#️⃣AtomSkills 2023 - Module A

Конкурсное задание по компетенции "Информационная безопасность" c AtomSkills 2023

Предисловие

Мы команда независимых энтузиастов в области информационной безопасности. В этот раз перед нами встала задача, помочь компании "Mapple Security" восстановиться после инцидента ИБ и повысить уровень защищенности их инфраструктуры. Из входных данных мы имеем:

1. Инфраструктура практически пустая, а именно ip адреса не настроены, некоторые сервисы активны непонятно зачем;

2. Остались следы злоумышленников, эксплойты, файлы с доступом до УЗ и прочее;

3. Есть канал до провайдера, провайдер уже ожидает от компании подключение, доступа до провайдера нет;

4. Остальное выясните при работе.

Убедительная просьба по проделанной работе оставить записи, который помогут экспертом легче проверить:

• Таблицу с доступом к УЗ, логины и пароли;

• Дополнительная информация на ваше усмотрение

На данный момент доступ осуществляется по УЗ user:resu, root:toor, Admin:P@ssw0rd, Administrator:P@ssw0rd, vyos:vyos, Luks:password

Для доступа в интернет через ISP воспользуйтесь следующей информацией: DNS сервер:

1. 94.232.137.104;

2. 94.232.137.105.

На всех роутерах (BR1, BR2, BR3) Необходимо прописать статический маршрут, в качестве адреса следующего перехода - 10.22.12.1.

Схема сети

IP-address	Host
eth0: 2031:0:130F:1:0:09C0:80F0:111A/127 eth1: 2040:0:130F:0:C:09C0:80F0:222A/127 eth2: 2666:0:130F:0:2:09C0:80F0:333A/127	ISP
eth0: 2031:0:130F:1:0:09C0:80F0:111B/127 eth1: 192.168.20.1/30	BORDER-R1.mapple.security
eth0: 2040:0:130F:0:C:09C0:80F0:222B/127 eth1: 192.168.30.1/30 eth1: fd3f:4f0f:8fce:d02a::1/64	BORDER-R2.mapple.security
eth0: 2666:0:130F:0:2:09C0:80F0:333B/127 eth1: 172.16.40.1/30 eth1: fdeb:b39a:29f8:bfd5::1/64	BORDER-R3.mapple.security
eth0: 172.16.50.2/30	web01.mapple.security
eth0: 10.0.14.1/24	main-dc01.mapple.security
ens18: 192.168.20.2/30 ens19: 10.0.14.254/24 ens20: 10.0.15.254/24	red-fw01.mapple.security
ens18: 192.168.30.2/30 ens18: fd3f:4f0f:8fce:d02a::2/64 ens19: 10.12.0.254/24 ens20: 10.13.0.254/24	red-fw02.mapple.security
ens18: 172.16.40.2/30 ens18: fdeb:b39a:29f8:bfd5::2/64 ens19: 172.16.50.1/30	red-fw03.mapple.security
eth0: 10.12.0.1/24	main-dc02.mapple.security
eth0: 10.13.0.1/24	security-srv01.mapple.security
eth0: 10.0.15.1/24	OS-SRV.mapple.security

Задание 1. Интернет маршрутизация

Настройте маршрутизацию по протоколу BGP:

1. Домен маршрутизации должен поддерживать аутентификацию;

2. Используйте IPv6 сеть для создания домена маршрутизации;

3. Настройте редистрибуцию маршрутов IPv4 и IPv6 в unicast-сетях;

4. Настройте балансировку маршрутов multipath (балансировать нагрузку между различными провайдерами);

5. Используйте идентификатор маршрутизатора в качестве средства разрешения конфликтов для выбора наилучшего пути;

6. Объявление префиксов IPv4 со следующими переходами IPv6 через глобальные пиринговые соединения IPv6.

ISP - Данная виртуальная машина уже преднастроена и доступа у вас до нее нет.

AS 65360
    routerID 10.10.10.1
    connected to R1 - 2031:0:130F:1:0:09C0:80F0:111A
    connected to R2 - 2040:0:130F:0:C:09C0:80F0:222A
    connected to R3 - 2666:0:130F:0:2:09C0:80F0:333A

R1
    AS R1 - ISP 65361
    router id 10.10.10.11
    Pass for AS: mappleR1

R2
    AS R2 - ISP 65362
    router id 10.10.10.12
    Pass for AS: mappleR2

R3
    AS R3 - ISP 65363
    router id 10.10.10.13
    Pass for AS: mappleR3

R1 - 2031:0000:130F:0001:0000:09C0:80F0:111B
R2 - 2040:0000:130F:0000:000C:09C0:80F0:222B
R3 - 2666:0000:130F:0000:0002:09C0:80F0:333B

Задание 2. Настройка VPN IPv6

Реализуйте технологию VPN: GRE over IPSec IPv6 между BR2 и BR3 - где GRE Dual IPv4\IPv6.

Схема туннеля

Секретная фраза для создания ipsec туннеля: "atomskills";

Сетевой адрес для туннелирования R2: fd3f:4f0f:8fce:d02a::/64

Сетевой адрес для туннелирования R3: fdeb:b39a:29f8:bfd5::/64

Адреса для GRE-туннеля:

• 10.10.10.0/30

• fddf:f00f:8fce:d00d::/64

Задание 3. Настройка VPN

Реализуйте технологию VPN GRE over IPSec между FW01 и FW02. Адрес сети туннеля: 172.16.1.0/30

Схема для второго туннеля

Задание 4. Настройка маршрутизации

Средствами FRR - настройте маршрутизацию между локальными сетями Branch и Head office по протоколу OSPF, используя при этом туннельное соединение GRE / IPSec между офисами:

1. Домен маршрутизации должен быть защищен криптографическим ключом: Atom2023;

2. Анонсируйтe клиентские сети

   • 10.12.0.0/24;

   • 10.13.0.0/24;

   • 10.0.15.0/24;

   • 10.0.14.0/24.

3. Настройте passive-интерфейс для всех интерфейсов кроме туннеля.

Задание 5. Настройка SSH на всех Linux-хостах, за исключением роутеров vyos

1. Banner "Authorized access only!";

2. Запрет на доступ root;

3. Сгенерируйте ECDSA-ключи;

4. Защитите SSH-ключи парольной фразой;

5. Отключите аутентификацию по паролю;

6. Переведите на нестандартный порт;

7. Ограничьте ввод попыток до 2;

8. Отключите пустые пароли;

9. Установите предел времени аутентификации до 1 минуты;

10. Включите аутентификацию по публичному ключу;

11. Запретите подключение по ssh для IPv6 адресов.

Задание 6. Настройка PAM на всех Linux хостах, за исключением роутеров vyos

1. Минимальная длина пароля 12 символов

2. Обязательно содержание:

   1. 1 спецсимвол;

   2. 1 цифра;

   3. 1 буква в нижнем регистре;

   4. 1 буква в верхнем регистре;

   5. Максимальный срок пароля - 25 дней.

Задание 7. Настройка SUDO на всех Linux хостах, за исключением роутеров vyos

1. root не может использовать sudo;

2. Не менять домашнюю директорию;

3. Сохранять список групп текущего пользователя:

4. Количество попыток ввода пароля максимум 2;

5. Установите блокировку на 15 мин, в случае некорректного ввода

   пароля

6. Установите сообщение при вводе sudo - "Auth access only!"

7. Включите логирование команды sudo;

8. Запрашивать пароль рут вместо обычного пользователя.

Задание 8. Изменение текущего пароля от зашифрованного LVM на устройствах

1. security-srv01.mapple.security;

2. red-fw02.mapple.security;

3. red-fw01.mapple.security;

4. red-fw03.mapple.security;

5. main-dc01.mapple.security;

6. OS-SRV.mapple.security.

Задание 9. Установка пароля для загрузчика GRUB на устройствах

1. security-srv01.mapple.security;

2. red-fw02.mapple.security;

3. red-fw01.mapple.security;

4. red-fw03.mapple.security;

5. main-dc01.mapple.security;

6. OS-SRV.mapple.security.

Задание 10. Отключение оболочки для root-пользователя на устройствах

1. security-srv01.mapple.security;

2. red-fw02.mapple.security;

3. red-fw01.mapple.security;

4. red-fw03.mapple.security;

5. main-dc01.mapple.security;

6. OS-SRV.mapple.security.

Задание 11. Создание резервного пользователя с именем second-usr на устройствах

1. BORDER-R1.mapple.security;

2. BORDER-R2.mapple.security;

3. BORDER-R3.mapple.security;

4. red-fw02.mapple.security;

5. red-fw01.mapple.security;

6. red-fw03.mapple.security.

