Cubrimos la seguridad de OpenVPN configurando cifrados de cifrado sólidos, configurando hash seguro para la autenticación e implementando Perfect Forward Secrecy. En el otro extremo, configuramos ajustes de seguridad básicos para enrutadores, como registro, firewall y reglas de tráfico, reenvío de puertos, SSH y cambio de credenciales predeterminadas. Esto fue parte de Seguimiento del ingeniero de seguridad TryHackMe, refuerzo de dispositivos de red.
Obtenga notas del examen COMPTIA Security+
Respuestas de la habitación
¿Se llama un vector de amenaza que incluye la interrupción de dispositivos y servicios críticos para que no estén disponibles para usuarios genuinos?
Actualice el archivo de configuración para usar autenticación SHA512. ¿Cuál es el valor de la bandera vinculado con la directiva de autenticación?
Según el archivo de configuración, ¿cuál es el número de puerto del servidor OpenVPN?
¿Cuál es el valor predeterminado? SSH ¿Puerto configurado para OpenWrt en la VM adjunta?
Ir a través de Configuración general opción bajo el Sistema pestaña en el archivo adjunto máquina virtual. El administrador ha dejado un mensaje especial en la sección Notas. ¿Cuál es el valor de la bandera?
¿Cuál es el valor predeterminado del tamaño del búfer de registro del sistema para el enrutador OpenWrt en la máquina virtual adjunta?
¿Cuál es la prioridad de inicio del guión? uhttpd?
¿Cuál es el nombre de la regla que reenvía datos provenientes de PÁLIDO puerto 9001 a LAN puerto 9002?
¿Cuál es el número de versión disponible? apk ¿paquete?
Transcripción del vídeo
El primero trata de reforzar las redes privadas virtuales para proteger las VPN. Y otra tarea es fortalecer los dispositivos de red. De hecho, hablamos de endurecer los enrutadores.
Ya saben, las VPN tienen tanto del lado del cliente como del lado del servidor. Y la mayoría de ustedes usan principalmente VPN para proteger su acceso a Internet y su conexión a sitios web censurados y otro material al que quizás no puedan acceder usando la configuración de su ISP, pero lo más importante es que usan VPN para proteger la privacidad. y seguridad de la persona que lo está utilizando. Todos confiamos hasta cierto punto en la VPN que utilizamos, pero hay un aspecto más importante que la VPN en sí, que es el servidor VPN. Quiero decir que esta configuración es la favorita o la parte posterior justo ahí donde se encuentra la configuración. Así que de eso estábamos hablando aquí.
Asegurar las configuraciones en el lado del servidor, no en el lado del cliente. entonces el ejemplo abarca todo el servidor VPN. Las configuraciones del servidor Openvpn se almacenan en /etc/openvpn.
Resaltamos el archivo server.conf y miramos las directivas clave aquí.
en este archivo la primera directiva clave es el cifrado Entonces usando la directiva del servidor decidimos o configuramos el algoritmo de cifrado. Es muy importante elegir un cifrado muy seguro.
Un cifrado seguro es o un ejemplo de un servidor secreto es aes256 CBC ya que, ya sabes, es un algoritmo de cifrado y dos cinco seis indican la longitud de la clave o la longitud de la clave de cifrado.
Ahora puede configurar el algoritmo de cifrado utilizando esta directiva. También puedes cambiar el algoritmo de cifrado por completo. Se recomienda utilizar siempre AES. Eso es lo primero.
Aquí otra cosa es una autenticación directiva por lo que controla el algoritmo hash utilizado durante el proceso de autenticación. Entonces, cuando un cliente o cuando se conecta a un servidor VPN, en realidad se está autenticando utilizando las credenciales de su cuenta durante el proceso. Se produce un proceso de hash. Entonces, ¿quieres utilizar un algoritmo de almacenamiento en caché sólido? SHA512 es una buena opción.
Otra directiva es tls-crypt. que permite el secreto directo perfecto PFS secreto directo perfecto donde las claves de sesión son aleatorias. Entonces, para cada sesión o para cada sesión justo cuando te conectas al servidor VPN, se crea una clave de sesión correctamente. Ahora esta clave de sesión puede ser aleatoria o ser la misma todo el tiempo. Desea que la clave de sesión sea aleatoria porque si un atacante estuviera siquiera alterando la comunicación entre usted y el servidor VPN. Si pueden conseguir una clave, podrán descifrar todos los paquetes.
Entonces, si la clave de sesión es aleatoria, se minimizan las posibilidades de que esto suceda. Además aquí. Vemos otras cosas como el puerto configurado para el servidor VPN la dirección IP local el protocolo.
Ahora nos dirigimos a la seguridad de los dispositivos de red y específicamente hablaremos sobre la seguridad del enrutador utilizando el firmware OpenWRT.
Bueno. Ahora lo primero que debemos hacer es configurar los ajustes generales vamos a sistema hacemos clic en sistema. Y aquí cargamos la configuración general como Hora, nombre de host, Zona, registro. Todas estas configuraciones son importantes para configurarse correctamente porque, en caso de un incidente o un ataque cibernético, desea que la hora esté correctamente alineada con su zona horaria.
Así que aquí, como lo configuré, vamos a cambiar estas configuraciones porque no nos pertenecen. También sincroniza esto con un servidor de entidad.
Iniciar sesión ¿Quieres registrar todos los paquetes? Si no tiene suficiente espacio, puede reenviar los registros a un servidor de registro central. Bien, una máquina diferente donde aloja un programa llamado syslog o un programa que usa este registro para reenviar registros y puedes almacenarlos allí. De lo contrario, puede coserlos localmente especificando el director aquí y dejar el nivel básico de registro para depurar.
Muy bien, lo siguiente es cambiar las credenciales predeterminadas. No desea dejar su contraseña como administrador o contraseña de administrador. ¿Quieres cambiarlos aquí?
Además, si desea administrar el enrutador, debe verificar el acceso al enrutador y cambiar las configuraciones. Quieres hacerlo a través de un canal seguro. Entonces podemos hacerlo a través de https.
Bien, o preferiblemente lo hacemos a través de SSH porque le permite realizar un mantenimiento granular.
Tener control granular sobre el enrutador. Se especificó la placa y la interfaz sobre las cuales vamos a especificar que podemos acceder al enrutador y vamos a guardar y aplicar también aquí si tiene claves SSH. Generas una clave en tu línea de comentarios aquí. ssh-keygen.
A continuación nos situamos en Software. Echamos un vistazo a los paquetes instalados en el enrutador y podemos actualizar e instalar el paquete desde aquí.
No sé si existe en otros firmware, pero en general puede estar allí para iniciar y iniciar. Echamos un vistazo a los scripts que hay configurados.
Al comienzo de cuando se inicia el enrutador. Entonces, básicamente, asegúrese de que la lista aquí sea la lista nativa que viene predefinida con el firmware porque si un atacante pudo obtener acceso al enrutador, está bien, instalará un script para persistencia. Así que asegúrese de pedirlos de vez en cuando.
Podemos controlar el flujo de tráfico de entrada y salida de la red a través de la sección del firewall.
Generalmente en una red local donde no hay servidores configurados para acceder desde Internet. Se recomienda desactivar la dirección del tráfico que proviene de Internet. Por ejemplo. Tenemos esta dirección: se permite aterrizar a uno porque desea que los puntos finales accedan a Internet. Así que permita la dirección hacia la tierra a uno.
Y este es un significado bidireccional cuando envía una solicitud a un sitio web. La respuesta al alza será aceptada por esta regla. Por lo tanto, no es necesario configurar uno a uno. Ahora uno a uno es el vino rechazado de forma predeterminada. Lo siento. Se rechaza de forma predeterminada y las redes regulares cuando están. No hay servidores alojados.
Si tienes un servidor web un servidor público. Como tal vez un servidor de juegos. Bien, ¿quieres configurar esto para permitir que uno aprenda? Está bien, entonces puedes editar.
uno y aquí la entrada puede aceptar y permitir, como puede ver, uno permite el destino y permite reenviar desde la fuente.
Reenvío de puertos De nuevo, si no tiene un servidor público ejecutándose en su red, no es necesario configurar cuándo aterrizar. Además. No es necesario configurar el reenvío de puertos. Pero nuevamente, si tiene un servidor público, como un servidor de juegos, además de permitirle saber, desea configurar el reenvío de puertos, por ejemplo. ¿Es esta regla el THM_Port? Haga clic en editar como puede ver aquí. Digamos que hay un servidor de juegos ejecutándose en el puerto 902 en una de sus máquinas y el servidor de juegos usa el puerto 9001 para recibir tráfico del servidor principal. Por lo tanto, desea configurar una regla aquí, regla de reenvío de puerto, para que todo el tráfico proveniente de Internet en el puerto 9001 sea aceptado o reenviado, como puede ver, a la red local a un dispositivo en el puerto 9002.
Si solo tiene un dispositivo específico o queremos aceptar tráfico solo a un dispositivo específico, cambie o especifique su dirección IP.
Bien, reglas de tránsito en reglas de tránsito. Controlamos el flujo del tráfico en detalles como controlar el protocolo y los puertos permitidos. Tomemos un ejemplo. Entonces tenemos el nombre de esta regla permitir rosa y son las configuraciones y la acción es aceptar. Y está habilitado, echemos un vistazo. El nombre es permitir ping. El protocolo es ICMP. Y esa es la dirección, como puede ver, aceptamos ICMP.
Tutorial en vídeo
