{"id":459532,"date":"2025-05-13T21:00:28","date_gmt":"2025-05-13T21:00:28","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=459532"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=459532","title":{"rendered":"<span>\u0420\u0430\u0437\u0432\u043e\u0440\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u0435 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b OpenCTF \u0434\u043b\u044f AppSecFest 2025<\/span>"},"content":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/0ba\/110\/041\/0ba110041d249a54f7e81a8605732baf.jpg\" width=\"960\" height=\"1280\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/0ba\/110\/041\/0ba110041d249a54f7e81a8605732baf.jpg 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/0ba\/110\/041\/0ba110041d249a54f7e81a8605732baf.jpg 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>AppSecFest \u2014 \u044d\u0442\u043e \u0435\u0436\u0435\u0433\u043e\u0434\u043d\u043e\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0435, \u0433\u0434\u0435 \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u043f\u043e\u0437\u043d\u0430\u043a\u043e\u043c\u0438\u0442\u044c\u0441\u044f \u0441 \u043c\u0438\u0440\u043e\u043c \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0438 \u0443\u0437\u043d\u0430\u0442\u044c \u0431\u043e\u043b\u044c\u0448\u0435 \u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u0445 \u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u044f\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0445 \u043c\u043d\u043e\u0433\u0438\u043c\u0438 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044f\u043c\u0438 \u0443\u0436\u0435 \u0441\u0435\u0439\u0447\u0430\u0441.<\/p>\n<p>\u041d\u0430 \u0434\u0430\u043d\u043d\u043e\u043c \u043c\u0435\u0440\u043e\u043f\u0440\u0438\u044f\u0442\u0438\u0438 \u043d\u0430\u0448\u0430 \u043a\u043e\u043c\u0430\u043d\u0434\u0430 mimicats \u0432\u044b\u0441\u0442\u0443\u043f\u0430\u043b\u0430 \u0432 \u0440\u043e\u043b\u0438 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0442\u043e\u0440\u043e\u0432 \u0438 \u043c\u044b \u0440\u0435\u0448\u0438\u043b\u0438 \u0440\u0430\u0437\u0431\u0430\u0432\u0438\u0442\u044c \u0432\u044b\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u044f \u0441\u043f\u0438\u043a\u0435\u0440\u043e\u0432 \u0438 \u043f\u0440\u0435\u0437\u0435\u043d\u0442\u0430\u0446\u0438\u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u0431\u043e\u043b\u0435\u0435 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u043c\u0438 \u0438 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u043c\u0438 \u0437\u0430\u0434\u0430\u043d\u0438\u044f\u043c\u0438.<\/p>\n<p>\u041d\u0430\u043c\u0438 \u0431\u044b\u043b\u043e \u0441\u0434\u0435\u043b\u0430\u043d\u043e Play Zone, \u0433\u0434\u0435 \u0443\u0447\u0430\u0441\u0442\u0432\u0443\u044f \u0432 \u0438\u043d\u0442\u0435\u0440\u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0445 \u0438\u0433\u0440\u0430\u0445 \u0438 \u043a\u0432\u0438\u0437\u0430\u0445 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0445 \u0441 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c\u044e \u0432\u044b \u043c\u043e\u0433\u043b\u0438 \u0437\u0430\u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043a\u043e\u0438\u043d\u044b \u0434\u043b\u044f \u043f\u043e\u043a\u0443\u043f\u043a\u0438 \u044d\u043a\u0441\u043a\u043b\u044e\u0437\u0438\u0432\u043d\u043e\u0433\u043e \u043c\u0435\u0440\u0447\u0430.<br \/>\u0410 \u0442\u0430\u043a\u0436\u0435 \u043c\u044b \u0440\u0435\u0448\u0438\u043b\u0438 \u043f\u0440\u043e\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0446\u0435\u043b\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u0434\u043b\u044f \u0434\u0430\u043d\u043d\u043e\u0433\u043e \u043c\u0435\u0440\u043e\u043f\u0440\u0438\u044f\u0442\u0438\u044f \u0438 \u043f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0441\u043e\u0440\u0435\u0432\u043d\u043e\u0432\u0430\u043d\u0438\u044f, \u0433\u0434\u0435 \u043f\u0440\u0438\u043d\u044f\u043b\u0438 \u0443\u0447\u0430\u0441\u0442\u0438\u0435 \u043a\u0430\u043a \u0438 \u0443\u0436\u0435 \u0431\u044b\u0432\u0430\u043b\u044b\u0435 \u0418\u0411-\u0448\u043d\u0438\u043a\u0438, \u0442\u0430\u043a \u0438 \u0441\u043e\u0432\u0441\u0435\u043c \u0437\u0435\u043b\u0435\u043d\u043d\u044b\u0435 \u043d\u043e\u0432\u0438\u0447\u043a\u0438. <\/p>\n<p>\u0414\u0430\u043b\u044c\u0448\u0435 \u0443\u0436\u0435 \u043f\u043e\u0439\u0434\u0435\u0442 \u0431\u043e\u043b\u044c\u0448\u0435 \u043f\u0440\u043e \u0442\u043e, \u0447\u0442\u043e \u0431\u044b\u043b\u043e \u0441\u0434\u0435\u043b\u0430\u043d\u043e, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0432\u0435\u043a\u0442\u043e\u0440 \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043c\u044b \u0434\u0432\u0438\u0433\u0430\u043b\u0438\u0441\u044c \u043f\u0440\u0438 \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0438\u0438 \u0434\u0430\u043d\u043d\u043e\u0439 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b.<\/p>\n<p><strong>\u041f\u043b\u0430\u043d \u0441\u0442\u0430\u0442\u044c\u0438:<\/strong><\/p>\n<p>1) \u0410\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u0438 \u043d\u0435\u043c\u043d\u043e\u0433\u043e \u0432\u043e\u0434\u044b<br \/> 2) \u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 OpenVPN<br \/> 3) \u0422\u0435\u043b\u0435\u0433\u0440\u0430\u043c \u0431\u043e\u0442\u044b\u044b<br \/> 4) CTFd<br \/> 5) Wazuh<br \/> 6) Zabbix<\/p>\n<p><strong>\u0410\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043f\u0440\u043e\u0435\u043a\u0442\u0430:<\/strong><\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/534\/d04\/473\/534d044730eae8d9f71cde5bfa429f14.png\" width=\"1567\" height=\"955\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/534\/d04\/473\/534d044730eae8d9f71cde5bfa429f14.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/534\/d04\/473\/534d044730eae8d9f71cde5bfa429f14.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u041e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0438\u0434\u0435\u0435\u0439 \u0443 \u043d\u0430\u0441 \u0431\u044b\u043b\u043e \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u0443\u044e \u0441\u0438\u0441\u0442\u0435\u043c\u0443, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u043c\u043e\u0433\u043b\u0438 \u0431\u044b \u043a\u043e\u043c\u0444\u043e\u0440\u0442\u043d\u043e \u0440\u0435\u0448\u0430\u0442\u044c \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u0438 \u043c\u044b \u0432\u0438\u0434\u0435\u043b\u0438 \u0435\u0441\u043b\u0438 \u0431\u044b \u043e\u043d\u0438 \u0441\u043e\u0432\u0430\u043b\u0438 \u043d\u043e\u0441\u044b \u043a\u0443\u0434\u0430 \u043d\u0435 \u0441\u0442\u043e\u0438\u0442)<\/p>\n<p>\u0418 \u0441\u0442\u043e\u0438\u0442 \u0437\u0430\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u0442\u0443\u0442 \u0441\u043a\u043e\u0440\u0435\u0435 \u043d\u0435 \u043f\u0440\u043e \u0442\u043e \u043a\u0430\u043a <strong>\u041d\u0423\u0416\u041d\u041e <\/strong>\u0434\u0435\u043b\u0430\u0442\u044c, \u0430 \u043f\u0440\u043e \u0442\u043e \u043a\u0430\u043a \u0432\u0438\u0434\u0435\u043b\u0438 \u0438 \u0445\u043e\u0442\u0435\u043b\u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u043c\u044b.<\/p>\n<p><strong>OpenVPN\u00a0<\/strong><\/p>\n<p>\u0412\u0430\u0436\u043d\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u0438\u043d\u0444\u0440\u044b, \u0442\u0430\u043a \u043a\u0430\u043a \u043d\u0430\u043c \u043d\u0430\u0434\u043e \u0431\u044b\u043b\u043e \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043d\u0430\u0448\u0438\u043c \u0437\u0430\u0434\u0430\u043d\u0438\u044f\u043c \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0441\u0438\u043b\u044c\u043d\u0435\u0435 \u0438 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u0435.<\/p>\n<p>\u0411\u044b\u043b\u043e \u043f\u043e\u0434\u043d\u044f\u0442\u043e 2 Openvpn<\/p>\n<p>1) \u0414\u043b\u044f \u043e\u0431\u044b\u0447\u043d\u044b\u0445 \u044e\u0437\u0435\u0440\u043e\u0432 \u0431\u0435\u0437 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438\u00a0 &#8212; \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0432\u0435\u0431 \u0442\u0430\u0441\u043a\u0430\u043c \u0438 CTFd\u00a0<\/p>\n<p>2) \u0414\u043b\u044f \u0430\u0434\u043c\u0438\u043d\u043e\u0432 \u0441 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0435\u0439 &#8212; \u0434\u043e\u0441\u0442\u0443\u043f \u043a SIEM(Wazuh), Zabbix, \u0432\u0435\u0431 \u0442\u0430\u0441\u043a\u0430\u043c \u0438 CTFd \u043f\u043e ssh\u00a0<\/p>\n<blockquote>\n<p><code>sudo apt update sudo apt install openvpn easy-rsa  make-cadir ~\/openvpn-ca cd ~\/openvpn-ca .\/easyrsa init-pki .\/easyrsa build-ca  # \u0437\u0430\u0434\u0430\u0439\u0442\u0435 \u0438\u043c\u044f \u0438 \u043f\u0430\u0440\u043e\u043b\u044c CA .\/easyrsa gen-req server_non_auth nopass .\/easyrsa sign-req server server_non_auth .\/easyrsa gen-req server_auth nopass .\/easyrsa sign-req server server_auth .\/easyrsa gen-dh openvpn --genkey secret ta.key<\/code> <\/p>\n<\/blockquote>\n<p>\u0417\u0430\u0442\u0435\u043c \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u043a\u043e\u043d\u0444\u0438\u0433\u043e\u0432<\/p>\n<ol>\n<li>\n<p>\u0434\u043b\u044f \u044e\u0437\u0435\u0440\u043e\u0432:<\/p>\n<\/li>\n<\/ol>\n<blockquote>\n<p><code>nano \/etc\/openvpn\/server\/server_non_auth.conf port 1194 proto udp dev tun  topology subnet  ; \u041f\u0443\u0442\u0438 \u043a \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430\u043c \u0438 \u043a\u043b\u044e\u0447\u0430\u043c ca \/etc\/openvpn\/ca.crt cert \/etc\/openvpn\/server_non_auth.crt key \/etc\/openvpn\/server_non_auth.key dh \/etc\/openvpn\/dh.pem ; tls-auth \/etc\/openvpn\/ta.key 0   # \u0420\u0430\u0437\u0440\u0435\u0448\u0430\u0435\u043c \u0437\u0430\u043f\u0443\u0441\u043a \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432 script-security 3  # \u041f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0435\u043c \u0441\u043a\u0440\u0438\u043f\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u0437\u044b\u0432\u0430\u0442\u044c\u0441\u044f \u043f\u0440\u0438 \u043a\u0430\u0436\u0434\u043e\u043c \u0432\u0445\u043e\u0434\u044f\u0449\u0435\u043c \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 client-connect \/etc\/openvpn\/scripts\/<\/code><a href=\"http:\/\/client-connect.sh\" rel=\"noopener noreferrer nofollow\"><code>client-connect.sh<\/code><\/a><code>  ; \u0417\u0430\u0434\u0430\u0451\u043c \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043f\u0443\u043b IP (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, 10.10.10.0\/24) server 10.10.10.0 255.255.255.0 ifconfig-pool-persist \/etc\/openvpn\/ipp_non_auth.txt  ; \u0420\u0430\u0437\u0434\u0430\u0447\u0430 \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0430 \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0441\u0435\u0442\u0438 192.168.52.0\/24 push \"route 192.168.52.0 255.255.255.0\"  keepalive 10 120 cipher AES-256-CBC persist-key persist-tun status \/var\/log\/openvpn_non_auth_status.log verb 3  <\/code><\/p>\n<p><code>client-connect \/etc\/openvpn\/scripts\/<\/code><a href=\"http:\/\/client-connect.sh\" rel=\"noopener noreferrer nofollow\"><code>client-connect.sh<\/code><\/a><code> - \u0434\u0430\u043d\u043d\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u043a\u043e\u0434\u0430 \u043d\u0443\u0436\u043d\u0430 \u0434\u043b\u044f \u0442\u043e\u0433\u043e \u0447\u0442\u043e\u0431\u044b \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u043b\u0441\u044f \u0441\u043a\u0440\u0438\u043f\u0442 <\/code><a href=\"http:\/\/client-connect.sh\" rel=\"noopener noreferrer nofollow\"><code>client-connect.sh<\/code><\/a><code> \u043f\u0440\u0438 \u043a\u0430\u0436\u0434\u043e\u043c \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043a\u043b\u0438\u0435\u043d\u0442\u0430  #!\/bin\/bash # \/etc\/openvpn\/scripts\/<\/code><a href=\"http:\/\/client-connect.sh\" rel=\"noopener noreferrer nofollow\"><code>client-connect.sh<\/code><\/a><code>  LOGFILE=\"\/var\/log\/openvpn-client-connect.json\"  # \u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043c\u0435\u0442\u043a\u0443 \u0432\u0440\u0435\u043c\u0435\u043d\u0438 timestamp=$(date '+%Y-%m-%dT%H:%M:%S%z')  # \u0424\u043e\u0440\u043c\u0438\u0440\u0443\u0435\u043c JSON-\u0441\u0442\u0440\u043e\u043a\u0443 json=\"{\\\"timestamp\\\":\\\"${timestamp}\\\",\\ \\\"event\\\":\\\"client-connect\\\",\\ \\\"common_name\\\":\\\"${common_name}\\\",\\ \\\"untrusted_ip\\\":\\\"${untrusted_ip}\\\",\\ \\\"untrusted_port\\\":\\\"${untrusted_port}\\\",\\ \\\"vpn_ip\\\":\\\"${ifconfig_pool_remote_ip}\\\"}\"   echo \"${json}\" &gt;&gt; \"${LOGFILE}\"   exit 0<\/code> <\/p>\n<\/blockquote>\n<p>\u0414\u0430\u043d\u043d\u044b\u0439 \u0441\u043a\u0440\u0438\u043f\u0442 \u043d\u0443\u0436\u0435\u043d \u0434\u043b\u044f \u043b\u043e\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0438\u0445 \u0432 \u043d\u0430\u0448\u0443 SIEM.<br \/>\u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u043b\u043e \u043d\u0430\u043c \u0443\u0434\u043e\u0431\u043d\u043e \u0441\u043b\u0435\u0434\u0438\u0442\u044c \u0437\u0430 \u0442\u0435\u043c, \u043a\u0442\u043e \u0438 \u043a\u043e\u0433\u0434\u0430 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u043b\u0441\u044f.<\/p>\n<p>\u0412 \u0438\u0442\u043e\u0433\u0435 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043b\u043e\u0433\u0438 \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 json \u0434\u043b\u044f \u0443\u0434\u043e\u0431\u043d\u043e\u0439 \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0432 Wazuh<\/p>\n<blockquote>\n<p><code>[root@vpn-rocky openvpn]# cat \/var\/log\/openvpn-client-connect.json\u00a0<\/code><\/p>\n<p><code>{\"timestamp\":\"2025-04-22T19:21:21+0000\",\"event\":\"client-connect\",\"common_name\":\"client1\",\"untrusted_ip\":\"176.64.21.98\",\"untrusted_port\":\"27086\",\"vpn_ip\":\"10.10.10.4\"}<\/code><\/p>\n<p><code>{\"timestamp\":\"2025-04-23T00:25:10+0500\",\"event\":\"client-connect\",\"common_name\":\"client1\",\"untrusted_ip\":\"176.64.21.98\",\"untrusted_port\":\"29515\",\"vpn_ip\":\"10.10.10.4\"}<\/code><\/p>\n<\/blockquote>\n<ol>\n<li>\n<p>\u0434\u043b\u044f \u0430\u0434\u043c\u0438\u043d\u043e\u0432<\/p>\n<\/li>\n<\/ol>\n<p>\u0422\u0430\u043a\u0430\u044f \u0436\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u043d\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u0432\u044b\u0434\u0430\u0447\u0430 \u0430\u0434\u043c\u0438\u043d\u0430\u043c IP \u0438\u0437 \u043f\u043e\u0434\u0441\u0435\u0442\u0438 10.69.69.0\/24\u00a0 \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0430\u0434\u043c\u0438\u043d\u0441\u043a\u043e\u0439 \u043f\u043e\u0434\u0441\u0435\u0442\u0438 192.168.69.0\/24<\/p>\n<p>\u0422\u0430\u043a\u0436\u0435 \u0434\u043e\u0431\u0430\u0432\u0438\u043b\u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044e. \u0410\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044f \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442\u044c \u0447\u0435\u0440\u0435\u0437 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u043b\u043e\u0433\u0438\u043d\u0430\/\u043f\u0430\u0440\u043e\u043b\u044f \u0447\u0435\u0440\u0435\u0437 PAM.<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/a75\/e8c\/d95\/a75e8cd95a356045224ce9fbdab90a43.png\" width=\"528\" height=\"207\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/a75\/e8c\/d95\/a75e8cd95a356045224ce9fbdab90a43.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/a75\/e8c\/d95\/a75e8cd95a356045224ce9fbdab90a43.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0414\u0430\u043b\u0435\u0435 \u0438\u0434\u0435\u0442 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0441\u0435\u0442\u0438 \u0434\u043b\u044f \u0442\u043e\u0433\u043e \u0447\u0442\u043e\u0431\u044b \u044e\u0437\u0435\u0440\u044b \u043c\u043e\u0433\u043b\u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u0441\u0435\u0442\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0412\u041f\u041d.<\/p>\n<p><strong>\u0422\u0435\u043b\u0435\u0433\u0440\u0430\u043c \u0431\u043e\u0442\u044b<\/strong><\/p>\n<p>\u041d\u0430\u0434\u043e \u0431\u044b\u043b\u043e \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u043b\u0443\u0447\u0448\u0435 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432\u0441\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b, \u0442\u0430\u043a \u043a\u0430\u043a \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043b\u044e\u0434\u0435\u0439 \u0443 \u043d\u0430\u0441 \u0431\u044b\u043b\u043e \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043e \u0438 \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0432\u044b\u0434\u0435\u043b\u044f\u0442\u044c \u043b\u044e\u0434\u0435\u0439 \u043d\u0430\u043c \u043d\u0435 \u0445\u043e\u0442\u0435\u043b\u043e\u0441\u044c.<\/p>\n<p>\u0410\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043c\u044b \u0440\u0435\u0448\u0438\u043b\u0438 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b:<\/p>\n<p> 1. \u0412\u044b\u0434\u0430\u0447\u0430 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u0432.