User Tools

Site Tools


обеспечение_безопасности_linux_решений

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
обеспечение_безопасности_linux_решений [2020/07/22 05:02]
val [4.7 Шифрование контента]
обеспечение_безопасности_linux_решений [2022/11/16 06:53] (current)
val
Line 1: Line 1:
 ====== Обеспечение безопасности Linux решений ====== ====== Обеспечение безопасности Linux решений ======
 +
 +===== План на 14.11.2022 =====
 +
 +  * [[#План на 14.11.2022]]
  
 ===== Программа курса ===== ===== Программа курса =====
  
-  * [[http://​www.specialist.ru/​course/​yunbez|Linux ​(Ubuntu)/​FreeBSD. Уровень 3. Обеспечение безопасности систем,​ сервисов и сетей]]+  * [[http://​www.specialist.ru/​course/​yunbez|Linux. Уровень 3. Обеспечение безопасности систем,​ сервисов и сетей]]
  
 ===== Модуль 0. Подготовка стенда в классе ===== ===== Модуль 0. Подготовка стенда в классе =====
Line 56: Line 60:
 </​code>​ </​code>​
  
-  * Подключаемся putty к server и gate к адресам 192.168.X.Y+  * Настраиваем ​профили ​putty к server и gate к адресам ​DMZ 192.168.X.Y ​(для gate это подключение пригодится в лабораторных работах с firewall)
  
 <​code>​ <​code>​
Line 181: Line 185:
  
   * [[Сервис OpenVAS]]   * [[Сервис OpenVAS]]
-  * По окончании эксперимента остановить лишние экземпляры webd или перезапустить server+  * По окончании эксперимента остановить лишние экземпляры ​**pkill ​webd** или перезапустить server
  
 ==== 2.2 Сканеры безопасности сети ==== ==== 2.2 Сканеры безопасности сети ====
Line 262: Line 266:
   * [[Система безопасности UNIX]]   * [[Система безопасности UNIX]]
   * [[Сервис INETD]]   * [[Сервис INETD]]
-  * [[Сервис XINETD]] 
  
 === POSIX ACL === === POSIX ACL ===
Line 360: Line 363:
   * [[Технология Docker]] (От Микросервисы)   * [[Технология Docker]] (От Микросервисы)
  
-Сценарий:​ защита web сервера от DoS атак (демонстрирует преподаватель на CentOS вместе с SElinux) 
- 
-  * [[Сервис XINETD]] ​ 
 ==== 4.4 Шифрование трафика ==== ==== 4.4 Шифрование трафика ====
  
Line 435: Line 435:
 === Статичное,​ с использованием специальных средств === === Статичное,​ с использованием специальных средств ===
  
-Сценарий:​ разрешаем подключение к gate только из DMZ+Сценарий:​ разрешаем ​SSH подключение к www только из LAN
  
   * [[Сервис Tcpwrap]]   * [[Сервис Tcpwrap]]
Line 452: Line 452:
   * [[Антивирусная защита web трафика SQUID]]   * [[Антивирусная защита web трафика SQUID]]
  
-Сценарий: ​препятствуем попыткам сканирования системы server+Сценарий: ​Honeypot ​на gate
  
   * [[Сервис Portsentry]]   * [[Сервис Portsentry]]
   * [[https://​youtu.be/​6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]]   * [[https://​youtu.be/​6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]]
  
-Сценарий:​ блокируем атаки ​на сервис ​SSH на gate+Сценарий:​ блокируем атаки ​SSH сервиса на gate
  
   * [[Сервис Fail2ban]]   * [[Сервис Fail2ban]]
Line 463: Line 463:
 ==== 4.7 Шифрование контента ==== ==== 4.7 Шифрование контента ====
  
-Сценарий:​ размещаем данные на шифрованном разделе для lan сервиса SAMBA+Сценарий:​ размещаем данные на шифрованном разделе для lan сервиса SAMBA (сетевой диск с двойным дном:)
  
   * Создаем раздел,​ без файловой системы ([[Управление файловыми системами в Linux#​Добавление дисков в Linux]])   * Создаем раздел,​ без файловой системы ([[Управление файловыми системами в Linux#​Добавление дисков в Linux]])
   * [[Управление файловыми системами в Linux#​Использование шифрованных разделов в Linux]]   * [[Управление файловыми системами в Linux#​Использование шифрованных разделов в Linux]]
 +  * Настроить права доступа к [[Файловый сервер SAMBA#​Публичный каталог доступный на запись]]
  
  
Line 473: Line 474:
 Сценарий:​ защита LAN от посторонних сервисов DHCP Сценарий:​ защита LAN от посторонних сервисов DHCP
  
-  * [[Материалы по Windows#​DHCP,​ TFTP, DNS, SNTP и Syslog для Windows]] 
   * [[Оборудование уровня 2 Cisco Catalyst#​DHCP snooping]] ​   * [[Оборудование уровня 2 Cisco Catalyst#​DHCP snooping]] ​
-  * [[Сервис DHCP#​Поиск ​и подавление ​посторонних DHCP серверов]] ​+  * [[Сервис DHCP#​Поиск посторонних DHCP серверов]] ​
  
