обеспечение_безопасности_linux_решений

Table of Contents

Обеспечение безопасности Linux решений

План на 14.11.2022

Программа курса

Модуль 0. Подготовка стенда в классе

  • Узнать свой номер стенда
  • Удалить виртуалки
  • Удалить профили putty
  • Включить адаптер VirtualBox Host-Only Ethernet Adapter
  • Записать логин пароль и IP WAN интерфейса (сообщить преподавателю) от рабочей станции
  • Проверить наличие дистрибутивов и образов

Модуль 1. Развертывание сети и сервисов предприятия

Теория

Лабораторные работы

Сценарий: 172.16.1.0/24 - WAN сеть, 192.168.X/24 - “белая” DMZ сеть, 192.168.100+X - “серая” LAN сеть

1.1 Настройка систем Gate и Сервер

gate

  • Адаптер 1 - Внутренняя сеть (eth0) - DMZ
  • Адаптер 2 - Сетевой мост (eth1) - WAN
  • Адаптер 3 - Виртуальный адаптер хоста (eth2) - LAN
root@gate:~# sh net_gate.sh

root@gate:~# cat /etc/network/interfaces
...
auto eth2
iface eth2 inet static
        address 192.168.100+X.1
        netmask 255.255.255.0
root@gate:~# init 6

server

root@server:~# sh net_server.sh

root@server:~# init 6
  • Настраиваем профили putty к server и gate к адресам DMZ 192.168.X.Y (для gate это подключение пригодится в лабораторных работах с firewall)
gate# apt update

server# apt update

1.2 Настройка системы Lan

# cat /etc/hosts
127.0.0.1               localhost

192.168.100+X.10 lan.corpX.un lan
# cat /etc/resolv.conf
search corpX.un
nameserver 172.16.1.254
# cat /etc/hostname
lan.corpX.un
# cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.100+X.10
        netmask 255.255.255.0
        gateway 192.168.100+X.1
# init 6

1.3 Подключение сети предприятия к Internet

lan# apt update

1.4 План размещения сервисов в сети предприятия

Сервис DNS

Уже развернут у провайдера

Сервис EMAIL

Будет развернут на системе server

Сервис DHCP

Разворачиваем на системе gate в сети LAN

gate# sh conf/dhcp.sh

Файловый сервис

Будет развернут на системе lan

Сервис NTP

Сервис WWW

Сценарий: внешний корпоративный сайт на server

Модуль 2. Анализ информационных систем предприятия с точки зрения безопасности

Теория

Лабораторные работы

2.1 Сканеры безопасности систем

Сценарий: сканирование портов сервисов системы server, находим web сервер

Сценарий: определяем “вручную” нет ли уязвимости directory traversal

gate.isp.un$ curl --path-as-is http://server.corpX.un/../../../etc/passwd

gate.isp.un$ fetch -o - http://server.corpX.un/../../../etc/passwd

gate.isp.un$ telnet server.corpX.un 80
GET /../../../etc/passwd HTTP/1.1

GET /../../../etc/shadow HTTP/1.1

GET /../../../etc/master.passwd HTTP/1.1

Сценарий: автоматизированный поиск уязвимостей

  • По окончании эксперимента остановить лишние экземпляры pkill webd или перезапустить server

2.2 Сканеры безопасности сети

Сценарий: перехват учетных данных при обновлении пользователем user1 веб информации на server по протоколу ftp

2.3 Аудит систем

Проверка стойкости паролей

Проверка целостности системы

Сценарий: находим модифицированное ПО (можно изменить код web сервера)

Проверка системы на наличие закладок

server# cd /

server# wget http://gate.isp.un/unix/xor_ddos_linux_trojan.tgz

server# tar -xvzf xor_ddos_linux_trojan.tgz

Аудит системных событий

Сценарий: фиксируем обращения к файлам базы данных учетных записей со стороны процессов с EUID=user1. Можно тестировать из shell или запустить www сервер на server с правами user1

Модуль 3. Защита систем предприятия

Теория

Лабораторные работы

3.1 Обновление систем

3.2 Управление привилегиями сервисов

Система безопасности UNIX

Сценарий: Запуск www сервера с правами пользователя user1 не позволит получить через него доступ к /etc/shadow (linux) или /etc/master.passwd (freebsd)

POSIX ACL

Сценарий: с помощью POSIX ACL запрещаем пользователю user1 читать файл /etc/passwd

3.3 Изоляция сервисов

Модули Linux LSM

Сценарий: ограничения, накладываемые политиками на www сервер на server не позволят получить через него доступ к любым файлам, кроме разрешенных даже в случае запуска его с правами root

Изоляция сервисов в файловой системе

Сценарий: запуск www сервера на server в chroot позволит получить через него доступ только к файлам, которые мы скопировали в chroot окружение

Изоляция сервисов в выделенном окружении

Сценарий: переносим www хостинг в контейнер

iptables -F FORWARD
iptables -P FORWARD ACCEPT

3.4 Усиление системы с помощью специальных средств

Модуль 4. Защита сервисов предприятия

Теория

Лабораторные работы

4.1 Ограничения учетных записей пользователей сервисов

Демонстрирует преподаватель

Сценарий: разворачиваем на server, MTA для домена corpX.un, IMAP без SSL. Учетные записи почтовых пользователей не должны иметь shell, предоставляющий командную строку

4.2 Скрытие баннеров сервисов

Сценарий: заменяем банеры сервисов SMTP, IMAP, FTP, HTTP, CIFS, SSH

gate# curl -I http://www.corpX.un/

4.3 Замена устаревших сервисов

Сценарий: для хостинга на www используем SFTP вместо FTP

4.4 Шифрование трафика

Подготовка стенда

Использование самоподписанных цифровых сертификатов

Демонстрирует преподаватель

Сценарий: замена сервиса HTTP на HTTPS на www

Использование PKI

Сценарий:

  1. развертывание корпоративного CA (на lan)
  2. замена HTTP на HTTPS (на www)
  3. замена IMAP на IMAPS (на server)
  4. в client-ах добавляем сертификат CA в корневые центры сертификации

4.5 Аутентификация и Авторизация доступа к сервису

Задание: использование пользовательских сертификатов для аутентификации и авторизации

lan# cp -v user* /disk2/samba/

lan# cp /var/www/html/ca* /disk2/samba/

lan# chown -v games /disk2/samba/*

Сценарий: использование пользовательских сертификатов на server для электронной подписи (PEM :)

  • Thunderbird (демонстрирует преподаватель, подделку писем удобнее показать в старой версии)

Сценарий: использование пользовательских сертификатов для доступа по https на www

Сценарий: использование пользовательских сертификатов для доступа по imaps на server

4.6 Ограничение доступа к сетевым сервисам

Статичное, с использованием специальных средств

Сценарий: разрешаем SSH подключение к www только из LAN

Статичное, с использованием средств встроенных в сервис

Адаптивное, с использование специальных средств

4.7 Шифрование контента

Сценарий: размещаем данные на шифрованном разделе для lan сервиса SAMBA (сетевой диск с двойным дном:)

4.8 Специальные решения

Сценарий: защита LAN от посторонних сервисов DHCP

Модуль 5. Защита сети предприятия

Теория

Лабораторные работы

5.1 Пакетные фильтры

Сценарий: защита http сервиса на server от bruteforce

5.2 Системы IDS и IPS

Сценарий: фиксируем атаки из WAN, проверять с host системы

Сценарий: блокируем атаки из WAN, проверять с host системы

Модуль 6. Использование VPN для соединения сетей филиалов предприятия и удаленных пользователей

Теория

Лабораторные работы

6.1 Использование сервиса SSH

SSH вместо VPN (привязка к порту клиента)

Сценарий: подключаемся с “домашнего” компьютера по RDP к компьютеру в LAN сети предприятия через “рабочую” linux систему, с которой есть доступ в LAN

Реализация: Отключаем на host системе VirtualBox Host-Only Network адаптер и, используя доступность сети LAN с server, осуществляем доступ по RDP к системе client1 через учетную запись user1 системы server

SSH вместо VPN (привязка к порту сервера)

Сценарий: подключаемся с “домашнего” компьютера по RDP или SSH к компьютеру в LAN сети предприятия, через “внешнюю” linux систему, к которой “заранее” установлено SSH соединение из LAN

Реализация: отключаем доступность сети LAN “отовсюду”, считаем server - “внешним” ресурсом (например VPS), осуществляем доступ по RDP к client1 или SSH к lan через туннель в SSH соединении к server, установленном с client1 или lan

6.2 Пакет OpenVPN

Сценарий: требуется предоставить авторизованный доступ пользователей, работающих на ноутбуках и ездящих в командировки, к любым сервисам в сети LAN компании, например - CIFS

lan# scp /etc/ssl/openssl.cnf gate:/etc/ssl/

lan# scp /var/www/html/ca.crt gate:

lan# scp /var/www/html/ca.crl gate:

Сценарий: требуется объединить сети филиалов

Дополнительные материалы

План на 14.11.2022

Подготовка стенда

  • Схема стенда
  • Развернуть все VM
  • ext ip на extgate (10.5.N.100+X)
  • named.conf forwarders на extgate
  • resolv.conf на extgate

OPIE для подключения к "работе"

Подключение к своему оборудованию в чужой сети или к "работе" без разрешения:)

  • Преподаватель включает pf
  • Преподаватель возвращает Win7 в LAN
  • Изучаем туннель -R с параметрами 3000+X:localhost:3389 подключаясь как userX к gate.isp.un

Корпоративный TeamViewer

  • Используются стенд преподавателя и одного из слушателей
  • Устанавливаем на Win7 Сервис VNC на обоих стендах
  • Разрешаем на extgate прохождение tcp трафика по всем портам на стенде слушателя
  • Разрешаем на intgate прохождение исходящего tcp трафика по всем портам на стенде слушателя
  • Преподаватель запускает VNCViewer в Listen mode
  • Преподаватель устанавливает -R туннель 0:localhost:5500
  • Слушатель выполняет Attach Listener Viewer на gate.isp.un:NNNNN
  • Возвращаем исходные настройки пакетных фильтров на extgate и intgate слушателя
обеспечение_безопасности_linux_решений.txt · Last modified: 2022/11/16 06:53 by val