Инструменты пользователя

Инструменты сайта


обеспечение_безопасности_linux_решений

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
обеспечение_безопасности_linux_решений [2019/04/17 15:57]
val [2.3 Аудит систем]
обеспечение_безопасности_linux_решений [2020/07/23 15:00] (текущий)
val [6.2 Пакет OpenVPN]
Строка 4: Строка 4:
  
   * [[http://​www.specialist.ru/​course/​yunbez|Linux (Ubuntu)/​FreeBSD. Уровень 3. Обеспечение безопасности систем,​ сервисов и сетей]]   * [[http://​www.specialist.ru/​course/​yunbez|Linux (Ubuntu)/​FreeBSD. Уровень 3. Обеспечение безопасности систем,​ сервисов и сетей]]
 +
 +===== Модуль 0. Подготовка стенда в классе =====
 +
 +  * Узнать свой номер стенда
 +  * Удалить виртуалки
 +  * Удалить профили putty
 +  * Включить адаптер VirtualBox Host-Only Ethernet Adapter
 +  * Записать логин пароль и IP WAN интерфейса (сообщить преподавателю) от рабочей станции
 +  * Проверить наличие дистрибутивов и образов
  
 ===== Модуль 1. Развертывание сети и сервисов предприятия ===== ===== Модуль 1. Развертывание сети и сервисов предприятия =====
Строка 15: Строка 24:
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
  
-Сценарий:​ 192.168.X/​24 - "​белая"​ DMZ сеть, 192.168.100+X - "​серая"​ LAN сеть+Сценарий: ​172.16.1.0/​24 - WAN сеть, ​192.168.X/​24 - "​белая"​ DMZ сеть, 192.168.100+X - "​серая"​ LAN сеть
  
  
Строка 22: Строка 31:
 === gate === === gate ===
  
-  * Адаптер 3 - Виртуальный адаптер хоста (eth2)+  ​* Адаптер 1 - Внутренняя сеть (eth0) - DMZ 
 +  * Адаптер 2 - Сетевой мост (eth1) - WAN 
 +  ​* Адаптер 3 - Виртуальный адаптер хоста (eth2) ​- LAN
  
 <​code>​ <​code>​
Строка 45: Строка 56:
 </​code>​ </​code>​
  
-  * Подключаемся putty к server и gate к адресам 192.168.X.Y+  * Настраиваем ​профили ​putty к server и gate к адресам ​DMZ 192.168.X.Y ​(для gate это подключение пригодится в лабораторных работах с firewall) 
 + 
 +<​code>​ 
 +gate# apt update 
 + 
 +server# apt update 
 +</​code>​
 ==== 1.2 Настройка системы Lan ==== ==== 1.2 Настройка системы Lan ====
  
Строка 81: Строка 98:
 ==== 1.3 Подключение сети предприятия к Internet ==== ==== 1.3 Подключение сети предприятия к Internet ====
  
-  * Назначаем host системе на интерфейсе "​VirtualBox Host-Only Network"​ ip address 192.168.100+X.20/24 и подключаемся putty к lan+  * Назначаем host системе на интерфейсе "​VirtualBox Host-Only Network"​ ip address 192.168.100+X.5/24 и подключаемся putty к lan
   * Настраиваем доступ в Internet из сети LAN ([[Сервис NAT#​Трансляция на основе адреса отправителя]])   * Настраиваем доступ в Internet из сети LAN ([[Сервис NAT#​Трансляция на основе адреса отправителя]])
   * Тестируем   * Тестируем
 <​code>​ <​code>​
 lan# apt update lan# apt update
- 
-lan# pkg update -f 
- 
-lan# pkg install pkg 
 </​code>​ </​code>​
-  * Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH|Аутентификация с использованием ключей ssh]])+  * Копируем ключи ssh с системы lan на gate и server ([[Сервис SSH#Аутентификация с использованием ключей ssh]])
  
  
Строка 106: Строка 119:
 === Сервис DHCP === === Сервис DHCP ===
  
-Разворачиваем на системе gate в сети LAN (можно не разворачивать,​ назначив клиенту 101-й адрес статически)+Разворачиваем на системе gate в сети LAN
  
-  * Сервис DHCP [[Сервис DHCP#Установка]] +<​code>​ 
-  * Сервис DHCP [[Сервис DHCP#Стандартная настройка]] (поправить интерфейс,​ сеть и DNS)+gatesh conf/​dhcp.sh 
 +</​code>​ 
 +  * Стандартная ​конфигурация [[Сервис DHCP]] (поправить интерфейсыраскомментировать ​сеть, поправить DNS)
   * [[Сервис DHCP#​Проверка конфигурации и запуск]]   * [[Сервис DHCP#​Проверка конфигурации и запуск]]
-  * Запуск системы ​client1+  * Запуск системы ​clientN
  
 === Файловый сервис === === Файловый сервис ===
  
 Будет развернут на системе lan Будет развернут на системе lan
 +
 +=== Сервис NTP ===
 +
 +Достаточно [[Локализация системы#​Локализация временной зоны]]
  
 === Сервис WWW === === Сервис WWW ===
Строка 121: Строка 140:
 Сценарий:​ внешний корпоративный сайт на server Сценарий:​ внешний корпоративный сайт на server
  
-  * [[Сервис INETD]] 
   * [[Средства программирования shell#Web сервер на shell]]   * [[Средства программирования shell#Web сервер на shell]]
 +  * [[Сервис INETD]]
 +
  
 ===== Модуль 2. Анализ информационных систем предприятия с точки зрения безопасности ===== ===== Модуль 2. Анализ информационных систем предприятия с точки зрения безопасности =====
Строка 141: Строка 161:
  
   * [[Утилита nmap]]   * [[Утилита nmap]]
-  * [[http://​www.nestor.minsk.by/​sr/​2006/​10/​sr61006.html|защита FreeBSD от OS Fingerprinting с использоанием PF]] 
  
 Сценарий:​ определяем "​вручную"​ нет ли уязвимости directory traversal Сценарий:​ определяем "​вручную"​ нет ли уязвимости directory traversal
Строка 161: Строка 180:
 Сценарий:​ автоматизированный поиск уязвимостей Сценарий:​ автоматизированный поиск уязвимостей
  
-  * [[Сервис OpenVAS]] ​([[https://​openvas.isp.un/​]])+  * [[Сервис OpenVAS]] 
 +  * По окончании эксперимента остановить лишние экземпляры webd или перезапустить server
  
 ==== 2.2 Сканеры безопасности сети ==== ==== 2.2 Сканеры безопасности сети ====
Строка 167: Строка 187:
 Сценарий:​ перехват учетных данных при обновлении пользователем user1 веб информации на server по протоколу ftp Сценарий:​ перехват учетных данных при обновлении пользователем user1 веб информации на server по протоколу ftp
  
-  * [[Управление учетными записями в Linux]], [[Управление учетными записями в FreeBSD]]+  * [[Управление учетными записями в Linux]] ​(все по умолчанию, назначить пароль через echo) 
 +  * [[Настройка командных ​интерпретаторов]] (управление историей команд)
   * [[Сервис FTP#​Сервер ftp]]   * [[Сервис FTP#​Сервер ftp]]
   * [[Утилита ettercap]]   * [[Утилита ettercap]]
Строка 190: Строка 211:
 === Проверка системы на наличие закладок === === Проверка системы на наличие закладок ===
  
-  * [[http://​housecomputer.ru/​os/​unix/​bsd/​freebsd/​freebsd_server_security.html|Безопасность сервера FreeBSD: проверка на rootkit]] 
   * [[https://​www.upcloud.com/​support/​scanning-centos-server-for-malware/​|Scanning CentOS 7 Server for Malware]]   * [[https://​www.upcloud.com/​support/​scanning-centos-server-for-malware/​|Scanning CentOS 7 Server for Malware]]
-  ​* [[Утилита rkhunter]] ​(В Debian устанавливает exim)+ 
 +  * [[https://​en.wikipedia.org/​wiki/​Xor_DDoS|XOR DDoS is a Linux Trojan malware]] 
 +  * [[https://​www.raspberrypi.org/​documentation/​linux/​usage/​users.md|User management in Raspberry Pi]] 
 +  * Загружаем на server 
 +<​code>​ 
 +server# cd / 
 + 
 +server# wget http://​gate.isp.un/​unix/​xor_ddos_linux_trojan.tgz 
 + 
 +server# tar -xvzf xor_ddos_linux_trojan.tgz 
 +</​code>​ 
 + 
 +  ​* [[Утилита rkhunter]]
   * [[Утилита chkrootkit]]   * [[Утилита chkrootkit]]
 +
 +  * [[Сервис OSSEC]]
  
