Вопрос Как создать упрощенное изображение Virtualbox для PenTesting?


Будучи серьезным исследователем безопасности, я ищу ответ на обеспечение установки Ubuntu против нежелательного вторжения. Это должно включать в себя, как я могу:

  • Лог и оповещения о попытках удаленного подключения,
  • Журнал и предупреждение при изменении файла, а также восстановление этих файлов по запросу,
  • Нужно ли хранить стек TCP / IP машины?

Мой сценарий конечного использования будет в Virtualbox для облегчения восстановления, поэтому было бы здорово узнать, что мне нужно сделать, чтобы запустить изображение.

Будет ли следующее iptables определения работают так же, как и назначение fail2bans ?:

  • $ iptables -N IN_SSH

  • $ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH

  • $ iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 3 --seconds 10 -j DROP
  • $ iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 4 --seconds 1800 -j DROP
  • $ iptables -A IN_SSH -m recent --name sshbf --set -j Accept
  • $ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH

P.S .: Будет ли кто-то давать код для правильной работы скриптов?


2
2018-01-22 04:19


происхождения




ответы:


Я испытываю соблазн отметить это как дубликат, поскольку несколько  вопросов  как это спросил раньше, но вы просите конкретные вещи, ориентированные на безопасность. Поэтому в духе помощи:

Существует активный аудит безопасности это продолжается в течение каждого цикла выпуска. Он также содержит хорошие рекомендации относительно некоторых основных мер безопасности, которые уже существуют, чтобы упростить и протестировать вашу систему против нежелательного внешнего доступа.

конфигурация

Нет открытых портов Хеширование паролей SYN cookie

Подсистемы

  • Настраиваемый межсетевой экран
  • Возможности файловой системы
  • PR_SET_SECCOMP

Обязательный контроль доступа (MAC)

  • AppArmor
  • SELinux
  • ХЛОПАТЬ

Шифрование файловой системы

  • Зашифрованный LVM
  • eCryptfs

Упрочнение пространства пользователя

  • Протектор стека
  • Кухонный протектор
  • Обфускация указателя
  • Рандомизация пространственной компоновки (ASLR)
  • Построен как PIE
  • Построено с Fortify Source
  • Построено с помощью RELRO
  • Построено с BIND_NOW
  • Не исполняемая память
  • / proc / $ pid / maps protection
  • Ограничения Symlink
  • Ограничения жесткости
  • область действия ptrace

Укрепление ядра

  • Защита 0-адресов
  • / dev / mem защита
  • / dev / kmem отключено
  • Загрузка блочного модуля
  • Секции данных только для чтения
  • Защитная пленка
  • Модуль RO / NX
  • Ограничение отображения адреса ядра
  • Черный список редких протоколов
  • Печать

Со списком существующих защит, давайте рассмотрим остальную часть вашего вопроса:

  • В отношении попыток подключения к журналу это была покрыта, и если вам нужно что-то более простое, всегда есть fail2ban или denyhosts.
  • При просмотре конфигураций для AppArmor,
  • Что касается указания на упрочнение стека TCP / IP, вам понадобятся данные для проверки необходимости выполнения этого, но для параноидальной ситуации есть хорошая публикация на преимущества блокировки SYN flooding, Но, как вы заметили из вышеперечисленного ссылки на проверку безопасности, SYN Cookies по умолчанию включена и помогает смягчить это из коробки.

Таким образом, кажется, что все, что вам действительно нужно сделать в этот момент, гарантирует, что дополнительные приложения, которые вы можете / не можете устанавливать, проходят активные проверки безопасности и что вы используете какие-либо исправления. Установили любые дополнительные профили AppArmor, необходимые для обеспечения ваших настроек. (или добавлений SELinux, соответствующих вашей конкретной конфигурации)

Как обнаружить атаку SYN

It is very simple to detect SYN attacks. The netstat command shows us how many connections are currently in the half-open state. The half-open state is described as SYN_RECEIVED in Windows and as SYN_RECV in Unix systems.



# netstat -n -p TCP tcp        0      0 10.100.0.200:21            
237.177.154.8:25882     SYN_RECV    - tcp        0      0 10.100.0.200:21            
236.15.133.204:2577     SYN_RECV    - tcp        0      0 10.100.0.200:21            
127.160.6.129:51748     SYN_RECV    - tcp        0      0 10.100.0.200:21            
230.220.13.25:47393     SYN_RECV    - tcp        0      0 10.100.0.200:21            

We can also count how many half-open connections are in the backlog queue at the 
moment. In the example below, 769 connections (for TELNET) in the SYN RECEIVED state 
are kept in the backlog queue.



 # netstat -n -p TCP | grep SYN_RECV | grep :23 | wc -l 769 

The other method for detecting SYN attacks is to print TCP statistics and 
look at the TCP parameters which count dropped connection requests. While under 
attack, the values of these parameters grow rapidly.



 # netstat -s -P tcp | grep tcpHalfOpenDrop         tcpHalfOpenDrop     =   473 

It is important to note that every TCP port has its own backlog queue, but only
one variable of the TCP/IP stack controls the size of backlog queues for all ports.

2
2018-01-22 09:22



Да. Bucku отредактировал на мне. Я хотел спросить, можете ли вы расширить свои iptable-определения в соединениях виртуальных ящиков. И к компьютеру, и к интернету. Большинство из них в остальном нетронутыми. И моя формулировка была почти полностью изменена. Спасибо чувак. Оцените отклонение от намерения. - Miphix


Посмотрите на следующие ссылки, которые могут помочь укрепить вашу установку Ubuntu:

http://www.maketecheasier.com/protect-ssh-server-with-fail2ban-ubuntu/

http://www.rawcomputing.co.uk/linux/linux-firewall-part1.html

http://blog.lavoie.sl/2012/09/protect-webserver-against-dos-attacks.html


0
2018-01-22 08:03



Считается лучшей практикой включать соответствующий контент из ссылок в ответ в случае, если источник должен исчезнуть. - lazyPower
Легче сказать, чем сделать, некоторые из ссылок охватывают страницы, и я всегда проверяю ссылки, прежде чем вставлять их, чтобы убедиться, что они живы ... - TenPlus1
Проблема состоит в том, что шесть месяцев, год и т. Д. После этого сообщения, когда исходные ссылки ушли. Отлично, что вы тестируете их, прежде чем публиковать их, но продолжите ли вы следить за своими ссылками после факта? - lazyPower


Эти ссылки могут оказаться полезными:

Некоторое программное обеспечение может быть полезно:

  • Nmap - Network Mapper.
  • Kismet - беспроводной монитор 802.11b.
  • Chkrootkit - Проверяет наличие признаков руткитов в локальной системе.
  • Rkhunter - руткит, бэкдор, сниффер и сканер эксплойтов.
  • GnuPG - защитник конфиденциальности GNU.
  • Snort - гибкая система обнаружения вторжений в сеть.

0
2018-01-22 09:23



Считается лучшей практикой включать соответствующий контент из ссылок в ответ в случае, если источник должен исчезнуть. - lazyPower