Linux - Security und Firewall: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(45 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 23: Zeile 23:
 
= Ziel =
 
= Ziel =
  
 +
<!--
 
== physischer Netzwerkplan ==
 
== physischer Netzwerkplan ==
 
{{#drawio:linux-sec-fire-00.0}}
 
{{#drawio:linux-sec-fire-00.0}}
 +
-->
  
== logischer Netzwerkplan ==
+
= logischer Netzwerkplan =
 
{{#drawio:linux-sec-fire-00}}
 
{{#drawio:linux-sec-fire-00}}
 
{{#drawio:linux-sec-fire-00.1}}
 
{{#drawio:linux-sec-fire-00.1}}
Zeile 32: Zeile 34:
 
= VM Vorlage =
 
= VM Vorlage =
 
*[[VM Vorlage Linux - Security und Firewall Labor]]
 
*[[VM Vorlage Linux - Security und Firewall Labor]]
 +
=Anpassungen an den HOST=
 +
[[FW Anpassungen an den HOST]]
 +
 +
= Router Firewall =
 +
*[[Router Firewall - Linux - Security und Firewall Labor]]
 +
;Vorab NAT
 +
*[[NAT]]
 +
*[[Nftables SNAT - Linux - Security und Firewall Labor]]
 +
*[[Schnellkurs ping]]
 +
*[[Schnellkurs tcpdump]]
 +
*[[Aufgaben Linux Firewall Konnektivität]]
 +
  
 
= Hostzugriff absichern =
 
= Hostzugriff absichern =
Zeile 42: Zeile 56:
 
*[[tcpdump]]
 
*[[tcpdump]]
 
*[[wireshark]]
 
*[[wireshark]]
*[[netstat-linux|netstat]]
+
*[[ss]]
 
*[[nmap]]
 
*[[nmap]]
=Vorab Nat=
 
*[[Nftables Masquerade]]
 
  
= Router Firewall =
+
= DNS für das Labor einrichten =
*[[Router Firewall - Linux - Security und Firewall Labor]]
+
*[[DNS für das Labor einrichten - Linux - Security und Firewall Labor]]
;Vorab NAT
+
*[[DNS Linux - Netzwerk und Serveradministration - Skript]]
*[[Nftables Masquerade]]
+
*[[Nameserver|Vertiefung Nameserver]]
*[[Firewall Allgemein|Firewall Vertiefung]]
 
  
 
= DHCP =
 
= DHCP =
 
*[[DHCP Linux - Security und Firewall Labor]]
 
*[[DHCP Linux - Security und Firewall Labor]]
 
*[[DHCP|Vetiefung DHCP]]
 
*[[DHCP|Vetiefung DHCP]]
 +
=Ssh jump-host=
 +
*[[Ssh jump-host]]
 +
 +
=Client eintrichten=
 +
*[[Client - Security und Firewall Labor]]
 +
 +
= Webserver =
 +
*[[Webserver - Security und Firewall Labor]]
 +
 +
=Mail Appliance=
 +
*[[Integration der Mail Apliance]]
 +
=SMB Server=
 +
*[[Smb.it2xx.int]]
  
= DNS für das Labor einrichten =
+
=Aufgabe=
*[[DNS für das Labor einrichten - Linux - Security und Firewall Labor]]
+
*[[Aufgabe offene Ports Linux - Security und Firewall]]
*[[DNS Linux - Netzwerk und Serveradministration - Skript]]
+
 
*[[Nameserver|Vertiefung Nameserver]]
+
=Firewall=
=Minimale, gehärtete Distribution=
+
*[[Firewall Allgemein|Firewall Vertiefung]]
*[[gehärtete Distribution Rocky]]
+
*[[nftables firewall]]
 +
*[[iptables firewall]]
 +
*[[ip/nftables|Vertiefung ip/nftables]]
  
 
=SFTP Server=
 
=SFTP Server=
Zeile 76: Zeile 102:
  
 
= [[Openvpn Grundlagen|OpenVPN]] =
 
= [[Openvpn Grundlagen|OpenVPN]] =
*[[OpnVPN Linux - Security und Firewall Labor]]
+
*[[Openvpn Grundlagen]]
 +
*[[OPENVPN with User-Authentication]]
 +
*[[OPENVPN Linux Client]]
 +
*[[OPENVPN Gnome Client]]
 
*[[Openvpn|Vertiefung Openvpn]]
 
*[[Openvpn|Vertiefung Openvpn]]
 +
= [[Suricata]] =
 +
*[[IDS/IPS]]
 +
*[[Suricata Linux - Security und Firewall Labor]]
  
 
=Crowdsec=
 
=Crowdsec=
Zeile 84: Zeile 116:
 
*[[Crowdsec Installation und Handling]]
 
*[[Crowdsec Installation und Handling]]
 
*[[Crowdsec SSH Bruteforce Beispiel]]
 
*[[Crowdsec SSH Bruteforce Beispiel]]
 +
*[[Debugging CrowdSec SSH-Bruteforce]]
 +
 +
=Minimale, gehärtete Distribution=
 +
*[[gehärtete Distribution Rocky]]
 +
=Härtung=
 +
*[[systemd Hardening Workshop]]
  
 
= Fail2ban für SSH/SFTP einrichten =
 
= Fail2ban für SSH/SFTP einrichten =
 +
*[[Was ist Fail2ban]]
 
*[[Fail2ban für SSH/SFTP einrichten]]
 
*[[Fail2ban für SSH/SFTP einrichten]]
 
*[[Fail2ban|Vertiefung Fail2ban]]
 
