Комплексная безопасность в гетерогенных сетях (Comprehensive security in heterogeneous networks)

secur1

Продолжительность курса — 5 дней

Уникальный курс по организации безопасной сетевой инфраструктуры. В отличие от других курсов по безопасности этот курс искусно сочетает преимущества совместного использования Windows, Linux и FreeBSD. В нашем курсе более 70% практики на реальной сети из виртуальных машин. Данный курс предназначен для системных администраторов, которым требуется обеспечить комплексную безопасность сетевой инфраструктуры, а также для тех, кто планирует освоить смежную компетенцию специалиста по информационной безопасности.

Курс позволяет получить ключевые знания по обеспечению комплексной безопасности сетевой инфраструктуры. Большая часть курса посвящается практике по усилению защиты сети, включающей в себя построение защищенного внешнего периметра средствами FreeBSD, демилитаризованной зоны на основе Linux, локальной сети c серверами на FreeBSD и Windows 2012 R2. В результате, каждый слушатель курса освоит технологии обеспечения безопасности на примере сети учебной корпорации.

В рамках курса изучаются четыре периметра безопасности и их реализация, что включает: защиту внешнего периметра, демилитаризованной зоны, локальной сети и уровня каждого из хостов. Для решения этой задачи в рамках курса используется 6 виртуальных машин.

В рамках курса используются следующие ОС:

  • FreeBSD 10.2 ( 2 виртуальные машины)
  • Ubuntu Server 14.04 LTS ( 2 виртуальные машины)
  • Windows 10  (одна виртуальная машина)
  • Windows 2012 R2 (одна виртуальная машина)

Для обеспечения защиты внешнего периметра  использованы следующие технологии:

  • Применение политик Linux(Apparmor)/GrSecurity/Pax
  • Использование ACL на прокси-сервере
  • Возможности xinetd по защите от атак типа «Отказ в обслуживании»
  • Запуск сервисов в chroot
  • Использование возможностей SSH для защиты сервисов
    • Аутентификация с использованием публичных ssh-ключей
    • Защита сервисов средствами ssh
    • VPN через ssh

Для защиты сервисов демилитаризованной зоны и локальной сети применяется виртуализация на уровне операционной системы Linux(OpenVZ/LXC)/FreeBSD(Jail) 

Для защиты удаленного доступа пользователей к ресурсам локальной сети используется OpenVPN.

Рассматриваются средства мониторинга и аудита событий, для своевременного выявления нежелательной активности.

Особое внимание уделяется мерам по обеспечению безопасности на уровне хоста, что включает в себя:

  • Автоматизированные средства укрепления безопасности
    • EMET – инструментарий для превентивной защиты от эксплуатации уязвимостей
    • Bastille — инструмент укрепления локальных политик безопасности
    • Chrootkit — поиск rootkit-ов в системе (инструмент общего назначения)
    • Rkhunter — специализированный инструмент для поиска rootkit-ов в системе
  • Средства защиты рабочей станции
    • firestarter — управление работой брандмауэра
    • ClamTk — управление работой антивирусного сканера
    • sshfs — безопасная замена SMB/CIFS

Повышенное внимание в рамках курса уделяется систематизации полученных знаний и комплексному их использованию.

Предварительная подготовка:

  • Курсы по системному администрированию или опыт работы системным администратором

Программа

Модуль №1

  • Анатомия уязвимостей
  • Классификация угроз
    • По их происхождению
    • По способам их снижения
  • Изучение методов, применяемых хакерами и инсайдерами
    • Способы проникновения в корпоративную сеть
    • Методы «ассимиляции» на захваченной территории
    • Эскалация привилегий и захват контроля над сетью
    • Специфика территориально-распределенных сетей
    • Анализ действий хакера

 Модуль №2

  • Предотвращение эксплуатации уязвимостей
  • EMET – инструментарий для превентивной защиты от эксплуатации уязвимостей в Windows и прикладном ПО
  • GRSecurity/Pax – набор патчей к ядру Linux для превентивной защиты от эксплуатации уязвимостей в Windows и прикладном ПО

Модуль №3

  • Эшелонированная оборона и 4 периметра
    • Внешний периметр
    • Демилитаризованная зона
    • Внутренняя сеть
    • Уровень хоста

Модуль №4

  • Применение политик Linux(Apparmor)
  • Использование ACL на прокси-сервере
  • Возможности xinetd по защите от атак типа «Отказ в обслуживании»
  • Запуск сервисов в chroot
  • Использование возможностей SSH для защиты сервисов
    • Аутентификация с использованием публичных ssh-ключей
    • Защита сервисов средствами ssh
    • VPN через ssh

Модуль №5

  • Типы виртуализации
    • Эмуляция оборудования
    • Полная виртуализация
    • Паравиртуализация
    • Виртуализация уровня операционной системы
  • Linux(OpenVZ/LXC)/FreeBSD(Jail) — виртуализация на уровне ОС
    • Концепции и идеология
    • Создание виртуальных сред (VE) и управление виртуальной средой

Модуль №6

  • Миграция сервисов в виртуальные среды
    • Миграция почтового сервера в VE 101
    • Миграция WEB и FTP-сервера в VE 102

Модуль №7

  • Миграция сервисов в виртуальные среды
    • Миграция intranet-site и FTP-сервера в VE 201
    • Миграция файлового сервера в VE 202

Модуль №8

  • OpenVPN — защищенное подключение к локальной сети
    • Идеология и концепции
    • Настройка сервера
    • Настройка клиента
    • Настройка маршрутов

Модуль №9

  • OpenVPN — защищенное подключение к локальной сети
  • Настройка аудита системных событий
  • Настройка syslog для централизованной журнальной регистрации
  • Автоматизация анализа журнальных файлов

Модуль №10

  • Автоматизированные средства укрепления безопасности и мониторинга системных файлов
    • Bastille — инструмент укрепления локальных политик безопасности
    • Chrootkit — поиск rootkit-ов в системе (инструмент общего назначения)
    • Rkhunter — специализированный инструмент для поиска rootkit-ов в системе
  • Средства защиты рабочей станции
    • firestarter — управление работой брандмауэра
    • ClamTk — управление работой антивирусного сканера
    • sshfs — безопасная замена SMB/CIFS

Модуль №11

Построен в форме семинара по организационным и техническим аспектам, связанным с защитой сетевой инфраструктуры.

Рекомендации по продолжению обучения

  • Аудит безопасности и тестирование на проникновение
Комплексная безопасность в гетерогенных сетях (Comprehensive security in heterogeneous networks)
Безопасность,