🥇 স্নর্ট বা সুরিকাটা। পার্ট 3: অফিস নেটওয়ার্ক সুরক্ষা

В পূর্ববর্তী নিবন্ধ আমরা আপনাকে দেখিয়েছি কিভাবে Ubuntu 18.04 LTS-এ Suricata এর স্থিতিশীল সংস্করণ চালাতে হয়। একটি নোডে আইডিএস সেট আপ করা এবং বিনামূল্যে রুলসেট সংযোগ করা বেশ সহজ। আজ আমরা একটি ভার্চুয়াল সার্ভারে ইনস্টল করা Suricata ব্যবহার করে সবচেয়ে সাধারণ ধরনের আক্রমণ থেকে একটি কর্পোরেট নেটওয়ার্ককে কীভাবে রক্ষা করা যায় তা বের করব। এটি করার জন্য, আমাদের লিনাক্সে দুটি কম্পিউটিং কোর সহ একটি ভিডিএস প্রয়োজন। র‍্যামের পরিমাণ লোডের উপর নির্ভর করে: কিছুর জন্য, 2 গিগাবাইট যথেষ্ট, কিন্তু আরও গুরুতর কাজের জন্য, 4 বা এমনকি 6 প্রয়োজন হতে পারে। একটি ভার্চুয়াল মেশিনের সুবিধা হল পরীক্ষা করার ক্ষমতা: আপনি একটি ন্যূনতম কনফিগারেশন দিয়ে শুরু করতে পারেন এবং প্রয়োজন অনুযায়ী সম্পদ বাড়ান।

ছবি: রয়টার্স

সংযোগ নেটওয়ার্ক

একটি ভার্চুয়াল মেশিনে IDS সরানো প্রাথমিকভাবে পরীক্ষার জন্য প্রয়োজনীয় হতে পারে। আপনি যদি কখনও এই জাতীয় সমাধানগুলি নিয়ে কাজ না করেন তবে আপনার শারীরিক হার্ডওয়্যার অর্ডার করতে এবং নেটওয়ার্ক আর্কিটেকচার পরিবর্তন করার জন্য তাড়াহুড়া করা উচিত নয়। আপনার কম্পিউটিং রিসোর্সের চাহিদা নির্ধারণের জন্য নিরাপদে এবং কোনো অতিরিক্ত খরচ ছাড়াই সিস্টেমটি পরীক্ষা করা ভালো। এটা বোঝা গুরুত্বপূর্ণ যে সমস্ত কর্পোরেট ট্র্যাফিক একটি একক বাহ্যিক নোডের মধ্য দিয়ে যেতে হবে: আইডিএস সুরিকাটা ইনস্টল সহ একটি ভিডিএসের সাথে স্থানীয় নেটওয়ার্ক (বা একাধিক নেটওয়ার্ক) সংযোগ করতে, আপনি ব্যবহার করতে পারেন সফটএথার — একটি সহজে সেট আপ ক্রস-প্ল্যাটফর্ম VPN সার্ভার যা শক্তিশালী এনক্রিপশন প্রদান করে। একটি অফিসের ইন্টারনেট সংযোগে প্রকৃত আইপি নাও থাকতে পারে, তাই এটি একটি VPS-এ আপগ্রেড করা ভাল। উবুন্টু সংগ্রহস্থলে কোন রেডিমেড প্যাকেজ নেই; সফটওয়্যারটি ডাউনলোড করতে হবে প্রকল্প এলাকা, অথবা পরিষেবার একটি বহিরাগত সংগ্রহস্থল থেকে Launchpad (যদি আপনি তাকে বিশ্বাস করেন):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

আপনি নিম্নলিখিত কমান্ড ব্যবহার করে উপলব্ধ প্যাকেজগুলির তালিকা দেখতে পারেন:

apt-cache search softether

এটি কনফিগার করার জন্য আমাদের প্রয়োজন হবে softether-vpnserver (পরীক্ষা কনফিগারেশনের সার্ভারটি VDS-এ চলছে), পাশাপাশি softether-vpncmd - কমান্ড লাইন ইউটিলিটিগুলি।

sudo apt-get install softether-vpnserver softether-vpncmd

সার্ভার কনফিগার করতে, একটি বিশেষ কমান্ড লাইন ইউটিলিটি ব্যবহার করুন:

sudo vpncmd

আমরা সেটআপ সম্পর্কে বিশদভাবে কথা বলব না: পদ্ধতিটি বেশ সহজ, এটি অসংখ্য প্রকাশনায় ভালভাবে বর্ণিত হয়েছে এবং নিবন্ধের বিষয়ের সাথে সরাসরি সম্পর্কিত নয়। সংক্ষেপে, vpncmd শুরু করার পরে আপনাকে সার্ভার ম্যানেজমেন্ট কনসোলে যেতে আইটেম 1 নির্বাচন করতে হবে। এটি করার জন্য, আপনাকে লোকালহোস্টের নাম লিখতে হবে এবং হাবের নাম না দিয়ে এন্টার টিপুন। কনসোলে, সার্ভারপাসওয়ার্ডসেট কমান্ডের সাথে অ্যাডমিনিস্ট্রেটর পাসওয়ার্ড সেট করুন, ডিফল্ট ভার্চুয়াল হাব (হাবডিলিট কমান্ড) মুছুন এবং Suricata_VPN নামে একটি নতুন তৈরি করুন এবং এর পাসওয়ার্ড (হাবক্রিট কমান্ড) সেট করুন। এরপরে, আপনাকে হাব Suricata_VPN কমান্ড ব্যবহার করে নতুন হাবের ম্যানেজমেন্ট কনসোলে যেতে হবে groupcreate এবং usercreate কমান্ড ব্যবহার করে একটি গ্রুপ এবং ব্যবহারকারী তৈরি করতে। ব্যবহারকারীর পাসওয়ার্ড ব্যবহারকারী পাসওয়ার্ডসেট ব্যবহার করে সেট করা হয়।

SoftEther দুটি ট্রাফিক ট্রান্সমিশন মোড সমর্থন করে: SecureNAT এবং লোকাল ব্রিজ। প্রথমটি হল নিজস্ব NAT এবং DHCP সহ একটি ভার্চুয়াল প্রাইভেট নেটওয়ার্ক তৈরির জন্য একটি মালিকানাধীন প্রযুক্তি। SecureNAT-এর জন্য TUN/TAP-এর প্রয়োজন নেই, বা এর জন্য Netfilter বা অন্যান্য ফায়ারওয়াল সেটিংসের প্রয়োজন নেই৷ রাউটিং সিস্টেম কোরকে প্রভাবিত করে না, এবং সমস্ত প্রক্রিয়া ভার্চুয়ালাইজ করা হয় এবং হাইপারভাইজার ব্যবহার করা নির্বিশেষে যেকোনো VPS/VDS-এ চালিত হয়। এর ফলে CPU লোড বৃদ্ধি পায় এবং লোকাল ব্রিজ মোডের তুলনায় গতি কমে যায়, যা SoftEther ভার্চুয়াল হাবকে একটি ফিজিক্যাল নেটওয়ার্ক অ্যাডাপ্টার বা TAP ডিভাইসের সাথে সংযুক্ত করে।

এই ক্ষেত্রে কনফিগারেশন আরও জটিল হয়ে ওঠে, যেহেতু নেটফিল্টার ব্যবহার করে কার্নেল স্তরে রাউটিং ঘটে। আমাদের ভিডিএস হাইপার-ভি-তে নির্মিত, তাই শেষ ধাপে আমরা একটি স্থানীয় সেতু তৈরি করি এবং ব্রিজক্রিট Suricate_VPN -device:suricate_vpn -tap:yes কমান্ড দিয়ে TAP ডিভাইসটি সক্রিয় করি। হাব ম্যানেজমেন্ট কনসোল থেকে প্রস্থান করার পরে, আমরা সিস্টেমে একটি নতুন নেটওয়ার্ক ইন্টারফেস দেখতে পাব, যা এখনও আইপি বরাদ্দ করা হয়নি:

ifconfig

পরবর্তীতে আপনাকে ইন্টারফেসের মধ্যে প্যাকেট রাউটিং সক্ষম করতে হবে (আইপি ফরোয়ার্ড) যদি এটি নিষ্ক্রিয় থাকে:

sudo nano /etc/sysctl.conf

নিম্নোক্ত লাইনটি মন্তব্য মুক্ত করুন:

net.ipv4.ip_forward = 1

আমরা ফাইলে পরিবর্তনগুলি সংরক্ষণ করি, সম্পাদক থেকে প্রস্থান করি এবং নিম্নলিখিত কমান্ড ব্যবহার করে সেগুলি প্রয়োগ করি:

sudo sysctl -p

এর পরে, আমাদের ভার্চুয়াল নেটওয়ার্কের জন্য কাল্পনিক আইপি সহ একটি সাবনেট সংজ্ঞায়িত করতে হবে (উদাহরণস্বরূপ, 10.0.10.0/24) এবং ইন্টারফেসে একটি ঠিকানা বরাদ্দ করতে হবে:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

তারপর আপনাকে Netfilter নিয়ম সেট আপ করতে হবে।

1. প্রয়োজনে, শোনার পোর্টগুলিতে ইনকামিং প্যাকেটগুলিকে অনুমতি দিন (সফ্টইথার মালিকানাধীন প্রোটোকল HTTPS এবং পোর্ট 443 ব্যবহার করে)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT কনফিগার করুন 10.0.10.0/24 সাবনেট থেকে প্রধান সার্ভার আইপিতে

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. 10.0.10.0/24 সাবনেট থেকে প্যাকেট পাস করার অনুমতি দিন

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. ইতিমধ্যে প্রতিষ্ঠিত সংযোগের জন্য প্যাকেট পাস করার অনুমতি দিন

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

পাঠকদের জন্য হোমওয়ার্ক হিসাবে প্রাথমিক স্ক্রিপ্ট ব্যবহার করে সিস্টেমটি পুনরায় চালু করার সময় আমরা প্রক্রিয়াটির অটোমেশন ছেড়ে দেব।

আপনি যদি স্বয়ংক্রিয়ভাবে ক্লায়েন্টদের আইপি ইস্যু করতে চান তবে আপনাকে স্থানীয় সেতুর জন্য কিছু ধরণের DHCP পরিষেবা ইনস্টল করতে হবে। এই মুহুর্তে, সার্ভার সেটআপ সম্পন্ন হয়েছে এবং আপনি ক্লায়েন্টদের কাছে যেতে পারেন। SoftEther অনেক প্রোটোকল সমর্থন করে, যার ব্যবহার স্থানীয় নেটওয়ার্ক সরঞ্জামের ক্ষমতার উপর নির্ভর করে।

netstat -ap |grep vpnserver

যেহেতু আমাদের টেস্ট রাউটারটিও উবুন্টু চালায়, তাই মালিকানা প্রোটোকল ব্যবহার করার জন্য আমরা একটি বাহ্যিক সংগ্রহস্থল থেকে এটিতে softether-vpnclient এবং softether-vpncmd প্যাকেজগুলি ইনস্টল করব। আপনাকে ক্লায়েন্ট শুরু করতে হবে:

sudo vpnclient start

কনফিগার করার জন্য, vpncmd ইউটিলিটি ব্যবহার করুন, vpnclient যে মেশিনে চলছে সেটি হিসাবে লোকালহোস্ট নির্বাচন করুন। সমস্ত কমান্ড কনসোলে তৈরি করা হয়: আপনাকে একটি ভার্চুয়াল ইন্টারফেস (NicCreate) এবং একটি অ্যাকাউন্ট (AccountCreate) তৈরি করতে হবে।

কিছু ক্ষেত্রে, আপনাকে AccountAnonymousSet, AccountPasswordSet, AccountCertSet এবং AccountSecureCertSet কমান্ড ব্যবহার করে প্রমাণীকরণ পদ্ধতি সেট করতে হবে। যেহেতু আমরা DHCP ব্যবহার করছি না, ভার্চুয়াল অ্যাডাপ্টারের ঠিকানাটি ম্যানুয়ালি সেট করা হয়েছে।

উপরন্তু, আমাদের ip ফরওয়ার্ড সক্রিয় করতে হবে (net.ipv4.ip_forward=1 প্যারামিটার /etc/sysctl.conf ফাইলে) এবং স্ট্যাটিক রুট কনফিগার করতে হবে। প্রয়োজনে, আপনি স্থানীয় নেটওয়ার্কে ইনস্টল করা পরিষেবাগুলি ব্যবহার করতে Suricata-এর সাথে একটি VDS-এ পোর্ট ফরওয়ার্ডিং কনফিগার করতে পারেন। এই মুহুর্তে, নেটওয়ার্কগুলির একীকরণ সম্পূর্ণ হিসাবে বিবেচিত হতে পারে।

আমাদের প্রস্তাবিত কনফিগারেশন এই মত কিছু দেখাবে:

সুরিকাটা সেট আপ করা হচ্ছে

В পূর্ববর্তী নিবন্ধ আমরা আইডিএস অপারেশনের দুটি মোড সম্পর্কে কথা বলেছি: NFQUEUE কিউ (NFQ মোড) এবং শূন্য অনুলিপি (AF_PACKET মোড) এর মাধ্যমে। দ্বিতীয়টির জন্য দুটি ইন্টারফেস প্রয়োজন, তবে দ্রুত - আমরা এটি ব্যবহার করব। বিকল্পটি ডিফল্টরূপে /etc/default/suricata-এ সেট করা আছে। আমাদের /etc/suricata/suricata.yaml-এ vars বিভাগটি সম্পাদনা করতে হবে, সেখানে ভার্চুয়াল সাবনেটটিকে হোম হিসাবে নিবন্ধন করতে হবে।

