🥇Snort или Suricata. Част 3: Защита на офис мрежата

В предишна статия разгледахме как да стартирате стабилната версия на Suricata на Ubuntu 18.04 LTS. Настройването на IDS на един възел и активирането на безплатни набори от правила е доста лесно. Днес ще разберем как да защитим корпоративна мрежа, използвайки най-често срещаните видове атаки, използвайки Suricata, инсталиран на виртуален сървър. За да направим това, имаме нужда от VDS на Linux с две изчислителни ядра. Количеството RAM зависи от натоварването: 2 GB са достатъчни за някой, а за по-сериозни задачи може да са необходими 4 или дори 6. Предимството на виртуалната машина е възможността за експериментиране: можете да започнете с минимална конфигурация и да увеличите ресурси според нуждите.

снимка: Ройтерс

Свързване на мрежи

Премахването на IDS към виртуална машина на първо място може да е необходимо за тестове. Ако никога не сте се занимавали с подобни решения, не трябва да бързате да поръчвате физически хардуер и да променяте мрежовата архитектура. Най-добре е да управлявате системата безопасно и рентабилно, за да определите вашите компютърни нужди. Важно е да разберете, че целият корпоративен трафик ще трябва да бъде прекаран през един външен възел: за да свържете локална мрежа (или няколко мрежи) към VDS с инсталиран IDS Suricata, можете да използвате SoftEther - Лесен за конфигуриране, междуплатформен VPN сървър, който осигурява силно криптиране. Интернет връзката в офиса може да няма реално IP, така че е по-добре да я настроите на VPS. В хранилището на Ubuntu няма готови пакети, ще трябва да изтеглите софтуера от сайт на проекта, или от външно хранилище на услугата Launchpad (ако му имаш доверие):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

Можете да видите списъка с налични пакети със следната команда:

apt-cache search softether

Ще ни трябва softether-vpnserver (сървърът в тестовата конфигурация работи на VDS), както и softether-vpncmd - помощни програми за командния ред за конфигурирането му.

sudo apt-get install softether-vpnserver softether-vpncmd

За конфигуриране на сървъра се използва специална програма за команден ред:

sudo vpncmd

Няма да говорим подробно за настройката: процедурата е доста проста, добре е описана в много публикации и не е пряко свързана с темата на статията. Накратко, след като стартирате vpncmd, трябва да изберете елемент 1, за да отидете до конзолата за управление на сървъра. За да направите това, трябва да въведете името localhost и да натиснете enter вместо да въведете името на хъба. Паролата на администратора се задава в конзолата с командата serverpasswordset, виртуалният хъб DEFAULT се изтрива (команда hubdelete) и се създава нов с име Suricata_VPN, като паролата му също се задава (команда hubcreate). След това трябва да отидете до конзолата за управление на новия хъб, като използвате командата hub Suricata_VPN, за да създадете група и потребител, като използвате командите groupcreate и usercreate. Потребителската парола се задава с помощта на userpasswordset.

SoftEther поддържа два режима на пренос на трафик: SecureNAT и Local Bridge. Първият е патентована технология за изграждане на виртуална частна мрежа със собствен NAT и DHCP. SecureNAT не изисква TUN/TAP или Netfilter или други настройки на защитната стена. Маршрутизирането не засяга ядрото на системата и всички процеси са виртуализирани и работят на всеки VPS / VDS, независимо от използвания хипервизор. Това води до повишено натоварване на процесора и по-ниска скорост в сравнение с режима Local Bridge, който свързва виртуалния хъб SoftEther с физически мрежов адаптер или TAP устройство.

Конфигурирането в този случай става по-сложно, тъй като маршрутизирането се извършва на ниво ядро с помощта на Netfilter. Нашите VDS са изградени на Hyper-V, така че в последната стъпка създаваме локален мост и активираме TAP устройството с командата bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. След като излезем от конзолата за управление на концентратора, ще видим нов мрежов интерфейс в системата, на който все още не е зададен IP:

ifconfig

След това ще трябва да активирате маршрутизиране на пакети между интерфейси (ip forward), ако е неактивно:

sudo nano /etc/sysctl.conf

Разкоментирайте следния ред:

net.ipv4.ip_forward = 1

Запазете промените във файла, излезте от редактора и ги приложете със следната команда:

sudo sysctl -p

След това трябва да дефинираме подмрежа за виртуалната мрежа с фиктивни IP (например 10.0.10.0/24) и да зададем адрес на интерфейса:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

След това трябва да напишете правила на Netfilter.

1. Ако е необходимо, разрешете входящи пакети на слушащи портове (патентованият протокол на SoftEther използва HTTPS и порт 443)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. Настройте NAT от подмрежата 10.0.10.0/24 към IP на главния сървър

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. Разрешете преминаването на пакети от подмрежата 10.0.10.0/24

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. Разрешете преминаването на пакети за вече установени връзки

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Ще оставим автоматизирането на процеса при рестартиране на системата с помощта на инициализиращи скриптове на читателите като домашна работа.

Ако искате автоматично да давате IP на клиентите, ще трябва също да инсталирате някакъв вид DHCP услуга за локалния мост. Това завършва настройката на сървъра и можете да отидете на клиентите. SoftEther поддържа много протоколи, чието използване зависи от възможностите на LAN оборудването.

netstat -ap |grep vpnserver

Тъй като нашият тестов рутер също работи под Ubuntu, нека инсталираме пакетите softether-vpnclient и softether-vpncmd от външно хранилище на него, за да използваме собствения протокол. Ще трябва да стартирате клиента:

sudo vpnclient start

За да конфигурирате, използвайте помощната програма vpncmd, като изберете localhost като машина, на която работи vpnclient. Всички команди се правят в конзолата: ще трябва да създадете виртуален интерфейс (NicCreate) и акаунт (AccountCreate).

В някои случаи трябва да посочите метода за удостоверяване с помощта на командите AccountAnonymousSet, AccountPasswordSet, AccountCertSet и AccountSecureCertSet. Тъй като не използваме DHCP, адресът за виртуалния адаптер се задава ръчно.

Освен това трябва да активираме ip forward (параметърът net.ipv4.ip_forward=1 във файла /etc/sysctl.conf) и да конфигурираме статични маршрути. Ако е необходимо, на VDS със Suricata можете да конфигурирате пренасочване на портове, за да използвате услугите, инсталирани в локалната мрежа. На това сливането на мрежата може да се счита за завършено.

Предложената от нас конфигурация ще изглежда така:

Настройване на Suricata

В предишна статия говорихме за два режима на работа на IDS: през опашката NFQUEUE (режим NFQ) и чрез нулево копиране (режим AF_PACKET). Вторият изисква два интерфейса, но е по-бърз - ще го използваме. Параметърът е зададен по подразбиране в /etc/default/suricata. Също така трябва да редактираме секцията vars в /etc/suricata/suricata.yaml, като зададем виртуалната подмрежа там като домашна.

За да рестартирате IDS, използвайте командата:

systemctl restart suricata

Решението е готово, сега може да се наложи да го тествате за устойчивост на злонамерени действия.

Симулиране на атаки

Може да има няколко сценария за бойно използване на външна IDS услуга:

Защита срещу DDoS атаки (основна цел)

Трудно е да се приложи такава опция в рамките на корпоративната мрежа, тъй като пакетите за анализ трябва да стигнат до системния интерфейс, който гледа към Интернет. Дори ако IDS ги блокира, фалшивият трафик може да прекъсне връзката за данни. За да избегнете това, трябва да поръчате VPS с достатъчно продуктивна интернет връзка, която може да пропуска целия локален мрежов трафик и целия външен трафик. Често е по-лесно и по-евтино да направите това, отколкото да разширите офис канала. Като алтернатива си струва да споменем специализирани услуги за защита срещу DDoS. Цената на техните услуги е сравнима с цената на виртуален сървър и не изисква отнемаща време конфигурация, но има и недостатъци - клиентът получава само DDoS защита за парите си, докато неговият собствен IDS може да бъде конфигуриран като вас като.

Защита срещу външни атаки от друг тип

Suricata е в състояние да се справи с опитите за използване на различни уязвимости в корпоративни мрежови услуги, достъпни от Интернет (пощенски сървър, уеб сървър и уеб приложения и др.). Обикновено за това IDS се инсталира вътре в LAN след граничните устройства, но изнасянето му навън има право на съществуване.

Защита от вътрешни лица

Въпреки всички усилия на системния администратор, компютрите в корпоративната мрежа могат да бъдат заразени със зловреден софтуер. Освен това в района понякога се появяват хулигани, които се опитват да извършват някои незаконни операции. Suricata може да помогне за блокиране на такива опити, въпреки че за защита на вътрешната мрежа е по-добре да го инсталирате вътре в периметъра и да го използвате в тандем с управляван комутатор, който може да отразява трафика към един порт. Външният IDS също не е безполезен в този случай - поне ще може да улови опитите на зловреден софтуер, живеещ в LAN, да се свърже с външен сървър.

Като начало ще създадем друг тестов атакуващ VPS и на рутера на локалната мрежа ще повдигнем Apache с конфигурацията по подразбиране, след което ще препратим 80-ия порт към него от IDS сървъра. След това ще симулираме DDoS атака от атакуващ хост. За да направите това, изтеглете от GitHub, компилирайте и стартирайте малка програма xerxes на атакуващия възел (може да се наложи да инсталирате пакета gcc):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

Резултатът от работата й беше следният:

Suricata отрязва злодея и страницата на Apache се отваря по подразбиране, въпреки нашата импровизирана атака и доста мъртвия канал на "офисната" (всъщност домашна) мрежа. За по-сериозни задачи трябва да използвате Metasploit Framework. Той е предназначен за тестване за проникване и ви позволява да симулирате различни атаки. Инструкции за инсталация доступна на уебсайта на проекта. След инсталирането е необходима актуализация:

sudo msfupdate

За тестване стартирайте msfconsole.

За съжаление, най-новите версии на рамката нямат възможност за автоматично кракване, така че експлойтите ще трябва да бъдат сортирани ръчно и стартирани с помощта на командата use. Като начало си струва да определите отворените портове на атакуваната машина, например, като използвате nmap (в нашия случай той ще бъде напълно заменен от netstat на атакувания хост), след което изберете и използвайте подходящия Metasploit модули.

Има и други средства за тестване на устойчивостта на IDS срещу атаки, включително онлайн услуги. В името на любопитството можете да организирате стрес тестове, като използвате пробната версия IP стресър. За да проверите реакцията на действията на вътрешните нарушители, струва си да инсталирате специални инструменти на една от машините в локалната мрежа. Има много опции и от време на време те трябва да се прилагат не само към експерименталния сайт, но и към работещи системи, само това е съвсем различна история.

Източник: www.habr.com

Смъркане или Суриката. Част 3: Защита на офис мрежата

Свързване на мрежи

Настройване на Suricata

Симулиране на атаки

Добавяне на нов коментар

Смъркане или Суриката. Част 3: Защита на офис мрежата

Свързване на мрежи

Настройване на Suricata

Симулиране на атаки

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар