= Εργασία Εξαμήνου
:toc: right
:toc-title: Πίνακας περιεχομένων
:toclevels: 4
:sectnums:
:icons: font
:tabs: +

== Αρχιτεκτονική swarm

image:images/swarmarchitecture.png[] +
Υπάρχει αστερίσκος στο δεύτερο αριθμό της IP του docker network, διότι καθόλη την διάρκεια της άσκησης χρειάστηκε η ξαναδημιουργία σμήνους. Οπότε ο αστερίσκος μπορεί να αντικατασταθεί με 19 ή 29 καθόλη την διάρκεια της άσκησης.

== Δημιουργία του swarm
----
../install/usr/share/swarmlab.io/sec/swarmlab-sec create
----
image:images/swarmCreation.png[] +
Δημιουργία 5 cluster 
----
../install/usr/share/swarmlab.io/sec/swarmlab-sec up size=5 
----
Σύνδεση ως master +
----
../install/usr/share/swarmlab.io/sec/swarmlab-sec login
----
image:images/connectionToMaster.png[] +
Εύρεση του δικτύου του swarm +
----
ifconfig
----
image:images/findSwarmNetworkIP.png[] +
Άρα το δίκτυο μας είναι το 172.19.0.* +
Εύρεση των IP των worker +
----
nmap -sP 172.19.0.*
----
image:images/findIPOfWorkers.png[] +
άρα έχουμε τις εξής IP:
|===
|master|172.19.0.2
|worker_1|172.19.0.3
|worker_2|172.19.0.4
|worker_3|172.19.0.5
|worker_4|172.19.0.6
|===
Σύνδεση στον worker_1 +
----
../install/usr/share/swarmlab.io/sec/swarmlab-sec login
ssh docker@172.19.0.3
bash
----
image:images/connectionToWorker1.png[] +

== DOS Attack και iptable rules
Εγκατάσταση του hping3 στον worker_1
----
sudo apt update
sudo apt install hping3
----
Σύνδεση ως worker_2 +
----
../install/usr/share/swarmlab.io/sec/swarmlab-sec login
ssh docker@172.19.0.4
bash
----
image:images/connectionToWorker2.png[] +
Εμφάνιση πακέτων του worker_1 που παραλαμβάνονται από τον worker_2 +
----
sudo tcpdump src 172.19.0.3
----
image:images/awaitingPacketsFromWorker2.png[] +
Ο worker_1 κάνει DOS attack στον worker_2 +
----
sudo hping3 172.19.0.4
----
image:images/succesfulDOSAttack.png[] +
Εμφανίζονται στον worker_2 τα πακέτα από το DOS attack +
image:images/displayOfAttackPackets.png[] +
Δημιουργία κανόνα στον worker_2 για να αγνοεί πακέτα του worker_1 και ξαναεμφάνιση των πακέτων που θα προέλθουν από τον worker_1 +
----
sudo iptables -I INPUT -s 172.19.0.3 -j DROP
sudo tcpdump srd 172.19.0.3
----
image:images/ruleCreationAndDisplayOfAttackPackets.png[] +
Ο worker_1 ξανακάνει DOS attack στον worker_2 +
----
sudo hping3 172.19.0.4
----
image:images/unsuccesfulDOSAttack.png[] +
Παρατηρούμε 100% packet loss, άρα το DOS attack απέτυχε +
Εμφάνιση του ποσού των πακέτων που έγιναν DROP από τον κανόνα που θέσαμε +
----
sudo iptables -nvL
----
image:images/displayOfAmountOfAttackPacketsDroped.png[] +
19 πακέτα έγιναν DROP

== Brute Force Attack, Fail2Ban, Passwordless(withKey) ssh connection
Συνδεόμαστε στον worker_1 και εγκαθιστούμε το patator +
----
sudo apt install patator
----
Δημιουργούμε το αρχείο passwords.txt +
----
vi passwords.txt
----
|===
|dfsgds +
fgd +
fg +
df +
gd +
fg +
dfg +
dfgdfg +
df +
gd +
fg +
df +
g +
asdfgfd +
gs +
dfg +
sg +
sd +
gsdfdasf +
a +
docker +
14114144 +
|===
Ο worker_1 κάνει brute force attack στον worker_1
----
patator ssh_login host=172.29.0.4 user=docker password=FILE0 0=passwords.txt -x ignore:mesg='Authentication failed.'
----
image:images/succesfulBruteForceAttack.png[] +
Κατάφερε να βρει τον κωδικό του worker_2(172.29.0.4)
Εγκαθιστούμε στον worker_2 το fail2ban
----
sudo apt install fail2ban
----
Αντιγράφουμε τα περιεχόμενα του jail.conf στο jail.local +
----
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
----
image:images/creationOfJailLocal.png[] +
Βάζουμε τις παρακάτω γραμμές μέσα στο jail.local αντικαθιστώντας τα παλιά περιεχόμενα του [sshd]
|===
|[ssh] +
enabled  = true +
filter = sshd +
logpath = /var/log/auth.log +
maxretry = 5 +
backend = %(sshd_backend)s +

