Wir haben die OpenVPN-Sicherheit abgedeckt, indem wir starke Verschlüsselungscodes konfiguriert, sichere Hashes für die Authentifizierung eingerichtet und Perfect Forward Secrecy implementiert haben. Auf der anderen Seite haben wir grundlegende Sicherheitseinstellungen für Router wie Protokollierung, Firewall und Verkehrsregeln, Portweiterleitung, SSH und das Ändern der Standardanmeldeinformationen konfiguriert. Dies war Teil von TryHackMe-Sicherheitsingenieur-Track, Netzwerkgerätehärtung.
Holen Sie sich Prüfungsunterlagen für COMPTIA Security+
Raumantworten
Wie heißt ein Bedrohungsvektor, der die Störung kritischer Geräte und Dienste umfasst, sodass diese für echte Benutzer nicht mehr verfügbar sind?
Aktualisieren Sie die zu verwendende Konfigurationsdatei Authentifizierung SHA512. Was ist der Flag-Wert, der mit der Auth-Direktive verknüpft ist?
Was ist laut Konfigurationsdatei die Portnummer für den OpenVPN-Server?
Was ist die Standardeinstellung SSH Port für OpenWrt in der angeschlossenen VM konfiguriert?
Gehe durch die Allgemeine Einstellungen unter der System Registerkarte im angehängten VM. Der Administrator hat im Abschnitt „Notizen“ eine spezielle Nachricht hinterlassen. Was ist der Flag-Wert?
Was ist der Standardwert für die Systemprotokollpuffergröße für den OpenWrt-Router in der angeschlossenen VM?
Was ist die Startpriorität für das Skript uhttpd?
Wie heißt die Regel, die Daten weiterleitet von WAN Port 9001 an LAN Port 9002?
Wie lautet die Versionsnummer der verfügbaren apk Paket?
Video-Transkript
Bei der ersten geht es um die Absicherung virtueller privater Netzwerke, die VPNs sichern. Eine weitere Aufgabe ist die Absicherung von Netzwerkgeräten. Wir sprechen hier über die Absicherung von Routern.
Sie wissen, dass VPNs sowohl clientseitig als auch serverseitig sind. Und die meisten von Ihnen verwenden VPN hauptsächlich, um Ihren Internetzugang und Ihre Verbindung zu zensierten Websites und anderen Materialien zu sichern, auf die Sie möglicherweise über Ihre ISP-Einstellungen nicht zugreifen können. Aber was noch wichtiger ist: VPNs werden verwendet, um die Privatsphäre und Sicherheit der Person zu schützen, die sie verwendet. Wir alle vertrauen dem VPN, das wir verwenden, bis zu einem gewissen Grad, aber es gibt einen wichtigeren Aspekt als das VPN selbst, nämlich den VPN-Server. Ich meine, das ist die Konfiguration, das ist die Favorit- oder Rückseite, genau dort, wo die Konfiguration liegt. Das ist also das, worüber wir hier gesprochen haben.
Sichern Sie die Konfigurationen auf der Serverseite, nicht auf der Clientseite. Das Beispiel bezieht sich also auf alle VPN-Server. OpenVPN-Serverkonfigurationen werden unter /etc/openvpn gespeichert.
Wir markieren die Datei server.conf und sehen uns hier die wichtigsten Anweisungen an.
in dieser Datei Die erste Schlüsseldirektive ist die Chiffre Mithilfe der Serverdirektive legen wir also den Verschlüsselungsalgorithmus fest oder konfigurieren ihn. Es ist sehr wichtig, eine sehr sichere Chiffre zu wählen.
Ein sicheres Chiffre oder ein Beispiel für einen geheimen Server ist AES256 CBC, Sie wissen schon, das ist ein Verschlüsselungsalgorithmus und zwei fünf sechs gibt die Länge des Schlüssels oder die Länge des Verschlüsselungsschlüssels an.