 === Аудит системных событий === === Аудит системных событий ===
Строка 199: Строка 233:
 Сценарий:​ фиксируем обращения к файлам базы данных учетных записей со стороны процессов с EUID=user1. Можно тестировать из shell или запустить www сервер на server с правами user1 Сценарий:​ фиксируем обращения к файлам базы данных учетных записей со стороны процессов с EUID=user1. Можно тестировать из shell или запустить www сервер на server с правами user1
  
-  * [[Система FreeBSD Audit]] 
   * [[Система Linux Auditing]]   * [[Система Linux Auditing]]
   * [[https://​youtu.be/​zjzdqqk7xmo|Видео урок: Аудит системных событий в Linux/​FreeBSD]]   * [[https://​youtu.be/​zjzdqqk7xmo|Видео урок: Аудит системных событий в Linux/​FreeBSD]]
Строка 210: Строка 243:
   * [[http://​ru.wikipedia.org/​wiki/​Chroot|Вызов Chroot]]   * [[http://​ru.wikipedia.org/​wiki/​Chroot|Вызов Chroot]]
   * [[https://​ru.wikipedia.org/​wiki/​Песочница_(безопасность)|Песочница безопасность]]   * [[https://​ru.wikipedia.org/​wiki/​Песочница_(безопасность)|Песочница безопасность]]
-  * [[http://​www.freebsd.org/​doc/​ru/​books/​handbook/​securing-freebsd.html|Нandbook:​ Защита FreeBSD]] 
-  * [[http://​www.openbsd.org/​|OpenBSD - ОС ориентированная на безопасность]] 
   * [[http://​ru.wikipedia.org/​wiki/​Переполнение_буфера|Переполнение буфера]]   * [[http://​ru.wikipedia.org/​wiki/​Переполнение_буфера|Переполнение буфера]]
   * [[http://​www.unixwiz.net/​techtips/​mirror/​chroot-break.html|Выход из Chroot]]   * [[http://​www.unixwiz.net/​techtips/​mirror/​chroot-break.html|Выход из Chroot]]
Строка 221: Строка 252:
  
   * [[Управление ПО в Linux]]   * [[Управление ПО в Linux]]
-  * [[Обновление системы и базового ПО в FreeBSD]] +
-  * [[Обновление дополнительного ПО в FreeBSD]]+
  
 ==== 3.2 Управление привилегиями сервисов ==== ==== 3.2 Управление привилегиями сервисов ====
Строка 241: Строка 271:
 ==== 3.3 Изоляция сервисов ==== ==== 3.3 Изоляция сервисов ====
  
-=== Модули Linux LSM и FreeBSD MAC ===+=== Модули Linux LSM ===
  
-Сценарий:​ ограничения,​ накладываемые политиками на www сервер на server не позволят получить через него доступ к любым файлам,​ кроме разрешенных даже в случае запуска его с правами root+Сценарий:​ ограничения,​ накладываемые политиками на www сервер на server не позволят получить через него доступ к любым файлам,​ кроме разрешенных даже в случае запуска его с правами ​**root**
  
   * [[Модуль AppArmor]]   * [[Модуль AppArmor]]
-  * [[Модули MAC]]+  * [[https://​youtu.be/​AaB5mL3SAlQ|Видео Урок: FreeBSD ​MAC and Linux AppArmor]] 
 + 
   * [[Модуль SELinux]]   * [[Модуль SELinux]]
  
-  * [[https://​youtu.be/​AaB5mL3SAlQ|Видео Урок: FreeBSD MAC and Linux AppArmor]] 
  
 === Изоляция сервисов в файловой системе === === Изоляция сервисов в файловой системе ===
Строка 261: Строка 292:
 Сценарий:​ переносим www хостинг в контейнер Сценарий:​ переносим www хостинг в контейнер
  
