• Linux. Уровень 3. Обеспечение безопасности систем, сервисов и сетей

• Узнать свой номер стенда
• Удалить виртуалки
• Удалить профили putty
• Включить адаптер VirtualBox Host-Only Ethernet Adapter
• Записать логин пароль и IP WAN интерфейса (сообщить преподавателю) от рабочей станции
• Проверить наличие дистрибутивов и образов

• Информационная безопасность
• STRIDE is a system developed by Microsoft for thinking about computer security threats
• Demilitarized Zone — демилитаризованная зона, ДМЗ

Сценарий: 172.16.1.0/24 - WAN сеть, 192.168.X/24 - “белая” DMZ сеть, 192.168.100+X - “серая” LAN сеть

Запустите с правами Administrator

C:\cmder\cmder.exe

bash

cd

test -d conf && rm -r conf

git clone http://val.bmstu.ru/unix/conf.git

cd conf/virtualbox/

!!! 3 - это номер курса, вместо X укажите Ваш номер стенда, если не знаете его, спросите преподавателя !!!

./setup.sh X 3

Клонируем server в lan

• Адаптер 1 - Внутренняя сеть (eth0) - DMZ
• Адаптер 2 - Сетевой мост (eth1) - WAN (уже подключен)
• Адаптер 3 - Виртуальный адаптер хоста (eth2) - LAN

gate# ifconfig eth2 inet 192.168.100+X.1/24 

• Создаем в Putty профиль gate и подключаемся

gate# sh net_gate.sh

gate# cat /etc/network/interfaces

...
auto eth2
iface eth2 inet static
        address 192.168.100+X.1
        netmask 255.255.255.0

gate# init 6

gate# apt update

• Адаптер 1 - Виртуальный адаптер хоста (eth0) - LAN (уже подключен)

lan# ifconfig eth0 inet 192.168.100+X.10/24 

• Создаем в Putty профиль lan и подключаемся

lan# sh net_server.sh

lan# hostnamectl set-hostname lan.corpX.un

lan# cat /etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.100+X.10
        netmask 255.255.255.0
        gateway 192.168.100+X.1

lan# init 6

• Адаптер 1 - Внутренняя сеть (eth0) - DMZ

server# sh net_server.sh

server# init 6

• Создаем в Putty профиль server и подключаемся

• Настраиваем доступ в Internet из сети LAN и использованием Сервис NAT
• Тестируем

lan# apt update

server# sh conf/dns.sh

lan# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.10

• Копируем ключи ssh с системы lan на gate и server (Аутентификация с использованием ключей ssh)

lan# ssh-copy-id server
lan# ssh-copy-id gate

lan# scp /etc/resolv.conf server:/etc/
lan# scp /etc/resolv.conf gate:/etc/

Будет развернут на системе server

Разворачиваем на системе gate в сети LAN

• Сервис DHCP isc-kea
• Импорт и запуск системы linux client1 (демонстрирует преподаватель)
• Импорт и запуск системы windows client2

Будет развернут на системе lan

Сценарий: внешний корпоративный сайт на server

• Web сервер на shell
• Сервис INETD

• Аудит информационной безопасности
• Хостовая система обнаружения вторжений
• Nmap
• Kali Linux - Advanced Penetration Testing Linux Distribution
• OpenVAS

• Видео урок: Аудит системных событий в Linux/FreeBSD

• Этичный хакинг. Техники атак и инструменты противодействия

Сценарий: сканирование портов сервисов системы server (с lan или gate.isp.un по ip адресу), находим web сервер

• Утилита nmap

Сценарий: автоматизированный поиск уязвимостей, находим “directory traversal”

• Сервис OpenVAS
• По окончании эксперимента остановить лишние экземпляры pkill webd или перезапустить server

Сценарий: эксплуатируем найденную уязвимость “directory traversal”

• Создание тестового набора учетных записей на server

lan# curl --path-as-is http://192.168.X.10/../../../etc/passwd

gate.isp.un$ fetch -o - http://192.168.X.10/../../../etc/passwd

gate.isp.un$ telnet 192.168.X.10 80

GET /../../../etc/passwd HTTP/1.1

Сценарий: Brute force-атака по известным login

• Утилита hydra

lan# curl --path-as-is http://192.168.X.10/../../../etc/shadow | tee shadow

• John the Ripper password cracker
• Утилита john

Сценарий: находим модифицированное ПО (можно изменить код web сервера)

• Утилита tripwire (Видео Урок: Tripware - мониторинг и предупреждения об изменениях файлов в системе)
• Утилита aide

• Scanning CentOS 7 Server for Malware

• XOR DDoS is a Linux Trojan malware
• User management in Raspberry Pi
• Загружаем на server

server# cd /

server# wget http://gate.isp.un/unix/xor_ddos_linux_trojan.tgz

server# tar -xvzf xor_ddos_linux_trojan.tgz

• Утилита rkhunter
• Утилита chkrootkit

• Сервис OSSEC

Сценарий: фиксируем обращения к файлам базы данных учетных записей со стороны процессов с EUID=user1/student. Можно тестировать из shell или запустить www сервер на server с правами user1/student

