В Suricata'nın sabit versiyasını Ubuntu 18.04 LTS-də necə işlətməyi əhatə etdik. Tək bir node üzərində IDS qurmaq və pulsuz qayda dəstlərini işə salmaq olduqca sadədir. Bu gün biz virtual serverdə quraşdırılmış Suricata istifadə edərək ən çox yayılmış hücum növlərindən istifadə edərək korporativ şəbəkəni necə qoruyacağımızı anlayacağıq. Bunun üçün bizə iki hesablama nüvəsi olan Linux-da VDS lazımdır. RAM miqdarı yükdən asılıdır: kimsə üçün 2 GB kifayətdir, daha ciddi tapşırıqlar üçün 4 və ya hətta 6 tələb oluna bilər.Virtual maşının üstünlüyü eksperiment aparmaq qabiliyyətidir: minimal konfiqurasiya ilə başlaya və artıra bilərsiniz. lazım olduqda resurslar.
şəkil: Reuters
Şəbəkələri birləşdirən
Testlər üçün ilk növbədə IDS-nin virtual maşına çıxarılması tələb oluna bilər. Heç vaxt belə həllər ilə məşğul olmamısınızsa, fiziki avadanlıq sifariş etməyə və şəbəkə arxitekturasını dəyişdirməyə tələsməməlisiniz. Hesablama ehtiyaclarınızı müəyyən etmək üçün sistemi təhlükəsiz və sərfəli şəkildə idarə etmək ən yaxşısıdır. Bütün korporativ trafikin bir xarici qovşaqdan keçməli olduğunu başa düşmək vacibdir: yerli şəbəkəni (və ya bir neçə şəbəkəni) IDS Suricata quraşdırılmış VDS-yə qoşmaq üçün istifadə edə bilərsiniz. - Güclü şifrələməni təmin edən, konfiqurasiyası asan, çarpaz platformalı VPN serveri. Ofis İnternet bağlantısının real IP-si olmaya bilər, ona görə də onu VPS-də qurmaq daha yaxşıdır. Ubuntu deposunda hazır paketlər yoxdur, proqramı ya buradan yükləməli olacaqsınız , və ya xidmətdəki xarici depodan (ona güvənirsinizsə):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateMövcud paketlərin siyahısına aşağıdakı əmrlə baxa bilərsiniz:
apt-cache search softether
Bizə softether-vpnserver (test konfiqurasiyasındakı server VDS-də işləyir), eləcə də softether-vpncmd - onu konfiqurasiya etmək üçün komanda xətti utilitlərinə ehtiyacımız olacaq.
sudo apt-get install softether-vpnserver softether-vpncmdServeri konfiqurasiya etmək üçün xüsusi bir əmr satırı yardım proqramı istifadə olunur:
sudo vpncmd
Quruluş haqqında ətraflı danışmayacağıq: prosedur olduqca sadədir, çoxsaylı nəşrlərdə yaxşı təsvir edilmişdir və məqalənin mövzusu ilə birbaşa əlaqəli deyil. Bir sözlə, vpncmd-i işə saldıqdan sonra server idarəetmə konsoluna keçmək üçün 1-ci elementi seçməlisiniz. Bunun üçün siz localhost adını daxil etməli və hubın adını daxil etmək əvəzinə enter düyməsini sıxmalısınız. Administrator parolu serverpasswordset əmri ilə konsolda təyin edilir, DEFAULT virtual hub silinir (hubdelete əmri) və Suricata_VPN adı ilə yenisi yaradılır və onun parolu da təyin olunur (hubcreate əmri). Sonra, groupcreate və usercreate əmrlərindən istifadə edərək qrup və istifadəçi yaratmaq üçün hub Suricata_VPN əmrindən istifadə edərək yeni mərkəzin idarəetmə konsoluna keçməlisiniz. İstifadəçi parolu userpasswordset istifadə edərək təyin edilir.
SoftEther iki trafik ötürmə rejimini dəstəkləyir: SecureNAT və Local Bridge. Birincisi, öz NAT və DHCP ilə virtual şəxsi şəbəkə qurmaq üçün xüsusi texnologiyadır. SecureNAT TUN/TAP və ya Netfilter və ya digər firewall parametrlərini tələb etmir. Marşrutlaşdırma sistemin əsasına təsir göstərmir və bütün proseslər virtuallaşdırılır və istifadə olunan hipervizordan asılı olmayaraq istənilən VPS/VDS üzərində işləyir. Bu, SoftEther virtual mərkəzini fiziki şəbəkə adapterinə və ya TAP cihazına birləşdirən Yerli Körpü rejimi ilə müqayisədə CPU yükünün artmasına və daha yavaş sürətə səbəb olur.
Bu vəziyyətdə konfiqurasiya daha mürəkkəb olur, çünki marşrutlaşdırma Netfilterdən istifadə edərək nüvə səviyyəsində baş verir. VDS-lərimiz Hyper-V üzərində qurulub, buna görə də son mərhələdə biz yerli körpü yaradırıq və bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes əmri ilə TAP cihazını aktivləşdiririk. Hub idarəetmə konsolundan çıxdıqdan sonra sistemdə hələ IP təyin edilməmiş yeni şəbəkə interfeysini görəcəyik:
ifconfig
Sonra, qeyri-aktiv olduqda, interfeyslər arasında paket marşrutunu aktivləşdirməlisiniz (ip irəli):
sudo nano /etc/sysctl.confAşağıdakı sətri şərhdən çıxarın:
net.ipv4.ip_forward = 1Dəyişiklikləri faylda saxlayın, redaktordan çıxın və aşağıdakı əmrlə tətbiq edin:
sudo sysctl -pSonra, biz uydurma IP-ləri olan virtual şəbəkə üçün alt şəbəkə təyin etməliyik (məsələn, 10.0.10.0/24) və interfeysə ünvan təyin etməliyik:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Sonra Netfilter qaydalarını yazmalısınız.
1. Lazım gələrsə, dinləmə portlarında daxil olan paketlərə icazə verin (SoftEther mülkiyyət protokolu HTTPS və 443 portundan istifadə edir)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. NAT-ı 10.0.10.0/24 alt şəbəkəsindən əsas server IP-yə quraşdırın
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. 10.0.10.0/24 alt şəbəkədən paketlərin ötürülməsinə icazə verin
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Artıq qurulmuş əlaqələr üçün paketlərin keçməsinə icazə verin
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTSistem başlatma skriptlərindən istifadə edərək yenidən işə salındıqda prosesin avtomatlaşdırılmasını ev tapşırığı kimi oxuculara buraxacağıq.
Müştərilərə avtomatik olaraq IP vermək istəyirsinizsə, yerli körpü üçün bir növ DHCP xidməti də quraşdırmalı olacaqsınız. Bu, server quraşdırmasını tamamlayır və siz müştərilərə gedə bilərsiniz. SoftEther bir çox protokolları dəstəkləyir, onların istifadəsi LAN avadanlıqlarının imkanlarından asılıdır.
netstat -ap |grep vpnserver
Test marşrutlaşdırıcımız Ubuntu altında da işlədiyi üçün özəl protokoldan istifadə etmək üçün xarici repozitoriyadan softether-vpnclient və softether-vpncmd paketlərini quraşdıraq. Müştərini işə salmalı olacaqsınız:
sudo vpnclient startKonfiqurasiya etmək üçün vpnclient-in işlədiyi maşın kimi localhost seçərək vpncmd yardım proqramından istifadə edin. Bütün əmrlər konsolda edilir: virtual interfeys (NicCreate) və hesab (AccountCreate) yaratmalısınız.
Bəzi hallarda, AccountAnonymousSet, AccountPasswordSet, AccountCertSet və AccountSecureCertSet əmrlərindən istifadə edərək autentifikasiya metodunu təyin etməlisiniz. DHCP istifadə etmədiyimiz üçün virtual adapter üçün ünvan əl ilə təyin olunur.
Bundan əlavə, biz ip forward (option net.ipv4.ip_forward=1 /etc/sysctl.conf faylında) aktivləşdirməliyik və statik marşrutları konfiqurasiya etməliyik. Lazım gələrsə, Suricata ilə VDS-də yerli şəbəkədə quraşdırılmış xidmətlərdən istifadə etmək üçün port yönləndirməsini konfiqurasiya edə bilərsiniz. Bununla əlaqədar olaraq, şəbəkə birləşməsi tamamlanmış hesab edilə bilər.
Təklif etdiyimiz konfiqurasiya belə görünəcək:
Suricatanın qurulması
В IDS-in iki iş rejimi haqqında danışdıq: NFQUEUE növbəsi (NFQ rejimi) və sıfır nüsxə vasitəsilə (AF_PACKET rejimi). İkincisi iki interfeys tələb edir, lakin daha sürətli - biz onu istifadə edəcəyik. Parametr standart olaraq /etc/default/suricata-da təyin edilir. Biz həmçinin /etc/suricata/suricata.yaml-da vars bölməsini redaktə etməliyik, orada virtual alt şəbəkəni ev kimi təyin etməliyik.
IDS-i yenidən başlatmaq üçün əmrdən istifadə edin:
systemctl restart suricataHəll hazırdır, indi onu zərərli hərəkətlərə qarşı müqavimət üçün sınaqdan keçirməli ola bilərsiniz.
Hücumların simulyasiyası
Xarici IDS xidmətinin döyüş istifadəsi üçün bir neçə ssenari ola bilər:
DDoS hücumlarına qarşı qorunma (əsas məqsəd)
Korporativ şəbəkə daxilində belə bir seçimi həyata keçirmək çətindir, çünki təhlil üçün paketlər İnternetə baxan sistem interfeysinə daxil olmalıdır. IDS onları bloklasa belə, saxta trafik məlumat bağlantısını aşağı sala bilər. Bunun qarşısını almaq üçün bütün yerli şəbəkə trafikini və bütün xarici trafiki keçə bilən kifayət qədər məhsuldar İnternet bağlantısı olan VPS sifariş etməlisiniz. Çox vaxt bunu etmək ofis kanalını genişləndirməkdən daha asan və daha ucuzdur. Alternativ olaraq, DDoS-dan qorunmaq üçün ixtisaslaşmış xidmətləri qeyd etmək lazımdır. Onların xidmətlərinin dəyəri virtual serverin qiyməti ilə müqayisə edilə bilər və bunun üçün çox vaxt aparan konfiqurasiya tələb olunmur, lakin çatışmazlıqlar da var - müştəri öz pulu üçün yalnız DDoS qorunmasını alır, öz IDS-i isə sizin kimi konfiqurasiya edilə bilər. kimi.
Digər növ xarici hücumlardan qorunma
Suricata internetdən əldə edilə bilən korporativ şəbəkə xidmətlərində (poçt serveri, veb server və veb proqramlar və s.) müxtəlif boşluqlardan istifadə cəhdlərinin öhdəsindən gələ bilir. Adətən, bunun üçün IDS sərhəd cihazlarından sonra LAN daxilində quraşdırılır, lakin onu kənara çıxarmaq mövcud olmaq hüququna malikdir.
İnsayderlərdən qorunma
Sistem administratorunun bütün səylərinə baxmayaraq, korporativ şəbəkədəki kompüterlər zərərli proqramlarla yoluxa bilər. Bundan əlavə, bəzən yerli ərazilərdə xuliqanlar peyda olur və onlar bəzi qanunsuz əməliyyatlar həyata keçirməyə çalışırlar. Suricata bu cür cəhdlərin qarşısını almağa kömək edə bilər, baxmayaraq ki, daxili şəbəkəni qorumaq üçün onu perimetr daxilində quraşdırmaq və trafiki bir porta əks etdirə bilən idarə olunan keçid ilə tandemdə istifadə etmək daha yaxşıdır. Xarici IDS də bu halda faydasız deyil - heç olmasa LAN-da yaşayan zərərli proqramların xarici serverlə əlaqə saxlamaq cəhdlərini tuta biləcək.
Başlamaq üçün, VPS-ə hücum edən başqa bir test yaradacağıq və yerli şəbəkə marşrutlaşdırıcısında standart konfiqurasiya ilə Apache-ni qaldıracağıq, bundan sonra IDS serverindən 80-ci portu ona yönləndirəcəyik. Sonra, hücum edən hostun DDoS hücumunu simulyasiya edəcəyik. Bunu etmək üçün GitHub-dan yükləyin, hücum edən node üzərində kiçik bir xerxes proqramını tərtib edin və işə salın (gcc paketini quraşdırmalı ola bilərsiniz):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Onun işinin nəticəsi belə oldu:
Suricata yaramazı kəsir və bizim bədahətən hücumumuza və "ofis" (əslində ev) şəbəkəsinin kifayət qədər ölü kanalına baxmayaraq, Apache səhifəsi defolt olaraq açılır. Daha ciddi vəzifələr üçün istifadə etməlisiniz . O, nüfuz testi üçün nəzərdə tutulmuşdur və müxtəlif hücumları simulyasiya etməyə imkan verir. Quraşdırma təlimatları layihənin saytında. Quraşdırıldıqdan sonra yeniləmə tələb olunur:
sudo msfupdateSınaq üçün msfconsole-u işə salın.
Təəssüf ki, çərçivənin ən son versiyalarında avtomatik sındırma qabiliyyəti yoxdur, ona görə də istismarlar əl ilə çeşidlənməli və use əmrindən istifadə edərək işə salınmalıdır. Başlamaq üçün, hücuma məruz qalan maşında açılan portları təyin etməyə dəyər, məsələn, nmap istifadə edərək (bizim vəziyyətimizdə o, hücuma məruz qalan hostda tamamilə netstat ilə əvəz olunacaq) və sonra uyğun olanı seçin və istifadə edin. .
Onlayn xidmətlər də daxil olmaqla, IDS-nin hücumlara qarşı dayanıqlığını yoxlamaq üçün başqa vasitələr var. Maraq üçün sınaq versiyasından istifadə edərək stress testini təşkil edə bilərsiniz . Daxili müdaxilə edənlərin hərəkətlərinə reaksiyanı yoxlamaq üçün yerli şəbəkədəki maşınlardan birinə xüsusi alətlər quraşdırmağa dəyər. Bir çox variant var və zaman zaman onlar yalnız eksperimental sayta deyil, həm də iş sistemlərinə tətbiq edilməlidir, yalnız bu tamamilə fərqli bir hekayədir.
Mənbə: www.habr.com