cs171149
/
Net_Com_Security_Project
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity
Docker implemented tasks for computer security
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
10 Commits
1 Branch
0 Tags
1.3 MiB
 
Branch: master
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'master'
${ noResults }
Net_Com_Security_Project/README.adoc

19 KiB
Raw Permalink Blame History 

 	
:stylesheet: ~/Desktop/test_ascii/ubuntu.css 

:toc: right
:toc-title: Πίνακας περιεχομένων
:toclevels: 4
:sectnums:
:icons: font
:tabs:
:imagesdir: ./images


= Εργασία Εξαμήνου

Ασφάλεια Δικτύων και Επικοινωνιών +
Μωυσόγλου Σταύρος +
ΑΜ: 171149 

[NOTE]
[.text-center]
Εργαλεία που θα χρειαστούν για την εκτέλεση όλων των λειτουργιών σε όλα τα συστήματα μπορούμε να τα εγκαταστήσουμε  
με τις παρακάτω εντολές: +

Για το κύριο σύστημά μας: + 

sudo apt update +
sudo apt install ascii-doctor.pdf +
sudo apt install openvpn +
sudo apt install fail2ban +
sudo apt install nano +

Για κάθε σμήνος: +

sudo apt update +	
sudo apt install nano +			
sudo apt install hping3 + 
sudo apt install openvpn +
sudo apt install patator +
sudo apt install fail2ban +
sudo apt install crunch 

== Docker


Ο πλήρης οδηγός για την εγκατάσταση του Docker βρίσκεται στην ιστοσελίδα  http://docs.swarmlab.io/SwarmLab-HowTos/labs/Howtos/docker/install.adoc.html +
Προυποθέτοντας ότι έχει ολοκληρωθεί η εγκατάσταση, από τον φάκελο sec_proj +
ενεργοποιούμαι δύο υπολογιστές: +

----
*./usr/share/swarmlab.io/sec/swarmlab-sec up size=2* +
----

Κάνουμε login στο master container: +

----
*./usr/share/swarmlab.io/sec/swarmlab-sec login*
---- 

== Dos/DDos Attacks
=== Επίθεση Dos

Τρέχουμε τις παρακάτω εντολές : +
[listing]


Τρέχουμε την εντολή *ifconfig* για να βρούμε την IP του master container: +

Στην προκειμένη περίπτωση έχουμε πάρει την IP 172.25.0.2 +
Εκτελούμε την εντολή nmap για να βρούμε την IP του 2ου container: +

[listing]
nmap -sP 172.25.0.*

Κάνουμε login στο 2ο container:

[listing]
ssh docker@172.25.0.3

Αρχίζουμε επίθεση τύπου SYN flood attack από το master container με την εντολή: 

----
hping3 -d 256 -S -p 80 --flood --rand-source 172.25.0.3  
----
όπου:
*-d*: το μέγεθος των πακέτων που θα είναι 256 bytes +
*-S*: θα σταλθούν πακέτα SYN +
*-p*: στόχος η πόρτα 80 +
*--flood*: θα στέλνει γρήγορα πακέτα χωρίς να ενημερώνει πίσω +
*--rand-source*: θα στέλνει πακέτα με διαφορετικές source IP για να κρύψουμε την πραγματική 
και ακολουθεί η destination IP 172.25.0.3


Θα στείλουμε πάρα πολλά αιτήματα μέχρις ότου ο τελικός +
υπολογιστής να μην μπορεί να ανταποκριθεί από τα πολλά αιτήματα 
Για να παρακολουθήσουμε τα πακέτα που παραλαμβάνει ο 172.25.0.3 εκτελούμε:

----
sudo tcpdump -n -l όπου: 

-n: ώστε να μην μετατρέπει τις διευθύνσεις σε host name 
-l: stdout γραμμή ανά γραμμή για να είναι ευανάγνωστο

----

και θα λάβουμε μια απεριόριστη λίστα με όλες τις κινήσεις μεταξύ +
των δύο containers με διαφορετική source address απο την μεριά του master container: 