-  * [[Технология jail]] 
   * [[Технология namespaces]]   * [[Технология namespaces]]
   * [[Технология cgroup]]   * [[Технология cgroup]]
 +
   * [[Технология LXC]]   * [[Технология LXC]]
   * [[Сервис HTTP#​Установка и запуск сервера Apache]] на www   * [[Сервис HTTP#​Установка и запуск сервера Apache]] на www
-  ​* [[Технология Docker]] (Разворачивать на lan, поскольку правила,​ добавленные docker-ce в netfilter блокируют LXC подключенный к bridge) +  * Linux ([[Управление учетными записями в Linux#​Перемещение учетных записей]]) 
-  ​* Linux ([[Управление учетными записями в Linux#​Перемещение учетных записей]]), FreeBSD ([[Управление учетными записями в FreeBSD#Перемещение учетных записей]])+ 
 +  * [[Технология Docker]] (До Микросервисы
 + 
 +  * [[https://​github.com/​docker/​for-linux/​issues/​103|Docker blocking network of existing LXC containers]] 
 +<​code>​ 
 +iptables -F FORWARD 
 +iptables -P FORWARD ACCEPT 
 +</​code>​
  
 ==== 3.4 Усиление системы с помощью специальных средств ==== ==== 3.4 Усиление системы с помощью специальных средств ====
Строка 288: Строка 326:
 ==== 4.1 Ограничения учетных записей пользователей сервисов ==== ==== 4.1 Ограничения учетных записей пользователей сервисов ====
  
-Сценарий:​ разворачиваем на server, MTA для домена ​server.corpX.un, IMAP без SSL. Учетные записи почтовых пользователей не должны иметь shell, предоставляющий командную строку+Демонстрирует преподаватель 
 + 
 +Сценарий:​ разворачиваем на server, MTA для домена corpX.un, IMAP без SSL. Учетные записи почтовых пользователей не должны иметь shell, предоставляющий командную строку
  
   * [[Сервис MTA#​Настройка MTA]]   * [[Сервис MTA#​Настройка MTA]]
-  * [[Управление учетными записями в Linux]], [[Управление учетными записями в FreeBSD]]+  * [[Управление учетными записями в Linux]]
   * [[UA mail]]   * [[UA mail]]
   * [[Сервер dovecot]] ​   * [[Сервер dovecot]] ​
   * В linux ([[Управление учетными записями в Linux#​Изменение атрибутов учетной записи]])   * В linux ([[Управление учетными записями в Linux#​Изменение атрибутов учетной записи]])
-  * В freebsd ([[Управление учетными записями в FreeBSD#​Изменение атрибутов учетной записи]]) 
  
 ==== 4.2 Скрытие баннеров сервисов ==== ==== 4.2 Скрытие баннеров сервисов ====
Строка 308: Строка 347:
 gate# curl -I http://​www.corpX.un/​ gate# curl -I http://​www.corpX.un/​
 </​code>​ </​code>​
-  * Сервис CIFS ([[Файловый сервер SAMBA#​Публичный каталог доступный на запись]],​ [[Файловый сервер SAMBA#​Сокрытие названия/​версии сервиса]])+  * Сервис CIFS ([[Файловый сервер SAMBA#​Публичный каталог доступный на запись]],​ [[Файловый сервер SAMBA#​Сокрытие названия/​версии сервиса]]) ​!!! Сделать
   * Сервис SSH ([[http://​www.cyberciti.biz/​faq/​howto-ssh-server-hide-version-number-sshd_config/​|OpenSSH Hide Version Number From Clients]])   * Сервис SSH ([[http://​www.cyberciti.biz/​faq/​howto-ssh-server-hide-version-number-sshd_config/​|OpenSSH Hide Version Number From Clients]])
  
Строка 318: Строка 357:
   * [[Сервис HTTP#​Использование домашних каталогов]]   * [[Сервис HTTP#​Использование домашних каталогов]]
  
-Сценарий: защита web сервера от DoS атак ​(демонстрирует преподаватель на CentOS вместе с SElinux) +  * [[Технология Docker]] ​(От Микросервисы)
- +
-  * [[Сервис ​XINETD]] ​+
  
 ==== 4.4 Шифрование трафика ==== ==== 4.4 Шифрование трафика ====
Строка 327: Строка 364:
  
   * [[Локализация системы#​Локализация временной зоны]]   * [[Локализация системы#​Локализация временной зоны]]
-  * [[Сервис NTP]] для FreeBSD систем gate, server, lan 
  
 === Использование самоподписанных цифровых сертификатов === === Использование самоподписанных цифровых сертификатов ===
  
