Nous avons couvert la sécurité OpenVPN en configurant des chiffres de cryptage forts, en définissant un hachage sécurisé pour l'authentification et en implémentant Perfect Forward Secrecy. De l'autre côté, nous avons configuré les paramètres de sécurité de base pour les routeurs, tels que la journalisation, les règles de pare-feu et de trafic, la redirection de port, SSH et la modification des informations d'identification par défaut. Cela faisait partie de Piste d'ingénieur en sécurité TryHackMe, renforcement des périphériques réseau.

Obtenez les notes d'examen COMPTIA Security+

Réponses de la salle

Le périphérique utilisé pour contrôler et gérer les ressources réseau s'appelle ?

Un vecteur de menace qui inclut la perturbation des appareils et services critiques pour les rendre indisponibles pour les utilisateurs authentiques est appelé ?

Supposons que vous configuriez un routeur ; Lequel des éléments suivants pourrait être considéré comme un protocole non sécurisé :
R : HTTPS
B : FTP
C : SSH
D : IPsec

Le protocole d'envoi des messages de journal à un serveur centralisé pour le stockage et l'analyse s'appelle ?

Mettez à jour le fichier de configuration à utiliser chiffre AES-128-CBC. Quelle est la valeur du drapeau lié à la directive de chiffrement ?

Mettez à jour le fichier de configuration à utiliser authentification SHA512. Quelle est la valeur du flag lié à la directive auth ?

D'après le fichier de configuration, quel est le numéro de port du serveur OpenVPN ?

Mettez à jour le mot de passe du routeur sur TryHackMe123.

Quelle est la valeur par défaut SSH port configuré pour OpenWrt dans la VM attachée ?

Parcourir le réglages généraux option en vertu du Système onglet dans le document ci-joint Machine virtuelle. L'administrateur a laissé un message spécial dans la section Notes. Quelle est la valeur du drapeau ?

Quelle est la valeur par défaut de la taille du tampon du journal système pour le routeur OpenWrt dans la VM connectée ?

Quelle est la priorité de démarrage du script uhttpd?

Quel est le nom de la règle qui accepte le trafic ICMP de la zone source ? BLÊME et zone de destination comme cet appareil?

Quel est le nom de la règle qui transmet les données provenant de BLÊME port 9001 vers Réseau local port 9002 ?

Quel est le numéro de version du logiciel disponible apk emballer?

Les outils de surveillance du réseau sont-ils capables de détecter les goulots d’étranglement de la bande passante ? (oui/non)

Transcription vidéo

La première concerne le renforcement des réseaux privés virtuels sécurisant les VPN. Une autre tâche consiste à renforcer les périphériques réseau. Nous parlons en fait de durcissement des routeurs.
Vous savez, les gars, les VPN ont à la fois un côté client et un côté serveur. Et la plupart d'entre vous utilisent principalement un VPN simplement pour sécuriser votre accès à Internet et votre connexion à des sites Web censurés et à d'autres contenus auxquels vous ne pourrez peut-être pas accéder en utilisant vos paramètres de FAI, mais plus important encore, les VPN sont utilisés pour protéger la vie privée. et la sécurité de la personne qui l'utilise. Nous faisons tous confiance au VPN que nous utilisons dans une certaine mesure, mais il y a un aspect plus important que le VPN lui-même, qui est le serveur VPN. Je veux dire, c'est la configuration, c'est le favori ou l'arrière là où se trouve la configuration. C'est donc de cela dont nous parlions ici.

Sécuriser les configurations côté serveur et non côté client. l'exemple concerne donc tout le serveur VPN. Les configurations du serveur Openvpn sont stockées sous /etc/openvpn.
Nous mettons en évidence le fichier server.conf et examinons les directives clés ici.
dans ce fichier La première directive clé est le chiffre Donc en utilisant la directive serveur on décide ou on configure l'algorithme de chiffrement. Il est très important de choisir un chiffrement très sécurisé.
Un chiffrement sécurisé est ou un exemple de serveur secret est aes256 CBC car, vous savez, c'est un algorithme de cryptage et deux cinq six indique la longueur de la clé ou la longueur de la clé de cryptage.

Vous pouvez maintenant configurer l'algorithme de chiffrement à l'aide de cette directive. Vous pouvez également modifier complètement l’algorithme de cryptage. Il est recommandé de toujours utiliser AES. C'est la première chose.
Ici, autre chose est un authentification directive il contrôle donc l'algorithme de hachage utilisé lors du processus d'authentification. Ainsi, lorsqu'un client ou lorsque vous vous connectez à un serveur VPN, vous vous authentifiez réellement à l'aide des informations d'identification de votre compte pendant le processus. Un processus de hachage se produit. Vous souhaitez donc utiliser un algorithme de mise en cache puissant ? SHA512 est un bon choix.

Une autre directive est tls-crypt  qui permet le secret de transfert parfait PFS secret de transfert parfait où les clés de session sont randomisées. Ainsi, pour chaque session ou pour chaque session dès que vous vous connectez au serveur VPN, une clé de session est créée directement. Désormais, cette clé de session peut être randomisée ou être la même tout le temps. Vous souhaitez que la clé de session soit randomisée, car si un attaquant palpitait même sur la communication entre vous et le serveur VPN. S’ils parviennent à mettre la main sur une clé, ils pourront décrypter tous les paquets.
Donc, si la clé de session est randomisée, vous minimisez les chances que cela se produise. En plus ici. Nous voyons d'autres choses telles que le port configuré pour le serveur VPN, l'adresse IP locale, le protocole.

Passons maintenant à la sécurité des appareils réseau et nous parlerons plus particulièrement de la sécurité des routeurs à l'aide du micrologiciel OpenWRT.

D'accord. Maintenant, la première chose à faire est de configurer les paramètres généraux, nous allons dans système en cliquant sur système. Et ici nous chargeons la configuration générale tout comme une Heure le nom d'hôte La Zone la journalisation toutes ces configurations sont importantes à paramétrer correctement car dans le cas d'un incident ou d'une Cyberattaque vous souhaitez que l'heure soit correctement alignée avec votre fuseau horaire.
Donc voilà que j'ai défini tel quel nous allons modifier ces paramètres car ils ne nous appartiennent pas. Il synchronise également cela avec un serveur d'entité.

Connexion Vous souhaitez enregistrer tous les paquets ? Si vous ne disposez pas de suffisamment d'espace, vous pouvez transférer les journaux vers un serveur de journalisation central. D'accord, une machine différente sur laquelle elle héberge un programme appelé syslog ou un programme qui utilise ce journal pour transférer les journaux et vous pouvez les y stocker. Sinon, vous pouvez les coudre localement en spécifiant le directeur ici et laisser le niveau de journalisation de base au débogage.

Très bien, la prochaine étape consiste à modifier les informations d'identification par défaut. Vous ne voulez pas laisser votre mot de passe uniquement comme administrateur ou mot de passe administrateur. Vous voulez les changer ici ?
De plus, si vous souhaitez gérer le routeur, vous souhaitez examiner l'accès au routeur et modifier les configurations. Vous souhaitez le faire via un canal sécurisé. Nous pouvons donc le faire via https.
D'accord, ou de préférence, nous faisons cela via SSH car cela vous permet d'effectuer une maintenance granulaire.

Pour avoir un contrôle granulaire sur le routeur. Il a été spécifié la carte et l'interface sur lesquelles nous allons spécifiquement pouvoir accéder au routeur et nous allons enregistrer et appliquer également ici si vous avez des clés SSH. Vous générez une clé dans votre ligne de commentaire ici ssh-keygen.

Ensuite, nous passons au logiciel. Nous examinons les packages et installés dans le routeur, nous pouvons mettre à jour et installer le package à partir d'ici.
Je ne sais pas s'il existe sur d'autres firmwares mais généralement il se peut qu'il soit là donc démarrage et démarrage. Nous examinons les scripts configurés.
Au début du démarrage du routeur. Donc, fondamentalement, assurez-vous que la liste ici est la liste native prédéfinie avec le micrologiciel, car si un attaquant parvient à accéder au routeur, d'accord, il installera un script pour la persistance. Assurez-vous donc de les commander de temps en temps.

Nous pouvons contrôler le flux de trafic entrant et sortant du réseau via la section pare-feu.
Généralement dans un réseau local où aucun serveur n'est configuré pour être accessible depuis Internet. Il est recommandé de désactiver la direction du trafic provenant d'Internet. Par exemple. Nous avons cette direction vers un qui est autorisé parce que vous souhaitez que les points finaux accèdent à Internet. Laissez donc la direction de la terre à une.
Et cela a un sens bidirectionnel lorsque vous envoyez une demande à un site Web. La réponse à la hausse sera acceptée par cette règle. Vous n'avez donc pas besoin de configurer un à un, désormais un à un est par défaut le vin rejeté à atterrir. Désolé. Il est rejeté par défaut et par les réseaux réguliers quand ils se trouvent. Aucun serveur hébergé.
Si vous disposez d'un serveur Web, un serveur public. Comme peut-être un serveur de jeux. D'accord, vous souhaitez configurer cela pour permettre à quelqu'un d'apprendre ? D'accord, vous pouvez donc modifier.
une et ici l'entrée peut accepter et autoriser comme vous pouvez le voir une autoriser la destination autoriser le transfert depuis la source.

Redirection de port Encore une fois, si vous n'avez pas de serveur public en cours d'exécution sur votre réseau, il n'est pas nécessaire de configurer le moment où atterrir. En plus. Il n'est pas nécessaire de configurer la redirection de port. Mais encore une fois, si vous disposez d'un serveur public tel qu'un serveur de jeu en plus de permettre à celui-ci d'apprendre, vous souhaitez configurer la redirection de port par exemple. Est-ce que cette règle est le clic THM_Port sur modifier comme vous pouvez le voir ici. Disons qu'il y a un serveur de jeu fonctionnant sur le port 902. sur l'une de vos machines et que le serveur de jeu utilise le port 9001 pour recevoir le trafic du serveur principal. Vous souhaitez donc configurer ici une règle de redirection de port afin que tout le trafic provenant de celui ou d'Internet sur le port 9001 soit accepté ou transféré, comme vous pouvez le voir, vers le réseau local vers un appareil sur le port 9002.
Si vous ne possédez qu'un seul appareil spécifique ou si nous souhaitons accepter le trafic uniquement vers un appareil spécifique, vous modifiez ou spécifiez son adresse IP.
D'accord, les règles de circulation dans les règles de circulation. Nous contrôlons le flux du trafic dans des détails tels que le contrôle du protocole et des ports autorisés. Prenons un exemple. Nous avons donc ce nom de règle autoriser le rose et ce sont les configurations et l'action est d'accepter. Et c'est activé, jetons un coup d'œil. Le nom est autoriser le ping. Le protocole est ICMP. Et c'est dans cette direction, comme vous pouvez le voir, que nous acceptons ICMP.

Vidéo pas à pas

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles