آموزش شبکه ایمن - پروژه شبکه شرکتی در منبع باز

سرفصل ها و درس ها

مبانی 1: ایجاد یک آزمایشگاه مجازی GNS3 Fundamentals 1: Building up a GNS3 Virtual Lab

• اگر این بخش را رد کنید... Skip this section if...

• GNS3 VM & Server، قالب‌هایی برای گره‌های لینوکس، pfSense، Cumulus و ادغام VBox GNS3 VM & Server, templates for Linux nodes, pfSense, Cumulus & VBox Integration

مبانی 2: مبانی شبکه Fundamentals 2: Networking Basics

• توپولوژی های شبکه - باس، حلقه، مش و ترکیبی Network Topologies - Bus, Ring, Mesh and Hybrid

• انواع شبکه - LAN، WLAN، WAN، SAN، MPLS و SDWAN Network Types - LAN, WLAN, WAN, SAN, MPLS and SDWAN

• مدل شبکه OSI در مقابل مدل TCP/IP OSI Network Model vs. TCP/IP Model

• پروتکل ها و خدمات شبکه Network Protocols and Services

• آدرس دهی IP IP Addressing

• زیرشبکه IP IP Subnetting

• مسیریابی - مسیرهای ANDing، پیش فرض، استاتیک، پویا Routing - ANDing, Default, Static, Dynamic Routes

• سوئیچینگ - VLAN، STP، LAG و MLAG Switching - VLANs, STP, LAG and MLAG

• معماری شبکه - 3 لایه در مقابل طراحی برگ ستون فقرات Network Architecture - 3 Tiers vs. Spine Leaf Design

اصول 3: مبانی سیستم عامل یونیکس مانند Fundamentals 3: Unix-like OS Basics

• 50 سال میراث مشابه یونیکس: تحقیق در مورد Unix، BSD، GNU، Linux و macOS 50 years of Unix-like heritage: Research Unix, BSD, GNU, Linux and macOS

• بخش 1: 50 دستور پوسته "باید دانست" که از دهه 70 بر روی هر سیستم عامل یونیکس مانند کار می کنند Part 1: 50 "must-know" shell commands working on any Unix-like OS since 70s

• بخش 2: 50 دستور پوسته "باید دانست" که از دهه 70 بر روی هر سیستم عامل یونیکس مانند کار می کنند Part 2: 50 "must-know" shell commands working on any Unix-like OS since 70s

• قسمت 3: 50 دستور پوسته "باید دانست" که از دهه 70 بر روی هر سیستم عامل یونیکس مانند کار می کنند Part 3: 50 "must-know" shell commands working on any Unix-like OS since 70s

• قسمت 4: 50 دستور پوسته "باید دانست" که از دهه 70 بر روی هر سیستم عامل یونیکس مانند کار می کنند Part 4: 50 "must-know" shell commands working on any Unix-like OS since 70s

• اصول vi - یک ویرایشگر متن صفحه‌گرای همه جا در هر سیستم عامل یونیکس مانند vi basics - a ubiquitous screen-oriented text editor on any Unix-like OS

• net-tools و/یا iproute2 - ابزارهای شبکه سازی در هر سیستم عامل یونیکس مانند net-tools and/or iproute2 - Networking tools on any Unix-like OS

مبانی 4: تجزیه و تحلیل ضبط بسته با استفاده از TCPDump، Wireshark و TShark Fundamentals 4: Packet Capture Analysis using TCPDump, Wireshark and TShark

• تور سریع تجزیه و تحلیل ضبط بسته Quick-tour of packet capture analysis

• شفاف سازی Wireshark در مقابل TSShark در مقابل TermShark در مقابل TCPDump Clarifying Wireshark vs. TShark vs. TermShark vs. TCPDump

• چرا آنالیز بسته را یاد بگیریم؟ موردی که بار حمله RCE را افشا می کند Why learning packet analysis? A use-case exposing RCE attack payload

• نصب Wireshark، Termshark، TShark و TCPDump در کالی لینوکس Installing Wireshark, Termshark, TShark and TCPDump on Kali Linux

• نصب Wireshark و TShark در MS Windows Installing Wireshark and TShark on MS Windows

• موارد استفاده TCPDump: اعتبارنامه ها، کوکی ها، سرصفحه ها، URL، ضبط بسته از راه دور TCPDump use-cases: credentials, Cookies, headers, URL, remote packet capture

• بررسی و امکانات رابط Wireshark Wireshark interafce walkthrough and possibilities

• فیلترهای Wireshark، واژه نامه نحو، بررسی PCAP، زنجیره سازی، بازسازی HTML Wireshark filters, syntax glossary, PCAP investigation, chaining, HTML rebuild

• مدل TCP/IP در Wireshark مورد بازبینی قرار گرفت TCP/IP Model revisited in Wireshark

• آنالیز بسته با تجسم PCAP Packet analses with PCAP visualization

• گرفتن بسته ها در پیوندهای GNS3 با استفاده از Wireshark Capturing packets on GNS3 links using Wireshark

شروع پروژه شبکه شرکت Company Network Project Kickoff

• گردآوری الزامات پروژه و سند مشخصات Project requirements gathering and specifications document

• اشکال اصلی و کدهای رنگ پروژه در GNS3 Project's basic shapes and colour codes in GNS3

اضافه کردن سوئیچ های منبع باز (Cumulus Linux) Adding Open Source Switches (Cumulus Linux)

• نکته مهم: ارتقاء نسخه لینوکس کومولوس Important Note: Cumulus Linux Version Upgrade

• Nvidia Cumulus Linux - یک سوئیچ مبتنی بر لینوکس منبع باز Nvidia Cumulus Linux - An Open-Source Linux-based Switch

• دفتر مرکزی - ایجاد ارتباط فیزیکی با طراحی ستون فقرات Headquarter - Creating physical connectivity with spine-leaf design

• دفتر مرکزی - افزودن کلاینت های Alpine Linux Headquarter - Adding Alpine Linux clients

• Headquarter - Layer 2 Configuration - Interfaces and VLANs - Part1 Headquarter - Layer 2 Configuration - Interfaces and VLANs - Part1

• Headquarter - Layer 2 Configuration - Interfaces and VLANs - Part2 Headquarter - Layer 2 Configuration - Interfaces and VLANs - Part2

• دفتر مرکزی - پروتکل درخت پوشا (STP) در سوئیچ های لینوکس کومولوس Headquarter - Spanning Tree Protocol (STP) on Cumulus Linux switches

• Headquarter - ایجاد رابط های لایه مجازی 3 برای مدیریت VLAN Headquarter - Creating virtual layer 3 interfaces for management VLAN

• دفتر مرکزی - پیکربندی رابط های Bond، LAG و MLAG در Cumulus Linux - P1 Headquarter - Configuring Bond interfaces, LAG and MLAG in Cumulus Linux - P1

• دفتر مرکزی - پیکربندی رابط های Bond، LAG و MLAG در Cumulus Linux - P2 Headquarter - Configuring Bond interfaces, LAG and MLAG in Cumulus Linux - P2

• شعبه - آماده سازی شبکه در GNS3 Branch Office - Network Prepration in GNS3

• شعبه - سوئیچ پورت های Trunk & Access، رابط های VLAN، Bonds و MLAG Branch Office - Switches Trunk & Access ports, VLAN interfaces, Bonds & MLAG

افزودن 2 فایروال کلاستر: لینوکس nftables (Keepalived VRRP) و pfSense HA (CARP) Adding 2 Firewall Clusters: Linux nftables (Keepalived VRRP) & pfSense HA (CARP)

• اول منو بخون Read me first

• دفتر مرکزی - یک VM سفارشی برای خوشه سرور openSUSE Linux ایجاد کنید Headquarter - Create a custom VM for the openSUSE Linux Server cluster

• Headquarter - نوع آداپتورهای شبکه را به Paravirtualized Network I/O تغییر دهید Headquarter - Change network adapters type to Paravirtualized Network I/O

• دفتر مرکزی - ایجاد رابط های پیوند در openSUSE Linux با حالت LACP Headquarter - Creating bond interfaces on openSUSE Linux with LACP mode

• دفتر مرکزی - عیب یابی مشکلات اتصال بین خوشه ای Bond در Linux FW Headquarter - Troubleshooting inter-cluster Bond connectivity issues on Linux FW

• دفتر مرکزی - پیکربندی MLAG روی سوئیچ های کومولوس برای پیوندهای پیوند خوشه فایروال Headquarter - Configure MLAG on Cumulus switches for firewall cluster bond links

• Headquarter - رابط های VLAN مجازی را روی خوشه فایروال لینوکس پیکربندی کنید Headquarter - Configure virtual VLAN interfaces on linux firewall cluster

• دفتر مرکزی - IPv6 را در فایروال های لینوکس غیرفعال کنید Headquarter - Disable IPv6 on the Linux firewalls

• دفتر مرکزی - نصب keepalived (VRRP) در هر دو فایروال OpenSUSE Linux Headquarter - Installing keepalived (VRRP) on both OpenSUSE Linux firewalls

• Headquarter - پیکربندی keepalived (VRRP) برای فایروال OpenSUSE خوشه HA Headquarter - Configuring keepalived (VRRP) for OpenSUSE firewall HA cluster

• مقدمه ای بر فریم ورک نت فیلتر - قسمت 1 Introduction to netfilter framework - Part 1

• مقدمه ای بر فریمورک نت فیلتر - قسمت 2 Introduction to netfilter framework - Part 2

• دفتر مرکزی - سیاست های پیش فرض زنجیره های iptables را به افت واضح تغییر دهید Headquarter - Change default policies of iptables chains to explicit drop

• سرویس IPTables را در کلاستر فایروال openSUSE ایجاد کنید و سرویس را TShoot کنید Create IPTables service on openSUSE firewall cluster & TShooting the service

• دفتر مرکزی - سرویس iptables را در فایروال Slave ایجاد کنید Headquarter - Create iptables service on the slave firewall

• دفتر مرکزی - ارائه اینترنت به VLAN 20 با استفاده از قوانین MASQUERADE NAT Headquarter - Providing internet to VLAN 20 using MASQUERADE NAT rules

• دفتر مرکزی - سرور DHCP لینوکس را پیکربندی کنید تا محدوده IP خود را به هر VLAN اختصاص دهد Headquarter - Configure Linux DHCP Server to assign each VLAN's own IP range

• دفتر مرکزی - شروع به ایجاد قوانین iptables Inter-VLAN در کلاستر OpenSUSE FW کنید Headquarter - Start creating Inter-VLAN iptables rules on OpenSUSE FW cluster

• دفتر مرکزی - به ایجاد سیاست های Inter-VLAN iptables در کلاستر فایروال ادامه دهید Headquarter - Continue creating Inter-VLAN iptables policies on firewall cluster

• دفتر مرکزی - ایجاد قوانین iptables DNAT برای انتشار وب سرور از DMZ VLAN Headquarter - Creating iptables DNAT rules to publish web server from DMZ VLAN

• دفتر مرکزی - محدود کردن و ثبت حملات SSH Brute-force با ماژول RECENT iptables Headquarter - Restrict & log SSH Brute-force attacks with iptables RECENT module

• دفتر مرکزی - قوانین iptables را با gressgraph تجسم کنید Headquarter - Visualize iptables rules with gressgraph

• دفتر مرکزی - مبانی nftables Headquarter - nftables basics

• دفتر مرکزی - تبدیل قوانین iptables به nftable و ایجاد یک سرویس nft، P1 Headquarter - Transform iptables rules into nftables & create an nft service, P1

• دفتر مرکزی - تبدیل قوانین iptables به nftable و ایجاد یک سرویس nft، P2 Headquarter - Transform iptables rules into nftables & create an nft service, P2

• Headquarter - حملات Brute-force SSH را به مدت 5 دقیقه با لینوکس nftables محدود کنید Headquarter - Restrict SSH Brute-force attacks for 5 minutes with Linux nftables

• شعبه - نصب ماشین های pfSense در GNS3 Branch Office - Installing pfSense machines in GNS3

• شعبه - تخصیص مجدد رابط ها و شروع پیکربندی اولیه pfSense Branch Office - Reassigning the interfaces and start the initial pfSense config

• شعبه - رابط های pfSense، LAGG، رابط های VLAN و pfSync را پیکربندی کنید Branch Office - Configure pfSense interfaces, LAGG, VLAN interfaces and pfSync

• شعبه - راه اندازی pfSense با دسترسی بالا و MLAG بین Cumulus و pfSense Branch Office - Setup pfSense High-Availibity & MLAG between Cumulus and pfSense

• شعبه - سرور pfSense DHCP را برای مشتریان و VLANهای مدیریت پیکربندی کنید Branch Office - Configure pfSense DHCP server for clients and management VLANs

• شعبه - ایجاد نام مستعار در pfSense و اضافه کردن قوانین فایروال شناور و VLAN Branch Office - Create aliases in pfSense and add floating & VLAN firewall rules

• شعبه - ایجاد قوانین Inter-VLAN از Clients و Mgmt به DMZ در pfSense Branch Office - Create Inter-VLAN rules from Clients and Mgmt to DMZ on pfSense