*[[Fail2ban|Vertiefung Fail2ban]]
  
 
== VLAN ==
 
== VLAN ==
 +
*[https://hedgedoc.xinux.net/p/IhqRUW6ip#/ VLAN Sicherheit]
 +
*[https://hedgedoc.xinux.net/p/PovsMA7po#/ 802.1x]
 
*[[VLAN mit Linux und Cisco Nexus]]
 
*[[VLAN mit Linux und Cisco Nexus]]
 
*[[VLAN|Vertiefung VLAN]]
 
*[[VLAN|Vertiefung VLAN]]
= Proxy Konzepte =
 
*[[Proxies|Vertiefung Proxies]]
 
== SOCKS Proxy ==
 
*[[SOCKS Proxy]]
 
== [[Squid ACL Basic|Squid als Standard Proxy]] ==
 
* Ein einfacher Proxy soll eingerichtet werden
 
* Über die Source-IP wird kontrolliert, ob ein Client den Proxy benutzen darf
 
* Weitere ACLs können den Zugriff auf bestimmte Webseiten blockieren
 
== [[Iptables mit Squid Transparenter Proxy|Transparenter Proxy]] ==
 
* Clients im LAN sollen nicht die Möglichkeit haben den Proxy zu umgehen, indem sie den Eintrag aus dem Browser entfernen
 
* Über Firewall-Regeln können die Webanfragen auf den Proxy geleitet werden
 
== [[Squid und ClamAV|Virenscanning mit ClamAV in Squid]] ==
 
* Durch Installieren von Stammzertifikaten auf den Browsern der Clients, soll Squid die Möglichkeit haben die Inhalte der Webseiten zu scannen
 
* Der Proxy kann so dann verhindern, dass Clients sich Viren herunterladen
 
  
 
= Proxy Konzepte =
 
= Proxy Konzepte =
 
*[[Proxies|Vertiefung Proxies]]
 
*[[Proxies|Vertiefung Proxies]]
 +
== Bastionhost==
 +
*[[Bastionhost]]
 +
==Squid==
 +
*[[Squid-Kit]]
 
== SOCKS Proxy ==
 
== SOCKS Proxy ==
 
*[[SOCKS Proxy]]
 
*[[SOCKS Proxy]]
== [[Squid ACL Basic|Squid als Standard Proxy]] ==
+
== Reverse Proxy ==
* Ein einfacher Proxy soll eingerichtet werden
+
*[[Reverse Proxy]]
* Über die Source-IP wird kontrolliert, ob ein Client den Proxy benutzen darf
 
* Weitere ACLs können den Zugriff auf bestimmte Webseiten blockieren
 
 
 
== [[Iptables mit Squid Transparenter Proxy|Transparenter Proxy]] ==
 
* Clients im LAN sollen nicht die Möglichkeit haben den Proxy zu umgehen, indem sie den Eintrag aus dem Browser entfernen
 
* Über Firewall-Regeln können die Webanfragen auf den Proxy geleitet werden
 
 
 
== [[Squid und ClamAV|Virenscanning mit ClamAV in Squid]] ==
 
* Durch Installieren von Stammzertifikaten auf den Browsern der Clients, soll Squid die Möglichkeit haben die Inhalte der Webseiten zu scannen
 
* Der Proxy kann so dann verhindern, dass Clients sich Viren herunterladen
 
 
 
= [[Suricata]] =
 
*[[Suricata Linux - Security und Firewall Labor]]
 
 
 
= [[Mandatory Access Control]] =
 
  
== [[Apparmor]] ==
+
=Bridge Firewall=
== [[SELinux]] ==
+
*[[Nftables und layer2 Firewall]]
*[[SELinux - Linux - Security und Firewall Labor]]
+
*[[Suricata Bridge Firewall]]
  
 
= HIDS =
 
= HIDS =
Zeile 144: Zeile 160:
 
*[[nmap bestpractice]]
 
*[[nmap bestpractice]]
 
*[[Vertiefung Portscanning]]
 
*[[Vertiefung Portscanning]]
 +
=Theorie=
 +
*[[Definition und historische Aspekte anhandgängiger Beispiele]]
  
 
=Tiefergehende Themen=
 
=Tiefergehende Themen=

Aktuelle Version vom 31. Juli 2025, 12:13 Uhr

Wer bin ich?

Anmeldedaten für VMs

  • Benutzer: kit
  • Passwort: kit
  • Benutzer: root
  • Passwort: radler

Themen

Praxis

Ziel

logischer Netzwerkplan

VM Vorlage

Anpassungen an den HOST

FW Anpassungen an den HOST

Router Firewall

Vorab NAT


Hostzugriff absichern

Remotezugriff mit SSH

Exkurs: Vertiefung Netzwerk- und SecurityTools

DNS für das Labor einrichten

DHCP

Ssh jump-host

Client eintrichten

Webserver

Mail Appliance

SMB Server

Aufgabe

Firewall

SFTP Server

Strongswan IPSEC

Wireguard

OpenVPN

Suricata

Crowdsec

Minimale, gehärtete Distribution

Härtung

Fail2ban für SSH/SFTP einrichten

VLAN

Proxy Konzepte

Bastionhost

Squid

SOCKS Proxy

Reverse Proxy

Bridge Firewall

HIDS

Greenbone Security/Vulnerability Manager (Hacking & Security Seite 161)

Portscanning

Theorie

Tiefergehende Themen

Misc

Abgerufen von „http://wiki.ixheim.de/index.php?title=Linux_-_Security_und_Firewall&oldid=64112