আইডিএস পুনরায় চালু করতে কমান্ডটি ব্যবহার করুন:

systemctl restart suricata

সমাধান প্রস্তুত, এখন আপনাকে আক্রমণকারীদের প্রতিরোধের জন্য এটি পরীক্ষা করতে হতে পারে।

আক্রমন অনুকরণ

একটি বহিরাগত আইডিএস পরিষেবার যুদ্ধ ব্যবহারের জন্য বিভিন্ন পরিস্থিতিতে থাকতে পারে:

DDoS আক্রমণের বিরুদ্ধে সুরক্ষা (মূল উদ্দেশ্য)

একটি কর্পোরেট নেটওয়ার্কের মধ্যে এই বিকল্পটি বাস্তবায়ন করা কঠিন, কারণ বিশ্লেষণের জন্য প্যাকেটগুলি অবশ্যই সিস্টেমের ইন্টারনেট-মুখী ইন্টারফেসে পৌঁছাতে হবে। এমনকি যদি আইডিএস সেগুলিকে ব্লক করে, তবে বানোয়াট ট্র্যাফিক ডেটা লিঙ্কটি আটকাতে পারে। এটি এড়াতে, আপনাকে পর্যাপ্ত শক্তিশালী ইন্টারনেট সংযোগ সহ একটি VPS অর্ডার করতে হবে যা সমস্ত স্থানীয় নেটওয়ার্ক ট্র্যাফিক এবং সমস্ত বহিরাগত ট্র্যাফিকের মধ্য দিয়ে যেতে পারে। অফিস চ্যানেল প্রসারিত করার চেয়ে এটি করা প্রায়শই সহজ এবং সস্তা। একটি বিকল্প হিসাবে, এটি DDoS সুরক্ষার জন্য বিশেষ পরিষেবাগুলি উল্লেখ করার মতো। তাদের পরিষেবাগুলির খরচ একটি ভার্চুয়াল সার্ভারের খরচের সাথে তুলনীয়, এবং শ্রম-নিবিড় কনফিগারেশনের প্রয়োজন নেই, তবে অসুবিধাগুলিও রয়েছে - তাদের অর্থের জন্য ক্লায়েন্ট শুধুমাত্র DDoS সুরক্ষা পায়, যখন তাদের নিজস্ব IDS পছন্দ অনুযায়ী কনফিগার করা যেতে পারে।

অন্যান্য ধরনের বাহ্যিক আক্রমণের বিরুদ্ধে সুরক্ষা

Suricata ইন্টারনেট (মেল সার্ভার, ওয়েব সার্ভার এবং ওয়েব অ্যাপ্লিকেশন, ইত্যাদি) থেকে অ্যাক্সেসযোগ্য কর্পোরেট নেটওয়ার্ক পরিষেবাগুলিতে বিভিন্ন দুর্বলতাকে কাজে লাগানোর প্রচেষ্টার সাথে মোকাবিলা করতে সক্ষম। সাধারণত, এই উদ্দেশ্যে, প্রান্ত ডিভাইসগুলির পরে স্থানীয় এলাকার ভিতরে আইডিএস ইনস্টল করা হয়, তবে এটিকে বাইরে নিয়ে যাওয়ারও অস্তিত্বের অধিকার রয়েছে।

অভ্যন্তরীণ আক্রমণকারীদের থেকে সুরক্ষা

সিস্টেম অ্যাডমিনিস্ট্রেটরের সমস্ত প্রচেষ্টা সত্ত্বেও, কর্পোরেট নেটওয়ার্কের কম্পিউটারগুলি ম্যালওয়্যার দ্বারা সংক্রামিত হতে পারে। উপরন্তু, গুণ্ডারা মাঝে মাঝে স্থানীয় এলাকায় উপস্থিত হয় এবং কিছু অবৈধ অপারেশন করার চেষ্টা করে। Suricata এই ধরনের প্রচেষ্টাকে ব্লক করতে সাহায্য করতে পারে, যদিও অভ্যন্তরীণ নেটওয়ার্ক রক্ষা করার জন্য এটিকে পরিধির ভিতরে ইনস্টল করা এবং একটি পরিচালিত সুইচের সাথে এটি ব্যবহার করা ভাল যা একটি পোর্টে ট্রাফিককে মিরর করতে পারে। একটি বাহ্যিক IDS এই ক্ষেত্রেও অকেজো নয় - অন্তত এটি একটি বহিরাগত সার্ভারের সাথে যোগাযোগ করার জন্য LAN-এ বসবাসকারী ম্যালওয়্যার দ্বারা প্রচেষ্টা ধরতে সক্ষম হবে৷

