Вопросы Теги

Как я могу создать укрепленное изображение Virtualbox для PenTesting?

Как серьезный исследователь в области безопасности, я ищу ответ на обеспечение установки Ubuntu против нежелательного проникновения. Это должно включать, как я могу:

  • Журнал и аварийные попытки удаленного соединения,
  • Журнал и предупреждение, когда файл изменяется, а также восстановление тех файлов по запросу,
  • Действительно ли необходимо Укрепить стек TCP/IP машины?

Мой сценарий варианта использования конца будет в Virtualbox для простоты восстановления, таким образом, было бы замечательно знать то, что я должен сделать для запущения изображения.

Был бы следующее iptables определения работают то же fail2bans цель?:

  • $ iptables -N IN_SSH

  • $ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH

  • $ iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 3 --seconds 10 -j DROP
  • $ iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 4 --seconds 1800 -j DROP
  • $ iptables -A IN_SSH -m recent --name sshbf --set -j Accept
  • $ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH

P.S.: кто-то дал бы код для надлежащего отгораживания сценариев?

2
задан 4 October 2015 в 10:41

3 ответа

Я испытываю желание пометить это как дубликат, поскольку было несколько вопросов , как это задавали ранее, но вы спрашиваете о конкретных ориентированных на безопасность вещи. Поэтому в духе помощи:

Существует активный аудит безопасности , который проводится в течение каждого цикла выпуска. Он также содержит полезные советы о некоторых базовых мерах безопасности, которые уже приняты специально для защиты и тестирования вашей системы от нежелательного внешнего доступа.

Конфигурация

Нет открытых портов. Хэширование паролей. Куки SYN

Подсистемы

  • Настраиваемый брандмауэр
  • Возможности файловой системы
  • PR_SET_SECCOMP

Обязательное управление доступом (MAC)

  • AppArmor
  • SELinux
  • SMACK

Шифрование файловой системы

  • Зашифрованный LVM
  • eCryptfs

Защита пользовательского пространства

  • Защита стека
  • Защита кучи
    • ]
  • Обфускация указателя
  • Рандомизация размещения адресного пространства (ASLR)
  • Построена как PIE
  • Построена с источником фортификации
  • Построена с RELRO
  • Построен с BIND_NOW
  • Неисполняемая память
  • / proc / $ pid / maps protection
  • Ограничения по символическим ссылкам
  • Ограничения по жестким ссылкам
  • ptrace scope

Укрепление ядра

  • Защита с 0 адресами
  • / защита dev / mem
  • / dev / kmem отключено
  • Блок загрузки модуля
  • Разделы данных только для чтения
  • Защита стека
  • Модуль RO / NX
  • Ограничение отображения адреса ядра
  • Чёрный список редких протоколов
  • Фильтрация системных вызовов

Имея список существующих защит, давайте рассмотрим остальную часть вашего вопроса:

  • В отношении попыток подключения к журналу это было рассмотрено , и, если вы хотите что-то более простое в настройке, всегда есть fail2ban или denyhosts.
  • При просмотре конфигураций для модификаций существует AppArmor .
  • Что касается указания на усиление стека TCP / IP, вам потребуются данные, чтобы подтвердить необходимость выполнения этого, но для параноика есть хорошая статья о преимуществах блокировки наводнения SYN . Но, как вы заметите из ссылки на аудит безопасности, приведенной выше, файлы SYN Cookies включены по умолчанию и помогают устранить это «из коробки».

Таким образом, кажется, что все, что вам действительно нужно сделать на этом этапе, это убедиться, что дополнительные приложения, которые вы можете / не можете устанавливать, проходят активный аудит безопасности, и что вы в курсе любых исправлений. Установили все дополнительные профили AppArmor, необходимые для защиты ваших настроек. (или дополнения SELinux, соответствующие вашей конкретной конфигурации)

Как обнаружить атаку SYN 

It is very simple to detect SYN attacks. The netstat command shows us how many connections are currently in the half-open state. The half-open state is described as SYN_RECEIVED in Windows and as SYN_RECV in Unix systems.



# netstat -n -p TCP tcp        0      0 10.100.0.200:21            
237.177.154.8:25882     SYN_RECV    - tcp        0      0 10.100.0.200:21            
236.15.133.204:2577     SYN_RECV    - tcp        0      0 10.100.0.200:21            
127.160.6.129:51748     SYN_RECV    - tcp        0      0 10.100.0.200:21            
230.220.13.25:47393     SYN_RECV    - tcp        0      0 10.100.0.200:21            

We can also count how many half-open connections are in the backlog queue at the 
moment. In the example below, 769 connections (for TELNET) in the SYN RECEIVED state 
are kept in the backlog queue.



 # netstat -n -p TCP | grep SYN_RECV | grep :23 | wc -l 769 

The other method for detecting SYN attacks is to print TCP statistics and 
look at the TCP parameters which count dropped connection requests. While under 
attack, the values of these parameters grow rapidly.



 # netstat -s -P tcp | grep tcpHalfOpenDrop         tcpHalfOpenDrop     =   473 

It is important to note that every TCP port has its own backlog queue, but only
one variable of the TCP/IP stack controls the size of backlog queues for all ports.
0
ответ дан 4 October 2015 в 10:41

Посмотрите следующие ссылки, которые могут помочь улучшить вашу установку Ubuntu:

http://www.maketecheasier.com/protect-ssh-server-with-fail2ban-ubuntu/

http://www.rawcomputing.co.uk/linux/linux-firewall-part1.html

http: // blog. lavoie.sl/2012/09/protect-webserver-against-dos-attacks.html

0
ответ дан 4 October 2015 в 10:41

Эти ссылки могут оказаться полезными:

Некоторое программное обеспечение может быть полезно:

  • Nmap - Network Mapper.
  • Kismet - беспроводной инструмент мониторинга 802.11b.
  • Chkrootkit - Проверяет наличие признаков руткитов в локальной системе.
  • Rkhunter - руткит, бэкдор, сканер и эксплойт.
  • GnuPG - защита конфиденциальности GNU.
  • Snort - гибкая система обнаружения вторжений в сеть.
0
ответ дан 4 October 2015 в 10:41

Другие вопросы по тегам:

Похожие вопросы: