Läsanvisningar inför sista tentamen ----------------------------------- ============================================================================================================ Små NAT routers (SOHO): http://student.ing-steen.se/security/security2/dlink/NAT-routers.PPT SNMP analys med prtg verktyget, lillebror till mrtg som nästan alla använder. http://student.ing-steen.se/security/security2/snmp/snmpprtgmanual.zip http://student.ing-steen.se/security/security2/snmp/prtg.zip http://student.ing-steen.se/security/security2/dlink/di804HV_manual_103/1/D-Link%20TechSupport%20-%20FAQ.htm http://student.ing-steen.se/security/security2/dlink/di804HV_manual_103/2/D-Link%20TechSupport%20-%20FAQ.htm Ha kännedom om SOHO routrars möjligheter och begränsningar. Kunna konfigurera SNMP, IPSec/VPN tunnlar, felsöka, DMZ, Virtualserver(NAPT) samt filter/brandvägg. ============================================================================================================ E-Post tvättning: Unix DNS server * http://student.ing-steen.se/security/security2/mailwashing/DNS_Server_and_Client%5b2%5d.ppt Kunna installera, konfigurera och driftta en DNS. Förstå de olika zonefilerna forward, reverse, named.ca Ha kännedom med RR (resouce records), SOA, IN A, NS, MX, CNAME Root DNS, Cache only DNS, Forward only DNS, Master DNS, Slave DNS. Unix Mail server * http://student.ing-steen.se/security/security2/mailwashing/Mail_Server_and_Client%5b2%5d.ppt Kunna installera, konfigurera och driftta en smtp mail server. Mail client, Mail server Berörda filer och vad de är till för sendmail.mc, aliases, access, virtualusertable. Vad man menar med RELAY, vem behöver relay. Kännedom om spamassasin, kunna installera spamassasin. Administrera dns, mail och spamassasin med WebMin. Extra om e-post tvättning med Exchange sinks, Bayes Theorem m.m * http://student.ing-steen.se/security/security2/mailwashing/Exchange-sink.txt ============================================================================================================ CISCO routers: http://student.ing-steen.se/security/security2/cisco/cisco-routers.PPT http://student.ing-steen.se/security/security2/cisco/ciscosteps.doc Ha kännedom om olika cisco modeller och var man återfinner dem in infrastrukturen. http://student.ing-steen.se/security/security2/cisco/en_CCNA2_SLM_v31.zip Kunna ansluta sig till en cisco router med serikabel samt över nätverket med telnet nätverksort för att starta om, säkerhetskopiera, ändra grundinställningar, undersöka om portar är uppe eller nere, ändra länkhastigheter. Kontrollera vilken version av Cisco OS som körs, hur mycket minne som finns i routern. Återställa till factory defaults, hacka dig in i cisco routern om lösenord saknas. Aktivera lösenord på console porten samt telnet. Kunna hjälpligt orientera sig i en cisco router Det är i princip rätt svårt att via laborationerna läsa in direkt, nyckelorden efter labnummer är målen som du bör kunna utföra om du har en router framför dig. Provuppgifter kommer att vara upplaggda på ett sådant sätt att ett scenarium ges och några skärmdumpar från ciscon visas, du skall därefter förklara vad som frågas efter. Lab 3.1.7 Kunna konfigurera ethernet nätverkskort Lab 3.2.7 Konfigurera serieportar, clock rate, ip host tabell Lab 4.1.6 Arbeta med CDP (Cisco Discovery Protocol), hitta grannar Lab 4.2.4 Telnet suspendera/återta, visa aktiva sessioner, (Lab 4.2.5b Ping/Traceroute) Lab 5.1.5 Felsöka Cisco register boot problem, rensa startup-config (Lab 5.2.5 säkerhetskopiera IOS) Lab 5.2.6a Återställa lösenord Lab 5.2.6b Reparera en cisco som har fastnar ROM monitor läget, vad är rom monitor läget? Lab 7.2.2 Konfigurera RIP Lab 7.2.9 Lastbalans mellan två cisco och med två seriella portar Lab 9.1.8 Debugga RIP, visa rip databasen, visa ip route tabellen, vad är AS nummer ? Lab 10.2.5 Aktivera webservern i cisco routern Lab 11.2.2a Access listor, enkelt DMZ övergripande hur de fungerar. ============================================================================================================ Unix brandvägg IPTABLES: Grundläggande att kunna starta och stoppa samt kolla status för ipt brandvägg i RH9 http://student.ing-steen.se/security/security2/smothwall/iptables-2.PPT Hur man installerar iptables Hur IPTABLES hanterar paketen, MANGLE, FILTER (forward, input, output) och NAT (prerouting, postrouting) Händelser vid träffar på regler "Jump" accept, drop, log, reject, DNAT, SNAT, MASQUERADE Hastighetsbegräsningar Inkommande trafik till en server på insidan och returtrafiken, hur det påverkar reglerna. Fast input/output, vid första träff hoppa till "action" och gå förbi andra regler. Säkerhetskopiera brandväggsregler, återställa brandväggsregler. Kernelmoduler till brandväggen, varför och hur. Grundläggande brandväggsinställningar Operativsystemsval, No security, Medium, High. RH9 konfigurations fil bor i /etc/sysconfig/iptables Operativsystemet säkras upp så gott det går: source routing av, icmp redirects av, icmp broadcast ignoreras, sända icmp redirects av. Grundläggande brandväggs inställningar, förståelse för vad man måste göra, ppt sidorna 24 till 34 ============================================================================================================ Windows säkerhet http://student.ing-steen.se/security/security2/windows/eBook/70298Training.pdf Certificate Authority, vad används det till, vilka typer av servrar finns vad gäller för dessa servrar. Kap 1, läsa igenom och förstå, mycket repetition. Kap 2, L1 "pillars" PKI komponenter logiska infrastrukturens säkerhet. L2 CA hirarki, certifikatkedjor, Typer av CD hirarkier L3 Certifikat distribution L4 Förnyelse, återkallande avlyssna certifikathändelser L5 CA administrativa roller Kap 3, L1 läsa igenom och förstå, mycket repetition, AD säkerhet, wins, lmhosts L2 Säkra upp DNS, L3 IPSEC säkra intern kommunikation med IPSEC. ============================================================================================================ Säkra upp Server 2003 http://student.ing-steen.se/security/security2/windows/eBook/dnssec2003.txt Känna till i vilken ordningsföljd man bör installera Server 2003 på ett säkert sätt och vilka olika saker som kan hända om man hoppar över något av dessa. http://student.ing-steen.se/security/security2/windows/eBook/dns-1-2.PPT http://student.ing-steen.se/security/security2/windows/eBook/TrainingKit70_291.pdf Vi installerar en publik server med DNS, men principen är densamma för alla servertjänster. Grundregeln är för ett säkert system, 1 servertjänst per server eller så få som möjligt. Ha flera servrar som backar upp varandra i händelse av stopp och andra problem. Exempelvis om man vill a en IIS, då skall man bara köra IIS på den servern, inget annat, städa ur datorn från alla onödiga applikationer så du får en ren server. Serverlast bör ej överstiga 40% om man kör IIS, för att klara toppar, IIS är en tung tjänst. Om den gör det så kommer sidor att börja få timeout och ej visas. Serverlast bör ej överstiga 20% om man kör DNS, dns är en "lätt" men minneskrävande tjänst. OM den gör det så är det för många frågor/zonefiler som överförs per sekund och missar kan ske. Serverlast bör ej överstiga 60% för en domänkontrollant. Om så är fallet, då börjar in och utloggningar kännas tröga, se upp med felaktiga DNS:er. Listan kan göras lång, i princip så bör man mäta vid installationen, under normal drift och under tung drift. Kolla vilka tjänster som tar mycke kraft osv. Städa ur servern: 1. Gå till lägg till och ta bort program, välj Accessories and Utilities, välj detaljer och välj Communications och detaljer igen, ta bort Chat! 2. Gå till Management and Monitoring tools, välj details och ta bort Network Monitor Tools 3. Gå till Networking Services, välj details och ta bort alla tjänster som du inte använder. 4. Upprepa proceduren för alla val och ta bort allt onödigt, du behöver inte ta bort under Acessories. 5. I add and remove program huvudmeny, ta bort allt som du inte känner igen eller kan härleda till antingen nödvändig applikation eller uppdateringspaket. Det är en god ide att ladda ner cummulativ uppdateringspaket och ta bort alla småpatchar. Den som känner sig lite osäker kan installera Microsoft Security Configuration Wizard och följa denna. Se upp med att exponera servern mot öppna nätverk i onödan ända tills du är klar. Nod32 är ett trevligt skyddsprogram, vi har också, F-Secure, Panda, Norton. Reflektioner över de olika: Panda i princip saknar du skydd, klarar bara av de enklare sakerna tar onödigt med resurser för ingenting. F-Secure, klart bra val, tar en del kraft. Jämfört med panda är du skyddad. Norton, du har klart bra skydd, men till vilket pris, servern kommer att jobba sig svettig med Norton, dessutom får du livsfarliga stopp vid uppgraderingar eller om du försöker avinstallera så kan du förstöra din server. Nod32, klart bra val, som F-Secure men mindre resurser. Windows inbyggda skydd, klart att föredra i en server, en välpatchad, urstädad server är bästa skydd. Här är lite tips över vilka publika tjänster man kan kombinera, natruligtvis är variationerna många fler än här nedan men ger en hint om hur man tänker. Alla dom vanligaste är dessa: DNS trivs tillsammans med AD om inte publik DNS annars trivs den med ftp och de flesta tjänsterna i IIS familjen om än bör det undvikas. Varning för stor minnesåtgång för publika DNS:er, mycke caching! Sql DATABASER SKALL ALDRIG KÖRAS TILLSAMMANS MED ANDRA TJÄNSER, risk för fillåsningsfel och blockering i databasen=haveri! AD bara i välskyddade nätverk + DNS. Exchange bara i välskyddade nätverk, inga andra tjänster tillsammans med denna. Webbmail en egen server ingen kombination, varning för tung last. Brandvägg/Routing bara denna tjänst, inga andra tillsammans!! IIS den klart knepigaste av dem alla: IIS (ftp, NNTP, smtp, web services + ssi + asp + internet data connector) Du bör dela upp, NNTP & smtp båda är mail, rätt mycket inkommande trafik med NNTP och hög allmän nät last. Inga ut och inloggningar om man inte kör ssl och smtp(säker epost) då bör man inte mixa utan bara köra smtp. web services & ftp (standard web services och ftp) web services + ssi + asp + internet data connector, en bra kombination, kom ihåg att ssi, asp och data connector äter CPU kraft samt minne, du bör ha mycket av båda! web services + ssi + php samma som den med asp. email services (pop3) trivs tillsammans med smtp men helst inga andra. Varning för hög nätverkslast. Filserver, bör inte kombineras med någon ovan. Kontoserver, bör vara en DC utan andra tillbehör mer än den nödvändiga DNS:en. Vilka av de ovan är backend och frontend samt mainframe ? ============================================================================================================