервера на отправку почты пользователям других постовых доменов из почтовых клиентов на основании аутентификации
* [[Сервис MTA#Протокол SMTP]]
* [[Сервис MTA#Настройка MTA на релеинг почты на основе аутентификации]] postfix smtp ssl
* Установка [[Thunderbird]] и [[Thunderbird#Авто конфигурация клиента]]
**Задание:** использование пользовательских сертификатов
* [[Пакет OpenSSL#Создание пользовательского сертификата, подписанного CA]]
* [[Пакет OpenSSL#Оформление сертификата и ключа в формате PKS#12 с парольной защитой]]
* Рассылка сертификатов, ключей и файлов PKCS#12 владельцам по почте через [[UA mutt]]
* Публикация пользовательских сертификатов
lan.corpX.un:~# cp -v user*crt /var/www/html/
* Вариант для курса - используем файловый сервер:
* [[Файловый сервер SAMBA#Установка SAMBA]] на системе lan
* [[Файловый сервер SAMBA#Публичный каталог доступный на запись]]
lan# cp -v user* /disk2/samba/
lan# cp /var/www/html/ca* /disk2/samba/
lan# chown -v games /disk2/samba/*
**Сценарий:** использование пользовательских сертификатов для PEM :)
* [[Thunderbird#Настройка на использование S/MIME]] Thunderbird (демонстрирует преподаватель)
**Сценарий:** использование пользовательских сертификатов для аутентификации и авторизации доступа к сайту www
* [[Сервис HTTP#Управление доступом к HTTP серверу на основе сертификатов]]
* [[Сервис HTTP#Использование директивы Redirect]]
* [[Сервис HTTP#CGI интерфейс сервера]]
lan# curl --cert user1.crt --key user1.key --cacert /var/www/html/ca.crt https://www.corpX.un/cgi-bin/test-cgi
==== 4.6 Ограничение доступа к сетевым сервисам ====
=== Статичное, с использованием специальных средств ===
Сценарий: разрешаем SSH подключение к www только из LAN
* [[Сервис Tcpwrap]]
=== Статичное, с использованием средств встроенных в сервис ===
* [[Файловый сервер SAMBA#Публичный каталог доступный на запись]]
* [[Сервис DNS#Ограничение доступа к DNS серверу]] (обсудить)
* [[Сервис MTA#Настройка MTA на релеинг почты из LAN]] (обсудить)
* [[Сервис HTTP#Управление доступом к HTTP серверу на основе сетевых адресов]] (обсудить)
* [[Установка, настройка и запуск пакета SQUID]] (обсудить)
=== Адаптивное, с использование специальных средств ===
* [[Защита почты от вирусов и SPAMа]] (обсудить)
* Использование [[Сервис Clamav]] и [[Сервис Clamav#API ядра FANOTIFY]] для защиты файлового сервера на lan (что бы не отключать антивирус на windows, проверить через [[Подключение к файловым серверам CIFS из UNIX#linux проводник thunar]])
==== 4.7 Шифрование контента ====
Сценарий: размещаем данные на шифрованном разделе для lan сервиса SAMBA (сетевой диск с двойным дном:)
* Добавляем диск к lan
* [[Управление файловыми системами в Linux#Использование шифрованных разделов в Linux]]
* Создать каталог и настроить права доступа для [[Файловый сервер SAMBA#Публичный каталог доступный на запись]]
==== 4.8 Специальные решения ====
Сценарий: защита LAN от посторонних сервисов DHCP
* [[Оборудование уровня 2 Cisco Catalyst#DHCP snooping]]
* [[Сервис DHCP#Поиск посторонних DHCP серверов]]
===== Модуль 5. Защита сети предприятия =====
==== Теория ====
* [[https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%8D%D0%BA%D1%80%D0%B0%D0%BD|Межсетевой экран]]
* [[http://www.linux.org.ru/forum/security/1320671|еще один споcоб блокировать ssh bruteforce роботов]]
* [[https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Система обнаружения вторжений]]
* [[https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D1%80%D0%B5%D0%B4%D0%BE%D1%82%D0%B2%D1%80%D0%B0%D1%89%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9|Система предотвращения вторжений]]
==== Лабораторные работы ====
==== 5.1 Пакетные фильтры ====
Сценарий: защита http сервиса на server от DDOS
* [[Сервис HTTP#Нагрузочное тестирование]]
* [[Сервис Firewall#Конфигурация для защиты от bruteforce]]
==== 5.2 Системы IDS и IPS ====
Сценарий: Honeypot на gate
* [[Сервис Portsentry]]
* [[https://youtu.be/6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]]
Сценарий: блокируем атаки на SSH сервис на на server
* [[Сервис Fail2ban]]
* [[https://habr.com/ru/articles/813799/|DPI из подручных материалов]]
===== Модуль 6. Использование VPN для соединения сетей филиалов предприятия и удаленных пользователей =====
==== Теория ====
* [[http://ru.wikipedia.org/wiki/VPN|Virtual Private Network — виртуальная частная сеть]]
* [[https://ngrok.com/product|What is ngrok?]]