• شعبه - راه اندازی UFW در وب سرور اوبونتو در DMZ و تست دسترسی بین VLAN Branch Office - Setup UFW on Ubuntu Web server in DMZ & test inter-VLAN access

• شعبه - DNAT یا Reverse NAT برای دسترسی به وب سرور در DMZ از اینترنت Branch Office - DNAT or Reverse NAT for web server access in DMZ from internet

افزودن فناوری‌های VPN منبع باز با استفاده از Strongswan IPSec، OpenVPN و Wireguard Adding Open Source VPN technologies using Strongswan IPSec, OpenVPN & Wireguard

• راه اندازی Site to Site VPN بین OpenSUSE Linux و pfSense با استفاده از Strongswan - P1 Setup Site to Site VPN between OpenSUSE Linux and pfSense using Strongswan - P1

• راه اندازی Site to Site VPN بین OpenSUSE Linux و pfSense با استفاده از Strongswan - P2 Setup Site to Site VPN between OpenSUSE Linux and pfSense using Strongswan - P2

• عیب یابی IPSec VPN از سایت به سایت بین OpenSUSE Linux و pfSense Troubleshooting Site to Site IPSec VPN between OpenSUSE Linux and pfSense

• آماده سازی سرور OpenVPN در pfSense - سرور CA، گواهینامه و افزونه صادرات Preparing OpenVPN server on pfSense - CA server, certificate & export plugin

• راه اندازی دسترسی از راه دور OpenVPN در pfSense و راه اندازی سرویس گیرنده اوبونتو OpenVPN دفتر خانه Setup OpenVPN remote access on pfSense & setup home-office Ubuntu OpenVPN client

• راه اندازی WireGuard VPN بین فایروال OpenSUSE و Ubuntu به عنوان مشتری IoT از راه دور Setup WireGuard VPN between OpenSUSE firewall and Ubuntu as remote IoT client

افزودن کنترل دسترسی به شبکه منبع باز (NAC) با استفاده از PacketFence Adding Open Source Network Access Control (NAC) using PacketFence

• NAC چگونه کار می کند؟ EAP، EAPoL، RADIUS، dot1x - P1 How NAC works? EAP, EAPoL, RADIUS, dot1x - P1

• NAC چگونه کار می کند؟ EAP، EAPoL، RADIUS، dot1x - P2 How NAC works? EAP, EAPoL, RADIUS, dot1x - P2

• نصب سرور NAC PacketFence در لینوکس دبیان Installing PacketFence NAC Server on a Debian Linux

• راه اندازی PacketFence Web Configurator Initializing PacketFence Web Configurator

• توسعه سرور دسترسی به شبکه (NAS) و FreeRADIUS با نمایه های MAB Deplying Network Access Server (NAS) and FreeRADIUS with MAB Profiles

• پیکربندی IEEE 802.1X، پارکینگ و تخصیص Dynamic VLAN در سوئیچ لینوکس کومولوس Configure IEEE 802.1X, Parking & Dynamic VLAN assignment on Cumulus Linux Switch

افزودن احراز هویت دو مرحله ای (2FA) به سرورهای SSH در مدیریت VLAN Adding Two-factor authentication (2FA) to SSH servers in management VLAN

• راه اندازی 2FA برای سرور SSH در میزبان پرش اوبونتو در مدیریت VLAN Setting up 2FA for SSH server on Ubuntu jump hosts in management VLAN

چقدر این شبکه را امن ساختیم؟ بیایید آن را پندار کنیم! How secure did we build this network? Let's pentest it!

• مقدمه ای بر تست نفوذ برای این پروژه Introduction to penetration testing for this project

• شناسایی شبکه ستادی با استفاده از NMAP Reconnaissance of headquarter network using NMAP

• اجرای SSH brute force علیه مقر با استفاده از یافته های NMAP ما Implementing SSH brute force against headquarter using our NMAP findings

• حمله مسمومیت ARP برای گرفتن ترافیک شبکه مرکزی به عنوان مثال. اعتبارنامه ARP Poisoning attack to capture headquarter network traffic e.g. credentials

• حمله گرسنگی DHCP در برابر سرور OpenSUSE DHCP در دفتر مرکزی (حمله DOS) DHCP starvation attack agains OpenSUSE DHCP server in headquarter (DOS attack)

• جعل DHCP توسط Yersinia در دفتر مرکزی برای منحرف کردن دروازه شبکه و DNS DHCP spoofing by Yersinia in headquarter to deviate the network gateway and DNS