В ons het gedek hoe om die stabiele weergawe van Suricata op Ubuntu 18.04 LTS te laat loop. Dit is redelik eenvoudig om 'n IDS op 'n enkele nodus op te stel en gratis reëlstelle te aktiveer. Vandag sal ons uitvind hoe om 'n korporatiewe netwerk te beskerm deur die mees algemene soorte aanvalle te gebruik met Suricata wat op 'n virtuele bediener geïnstalleer is. Om dit te doen, benodig ons 'n VDS op Linux met twee rekenaarkerne. Die hoeveelheid RAM hang af van die vrag: 2 GB is genoeg vir iemand, en 4 of selfs 6 kan nodig wees vir meer ernstige take.Die voordeel van 'n virtuele masjien is die vermoë om te eksperimenteer: jy kan begin met 'n minimale konfigurasie en verhoog hulpbronne soos benodig.
foto: Reuters
Verbind netwerke
Die verwydering van IDS na 'n virtuele masjien in die eerste plek kan nodig wees vir toetse. As jy nog nooit sulke oplossings hanteer het nie, moet jy nie haastig wees om fisiese hardeware te bestel en die netwerkargitektuur te verander nie. Dit is die beste om die stelsel veilig en koste-effektief te laat loop om jou rekenaarbehoeftes te bepaal. Dit is belangrik om te verstaan dat alle korporatiewe verkeer deur 'n enkele eksterne nodus gestuur sal moet word: om 'n plaaslike netwerk (of verskeie netwerke) aan 'n VDS te koppel met IDS Suricata geïnstalleer, kan jy gebruik - 'n Maklik om te konfigureer, kruis-platform VPN-bediener wat sterk enkripsie bied. 'n Kantoor internetverbinding het dalk nie 'n regte IP nie, so dit is beter om dit op 'n VPS op te stel. Daar is geen klaargemaakte pakkette in die Ubuntu-bewaarplek nie, jy sal die sagteware ook van moet aflaai , of vanaf 'n eksterne bewaarplek op die diens (as jy hom vertrou):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateU kan die lys van beskikbare pakkette sien met die volgende opdrag:
apt-cache search softether
Ons sal softether-vpnserver benodig (die bediener in die toetskonfigurasie loop op VDS), sowel as softether-vpncmd - opdragreëlhulpmiddels om dit op te stel.
sudo apt-get install softether-vpnserver softether-vpncmd'n Spesiale opdragreëlhulpmiddel word gebruik om die bediener op te stel:
sudo vpncmd
Ons sal nie in detail oor die instelling praat nie: die prosedure is redelik eenvoudig, dit word goed beskryf in talle publikasies en hou nie direk verband met die onderwerp van die artikel nie. Kortom, nadat u vpncmd begin het, moet u item 1 kies om na die bedienerbestuurkonsole te gaan. Om dit te doen, moet jy die naam localhost invoer en druk enter in plaas daarvan om die naam van die spilpunt in te voer. Die administrateurwagwoord word in die konsole gestel met die serverpasswordset-opdrag, die DEFAULT virtuele hub word uitgevee (hubdelete-opdrag) en 'n nuwe een word geskep met die naam Suricata_VPN, en sy wagwoord is ook ingestel (hubcreate-opdrag). Vervolgens moet u na die bestuurskonsole van die nuwe spilpunt gaan deur die hub Suricata_VPN-opdrag te gebruik om 'n groep en gebruiker te skep deur die groupcreate en usercreate-opdragte te gebruik. Die gebruikerwagwoord word met gebruikerswagwoordstel gestel.
SoftEther ondersteun twee verkeersoordragmodusse: SecureNAT en Local Bridge. Die eerste is 'n eie tegnologie vir die bou van 'n virtuele privaat netwerk met sy eie NAT en DHCP. SecureNAT vereis nie TUN/TAP of Netfilter of ander firewall instellings nie. Roetering beïnvloed nie die stelselkern nie, en alle prosesse is gevirtualiseer en werk op enige VPS / VDS, ongeag die hiperviser wat gebruik word. Dit lei tot verhoogde SVE-lading en stadiger spoed in vergelyking met Local Bridge-modus, wat die SoftEther virtuele spilpunt aan 'n fisiese netwerkadapter of TAP-toestel verbind.
Konfigurasie in hierdie geval word meer ingewikkeld, aangesien roetering op kernvlak plaasvind met behulp van Netfilter. Ons VDS is gebou op Hyper-V, so in die laaste stap skep ons 'n plaaslike brug en aktiveer die TAP-toestel met die bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes opdrag. Nadat ons die spilpuntbestuurkonsole verlaat het, sal ons 'n nuwe netwerkkoppelvlak in die stelsel sien wat nog nie 'n IP toegeken is nie:
ifconfig
Vervolgens moet u pakkieroetering tussen koppelvlakke (ip vorentoe) aktiveer as dit onaktief is:
sudo nano /etc/sysctl.confMaak kommentaar op die volgende reël:
net.ipv4.ip_forward = 1Stoor die veranderinge aan die lêer, verlaat die redigeerder en pas dit toe met die volgende opdrag:
sudo sysctl -pVervolgens moet ons 'n subnet vir die virtuele netwerk met fiktiewe IP's (byvoorbeeld 10.0.10.0/24) definieer en 'n adres aan die koppelvlak toewys:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Dan moet jy Netfilter-reëls skryf.
1. Indien nodig, laat inkomende pakkies op luisterpoorte toe (SoftEther eie protokol gebruik HTTPS en poort 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Stel NAT op vanaf die 10.0.10.0/24 subnet na die hoofbediener IP
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Laat deurgee van pakkies vanaf die subnet 10.0.10.0/24 toe
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Laat deurgee van pakkies vir reeds gevestigde verbindings toe
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTOns sal die outomatisering van die proses wanneer die stelsel herbegin word met inisialiseringsskrifte aan die lesers as huiswerk oorlaat.
As jy outomaties IP aan kliënte wil gee, sal jy ook 'n soort DHCP-diens vir die plaaslike brug moet installeer. Dit voltooi die bedieneropstelling en u kan na die kliënte gaan. SoftEther ondersteun baie protokolle, waarvan die gebruik afhang van die vermoëns van die LAN-toerusting.
netstat -ap |grep vpnserver
Aangesien ons toetsrouter ook onder Ubuntu loop, laat ons die pakkette softether-vpnclient en softether-vpncmd vanaf 'n eksterne bewaarplek daarop installeer om die eie protokol te gebruik. Jy sal die kliënt moet bestuur:
sudo vpnclient startOm te konfigureer, gebruik die vpncmd-nutsding en kies localhost as die masjien waarop die vpnclient loop. Alle opdragte word in die konsole gemaak: jy sal 'n virtuele koppelvlak (NicCreate) en 'n rekening (AccountCreate) moet skep.
In sommige gevalle moet jy die verifikasiemetode spesifiseer deur die AccountAnonymousSet-, AccountPasswordSet-, AccountCertSet- en AccountSecureCertSet-opdragte te gebruik. Aangesien ons nie DHCP gebruik nie, word die adres vir die virtuele adapter met die hand ingestel.
Daarbenewens moet ons ip forward aktiveer (die net.ipv4.ip_forward=1 parameter in die /etc/sysctl.conf lêer) en statiese roetes konfigureer. Indien nodig, op VDS met Suricata, kan u poortaanstuur opstel om die dienste wat op die plaaslike netwerk geïnstalleer is, te gebruik. Hierop kan die netwerksamesmelting as voltooi beskou word.
Ons voorgestelde konfigurasie sal iets soos volg lyk:
Stel Suricata op
В ons het gepraat oor twee maniere van werking van IDS: deur die NFQUEUE-tou (NFQ-modus) en deur nulkopie (AF_PACKET-modus). Die tweede vereis twee koppelvlakke, maar is vinniger - ons sal dit gebruik. Die parameter is by verstek in /etc/default/suricata gestel. Ons moet ook die vars-afdeling in /etc/suricata/suricata.yaml wysig, en die virtuele subnet daar as tuiste stel.
Om IDS te herbegin, gebruik die opdrag:
systemctl restart suricataDie oplossing is gereed, nou moet jy dit dalk toets vir weerstand teen kwaadwillige optrede.
Simuleer aanvalle
Daar kan verskeie scenario's wees vir die gevegsgebruik van 'n eksterne IDS-diens:
Beskerming teen DDoS-aanvalle (primêre doel)
Dit is moeilik om so 'n opsie binne die korporatiewe netwerk te implementeer, aangesien die pakkies vir ontleding by die stelselkoppelvlak moet kom wat na die internet kyk. Selfs as die IDS hulle blokkeer, kan valse verkeer die dataskakel afbring. Om dit te vermy, moet jy 'n VPS bestel met 'n voldoende produktiewe internetverbinding wat alle plaaslike netwerkverkeer en alle eksterne verkeer kan deurlaat. Dit is dikwels makliker en goedkoper om dit te doen as om die kantoorkanaal uit te brei. As alternatief is dit die moeite werd om gespesialiseerde dienste vir beskerming teen DDoS te noem. Die koste van hul dienste is vergelykbaar met die koste van 'n virtuele bediener, en dit vereis nie tydrowende konfigurasie nie, maar daar is ook nadele - die kliënt ontvang slegs DDoS-beskerming vir sy geld, terwyl sy eie IDS gekonfigureer kan word soos jy hou van.
Beskerming teen eksterne aanvalle van ander tipes
Suricata is in staat om pogings te hanteer om verskeie kwesbaarhede in korporatiewe netwerkdienste wat vanaf die internet toeganklik is (e-posbediener, webbediener en webtoepassings, ens.) te ontgin. Gewoonlik, hiervoor word IDS binne die LAN geïnstalleer na die grenstoestelle, maar om dit buite te neem, het die reg om te bestaan.
Beskerming teen insiders
Ten spyte van die beste pogings van die stelseladministrateur, kan rekenaars op die korporatiewe netwerk met wanware besmet word. Boonop verskyn rampokkers soms in die plaaslike omgewing, wat probeer om onwettige operasies uit te voer. Suricata kan help om sulke pogings te blokkeer, alhoewel om die interne netwerk te beskerm, dit beter is om dit binne die omtrek te installeer en dit in tandem te gebruik met 'n bestuurde skakelaar wat verkeer na een poort kan weerspieël. 'n Eksterne IDS is ook nie nutteloos in hierdie geval nie - dit sal ten minste pogings deur malware wat op die LAN woon, kan opvang om 'n eksterne bediener te kontak.
Om mee te begin, sal ons nog 'n toets aanval VPS skep, en op die plaaslike netwerk router sal ons Apache verhoog met die verstek konfigurasie, waarna ons die 80ste poort daarna sal aanstuur vanaf die IDS-bediener. Vervolgens sal ons 'n DDoS-aanval van 'n aanvallende gasheer simuleer. Om dit te doen, laai af vanaf GitHub, stel 'n klein xerxes-program saam op die aanvallende nodus saam (jy moet dalk die gcc-pakket installeer):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Die resultaat van haar werk was soos volg:
Suricata sny die skurk af, en die Apache-bladsy maak by verstek oop, ten spyte van ons impromptu aanval en die taamlik dooie kanaal van die "kantoor" (eintlik tuis) netwerk. Vir meer ernstige take, moet jy gebruik . Dit is ontwerp vir penetrasietoetsing en laat jou toe om 'n verskeidenheid aanvalle te simuleer. Instalasie instruksies op die projekwebwerf. Na installasie word 'n opdatering vereis:
sudo msfupdateBegin msfconsole om te toets.
Ongelukkig het die nuutste weergawes van die raamwerk nie die vermoë om outomaties te kraak nie, dus sal uitbuitings handmatig gesorteer moet word en met die gebruik-opdrag uitgevoer moet word. Om mee te begin, is dit die moeite werd om te bepaal watter poorte op die aangeval masjien oop is, byvoorbeeld deur nmap te gebruik (in ons geval sal dit heeltemal vervang word deur netstat op die aangeval gasheer), en kies en gebruik dan die toepaslike .
Daar is ander maniere om die veerkragtigheid van 'n IDS teen aanvalle te toets, insluitend aanlyndienste. Ter wille van nuuskierigheid kan jy strestoetse reël deur die proefweergawe te gebruik . Om die reaksie op die optrede van interne indringers na te gaan, is dit die moeite werd om spesiale gereedskap op een van die masjiene op die plaaslike netwerk te installeer. Daar is baie opsies en van tyd tot tyd moet dit nie net op die eksperimentele terrein toegepas word nie, maar ook op werkende stelsels, maar dit is 'n heeltemal ander storie.
Bron: will.com