Snort ወይም ሱሪካታ. ክፍል 3፡ የቢሮውን ኔትወርክ መጠበቅ

В ቀዳሚ መጣጥፍ በኡቡንቱ 18.04 LTS ላይ የተረጋጋውን የሱሪካታ ስሪት እንዴት ማስኬድ እንደሚቻል ሸፍነናል። በነጠላ መስቀለኛ መንገድ ላይ መታወቂያ ማዘጋጀት እና የነጻ ህግ ስብስቦችን ማንቃት በጣም ቀላል ነው። ዛሬ በቨርቹዋል ሰርቨር ላይ የተጫነውን ሱሪካታ በመጠቀም የኮርፖሬት ኔትወርክን እንዴት መከላከል እንደምንችል እንረዳለን። ይህንን ለማድረግ, በሊኑክስ ላይ ሁለት የኮምፒዩተር ኮርሶች ያለው ቪዲኤስ ያስፈልገናል. የ RAM መጠን በጭነቱ ላይ የተመሰረተ ነው፡ ለአንድ ሰው 2 ጂቢ በቂ ነው፡ እና 4 ወይም 6 እንኳን ለበለጠ ከባድ ስራዎች ሊያስፈልግ ይችላል፡ የቨርቹዋል ማሽን ጥቅሙ የመሞከር ችሎታ ነው፡ በትንሽ ውቅር መጀመር እና መጨመር ትችላለህ። እንደ አስፈላጊነቱ ሀብቶች.

ፎቶ፡ ሮይተርስ

• Snort ወይም ሱሪካታ. ክፍል 1፡ የድርጅትዎን ኔትወርክ ለመጠበቅ ነፃ መታወቂያ/አይፒኤስ መምረጥ
• Snort ወይም ሱሪካታ. ክፍል 2፡ የሱሪካታ መጫንና የመጀመሪያ ማዋቀር

አውታረ መረቦችን በማገናኘት ላይ

በመጀመሪያ ደረጃ መታወቂያዎችን ወደ ቨርቹዋል ማሽን ማስወገድ ለፈተናዎች ሊያስፈልግ ይችላል። እንደዚህ አይነት መፍትሄዎችን በጭራሽ ካላስተናገዱ, አካላዊ ሃርድዌርን ለማዘዝ እና የአውታረ መረብ አርክቴክቸርን ለመለወጥ መቸኮል የለብዎትም. የእርስዎን የሂሳብ ፍላጎቶች ለመወሰን ስርዓቱን ደህንነቱ በተጠበቀ ሁኔታ እና ወጪ ቆጣቢ በሆነ መንገድ ማስኬዱ የተሻለ ነው። ሁሉም የኮርፖሬት ትራፊክ በአንድ ውጫዊ መስቀለኛ መንገድ ማለፍ እንዳለበት መረዳት አስፈላጊ ነው የአካባቢ አውታረ መረብ (ወይም በርካታ አውታረ መረቦች) ከአይዲኤስ ሱሪካታ ጋር ከተጫነ ቪዲኤስ ጋር ለመገናኘት መጠቀም ይችላሉ ለስላሳ - ለማዋቀር ቀላል የሆነ ጠንካራ ምስጠራ የሚያቀርብ የፕላትፎርም ተሻጋሪ VPN አገልጋይ። የቢሮ የበይነመረብ ግንኙነት እውነተኛ አይፒ ላይኖረው ይችላል, ስለዚህ በ VPS ላይ ማዋቀር የተሻለ ነው. በኡቡንቱ ማከማቻ ውስጥ ምንም የተዘጋጁ ፓኬጆች የሉም፣ ሶፍትዌሩን ከሁለቱም ማውረድ አለቦት የፕሮጀክት ቦታ, ወይም በአገልግሎቱ ላይ ካለው የውጭ ማከማቻ የመግቢያ ፓነል (የምታምኑት ከሆነ)

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

ያሉትን እሽጎች ዝርዝር በሚከተለው ትእዛዝ ማየት ትችላለህ።

apt-cache search softether

እኛ softether-vpnserver (በሙከራ ውቅር ውስጥ ያለው አገልጋይ በቪዲኤስ ላይ እየሰራ ነው)፣ እንዲሁም softether-vpncmd - ለማዋቀር የትእዛዝ መስመር መገልገያዎች እንፈልጋለን።

sudo apt-get install softether-vpnserver softether-vpncmd

አገልጋዩን ለማዋቀር ልዩ የትእዛዝ መስመር መገልገያ ጥቅም ላይ ይውላል፡-

sudo vpncmd

ስለ መቼቱ በዝርዝር አንነጋገርም: አሰራሩ በጣም ቀላል ነው, በብዙ ህትመቶች ውስጥ በደንብ ይገለጻል እና ከጽሁፉ ርዕስ ጋር በቀጥታ አይዛመድም. በአጭሩ vpncmd ከጀመሩ በኋላ ወደ አገልጋይ አስተዳደር ኮንሶል ለመሄድ ንጥል 1 ን መምረጥ ያስፈልግዎታል። ይህንን ለማድረግ የአካባቢ አስተናጋጁን ስም ማስገባት እና የ hubን ስም ከማስገባት ይልቅ አስገባን መጫን ያስፈልግዎታል። የአስተዳዳሪ ይለፍ ቃል በኮንሶሉ ውስጥ በአገልጋይ ፓስዎርድሴት ትእዛዝ ተቀናብሯል፣ የDEFAULT ቨርቹዋል ሃብ ተሰርዟል (hubdelete order) እና አዲስ በሱሪካታ_ቪፒኤን ስም ተፈጠረ እና የይለፍ ቃሉም ተቀናብሯል (የhubcreate ትእዛዝ)። በመቀጠል የቡድን መፍጠር እና የተጠቃሚ ፈጠራ ትዕዛዞችን በመጠቀም ቡድን እና ተጠቃሚ ለመፍጠር የ hub Suricata_VPN ትዕዛዝን በመጠቀም ወደ አዲሱ መገናኛ አስተዳደር ኮንሶል መሄድ ያስፈልግዎታል። የተጠቃሚ ይለፍ ቃል የተጠቃሚ ፓስዎርድሴትን በመጠቀም ይዘጋጃል።

SoftEther ሁለት የትራፊክ ማስተላለፊያ ዘዴዎችን ይደግፋል-SecureNAT እና Local Bridge. የመጀመሪያው የራሱ NAT እና DHCP ያለው ምናባዊ የግል አውታረ መረብ ለመገንባት የባለቤትነት ቴክኖሎጂ ነው። SecureNAT TUN/TAP ወይም Netfilter ወይም ሌላ የፋየርዎል ቅንጅቶችን አይፈልግም። ማዘዋወር የስርዓቱን አንኳር ላይ ተጽእኖ አያመጣም, እና ሁሉም ሂደቶች ምናባዊ ናቸው እና በማንኛውም VPS / VDS ላይ ይሰራሉ, ምንም እንኳን ጥቅም ላይ የዋለው ሃይፐርቫይዘር ምንም ይሁን ምን. ይህ የ SoftEther ምናባዊ ማዕከልን ከአካላዊ አውታረመረብ አስማሚ ወይም ከቲኤፒ መሳሪያ ጋር የሚያገናኘው ከሎካል ብሪጅ ሞድ ጋር ሲወዳደር የሲፒዩ ጭነት መጨመር እና ቀርፋፋ ፍጥነትን ያስከትላል።

በዚህ ጉዳይ ላይ ማዋቀር የበለጠ የተወሳሰበ ይሆናል፣ ምክንያቱም ራውቲንግ በከርነል ደረጃ Netfilter በመጠቀም ስለሚከሰት። የእኛ ቪዲኤስ የተገነባው በሃይፐር-ቪ ላይ ነው, ስለዚህ በመጨረሻው ደረጃ የአካባቢ ድልድይ እንፈጥራለን እና TAP መሳሪያውን በ bridgecreate Suricate_VPN -device: suricate_vpn -tap:yes ትዕዛዝ እንሰራለን። ከ hub አስተዳደር ኮንሶል ከወጣን በኋላ፣ በስርዓቱ ውስጥ ገና አይፒ ያልተመደበ አዲስ የአውታረ መረብ በይነገጽ እናያለን።

ifconfig

በመቀጠል፣ የቦዘነ ከሆነ በይነገጾች (IP forward) መካከል የፓኬት ማዘዋወርን ማንቃት አለቦት፡-

sudo nano /etc/sysctl.conf

በሚከተለው መስመር አስተያየት ይስጡ

net.ipv4.ip_forward = 1

ለውጦቹን በፋይሉ ላይ ያስቀምጡ, ከአርታዒው ይውጡ እና በሚከተለው ትዕዛዝ ይተግብሩ:

sudo sysctl -p

በመቀጠል፣ ለምናባዊው አውታረ መረብ ምናባዊ አይፒዎች (ለምሳሌ፣ 10.0.10.0/24) ንዑስ አውታረ መረብን መግለፅ እና ለበይነገጹ አድራሻ መመደብ አለብን።

sudo ifconfig tap_suricata_vp 10.0.10.1/24

ከዚያ Netfilter ደንቦችን መጻፍ ያስፈልግዎታል.

1. አስፈላጊ ከሆነ፣ ገቢ ፓኬቶችን በማዳመጥ ወደቦች ላይ ፍቀድ (SoftEther የባለቤትነት ፕሮቶኮል HTTPS እና port 443 ይጠቀማል)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT ከ 10.0.10.0/24 ንኡስ መረብ ወደ ዋናው አገልጋይ IP ያዋቅሩ

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. ከንዑስኔት 10.0.10.0/24 የሚተላለፉ ፓኬቶችን ፍቀድ

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. ቀደም ሲል ለተመሠረቱ ግንኙነቶች ማለፊያ ፓኬቶችን ፍቀድ

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

እንደ የቤት ስራ ለአንባቢዎች የመነሻ ስክሪፕቶችን በመጠቀም ስርዓቱ እንደገና ሲጀመር የሂደቱን አውቶማቲክ እንተወዋለን።

አይፒን በራስ ሰር ለደንበኞች መስጠት ከፈለጉ ለአካባቢው ድልድይ የሆነ የDHCP አገልግሎት መጫን ያስፈልግዎታል። ይህ የአገልጋይ ማቀናበሪያውን ያጠናቅቃል እና ወደ ደንበኞች መሄድ ይችላሉ። SoftEther ብዙ ፕሮቶኮሎችን ይደግፋል, አጠቃቀሙ በ LAN መሳሪያዎች አቅም ላይ የተመሰረተ ነው.

netstat -ap |grep vpnserver

የእኛ የሙከራ ራውተር በኡቡንቱ ስር የሚሰራ በመሆኑ የባለቤትነት ፕሮቶኮሉን ለመጠቀም የሶፍትዌር-vpnclient እና softether-vpncmd ጥቅሎችን ከውጪ ማከማቻ እንጭን። ደንበኛውን ማስኬድ ያስፈልግዎታል:

sudo vpnclient start

ለማዋቀር የvpncmd መገልገያ ይጠቀሙ፣ vpnclient የሚሠራበት ማሽን እንደ localhost በመምረጥ። ሁሉም ትዕዛዞች በኮንሶል ውስጥ ተደርገዋል: ምናባዊ በይነገጽ (NicCreate) እና መለያ (AccountCreate) መፍጠር ያስፈልግዎታል.

በአንዳንድ አጋጣሚዎች AccountAnonymousSet፣ AccountPasswordSet፣ AccountCertSet እና AccountSecureCertSet ትዕዛዞችን በመጠቀም የማረጋገጫ ዘዴውን መግለጽ አለቦት። DHCP እየተጠቀምን ስላልሆነ የቨርቹዋል አስማሚው አድራሻ የተዘጋጀው በእጅ ነው።

በተጨማሪም፣ ip ወደፊትን ማንቃት (በ /etc/sysctl.conf ፋይል ውስጥ ያለው net.ipv4.ip_forward=1 ግቤት) እና የማይንቀሳቀሱ መንገዶችን ማዋቀር አለብን። አስፈላጊ ከሆነ በ VDS ከሱሪካታ ጋር በአካባቢያዊ አውታረመረብ ላይ የተጫኑትን አገልግሎቶች ለመጠቀም ወደብ ማስተላለፍን ማዋቀር ይችላሉ. በዚህ ላይ የአውታረ መረብ ውህደት እንደ ተጠናቀቀ ሊቆጠር ይችላል.