----

21:24:49.173526 IP 172.27.0.3.80 > 13.245.207.57.6240: Flags [R.], seq 0, ack 1645404442, win 0, length 0
21:24:49.173585 IP 254.109.233.34.6241 > 172.27.0.3.80: Flags [S], seq 425760265:425760521, win 512, length 256: HTTP
21:24:49.173589 IP 172.27.0.3.80 > 254.109.233.34.6241: Flags [R.], seq 0, ack 425760522, win 0, length 0
21:24:49.173634 IP 84.75.97.186.6242 > 172.27.0.3.80: Flags [S], seq 2080045976:2080046232, win 512, length 256: HTTP
21:24:49.173639 IP 172.27.0.3.80 > 84.75.97.186.6242: Flags [R.], seq 0, ack 2080046233, win 0, length 0
21:24:49.173658 IP 133.166.126.38.6243 > 172.27.0.3.80: Flags [S], seq 209817745:209818001, win 512, length 256: HTTP
21:24:49.173663 IP 172.27.0.3.80 > 133.166.126.38.6243: Flags [R.], seq 0, ack 209818002, win 0, length 0
21:24:49.173710 IP 124.52.52.239.6244 > 172.27.0.3.80: Flags [S], seq 420259499:420259755, win 512, length 256: HTTP
21:24:49.173715 IP 172.27.0.3.80 > 124.52.52.239.6244: Flags [R.], seq 0, ack 420259756, win 0, length 0
21:24:49.173771 IP 111.231.152.219.6245 > 172.27.0.3.80: Flags [S], seq 996339210:996339466, win 512, length 256: HTTP
21:24:49.173776 IP 172.27.0.3.80 > 111.231.152.219.6245: Flags [R.], seq 0, ack 996339467, win 0, length 0
21:24:49.173819 IP 245.231.15.4.6246 > 172.27.0.3.80: Flags [S], seq 665144234:665144490, win 512, length 256: HTTP
21:24:49.173824 IP 172.27.0.3.80 > 245.231.15.4.6246: Flags [R.], seq 0, ack 665144491, win 0, length 0
21:24:49.173844 IP 15.240.107.243.6247 > 172.27.0.3.80: Flags [S], seq 1174216822:1174217078, win 512, length 256: HTTP
21:24:49.173851 IP 172.27.0.3.80 > 15.240.107.243.6247: Flags [R.], seq 0, ack 1174217079, win 0, length 0

----

=== Προστασία ενάντια Dos/DDos επιθέσεων

Θα χρησιμοποιηθούν iptable rules για να απορριφθούν τυχόν επιθέσεις +
που δέχεται το σύστημα μας. Ένας τρόπος είναι να απορρίψουμε πακέτα που δεν έχουν SYN flag +
και δεν έχουν πραγματοποιείσει TCP σύνδεση στο παρελθόν:

----

iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP

----
όπου: +
-t mangle: Διαχείριση πίνακα με τα ειδικά διαμορφωμένα πακέτα +
-Α: Προσθήκη καινούριου κανόνα +
PREROUTING: επεξεργασία πακέτου προτού δρομολογηθεί +
-m conntrack ( conntrack )Κομμάτι του linux υποσυστήματος για την καταγραφή συνδέσεων +
--ctstate INVALID: Αν η καταγραφή της σύνδεσης είναι άκυρη +
-j DROP: η ενέργεια που θα πραγματοποιηθεί, στην συγκεκριμένη περίπτωση αν δεν έχει βρεθεί η σύνδεση του
source IP το πακέτο απλά θα αγνοηθεί χωρίς να επιστρέψει σφάλμα +


Για συνδέσεις που είναι καινούριες προσθέτουμε :

----
iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
----

-p tcp ! --syn: Αν το πρωτόκολλο είναι TCP και το πακέτο δεν έχει SYN flag +
--ctstate NEW: Αν έχει καταγραφεί ως καινούρια η σύνδεση +

Για τα πακέτα που έχουν ψεύτικα ή ακόμη και καθόλου flags:

----
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
----

Τέλος, δεν θα δεχόμαστε ICMP pings για να μην δεχτούμε ICMP flood:

----
iptables -t mangle -A PREROUTING -p icmp -j DROP
----

Αν εφαρμόσουμε τους παραπάνω κανόνες με την ίδια εντολή hping3 λαμβάνουμε το παρακάτω αποτέλεσμα 

----
03:40:17.786443 IP sec_proj_worker_1.sec_proj_net.22 > 2454e5f00a8b.57220: Flags [P.], seq 1:85, ack 44, win 501, options [nop,nop,TS val 160241560 ecr 1030425021], length 84
03:40:17.786463 IP 2454e5f00a8b.57220 > sec_proj_worker_1.sec_proj_net.22: Flags [.], ack 85, win 9803, options [nop,nop,TS val 1030425021 ecr 160241560], length 0
03:40:17.786609 IP 2454e5f00a8b.22 > sec_proj_worker_1.sec_proj_net.53334: Flags [P.], seq 1:85, ack 44, win 501, options [nop,nop,TS val 1030425021 ecr 160241559], length 84
03:40:17.786664 IP sec_proj_worker_1.sec_proj_net.53334 > 2454e5f00a8b.22: Flags [.], ack 85, win 9768, options [nop,nop,TS val 160241560 ecr 1030425021], length 0
03:40:18.606552 IP sec_proj_worker_1.sec_proj_net.53334 > 2454e5f00a8b.22: Flags [P.], seq 44:80, ack 85, win 9768, options [nop,nop,TS val 160242380 ecr 1030425021], length 36
03:40:18.606807 IP 2454e5f00a8b.57220 > sec_proj_worker_1.sec_proj_net.22: Flags [P.], seq 44:80, ack 85, win 9803, options [nop,nop,TS val 1030425841 ecr 160241560], length 36
03:40:18.607168 IP sec_proj_worker_1.sec_proj_net.22 > 2454e5f00a8b.57220: Flags [P.], seq 85:121, ack 80, win 501, options [nop,nop,TS 
...
...
...

21 packets captured
883552 packets received by filter
883525 packets dropped by kernel
----
== SSH Brute Force
=== Patator 

Για την επίτευξη της επίθεσης SSH Brute Force θα χρησιμοποιήσουμε το πρόγραμμα patator. Αρχικά θα πρέπει +
να του παρέχουμε ένα .txt αρχείο που θα περιέχει κωδικούς που θα δοκιμάζει για την εύρεση του σωστού κλειδιού για την +
σύνδεση στο στοχοποιημένο σύστημα. Δημιουργούμαι ένα τυχαίο .txt αρχείο με το πρόγραμμα crunch.

----
crunch 6 6 cdegijklopqr -o /root/wordlist.txt
----
*6 6* Θα δημιουργήσει λέξει το λιγότερο 6 χαρακτήρες και το πολύ 6 χαρακτήρες +
*cdegijklopqr* οι λέξεις θα περιέχουν τα γράμματα που έχουμε αποδώσει +
*-o /root/wordlist.txt* το όνομα και ο προορισμός του .txt file +

Αφού ολοκληρωθεί η διαδικασία δημιουργίας ενός λεξικού, θα σκανάρουμε με την εντολή *nmap -p 22 172.27.0.3* +
για να βρούμε ανοιχτές πόρτες που θα μας προσφέρουν την είσοδο σε μια υπηρεσία. Για την δική μας εργασία +
αρκεί να είναι ανοιχτή η πόρτα 22 που αντιστοιχεί στην πόρτα της υπηρεσίας SSH. 

image:port22.png[]

Αρχίζουμε την επίθεση με την εντολή: 

----
patator ssh_login host=172.27.0.3 user=docker password=FILE0 0=/root/wordlist.txt -x quit:mesg="SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.3" -x ignore:code=1
----
όπου: +
*patator ssh_login*: Εντολή εκείνησης SSH Brute Force +
*host 172.27.0.3*: IP του στόχου μας +
*user=docker*: το username του στόχου +
*password=FILE0 0=/root/wordlist.txt*: το αρχείο που θα αντλήσει το πρόγραμμα τους τυχαίους συνδιασμούς κωδικών +
*x quit:mesg="SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.3"*: όταν συνδεθεί επιτυχώς στο σύστημα θα τερματιστεί το πρόγραμμα +
*-x ignore:code=1*: δεν θα εκτυπώνει της αποτυχημένες προσπάθιες +