<br \/> 2. \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 <br \/> 3. \u041e\u0437\u0432\u0443\u0447\u043a\u0430 First Blood&#8217;\u043e\u0432 <\/p>\n<ol>\n<li>\n<p>\u0411\u043e\u0442 \u0434\u043b\u044f \u0440\u0430\u0437\u0434\u0430\u0447\u0438 \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u0440\u0435\u0434\u043e\u0432 \u0438 openvpn \u0444\u0430\u0439\u043b\u043e\u0432 \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a CTFd \u0438 \u0442\u0430\u0441\u043a\u0430\u043c<\/p>\n<\/li>\n<\/ol>\n<p>\u0421\u0434\u0435\u043b\u0430\u0442\u044c \u0442\u0430\u043a \u0447\u0442\u043e\u0431\u044b \u043e\u0434\u043d\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043c\u043e\u0433 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0432\u0441\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u044b, \u0431\u044b\u043b\u043e \u043b\u0435\u0433\u043a\u043e.<br \/>\u041e\u0434\u043d\u0430\u043a\u043e, \u043d\u0430\u0434\u043e \u0431\u044b\u043b\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0442\u0430\u043a, \u0447\u0442\u043e\u0431\u044b \u044d\u0442\u043e\u0442 \u0436\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043d\u0435 \u043c\u043e\u0433 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f\u044b \u0434\u043b\u044f \u0435\u0449\u0435 \u043e\u0434\u043d\u043e\u0439 \u0443\u0447\u0435\u0442\u043a\u0438, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043c\u044b \u0440\u0435\u0448\u0438\u043b\u0438 \u0447\u0442\u043e\u0431\u044b \u0431\u043e\u0442 \u0441\u043e\u0431\u0438\u0440\u0430\u043b <code>user_id<\/code> \u0438 \u043f\u0440\u0438\u043f\u0438\u0441\u044b\u0432\u0430\u043b \u0438\u0445 \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u043f\u0430\u0440\u044b \u043b\u043e\u0433\u0438\u043d, \u043f\u0430\u0440\u043e\u043b\u044c+vpn \u043a\u043e\u043d\u0444\u0438\u0433.<\/p>\n<p>\u041f\u043e \u0438\u0442\u043e\u0433\u0443 \u043f\u0440\u043e\u0441\u0442\u0435\u043d\u044c\u043a\u0438\u0439 \u0431\u043e\u0442, \u043d\u043e \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u0438\u043b\u044c\u043d\u043e \u043f\u043e\u043c\u043e\u0433 \u043d\u0430\u043c \u0441 \u0432\u044b\u0434\u0430\u0447\u0435\u0439 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u0432, \u0432\u0435\u0434\u044c \u043f\u043e\u0442\u043e\u043a \u043b\u044e\u0434\u0435\u0439 \u0431\u044b\u043b \u043d\u0430 \u043f\u0440\u043e\u0442\u044f\u0436\u0435\u043d\u0438\u0438 \u0432\u0441\u0435\u0433\u043e \u0441\u043e\u0440\u0435\u0432\u043d\u043e\u0432\u0430\u043d\u0438\u044f.<\/p>\n<p>\u041f\u0440\u0438\u043c\u0435\u0440 \u0440\u0430\u0431\u043e\u0442\u044b:<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/dc9\/3ee\/571\/dc93ee57178fc796c3a9a7a8f68959d7.png\" width=\"746\" height=\"874\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/dc9\/3ee\/571\/dc93ee57178fc796c3a9a7a8f68959d7.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/dc9\/3ee\/571\/dc93ee57178fc796c3a9a7a8f68959d7.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<hr\/>\n<p>      2. Support bot<\/p>\n<p>\u041e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u043e\u0432 \u044d\u0442\u043e \u043e\u0434\u043d\u0430 \u0438\u0437 \u043d\u0435\u043e\u0442\u044a\u0435\u043c\u043b\u0435\u043c\u044b\u0445 \u0447\u0430\u0441\u0442\u0435\u0439 \u043b\u044e\u0431\u043e\u0439 \u0421\u0422\u0424\u043a\u0438, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0442\u0443\u0442 \u044f \u0440\u0435\u0448\u0438\u043b \u043f\u0440\u043e\u0441\u0442\u043e \u043e\u0431\u043b\u0435\u0433\u0447\u0438\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0443 \u0430\u0434\u043c\u0438\u043d\u0430\u043c, \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u043b \u0437\u0430\u043f\u0440\u043e\u0441\u044b \u0447\u0435\u0440\u0435\u0437 \u0442\u0435\u043b\u0435\u0433\u0440\u0430\u043c:<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/081\/460\/95d\/08146095d1d72ed064cd0ea66d822b1c.png\" width=\"749\" height=\"187\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/081\/460\/95d\/08146095d1d72ed064cd0ea66d822b1c.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/081\/460\/95d\/08146095d1d72ed064cd0ea66d822b1c.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0410 \u043c\u044b \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043b\u0438 \u0438\u0445 \u0432 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e\u043c \u043c\u0435\u0441\u0441\u0435\u043d\u0434\u0436\u0435\u0440\u0435:<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/9f9\/acb\/eb0\/9f9acbeb093c8c3b6a30a56f1df0774c.png\" width=\"1600\" height=\"556\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/9f9\/acb\/eb0\/9f9acbeb093c8c3b6a30a56f1df0774c.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/9f9\/acb\/eb0\/9f9acbeb093c8c3b6a30a56f1df0774c.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e53\/9ac\/aaa\/e539acaaa0fee0e724a3f763390d7c67.png\" width=\"1107\" height=\"548\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/e53\/9ac\/aaa\/e539acaaa0fee0e724a3f763390d7c67.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e53\/9ac\/aaa\/e539acaaa0fee0e724a3f763390d7c67.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<div class=\"floating-image\">\n<p>    3. First Blood <\/p>\n<p>\u0412\u043e\u0442 \u0442\u0443\u0442 \u0431\u044b\u043b\u043e \u0441\u043b\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u0434\u0443\u043c\u0430\u0442\u044c \u043a\u0430\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u043e\u0437\u0432\u0443\u0447\u043a\u0443 \u0432\u0441\u0435\u0445 First Blood-\u043e\u0432<br \/>\u0422\u0430\u043a \u043a\u0430\u043a \u0443 \u043d\u0430\u0441 \u0431\u044b\u043b \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 VPN, \u044f \u0440\u0435\u0448\u0438\u043b \u0441\u043e \u0441\u0432\u043e\u0435\u0433\u043e \u043d\u043e\u0443\u0442\u0430 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u0442\u044c SSH \u0442\u0443\u043d\u0435\u043b\u044c \u0434\u043e \u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0441 CTFd.<br \/>\u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0447\u0442\u043e\u0431\u044b \u043f\u0440\u0438 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0438 \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435 CTFd \u043d\u0430 localhost:6000 \u044d\u0442\u043e\u0442 \u0437\u0430\u043f\u0440\u043e\u0441 \u043e\u0431\u0440\u0430\u0449\u0430\u043b\u0441\u044f \u043d\u0430 localhost:5000 \u043c\u043e\u0435\u0433\u043e \u043d\u043e\u0443\u0442\u0430.<\/p>\n<p> \u041a\u043e\u043c\u0430\u043d\u0434\u0430 \u0434\u043b\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f(\u0441 \u043c\u043e\u0435\u0433\u043e \u043d\u043e\u0443\u0442\u0430):<br \/><code>ssh -4 -N  -o ServerAliveInterval=30  -o ServerAliveCountMax=3  -R 127.0.0.1:6000:127.0.0.1:5000 user@{ctfd_ip} <\/code><\/p>\n<\/div>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/25f\/4ff\/ce8\/25f4ffce805190466ad16c80e3e8fc98.png\" width=\"701\" height=\"636\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/25f\/4ff\/ce8\/25f4ffce805190466ad16c80e3e8fc98.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/25f\/4ff\/ce8\/25f4ffce805190466ad16c80e3e8fc98.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u041a\u0430\u043a \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u043e\u0437\u0432\u0443\u0447\u043a\u0430 First Blood:<\/p>\n<p><a href=\"https:\/\/drive.google.com\/drive\/folders\/1qaVZQR3AvCD5d4CztWlri06cCkHjBixr?usp=sharing\" rel=\"noopener noreferrer nofollow\">https:\/\/drive.google.com\/drive\/folders\/1qaVZQR3AvCD5d4CztWlri06cCkHjBixr?usp=sharing<\/a><\/p>\n<hr\/>\n<p><strong>CTFd<\/strong><\/p>\n<p>\u0420\u0430\u0437\u0432\u043e\u0440\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u0435 CTFd \u0431\u044b\u043b\u043e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0435 \u0441 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430, \u043d\u043e \u0440\u0435\u0448\u0438\u043b\u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u0434\u0438\u0437\u0430\u0439\u043d \u043f\u043e\u0434 \u044d\u0442\u0443 \u0441\u043e\u0440\u0435\u0432\u0443.<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d04\/9e0\/984\/d049e0984a86c2b3c9975187753f2d5f.png\" width=\"1486\" height=\"951\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/d04\/9e0\/984\/d049e0984a86c2b3c9975187753f2d5f.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d04\/9e0\/984\/d049e0984a86c2b3c9975187753f2d5f.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/821\/6e3\/f98\/8216e3f987e1c2b49f512c413390c4ca.png\" width=\"1482\" height=\"743\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/821\/6e3\/f98\/8216e3f987e1c2b49f512c413390c4ca.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/821\/6e3\/f98\/8216e3f987e1c2b49f512c413390c4ca.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/b23\/73d\/ac8\/b2373dac8510d2dcb99cf934d7bde77a.png\" width=\"1380\" height=\"762\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/b23\/73d\/ac8\/b2373dac8510d2dcb99cf934d7bde77a.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/b23\/73d\/ac8\/b2373dac8510d2dcb99cf934d7bde77a.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/522\/507\/3d6\/5225073d6b5b48c311ffa161d55d6b3c.png\" width=\"1539\" height=\"948\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/522\/507\/3d6\/5225073d6b5b48c311ffa161d55d6b3c.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/522\/507\/3d6\/5225073d6b5b48c311ffa161d55d6b3c.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<hr\/>\n<p><strong>SIEM Wazuh<\/strong><\/p>\n<p>\u0412 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 SIEM \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0438 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u043b\u043e\u0433\u043e\u0432 \u043c\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 Wazuh.<\/p>\n<p>\u0414\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u043b\u043e\u0433\u043e\u0432 \u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c Wazuh-agent, Packetbeat (\u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0432 Logstash \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435 \u0441 Wazuh \u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u0442\u0440\u0430\u0444\u0438\u043a\u0430), Filebeat (\u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0432 Logstash \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435 \u0441 Wazuh \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0445 \u043b\u043e\u0433\u043e\u0432), Logstash (\u0434\u043b\u044f \u043f\u0440\u0438\u043d\u044f\u0442\u0438\u0435 \u043b\u043e\u0433\u043e\u0432 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0432 Wazuh).<\/p>\n<p>\u0423\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c packetbeat \u043d\u0430 \u0445\u043e\u0441\u0442 \u0441 VPN \u0434\u043b\u044f \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u0438 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c:<\/p>\n<blockquote>\n<p><code>[rockylinux@vpn-rocky packetbeat]$ sudo cat packetbeat.yml  packetbeat.interfaces.device: any packetbeat.interfaces.poll_default_route: 1m packetbeat.interfaces.internal_networks:   - private  packetbeat.flows:   timeout: 30s   period: 10s  packetbeat.protocols:   - type: icmp     enabled: true    - type: http     include_body_for: [\"application\/json\", \"text\/html\", \"application\/xml\"]     ports: [80, 8080, 8000, 5000, 8002,8088]     send_headers: true     send_all_headers: true     send_request: true     send_response: true    - type: tls     ports:       - 443       - 993       - 995       - 5223       - 8443       - 8883       - 9243    - type: dns     ports: [53]    - type: mysql     ports: [3306, 3307]    - type: pgsql     ports: [5432]    - type: redis     ports: [6379]    - type: mongodb     ports: [27017]    - type: memcache     ports: [11211]    - type: thrift     ports: [9090]    - type: nfs     ports: [2049]    - type: cassandra     ports: [9042]    - type: amqp     ports: [5672]    - type: dhcpv4     ports: [67, 68]    - type: sip     ports: [5060]  setup.template.settings:   index.number_of_shards: 1  processors:   - drop_event.when.not.or:       - network.source.ip: \"10.69.69.0\/24\"       - network.source.ip: \"10.10.10.0\/24\"    - drop_fields:       fields:         - host.hostname         - <\/code><a href=\"http:\/\/host.name\" rel=\"noopener noreferrer nofollow\"><code>host.name<\/code><\/a><code>         - host.architecture         - host.os.*         - host.containerized         - cloud         - ecs         - agent         - docker         - container         - related         - tags         - input         - service         - event.dataset         - event.kind         - user_agent.device         - url.query         - status         - status_phrase         - http.request.headers         - http.response.headers  output.logstash:   hosts: [\"192.168.69.140:5000\"] <\/code><\/p>\n<\/blockquote>\n<p>\u0423\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c filebeat \u0438 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0445 \u043b\u043e\u0433\u043e\u0432 \u043e \u0441\u0442\u0430\u0442\u0443\u0441\u0430\u0445 \u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f\u0445 \u0432 OpenVPN:<\/p>\n<blockquote>\n<p><code>[rockylinux@vpn-rocky filebeat]$ sudo cat filebeat.yml filebeat.inputs:   - type: log     enabled: true     paths:       - \/var\/log\/openvpn.log     fields:       category: openvpn       log_type: main    - type: log     enabled: true     paths:       - \/var\/log\/openvpn_auth_status.log     fields:       category: openvpn       log_type: auth    - type: log     enabled: true     paths:       - \/var\/log\/openvpn_non_auth.log     fields:       category: openvpn       log_type: non_auth    - type: log     enabled: true     paths:       - \/var\/log\/openvpn-client-connect.log     fields:       category: openvpn       log_type: connect    - type: log     enabled: true     paths:       - \/var\/log\/openvpn_non_auth_status.log     fields:       category: openvpn       log_type: non_auth_status    - type: log     enabled: true     paths:       - \/var\/log\/openvpn-client-connect.json     json.keys_under_root: true     json.add_error_key: true     fields:       category: openvpn       log_type: client_connect   output.logstash:   hosts: [\"192.168.69.140:5000\"]<\/code> <\/p>\n<\/blockquote>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c Logstash \u0438 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c \u0435\u0433\u043e \u043d\u0430 \u043f\u0440\u0438\u043d\u044f\u0442\u0438\u044f\u0445 \u044d\u0442\u0438\u0445 \u043b\u043e\u0433\u043e\u0432 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0435 \u043a Wazuh:<\/p>\n<blockquote>\n<p><code>root@wazuh-zabbix:\/etc\/logstash\/conf.d# cat wazuh-opensearch.conf  input {   beats {     port =&gt; 5000     ssl =&gt; false   } }   filter {   if [fields][log_type] == \"json_connect\" {     json {       source =&gt; \"message\"       skip_on_invalid_json =&gt; true     }      date {       match =&gt; [\"timestamp\", \"ISO8601\"]       target =&gt; \"@timestamp\"       timezone =&gt; \"UTC\"     }   }    if [@metadata][beat] == \"filebeat\" {     mutate {       remove_field =&gt; [         \"@version\",         \"[agent]\",         \"ecs.version\",         \"[host][name]\",         \"[input][type]\",         \"[log]\",         \"tags\"       ]     }   } }    output {   if [@metadata][beat] == \"filebeat\" and [fields][category] == \"openvpn\" {     opensearch {       hosts =&gt; [\"<\/code><a href=\"https:\/\/localhost:9200\" rel=\"noopener noreferrer nofollow\"><code>https:\/\/localhost:9200<\/code><\/a><code>\"]       index =&gt; \"openvpn-%{[fields][log_type]}-%{+<\/code><a href=\"http:\/\/YYYY.MM\" rel=\"noopener noreferrer nofollow\"><code>YYYY.MM<\/code><\/a><code>.dd}\"       user =&gt; \"admin\"       password =&gt; \"wazuhpassword\"       ssl =&gt; true       ssl_certificate_verification =&gt; false     }   }   else if [@metadata][beat] == \"filebeat\" {     opensearch {       hosts =&gt; [\"<\/code><a href=\"https:\/\/localhost:9200\" rel=\"noopener noreferrer nofollow\"><code>https:\/\/localhost:9200<\/code><\/a><code>\"]       index =&gt; \"submissions\"       user =&gt; \"admin\"       password =&gt; \"wazuhpassword\"       ssl =&gt; true       ssl_certificate_verification =&gt; false     }   }   else if [@metadata][beat] == \"packetbeat\" {     opensearch {       hosts =&gt; [\"<\/code><a href=\"https:\/\/localhost:9200\" rel=\"noopener noreferrer nofollow\"><code>https:\/\/localhost:9200<\/code><\/a><code>\"]       index =&gt; \"packetbeat-logs-%{+<\/code><a href=\"http:\/\/YYYY.MM\" rel=\"noopener noreferrer nofollow\"><code>YYYY.MM<\/code><\/a><code>.dd}\"       user =&gt; \"admin\"       password =&gt; \"R.z9oDh6j9paU5UYlYtH*MKQ+IoUMUWR\"       ssl =&gt; true       ssl_certificate_verification =&gt; false     }   } } <\/code><\/p>\n<\/blockquote>\n<hr\/>\n<p>\u0427\u0442\u043e \u0435\u0449\u0435 \u0434\u0435\u043b\u0430\u043b\u0438 \u043d\u0430 Wazuh:<\/p>\n<ol>\n<li>\n<p>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0439 \u043f\u0440\u0430\u0432\u0438\u043b \u0438 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432<\/p>\n<\/li>\n<\/ol>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/a07\/c7c\/db3\/a07c7cdb359161c0a42712bb691bb3a9.png\" width=\"1600\" height=\"809\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/a07\/c7c\/db3\/a07c7cdb359161c0a42712bb691bb3a9.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/a07\/c7c\/db3\/a07c7cdb359161c0a42712bb691bb3a9.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<ol start=\"2\">\n<li>\n<p>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0445 \u0438\u043d\u0434\u0435\u043a\u0441\u043e\u0432\u00a0<\/p>\n<\/li>\n<\/ol>\n<figure class=\"\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/37e\/c2a\/f18\/37ec2af188fee2726b233f2078fc18e6.png\" width=\"366\" height=\"233\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/37e\/c2a\/f18\/37ec2af188fee2726b233f2078fc18e6.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/37e\/c2a\/f18\/37ec2af188fee2726b233f2078fc18e6.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/7f8\/80e\/f2e\/7f880ef2eaf33287dfe9cab874cc2584.png\" width=\"1392\" height=\"526\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/7f8\/80e\/f2e\/7f880ef2eaf33287dfe9cab874cc2584.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/7f8\/80e\/f2e\/7f880ef2eaf33287dfe9cab874cc2584.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<ol start=\"3\">\n<li>\n<p>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0445 \u0434\u044d\u0448\u0431\u043e\u0440\u0434\u043e\u0432\u00a0<\/p>\n<\/li>\n<\/ol>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/b13\/bab\/50d\/b13bab50d9b38d2ba729cf3275500ccd.png\" width=\"1268\" height=\"492\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/b13\/bab\/50d\/b13bab50d9b38d2ba729cf3275500ccd.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/b13\/bab\/50d\/b13bab50d9b38d2ba729cf3275500ccd.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/c7e\/f50\/d4b\/c7ef50d4b9758bf9ac19ac5ae50b2889.png\" width=\"1263\" height=\"484\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/c7e\/f50\/d4b\/c7ef50d4b9758bf9ac19ac5ae50b2889.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/c7e\/f50\/d4b\/c7ef50d4b9758bf9ac19ac5ae50b2889.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e8c\/a4e\/7d6\/e8ca4e7d62aba00d5b79cad1a0f21a5b.png\" width=\"1229\" height=\"818\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/e8c\/a4e\/7d6\/e8ca4e7d62aba00d5b79cad1a0f21a5b.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e8c\/a4e\/7d6\/e8ca4e7d62aba00d5b79cad1a0f21a5b.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><\/p>\n<hr\/>\n<p><strong>ZABBIX &#8212; Grafana<\/strong><\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/7df\/cb7\/7f0\/7dfcb77f0c483d9afe4b4f34cbfb7f9e.png\" width=\"1600\" height=\"873\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/7df\/cb7\/7f0\/7dfcb77f0c483d9afe4b4f34cbfb7f9e.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/7df\/cb7\/7f0\/7dfcb77f0c483d9afe4b4f34cbfb7f9e.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0412 Grafana \u043c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 \u0437\u0430 \u0441\u0435\u0442\u0435\u0432\u044b\u043c \u0442\u0440\u0430\u0444\u0438\u043a\u043e\u043c<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/0a8\/591\/941\/0a859194106ae86890427de9e0ce7272.png\" width=\"706\" height=\"375\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/0a8\/591\/941\/0a859194106ae86890427de9e0ce7272.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/0a8\/591\/941\/0a859194106ae86890427de9e0ce7272.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0418 \u0437\u0430 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430\u043c\u0438 \u043d\u0430 \u0426\u041f<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/c2a\/318\/2eb\/c2a3182eb9749f07e0c54f474463ec17.png\" width=\"705\" height=\"369\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/c2a\/318\/2eb\/c2a3182eb9749f07e0c54f474463ec17.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/c2a\/318\/2eb\/c2a3182eb9749f07e0c54f474463ec17.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u041f\u043e \u0438\u0442\u043e\u0433\u0443 \u0445\u043e\u0442\u0435\u043b\u043e\u0441\u044c \u0431\u044b \u0435\u0449\u0435 \u0440\u0430\u0437 \u0441\u043a\u0430\u0437\u0430\u0442\u044c, \u0447\u0442\u043e \u044d\u0442\u043e \u0431\u044b\u043b\u043e \u043f\u0440\u043e \u043d\u0430\u0448 \u043e\u043f\u044b\u0442 \u0432 \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0438\u0438 \u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 \u0438\u043d\u0444\u0440\u044b.<\/p>\n<p>\u042d\u0442\u043e\u0442 \u043e\u043f\u044b\u0442 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043a\u043e\u043c\u0443-\u0442\u043e \u043f\u043e\u043b\u0435\u0437\u0435\u043d \u0434\u043b\u044f \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0438\u044f \u0447\u0435\u0433\u043e-\u0442\u043e \u0441\u0432\u043e\u0435\u0433\u043e.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<p><!----><!----><\/div>\n<p><!----><!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/909174\/\"> https:\/\/habr.com\/ru\/articles\/909174\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<figure class=\"full-width\"><\/figure>\n<p>AppSecFest \u2014 \u044d\u0442\u043e \u0435\u0436\u0435\u0433\u043e\u0434\u043d\u043e\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0435, \u0433\u0434\u0435 \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u043f\u043e\u0437\u043d\u0430\u043a\u043e\u043c\u0438\u0442\u044c\u0441\u044f \u0441 \u043c\u0438\u0440\u043e\u043c \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0438 \u0443\u0437\u043d\u0430\u0442\u044c \u0431\u043e\u043b\u044c\u0448\u0435 \u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u0445 \u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u044f\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0445 \u043c\u043d\u043e\u0433\u0438\u043c\u0438 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044f\u043c\u0438 \u0443\u0436\u0435 \u0441\u0435\u0439\u0447\u0430\u0441.<\/p>\n<p>\u041d\u0430 \u0434\u0430\u043d\u043d\u043e\u043c \u043c\u0435\u0440\u043e\u043f\u0440\u0438\u044f\u0442\u0438\u0438 \u043d\u0430\u0448\u0430 \u043a\u043e\u043c\u0430\u043d\u0434\u0430 mimicats \u0432\u044b\u0441\u0442\u0443\u043f\u0430\u043b\u0430 \u0432 \u0440\u043e\u043b\u0438 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0442\u043e\u0440\u043e\u0432 \u0438 \u043c\u044b \u0440\u0435\u0448\u0438\u043b\u0438 \u0440\u0430\u0437\u0431\u0430\u0432\u0438\u0442\u044c \u0432\u044b\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u044f \u0441\u043f\u0438\u043a\u0435\u0440\u043e\u0432 \u0438 \u043f\u0440\u0435\u0437\u0435\u043d\u0442\u0430\u0446\u0438\u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u0431\u043e\u043b\u0435\u0435 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u043c\u0438 \u0438 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u043c\u0438 \u0437\u0430\u0434\u0430\u043d\u0438\u044f\u043c\u0438.<\/p>\n<p>\u041d\u0430\u043c\u0438 \u0431\u044b\u043b\u043e \u0441\u0434\u0435\u043b\u0430\u043d\u043e Play Zone, \u0433\u0434\u0435 \u0443\u0447\u0430\u0441\u0442\u0432\u0443\u044f \u0432 \u0438\u043d\u0442\u0435\u0440\u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0445 \u0438\u0433\u0440\u0430\u0445 \u0438 \u043a\u0432\u0438\u0437\u0430\u0445 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0445 \u0441 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c\u044e \u0432\u044b \u043c\u043e\u0433\u043b\u0438 \u0437\u0430\u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043a\u043e\u0438\u043d\u044b \u0434\u043b\u044f \u043f\u043e\u043a\u0443\u043f\u043a\u0438 \u044d\u043a\u0441\u043a\u043b\u044e\u0437\u0438\u0432\u043d\u043e\u0433\u043e \u043c\u0435\u0440\u0447\u0430.