لقد قمنا بتغطية أمان OpenVPN من خلال تكوين شفرات تشفير قوية، وإعداد التجزئة الآمنة للمصادقة وتنفيذ تقنية Perfect Forward Secrecy. ومن ناحية أخرى، قمنا بتكوين إعدادات الأمان الأساسية لأجهزة التوجيه مثل التسجيل وجدار الحماية وقواعد المرور وإعادة توجيه المنفذ وSSH وتغيير بيانات الاعتماد الافتراضية. كان هذا جزءًا من حاول مهندس الأمن TryHackMe تتبع تقوية جهاز الشبكة.
احصل على ملاحظات اختبار COMPTIA Security+
إجابات الغرفة
يسمى ناقل التهديد الذي يتضمن تعطيل الأجهزة والخدمات الهامة لجعلها غير متاحة للمستخدمين الحقيقيين؟
ج: HTTPS
ب: بروتوكول نقل الملفات
ج: سش
د: إيبسيك
ما هو اسم بروتوكول إرسال رسائل السجل إلى خادم مركزي للتخزين والتحليل؟
قم بتحديث ملف التكوين للاستخدام مصادقة SHA512. ما هي قيمة العلامة المرتبطة بتوجيه المصادقة؟
وفقًا لملف التكوين، ما هو رقم المنفذ لخادم OpenVPN؟
ما هو الافتراضي سش المنفذ الذي تم تكوينه لـ OpenWrt في الجهاز الظاهري المرفق؟
اذهب من خلال الاعدادات العامة الخيار تحت نظام علامة التبويب في المرفق جهاز افتراضي. لقد ترك المسؤول رسالة خاصة في قسم الملاحظات. ما هي قيمة العلم؟
ما هي قيمة حجم المخزن المؤقت لسجل النظام الافتراضي لجهاز توجيه OpenWrt في الجهاز الظاهري المرفق؟
ما هي أولوية البداية للبرنامج النصي uttpd?
ما اسم القاعدة التي تقوم بإعادة توجيه البيانات القادمة منها شبكه عالميه المنفذ 9001 إلى لان المنفذ 9002؟
ما هو رقم الإصدار المتوفر apk طَرد؟
نسخة الفيديو
الأول يتعلق بتعزيز الشبكات الخاصة الافتراضية لتأمين شبكات VPN. والمهمة الأخرى هي تقوية جهاز الشبكة. نحن نتحدث في الواقع عن تصلب أجهزة التوجيه.
أنت تعلم أن شبكات VPN لديها جانب العميل وجانب الخادم. ومعظمكم يستخدم VPN بشكل أساسي لتأمين وصولك إلى الإنترنت والاتصال بمواقع الويب الخاضعة للرقابة وغيرها من المواد التي قد لا تتمكن من الوصول إليها باستخدام إعدادات مزود خدمة الإنترنت، ولكن الأهم من ذلك هو استخدام شبكات VPN لحماية الخصوصية. وأمن الشخص الذي يستخدمه. نحن جميعًا نثق في شبكة VPN التي نستخدمها إلى حد ما، ولكن هناك جانبًا أكثر أهمية من شبكة VPN نفسها، وهو خادم VPN. أعني أن هذا التكوين هو المفضل أو الجانب الخلفي حيث يكمن التكوين. هذا ما كنا نتحدث عنه هنا.
تأمين التكوينات من جانب الخادم وليس من جانب العميل. لذا فإن المثال موجود في جميع أنحاء خادم VPN. يتم تخزين تكوينات خادم Openvpn ضمن /etc/openvpn.
نسلط الضوء على ملف server.conf وننظر إلى التوجيهات الرئيسية هنا.
في هذا الملف التوجيه الرئيسي الأول هو التشفير لذلك باستخدام توجيه الخادم نقرر أو نقوم بتكوين خوارزمية التشفير. من المهم جدًا اختيار تشفير آمن جدًا.
التشفير الآمن هو أو مثال على الخادم السري هو aes256 CBC، كما تعلمون، إنها خوارزمية تشفير ويشير اثنان خمسة ستة إلى طول المفتاح أو طول مفتاح التشفير.
يمكنك الآن تكوين خوارزمية التشفير باستخدام هذا التوجيه. يمكنك أيضًا تغيير خوارزمية التشفير تمامًا. يوصى باستخدام AES دائمًا. هذا هو أول شيء.