-Сценарий:​ замена сервиса HTTP на HTTPS на server (демонстрирует преподаватель)+Демонстрирует преподаватель 
 + 
 +Сценарий:​ замена сервиса HTTP на HTTPS на www
  
   * [[Пакет OpenSSL#​Использование алгоритмов с открытым ключем]] ​   * [[Пакет OpenSSL#​Использование алгоритмов с открытым ключем]] ​
-  * [[Пакет OpenSSL#​Создание самоподписанного сертификата]] для системы ​server ​ +  * [[Пакет OpenSSL#​Создание самоподписанного сертификата]] для системы ​www 
-  * [[Сервис HTTP#​Поддержка протокола HTTPS]] для системы ​server ​+  * [[Сервис HTTP#​Поддержка протокола HTTPS]] для системы ​www
  
 === Использование PKI === === Использование PKI ===
Строка 350: Строка 388:
   * [[Пакет OpenSSL#​Создание сертификата сервиса,​ подписанного CA]] для www   * [[Пакет OpenSSL#​Создание сертификата сервиса,​ подписанного CA]] для www
   * [[Сервис HTTP#​Поддержка протокола HTTPS]] для www   * [[Сервис HTTP#​Поддержка протокола HTTPS]] для www
-  * [[Сервер dovecot#​Использование сертификатов для шифрования трафика]] IMAPS на server (демонстрирует преподаватель) 
  
 +  * [[Пакет OpenSSL#​Импорт сертификата центра сертификации]]
 +
 +  * [[Сервер dovecot#​Использование сертификатов для шифрования трафика]] IMAPS на server (демонстрирует преподаватель)
 ==== 4.5 Аутентификация и Авторизация доступа к сервису ==== ==== 4.5 Аутентификация и Авторизация доступа к сервису ====
  
-  * [[Управление ​идентификацией в сетях UNIX и Windows]]+  * [[Linux. Интеграция с корпоративными решениями Microsoft]]
   * [[https://​youtu.be/​-fcJ8MkoLts|Видео урок: Использование одноразовых паролей OPIE]]   * [[https://​youtu.be/​-fcJ8MkoLts|Видео урок: Использование одноразовых паролей OPIE]]
   * [[https://​youtu.be/​kXi1KXYy-NE|Видео урок: SSH SSO]]   * [[https://​youtu.be/​kXi1KXYy-NE|Видео урок: SSH SSO]]
  
-**Задание:​** создание пользовательских сертификатов+  * [[Сервис MTA#​Настройка MTA на релеинг почты на основе аутентификации]] (демонстрирует преподаватель) 
 + 
 +**Задание:​** ​использование пользовательских сертификатов ​для аутентификации и авторизации
  
   * [[Пакет OpenSSL#​Создание пользовательского сертификата,​ подписанного CA]]   * [[Пакет OpenSSL#​Создание пользовательского сертификата,​ подписанного CA]]
   * [[Пакет OpenSSL#​Оформление сертификата и ключа в формате PKS#12 с парольной защитой]]   * [[Пакет OpenSSL#​Оформление сертификата и ключа в формате PKS#12 с парольной защитой]]
 <​code>​ <​code>​
-lan# cp user* /disk2/+lan# cp -v user* /disk2/samba/
  
-lan# chown -games /disk2+lan# cp /​var/​www/​html/​ca* /​disk2/​samba/​ 
 + 
 +lan# chown -games /disk2/samba/*
 </​code>​ </​code>​
  
-**Сценарий:​** использование пользовательских сертификатов на server ​и для электронной подписи+**Сценарий:​** использование пользовательских сертификатов на server для электронной подписи ​(PEM :)
  
-  * [[Thunderbird]] (подделку писем удобнее показать в старой версии)+  * [[Thunderbird]] (демонстрирует преподаватель, ​подделку писем удобнее показать в старой версии)
  
 **Сценарий:​** использование пользовательских сертификатов для доступа по https на www **Сценарий:​** использование пользовательских сертификатов для доступа по https на www
Строка 380: Строка 424:
 **Сценарий:​** использование пользовательских сертификатов для доступа по imaps на server **Сценарий:​** использование пользовательских сертификатов для доступа по imaps на server
  
-  * [[Сервер dovecot#​Аутентификация на основе пользовательских сертификатов]] в протоколе IMAP +  * [[Сервер dovecot#​Аутентификация на основе пользовательских сертификатов]] в протоколе IMAP (обсудить,​ оставить парольную аутентификацию,​ поскольку ей же пользуется postfix, а thunderbird не поддерживает использование сертификатов для SMTP)
  
