Linux - Security und Firewall Plan - Linkai

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

VirtualBox Vorlagen

  • Debian: Dienen als Server, Firewall oder generell Rechner, die keine graphische Oberfläche benötigen (sollte schon in Virtualbox als debian-bullseye-server vorhanden sein)
  • Arch: Rechner im LAN, Verwaltung der Server von hier aus über SSH/Weboberflächen (Befehl zum Herunterladen in der nächsten Zeile)
  • scp 192.168.3.200:~/Dokumente/lan-host.ova ~/Dokumente

Tag 1

Aufbau der Labore

  • Eine Debian Maschine soll uns als Firewall dienen
  • Diese soll über einen Bridgeadapter eine pseudo-öffentliche IP im Schulungsnetzwerk erhalten
  • Ein zweiter Netzwerkadapter vom Typ "internes Netzwerk" soll als LAN der Labore dienen
  • Ein Host mit einer graphischen Oberfläche im LAN der Firewall soll als Verwaltungsrechner dienen
  • Wenn die virtuellen Maschinen so konfiguriert sind, können sie hochgefahren werden
  • Nun muss die Netzwerkeinstellung wie im Schaubild konfiguriert werden:
  • Dazu muss noch "manuell" auf der Firewall die statischen IPs und der DHCP Server konfiguriert werden
  • apt install isc-dhcp-server
  • Falls dieser Befehl einen Fehler in der Namensauflösung schmeist, dann muss ein richtiger Nameserver eingetragen werden
  • vim /etc/resolv.conf 
nameserver 1.1.1.1 # Als Beispiel. Man kann auch jeden anderen validen Nameserver verwenden
  • Nach der Installation des DHCP Servers beschwert sich systemd, dass er den Dienst nicht starten kann, weil er noch nicht richtig konfiguriert ist.
  • Das ist nicht weiter schlimm, da wir ihn wie folgt einstellen:
  • vim /etc/default/isc-dhcp-server
DHCPDv4_CONF=/etc/dhcp/dhcpd.conf
INTERFACESv4="enp0s8"
  • vim /etc/dhcp/dhcpd.conf
option domain-name-servers 1.1.1.1;
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none;
subnet 172.16.1xx.0 netmask 255.255.255.0 {
	range 172.16.1xx.2 172.16.1xx.10;
	option routers 172.16.1xx.1;
}

Hostzugriff absichern

Remotezugriff mit SSH

  • Da man nicht immer physisch an einer Maschine anwesend sein kann, empfiehlt es sich Hosts über SSH zu steuern
  • ssh user@remote_ip

SSH-Daemon auf Firewall absichern: Anderer Port, kein Root Login über Passwort

SSH-Schlüssel mit Passwort generieren

  • Damit man nicht jedes mal den privaten Schlüssel entsperren muss, sollte man sich einen SSH Agent konfigurieren

Tag 2

  • Internet Zugriff für LAN mit iptables
  • Stateful Firewall: Establish und Related, um den Zustand von TCP/UDP Verbindungen zu beobachten, Conntrack als Visualisierung
  • Connection Tracking anpassen
  • grundlegende Dinge wie Loopback, Web, etc. freischalten
  • Dienste wie DNS, Webserver in der DMZ erstellen
  • vim /etc/default/isc-dhcp-server
DHCPDv4_CONF=/etc/dhcp/dhcpd.conf
INTERFACESv4="enp0s8 enp0s9"
  • vim /etc/dhcp/dhcpd.conf
option domain-name-servers 1.1.1.1;
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none;
subnet 172.16.1xx.0 netmask 255.255.255.0 {
	range 172.16.1xx.2 172.16.1xx.10;
	option routers 172.16.1xx.1;
}
subnet 10.0.1xx.0 netmask 255.255.255.0 {
	range 10.0.1xx.2 10.0.1xx.10;
	option routers 10.0.1xx.1;
}
  • Firewall Regeln für Zugriff einrichten

Tag 3

  • Mitschneiden des Datenverkehrs mit tcpdump / wireshark
  • Verschlüsseln des Datenverkehrs mit VPNs
  • IPSec Site-to-Site aufbauen mit PSK
  • IPSec Site-to-Site aufbauen mit Zertifikat

Tag 4

  • Firewall als nftables (Der Nachfolger von iptables) schreiben

Tag 5

  • OpenVPN Site-to-Site aufbauen
  • OpenVPN mit User-Authentication einrichten

HIDS

  • AIDE
  • Tripwire

Tag 6

  • Fail2ban für SSH einrichten

NIDS

Tag 7

  • Squid Proxy konfigurieren (Application und transparent)
  • Virenscanning mit ClamAV in Squid

Tag 8

  • Angriffe mit nmap versuchen
  • System anpassen, anschauen wo was Alarm schlägt
Abgerufen von „http://wiki.ixheim.de/index.php?title=Linux_-_Security_und_Firewall_Plan_-_Linkai&oldid=48297