ያቀረብነው ውቅር ይህን ይመስላል።

ሱሪካታን በማዘጋጀት ላይ

В ቀዳሚ መጣጥፍ ስለ ሁለት የIDS አሠራር ሁነታዎች ተነጋግረናል፡ በ NFQUEUE queue (NFQ mode) እና በዜሮ ቅጂ (AF_PACKET ሁነታ)። ሁለተኛው ሁለት መገናኛዎች ያስፈልገዋል, ግን ፈጣን ነው - እንጠቀማለን. መለኪያው በነባሪነት በ /etc/default/suricata ተዘጋጅቷል። እንዲሁም በ /etc/suricata/suricata.yaml ውስጥ ያለውን የቫርስ ክፍል ማረም አለብን፣ እዚያ የሚገኘውን ቨርቹዋል ሳብኔት እንደ ቤት በማዘጋጀት ነው።

መታወቂያውን እንደገና ለማስጀመር ትዕዛዙን ይጠቀሙ፡-

systemctl restart suricata

መፍትሄው ዝግጁ ነው, አሁን ተንኮል አዘል ድርጊቶችን ለመቋቋም መሞከር ያስፈልግዎ ይሆናል.

ጥቃቶችን ማስመሰል

የውጭ መታወቂያ አገልግሎትን ለመዋጋት በርካታ ሁኔታዎች ሊኖሩ ይችላሉ፡-

ከ DDoS ጥቃቶች ጥበቃ (ዋና ዓላማ)

ለመተንተን እሽጎች በይነመረብን ወደሚመለከተው የስርዓት በይነገጽ መድረስ ስላለባቸው በድርጅት አውታረመረብ ውስጥ እንዲህ ዓይነቱን አማራጭ ለመተግበር አስቸጋሪ ነው። መታወቂያው ቢያግዳቸው እንኳን፣ የተዛባ ትራፊክ የውሂብ ማያያዣውን ሊያወርድ ይችላል። ይህንን ለማስቀረት ሁሉንም የአካባቢያዊ አውታረ መረብ ትራፊክ እና ሁሉንም የውጭ ትራፊክ ማለፍ የሚችል በቂ ምርታማ የበይነመረብ ግንኙነት ያለው VPS ማዘዝ ያስፈልግዎታል። ብዙውን ጊዜ ይህንን ለማድረግ የቢሮውን ቻናል ከማስፋፋት ይልቅ ቀላል እና ርካሽ ነው. እንደ አማራጭ, ከ DDoS ለመከላከል ልዩ አገልግሎቶችን መጥቀስ ተገቢ ነው. የአገልግሎታቸው ዋጋ ከቨርቹዋል አገልጋይ ዋጋ ጋር ሊወዳደር የሚችል ሲሆን ጊዜ የሚፈጅ ውቅር አይፈልግም ነገር ግን ጉዳቶችም አሉ - ደንበኛው ለገንዘቡ የ DDoS ጥበቃን ብቻ ይቀበላል ፣ የራሱ መታወቂያ እንደ እርስዎ ሊዋቀር ይችላል ። እንደ.

ከሌሎች ዓይነቶች ውጫዊ ጥቃቶች ጥበቃ

ሱሪካታ ከኢንተርኔት (የደብዳቤ አገልጋይ፣ የድር አገልጋይ እና የድር አፕሊኬሽኖች ወዘተ) በሚገኙ የኮርፖሬት ኔትወርክ አገልግሎቶች ውስጥ የተለያዩ ተጋላጭነቶችን ለመጠቀም የሚደረጉ ሙከራዎችን መቋቋም ይችላል። ብዙውን ጊዜ, ለዚህ, IDS ከድንበር መሳሪያዎች በኋላ በ LAN ውስጥ ተጭኗል, ነገር ግን ወደ ውጭ መውሰድ የመኖር መብት አለው.

