Esercitazioni pratiche di Sicurezza Informatica Laboratorio del corso “Sicurezza dei sistemi informatici” (03GSD) Politecnico di Torino – AA 2019/20 Prof. Antonio Lioy preparata da: Andrea Atzeni ([email protected]) Diana Berbecaru ([email protected]) v. 1.4.2 (1/10/2019) Indice 1 L’ambiente di lavoro in laboratorio 1 2 Riprodurre l’ambiente di lavoro a casa 3 2.1 Uso della virtualizzazione ..................................... 3 2.1.1 Configurazione virtuale suggerita ............................ 4 2.1.2 Uso di VM con ISO Live ................................. 5 2.1.3 Clonare le VM ...................................... 5 2.1.4 Nomi delle VM ...................................... 6 2.2 Uso di macchine fisiche ...................................... 6 A Importare la VM di Kali 6 A.1 Package aggiuntivi ........................................ 7 1 L’ambiente di lavoro in laboratorio Le esercitazioni si svolgono usando la distribuzione Linux Kali, versione 2019.4. Per questo corso, abbiamo creato una ISO “custom” che ci permette di avere un ambiente di lavoro in cui siamo sicuri che tutte le esercita- zioni funzioneranno (salvo problemi di driver e apparecchiature di rete). Inoltre ci accertiamo che ci siano tutti i package necessari alle esercitazioni per ridurre la probabilt` a di doverli scaricare al momento ed intasare la rete del laboratorio. Inoltre, abbiamo minimizzato le dimensioni della ISO e scelto XFCE per ridurre al minimo i requisiti di sistema, non potendo garantire che tutti i PC presenti in laboratorio siano di ultima generazione e con alte prestazioni. L’immagine della ISO Live di Kali pu` o essere selezionata direttamente dal menu di Grub delle macchine del LabInf. Lo username e la password per caricare la distribuzione Live sono i seguenti: username: security password: 03GSD02KRQ Al boot di Kali vi apparir` a una schermata simile a quella in Figura 1. 1
Transcript
Esercitazioni pratiche di Sicurezza Informatica
Laboratorio del corso “Sicurezza dei sistemi informatici” (03GSD)Politecnico di Torino – AA 2019/20
Le esercitazioni si svolgono usando la distribuzione Linux Kali, versione 2019.4. Per questo corso, abbiamocreato una ISO “custom” che ci permette di avere un ambiente di lavoro in cui siamo sicuri che tutte le esercita-zioni funzioneranno (salvo problemi di driver e apparecchiature di rete). Inoltre ci accertiamo che ci siano tuttii package necessari alle esercitazioni per ridurre la probabilta di doverli scaricare al momento ed intasare la retedel laboratorio. Inoltre, abbiamo minimizzato le dimensioni della ISO e scelto XFCE per ridurre al minimo irequisiti di sistema, non potendo garantire che tutti i PC presenti in laboratorio siano di ultima generazione econ alte prestazioni.
L’immagine della ISO Live di Kali puo essere selezionata direttamente dal menu di Grub delle macchine delLabInf. Lo username e la password per caricare la distribuzione Live sono i seguenti:
username: securitypassword: 03GSD02KRQ
Al boot di Kali vi apparira una schermata simile a quella in Figura 1.
1
Scegliete “Live (forensic mode)” per avviare il sistema operativo.
Al momento del login, autenticatevi con username root e password toor.
Al termine della fase di boot, Kali 2019.4 avra gia configurato la rete correttamente (in laboratorio e presenteun server DHCP).
Il server grafico X partira automaticamente all’avvio e l’ambiente di lavoro apparira come in Figura 2.
Comandi utili
NOTA: le parentesi quadre racchiudono qualcosa di opzionale, le parentesi graffe racchiudono una scelta, leparole in corsivo sono un segnaposto da sostituire con un dato appropriato, ad esempio il comando
su [-] [ username ]
risulta corretto come
su - Bea
ipotizzando che Bea sia un utente legittimo del sistema, ma anche come
su -
cioe senza il secondo parametro opzionale.
Si ricorda di seguito la sintassi di alcuni comandi utili durante lo svolgimento delle esercitazioni
• per configurare la tastiera in modalita grafica si puo usare:
setxkbmap language
mentre in modalita console mode potete usare il comando:
loadkeys language
ove language puo essere it per la tastiera italiana (l’opzione piu frequente sia in laboratorio sia a casa)oppure us per la tastiera americana (l’opzione di default).
• per creare un nuovo utente
adduser username
• per cambiare utente, in particolare per diventare root (se non specificate username si assume root):
su [-] [ username ]
• per ottenere informazioni sull’uso di un comando/programma:
• per conoscere la configurazione di rete della vostra macchina (indirizzo IP, netmask, . . . ) con i net-tools(legacy)
2
ifconfig
oppure con il comando ip (preferibile)
ip addr show
• per ottenere di nuovo un indirizzo IP dinamico tramite DHCP potete eseguire il comando
dhclient
• nel caso qualche script non funzionasse in maniera anomala, magari perche avete fatto dei copia-ed-incolla da Windows, potete provare il seguente comando
dos2unix filename
che corregge i problemi di a-capo
• per configurare la rete manualmente, per impostare l’indirizzo IP con i net-tools
ifconfig interfaccia IP netmask netmask reteroute add default gw IP defaultGW
oppure con il comando ip
ip addr add IP/netmask CIDR dev interfacciaip route add default via IP defaultGW
• per aggiungere route statiche con i net-tools
route add -net IP rete destinazione netmask netmask rete gw IP gateway
oppure con il comando ip
ip route add IP destinazioni route via IP gateway dev interfaccia
• per impostare il DNS server, aggiungete una riga nel file resolv.conf con questa sintassi
nameserver IP del nameserver
Uteriori opzioni sono disponibili tramite il comando man resolv.conf
• per installare un programma a partire dal nome del package
apt-get install package name
2 Riprodurre l’ambiente di lavoro a casa
Gli esercizi che vi proporremo in laboratorio richiedono l’uso di due, tre e, in un unico caso (laboratorio suIPsec), di quattro PC contemporaneamente, a seconda delle esercitazioni. Nei prossimi paragrafi descriveremocome riprodurre a casa un ambiente molto simile a quello di laboratorio sia usando la virtualizzazione chemacchine fisiche.
2.1 Uso della virtualizzazione
Potete usare la virtualizzazione come strumento per avere a disposizione una o piu copie di Kali funzionanticontemporaneamente su un’unica macchina fisica.
Esistono due versioni delle distribuzioni di Kali.
• Kali Full, di grosse dimensioni (circa 3.0 GB), contiene tutti i tool di sicurezza piu importanti ed usaGnome come Desktop Environment. Kali Full include decine di tool di attacco e analisi che potreste
3
essere interessati ad approfondire (e ad usare nel rispetto delle leggi). Vi consigliamo di usare questa sele risorse computazionali delle vostre macchine sono sufficienti.
• Kali Light, di dimensioni ridotte (circa 1.0 GB), contiene i tool di sicurezza essenziali ed usa XFCE comeDesktop Environment.
La distribuzione Kali mette a disposizione, oltre a diverse versioni delle ISO1, delle Virtual Machine (VM)gia pronte all’uso per VMWare e VirtualBox. Purtroppo pero, le VM pronte all’uso sono di grosse dimensioni(2.2 GB per VMWare e addirittura 3.3 GB per VirtualBox). Se volete usare delle Kali Light dovete creare unaVM ed installare questa distribuzione oppure eseguire una VM Live usando le ISO disponibili sul sito del corsoa queste URL (come spiegato al paragrafo 2.1.2):
La configurazione che noi suggeriamo (e che noi utilizziamo per testare che le esercitazioni funzionino con lavirtualizzazione sulle nostre macchine) include:
• una macchina principale, basata su Kali Full, che vi permetta di avere un Desktop Environment menospartano e molti tool di sicurezza a disposizione;
• una o piu macchine ausiliarie, che potrebbero opzionalmente usare Kali Light per svolgere i compitirichiesti dalle varie esercitazioni senza appesantire troppo la computazione o richiedere troppe risorsehardware (es. RAM).
Di seguito riportiamo le istruzioni per preparare l’ambiente di lavoro, una Security Lab Network virtuale, doveagganciare una VM con Kali Full e fino a tre VM aggiuntive (come in Figura 3). Nel seguito descriviamo unpossibile modo di utilizzo di Oracle VM VirtualBox, un prodotto di virtualizzazione gratuito disponibile perpiattaforma Linux e Windows, ma altri ambienti di virtualizzazione, come ad esempio VMplayer, si prestanougualmente alla realizzazione di un ambiente virtuale. VirtualBox e un buon compromesso di funzionalita edefficienza dal punto di vista computazionale rispetto ad altri strumenti nel caso si usi una singola VM, ma nonscala benissimo con l’aumentare del numero di VM rispetto ai prodotti commerciali. Per questo motivo, gestirepiu di due VM su un PC di qualche anno fa con soli 2 GB di RAM potrebbe davvero essere stressante se nonimpossibile. Non ci saranno grossi problemi con PC piu recenti con 8 GB di RAM o piu.
La versione cui facciamo riferimento in questo documento e la 5.2.32 che potete scaricare alla URLhttps://www.virtualbox.org/wiki/Downloads
La documentazione e disponibile alla URLhttps://www.virtualbox.org/wiki/Documentation
Per l’installazione guardate il Capitolo 2 della guida Oracle VM VirtualBox User manual:https://download.virtualbox.org/virtualbox/5.2.32/UserManual.pdf.
Per la configurazione della rete guardate il Capitolo 6 della guida Oracle VM VirtualBox User manual:https://download.virtualbox.org/virtualbox/5.2.32/UserManual.pdf.
NOTA
A parte VMware Player, riteniamo gli altri prodotti gratuiti meno idonei, VMware vSphere Hypervisore sovradimensionato per le nostre necessita e VMServer non e piu mantenuto dal 2010. Nel caso abbiategia acquistato una licenza, anche VMware Workstation e adatto ai nostri scopi (tuttavia non ci sentiamo
1Disponibili a questo link https://www.kali.org/downloads/3/
di consigliarne l’acquisto). Non abbiamo avuto la possibilita di testare gli ambienti di virtualizzazioneper MacOS, non vi garantiamo quindi nulla sul corretto svolgimento delle esercitazioni in tali ambienti(sebbene dubitiamo che ci siano grossi problemi dato che nessuno li ha riportati negli anni precedenti).
2.1.2 Uso di VM con ISO Live
La soluzione che adottiamo richiede di caricare l’immagine ISO di Kali da DVD virtuale per le VM che andre-mo a creare: dovete quindi avere una copia locale della ISO di Kali. Potete scaricare l’immagine ISO dal sitodel corso:
Per creare una VM da cui far partire la ISO in modalita Live, si puo premere il pulsante “New” che attiva laprocedura di creazione di una nuova VM guidata che consiste delle seguenti fasi:
• scelta del nome e del tipo di sistema operativo. Dopo aver dato un nome alla VM, come descritto soprapotrebbe essere KaliFull o Alice, abbiamo scelto come sistema operativo “Linux” e versione “Debian (64bit)” (si ricorda che Kali e basata su Debian).
• scelta della dimensione della RAM da riservare alla VM. Come sopra, vi consigliamo di riservare almeno1 GB di RAM per le VM basate su Kali Light e almeno 2 GB per quelle che si basano su Kali Full, conl’accortezza che per alcuni esercizi (OpenVAS in particolare) le richieste possono essere molto elevate(fino a 8 GB in dipendenza dalla dimensione di set di script caricati).