 ===== Модуль 5. Защита сети предприятия ===== ===== Модуль 5. Защита сети предприятия =====
Line 490: Line 490:
 ==== 5.1 Пакетные фильтры ==== ==== 5.1 Пакетные фильтры ====
  
-Сценарий:​ защита сервиса ​ssh на server от bruteforce+Сценарий:​ защита ​http сервиса на server от bruteforce
  
-  * [[Сервис Firewall#​Конфигурация для защиты от bruteforce]] (атакуем server через ​putty с host системы)+  * [[Сервис Firewall#​Конфигурация для защиты от bruteforce]] (генерируем запросы ​с host системы)
  
 ==== 5.2 Системы IDS и IPS ==== ==== 5.2 Системы IDS и IPS ====
  
-Сценарий:​ фиксируем атаки ​на server ​из WAN, проверять с gate.isp.un+Сценарий:​ фиксируем атаки из WAN, проверять с host системы
  
   * [[Сервис SNORT]] на gate (указать правильный интерфейс)   * [[Сервис SNORT]] на gate (указать правильный интерфейс)
  
-Сценарий:​ блокируем атаки ​на server ​из WAN, проверять с client1, переместив его в WAN +Сценарий:​ блокируем атаки из WAN, проверять с host системы 
  
   * [[Сервис Fail2ban#​Интеграция fail2ban и snort]]   * [[Сервис Fail2ban#​Интеграция fail2ban и snort]]
Line 511: Line 511:
  
   * [[http://​ru.wikipedia.org/​wiki/​VPN|Virtual Private Network — виртуальная частная сеть]]   * [[http://​ru.wikipedia.org/​wiki/​VPN|Virtual Private Network — виртуальная частная сеть]]
 +  * [[https://​ngrok.com/​product|What is ngrok?]]
  
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
Line 535: Line 536:
 ==== 6.2 Пакет OpenVPN ==== ==== 6.2 Пакет OpenVPN ====
  
-Сценарий:​ требуется предоставить авторизованный доступ ​внешних ​пользователей к любым ​LAN сервисам компании,​ например - CIFS+Сценарий:​ требуется предоставить авторизованный доступ пользователей, работающих на __ноутбуках__ и ездящих в командировки, ​к любым сервисам ​в сети LAN компании,​ например - CIFS
  
   * [[Пакет OpenSSL#​Инициализация списка отозванных сертификатов]]   * [[Пакет OpenSSL#​Инициализация списка отозванных сертификатов]]
Line 564: Line 565:
   * [[https://​www.linux.org.ru/​news/​security/​11204691|Утилита для создания MitM-точек доступа:​ wifiphisher]]   * [[https://​www.linux.org.ru/​news/​security/​11204691|Утилита для создания MitM-точек доступа:​ wifiphisher]]
   * [[http://​www.vesti.ru/​doc.html?​id=2006216|Shellshock оставил беззащитным Интернет]]   * [[http://​www.vesti.ru/​doc.html?​id=2006216|Shellshock оставил беззащитным Интернет]]
 +
 +==== План на 14.11.2022 ====
 +
 +=== Подготовка стенда ===
 +
 +  * Схема стенда
 +  * Развернуть все VM
 +  * ext ip на extgate (10.5.N.100+X)
 +  * named.conf forwarders на extgate
 +  * resolv.conf на extgate
 +
 +=== OPIE для подключения к "​работе"​ ===
 +
 +  * Ставим Chrome и MobaXterm (что бы настроить opie "на работе"​)
 +  * [[Управление учетными записями в FreeBSD]] - создаем userX/​passwordX
 +  * Включаем и тестируем [[Аутентификация с использованием OPIE]]
 +  * Включаем RDP (все, кто хочет:​),​ пригодится в следующей лабораторной)
 +  * Преподаватель переносит Win7 в DMZ (ip: 10.100.100.31)
 +  * Преподаватель демонстрирует туннель -L (понадобилось остановить pf :)
 +
 +=== Подключение к своему оборудованию в чужой сети или к "​работе"​ без разрешения:​) ​ ===
 +
 +  * Преподаватель включает pf
 +
 +  * Изучаем туннель -R с параметрами 2000+X:​localhost:​22 подключаясь как userX к gate.isp.un
 +  * [[Управление сервисами в Linux#​Управление юнитами Systemd]]
 +
 +  * Преподаватель возвращает Win7 в LAN
 +  * Изучаем туннель -R с параметрами 3000+X:​localhost:​3389 подключаясь как userX к gate.isp.un
 +
 +=== Корпоративный TeamViewer ===
 +
 +  * Используются стенд преподавателя и одного из слушателей
 +  * Устанавливаем на Win7 [[Сервис VNC]] на обоих стендах
 +  * Разрешаем на extgate прохождение tcp трафика по всем портам на стенде слушателя
 +  * Разрешаем на intgate прохождение исходящего tcp трафика по всем портам на стенде слушателя
 +  * Преподаватель запускает VNCViewer в Listen mode
 +  * Преподаватель устанавливает -R туннель 0:​localhost:​5500
 +  * Слушатель выполняет Attach Listener Viewer на gate.isp.un:​NNNNN
 +  * Возвращаем исходные настройки пакетных фильтров на extgate и intgate слушателя
обеспечение_безопасности_linux_решений.1595383359.txt.gz · Last modified: 2020/07/22 05:02 by val