Инструменты пользователя

Инструменты сайта


обеспечение_безопасности_unix_решений_2016

Содержание

Обеспечение безопасности UNIX решений

Модуль 1. Развертывание сети и сервисов предприятия

Настройка систем

Настройка систем Gate и Сервер

Ubuntu
root@gate:~# cat /etc/network/interfaces
...
auto eth2
iface eth2 inet static
        address 192.168.100+X.1
        netmask 255.255.255.0
FreeBSD
# cat /etc/rc.conf
...
ifconfig_em2="192.168.100+X.1/24"
...

Настройка системы Lan

Ubuntu
root@localhost:~# cat /etc/hostname
lan.corpX.un
root@localhost:~# cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.100+X.10
        netmask 255.255.255.0
        gateway 192.168.100+X.1
root@localhost:~# init 6

...

root@lan:~# apt update
FreeBSD
# cat /etc/rc.conf
hostname="lan.corpX.un"
ifconfig_em0="192.168.100+X.10/24"
defaultrouter=192.168.100+X.1

keyrate="fast"
sshd_enable=yes
# init 6

# pkg update -f

# pkg install pkg

Подключение сети предприятия к Internet

Сценарий: 192.168.X/24 - «белая» DMZ сеть, 192.168.100+X - «серая» LAN сеть

План размещения сервисов в сети предприятия

  • Сервис DNS
  • Сервис EMAIL
  • Сервис DHCP
  • Файловый сервис
  • Сервис WWW

Сервис WWW

Сценарий: внешний самописный корпоративный сайт на server, контент обновляется через ftp с использованием учетной записи user1 (не забыть изменить владельца каталога /var/www)

Модуль 2. Анализ информационных систем предприятия с точки зрения безопасности

2.1 Сканеры безопасности систем

Сценарий: сканирование портов сервисов системы server

Сценарий: определение версий ПО и уязвимостей системы server (ищем directory traversal http://www.securityfocus.com/bid/3666/discuss)

gate.isp.un$ curl --path-as-is http://server.corpX.un/../../../etc/passwd

gate.isp.un$ fetch -o - http://server.corpX.un/../../../etc/passwd

gate.isp.un$ telnet server.corpX.un 80
GET /../../../etc/passwd HTTP/1.1

GET /../../../etc/shadow HTTP/1.1

GET /../../../etc/master.passwd HTTP/1.1

Nessus

OpenVAS

freebsd# cat /var/log/messages
...
May 12 14:36:05 server inetd[908]: http from 172.16.1.248 exceeded counts/min (limit 60/min)
May 12 14:36:36 server last message repeated 154 times
...

Kali Linux

2.2 Сканеры безопасности сети

Сценарий: перехват учетных данных при обновлении пользователем user1 веб информации на server по протоколу ftp

2.3 Аудит систем

Проверка стойкости паролей

Проверка целостности системы

Проверка системы на наличие закладок

Аудит системных событий

!!! Тестировать из shell или запустить самописный www сервер на server с правами пользователя user1

Модуль 3. Защита систем предприятия

3.1 Обновление систем

3.2 Управление привилегиями сервисов

Система безопасности UNIX

Сценарий: Запуск самописного www сервера на server с правами пользователя user1 не позволит получить через него доступ к /etc/shadow (linux) или /etc/master.passwd (freebsd)

POSIX ACL

Сценарий: с помощью POSIX ACL запрещаем пользователю user1 читать файл /etc/passwd

3.3 Изоляция сервисов

Модули AppArmor и MAC

Сценарий: Ограничения, накладываемые политиками на самописный www сервер на server не позволят получить через него доступ к любым файлам, кроме разрешенных даже в случае запуска его с правами root

Изоляция сервисов в файловой системе

Сценарий: Запуск самописного www сервера на server в chroot позволит получить через него доступ только к файлам, которые мы скопировали в chroot окружение

Изоляция сервисов в выделенном окружении

3.4 Усиление системы с помощью специальных средств

FreeBSD

Linux GRSecurity

Модуль 4. Защита сервисов предприятия

4.1 Ограничения учетных записей пользователей сервисов

Сценарий: разворачиваем на server, MTA для домена server.corpX.un, IMAP без SSL. Учетные записи почтовых пользователей не должны иметь shell, предоставляющий командную строку

4.2 Скрытие баннеров сервисов

4.3 Замена устаревших сервисов

Сценарий: для хостинга заменяем FTP на SFTP

Сценарий: защита самописного web сервера от DoS

4.4 Шифрование трафика

Использование самоподписанных цифровых сертификатов

Сценарий: замена сервиса HTTP на HTTPS на www

Использование PKI

Сценарий:

  1. развертывание корпоративного CA (на lan)
  2. замена IMAP на IMAPS (на server)
  3. замена HTTP на HTTPS на lan (в клиенте добавлять сертификат CA в корневые центры сертификации)

4.5 Аутентификация и Авторизация при доступе к сервису

4.6 Ограничение доступа к сетевым сервисам

Статичное, с использованием специальных средств

Сценарий: разрешаем подключение к gate только из DMZ

Статичное, с использованием средств встроенных в сервис

Адаптивное, с использование специальных средств

4.7 Шифрование контента

Сценарий: размещаем данные пользователей на шифрованном разделе для сервера SAMBA

4.8 Специальные решения

Модуль 5. Защита сети предприятия

5.1 Пакетные фильтры

Сценарий: защита сервиса ssh на server от bruteforce

5.2 Системы IDS и IPS

Проверять с windows клиента, переместив его в WAN

Модуль 6. Использование VPN для соединения сетей филиалов предприятия и удаленных пользователей

6.1 Использование сервиса SSH

SSH вместо VPN (привязка к порту клиента)

Сценарий: используя доступность LAN с server осуществляем доступ по RDP в сеть LAN через учетную запись user1 системы server

SSH вместо VPN (привязка к порту сервера)

Сценарий: отключаем доступность LAN с server (и других систем, имеющих туда маршрут), осуществляем доступ по RDP в сеть LAN через учетную запись user1 системы server с использованием ssh соединения между lan и server

6.2 Пакет OpenVPN

Сценарий: требуется предоставить авторизованный доступ внешних пользователей к любым LAN сервисам компании, например - CIFS

Сценарий: требуется объединить сети филиалов

Дополнительные материалы

обеспечение_безопасности_unix_решений_2016.txt · Последние изменения: 2017/07/12 07:01 — val