• scelta dell’Hard Disk. Deselezionate “Do not add a Virtual Drive” e continuate (imposteremo in seguitoil boot da DVD).
Selezionando la VM appena creata ed in seguito il pulsante “Settings” e possibile aggiungere un CD/DVD:
• selezionate “Storage” (comparira una finestra come quella in Figura 4);
• cliccate sul device presente sotto “Controller IDE” (spesso compare come “device CD/DVD” o “empty”=,poi dal tab “Attributes” rendetelo “IDE Primary Master”, cliccate sul simbolo del disco (alla destra di IDEPrimary Master) per aggiungere il drive a cui agganciarlo, poi cliccate su “choose a virtual CD/DVD file” escegliete l’ISO di Kali (kali-torsec-2019-light.iso). Infine, spuntate la checkbox “Live CD/DVD”
• create una nuova “NAT Network”. Per farlo, cliccate su “File” poi su “Preferences...”. Dal Tab “Network”create una nuova “NAT Network” cliccando sull’icona “Add New NAT Network”. Nella lista comparirauna nuova riga “NATNetwork”. Successivamente, cliccate con il tasto destro e poi su “Edit NAT Network”,rinominatela come “SecurityLabNetwork”, controllate che sia abilitato il support a DHCP e sceglieteun range di indirizzi opportuno (es. la prima volta il range 10.0.2.0/24 proposto di default va bene).Dovrebbero apparirvi delle finestre come in Figura 5.
• collegate la VM importata alla “SecurityLabNetwork”. Cliccate con il tasto destro sul nome della VM,scegliete “Settings. . . ” poi cliccate sul TAB “Network”. Nel Tab “Adapter 1”, cambiate l’opzione“Attached to:” da NAT a NAT Network, verificate che nel campo (appena comparso) “Name” ci sia“SecurityLabNetwork”.
2.1.3 Clonare le VM
Per le esercitazioni saranno necessarie piu VM. Per averle vi consigliamo di clonare una delle VM di Kaliappena create (es. la Kali Full importata che ha le configurazione di rete ed i package corretti installati o unaKali Light Live). Per farlo, cliccate con il tasto destro sul nome della VM da clonare, che deve essere spenta. Poi
scegliete “Clone. . . ”, selezionate il nome da dare al nuovo clone (es. KaliLight Clone) e selezionate l’opzione“Linked Clone” (che vi permette di risparimare spazio su disco, ridurre l’occupazione di RAM ed aumentare leprestazioni usando delle opzioni avanzate di VirtualBox), come in Figura 6.
Dopo aver cliccato sul pulsante “Clone” comparira una nuova VM ed alla VM originale verra aggiunta unascritta del tipo “Linked Base for KaliFull 3”.
2.1.4 Nomi delle VM
Nelle varie esercitazioni, a VM diverse corrispondono “personaggi” diversi. Ad esempio, oltre ad Alice eBob, per indicare il generico utente A ed il generico utente B, troveremo altri nomi le cui iniziali richiamino ilruolo che ricopriranno nell’esercitazione (es. Carol per indicare la VM di Certification Authority, Frank per ilFirewall). Per evitare confusione, vi consigliamo di rinominare le VM prima di eseguire le esercitazioni (deltipo: Kali1 era Alice o Bob? E Kali2 era Frank o chi?).
Cliccate con il tasto destro sul nome della VM da rinominare (es. KaliFull) e poi cliccate su “Settings. . . ”.Comparira una finestra gia aperta sul Tab “General > Basic” (come in Figura 8), dove potrete cambiare il nomemodificando il testo nel campo “Name” (es. in Alice (KaliLight)). Vi suggeriamo inoltre di mantenere nelnome della VM l’indicazione Light o Full per sapere che versione di Kali verra eseguita prima di farla partire.
