Nastavení prostředí pro penetrační testování na OCI: Komplexní návod

Zde jsou kroky, které budeme dodržovat při nastavení laboratoře PenTest na OCI:

1. Vytvořte virtuální cloudovou síť (VCN):

VCN je soukromá síť, která pokrývá celou infrastrukturu OCI. Poskytuje bezpečné a izolované prostředí pro vaše cloudové zdroje. Vytvoříme VCN, veřejnou podsíť a soukromou podsíť pro naši laboratoř PenTest.

2. Poskytování Kali Linuxu a konfigurace SSH a RDP pro Kali Linux:

Kali Linux je oblíbený operační systém pro penetrační testování. Poskytneme instanci Kali Linuxu na veřejné podsíti, povolíme SSH a RDP a nakonfigurujeme příchozí bezpečnostní pravidla tak, aby umožňovala přístup.

3. Nastavení virtuálních počítačů Metasploitable v soukromé podsíti:

Metasploitable je záměrně zranitelný virtuální stroj, který lze použít pro penetrační testování. Stáhneme si obrázky Metasploitable pro Ubuntu a Windows, nahrajeme je do úložiště objektů OCI, vytvoříme vlastní obrázky a zřídíme instance Metasploitable v soukromé podsíti.

4. Otestujte prostředí:

Založíme relaci SSH nebo RDP pro Kali Linux, získáme IP adresy instancí Metasploitable, otestujeme konektivitu pomocí příkazu ping a použijeme nmap ke shromažďování informací o otevřených portech. To nám pomůže ověřit, zda je naše prostředí správně nastaveno a připraveno na penetrační testování.

Úkol 1: Vytvořte virtuální cloudovou síť (VCN)

1. Přihlaste se ke svému účtu Oracle Cloud Infrastructure (OCI).
2. Z navigační nabídky vyberte Síť a poté klikněte na  Síť virtuálního cloudu.
3. V levém navigačním podokně v části Rozsah seznamu vyberte svůj pracovní oddíl
4. Klikněte na Start VCN Wizard
5. Vyberte Vytvořit VCN s připojením k Internetu a klikněte na Spustit průvodce VCN.
6. Na stránce Konfigurace zadejte následující:
   • Název: Pen-Test-Lab-VCN
   • Přihrádka: Vyberte svůj pracovní <název přihrádky>
   • Poznámka: Všechny ostatní možnosti ponechte ve výchozím nastavení.
7. Klepněte na tlačítko Další
8. Ověřte podrobnosti na stránce Kontrola a vytvoření
9. Kliknutím na Vytvořit začněte vytvářet síť VCN a její prostředky.
10. Kliknutím na Zobrazit virtuální cloudovou síť ověřte vytvoření sítě VCN a jejích prostředků.
11. Ujistěte se, že jsou otevřeny všechny porty a protokoly na seznamech zabezpečení soukromých a veřejných podsítí. Tato nastavení budou později změněna.

Obrázek 1: Kroky pro vytvoření VCN

Úkol 2: Poskytování Kali Linuxu a konfigurace SSH a RDP pro Kali Linux

Úkol 2.1: Poskytování Kali Linuxu

1. V navigační nabídce vyberte  Compute a poté klikněte na  Instance.
2. Klikněte na Vytvořit instanci. V dialogovém okně Vytvořit instanci zadejte následující podrobnosti:
   • Název: Zadejte Kali-Linux-VM-01
   • Vytvořit v přihrádce: Vyberte pracovní <název přihrádky>
   • Umístění: Dostupnost Doména AD1
     • Poznámka: Pokud se zobrazí chyba limitu služby, vyberte jinou doménu dostupnosti.
   • Obrázek: Klikněte na Změnit obrázek.
     • Vyberte Marketplace
     • Vyhledejte Kali Linux, zaškrtněte políčko a klikněte na Vybrat obrázek.
   • Tvar: Ponechat výchozí
   • Networking: Vyberte VCN Pen-Test-Lab-VCN a Public Subnet
   • Veřejná IP adresa: Přiřaďte veřejnou IPv4 adresu.
   • Vygenerujte (nebo nahrajte) klíče SSH:
     • Klikněte na  Generovat pár klíčů pro mě.
     • Klikněte  na Uložit soukromý klíč. Tím se soukromý klíč uloží na vaši místní pracovní stanici a přejmenuje se na KaliLinuxVM-priv-01.key.
   • Poznámka: Všechny ostatní možnosti ponechte ve výchozím nastavení.
3. Klikněte na Vytvořit.
4. Výchozí přihlašovací údaje operačního systému Kali Linux
   • Uživatelské jméno: debian
   • Heslo: debian

Obrázek 2: Kroky k poskytování Kali Linuxu

Úkol 2.2: Povolte SSH na Kali Linuxu

Povolení SSH na Kali Linuxu je nezbytné pro vzdálený přístup k instanci. Ve výchozím nastavení je SSH na Kali Linux zakázáno, ale lze jej povolit připojením k sériové konzoli pomocí integrace Cloud Shell poskytované službou Oracle Cloud Infrastructure (OCI).

1. Na stránce podrobností o instanci v konzole Oracle Cloud Infrastructure v části  Zdroje klikněte na  Připojení ke konzole.
2. Klikněte na Spustit připojení Cloud Shell. Tato akce zobrazí Cloud Shell v „zásuvce“ ve spodní části konzoly.
   • Zadejte libovolnou klávesu a stiskněte Enter a dostanete výzvu prostředí Kali Linux.
   • Pro přihlášení zadejte uživatelské jméno a heslo pro Kali Linux
     • Uživatelské jméno: debian
     • Heslo: debian
     • Použijte sudo -i k získání výzvy uživatele root.
   • Aktualizujte seznam důvěryhodných klíčů systému používaný k ověření integrity a pravosti balíčků Kali Linux během procesu instalace:
     • $ wget https://archive.kali.org/archive-key.asc -O /etc/apt/trusted.gpg.d/kali-archive-keyring.asc 
   • Aktualizujte seznam balíčků na svém Kali Linuxu
     • apt-get update -y
   • Nainstalujte server OpenSSH na svůj Kali Linux
     • apt-get instalace ssh
     • spuštění služby ssh
     • stav služby ssh
3. Chcete-li otestovat připojení SSH k počítači Kali Linux z místního počítače, můžete použít následující příkaz v terminálu na místním počítači:
   • • ssh -i /path/to/private-ssh-key debian@public-ip-of-kali-linux

Úkol 2.3: Povolte RDP na Kali Linuxu

Chcete-li povolit RDP na Kali Linuxu a získat přístup k jeho GUI, postupujte takto:

1. Nainstalujte balíček xrdp spuštěním následujícího příkazu:
   • sudo apt-get install xrdp
2. Spusťte službu xrdp spuštěním následujícího příkazu:
   • systemctl start xrdp
   • systemctl stav xrdp
3. Nainstalujte a otevřete port RDP (3389) ve vaší bráně firewall spuštěním následujícího příkazu:
   • apt-get install ufw
   • ufw povolit z libovolného na jakýkoli port 3389 proto tcp
4. Chcete-li nainstalovat ovladač videa, spusťte následující příkaz:
   • apt-get install xserver-xorg-video-all
5. Po dokončení instalace RDP restartujte Kali Linux a RDP na PUBLIC_IP:3389

Úloha 3: Nastavte virtuální počítače Metasploitable3 v soukromé podsíti

K provedení penetračního testování použijeme obraz Metasploitable3, který je záměrně navržen tak, aby byl zranitelný. Vytvoříme dva Metasploitable image: jeden pro Ubuntu a druhý pro Windows. Všechny tyto virtuální počítače budou nastaveny v soukromé podsíti bez jakýchkoli veřejných koncových bodů. Hlavním cílem zřizování těchto virtuálních počítačů je provádět penetrační testování.

