212.4 Sicherheitsaufgaben Gewichtung 3
212.4 Sicherheitsaufgaben
Kandidaten sollten Sicherheits-Benachrichtigungen aus verschiedenen Quellen empfangen können, Einbruchserkennungssysteme installieren, konfigurieren und betreiben können sowie Sicherheits-Patches und Fehlerkorrekturen anwenden können.
Hauptwissensgebiete:
- Werkzeuge und Hilfsprogramme zum Scannen und Testen von Ports auf einem Server
- Anlaufstellen und Organisationen, die Sicherheits-Benachrichtigungen weitergeben, etwa BUGTRAQ, CERT und andere Quellen
- Werkzeuge und Hilfsprogramme zur Einrichtung eines Einbruchserkennungssystems (IDS)
- Wissen um OpenVAS und Snort
Dies ist eine auszugsweise Liste der verwendeten Dateien, Begriffe und Hilfsprogramme:
- telnet
- nmap
- fail2ban
- nc
- iptables
man pages
- manpage von telnet
- manpage von nmap
- manpage von fail2ban-client
- manpage von fail2ban-server
- manpage von nc
- manpage von iptables
netcat
Im folgende Video zeige ich, wie man netcat chatten kann.
Darüber könnte man auch Dateien übertragen:
# Quelle:
tar --numeric-owner --one-file-system -czf - /dir1 /dir2 | nc -w 60 -l -p 12345
# Ziel:
cd /out; nc -w 60 <quell-ip> 12345 | tar -xzf -
nmap
Ein gute Dokumentation zu den Parametern gibt es auf https://nmap.org/man/de/man-performance.html
- einfaches Scannen:
root@ubuntu:~# nmap 10.191.17.6
Starting Nmap 7.60 ( https://nmap.org ) at 2020-01-07 15:40 CET
Nmap scan report for 10.191.17.6
Host is up (0.00087s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
MAC Address: 08:00:27:67:83:2D (Oracle VirtualBox virtual NIC)
Nmap done: 1 IP address (1 host up) scanned in 18.41 seconds
- nur bestimmte Portrange scannen mit
-p <from>-<to>
root@ubuntu:~# nmap -p 20-26 10.191.17.6
Starting Nmap 7.60 ( https://nmap.org ) at 2020-01-07 16:04 CET
Nmap scan report for 10.191.17.6
Host is up (-0.078s latency).
PORT STATE SERVICE
20/tcp filtered ftp-data
21/tcp open ftp
22/tcp open ssh
23/tcp filtered telnet
24/tcp filtered priv-mail
25/tcp filtered smtp
26/tcp filtered rsftp
MAC Address: 08:00:27:67:83:2D (Oracle VirtualBox virtual NIC)
Nmap done: 1 IP address (1 host up) scanned in 13.51 seconds
- nur bestimmte Ports scannen mit
-p <port1>,<port2>...
nmap -p 20,26 --max-retries 0 10.191.17.6
Starting Nmap 7.60 ( https://nmap.org ) at 2020-01-07 16:13 CET
Warning: 10.191.17.6 giving up on port because retransmission cap hit (0).
Nmap scan report for 10.191.17.6
Host is up (0.00045s latency).
PORT STATE SERVICE
20/tcp filtered ftp-data
26/tcp filtered rsftp
MAC Address: 08:00:27:67:83:2D (Oracle VirtualBox virtual NIC)
Nmap done: 1 IP address (1 host up) scanned in 13.45 seconds
- scan beschleunigen mit
--max-retries 0
root@ubuntu:~# time nmap --max-retries 0 10.191.17.6
Starting Nmap 7.60 ( https://nmap.org ) at 2020-01-07 16:06 CET
Warning: 10.191.17.6 giving up on port because retransmission cap hit (0).
Nmap scan report for 10.191.17.6
Host is up (0.00046s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE
21/tcp open ftp
MAC Address: 08:00:27:67:83:2D (Oracle VirtualBox virtual NIC)
Nmap done: 1 IP address (1 host up) scanned in 15.41 seconds
real 0m15,425s
user 0m0,127s
sys 0m0,232s
root@ubuntu:~# time nmap 10.191.17.6
Starting Nmap 7.60 ( https://nmap.org ) at 2020-01-07 16:07 CET
Nmap scan report for 10.191.17.6
Host is up (-0.010s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
MAC Address: 08:00:27:67:83:2D (Oracle VirtualBox virtual NIC)
Nmap done: 1 IP address (1 host up) scanned in 27.17 seconds
real 0m27,187s
user 0m0,116s
sys 0m0,463s
Hier noch ein Video zum nmap-scan:
- Betriebsystem-Erkennung mit
-O:
root@ubuntu:~# nmap 10.191.17.6 -O
Starting Nmap 7.60 ( https://nmap.org ) at 2020-01-07 16:33 CET
Nmap scan report for 10.191.17.6
Host is up (0.00090s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
MAC Address: 08:00:27:67:83:2D (Oracle VirtualBox virtual NIC)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.10 - 4.8, Linux 3.2 - 4.8
Network Distance: 1 hop
OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 29.85 seconds
iptables
habe ich bereits unter 212.1 ausführlich behandelt.
fail2ban
Konfiguration liegt unter /etc/fail2ban.
Ich habe von meinem centos absichtlich versucht mich mit root und falschem Passwort anzumelden, nach gefühlten 6 fehlgeschlagenen Anmeldungen wurde ich ausgesperrt.
root@ubuntu:/etc/fail2ban# iptables-save
# Generated by iptables-save v1.6.1 on Tue Jan 7 16:58:03 2020
*filter
:INPUT ACCEPT [310:18141]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [233:31172]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A f2b-sshd -s 10.191.17.6/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -j RETURN
COMMIT
# Completed on Tue Jan 7 16:58:03 2020