• Система Linux Auditing
• Видео урок: Аудит системных событий в Linux/FreeBSD

• Гугл для хакера
• Computer Security Resource Center National Vulnerability Database Keyword Search: Apache 2.4.18
• Вызов Chroot
• Песочница безопасность
• Переполнение буфера
• Выход из Chroot
• GRSecurity
• Hardened Gentoo

• Управление ПО в Linux

Сценарий: Запуск www сервера с правами пользователя user1/student не позволит получить через него доступ к /etc/shadow

• Система безопасности UNIX
• Сервис INETD

Сценарий: с помощью POSIX ACL запрещаем пользователю user1 читать файл /etc/passwd

• POSIX ACL

• POSIX capabilities

• Переменные ядра

Сценарий: ограничения, накладываемые политиками на www сервер на server не позволят получить через него доступ к любым файлам, кроме разрешенных даже в случае запуска его с правами root

• Модуль AppArmor
• Видео Урок: FreeBSD MAC and Linux AppArmor

• Модуль SELinux

Сценарий: запуск www сервера на server в chroot позволит получить через него доступ только к файлам, которые мы скопировали в chroot окружение

• Команда chroot

Сценарий: переносим www хостинг в контейнер

server# systemctl stop inetutils-inetd && systemctl disable inetutils-inetd

• Технология namespaces
• Технология cgroup

• Технология LXC
• Инкрементное копирование (Incremental Backup)
• Установка и запуск сервера Apache на www

• Технология Docker (До Микросервисы)
• Установка
• Создание контейнера для приложения вручную
• Запуск в режиме демона и подключение к контейнеру
• Создание контейнера для приложения с использованием Dockerfile

• Docker blocking network of existing LXC containers

iptables -F FORWARD
iptables -P FORWARD ACCEPT

• Управление состоянием iptables

• Linux Hardened
• Видео урок: Использование GRSecurity

• Шифрование
• Криптосистема с открытым ключом
• Центр сертификации
• Аутентификация
• Privacy-enhanced Electronic Mail

Демонстрирует преподаватель

Сценарий: разворачиваем на server, MTA для домена corpX.un, IMAP без SSL. Учетные записи почтовых пользователей не должны иметь shell, предоставляющий доступ к командной строке

• Настройка MTA
• UA mail
• Сервер dovecot

server# apt install ansible

server# ansible-playbook conf/ansible/roles/mail.yml

• Изменение атрибутов учетной записи shell в Linux

Сценарий: заменяем банеры сервисов SMTP, IMAP, FTP, HTTP, CIFS, SSH

• Сервис SMTP (Сокрытие названия сервиса)
• Сервис IMAP (Сокрытие названия сервиса)
• Сервис HTTP (Сокрытие версии сервиса)

gate# curl -I http://www.corpX.un/

• Сервис SSH (OpenSSH Hide Version Number From Clients)

Сценарий: перехват учетных данных при обновлении пользователем user1 веб информации на server по протоколу ftp

• Сервер ftp (/usr/sbin/nologin в /etc/shells)
• Сервис FTP (Сокрытие названия/версии сервиса)
• Утилита ettercap
• tcpdump

Сценарий: для хостинга на www используем SFTP вместо FTP

• SSH вместо FTP (SFTP)
• Использование домашних каталогов

• Технология Docker Микросервисы

• Локализация временной зоны

Демонстрирует преподаватель

Сценарий: замена сервиса HTTP на HTTPS на www

• Использование алгоритмов с открытым ключем (на примере обмена данными по ftp между student@lan и student@server)
• Создание самоподписанного сертификата для системы www
• Поддержка протокола HTTPS для системы www

Сценарий:

1. развертывание корпоративного CA (на lan)
2. замена HTTP на HTTPS (на www)
3. в client-ах добавляем сертификат CA в корневые центры сертификации

• Установка и запуск сервера Apache на lan (удалить index.html)
• Создание центра сертификации на lan
• Создание сертификата сервиса, подписанного CA для www
• Поддержка протокола HTTPS для www

• Импорт сертификата центра сертификации в windows
• Импорт сертификата центра сертификации в linux

Дополнительные задания:

1. HTTPS доступ к приложению webd (можно gowebd) через nginx на gate
2. замена IMAP на IMAPS (на server)

server# cat /etc/bind/corpX.un

...
gowebd       A       192.168.X.1

server# service named restart

• Создание сертификата сервиса, подписанного CA (можно wildcard)
• Установка NGINX на gate
• HTTPS Прокси (пример 4) для HTTP приложения (webd или gowebd)

• Использование сертификатов для шифрования трафика (можно wildcard) dovecot IMAPS на server

Дополнительные задания:

• Letsencrypt Certbot

• Linux. Интеграция с корпоративными решениями Microsoft
• Видео урок: Использование одноразовых паролей OPIE или Безопасное подключение с чужого компьютера
• Видео урок: SSH SSO