  
Строка 388: Строка 431:
 === Статичное,​ с использованием специальных средств === === Статичное,​ с использованием специальных средств ===
  
-Сценарий:​ разрешаем подключение к gate только из DMZ+Сценарий:​ разрешаем ​SSH подключение к www только из LAN
  
   * [[Сервис Tcpwrap]]   * [[Сервис Tcpwrap]]
Строка 405: Строка 448:
   * [[Антивирусная защита web трафика SQUID]]   * [[Антивирусная защита web трафика SQUID]]
  
-Сценарий: ​препятствуем попыткам сканирования системы server+Сценарий: ​Honeypot ​на gate
  
   * [[Сервис Portsentry]]   * [[Сервис Portsentry]]
   * [[https://​youtu.be/​6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]]   * [[https://​youtu.be/​6I0B3F179oE|Видео урок: Honeypot из tcpwrap и portsentry]]
  
-Сценарий:​ блокируем атаки ​на сервис ​SSH на server+Сценарий:​ блокируем атаки ​SSH сервиса на gate
  
   * [[Сервис Fail2ban]]   * [[Сервис Fail2ban]]
Строка 416: Строка 459:
 ==== 4.7 Шифрование контента ==== ==== 4.7 Шифрование контента ====
  
-Сценарий:​ размещаем данные ​пользователей на шифрованном разделе для сервера SAMBA+Сценарий:​ размещаем данные ​на шифрованном разделе для lan сервиса SAMBA (сетевой диск с двойным дном:​) 
 + 
 +  * Создаем раздел,​ без файловой системы ([[Управление файловыми системами в Linux#​Добавление дисков в Linux]]) 
 +  * [[Управление файловыми системами в Linux#​Использование ​шифрованных разделов в Linux]] 
 +  * Настроить права ​доступа к [[Файловый ​сервер SAMBA#​Публичный каталог доступный на запись]]
  
-  * Создаем раздел,​ без файловой системы ([[Управление файловыми системами в Linux#​Добавление дисков в Linux]], [[Управление файловыми системами в FreeBSD#​Добавление дисков в FreeBSD]]) 
-  * [[Управление файловыми системами в Linux#​Использование шифрованных разделов в Linux]], [[Управление файловыми системами в FreeBSD#​Использование шифрованных разделов в FreeBSD]] 
-  * [[Файловый сервер SAMBA#​Установка]] сервера SAMBA 
-  * [[Файловый сервер SAMBA#​Публичный каталог доступный на запись]] 
-  * Убираем сервисы smbd и nmbd из автозагрузки ([[Управление сервисами в Linux]], [[Управление сервисами в FreeBSD]]) ​ 
  
 ==== 4.8 Специальные решения ==== ==== 4.8 Специальные решения ====
Строка 428: Строка 470:
 Сценарий:​ защита LAN от посторонних сервисов DHCP Сценарий:​ защита LAN от посторонних сервисов DHCP
  
-  * [[Материалы по Windows#​DHCP,​ TFTP, DNS, SNTP и Syslog для Windows]] 
   * [[Оборудование уровня 2 Cisco Catalyst#​DHCP snooping]] ​   * [[Оборудование уровня 2 Cisco Catalyst#​DHCP snooping]] ​
-  * [[Сервис DHCP#​Поиск ​и подавление ​посторонних DHCP серверов]] ​+  * [[Сервис DHCP#​Поиск посторонних DHCP серверов]] ​
  
 ===== Модуль 5. Защита сети предприятия ===== ===== Модуль 5. Защита сети предприятия =====
Строка 445: Строка 486:
 ==== 5.1 Пакетные фильтры ==== ==== 5.1 Пакетные фильтры ====
  
-Сценарий:​ защита сервиса ​ssh на server от bruteforce+Сценарий:​ защита ​http сервиса на server от bruteforce
  
-  * [[Сервис Firewall#​Конфигурация для защиты от bruteforce]] (атакуем server через ​putty с host системы)+  * [[Сервис Firewall#​Конфигурация для защиты от bruteforce]] (генерируем запросы ​с host системы)
  