Учтите, что права должны соответствовать правам текущего пользователя. А также деактивируйте или удалите стандартного пользователя vyos.

Задание 12. Деактивация неиспользуемых сервисов

С целью повышения защищенности на linux системах, проведите аудит всех установленных сервисов и деактивируйте неиспользуемые:

1. security-srv01.mapple.security;

2. red-fw02.mapple.security;

3. red-fw01.mapple.security;

4. main-dc01.mapple.security;

5. OS-SRV.mapple.security.

Задание 13. Удаление компрометирующих данных на хостах

После инцидента, на хостах присутствуют компрометирующие данные, дампы памяти или открытые пароли в текстовиках оставленные хакерами после получения доступа. Ваша задача проверить всю файловую систему всех хостов и удалить подобные вещи.

Задание 14. Защита ядра Linux

Произведите дополнительную настройку ядра с помощью sysctl для клиентов os-srv.mapple.security, main-dc01.mapple.security, security-srv01.mapple.security:

1. Контроль пересылки IP-пакетов = Disable;

2. Не принимать исходящую маршрутизацию = Disable;

3. Управление функциональностью отладки системных запросов ядра = Disable;

4. Управляет тем, будут ли дампы ядра добавлять PID к имени файла ядра = Enable;

5. Включить защиту от SYN-флуда = Enable.

IPv4:

1. Поддержка маршрутизации = Disable;

2. Принимать пакеты с опцией SRR = Disable;

3. Принимать перенаправления = Disable;

4. Игнорировать все запросы ICMP ECHO и TIMESTAMP, отправленные на него через широковещательную/многоадресную рассылку = Enable;

5. Предотвратить распространенную атаку Syn-Flood = Enable;

6. Включить проверку источника по обратному пути, как указано в RFC1812 = Enable;

7. Управление проверкой исходного маршрута = Enable.

IPv6:

1. Количество RS (Router Solicitations) для отправки до тех пор, пока не будет установлено отсутствие маршрутизаторов = Disable;

2. Принять предпочтение маршрутизатора в RA (Router Advertisement) = Disable;

3. Получать информацию о префиксе в объявлении маршрутизатора (Router Advertisement) = Disable;

4. Принимать настройки Hop Limit из объявления маршрутизатора (RA) = Disable;

5. Объявления router (RA) могут привести к тому, что система назначит интерфейсу глобальный адрес индивидуальной рассылки. = Disable;

6. Сколько обращений к соседям (neighbor solicitations) отправить на адрес? = Disable;

7. Сколько глобальных одноадресных IPv6-адресов можно назначить каждому интерфейсу? = 1.

System

1. увеличить лимит дескрипторов системных файлов = 65535;

2. Разрешить больше PID = 65536;

3. Увеличьте лимиты системных IP-портов = 2000 65000;

4. Применить исправление RFC 1337.

Задание 15. Настройка DNS на Linux

Настройте на узле main-dc01.mapple.security DNS сервер:

1. Настройте DNS сервер на хосте main-dc01.mapple.security;

2. Создайте Прямую Зону DNS для домена mapple.security;

3. Создайте Обратную Зону DNS для домена 10.0.14.0/24.

Все хосты должны резолвится по доменному имени.

Задание 16. Установка Active Directory

Задание 17. Конфигурирование домена для противодействия Mimikatz

Задание 18. Конфигурирование домена для противодействия сетевым атакам

Задание 19. Установка антивирусного решения

Задание 20. Установка IIS

Задание 21. Установка и конфигурирование веб-сервера на Linux

Задание 22. Настройка активной защиты