#️⃣AtomSkills 2023 - Module A
Конкурсное задание по компетенции "Информационная безопасность" c AtomSkills 2023
Предисловие
Мы команда независимых энтузиастов в области информационной безопасности. В этот раз перед нами встала задача, помочь компании "Mapple Security" восстановиться после инцидента ИБ и повысить уровень защищенности их инфраструктуры. Из входных данных мы имеем:
Инфраструктура практически пустая, а именно ip адреса не настроены, некоторые сервисы активны непонятно зачем;
Остались следы злоумышленников, эксплойты, файлы с доступом до УЗ и прочее;
Есть канал до провайдера, провайдер уже ожидает от компании подключение, доступа до провайдера нет;
Остальное выясните при работе.
Убедительная просьба по проделанной работе оставить записи, который помогут экспертом легче проверить:
Таблицу с доступом к УЗ, логины и пароли;
Дополнительная информация на ваше усмотрение
На данный момент доступ осуществляется по УЗ user:resu, root:toor, Admin:P@ssw0rd, Administrator:P@ssw0rd, vyos:vyos, Luks:password
Для доступа в интернет через ISP воспользуйтесь следующей информацией: DNS сервер:
94.232.137.104;
94.232.137.105.
На всех роутерах (BR1, BR2, BR3) Необходимо прописать статический маршрут, в качестве адреса следующего перехода - 10.22.12.1.
IP-address | Host |
---|---|
eth0: 2031:0:130F:1:0:09C0:80F0:111A/127 eth1: 2040:0:130F:0:C:09C0:80F0:222A/127 eth2: 2666:0:130F:0:2:09C0:80F0:333A/127 | ISP |
eth0: 2031:0:130F:1:0:09C0:80F0:111B/127 eth1: 192.168.20.1/30 | BORDER-R1.mapple.security |
eth0: 2040:0:130F:0:C:09C0:80F0:222B/127 eth1: 192.168.30.1/30 eth1: fd3f:4f0f:8fce:d02a::1/64 | BORDER-R2.mapple.security |
eth0: 2666:0:130F:0:2:09C0:80F0:333B/127 eth1: 172.16.40.1/30 eth1: fdeb:b39a:29f8:bfd5::1/64 | BORDER-R3.mapple.security |
eth0: 172.16.50.2/30 | web01.mapple.security |
eth0: 10.0.14.1/24 | main-dc01.mapple.security |
ens18: 192.168.20.2/30 ens19: 10.0.14.254/24 ens20: 10.0.15.254/24 | red-fw01.mapple.security |
ens18: 192.168.30.2/30 ens18: fd3f:4f0f:8fce:d02a::2/64 ens19: 10.12.0.254/24 ens20: 10.13.0.254/24 | red-fw02.mapple.security |
ens18: 172.16.40.2/30 ens18: fdeb:b39a:29f8:bfd5::2/64 ens19: 172.16.50.1/30 | red-fw03.mapple.security |
eth0: 10.12.0.1/24 | main-dc02.mapple.security |
eth0: 10.13.0.1/24 | security-srv01.mapple.security |
eth0: 10.0.15.1/24 | OS-SRV.mapple.security |
Задание 1. Интернет маршрутизация
Настройте маршрутизацию по протоколу BGP:
Домен маршрутизации должен поддерживать аутентификацию;
Используйте IPv6 сеть для создания домена маршрутизации;
Настройте редистрибуцию маршрутов IPv4 и IPv6 в unicast-сетях;
Настройте балансировку маршрутов multipath (балансировать нагрузку между различными провайдерами);
Используйте идентификатор маршрутизатора в качестве средства разрешения конфликтов для выбора наилучшего пути;
Объявление префиксов IPv4 со следующими переходами IPv6 через глобальные пиринговые соединения IPv6.
ISP - Данная виртуальная машина уже преднастроена и доступа у вас до нее нет.
Задание 2. Настройка VPN IPv6
Реализуйте технологию VPN: GRE over IPSec IPv6 между BR2 и BR3 - где GRE Dual IPv4\IPv6.
Секретная фраза для создания ipsec туннеля: "atomskills";
Сетевой адрес для туннелирования R2: fd3f:4f0f:8fce:d02a::/64
Сетевой адрес для туннелирования R3: fdeb:b39a:29f8:bfd5::/64
Адреса для GRE-туннеля:
10.10.10.0/30
fddf:f00f:8fce:d00d::/64
Задание 3. Настройка VPN
Реализуйте технологию VPN GRE over IPSec между FW01 и FW02. Адрес сети туннеля: 172.16.1.0/30
Задание 4. Настройка маршрутизации
Средствами FRR - настройте маршрутизацию между локальными сетями Branch и Head office по протоколу OSPF, используя при этом туннельное соединение GRE / IPSec между офисами:
Домен маршрутизации должен быть защищен криптографическим ключом: Atom2023;
Анонсируйтe клиентские сети
10.12.0.0/24;
10.13.0.0/24;
10.0.15.0/24;
10.0.14.0/24.
Настройте passive-интерфейс для всех интерфейсов кроме туннеля.
Задание 5. Настройка SSH на всех Linux-хостах, за исключением роутеров vyos
Banner "Authorized access only!";
Запрет на доступ root;
Сгенерируйте ECDSA-ключи;
Защитите SSH-ключи парольной фразой;
Отключите аутентификацию по паролю;
Переведите на нестандартный порт;
Ограничьте ввод попыток до 2;
Отключите пустые пароли;
Установите предел времени аутентификации до 1 минуты;
Включите аутентификацию по публичному ключу;
Запретите подключение по ssh для IPv6 адресов.
Задание 6. Настройка PAM на всех Linux хостах, за исключением роутеров vyos
Минимальная длина пароля 12 символов
Обязательно содержание:
1 спецсимвол;
1 цифра;
1 буква в нижнем регистре;
1 буква в верхнем регистре;
Максимальный срок пароля - 25 дней.
Задание 7. Настройка SUDO на всех Linux хостах, за исключением роутеров vyos
root не может использовать sudo;
Не менять домашнюю директорию;
Сохранять список групп текущего пользователя:
Количество попыток ввода пароля максимум 2;
Установите блокировку на 15 мин, в случае некорректного ввода
пароля
Установите сообщение при вводе sudo - "Auth access only!"
Включите логирование команды sudo;
Запрашивать пароль рут вместо обычного пользователя.
Задание 8. Изменение текущего пароля от зашифрованного LVM на устройствах
security-srv01.mapple.security;
red-fw02.mapple.security;
red-fw01.mapple.security;
red-fw03.mapple.security;
main-dc01.mapple.security;
OS-SRV.mapple.security.
Задание 9. Установка пароля для загрузчика GRUB на устройствах
security-srv01.mapple.security;
red-fw02.mapple.security;
red-fw01.mapple.security;
red-fw03.mapple.security;
main-dc01.mapple.security;
OS-SRV.mapple.security.
Задание 10. Отключение оболочки для root-пользователя на устройствах
security-srv01.mapple.security;
red-fw02.mapple.security;
red-fw01.mapple.security;
red-fw03.mapple.security;
main-dc01.mapple.security;
OS-SRV.mapple.security.
Задание 11. Создание резервного пользователя с именем second-usr на устройствах
BORDER-R1.mapple.security;
BORDER-R2.mapple.security;
BORDER-R3.mapple.security;
red-fw02.mapple.security;
red-fw01.mapple.security;
red-fw03.mapple.security.
Учтите, что права должны соответствовать правам текущего пользователя. А также деактивируйте или удалите стандартного пользователя vyos.
Задание 12. Деактивация неиспользуемых сервисов
С целью повышения защищенности на linux системах, проведите аудит всех установленных сервисов и деактивируйте неиспользуемые:
security-srv01.mapple.security;
red-fw02.mapple.security;
red-fw01.mapple.security;
main-dc01.mapple.security;
OS-SRV.mapple.security.
Задание 13. Удаление компрометирующих данных на хостах
После инцидента, на хостах присутствуют компрометирующие данные, дампы памяти или открытые пароли в текстовиках оставленные хакерами после получения доступа. Ваша задача проверить всю файловую систему всех хостов и удалить подобные вещи.
Задание 14. Защита ядра Linux
Произведите дополнительную настройку ядра с помощью sysctl для клиентов os-srv.mapple.security, main-dc01.mapple.security, security-srv01.mapple.security:
Контроль пересылки IP-пакетов = Disable;
Не принимать исходящую маршрутизацию = Disable;
Управление функциональностью отладки системных запросов ядра = Disable;
Управляет тем, будут ли дампы ядра добавлять PID к имени файла ядра = Enable;
Включить защиту от SYN-флуда = Enable.
IPv4:
Поддержка маршрутизации = Disable;
Принимать пакеты с опцией SRR = Disable;
Принимать перенаправления = Disable;
Игнорировать все запросы ICMP ECHO и TIMESTAMP, отправленные на него через широковещательную/многоадресную рассылку = Enable;
Предотвратить распространенную атаку Syn-Flood = Enable;
Включить проверку источника по обратному пути, как указано в RFC1812 = Enable;
Управление проверкой исходного маршрута = Enable.
IPv6:
Количество RS (Router Solicitations) для отправки до тех пор, пока не будет установлено отсутствие маршрутизаторов = Disable;
Принять предпочтение маршрутизатора в RA (Router Advertisement) = Disable;
Получать информацию о префиксе в объявлении маршрутизатора (Router Advertisement) = Disable;
Принимать настройки Hop Limit из объявления маршрутизатора (RA) = Disable;
Объявления router (RA) могут привести к тому, что система назначит интерфейсу глобальный адрес индивидуальной рассылки. = Disable;
Сколько обращений к соседям (neighbor solicitations) отправить на адрес? = Disable;
Сколько глобальных одноадресных IPv6-адресов можно назначить каждому интерфейсу? = 1.
System
увеличить лимит дескрипторов системных файлов = 65535;
Разрешить больше PID = 65536;
Увеличьте лимиты системных IP-портов = 2000 65000;
Применить исправление RFC 1337.
Задание 15. Настройка DNS на Linux
Настройте на узле main-dc01.mapple.security DNS сервер:
Настройте DNS сервер на хосте main-dc01.mapple.security;
Создайте Прямую Зону DNS для домена mapple.security;
Создайте Обратную Зону DNS для домена 10.0.14.0/24.
Все хосты должны резолвится по доменному имени.
Задание 16. Установка Active Directory
Задание 17. Конфигурирование домена для противодействия Mimikatz
Задание 18. Конфигурирование домена для противодействия сетевым атакам
Задание 19. Установка антивирусного решения
Задание 20. Установка IIS
Задание 21. Установка и конфигурирование веб-сервера на Linux
Задание 22. Настройка активной защиты
Last updated