শুরুতে, আমরা ভিপিএস আক্রমণকারী আরেকটি পরীক্ষা তৈরি করব এবং স্থানীয় নেটওয়ার্ক রাউটারে আমরা ডিফল্ট কনফিগারেশন সহ অ্যাপাচি ইনস্টল করব এবং তারপরে IDS সার্ভার থেকে পোর্ট 80 ফরওয়ার্ড করব। এরপরে আমরা অ্যাটাকিং নোড থেকে একটি DDoS অ্যাটাক সিমুলেট করব। এটি করার জন্য, GitHub থেকে ডাউনলোড করুন, আক্রমণকারী নোডে একটি ছোট xerxes প্রোগ্রাম কম্পাইল করুন এবং চালান (আপনাকে gcc প্যাকেজ ইনস্টল করতে হতে পারে):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

তার কাজের ফলাফল নিম্নরূপ ছিল:

সুরিকাটা ভিলেনকে কেটে দেয়, এবং আমাদের অবিলম্বে আক্রমণ এবং "অফিস" (আসলে হোম) নেটওয়ার্কের বরং ডেড চ্যানেল সত্ত্বেও, অ্যাপাচি পৃষ্ঠাটি ডিফল্টরূপে খোলে। আরও গুরুতর কাজের জন্য এটি ব্যবহার করা মূল্যবান Metasploit ফ্রেমওয়ার্ক. এটি অনুপ্রবেশ পরীক্ষার জন্য ডিজাইন করা হয়েছে এবং আপনাকে বিভিন্ন ধরণের আক্রমণ অনুকরণ করতে দেয়। সংস্থাপনের নির্দেশনা উপলব্ধ প্রকল্পের ওয়েবসাইটে। ইনস্টলেশনের পরে, একটি আপডেট প্রয়োজন হবে:

sudo msfupdate

পরীক্ষার জন্য, msfconsole চালান।

দুর্ভাগ্যবশত, ফ্রেমওয়ার্কের সর্বশেষ সংস্করণে স্বয়ংক্রিয়ভাবে হ্যাক করার ক্ষমতা নেই, তাই শোষণগুলিকে ম্যানুয়ালি সাজাতে হবে এবং ব্যবহার কমান্ড ব্যবহার করে চালু করতে হবে। প্রথমে, আপনাকে আক্রমণ করা মেশিনে খোলা পোর্টগুলি নির্ধারণ করতে হবে, উদাহরণস্বরূপ, nmap ব্যবহার করে (আমাদের ক্ষেত্রে, এটি আক্রমণ করা হোস্টে নেটস্ট্যাট দ্বারা সম্পূর্ণরূপে প্রতিস্থাপিত হবে), এবং তারপরে উপযুক্তগুলি নির্বাচন করুন এবং ব্যবহার করুন। মেটাসপ্লয়েট মডিউল.

অনলাইন পরিষেবা সহ আক্রমণের বিরুদ্ধে আইডিএসের প্রতিরোধের পরীক্ষা করার অন্যান্য উপায় রয়েছে। কৌতূহলের খাতিরে, আপনি ট্রায়াল সংস্করণ ব্যবহার করে চাপ পরীক্ষার ব্যবস্থা করতে পারেন আইপি স্ট্রেসার. অভ্যন্তরীণ আক্রমণকারীদের ক্রিয়াকলাপের প্রতিক্রিয়া পরীক্ষা করার জন্য, স্থানীয় নেটওয়ার্কের একটি মেশিনে বিশেষ সরঞ্জাম ইনস্টল করা মূল্যবান। অনেকগুলি বিকল্প রয়েছে এবং পর্যায়ক্রমে সেগুলি কেবল পরীক্ষামূলক সাইটেই নয়, কাজের সিস্টেমগুলিতেও প্রয়োগ করা উচিত, তবে এটি একটি সম্পূর্ণ ভিন্ন গল্প।

উত্স: www.habr.com

Snort বা Suricata. পার্ট 3: অফিস নেটওয়ার্ক রক্ষা করা

সংযোগ নেটওয়ার্ক

সুরিকাটা সেট আপ করা হচ্ছে

আক্রমন অনুকরণ

একটি মন্তব্য জুড়ুন উত্তর বাতিল