ከውስጥ አካላት ጥበቃ

የስርዓቱ አስተዳዳሪ ከፍተኛ ጥረት ቢደረግም በኮርፖሬት አውታረመረብ ላይ ያሉ ኮምፒውተሮች በማልዌር ሊበከሉ ይችላሉ። በተጨማሪም ሆሊጋኖች አንዳንድ ጊዜ በአካባቢው አካባቢ ይታያሉ, አንዳንድ ሕገ-ወጥ ድርጊቶችን ለመፈጸም ይሞክራሉ. ሱሪካታ እንደዚህ አይነት ሙከራዎችን ለማገድ ሊረዳ ይችላል፣ ምንም እንኳን የውስጣዊ ኔትወርክን ለመጠበቅ በፔሪሜትር ውስጥ መጫን እና ወደ አንድ ወደብ ትራፊክን በሚያንፀባርቅ በሚተዳደር ማብሪያ / ማጥፊያ መጠቀም የተሻለ ነው። ውጫዊ መታወቂያ በዚህ ጉዳይ ላይ ምንም ፋይዳ የለውም -ቢያንስ በ LAN ውስጥ በሚኖሩ ማልዌሮች የውጭ አገልጋይን ለማግኘት ሙከራዎችን ማድረግ ይችላል።

ለመጀመር ፣ VPSን የሚያጠቃ ሌላ ሙከራ እንፈጥራለን ፣ እና በአከባቢው አውታረመረብ ራውተር ላይ Apacheን በነባሪ ውቅር እናነሳለን ፣ ከዚያ በኋላ 80 ኛውን ወደብ ከIDS አገልጋይ እናስተላልፋለን። በመቀጠል፣ ከአጥቂ አስተናጋጅ የ DDoS ጥቃትን እናስመስላለን። ይህንን ለማድረግ ከ GitHub ያውርዱ ፣ በአጥቂ መስቀለኛ መንገድ ላይ ትንሽ የ xerxes ፕሮግራም ያዘጋጁ እና ያሂዱ (የgcc ጥቅል መጫን ሊኖርብዎ ይችላል)

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

የስራዋ ውጤት የሚከተለው ነበር።

ሱሪካታ ተንኮለኛውን ያቋርጣል፣ እና የApache ገጽ በነባሪነት ይከፈታል፣ ምንም እንኳን ድንገተኛ ጥቃት እና የሞተው የ"ቢሮ" (በእርግጥ የቤት) አውታረ መረብ ቢሆንም። ለበለጠ ከባድ ስራዎች, መጠቀም አለብዎት የሜታፕሮጀክት ማዕቀፍ. እሱ ለመግቢያ ሙከራ የተነደፈ እና የተለያዩ ጥቃቶችን ለመምሰል ያስችልዎታል። የመጫኛ መመሪያዎች ይገኛል በፕሮጀክቱ ድህረ ገጽ ላይ. ከተጫነ በኋላ ማዘመን ያስፈልጋል፡-

sudo msfupdate

ለሙከራ msfconsoleን ያሂዱ።

እንደ አለመታደል ሆኖ፣ የቅርብ ጊዜዎቹ የማዕቀፉ ስሪቶች በራስ-ሰር የመሰባበር ችሎታ ስለሌላቸው ብዝበዛዎች በእጅ መደርደር እና የአጠቃቀም ትእዛዝን በመጠቀም መሮጥ አለባቸው። ለመጀመር, በተጠቂው ማሽን ላይ የተከፈቱትን ወደቦች መወሰን ተገቢ ነው, ለምሳሌ nmap ን በመጠቀም (በእኛ ሁኔታ, በተጠቂው አስተናጋጅ ላይ ሙሉ በሙሉ በ netstat ይተካል) እና ከዚያ ተገቢውን ይምረጡ እና ይጠቀሙ. Metasploit ሞጁሎች. 

የመስመር ላይ አገልግሎቶችን ጨምሮ የIDSን ከጥቃት የመቋቋም አቅምን ለመፈተሽ ሌሎች መንገዶች አሉ። ለፍላጎት, የሙከራ ስሪቱን በመጠቀም የጭንቀት ሙከራን ማዘጋጀት ይችላሉ የአይፒ ውጥረት. የውስጣዊ ጣልቃ ገብ ድርጊቶች ምላሽን ለመፈተሽ በአካባቢያዊ አውታረመረብ ላይ ካሉት ማሽኖች በአንዱ ላይ ልዩ መሳሪያዎችን መጫን ጠቃሚ ነው. ብዙ አማራጮች አሉ እና ከጊዜ ወደ ጊዜ ለሙከራ ቦታ ብቻ ሳይሆን ለስራ ስርዓቶችም መተግበር አለባቸው, ይህ ብቻ ሙሉ ለሙሉ የተለየ ታሪክ ነው.

ምንጭ: hab.com