<br \/>\u0410 \u0442\u0430\u043a\u0436\u0435 \u043c\u044b \u0440\u0435\u0448\u0438\u043b\u0438 \u043f\u0440\u043e\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0446\u0435\u043b\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u0434\u043b\u044f \u0434\u0430\u043d\u043d\u043e\u0433\u043e \u043c\u0435\u0440\u043e\u043f\u0440\u0438\u044f\u0442\u0438\u044f \u0438 \u043f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0441\u043e\u0440\u0435\u0432\u043d\u043e\u0432\u0430\u043d\u0438\u044f, \u0433\u0434\u0435 \u043f\u0440\u0438\u043d\u044f\u043b\u0438 \u0443\u0447\u0430\u0441\u0442\u0438\u0435 \u043a\u0430\u043a \u0438 \u0443\u0436\u0435 \u0431\u044b\u0432\u0430\u043b\u044b\u0435 \u0418\u0411-\u0448\u043d\u0438\u043a\u0438, \u0442\u0430\u043a \u0438 \u0441\u043e\u0432\u0441\u0435\u043c \u0437\u0435\u043b\u0435\u043d\u043d\u044b\u0435 \u043d\u043e\u0432\u0438\u0447\u043a\u0438. <\/p>\n<p>\u0414\u0430\u043b\u044c\u0448\u0435 \u0443\u0436\u0435 \u043f\u043e\u0439\u0434\u0435\u0442 \u0431\u043e\u043b\u044c\u0448\u0435 \u043f\u0440\u043e \u0442\u043e, \u0447\u0442\u043e \u0431\u044b\u043b\u043e \u0441\u0434\u0435\u043b\u0430\u043d\u043e, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0432\u0435\u043a\u0442\u043e\u0440 \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043c\u044b \u0434\u0432\u0438\u0433\u0430\u043b\u0438\u0441\u044c \u043f\u0440\u0438 \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0438\u0438 \u0434\u0430\u043d\u043d\u043e\u0439 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b.<\/p>\n<p><strong>\u041f\u043b\u0430\u043d \u0441\u0442\u0430\u0442\u044c\u0438:<\/strong><\/p>\n<p>1) \u0410\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u0438 \u043d\u0435\u043c\u043d\u043e\u0433\u043e \u0432\u043e\u0434\u044b<br \/> 2) \u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 OpenVPN<br \/> 3) \u0422\u0435\u043b\u0435\u0433\u0440\u0430\u043c \u0431\u043e\u0442\u044b\u044b<br \/> 4) CTFd<br \/> 5) Wazuh<br \/> 6) Zabbix<\/p>\n<p><strong>\u0410\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043f\u0440\u043e\u0435\u043a\u0442\u0430:<\/strong><\/p>\n<figure class=\"full-width\"><\/figure>\n<p>\u041e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0438\u0434\u0435\u0435\u0439 \u0443 \u043d\u0430\u0441 \u0431\u044b\u043b\u043e \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u0443\u044e \u0441\u0438\u0441\u0442\u0435\u043c\u0443, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u043c\u043e\u0433\u043b\u0438 \u0431\u044b \u043a\u043e\u043c\u0444\u043e\u0440\u0442\u043d\u043e \u0440\u0435\u0448\u0430\u0442\u044c \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u0438 \u043c\u044b \u0432\u0438\u0434\u0435\u043b\u0438 \u0435\u0441\u043b\u0438 \u0431\u044b \u043e\u043d\u0438 \u0441\u043e\u0432\u0430\u043b\u0438 \u043d\u043e\u0441\u044b \u043a\u0443\u0434\u0430 \u043d\u0435 \u0441\u0442\u043e\u0438\u0442)<\/p>\n<p>\u0418 \u0441\u0442\u043e\u0438\u0442 \u0437\u0430\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u0442\u0443\u0442 \u0441\u043a\u043e\u0440\u0435\u0435 \u043d\u0435 \u043f\u0440\u043e \u0442\u043e \u043a\u0430\u043a <strong>\u041d\u0423\u0416\u041d\u041e <\/strong>\u0434\u0435\u043b\u0430\u0442\u044c, \u0430 \u043f\u0440\u043e \u0442\u043e \u043a\u0430\u043a \u0432\u0438\u0434\u0435\u043b\u0438 \u0438 \u0445\u043e\u0442\u0435\u043b\u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u043c\u044b.<\/p>\n<p><strong>OpenVPN\u00a0<\/strong><\/p>\n<p>\u0412\u0430\u0436\u043d\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u0438\u043d\u0444\u0440\u044b, \u0442\u0430\u043a \u043a\u0430\u043a \u043d\u0430\u043c \u043d\u0430\u0434\u043e \u0431\u044b\u043b\u043e \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043d\u0430\u0448\u0438\u043c \u0437\u0430\u0434\u0430\u043d\u0438\u044f\u043c \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0441\u0438\u043b\u044c\u043d\u0435\u0435 \u0438 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u0435.<\/p>\n<p>\u0411\u044b\u043b\u043e \u043f\u043e\u0434\u043d\u044f\u0442\u043e 2 Openvpn<\/p>\n<p>1) \u0414\u043b\u044f \u043e\u0431\u044b\u0447\u043d\u044b\u0445 \u044e\u0437\u0435\u0440\u043e\u0432 \u0431\u0435\u0437 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438\u00a0 &#8212; \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0432\u0435\u0431 \u0442\u0430\u0441\u043a\u0430\u043c \u0438 CTFd\u00a0<\/p>\n<p>2) \u0414\u043b\u044f \u0430\u0434\u043c\u0438\u043d\u043e\u0432 \u0441 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0435\u0439 &#8212; \u0434\u043e\u0441\u0442\u0443\u043f \u043a SIEM(Wazuh), Zabbix, \u0432\u0435\u0431 \u0442\u0430\u0441\u043a\u0430\u043c \u0438 CTFd \u043f\u043e ssh\u00a0<\/p>\n<blockquote>\n<p><code>sudo apt update sudo apt install openvpn easy-rsa  make-cadir ~\/openvpn-ca cd ~\/openvpn-ca .\/easyrsa init-pki .\/easyrsa build-ca  # \u0437\u0430\u0434\u0430\u0439\u0442\u0435 \u0438\u043c\u044f \u0438 \u043f\u0430\u0440\u043e\u043b\u044c CA .\/easyrsa gen-req server_non_auth nopass .\/easyrsa sign-req server server_non_auth .\/easyrsa gen-req server_auth nopass .\/easyrsa sign-req server server_auth .\/easyrsa gen-dh openvpn --genkey secret ta.key<\/code> <\/p>\n<\/blockquote>\n<p>\u0417\u0430\u0442\u0435\u043c \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u043a\u043e\u043d\u0444\u0438\u0433\u043e\u0432<\/p>\n<ol>\n<li>\n<p>\u0434\u043b\u044f \u044e\u0437\u0435\u0440\u043e\u0432:<\/p>\n<\/li>\n<\/ol>\n<blockquote>\n<p><code>nano \/etc\/openvpn\/server\/server_non_auth.conf port 1194 proto udp dev tun  topology subnet  ; \u041f\u0443\u0442\u0438 \u043a \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430\u043c \u0438 \u043a\u043b\u044e\u0447\u0430\u043c ca \/etc\/openvpn\/ca.crt cert \/etc\/openvpn\/server_non_auth.crt key \/etc\/openvpn\/server_non_auth.key dh \/etc\/openvpn\/dh.pem ; tls-auth \/etc\/openvpn\/ta.key 0   # \u0420\u0430\u0437\u0440\u0435\u0448\u0430\u0435\u043c \u0437\u0430\u043f\u0443\u0441\u043a \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432 script-security 3  # \u041f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0435\u043c \u0441\u043a\u0440\u0438\u043f\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u0437\u044b\u0432\u0430\u0442\u044c\u0441\u044f \u043f\u0440\u0438 \u043a\u0430\u0436\u0434\u043e\u043c \u0432\u0445\u043e\u0434\u044f\u0449\u0435\u043c \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 client-connect \/etc\/openvpn\/scripts\/<\/code><a href=\"http:\/\/client-connect.sh\" rel=\"noopener noreferrer nofollow\"><code>client-connect.sh<\/code><\/a><code>  ; \u0417\u0430\u0434\u0430\u0451\u043c \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043f\u0443\u043b IP (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, 10.10.10.0\/24) server 10.10.10.0 255.255.255.0 ifconfig-pool-persist \/etc\/openvpn\/ipp_non_auth.txt  ; \u0420\u0430\u0437\u0434\u0430\u0447\u0430 \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0430 \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0441\u0435\u0442\u0438 192.168.52.0\/24 push \"route 192.168.52.0 255.255.255.0\"  keepalive 10 120 cipher AES-256-CBC persist-key persist-tun status \/var\/log\/openvpn_non_auth_status.log verb 3  <\/code><\/p>\n<p><code>client-connect \/etc\/openvpn\/scripts\/<\/code><a href=\"http:\/\/client-connect.sh\" rel=\"noopener noreferrer nofollow\"><code>client-connect.sh<\/code><\/a><code> - \u0434\u0430\u043d\u043d\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u043a\u043e\u0434\u0430 \u043d\u0443\u0436\u043d\u0430 \u0434\u043b\u044f \u0442\u043e\u0433\u043e \u0447\u0442\u043e\u0431\u044b \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u043b\u0441\u044f \u0441\u043a\u0440\u0438\u043f\u0442 <\/code><a href=\"http:\/\/client-connect.sh\" rel=\"noopener noreferrer nofollow\"><code>client-connect.sh<\/code><\/a><code> \u043f\u0440\u0438 \u043a\u0430\u0436\u0434\u043e\u043c \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043a\u043b\u0438\u0435\u043d\u0442\u0430  #!\/bin\/bash # \/etc\/openvpn\/scripts\/<\/code><a href=\"http:\/\/client-connect.sh\" rel=\"noopener noreferrer nofollow\"><code>client-connect.sh<\/code><\/a><code>  LOGFILE=\"\/var\/log\/openvpn-client-connect.json\"  # \u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043c\u0435\u0442\u043a\u0443 \u0432\u0440\u0435\u043c\u0435\u043d\u0438 timestamp=$(date '+%Y-%m-%dT%H:%M:%S%z')  # \u0424\u043e\u0440\u043c\u0438\u0440\u0443\u0435\u043c JSON-\u0441\u0442\u0440\u043e\u043a\u0443 json=\"{\\\"timestamp\\\":\\\"${timestamp}\\\",\\ \\\"event\\\":\\\"client-connect\\\",\\ \\\"common_name\\\":\\\"${common_name}\\\",\\ \\\"untrusted_ip\\\":\\\"${untrusted_ip}\\\",\\ \\\"untrusted_port\\\":\\\"${untrusted_port}\\\",\\ \\\"vpn_ip\\\":\\\"${ifconfig_pool_remote_ip}\\\"}\"   echo \"${json}\" &gt;&gt; \"${LOGFILE}\"   exit 0<\/code> <\/p>\n<\/blockquote>\n<p>\u0414\u0430\u043d\u043d\u044b\u0439 \u0441\u043a\u0440\u0438\u043f\u0442 \u043d\u0443\u0436\u0435\u043d \u0434\u043b\u044f \u043b\u043e\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0438\u0445 \u0432 \u043d\u0430\u0448\u0443 SIEM.