 ==== 5.2 Системы IDS и IPS ==== ==== 5.2 Системы IDS и IPS ====
  
-Сценарий:​ фиксируем атаки ​на server ​из WAN, проверять с gate.isp.un+Сценарий:​ фиксируем атаки из WAN, проверять с host системы
  
   * [[Сервис SNORT]] на gate (указать правильный интерфейс)   * [[Сервис SNORT]] на gate (указать правильный интерфейс)
  
-Сценарий:​ блокируем атаки ​на server ​из WAN, проверять с client1, переместив его в WAN (демонстрирует преподаватель на FreeBSD)+Сценарий:​ блокируем атаки из WAN, проверять с host системы 
  
-  * [[Сервис SNORTSAM]] 
-  * [[Сервис BARNYARD2]] 
   * [[Сервис Fail2ban#​Интеграция fail2ban и snort]]   * [[Сервис Fail2ban#​Интеграция fail2ban и snort]]
  
Строка 475: Строка 514:
 === SSH вместо VPN (привязка к порту клиента) === === SSH вместо VPN (привязка к порту клиента) ===
  
-Сценарий:​ Отключаем на host системе VirtualBox Host-Only Network адаптер и, используя доступность LAN с server, осуществляем доступ по HTTP в систему LAN через учетную запись user1 системы server+Сценарий: подключаемся с "​домашнего"​ компьютера по RDP к компьютеру в LAN сети предприятия через "​рабочую"​ linux систему,​ с которой есть доступ в LAN 
 + 
 +Реализация: Отключаем на host системе VirtualBox Host-Only Network адаптер и, используя доступность ​сети ​LAN с server, осуществляем доступ по RDP к системе client1 ​через учетную запись user1 системы server
  
-  * Добавляем учетную запись user1 в linux ([[Управление учетными записями в Linux#​Добавление учетной записи]]),​ в freebsd ([[Управление учетными записями в FreeBSD#​Добавление учетной записи]]) 
   * [[Сервис SSH#SSH вместо VPN (привязка к порту клиента)]]   * [[Сервис SSH#SSH вместо VPN (привязка к порту клиента)]]
  
 === SSH вместо VPN (привязка к порту сервера) === === SSH вместо VPN (привязка к порту сервера) ===
  
-Сценарий:​ отключаем доступность LAN с server (и других систем,​ имеющих туда маршрут), осуществляем доступ по RDP в сеть LAN через ​учетную запись user1 системы server с использованием ssh соединения между lan и server+Сценарий: ​подключаемся с "домашнего" компьютера по RDP или SSH к компьютеру в LAN сети предприятия, через "​внешнюю"​ linux системук которой "​заранее"​ установлено SSH соединение из LAN 
 +  
 +Реализация:​ отключаем доступность сети LAN "​отовсюду", считаем server - "​внешним" ​ресурсом (например VPS), осуществляем доступ по RDP к client1 или SSH к lan через туннель в SSH соединении ​к server, установленном с client1 или lan
  
   * Настройка Firewall ([[Сервис Firewall#​Конфигурация для шлюза WAN - LAN - DMZ]])   * Настройка Firewall ([[Сервис Firewall#​Конфигурация для шлюза WAN - LAN - DMZ]])
-  * Назначаем host системе на интерфейсе "​VirtualBox Host-Only Network"​ ip address 192.168.100+X.20/​24 и подключаемся putty к lan  
   * [[Сервис SSH#SSH вместо VPN (привязка к порту сервера)]],​ использовать Bitvise SSH Client (Tunnelier)   * [[Сервис SSH#SSH вместо VPN (привязка к порту сервера)]],​ использовать Bitvise SSH Client (Tunnelier)
  
 ==== 6.2 Пакет OpenVPN ==== ==== 6.2 Пакет OpenVPN ====
  
-Сценарий:​ требуется предоставить авторизованный доступ ​внешних ​пользователей к любым ​LAN сервисам компании,​ например - CIFS+Сценарий:​ требуется предоставить авторизованный доступ пользователей, работающих на __ноутбуках__ и ездящих в командировки, ​к любым сервисам ​в сети LAN компании,​ например - CIFS
  
   * [[Пакет OpenSSL#​Инициализация списка отозванных сертификатов]]   * [[Пакет OpenSSL#​Инициализация списка отозванных сертификатов]]
обеспечение_безопасности_linux_решений.1555505849.txt.gz · Последние изменения: 2019/04/17 15:57 — val