• Настройка MTA на релеинг почты на основе аутентификации postfix smtp ssl (демонстрирует преподаватель)

Задание: использование пользовательских сертификатов

• Создание пользовательского сертификата, подписанного CA
• Оформление сертификата и ключа в формате PKS#12 с парольной защитой

• Рассылка сертификатов, ключей и файлов PKCS#12 владельцам по почте через UA mutt
• Публикация пользовательских сертификатов

lan.corpX.un:~# cp -v user*crt /var/www/html/

• Вариант для курса:

server# cat /etc/bind/corpX.un

...
lan       A       192.168.100+X.10

server# service named restart

• Установка SAMBA на системе lan
• Публичный каталог доступный на запись

lan# cp -v user* /disk2/samba/

lan# cp /var/www/html/ca* /disk2/samba/

lan# chown -v games /disk2/samba/*

Сценарий: использование пользовательских сертификатов для PEM :)

• Настройка на использование S/MIME Thunderbird (демонстрирует преподаватель)

Сценарий: использование пользовательских сертификатов для аутентификации и авторизации доступа к сайту www

• Управление доступом к HTTP серверу на основе сертификатов
• Использование директивы Redirect
• CGI интерфейс сервера

lan# curl --cert user1.crt --key user1.key --cacert /var/www/html/ca.crt https://www.corpX.un/cgi-bin/test-cgi

Сценарий: разрешаем SSH подключение к www только из LAN

• Сервис Tcpwrap

• Публичный каталог доступный на запись
• Ограничение доступа к DNS серверу (обсудить)
• Настройка MTA на релеинг почты из LAN (обсудить)
• Управление доступом к HTTP серверу на основе сетевых адресов (обсудить)
• Установка, настройка и запуск пакета SQUID (обсудить)

• Защита почты от вирусов и SPAMа (обсудить)
• Использование Сервис Clamav и API ядра FANOTIFY для защиты файлового сервера на lan (что бы не отключать антивирус на windows, проверить через linux проводник thunar)

Сценарий: размещаем данные на шифрованном разделе для lan сервиса SAMBA (сетевой диск с двойным дном:)

• Добавляем диск к lan
• Использование шифрованных разделов в Linux
• Создать каталог и настроить права доступа для Публичный каталог доступный на запись

Сценарий: защита LAN от посторонних сервисов DHCP

• DHCP snooping
• Поиск посторонних DHCP серверов

• Межсетевой экран
• еще один споcоб блокировать ssh bruteforce роботов
• Система обнаружения вторжений
• Система предотвращения вторжений

Сценарий: защита http сервиса на server от DDOS

• Нагрузочное тестирование
• Конфигурация для защиты от bruteforce

Сценарий: Honeypot на gate

• Сервис Portsentry
• Видео урок: Honeypot из tcpwrap и portsentry

Сценарий: блокируем атаки на SSH сервис на на server

• Сервис Fail2ban

• Virtual Private Network — виртуальная частная сеть
• What is ngrok?

Сценарий: подключаемся с “домашнего” компьютера по RDP к компьютеру в LAN сети предприятия через “рабочую” linux систему, с которой есть доступ в LAN

Реализация: Отключаем на host системе VirtualBox Host-Only Network адаптер и, используя доступность сети LAN с server, осуществляем доступ по RDP к системе client1 через учетную запись user1 системы server

• SSH вместо VPN (привязка к порту клиента)

Сценарий: подключаемся с “домашнего” компьютера по RDP или SSH к компьютеру в LAN сети предприятия, через “внешнюю” linux систему, к которой “заранее” установлено SSH соединение из LAN

Реализация: отключаем доступность сети LAN “отовсюду”, считаем server - “внешним” ресурсом (например VPS), осуществляем доступ по RDP к client1 или SSH к lan через туннель в SSH соединении к server, установленном с client1 или lan

• Настройка Firewall (Конфигурация для шлюза WAN - LAN - DMZ)

• SSH вместо VPN (привязка к порту сервера)
• TeamViewer из подручных материалов
• GPO для Linux из подручных материалов (help.desktop)

Сценарий: требуется предоставить авторизованный доступ пользователей, работающих на ноутбуках и ездящих в командировки, к любым сервисам в сети LAN компании, например - CIFS

• Инициализация списка отозванных сертификатов

lan# scp /etc/ssl/openssl.cnf gate:/etc/ssl/

lan# scp /var/www/html/ca.crt gate:

lan# scp /var/www/html/ca.crl gate:

• Создание сертификата сервиса, подписанного CA для gate
• Пакет OpenVPN
• Настройка client/server конфигурации
• Отзыв сертификатов

• Перемещение учетных записей
• Использование PAM аутентификации

Сценарий: требуется объединить сети филиалов (обсудить)

• Пакет OpenVPN
• Настройка peer2peer конфигурации

• Генератор паролей
• Top 125 Network Security Tools
• Рекомендации по защите от DoS атак
• Утилита для создания MitM-точек доступа: wifiphisher
• Shellshock оставил беззащитным Интернет