Ziel

physischer Netzwerkplan

logischer Netzwerkplan

VM Vorlage

• VM Vorlage Linux - Security und Firewall Labor

Hostzugriff absichern

• Hostzugriff absichern Linux - Security und Firewall Labor

Remotezugriff mit SSH

• Da man nicht immer physisch an einer Maschine anwesend sein kann, empfiehlt es sich Hosts über SSH zu steuern
• Der Datenverkehr ist dabei verschlüsselt, damit es beide Maschinen vor potentiellen Angreifern schützt, die den Verkehr mitschneiden
• Jeder Host soll über das SSH-Protokoll administrierbar sein
• Generieren Sie einen SSH-Schlüssel mit der Passphrase, z.B. 123Start$
• hinterlegen Sie den öffentlichen Schlüssel für die Nutzer kit und root auf der Firewall
• Der SSH-Server sollte nach Sicherstellung des Zugriffs über autorisierte SSH-Schlüssel keine Passwort-Authentifizierung mehr zulassen: SSH-Server Hardening
• Am Ende sollte jeder Host über ssh user@ip.oder.host.name erreichbar sein

Router Firewall

• Router Firewall - Linux - Security und Firewall Labor

Firewall

• nftables firewall
• iptables firewall

DHCP

• DHCP Linux - Security und Firewall Labor

Switch

• Linux Switch

DNS für das Labor einrichten

• DNS für das Labor einrichten - Linux - Security und Firewall Labor

• DNS Linux - Netzwerk und Serveradministration - Skript

SFTP Server

• SFTP Server Linux - Security und Firewall Labor

Strongswan IPSEC

• Strongswan IPSEC Linux - Security und Firewall Labor

Wireguard

• Wireguard Server for Roadwarrior

OpenVPN

• OpnVPN Linux - Security und Firewall Labor

Crowdsec

• Crowdsec Grundsätzliches
• Crowdsec Einordnung
• Crowdsec Installation und Handling
• Crowdsec SSH Bruteforce Beispiel

Fail2ban für SSH/SFTP einrichten

• Fail2ban für SSH/SFTP einrichten

Proxies

SOCKS Proxy

• SOCKS Proxy

Squid als Standard Proxy

• Ein einfacher Proxy soll eingerichtet werden
• Über die Source-IP wird kontrolliert, ob ein Client den Proxy benutzen darf
• Weitere ACLs können den Zugriff auf bestimmte Webseiten blockieren

Transparenter Proxy

• Clients im LAN sollen nicht die Möglichkeit haben den Proxy zu umgehen, indem sie den Eintrag aus dem Browser entfernen
• Über Firewall-Regeln können die Webanfragen auf den Proxy geleitet werden

Virenscanning mit ClamAV in Squid

• Durch Installieren von Stammzertifikaten auf den Browsern der Clients, soll Squid die Möglichkeit haben die Inhalte der Webseiten zu scannen
• Der Proxy kann so dann verhindern, dass Clients sich Viren herunterladen

Suricata

• Suricata Linux - Security und Firewall Labor

Mandatory Access Control

Apparmor

SELinux

• SELinux - Linux - Security und Firewall Labor

HIDS

• HIDS - Linux - Security und Firewall Labor

Greenbone Security/Vulnerability Manager (Hacking & Security Seite 161)

• GSM Linux - Security und Firewall Labor

Portscanning

• Die Effektivität der Firewall soll mit nmap getestet werden
• Für einen Vergleich scannen wir einmal mit Default-Policy accept und einmal mit drop

IP bei zuvielen Anfragen sperren

• nftables IP bei zuvielen Anfragen sperren