Jetzt können Sie den Verschlüsselungsalgorithmus mit dieser Anweisung konfigurieren. Sie können den Verschlüsselungsalgorithmus auch insgesamt ändern. Es wird empfohlen, immer AES zu verwenden. Das ist das Erste.
Hier ist eine andere Sache ein Direktive Auth Es steuert also den Hash-Algorithmus, der während des Authentifizierungsprozesses verwendet wird. Wenn also ein Client oder Sie sich mit einem VPN-Server verbinden, authentifizieren Sie sich während des Vorgangs tatsächlich mit Ihren Kontoanmeldeinformationen. Es findet ein Hash-Prozess statt. Sie möchten also einen starken Caching-Algorithmus verwenden? SHA512 ist eine gute Wahl.
Eine weitere Direktive ist tls-crypt das ermöglicht die Perfect Forward Secrecy (PFS), bei der die Sitzungsschlüssel randomisiert werden. Für jede Sitzung oder für jede Sitzung, direkt wenn Sie sich mit dem VPN-Server verbinden, wird also ein Sitzungsschlüssel erstellt. Dieser Sitzungsschlüssel kann nun entweder randomisiert oder immer derselbe sein. Sie möchten, dass der Sitzungsschlüssel randomisiert wird, denn wenn ein Angreifer die Kommunikation zwischen Ihnen und dem VPN-Server stören würde, könnte er, wenn er einen Schlüssel in die Hände bekäme, alle Pakete entschlüsseln.
Wenn der Sitzungsschlüssel also zufällig ist, minimieren Sie die Wahrscheinlichkeit, dass dies passiert. Zusätzlich sehen wir hier andere Dinge wie den für den VPN-Server konfigurierten Port, die lokale IP-Adresse und das Protokoll.
Nun wenden wir uns der Sicherheit von Netzwerkgeräten zu und sprechen insbesondere über die Routersicherheit mithilfe der OpenWRT-Firmware
Okay. Als Erstes müssen wir die allgemeinen Einstellungen konfigurieren. Wir gehen zu System und klicken auf System. Und hier laden wir die allgemeine Konfiguration, genau wie die Zeit, den Hostnamen, die Zone und die Protokollierung. Alle diese Konfigurationen müssen korrekt eingerichtet werden, denn im Falle eines Vorfalls oder eines Cyberangriffs möchten Sie, dass die Zeit korrekt mit Ihrer Zeitzone übereinstimmt.
Also, was ich hier so eingestellt habe, werden wir ändern, weil sie uns nicht gehören. Außerdem wird dies mit einem Entity-Server synchronisiert.
Anmelden Sie möchten alle Pakete protokollieren? Wenn Sie nicht genügend Speicherplatz haben, können Sie die Protokolle an einen zentralen Protokollierungsserver weiterleiten. Okay, eine andere Maschine, auf der ein Programm namens Syslog oder ein Programm gehostet wird, das dieses Protokoll zum Weiterleiten von Protokollen verwendet, und Sie können sie dort speichern. Andernfalls können Sie sie lokal zusammenfassen, indem Sie hier den Direktor angeben und die grundlegende Protokollierungsebene dem Debuggen überlassen.
Okay, als Nächstes müssen die Standardanmeldeinformationen geändert werden. Sie möchten Ihr „ist nur mein Passwort“ nicht als „admin admin“ oder „admin password“ belassen. Sie möchten sie hier ändern?
Wenn Sie den Router verwalten möchten, möchten Sie außerdem den Zugriff auf den Router prüfen und Konfigurationen ändern. Sie möchten das über einen sicheren Kanal tun. Wir können das also entweder über https tun.
Okay, oder vorzugsweise machen wir das über SSH, weil Sie so eine detaillierte Wartung durchführen können.
Um eine granulare Kontrolle über den Router zu haben. Er hat die Karte und die Schnittstelle angegeben, über die wir auf den Router zugreifen können. Wir werden auch hier speichern und anwenden, wenn Sie SSH-Schlüssel haben. Sie generieren einen Schlüssel in Ihrer Kommentarzeile hier ssh-keygen.