[sshd] +
enabled = true +
filter= sshd +
logpath = /var/log/auth.log +
maxretry=5 +
backend = %(sshd_backend)s
|===
Εγκαθιστούμε το rsyslog
----
sudo apt-get -y install rsyslog
----
Τρέχουμε το rsyslogd για να εμφανιστεί το auth.log στο οποίο θα αναγράφεται οι απόπειρες σύνδεσης στον worker_2
----
rsyslogd
----
Στη συνέχεια δοκιμάζουμε πάλι το brute force attack και παίρνουμε το παρακάτω αποτέλεσμα
----
patator ssh_login host=172.29.0.4 user=docker password=FILE0 0=passwords.txt
----
image:images/unsuccesfulBruteForceAttack.png[] +
Παρατηρούμε ότι όταν έφτασε στην δοκιμή docker έβγαλε error Connection refused, το οποίο σημαίνει ότι το fail2ban έκανε ban τον worker_1 επιτυχώς. +
Στη συνέχεια, μπορούμε να δούμε και τον κανόνα που πρόσθεσε το fail2ban στα iptables +
----
sudo iptables -L
----
image:images/ruleCreatedByFail2Ban.png[] +
Στην συνέχεια διαγράψαμε την δουλειά του fail2ban για να προχωρήσουμε στο επόμενο βήμα.
----
sudo fail2ban-client unban --all
sudo iptables -F
sudo fail2ban-client stop
----
Ανοίγουμε το sshd_config και αλλάζουμε τις εξής γραμμές αφαιρώντας και την δίεση +
====
LogLevel VERBOSE +
PermitRootLogin prohibit-password +
PasswordAutherntication no
====
Επανεκκίνηση του ssh
----
sudo service restart
----
Προσπαθούμε να συνδεθούμε στον worker_2 με τον worker_1. +
image:images/unsuccesfulSSHDueToNoPasswordRule.png[] +
Ξανά σχολιάζουμε την γραμμή PasswordAuthentication no για να μπορέσουμε να στείλουμε το κλειδί που θα φτιάξει ο worker_1 στον worker_2.
Επανεκκίνηση του ssh
----
sudo service ssh restart
----
Δημιουργούμε το κλειδί με passphrase 12345 +
----
ssh-keygen
----
image:images/keyCreation.png[] +
Το στέλνουμε στον worker_2
----
ssh-copy-id -i ~/.ssh/id_rsa.pub docker@172.29.0.4
----
image:images/sendKeyToWorker2.png[] +
Ξανά βγάζουμε από σχόλιο την γραμμή  PasswordAuthentication no +
Επανεκκίνηση του ssh
----
sudo service ssh restart
----
Σύνδεση του worker_1 με τον worker_2 με το passphrase 12345 +
image:images/connectionWithKey.png[] +

== Local και Remote SSH Forwarding
Εγκαθιστούμε τον apache στο μηχάνημα μας
----
sudo apt install apache2
----
Τρέχουμε τον server
----
apacherctl start
----
Αλλάζουμε το περιεχόμενο που θα έχει το site, αλλάζοντας το περιεχόμενο του αρχείου /var/www/html/index.html σε Hello World +
Εγκαθιστούμε το openssh-server για να μπορεί να συνδεθεί ο worker στο μηχάνημα μας
----
sudo apt install openssh-server
----
Βρίσκουμε την IP του μηχανήματος μας
----
ifconfig
----
image:images/myIP.png[] +
Στη συνέχεια κάνουμε local ssh forwarding από το worker_1 στο μηχάνημα μας +
----
ssh -nNT -L 8000:localhost:80 geo@192.168.80.128
----
image:images/localPortForwarding.png[] +
Στη συνέχεια ανοίγουμε άλλο ένα terminal για τον worker_1 και βλέπουμε το αποτέλεσμα. +
----
curl localhost:8000
----
image:images/accessToWebServer.png[] +
Αφού κλείσουμε το local ssh forwarding ανοίγουμε remote ssh forwarding από το μηχάνημα μας στον worker_1 +
----
ssh -nNT -R 8000:localhost:80 docker@172.29.0.4
----
image:images/remotePortForwarding.png[] +
Βλέπουμε ότι από τον worker_1 μπορούμε να δούμε τον server του μηχανήματος μας
----
curl localhost:8000
----
image:images/accessToWebServer.png[] +

== VPN
Δημιουργούμε το παρακάτω αρχείο στο μηχάνημα μας
~/Downloads/swarmlab-sec-master/swarmlab-sec/vpn/create-vpn.sh +
|===
|#!/bin/bash +
IP=127.0.0.1                                            # Server +
P=1194                                                  # Server Port +
OVPN_SERVER='10.80.0.0/16'                              # VPN Network +

