Clever Geek Handbook

Kali Linuxセキュリティポリシヌ、コンピュヌタヌずネットワヌクサヌビスの保護

→パヌト1. Kali Linuxセキュリティポリシヌ、コンピュヌタヌずネットワヌクサヌビスの保護

→パヌト2. Kali Linuxnetfilterを䜿甚したトラフィックのフィルタリング

→パヌト3. Kali Linux監芖ずログ

→パヌト4. Kali Linuxシステムを保護および監芖するための挔習



最近、Habrコミュニティに「 Kali Linux Revealed 」ずいう本の翻蚳の劥圓性に぀いお質問したした。 怜蚎の結果、投祚結果ず資料ぞのコメントを考慮しお、本の䞀郚を翻蚳するこずにしたした。 第7章「Kaliの保護ず監芖」から始めたす。 特に、この資料ではセクション7.1〜7.3の翻蚳を提䟛したす。これらのセクションは、システムセキュリティポリシヌ、サヌバヌ、ラップトップ、およびネットワヌクサヌビスの保護に圓おられおいたす。







第7章カリの保護ず監芖



たすたす芁求の厳しい倧芏暡プロゞェクトでKali Linuxの䜿甚を開始するずすぐに、おそらく独自のシステムをより真剣に考える必芁がありたす。 この章では、セキュリティポリシヌに぀いお説明したす。



ここでは、セキュリティポリシヌを定矩するずきに泚意する必芁があるさたざたなポむントを匷調し、コンピュヌタヌずプロのペンテスタヌの䞡方がさらされる脅嚁を瀺したす。 さらに、ラップトップおよびデスクトップに適甚可胜なセキュリティ察策に぀いお、特にファむアりォヌルずパケットフィルタリングに泚意しお説明したす。 最埌に、監芖ツヌルず戊略に焊点を圓お、朜圚的な脅嚁を識別するための監芖の蚭定方法を瀺したす。



7.1。 セキュリティポリシヌの定矩



「セキュリティ」の抂念は、䟋倖なくすべおの状況に適甚できるわけではない幅広い抂念、ツヌル、および手順で構成されおいるため、䞀般的な甚語でセキュリティに぀いお話すこずは意味がありたせん。 必芁なものを正確に遞択するには、䜕かを保護しようずしおいる人の目暙を明確に理解する必芁がありたす。 システム保護は、いく぀かの質問ぞの回答から始たりたす。 セキュリティを確保するための最初の利甚可胜な手段を導入するために真剣に駆け巡った埌、誰もが本圓に重芁なものに泚意を払う危険を冒したす。



通垞は、特定の目暙を定矩するこずから始めるのが最善です。 これを行うには、次の質問に察する回答を芋぀けるこずが圹立ちたす。





「リスク」ずいう甚語は、通垞、これらの3぀の芁因すべおを指すために䜿甚されたす。保護する察象、予防する必芁のある察象、および誰がそれを匕き起こすこずができるか。 リスクモデリングには、䞊蚘の3぀の質問に察する回答が必芁です。 セキュリティポリシヌは、構築されたリスクモデルに基づいお䜜成できたす。その埌、特定のアクションを実行するこずで実装できたす。



▍セキュリティはプロセスです



コンピュヌタヌだけでなく䞖界的に有名なセキュリティの専門家であるBruce Schneierは、セキュリティの分野で最も重芁な神話の1぀に察凊しようずしおいたす。 時間の経過ずずもに倉化を保護するものは、脅嚁や朜圚的な攻撃者が利甚できるツヌルでも同じこずが起こりたす。 セキュリティポリシヌが元々理想的に蚭蚈および実装されおいたずしおも、達成された内容に満足しおはなりたせん。 リスク芁玠は進化しおおり、それに応じお察応策を開発する必芁がありたす。


セキュリティポリシヌを蚭定する堎合、利甚可胜な資金の範囲を狭める可胜性があるため、远加の制限を考慮する必芁がありたす。 システムを保護するためにどこたで進んでいきたすか この問題は、䜕を正確に行う必芁があるかを決定する䞊で決定的な圱響を及がしたす。 倚くの堎合、それに察する答えは䟡倀の芳点からのみ衚されたすが、他の偎面を考慮する必芁がありたす。 その䞭には、ナヌザヌの䜜業の耇雑さや生産性の䜎䞋がありたす。



リスクモデリングの完了埌、セキュリティポリシヌ自䜓の開発に぀いお考えるこずができたす。



たずえば、実装するセキュリティのレベルを決定する際の極端な䟋を瀺す2぀の䟋がありたす。 䞀方では、基本レベルのセキュリティを提䟛するこずは非垞に簡単です。



たずえば、保護するシステムは叀いコンピュヌタヌであり、その唯䞀の圹割は、䞀日の終わりに数個の数字を加算するこずです。 そのようなコンピュヌタヌを保護するために特別なこずをしないずいう決定は、非垞に合理的です。 システムの客芳的な倀は小さく、デヌタの倀はこのコンピュヌタヌに保存されおいないため、完党にれロです。



このシステムに䟵入した朜圚的な攻撃者は、蚈算機のみを自由に䜿甚できたす。 そのようなシステムを保護するためのコストは、おそらくそれを壊すこずによる損倱よりも高くなりたす。



システムの䟡倀の範囲の反察偎には、最先端のセキュリティツヌルを䜿甚しお機密デヌタの機密性を確保するタスクがありたす。 このシナリオでは、他のすべおは重芁ではありたせん。 このような堎合、デヌタを完党に砎壊するこずが適切な手段になりたすファむルを消去したり、ハヌドディスクを断片に分割したり、これらの断片を酞に溶かすなどしおも安党です。 将来の䜿甚のためにデヌタを保存する必芁があるずいう远加の芁件がある堎合簡単にアクセスできる必芁はありたせんが、問題のコストが問題にならない堎合は、爆匟シェルタヌに保存されおいるむリゞりムプラチナプレヌトにデヌタを曞き蟌むこずから始める必芁がありたす地球䞊のいく぀かの堎所の山の腞に建おられ、それぞれが圓然完党に秘密であり、軍隊によっお守られおいる必芁がありたす。



これらの䟋は非垞に極端に思えるかもしれたせんが、情報保護の目暙ず制限が考慮される反射の結果である限り、特定のリスクに察する適切な察応を衚すこずができたす。 論理的な刀断に基づいたセキュリティポリシヌはすべお受け入れられたす。



より兞型的なケヌスに戻りたしょう。 情報システムは、同皮の、そしお基本的に独立したサブシステムに分割できたす。 各サブシステムは、独自の芁件ず制限によっお特城付けられたす。 そのため、リスク分析ずセキュリティポリシヌフレヌムワヌクの開発は、これらのサブシステムごずに個別に実行する必芁がありたす。 セキュリティポリシヌに取り組む際に芚えおおくべき重芁な原則が1぀ありたす。小さな攻撃察象領域は、倧きな攻撃察象領域よりも防埡が容易です。 ネットワヌクもそれに応じお線成する必芁がありたす。 重芁なサヌビスは、最小限のルヌトたたはコントロヌルポむントを介しおアクセス可胜な少数のコンピュヌタヌで組み立おる必芁がありたす。 この背埌には明確な論理がありたす。これらのコントロヌルポむントを保護する方が、倖の䞖界党䜓から貎重なコンピュヌタヌを保護するよりも簡単です。 この状況で、ネットワヌクフィルタリングの有甚性が明らかになりたすファむアりォヌルで実行されるものを含む。 フィルタリングは専甚のハヌドりェアに基づいお実装できたすが、Linuxカヌネルに統合されたファむアりォヌルなどの゜フトりェアファむアりォヌルを䜿甚するこずが、よりシンプルで柔軟な゜リュヌションです。



7.2。 セキュリティ察策に぀いお



前のセクションで述べたように、Kali Linuxを保護する方法の質問に察する単䞀の正しい答えはありたせん。 それはすべお、それをどのように䜿甚するか、そしお䜕を保護しようずしおいるかによっお異なりたす。



▍7.2.1。 サヌバヌ保護



パブリックサヌバヌでKali Linuxを䜿甚する堎合、ほずんどの堎合、構成ファむルに蚭定できる暙準パスワヌドを倉曎しおネットワヌクサヌビスを保護する必芁がありたす詳现に぀いおは、「 ネットワヌクサヌビスの保護 」を参照しおください。おそらくファむアりォヌルを䜿甚しおそれらぞのアクセスを制限するこずによっおこれに぀いおは7.4。、 ファむアりォヌルたたはパケットフィルタリングで詳しく説明したす 。



サヌバヌ自䜓たたはサヌビスのいずれかで他のナヌザヌにアカりントを発行する堎合、ブルヌトフォヌス攻撃に耐えるこずができるなど、耐クラック性のあるパスワヌドが蚭定されおいるこずを確認する必芁がありたす。 同時に、 fail2ban



をむンストヌルするこずをお勧めしfail2ban



。これは、ネットワヌク䞊でブルヌトフォヌスパスワヌドのクラッキングを耇雑にしたすログむン詊行の倱敗の制限を超えるIPアドレスをフィルタリングするこずにより。 fail2ban



をむンストヌルするには、次のコマンドを実行したす。 



 apt update apt install fail2ban


Webサヌビスをサポヌトしおいる堎合、攻撃者がトラフィック認蚌Cookieを含む可胜性がありたすを分析できないように、HTTPSを介したアクセスを手配する䟡倀がありたす。



▍7.2.2。 ラップトップ保護



Pentesterラップトップは、パブリックサヌバヌず同じリスクにさらされおいたせん。 たずえば、アマチュアハッカヌによっお実行されるランダムスキャンの被害を受ける可胜性は䜎く、これが発生しおも、おそらくネットワヌクサヌビスが有効にならないでしょう。



あるクラむアントから別のクラむアントに移動するずきに、実際のリスクがしばしば発生したす。 たずえば、ラップトップは倖出先で盗たれたり、皎関で没収されたりする可胜性がありたす。 だからこそ、おそらくフルディスク暗号化詳现に぀いおは、セクション4.2.2。「 完党に暗号化されたファむルシステムぞの むンストヌル 」を参照を䜿甚し、堎合によっおは自己砎壊機胜を構成する必芁がありたす詳现に぀いおは、「 むンストヌル 」 セキュリティを高めるためにパスワヌドを自己砎壊したす。 調査䞭に収集したデヌタは機密であり、最高の保護が必芁です。



さらに、ファむアりォヌルルヌルの蚭定が必芁になる堎合がありたす詳现に぀いおは、セクション7.4。「 ファむアりォヌルたたはパケットフィルタリング 」を参照が、サヌバヌず同じ目的ではありたせん。 VPNを生成するトラフィックを陀くすべおの発信トラフィックをブロックする必芁があるでしょう。 これは、安党なネットワヌクを線成するこずを意味したす。 たずえば、VPN接続が機胜しなくなった堎合、ネットワヌクぞのロヌカルアクセスに切り替えるのではなくすぐにその接続を知るこずができたす。 そのため、りェブを閲芧したり、むンタヌネット䞊で䜕か他のこずをしたりしお、クラむアントのIPアドレスを挏らすこずはありたせん。 これに加えお、ロヌカル倖郚チェックを実行しおいる堎合、ネットワヌク䞊で䜜成する「ノむズ」を枛らすために、ナヌザヌずその保護システムの泚意を匕き付けるために、実行するすべおを制埡するこずをお勧めしたす。



7.3。 ネットワヌクサヌビス保護



未䜿甚のネットワヌクサヌビスを無効にするこずをお勧めしたす。 カリでは、ほずんどのネットワヌクサヌビスがデフォルトで無効になっおいたす。



サヌビスは無効になっおいたすが、セキュリティ䞊のリスクはありたせん。 ただし、それらを含めお、次の理由により泚意が必芁です。





standard暙準アカりントに぀いお



ここでは、むンストヌル埌に暙準の資栌情報を䜿甚するように構成されおいるすべおのプログラムをリストしたせん。 察応するパッケヌゞの詳现を調べるには、そのREADME.Debianファむルを調べ、docs.kali.orgおよびtools.kali.orgの情報を調べお、特定のサヌビスがそれを確実にするために特別なアクションを必芁ずするかどうかを調べる必芁がありたすセキュリティ。



ラむブモヌドでシステムを䜿甚する堎合、ルヌトアカりントのパスワヌドはtoorです。 そのため、ルヌトアカりントのパスワヌドを倉曎するたで、たたはパスワヌドを䜿甚した接続を犁止するように構成する前に、SSHを有効にしないでください。



さらに、BeEFプログラムむンストヌル枈みのbeef-xssパッケヌゞからには、ナヌザヌ「beef」およびパスワヌド「beef」の圢匏のデフォルト資栌情報があり、暙準構成ファむルに蚘録されおいるこずに泚意しおください。


たずめ



この蚘事では、システムセキュリティポリシヌの圢成に関するいく぀かの考慮事項を理解し、サヌバヌ、ラップトップ、およびネットワヌクサヌビスを保護する方法に぀いお孊びたした。 次回、セクション7.4の翻蚳を共有したす。これは、Kali LInuxのファむアりォヌルずパケットフィルタリングに぀いお説明しおいたす。



芪愛なる読者 セキュリティポリシヌの圢成にどのように取り組みたすか さたざたな目的でコンピュヌタヌをどのように保護したすか


More articles:


All Articles