1. Stáhněte si předkonfigurovaný obraz Metasploitable3 Ubuntu 14.04 od Rapid7 a Metasploitable3 Windows 2008
   • Odkaz: https://app.vagrantup.com/rapid7/
   • Stáhněte si obrázky pro VirtualBox.
2. Po stažení rozbalte obrázky spuštěním následujícího příkazu:
   • tar -xvf <název-souboru-staženého-obrázku>
   • Nahraďte název souboru názvy souborů obrázků Ubuntu a Windows, jeden po druhém.
3. Nahrajte soubor .vmdk do bucketu OCI
   • Přihlaste se ke svému účtu OCI a vytvořte úložiště OCI pro obrázky Metasploitable.
   • Klikněte na Nahrát objekt.
   • V dialogovém okně Odeslat objekty přesuňte metasploitovatelné obrázky z adresáře. Případně můžete použít vybrat soubory, přejít do adresáře obsahujícího metasploitable image a vybrat soubory .vmdk pro Ubuntu i Windows.
   • Klikněte na Nahrát objekty
     • Dialogové okno Odeslat objekty zobrazuje indikátor procenta dokončení. Počkejte, než se načtou soubory metasploitable image.
4. Vytvořit vlastní obrázek
   • V konzole Oracle Cloud přejděte na Compute > Custom Images.
   • Klikněte na  Importovat obrázek.
   • V  dialogovém okně Import obrázku:
     • Jméno: <<Jakýkoli vhodný název>>
     • Operační systém: Linux (obraz Ubuntu)
     • Vyberte  Import z úložiště objektů.
     • Z rozevíracího seznamu Segment v … vyberte segment, který jste vytvořili.
     • Z rozbalovací nabídky Objekt vyberte nahraný soubor .vmdk pro Ubuntu.
     • V režimu spuštění vyberte režim emulace.
     • Klikněte na  Importovat obrázek.
     • Počkejte, než se obrázek naimportuje.
   • Opakujte výše uvedené kroky pro Metasploitable3 Windows a ujistěte se, že se následující parametry liší:
     • Operační systém: Windows
     • Verze operačního systému: Server 2008 R2 Standard
5. Vytvořit instanci
   • Přejděte na  Compute > Custom Images.
   • Klikněte na nabídku akcí (tři tečky) v řádku s nově přidaným metasploitable image Ubuntu nebo Windows a zvolte Vytvořit instanci.
   • Na  stránce Vytvořit instanci
     • Název: Zadejte název, například metasploitable3 Ubuntu/Windows.
     • Tvar: Vyberte Výchozí
     • V části Networking:
       • VCN: Vyberte svou VCN
       • Subnet: Vyberte soukromou podsíť
     • Vyberte Bez klíčů SSH
   • Klikněte na Vytvořit
   • Opakujte výše uvedené kroky pro obrazy Ubuntu i Windows.

Obrázek 3: Kroky k vytvoření vlastních obrázků

Úkol 4: Otestujte prostředí

Abychom potvrdili, že je naše prostředí správně nastaveno a připraveno na penetrační testování, provedeme sérii testů. Nejprve vytvoříme relaci SSH nebo RDP pro Kali Linux (v mém případě jsem získal relaci SSH). Poté načteme privátní IP adresy obou instancí Metasploitable a otestujeme připojení pomocí příkazu ping. Pokud není žádná odpověď ICMP, zajistíme otevření všech portů a protokolů na seznamech zabezpečení soukromých i veřejných podsítí.

Jakmile potvrdíme, že je konektivita navázána, použijeme nmap ke shromažďování informací o otevřených portech pro obě instance Metasploitable. Tento příkaz identifikuje software a informace o verzi služeb běžících na otevřených portech.

Zde jsou kroky k testování prostředí:

1. SSH na Kali Linux
   • ssh -i /path/to/private-ssh-key debian@public-ip-of-kali-linux
2. Získejte soukromé IP adresy instancí Metasploitable a ping
   • ping <<soukromá-ip-adresa>
     • Pokud není žádná odpověď ICMP, ujistěte se, že všechny porty a protokoly jsou otevřené na seznamech zabezpečení privátní a veřejné podsítě.
3. NMAP Metasploitable instance
   • Pro instanci Ubuntu
     nmap -sV <<private-ip-adresa-ubuntu>>

• • Pro instanci Windows
    nmap -sV <<private-ip-adresa-okna>>

Nyní tedy máte podrobného průvodce pro vytvoření laboratoře penetračního testování na Oracle Cloud Infrastructure (OCI) nastavením virtuální cloudové sítě (VCN), zřizováním  a Metasploitable VM. Pomocí těchto kroků mohou bezpečnostní profesionálové simulovat skutečné útoky a zlepšit své dovednosti a porozumění cloudovému zabezpečení. Tato laboratoř PenTest na OCI může být také použita k testování a ověřování bezpečnostních kontrol a konfigurací, což zajišťuje bezpečnější cloudové prostředí. 

Zdroj: Oracle