#vpn_data=/var/lib/swarmlab/openvpn/openvpn-services/   # Dir to save data ** this must exist ** +
vpn_data=$PWD/openvpn-services/ +
if [ ! -d $vpn_data ]; then +
 mkdir -p $vpn_data +
fi +

NAME=swarmlab-vpn-services                              # name of docker service +
DOCKERnetwork=swarmlab-vpn-services-network             # docker network +
docker=registry.vlabs.uniwa.gr:5080/myownvpn            # docker image +

docker stop  $NAME                                            #stop container +
sleep 1 +
docker container rm  $NAME                              #rm container +

# rm config files +
rm -f $vpn_data/openvpn.conf.\*.bak +
rm -f $vpn_data/openvpn.conf +
rm -f $vpn_data/ovpn_env.sh.*.bak +
rm -f $vpn_data/ovpn_env.sh +

# create network +
sleep 1 +
docker network create --attachable=true --driver=bridge --subnet=172.50.0.0/16 --gateway=172.50.0.1 $DOCKERnetwork +

#run container        see ovpn_genconfig +
docker run --net=none -it -v $vpn_data:/etc/openvpn  -p 1194:1194 --rm $docker ovpn_genconfig  -u udp://$IP:1194 \
-N -d -c -p "route 172.50.20.0 255.255.255.0" -e "topology subnet" -s $OVPN_SERVER   +

# create pki          see ovpn_initpki +
docker run --net=none -v $vpn_data:/etc/openvpn  --rm -it $docker ovpn_initpki     +

#                     see ovpn_copy_server_files +
#docker run --net=none -v $vpn_data:/etc/openvpn  --rm $docker ovpn_copy_server_files +

#create vpn           see --cap-add=NET_ADMIN +
sleep 1 +
docker run --detach --name $NAME -v $vpn_data:/etc/openvpn --net=$DOCKERnetwork --ip=172.50.0.2 -p $P:1194/udp --cap-add=NET_ADMIN $docker   +

sudo sysctl -w net.ipv4.ip_forward=1 +

#show created +
docker ps +
|===
Βάζουμε δικαιώματα εκτέλεσης
----
chmod 700 create-vpn.sh
----
Εκτελούμε το script  create-vpn.sh
----
./create-vpn.sh
----
Μας ζητάει pass phrase και του δίνουμε το 54321 +
Δημιουργούμε το παρακάτω αρχείο στο μηχάνημα μας +
~/Downloads/swarmlab-sec-master/swarmlab-sec/vpn/create-user.sh +
|===
|USERNAME=test1 +
vpn_data=$PWD/openvpn-services/
docker=registry.vlabs.uniwa.gr:5080/myownvpn +

docker run -v $vpn_data:/etc/openvpn --rm -it $docker easyrsa build-client-full $USERNAME nopass +
docker run -v $vpn_data:/etc/openvpn --log-driver=none --rm $docker ovpn_getclient $USERNAME  > $USERNAME.vpn +
|===
Βάζουμε δικαιώματα εκτέλεσης
----
chmod 700 create-user.sh
----
Εκτελούμε το script  create-vpn.sh
----
./create-user.sh
----
Μας ζητάει pass phrase και του δίνουμε το 54321 +
Αντικαθιστούμε τις παρακάτω γραμμές στο test1.vpn
|===
|Γραμμές προς αντικατάσταση|Νέες γραμμές
|client +
nobind +
dev tun +
remote-cert-tls server +

remote 127.0.0.1 1194 udp 
|client +
nobind +
dev tun +
comp-lzo +
resolv-retry infinite +
keepalive 15 60 +

remote-cert-tls server +
remote 192.168.80.128 1194 udp +
float +
|===
Αντιγράφουμε το test1.ovpn στον φάκελο project που έχει access το swarm
----
cp test1.ovpn ../myproject/project/test1.vpn
----
Εγκαθιστούμε στον worker_1 το openvpn
----
sudo apt update
sudo apt install openvpn
----
Σύνδεση του worker_1 στο vpn +
----
sudo openvpn --config /project/test1.vpn
----
image:images/connectionToVPN.png[] +
Πήραμε την IP 10.80.0.2 +
----
ifconfig
----
image:images/workerVPNIP.png[] +
Αλλάζουμε την πρώτη γραμμή του create-user.sh έτσι ώστε να δημιουργήσει ένα ακόμη αρχείο +
|===
|USERNAME=test2
|===
Και κάνουμε την παραπάνω διαδικασία για το master και το test2.vpn
Μετά κάνουμε ping μεταξύ τους και βλέπουμε αντίδραση +
----
sudo tcpdump -i tun0
----
image:images/pingBetweenMasterWorkerThroughtVPN.png[] +