Als nächstes gehen wir zu Software. Wir schauen uns die im Router installierten Pakete an und können von hier aus Pakete aktualisieren und installieren.
Ich weiß nicht, ob es auf anderen Firmwares vorhanden ist, aber im Allgemeinen könnte es da sein, also beim Start und beim Start. Wir schauen uns die konfigurierten Skripte an.
Zu Beginn, wenn der Router hochfährt. Stellen Sie also grundsätzlich sicher, dass die Liste hier die native Liste ist, die mit der Firmware vordefiniert ist, denn wenn ein Angreifer Zugriff auf den Router erhält, wird er ein Skript zur Persistenz installieren. Stellen Sie also sicher, dass Sie diese von Zeit zu Zeit bestellen.
Wir können den Datenverkehr in das und aus dem Netzwerk über den Firewall-Bereich steuern.
In einem lokalen Netzwerk, in dem keine Server für den Zugriff über das Internet konfiguriert sind, wird im Allgemeinen empfohlen, die Richtung des Datenverkehrs aus dem Internet zu deaktivieren. Beispiel: Wir haben diese Richtung „Land zu Eins“ zugelassen, weil Sie möchten, dass die Endpunkte auf das Internet zugreifen. Lassen Sie also die Richtung „Land zu Eins“ zu.
Und das ist bidirektional, d. h. wenn Sie eine Anfrage an eine Website senden, wird die Antwort von oben von dieser Regel akzeptiert. Sie müssen also nicht eins zu eins konfigurieren, da eins zu eins standardmäßig abgelehnt wird. Tut mir leid. Es wird standardmäßig abgelehnt und in regulären Netzwerken, wenn sie vorhanden sind. Es werden keine Server gehostet.
Wenn Sie einen Webserver oder einen öffentlichen Server haben. Wie zum Beispiel einen Spieleserver. Okay, Sie möchten dies so konfigurieren, dass man lernen kann? Okay, Sie können es also bearbeiten.
eine und hier kann die Eingabe akzeptiert und zugelassen werden, wie Sie sehen können, eine Zulassung für das Ziel, Zulassung zur Weiterleitung von der Quelle.
Portweiterleitung Also, wenn Sie keinen öffentlichen Server in Ihrem Netzwerk laufen haben, müssen Sie nicht konfigurieren, wann gelandet werden soll. Außerdem müssen Sie keine Portweiterleitung konfigurieren. Aber wenn Sie einen öffentlichen Server wie einen Spieleserver haben, müssen Sie zusätzlich zur Einrichtung einer Portweiterleitung beispielsweise die Portweiterleitung konfigurieren. Ist diese Regel beispielsweise THM_Port? Klicken Sie auf Bearbeiten, wie Sie hier sehen können. Nehmen wir an, auf einem Ihrer Computer läuft ein Spieleserver auf Port 902, und der Spieleserver verwendet Port 9001, um Datenverkehr vom Hauptserver zu empfangen. Sie möchten also hier eine Regel für die Portweiterleitung konfigurieren, damit der gesamte Datenverkehr, der von Port 9001 aus dem Internet kommt, akzeptiert oder weitergeleitet wird, wie Sie sehen können, an ein Gerät auf Port 9002 im lokalen Netzwerk.
Wenn Sie nur ein bestimmtes Gerät haben oder wir Datenverkehr nur zu einem bestimmten Gerät zulassen möchten, ändern oder geben Sie dessen IP-Adresse an.
Okay, Verkehrsregeln in Verkehrsregeln. Wir kontrollieren den Verkehrsfluss, beispielsweise in Details wie der Kontrolle des Protokolls und der zulässigen Ports. Nehmen wir ein Beispiel. Wir haben also diese Regel mit dem Namen „Allow Pink“ und das sind die Konfigurationen und die Aktion ist „Accept“. Und sie ist aktiviert, schauen wir sie uns an. Der Name ist „Allow Ping“. Das Protokoll ist ICMP. Und das ist die Richtung, wie Sie sehen können, wir akzeptieren ICMP.
Video-Komplettlösung