To πρόγραμμα θα μας εκτυπώσει στατιστικά δεδομένα μαζί και με την επιτυχημένη είσοδο και με ποιο κωδικό +
κατάφερε να τερματίσει.

image:patator.png[]

=== Προστασία ενάντια SSH Brute Force

Θα χρησιμοποιηθεί το πρόγραμμα Fail2Ban για την προστασία του συστήματός μας. Το fail2ban θα εντοπίζει αποτυχημένες προσπάθειες για +
είσοδο μέσο SSH και θα δίνει περιθώριο 3 προσπαθειών, αλλιώς θα προστεθεί κανόνας +
iptable που θα εμποδίζει την είσοδο του για ένα χρονικό περιθώριο. +
Ενεργοποιούμε την υπηρεσία fail2ban: 

----
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
----

Δημιουργούμε το αρχείο με τις παραμετροποιήσεις που επιθυμούμε στο φάκελο /etc/fail2ban/jail.d με όνομα sshd.local

----
nano /etc/fail2ban/jail.d/sshd.local
----

Προσθέτουμε τις ρυθμίσεις μας

----
[sshd]
enabled = true
port = ssh
action = iptables-multiport
logpath = /var/log/secure
maxretry = 3
bantime = 600
----

όπου: +
*port=ssh* Η πόρτα της υπηρεσίας ssh <=> 22 +
*action = iptables-multiport* Δημιουργία iptables για την απαγόρευση εισόδου +
*logpath = /var/log/secure* Αρχείο καταγραφής +
*maxretry = 3* Μέγιστος αριθμός προσπαθιών +
*bantime = 600* Χρόνος απαγόρευσης εισόδου 600 δευτερολέπτων +

Για κάθε αλλαγή θα πρέπει να επανεκκινηθεί η υπηρεσία με την εντολή 

---- 
sudo systemctl restart fail2ban
----

Ξεκινάμε μια SSH Brute Force attack προς το κύριο σύστημα και παρατηρούμε ότι λόγο των πολλαπλών +
λανθασμένος δοκιμών έχει απαγορευτεί η δρομολόγηση αιτημάτων προς το προστατευόμενο σύστημα. +
Το επιβεβαιώνουμε με την εντολή *fail2ban-client status sshd* 

image:fail2ban.png[]

=== SSH μόνο με key 

Τροποποιούμε το αρχείο sshd_config και προσθέτουμε τις γραμμές:

----
PasswordAuthentication no

PubkeyAuthentication yes
----

Κάνουμε επανεκκίνιση τον sshd 

----
systemctl restart sshd.service
----

Αν προσπαθήσουμε να πραγματοποιήσουμε είσοδο θα απορριφθεί το αίτημα.

image:ssh_denied.png[]

== VPN
=== Δημιουργία VPN

Δημιουργούμε δύο φακέλους στο directory του docker, το ένα με όνομα vpn και εσωτερικά +
openvpn-services. Επίσης δημιουργούμε το script του vpn όπου θα τρέξουν όλες οι εντολές +
για την δημιουργία του container και τις παραμετροποιήσεις του server. +

create-vpn.sh

----
#!/bin/bash
IP=127.0.0.1                                            # Server IP       
P=1194                                                  # Server Port     
OVPN_SERVER='10.80.0.0/16'                              # VPN Network     

#vpn_data=/var/lib/swarmlab/openvpn/openvpn-services/   # Dir to save data ** this must exist **
vpn_data=$PWD/openvpn-services/                                           
if [ ! -d $vpn_data ]; then
 mkdir -p $vpn_data
fi

NAME=swarmlab-vpn-services                              # name of docker service 
DOCKERnetwork=swarmlab-vpn-services-network             # docker network
docker=registry.vlabs.uniwa.gr:5080/myownvpn            # docker image

docker stop  $NAME					      #stop container
sleep 1
docker container rm  $NAME				#rm container

