HCIE云服务实验第十二期- 公有云安全架构设计-云上应用的攻与防

1、 环境准备

vpc准备

创建安全组sg-A

创建安全组sg-B

部署ecs主机ecs-dvwa

安装并启动docker

yum install docker

systemctl enable docker

systemctl start docker

获取dvwa软件Docker镜像

docker pull docker.io/citizenstig/dvwa

查看docker镜像已成功下载

docker images

启动docker

docker run -dit -p 8080:80 docker.io/citizenstig/dvwa

docker ps

初始化dvwa数据库，create/reset database

http://119.3.223.123:8080

初始化完成后，页面将自动跳转到登录页面，输入认证信息登录dvwa

安装xampp

wget https://weirenzheng.obs.cn-north-1.myhuaweicloud.com/xampp-linux-x64-7.3.6-2-installer.run

chmod 755 xampp-linux-*-installer.run

./xampp-linux-*-installer.run

本地浏览器访问xampp页面，输入http://119.3.223.123/

 

ecs-kali云服务器部署

登录安装docker，并验证Docker运行状态

apt-get install docker.io -y

docker -v

systemctl status docker

下载kali的docker镜像

docker pull philippe233/hcie-msf

设置镜像的tag为kali

docker tag philippe233/hcie-msf kali

docker images

启动kali并进入其docker实例，并通过msfconsole命令验证kali已经正常运行

docker run -t -p 8088:8088 -i kali /bin/bash

msfconsole

安装完成，退出kali的docker实例

安装xampp。

wget https://weirenzheng.obs.cn-north-1.myhuaweicloud.com/xampp-linux-x64-7.3.6-2-installer.run

chmod 755 xampp-linux-*-installer.run

sudo  ./xampp-linux-*-installer.run

本地浏览器访问xampp页面，输入

http://119.3.249.58/

ecs-win云主机部署

登录服务器下载putty

安装winscp

安装Firefox及其组件

为firefox安装EditThisCookie插件。打开firefox浏览器，输入插件安装网站https://addons.mozilla.org/zh-CN/firefox/extensions/

在网页搜索栏输入cookiedit，安装cookie editor插件

2、端口与漏洞扫描实践

启动ecs-kali的docker服务

端口扫描

启动并进入kali的docker实例中

docker run -t -p 8088:8088 -i kali /bin/bash

使用ecs-kali上的nmap工具对ecs-dvwa（dvwa、xampp服务未启动）的EIP地址119.3.223.123端口进行扫描

nmap -n -sS -P0 -p1-10024 119.3.223.123

扫描结果：

安全组开放的端口：21-23,80,443,3389,8080-8089

提供服务的端口：22，服务类型为SSH

说明当前只有22端口SSH正常提供服务，其他端为关闭状态

 

登录ecs-dvwa启用dvwa和xampp服务

docker run -dit -p 8080:80 docker.io/citizenstig/dvwa

cd /opt/lampp

./xampp start

对ecs-dvwa再次端口扫描

扫描结果：

安全组开放的端口：21-23,80,443,3389,8080-8089

提供服务的端口：21,22,80,443,8080

说明：

通过扫描结果可以看到，当主机启动了相关的服务，并开发对外访问的端口，可以立刻通过类似nmap这类扫描工具获取。所以对不使用的网络端口需要做适当的安全策略.

设置网络安全策略。允许通过VPC内访问ecs-dvwa主机的21端口，不允许所有用户访问ecs-dvwa的443,3389端口。

设置安全组sg-A

再次使用nmap扫描工具对云服务器ecs-dvwa的EIP进行扫描

 

nmap -n -sS -P0 -p1-10024 119.3.223.123

在使用nmap对云服务器ecs-dvwa的vpc内外地址进行扫描

nmap -n -sS -P0 -p1-10024 192.168.0.77

扫描结果对比：

21端口在公网无法访问，但是在内网可以访问，设置成功。

3389端口不允许任何网络访问，设置成功。

 

漏洞扫描服务配置

初始化dvwa

打开dvwa的页面地址http://119.3.223.123:8080 ,点击Create/Reset database

设置安全等级为low

打开漏洞扫描控制台,新增域名

对刚配置的域名启动扫描任务

 

扫描完成后，点击扫描评分进入扫描结果页面

查看漏洞详情，获取漏洞的url地址和漏洞利用方法

漏洞利用测试，打开dvwaweb页面，在浏览器中访问地址：

http://119.3.223.123:8080/vulnerabilities/xss_r/

输入漏洞利用的方法在页面输入框

"></input><script>alret(1733)</script><input>

表示该页面存在跨站点脚本攻击，攻击者可以通过诱导客户执行脚本，窃取用户的登录会话对用户账号进行操作

3、WAF防护实践

由于waf费用，此处略  

4、SSH密码爆破实践

登录ecs-dvwa

创建主机账号

useradd -d /home/test -m test

passwd test

（改密码为1234qwer）

下载爆破软件及密码字典。

将爆破软件hydra下载到本地电脑。在浏览器中输入如下地址：

https://ie-security.obs.cn-north-1.myhuaweicloud.com/thc-hydra-windows-master.rar

将密码字典下载到本地电脑，在浏览器中输入如下地址：

https://ie-security.obs.cn-north-1.myhuaweicloud.com/password.txt

使用爆破软件。

执行爆破命令

.\hydra.exe -l test -P password.txt ssh://119.3.223.123 -s 22 -t 4 -e ns –vV

使用爆破后得到的账号密码，尝试登录云主机，看是否成功

购买主机安全服务

安装Agent与安全配置

wget 'http://obs.cn-north-4.myhwclouds.com/hss-agent-bj04/linux/HwAgentInstall_64.sh' && chmod +x HwAgentInstall_64.sh && ./HwAgentInstall_64.sh

启用企业主机安全

配置消息服务

创建主题

在弹出窗口选择协议：邮件，订阅终端输入“邮箱地址”该地址为接收告警通知的邮箱地址。

设置完成后，在设置的邮箱中将会受到确认订阅邮件，点击“订阅确认”

主机安全告警通知设置

测试主机安全防护

.\hydra.exe -l test -P password.txt ssh://119.3.223.123 -s 22 -t 4 -e ns –vV

 

可以看到软件一直在尝试连接，无爆破结果

 

查看主机安全

入侵检测

告警邮件比较慢，过了1天左右才收到

处理告警

设置安全策略，只允许通过云端的windows主机进行管理

再次暴力破解测试

看到无法进行测试，出现错误。说明主机安全已经将其拦击。

使用windows云主机登录ecs-dvwa云主机，验证可通过云主机管理