2.2 Uso di macchine fisiche
Se avete a disposizione tre o quattro PC, potete collegarli in rete fra loro con uno switch, come mostrato inFigura 9. Questa configurazione e anche possibile con gli access point wireless, che di solito hanno almenoquattro porte Ethernet.
Per evitare di installare Kali su ogni macchina, potete far partire delle ISO Live o da DVD o chiavetta USB.Vi consigliamo fortemente l’uso di una chiavetta USB che rispetto ad un DVD; e molto piu veloce e permettedi salvare i vostri dati. L’immagine ISO contenente tutti i programmi necessari allo svolgimento del corso edisponibile sul sito del corso:
La connessione ad Internet non e necessaria per la maggior parte degli esercizi, ma in alcuni casi sara necessarioscaricare aggiornamenti ai programmi. In ogni caso, puo essere utile per reperire il materiale necessario e do-cumentazione di approfondimento o semplicemente per accedere ai testi delle esercitazioni disponibili online.
Nel caso non abbiate un server DHCP che assegni automaticamente gli indirizzi IP alle macchine, dovretespecificare la configurazione manualmente (con i comandi spiegati al Paragrafo 1, fate riferimento alle paginedi manuale di ifconfig e ip per maggiori dettagli).
Potete anche realizzare una rete WiFi (il router ADSL fa sia da switch sia da router), ma prestate attenzioneperche alcuni driver di schede di rete wireless hanno delle limitazioni (per cattura e inserimento di pacchetti)che potrebbero compromettere l’esito di alcuni esercizi (i problemi verranno sempre segnalati nel testo del-l’esercitazione). Queste limitazioni sono sempre piu rare e tipicamente risolubili usando una diversa versionedel driver o configurando opportunamente le interfacce du rete. Segnaliamo che non ci sono pervenuti casi diincompatibilita negli ultimi anni accademici.
Appendice A Importare la VM di Kali
Qualcuno potrebbe preferire usare le VM Kali invece di scaricare ed eseguire le distribuzioni live personalizzatecome descritto nella Sezione 2.1.2. Questa sezione e rivolta a queste persone, quindi chi ha gia eseguitol’installazione come descritto nella predetta sezione puo ignorare questa sezione.
2. importate le VM scaricate nel vostro sistema. Per farlo, cliccate su “File” poi su “Import applian-ce”. Comparira una finestra che vi permettera di scegliere il file corrispondente alla VM scaricata (es.kali-linux-2019.3a-vbox-amd64.ova. Dopo aver scelto il file scaricato, verra visualizzata una fine-stra che riassume le caratteristiche principali della VM importata. Alla sinistra della finestra di VirtualBoxcomparira una nuova VM come in Figura 10. Cliccando con il tasto destro sul nome delle VM e poi su“Settings” potete cambiare le risorse associate alla VM appena create. Vi consigliamo di non assegnaremeno di 512 MB di RAM alle Kali Light (dopo l’importazione 1 GB) e meno di 1 GB per le VM con KaliFull (dopo l’importazione 2 GB).
NOTA: uno degli esercizi dell’esercitazione 1 (vulnerability assessment con OpenVAS) potrebbe richie-dere fino a 8 GB di RAM.
3. cancellate, dopo la creazione delle VM, le immagini scaricate dal sito di Kali Linux.
4. configurate la rete come descritto in precedenza (NAT Network su SecurityLabNetwork).
A.1 Package aggiuntivi
Che usiate la version Full o Light, dovete assicurarvi che siano installati i seguenti package per poter svolgerele esercitazioni (usate apt-get per verificare la presenza ed eventualmente installare i package mancanti):
• vsftpd
• hexedit
• strongswan
• libstrongswan-extra-plugins
• dkms
• lynx
• s-nail
• alien
• nsis
• httptunnel
Invece su Light, dovrete installare anche questi tool:
