Модуль 1. Угрозы безопасности в сетях TCP/IP
Темы
• Сбор информации об удаленном узле/удаленной сети:
– анализ данных доменной системы имен (DNS);
– сканирование портов средствами nmap;
– выявление правил МЭ посредством сканирования портов.
• Исследование стека протоколов удаленного узла:
– определение версий сетевых служб удаленного узла;
– определение версий операционной системы удаленного узла.
• Сканирование уязвимостей (Penetration Testing)
• Перехват и анализ сетевого трафика.
• Атаки MitM в IP-сетях.
• Атаки отказа в обслуживании и распределенного отказа в обслуживании.
Лабораторные работы
• Сканирование портов/определение версий служб и операционной системы средствами nmap.
• Сканирование уязвимостей средствами OpenVAS.
• Перехват и анализ сетевого трафика средствами tcpdump, wireshark.
• Реализация MitM атаки ARP spoofing средствами ettercap.
Модуль 2. Межсетевое экранирование
Темы
• Типичные схемы использования межсетевых экранов
• Возможности фильтрации пакетов в ядре Linux:
– netfilter/iptables и надстройки над ними: UFW, FirewallD, Shorewall;
– FirewallD - файлы конфигурации, предопределенные сущности;
– работа с firewall-cmd для настройки FirewallD
– синтаксис простых и расширенных правил.
•Использование зон FirewallD:
– работа с зонами FirewallD, привязка к зонам интерфейсов и сетей;
– настройка зон для фильтрация проходящего трафика.
• Трансляция адресов (NAT):
– принцип работы;
– применение при межсетевом экранировании;
– настройка трансляции адресов средствами FirewallD.
• Журнализация отброшенных пакетов.
Лабораторная работа
• Включение FirewallD, проверка установок по-умолчанию.
• Настройка правил фильтрации пакетов на сервере для сетевых служб SSH, HTTPS.
• Конфигурирование зон и настройка правил фильтрации для проходящего трафика.
• Настройка трансляции адресов средствами FirewallD.
Модуль 3. Защита Web-служб
Темы
• Стандарты SSL/TLS:
– Инфраструктура PKI;
– Реализация прикладных протоколов поверх SSL/TLS;
– Запрос сертификата публичного ключа у удостоверяющего центра;
– Создание самоподписанного сертификата и ограничения его использования;
– Создание ключей и запрос сертификатов средствами openssl.
• Настройка HTTP-серверов на прием HTTPS-соединений:
– Конфигурация HTTPS в apache;
– Конфигурация HTTPS в nginx;
– Дополнительные параметры SSL/TLS, увеличение безопасности HTTPS.
• Развертывание стеков Web-приложений за HTTPS-серверами
Лабораторные работы
• Генерация ключей и самоподписанного сертификата средствами openssl.
• Настройка apache на использование самоподписанного сертификата и прием HTTPS-соединений.
• Запрос сертификата у удостоверяющего центра Let’s Encrypt средствами certbot.
• Настройка автообновления сертификата.
• Настройка nginx на использование полученного сертификата и прием HTTPS-соединений.
• Развертывание LAMP-стека за HTTPS-сервером nginx.
• Развертывание Python/Django-стека за HTTPS-сервером nginx.
Модуль 4. Защита электронной почты
Темы
• Стандартные средства разграничения возможности отправлять почту через почтовые сервера.
• Стандарт Simple Authentication and Security Layer (SASL) для протокола SMTP:
– Схема SMTP аутентификации по стандарту SASL;
– Настройка связки postfix и dovecot SASL;
• Защищенный доступа к почте по протоколам IMAPS и POP3S средствами dovecot.
• Фильтрация почтовых сообщений:
– Стандарт DKIM, установка и проверка цифровой подписи почтовых сообщений;
– Стандарт SPF, проверка подлинности домена отправителя;
– Спецификация DMARC - идентификация сообщений, создание отчётов и определение соответствия по доменному имени;
– Фильтрация почты на основании анализа почтовых сообщений;
– Проверка почтовых вложений на вирусы.
Лабораторные работы
• Настройка защищенной аутентификации по протоколу SMTP средствами postfix и dovecot SASL.
• Настройка защищенного доступа к почте по протоколам IMAPS и POP3S средствами dovecot.
• Настройка DKIM средствами связки postfix и OpenDKIM;
• Настройка SPF средствами связки postfix и python-policyd-spf;
• Настройка DMARC средствами связки postfix, OpenDMARC, OpenDKIM и python-policyd-spf;
• Настройка фильтрации почты на основании анализа содержимого почтовых сообщений и вложений средствами postfix, amavisd-new, ClamAV и SpamAssasin.
Модуль 5. Защита небезопасных сетевых служб
Темы
• Разграничение доступа к сетевым службам посредством TCP wrappers.
• Протокол FTP, основные угрозы, повышение безопасности сервера vsftpd.
• Механизм chroot-изация системных и сетевых служб, приемущества и недостатки.
• Контейнеризация сетевых служб средствами docker.
• Зашифрованное туннелирование трафика средствами stunnel.
Лабораторные работы
• Запрет неанонимных подключений и разграничение доступа средствами TCP wrappers для службы vsftpd.
• Настройка stunnel как TLS-туннеля для подключения к СУБД-серверу MySQL.
Модуль 6. DNSSec
Темы
• Уязвимости DNS-инфраструктуры:
– Атаки MitM на процесс разрешения имен DNS;
– Угрозы DNS Cache Poisoning.
• Защита DNS-трафика - стандарт DNSSEC:
– уязвимости протокола DNS;
– стандарт DNSSEC - Domain Name System Security;
– специальные записи зоны - RRSIG, DNSKEY;
– использование совместимого с DNSSEC резолвера - сервис unbound, его настройка;
– решение проблем работы проверок DNSSEC в публичных WiFi-сетях - сервис dnssec-trigger;
Лабораторные работы
• Настройка разрешения имен с проверкой DNS-ответов посредством сервиса unbound.
• Настройка зоны DNS на соответствие стандарту DNSSEC.
• Проведение диагностики защищенного разрешения имен посредством утилиты dig.
Модуль 7. VPN
Темы
• Механизмы туннелирования трафика:
– Стандарт IPSec, протоколы AH и ESP;
– Согласование IPSec-соединений, протокол IKE;
– Транспортный и туннельный режим IPSec;
– VPN канального уровня, стандарт L2TP.
• Реализация поддержки IPSec в ОС Linux средствами Libreswan:
– Генерация и обмен ключами узлов;
– Защищенные соединения Host-to-Host;
– Защищенные соединения Site-to-Site.
Лабораторные работы
• Настройка Host-to-Host VPN средствами Libreswan.
• Настройка Site-to-Site VPN средствами Libreswan.
Модуль 8. Сетевые системы обнаружения вторжений
Темы
• Функциональность IDS/IPS систем, принципы работы, использование.
• IDS/IPS-системы в ОС Linux, работающие по принципу анализа файлов журнала:
– fail2ban, psad, portsentry.
• Network IDS/IPS-системы, работающие по принципу анализа сетевого трафика:
– snort - принцип использования, архитектура, режимы работы;
– Режим анализа пакетов (Sniffer mode);
– Режим протоколирования пакетов (Packet Logger mode);
– Режим обнаружения сетевых вторжений (NIDS mode);
– Встраиваемый режим (Inline mode);
– Синтаксис правил snort.
Лабораторные работы
• Настройка snort на работу в режиме обнаружения сетевых вторжений (NIDS mode).
• Настройка snort на работу во встраиваемом режиме (Inline mode).