هنا شيء آخر هو أ مصادقة التوجيه لذلك فهو يتحكم في خوارزمية التجزئة المستخدمة أثناء عملية المصادقة. لذا، عندما يكون لديك عميل أو عندما تتصل بخادم VPN، فإنك تقوم فعليًا بالمصادقة باستخدام بيانات اعتماد حسابك أثناء العملية. هناك تحدث عملية التجزئة. هل تريد استخدام خوارزمية تخزين مؤقت قوية؟ SHA512 هو خيار جيد.
التوجيه الآخر هو tls-crypt التي تمكن السرية الأمامية المثالية (PFS) السرية الأمامية المثالية حيث يتم توزيع مفاتيح الجلسة بشكل عشوائي. لذلك، لكل جلسة أو لكل جلسة عند الاتصال بخادم VPN، يوجد مفتاح جلسة تم إنشاؤه بشكل صحيح. الآن يمكن أن يكون مفتاح الجلسة هذا عشوائيًا أو أن يكون هو نفسه طوال الوقت. تريد أن يكون مفتاح الجلسة عشوائيًا لأنه إذا كان المهاجم يخترق الاتصال بينك وبين خادم VPN. إذا تمكنوا من الحصول على مفتاح واحد، فسيكونون قادرين على فك تشفير جميع الحزم.
لذا، إذا تم اختيار مفتاح الجلسة بشكل عشوائي، فإنك تقلل من فرص حدوث ذلك. بالإضافة إلى هنا. نرى أشياء أخرى مثل المنفذ الذي تم تكوينه لخادم VPN وعنوان IP المحلي للبروتوكول.
نتوجه الآن إلى أمان أجهزة الشبكة وسنتحدث على وجه التحديد عن أمان جهاز التوجيه باستخدام البرامج الثابتة OpenWRT
تمام. الآن أول شيء يجب فعله هو تكوين الإعدادات العامة، نذهب إلى النظام، ثم نضغط على النظام. وهنا نقوم بتحميل التكوين العام تمامًا مثل اسم المضيف The Zone، ومن المهم إعداد كل هذه التكوينات بشكل صحيح لأنه في حالة وقوع حادث أو هجوم إلكتروني، فأنت تريد أن يتماشى الوقت بشكل صحيح مع جهازك وحدة زمنية.
إذن هنا، حيث قمت بتعيينه، سنقوم بتغيير هذه الإعدادات لأنها لا تخصنا. كما يقوم أيضًا بمزامنة هذا مع خادم الكيان.
تسجيل الدخول هل تريد تسجيل كافة الحزم؟ إذا لم يكن لديك مساحة كافية، يمكنك إعادة توجيه السجلات إلى خادم تسجيل مركزي. حسنًا، جهاز مختلف حيث يستضيف برنامجًا يسمى syslog أو برنامج يستخدم هذا السجل لإعادة توجيه السجلات ويمكنك تخزينها هناك. بخلاف ذلك، يمكنك خياطتها محليًا عن طريق تحديد المخرج هنا وترك المستوى الأساسي للتسجيل لتصحيح الأخطاء.
حسنًا، الشيء التالي هو تغيير بيانات الاعتماد الافتراضية. أنت لا تريد أن تترك كلمة المرور الخاصة بي فقط كمسؤول مسؤول أو كلمة مرور مسؤول. هل تريد تغييرها هنا؟
بالإضافة إلى ذلك، إذا كنت تريد إدارة جهاز التوجيه، فأنت تريد الاطلاع على إمكانية الوصول إلى جهاز التوجيه وتغيير التكوينات. تريد أن تفعل ذلك عبر قناة آمنة. لذا يمكننا إما القيام بذلك عبر https.
حسنًا، أو من الأفضل أن نفعل ذلك عبر SSH لأنه يسمح لك بإجراء صيانة دقيقة.
للحصول على تحكم دقيق في جهاز التوجيه. لقد تم تحديد اللوحة والواجهة التي سنحدد من خلالها إمكانية الوصول إلى جهاز التوجيه وسنقوم بحفظها وتطبيقها هنا أيضًا إذا كان لديك مفاتيح SSH. يمكنك إنشاء مفتاح في سطر التعليق الخاص بك هنا ssh-keygen.
بعد ذلك نذهب إلى البرامج. نلقي نظرة على الحزم المثبتة في جهاز التوجيه ويمكننا تحديث الحزمة وتثبيتها من هنا.
لا أعرف ما إذا كان موجودًا في البرامج الثابتة الأخرى ولكن بشكل عام قد يكون موجودًا لذا بدء التشغيل وبدء التشغيل. نحن نلقي نظرة على البرامج النصية التي تم تكوينها.
في بداية تشغيل جهاز التوجيه. لذا تأكد هنا بشكل أساسي من أن القائمة هنا هي القائمة الأصلية التي تأتي محددة مسبقًا مع البرنامج الثابت لأنه إذا تمكن أحد المهاجمين من الوصول إلى جهاز التوجيه، حسنًا، فسيقوم بتثبيت برنامج نصي للاستمرارية. لذا تأكد من طلب هذه الأشياء من وقت لآخر.
يمكننا التحكم في تدفق حركة المرور داخل وخارج الشبكة من خلال قسم جدار الحماية.
بشكل عام، في شبكة محلية حيث لا توجد خوادم مهيأة للوصول إليها من الإنترنت. يوصى بتعطيل اتجاه حركة المرور القادمة من الإنترنت. على سبيل المثال. لدينا هذا الاتجاه من الأرض إلى واحد مسموح به لأنك تريد أن تصل نقاط النهاية إلى الإنترنت. لذا اسمح باتجاه الأرض إلى واحد.
وهذا يعني ثنائي الاتجاه عندما ترسل طلبًا إلى موقع ويب. سيتم قبول الرد من الاتجاه الصعودي بموجب هذه القاعدة. لذلك لا تحتاج إلى تكوين واحد لواحد الآن، يتم رفض واحد لواحد افتراضيًا للهبوط. آسف. يتم رفضه افتراضيًا والشبكات العادية عندما تكون في مكانها. لا توجد خوادم مستضافة.
إذا كان لديك خادم ويب خادم عام. مثل ربما خادم اللعبة. حسنًا، هل تريد تكوين هذا للسماح لأحد بالتعلم؟ حسنًا حتى تتمكن من التعديل.
واحد وهنا يمكن قبول المدخلات والسماح بها كما ترون يسمح واحد للوجهة السماح بإعادة التوجيه من المصدر.
إعادة توجيه المنفذ لذا مرة أخرى، إذا لم يكن لديك خادم عام يعمل في شبكتك، فليست هناك حاجة لتكوين وقت الهبوط. بالإضافة إلى ذلك. ليست هناك حاجة لتكوين إعادة توجيه المنفذ. ولكن مرة أخرى، إذا كان لديك خادم عام مثل خادم الألعاب بالإضافة إلى السماح لأحدهم بمعرفة ذلك، فأنت تريد تكوين إعادة توجيه المنفذ على سبيل المثال. هل هذه القاعدة هي النقر على THM_Port لتحريرها كما ترون هنا. لنفترض أن هناك خادم ألعاب يعمل على المنفذ 902. على أحد أجهزتك ويستخدم خادم اللعبة المنفذ 9001 لتلقي حركة المرور من الخادم الرئيسي. لذلك تريد تكوين قاعدة هنا قاعدة إعادة توجيه المنفذ بحيث يتم قبول أو إعادة توجيه كل حركة المرور القادمة من المنفذ أو الإنترنت على المنفذ 9001 كما ترون من الشبكة المحلية إلى جهاز على المنفذ 9002.
إذا كان لديك جهاز واحد محدد فقط أو كنا نريد قبول حركة المرور إلى جهاز واحد محدد فقط، فعليك تغيير عنوان IP الخاص به أو تحديده.
حسنا، قواعد المرور في قواعد المرور. نحن نتحكم في تدفق حركة المرور كما هو الحال في التفاصيل مثل التحكم في البروتوكول والمنافذ المسموح بها. لنأخذ مثالا. لذلك لدينا اسم القاعدة هذا الذي يسمح باللون الوردي وهو التكوينات والإجراء الذي يجب قبوله. وقد تم تمكينه دعونا نلقي نظرة عليه. الاسم هو السماح بينغ. البروتوكول هو ICMP. وهذا هو الاتجاه كما ترون، فنحن نقبل ICMP.
تجول الفيديو