<br \/>\u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u043b\u043e \u043d\u0430\u043c \u0443\u0434\u043e\u0431\u043d\u043e \u0441\u043b\u0435\u0434\u0438\u0442\u044c \u0437\u0430 \u0442\u0435\u043c, \u043a\u0442\u043e \u0438 \u043a\u043e\u0433\u0434\u0430 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u043b\u0441\u044f.<\/p>\n<p>\u0412 \u0438\u0442\u043e\u0433\u0435 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043b\u043e\u0433\u0438 \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 json \u0434\u043b\u044f \u0443\u0434\u043e\u0431\u043d\u043e\u0439 \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0432 Wazuh<\/p>\n<blockquote>\n<p><code>[root@vpn-rocky openvpn]# cat \/var\/log\/openvpn-client-connect.json\u00a0<\/code><\/p>\n<p><code>{\"timestamp\":\"2025-04-22T19:21:21+0000\",\"event\":\"client-connect\",\"common_name\":\"client1\",\"untrusted_ip\":\"176.64.21.98\",\"untrusted_port\":\"27086\",\"vpn_ip\":\"10.10.10.4\"}<\/code><\/p>\n<p><code>{\"timestamp\":\"2025-04-23T00:25:10+0500\",\"event\":\"client-connect\",\"common_name\":\"client1\",\"untrusted_ip\":\"176.64.21.98\",\"untrusted_port\":\"29515\",\"vpn_ip\":\"10.10.10.4\"}<\/code><\/p>\n<\/blockquote>\n<ol>\n<li>\n<p>\u0434\u043b\u044f \u0430\u0434\u043c\u0438\u043d\u043e\u0432<\/p>\n<\/li>\n<\/ol>\n<p>\u0422\u0430\u043a\u0430\u044f \u0436\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u043d\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u0432\u044b\u0434\u0430\u0447\u0430 \u0430\u0434\u043c\u0438\u043d\u0430\u043c IP \u0438\u0437 \u043f\u043e\u0434\u0441\u0435\u0442\u0438 10.69.69.0\/24\u00a0 \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0430\u0434\u043c\u0438\u043d\u0441\u043a\u043e\u0439 \u043f\u043e\u0434\u0441\u0435\u0442\u0438 192.168.69.0\/24<\/p>\n<p>\u0422\u0430\u043a\u0436\u0435 \u0434\u043e\u0431\u0430\u0432\u0438\u043b\u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044e. \u0410\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044f \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442\u044c \u0447\u0435\u0440\u0435\u0437 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u043b\u043e\u0433\u0438\u043d\u0430\/\u043f\u0430\u0440\u043e\u043b\u044f \u0447\u0435\u0440\u0435\u0437 PAM.<\/p>\n<figure class=\"full-width\"><\/figure>\n<p>\u0414\u0430\u043b\u0435\u0435 \u0438\u0434\u0435\u0442 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0441\u0435\u0442\u0438 \u0434\u043b\u044f \u0442\u043e\u0433\u043e \u0447\u0442\u043e\u0431\u044b \u044e\u0437\u0435\u0440\u044b \u043c\u043e\u0433\u043b\u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u0441\u0435\u0442\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0412\u041f\u041d.<\/p>\n<p><strong>\u0422\u0435\u043b\u0435\u0433\u0440\u0430\u043c \u0431\u043e\u0442\u044b<\/strong><\/p>\n<p>\u041d\u0430\u0434\u043e \u0431\u044b\u043b\u043e \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u043b\u0443\u0447\u0448\u0435 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432\u0441\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b, \u0442\u0430\u043a \u043a\u0430\u043a \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043b\u044e\u0434\u0435\u0439 \u0443 \u043d\u0430\u0441 \u0431\u044b\u043b\u043e \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043e \u0438 \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0432\u044b\u0434\u0435\u043b\u044f\u0442\u044c \u043b\u044e\u0434\u0435\u0439 \u043d\u0430\u043c \u043d\u0435 \u0445\u043e\u0442\u0435\u043b\u043e\u0441\u044c.<\/p>\n<p>\u0410\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043c\u044b \u0440\u0435\u0448\u0438\u043b\u0438 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b:<\/p>\n<p> 1. \u0412\u044b\u0434\u0430\u0447\u0430 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u0432.<br \/> 2. \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 <br \/> 3. \u041e\u0437\u0432\u0443\u0447\u043a\u0430 First Blood&#8217;\u043e\u0432 <\/p>\n<ol>\n<li>\n<p>\u0411\u043e\u0442 \u0434\u043b\u044f \u0440\u0430\u0437\u0434\u0430\u0447\u0438 \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u0440\u0435\u0434\u043e\u0432 \u0438 openvpn \u0444\u0430\u0439\u043b\u043e\u0432 \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a CTFd \u0438 \u0442\u0430\u0441\u043a\u0430\u043c<\/p>\n<\/li>\n<\/ol>\n<p>\u0421\u0434\u0435\u043b\u0430\u0442\u044c \u0442\u0430\u043a \u0447\u0442\u043e\u0431\u044b \u043e\u0434\u043d\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043c\u043e\u0433 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0432\u0441\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u044b, \u0431\u044b\u043b\u043e \u043b\u0435\u0433\u043a\u043e.<br \/>\u041e\u0434\u043d\u0430\u043a\u043e, \u043d\u0430\u0434\u043e \u0431\u044b\u043b\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0442\u0430\u043a, \u0447\u0442\u043e\u0431\u044b \u044d\u0442\u043e\u0442 \u0436\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043d\u0435 \u043c\u043e\u0433 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f\u044b \u0434\u043b\u044f \u0435\u0449\u0435 \u043e\u0434\u043d\u043e\u0439 \u0443\u0447\u0435\u0442\u043a\u0438, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043c\u044b \u0440\u0435\u0448\u0438\u043b\u0438 \u0447\u0442\u043e\u0431\u044b \u0431\u043e\u0442 \u0441\u043e\u0431\u0438\u0440\u0430\u043b <code>user_id<\/code> \u0438 \u043f\u0440\u0438\u043f\u0438\u0441\u044b\u0432\u0430\u043b \u0438\u0445 \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u043f\u0430\u0440\u044b \u043b\u043e\u0433\u0438\u043d, \u043f\u0430\u0440\u043e\u043b\u044c+vpn \u043a\u043e\u043d\u0444\u0438\u0433.<\/p>\n<p>\u041f\u043e \u0438\u0442\u043e\u0433\u0443 \u043f\u0440\u043e\u0441\u0442\u0435\u043d\u044c\u043a\u0438\u0439 \u0431\u043e\u0442, \u043d\u043e \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u0438\u043b\u044c\u043d\u043e \u043f\u043e\u043c\u043e\u0433 \u043d\u0430\u043c \u0441 \u0432\u044b\u0434\u0430\u0447\u0435\u0439 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u0432, \u0432\u0435\u0434\u044c \u043f\u043e\u0442\u043e\u043a \u043b\u044e\u0434\u0435\u0439 \u0431\u044b\u043b \u043d\u0430 \u043f\u0440\u043e\u0442\u044f\u0436\u0435\u043d\u0438\u0438 \u0432\u0441\u0435\u0433\u043e \u0441\u043e\u0440\u0435\u0432\u043d\u043e\u0432\u0430\u043d\u0438\u044f.<\/p>\n<p>\u041f\u0440\u0438\u043c\u0435\u0440 \u0440\u0430\u0431\u043e\u0442\u044b:<\/p>\n<figure class=\"full-width\"><\/figure>\n<hr\/>\n<p>      2. Support bot<\/p>\n<p>\u041e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u043e\u0432 \u044d\u0442\u043e \u043e\u0434\u043d\u0430 \u0438\u0437 \u043d\u0435\u043e\u0442\u044a\u0435\u043c\u043b\u0435\u043c\u044b\u0445 \u0447\u0430\u0441\u0442\u0435\u0439 \u043b\u044e\u0431\u043e\u0439 \u0421\u0422\u0424\u043a\u0438, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0442\u0443\u0442 \u044f \u0440\u0435\u0448\u0438\u043b \u043f\u0440\u043e\u0441\u0442\u043e \u043e\u0431\u043b\u0435\u0433\u0447\u0438\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0443 \u0430\u0434\u043c\u0438\u043d\u0430\u043c, \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u043b \u0437\u0430\u043f\u0440\u043e\u0441\u044b \u0447\u0435\u0440\u0435\u0437 \u0442\u0435\u043b\u0435\u0433\u0440\u0430\u043c:<\/p>\n<figure class=\"full-width\"><\/figure>\n<p>\u0410 \u043c\u044b \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043b\u0438 \u0438\u0445 \u0432 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e\u043c \u043c\u0435\u0441\u0441\u0435\u043d\u0434\u0436\u0435\u0440\u0435:<\/p>\n<figure class=\"full-width\"><\/figure>\n<figure class=\"full-width\"><\/figure>\n<div class=\"floating-image\">\n<p>    3. First Blood <\/p>\n<p>\u0412\u043e\u0442 \u0442\u0443\u0442 \u0431\u044b\u043b\u043e \u0441\u043b\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u0434\u0443\u043c\u0430\u0442\u044c \u043a\u0430\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u043e\u0437\u0432\u0443\u0447\u043a\u0443 \u0432\u0441\u0435\u0445 First Blood-\u043e\u0432<br \/>\u0422\u0430\u043a \u043a\u0430\u043a \u0443 \u043d\u0430\u0441 \u0431\u044b\u043b \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 VPN, \u044f \u0440\u0435\u0448\u0438\u043b \u0441\u043e \u0441\u0432\u043e\u0435\u0433\u043e \u043d\u043e\u0443\u0442\u0430 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u0442\u044c SSH \u0442\u0443\u043d\u0435\u043b\u044c \u0434\u043e \u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0441 CTFd.<br \/>\u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0447\u0442\u043e\u0431\u044b \u043f\u0440\u0438 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0438 \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435 CTFd \u043d\u0430 localhost:6000 \u044d\u0442\u043e\u0442 \u0437\u0430\u043f\u0440\u043e\u0441 \u043e\u0431\u0440\u0430\u0449\u0430\u043b\u0441\u044f \u043d\u0430 localhost:5000 \u043c\u043e\u0435\u0433\u043e \u043d\u043e\u0443\u0442\u0430.<\/p>\n<p> \u041a\u043e\u043c\u0430\u043d\u0434\u0430 \u0434\u043b\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f(\u0441 \u043c\u043e\u0435\u0433\u043e \u043d\u043e\u0443\u0442\u0430):<br \/><code>ssh -4 -N  -o ServerAliveInterval=30  -o ServerAliveCountMax=3  -R 127.0.0.1:6000:127.0.0.1:5000 user@{ctfd_ip} <\/code><\/p>\n<\/div>\n<figure class=\"full-width\"><\/figure>\n<p>\u041a\u0430\u043a \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u043e\u0437\u0432\u0443\u0447\u043a\u0430 First Blood:<\/p>\n<p><a href=\"https:\/\/drive.google.com\/drive\/folders\/1qaVZQR3AvCD5d4CztWlri06cCkHjBixr?usp=sharing\" rel=\"noopener noreferrer nofollow\">https:\/\/drive.google.com\/drive\/folders\/1qaVZQR3AvCD5d4CztWlri06cCkHjBixr?usp=sharing<\/a><\/p>\n<hr\/>\n<p><strong>CTFd<\/strong><\/p>\n<p>\u0420\u0430\u0437\u0432\u043e\u0440\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u0435 CTFd \u0431\u044b\u043b\u043e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0435 \u0441 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430, \u043d\u043e \u0440\u0435\u0448\u0438\u043b\u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u0434\u0438\u0437\u0430\u0439\u043d \u043f\u043e\u0434 \u044d\u0442\u0443 \u0441\u043e\u0440\u0435\u0432\u0443.<\/p>\n<figure class=\"full-width\"><\/figure>\n<figure class=\"full-width\"><\/figure>\n<figure class=\"full-width\"><\/figure>\n<figure class=\"full-width\"><\/figure>\n<hr\/>\n<p><strong>SIEM Wazuh<\/strong><\/p>\n<p>\u0412 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 SIEM \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0438 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u043b\u043e\u0433\u043e\u0432 \u043c\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 Wazuh.<\/p>\n<p>\u0414\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u043b\u043e\u0433\u043e\u0432 \u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c Wazuh-agent, Packetbeat (\u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0432 Logstash \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435 \u0441 Wazuh \u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u0442\u0440\u0430\u0444\u0438\u043a\u0430), Filebeat (\u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0432 Logstash \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435 \u0441 Wazuh \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0445 \u043b\u043e\u0433\u043e\u0432), Logstash (\u0434\u043b\u044f \u043f\u0440\u0438\u043d\u044f\u0442\u0438\u0435 \u043b\u043e\u0433\u043e\u0432 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0432 Wazuh).<\/p>\n<p>\u0423\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c packetbeat \u043d\u0430 \u0445\u043e\u0441\u0442 \u0441 VPN \u0434\u043b\u044f \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u0438 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c:<\/p>\n<blockquote>\n<p><code>[rockylinux@vpn-rocky packetbeat]$ sudo cat packetbeat.yml  packetbeat.interfaces.device: any packetbeat.interfaces.poll_default_route: 1m packetbeat.interfaces.internal_networks:   - private  packetbeat.flows:   timeout: 30s   period: 10s  packetbeat.protocols:   - type: icmp     enabled: true    - type: http     include_body_for: [\"application\/json\", \"text\/html\", \"application\/xml\"]     ports: [80, 8080, 8000, 5000, 8002,8088]     send_headers: true     send_all_headers: true     send_request: true     send_response: true    - type: tls     ports:       - 443       - 993       - 995       - 5223       - 8443       - 8883       - 9243    - type: dns     ports: [53]    - type: mysql     ports: [3306, 3307]    - type: pgsql     ports: [5432]    - type: redis     ports: [6379]    - type: mongodb     ports: [27017]    - type: memcache     ports: [11211]    - type: thrift     ports: [9090]    - type: nfs     ports: [2049]    - type: cassandra     ports: [9042]    - type: amqp     ports: [5672]    - type: dhcpv4     ports: [67, 68]    - type: sip     ports: [5060]  setup.template.settings:   index.number_of_shards: 1  processors:   - drop_event.when.not.or:       - network.source.ip: \"10.69.69.0\/24\"       - network.source.ip: \"10.10.10.0\/24\"    - drop_fields:       fields:         - host.hostname         - <\/code><a href=\"http:\/\/host.name\" rel=\"noopener noreferrer nofollow\"><code>host.name<\/code><\/a><code>         - host.architecture         - host.os.*         - host.containerized         - cloud         - ecs         - agent         - docker         - container         - related         - tags         - input         - service         - event.dataset         - event.kind         - user_agent.device         - url.query         - status         - status_phrase         - http.request.headers         - http.response.headers  output.logstash:   hosts: [\"192.168.69.140:5000\"] <\/code><\/p>\n<\/blockquote>\n<p>\u0423\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c filebeat \u0438 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0445 \u043b\u043e\u0433\u043e\u0432 \u043e \u0441\u0442\u0430\u0442\u0443\u0441\u0430\u0445 \u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f\u0445 \u0432 OpenVPN:<\/p>\n<blockquote>\n<p><code>[rockylinux@vpn-rocky filebeat]$ sudo cat filebeat.yml filebeat.inputs:   - type: log     enabled: true     paths:       - \/var\/log\/openvpn.log     fields:       category: openvpn       log_type: main    - type: log     enabled: true     paths:       - \/var\/log\/openvpn_auth_status.log     fields:       category: openvpn       log_type: auth    - type: log     enabled: true     paths:       - \/var\/log\/openvpn_non_auth.log     fields:       category: openvpn       log_type: non_auth    - type: log     enabled: true     paths:       - \/var\/log\/openvpn-client-connect.log     fields:       category: openvpn       log_type: connect    - type: log     enabled: true     paths:       - \/var\/log\/openvpn_non_auth_status.log     fields:       category: openvpn       log_type: non_auth_status    - type: log     enabled: true     paths:       - \/var\/log\/openvpn-client-connect.json     json.keys_under_root: true     json.add_error_key: true     fields:       category: openvpn       log_type: client_connect   output.logstash:   hosts: [\"192.168.69.140:5000\"]<\/code> <\/p>\n<\/blockquote>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c Logstash \u0438 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c \u0435\u0433\u043e \u043d\u0430 \u043f\u0440\u0438\u043d\u044f\u0442\u0438\u044f\u0445 \u044d\u0442\u0438\u0445 \u043b\u043e\u0433\u043e\u0432 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0435 \u043a Wazuh:<\/p>\n<blockquote>\n<p><code>root@wazuh-zabbix:\/etc\/logstash\/conf.d# cat wazuh-opensearch.conf  input {   beats {     port =&gt; 5000     ssl =&gt; false   } }   filter {   if [fields][log_type] == \"json_connect\" {     json {       source =&gt; \"message\"       skip_on_invalid_json =&gt; true     }      date {       match =&gt; [\"timestamp\", \"ISO8601\"]       target =&gt; \"@timestamp\"       timezone =&gt; \"UTC\"     }   }    if [@metadata][beat] == \"filebeat\" {     mutate {       remove_field =&gt; [      <\/code><\/p>\n<\/blockquote>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-459532","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/459532","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=459532"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/459532\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=459532"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=459532"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=459532"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}