Como posso criar uma imagem robusta do Virtualbox para o PenTesting?

Navegue suas respostas
2

Como um pesquisador de segurança sério, estou procurando uma resposta para garantir uma instalação do Ubuntu contra invasões indesejadas. Isso deve incluir como eu posso:

  • Registrar e alertar tentativas de conexão remota,
  • Registre e avise quando um arquivo for alterado, bem como a restauração desses arquivos mediante solicitação,
  • É necessário proteger a pilha TCP / IP da máquina?

Meu cenário de caso de uso final será no Virtualbox para facilitar a restauração, por isso seria ótimo saber o que preciso fazer para iniciar a imagem.

As seguintes definições de iptables funcionariam da mesma forma que a finalidade do fail2bans?:

  • $ iptables -N IN_SSH

  • $ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH

  • $ iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 3 --seconds 10 -j DROP
  • $ iptables -A IN_SSH -m recent --name sshbf --rttl --rcheck --hitcount 4 --seconds 1800 -j DROP
  • $ iptables -A IN_SSH -m recent --name sshbf --set -j Accept
  • $ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -j IN_SSH

P.S .: Será que alguém daria o código para marcar corretamente os scripts?

    
por Miphix 22.01.2014 / 05:19

3 respostas

2

Estou tentado a sinalizar isso como uma duplicata desde que houve vários perguntas como esta perguntado antes, mas você pede por coisas específicas centradas na segurança. Portanto, no espírito de ajudar:

Há uma auditoria de segurança ativa em andamento durante cada ciclo de lançamento. Ele também contém bons conselhos sobre algumas medidas básicas de segurança que já estão em vigor especificamente para proteger e testar seu sistema contra acesso externo indesejado.

Configuração

Não há portas abertas Hashing de senha Biscoitos SYN

Subsistemas

  • Firewall configurável
  • Recursos do sistema de arquivos
  • PR_SET_SECCOMP

Controle de Acesso Obrigatório (MAC)

  • AppArmor
  • SELinux
  • SMACK

Criptografia do sistema de arquivos

  • LVM criptografado
  • eCryptfs

Endurecimento do espaço do usuário

  • Stack Protector
  • Protetor de heap
  • Obfuscação de ponteiro
  • Randomização do layout do espaço de endereçamento (ASLR)
  • Construído como TORTA
  • Construído com o Fortify Source
  • Construído com RELRO
  • Construído com BIND_NOW
  • Memória não executável
  • / proc / $ pid / maps protection
  • Restrições de links simbólicos
  • Restrições de hardlink
  • escopo do ptrace

Endurecimento do Kernel

  • proteção de endereço 0
  • / dev / mem protection
  • / dev / kmem desativado
  • Carregamento de módulos de bloco
  • seções de dados somente leitura
  • Protetor de pilha
  • Módulo RO / NX
  • Restrição de exibição de endereço do kernel
  • Protocolos Raros da Lista Negra
  • Filtragem Syscall

Com a lista de proteções existentes, vamos examinar o restante da sua pergunta:

  • Em relação às tentativas de conexão de log, este foi coberto , e se você quiser algo mais simples de configurar, sempre haverá fail2ban ou denyhosts.
  • Ao assistir configurações para modificações, há AppArmor .
  • No que diz respeito ao endurecimento de pilha TCP / IP, você precisaria de dados para validar a necessidade de realizar isso, mas para os paranóicos existe um bom post sobre as vantagens de bloquear o SYN flooding . Mas, como você notará no link de auditoria de segurança acima, o SYN Cookies é ativado por padrão e ajuda a mitigá-lo imediatamente.

Portanto, parece que tudo o que você realmente precisa fazer neste momento é garantir que os aplicativos extras que você pode ou não estar instalando estejam passando por auditorias de segurança ativas e que você esteja atualizado com quaisquer correções. Instale todos os perfis extras do AppArmor necessários para proteger suas personalizações. (ou adições do SELinux, respectivas à sua configuração particular)

Como detectar um ataque SYN 

It is very simple to detect SYN attacks. The netstat command shows us how many connections are currently in the half-open state. The half-open state is described as SYN_RECEIVED in Windows and as SYN_RECV in Unix systems.



# netstat -n -p TCP tcp        0      0 10.100.0.200:21            
237.177.154.8:25882     SYN_RECV    - tcp        0      0 10.100.0.200:21            
236.15.133.204:2577     SYN_RECV    - tcp        0      0 10.100.0.200:21            
127.160.6.129:51748     SYN_RECV    - tcp        0      0 10.100.0.200:21            
230.220.13.25:47393     SYN_RECV    - tcp        0      0 10.100.0.200:21            

We can also count how many half-open connections are in the backlog queue at the 
moment. In the example below, 769 connections (for TELNET) in the SYN RECEIVED state 
are kept in the backlog queue.



 # netstat -n -p TCP | grep SYN_RECV | grep :23 | wc -l 769 

The other method for detecting SYN attacks is to print TCP statistics and 
look at the TCP parameters which count dropped connection requests. While under 
attack, the values of these parameters grow rapidly.



 # netstat -s -P tcp | grep tcpHalfOpenDrop         tcpHalfOpenDrop     =   473 

It is important to note that every TCP port has its own backlog queue, but only
one variable of the TCP/IP stack controls the size of backlog queues for all ports.
    
por lazyPower 22.01.2014 / 10:22
0

Veja os links a seguir que podem ajudar a fortalecer sua instalação do Ubuntu:

link

link

link

    
por TenPlus1 22.01.2014 / 09:03
0

Esses links podem ser úteis para você:

Alguns softwares podem ser úteis:

  • Nmap - o mapeador de rede.
  • Kismet - Ferramenta de monitoramento sem fio 802.11b.
  • Chkrootkit - Verifica se há sinais de rootkits no sistema local.
  • Rkhunter - scanner de rootkit, backdoor, sniffer e exploit.
  • GnuPG - guarda de privacidade do GNU.
  • Snort - Sistema de Detecção de Intrusão de Rede Flexível.
por awolfp 22.01.2014 / 10:23
Não há dispositivo de entrada de áudio no Ubuntu 13.10 com microfone frontal plugado O notificador de atualização não funciona [problema de cache]