# rm config files
rm -f $vpn_data/openvpn.conf.*.bak
rm -f $vpn_data/openvpn.conf
rm -f $vpn_data/ovpn_env.sh.*.bak
rm -f $vpn_data/ovpn_env.sh
----
Δημιουργούμε ένα καινούριο δίκτυο στο Docker όπου θα εξυπηρετεί την υπηρεσία του vpn

----
sleep 1
docker network create --attachable=true --driver=bridge --subnet=172.50.0.0/16 --gateway=172.50.0.1 $DOCKERnetwork
----
*docker run --net=none*: Τρέχουμε την υπηρεσία του Docker +
*-v $vpn_data:/etc/openvpn*: Κάνει mount στον δίσκο μας για να αποθηκευτούν οι ρυθμίσεις μας στο $vpn_data:/etc/openvpn +
*-p 1194:1194*: Η πόρτα επικοινωνίας από τον εξωτερικό κόσμος είναι η 1194 και αντίστοιχα η πόρτα για το Docker δίκτυο η 1194 πάλι +
*$docker ovpn_genconfig*: Δημιουργεί το config για την openvpn υπηρεσία και ακολουθούν τα ορίσματα για να παραμετροποιήσουμε
όπως επιθημούμε την υπηρεσία  

----
docker run --net=none -it -v $vpn_data:/etc/openvpn  -p 1194:1194 --rm $docker ovpn_genconfig  -u udp://$IP:$P \
-N -d -c -p "route 172.50.20.0 255.255.255.0" -e "topology subnet" -s $OVPN_SERVER   
----
Δημιουργία κλειδιού

----
docker run --net=none -v $vpn_data:/etc/openvpn  --rm -it $docker ovpn_initpki     
----
----
#                     see ovpn_copy_server_files
#docker run --net=none -v $vpn_data:/etc/openvpn  --rm $docker ovpn_copy_server_files

#create vpn           see --cap-add=NET_ADMIN
sleep 1
docker run --detach --name $NAME -v $vpn_data:/etc/openvpn --net=$DOCKERnetwork --ip=172.50.0.2 -p $P:1194/udp --cap-add=NET_ADMIN $docker  

sudo sysctl -w net.ipv4.ip_forward=1

#show created
docker ps
----

=== Είσοδος χρήστη στο VPN δίκτυο

Θα πρέπει να φτιάξουμε ένα script αρχείο όπου θα δημιουργεί το config file που θα πρέπει να έχει +
ο χρήστης για να μπορεί να έχει πρόσβαση στο VPN δίκτυο. +
Δημιουργούμε το script αρχείο: +
create-user.sh

----
USERNAME=test1
vpn_data=$PWD/openvpn-services/
docker=registry.vlabs.uniwa.gr:5080/myownvpn

docker run -v $vpn_data:/etc/openvpn --rm -it $docker easyrsa build-client-full $USERNAME nopass
docker run -v $vpn_data:/etc/openvpn --log-driver=none --rm $docker ovpn_getclient $USERNAME  > $USERNAME.ovpn
----
Τροποποιούμαι το αρχείο .ovpn ώστε να ανταποκρίνεται στον server μας προσθέτοντας +
τις παρακάτω εντολές :

----
client
nobind
dev tun
comp-lzo
resolv-retry infinite
keepalive 15 60

remote-cert-tls server
remote #IP xxx.χχχ.χχχ.χχχ #port χχχχχ udp #όπου προσθέτουμε την IP που τρέχουμε τον server και την πόρτα
float
----

Θα παραχθεί ένα .ovpn αρχείο το οποίο θα χρειαστεί ο χρήστης για την είσοδο του στο VPN δίκτυο. +
Αντιγράφουμε το αρχείο στο /project φάκελο του σμήνος και το μετατρέπουμε σε εκτελέσιμο. +

----
chmod +x test1.ovpn
----

Εγκαθηστούμε την υπηρεσία openvpn 

----
sudo apt install openvpn
----

Κάνουμε σύνδεση με την παρακάτω εντολή

----
openvpn --config ./test1.vpn
----

image:openvpn_conn.png[]