==== Лабораторные работы ====
==== 6.1 Использование сервиса SSH ====
=== SSH вместо VPN (привязка к порту клиента) ===
Сценарий: подключаемся с "домашнего" компьютера по RDP к компьютеру в LAN сети предприятия через "рабочую" linux систему, с которой есть доступ в LAN
Реализация: Отключаем на host системе VirtualBox Host-Only Network адаптер и, используя доступность сети LAN с server, осуществляем доступ по RDP к системе client1 через учетную запись user1 системы server
* [[Сервис SSH#SSH вместо VPN (привязка к порту клиента)]]
=== SSH вместо VPN (привязка к порту сервера) ===
Сценарий: подключаемся с "домашнего" компьютера по RDP или SSH к компьютеру в LAN сети предприятия, через "внешнюю" linux систему, к которой "заранее" установлено SSH соединение из LAN
Реализация: отключаем доступность сети LAN "отовсюду", считаем server - "внешним" ресурсом (например VPS), осуществляем доступ по RDP к client1 или SSH к lan через туннель в SSH соединении к server, установленном с client1 или lan
* Настройка Firewall ([[Сервис Firewall#Конфигурация для шлюза WAN - LAN - DMZ]])
* [[Сервис SSH#SSH вместо VPN (привязка к порту сервера)]]
* [[https://habr.com/ru/post/709218/|TeamViewer из подручных материалов]]
* [[https://habr.com/ru/articles/732736/|GPO для Linux из подручных материалов]] (help.desktop)
==== 6.2 Пакет OpenVPN ====
Сценарий: требуется предоставить авторизованный доступ пользователей, работающих на __ноутбуках__ и ездящих в командировки, к любым сервисам в сети LAN компании, например - CIFS
* [[Пакет OpenSSL#Инициализация списка отозванных сертификатов]]
lan# scp /etc/ssl/openssl.cnf gate:/etc/ssl/
lan# scp /var/www/html/ca.crt gate:
lan# scp /var/www/html/ca.crl gate:
* [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] для gate
* [[Пакет OpenVPN]]
* [[Пакет OpenVPN#Настройка client/server конфигурации]]
* [[Пакет OpenSSL#Отзыв сертификатов]]
* [[Управление учетными записями в Linux#Перемещение учетных записей]]
* [[Пакет OpenVPN#Использование PAM аутентификации]]
Сценарий: требуется объединить сети филиалов (обсудить)
* [[Пакет OpenVPN]]
* [[Пакет OpenVPN#Настройка peer2peer конфигурации]]
===== Вопросы =====
===== Дополнительные материалы =====
* [[http://www.onlinepasswordgenerator.ru/|Генератор паролей]]
* [[http://sectools.org/tag/crackers/|Top 125 Network Security Tools]]
* [[http://www.opennet.ru/dev/alertmon/DoS_prevent.txt|Рекомендации по защите от DoS атак]]
* [[https://www.linux.org.ru/news/security/11204691|Утилита для создания MitM-точек доступа: wifiphisher]]
* [[http://www.vesti.ru/doc.html?id=2006216|Shellshock оставил беззащитным Интернет]]