Π Gipakita namo kanimo kung unsaon pagpadagan ang stable nga bersyon sa Suricata sa Ubuntu 18.04 LTS. Ang pag-set up sa mga IDS sa usa ka node ug pagkonektar sa mga libre nga mga lagda yano ra. Karon atong mahibal-an kon unsaon pagpanalipod sa usa ka corporate network gikan sa labing komon nga mga matang sa pag-atake gamit ang Suricata nga gi-install sa usa ka virtual server. Aron mahimo kini, kinahanglan namon ang usa ka VDS sa Linux nga adunay duha nga mga core sa kompyuter. Ang gidaghanon sa RAM nagdepende sa load: alang sa pipila, 2 GB igo na, apan alang sa mas seryoso nga mga buluhaton, 4 o bisan 6 mahimong gikinahanglan. ug dugangi ang mga kahinguhaan kon gikinahanglan.
litrato: Reuters
Pagkonektar sa mga network
Ang pagbalhin sa mga IDS ngadto sa usa ka virtual nga makina mahimo nga panguna nga kinahanglanon alang sa pagsulay. Kung wala pa nimo nahibal-an ang ingon nga mga solusyon, kinahanglan nga dili ka magdali sa pag-order sa pisikal nga hardware ug pagbag-o sa arkitektura sa network. Mas maayo nga sulayan ang sistema nga luwas ug walaβy dugang nga gasto aron mahibal-an ang imong mga kinahanglanon sa kapanguhaan sa kompyuter. Mahinungdanon nga masabtan nga ang tanan nga trapiko sa korporasyon kinahanglan nga ipasa sa usa ka eksternal nga node: aron makonektar ang usa ka lokal nga network (o daghang mga network) sa usa ka VDS nga adunay na-install nga IDS Suricata, mahimo nimong magamit. β usa ka dali nga i-set up nga cross-platform VPN server nga naghatag lig-on nga pag-encrypt. Ang koneksyon sa Internet sa opisina mahimong walay tinuod nga IP, mao nga mas maayo nga i-upgrade kini sa VPS. Walaβy andam nga mga pakete sa repositoryo sa Ubuntu; kinahanglan nga i-download ang software gikan sa , o gikan sa usa ka eksternal nga repository sa serbisyo (kung mosalig ka niya):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateMahimo nimong tan-awon ang lista sa magamit nga mga pakete gamit ang mosunud nga mando:
apt-cache search softether
Kinahanglan namon ang softether-vpnserver (ang server sa pagsumpo sa pagsulay nagdagan sa VDS), ingon man ang softether-vpncmd - mga gamit sa linya sa command aron ma-configure kini.
sudo apt-get install softether-vpnserver softether-vpncmdAron ma-configure ang server, gamita ang usa ka espesyal nga command line utility:
sudo vpncmd
Dili kami maghisgot sa detalye bahin sa pag-setup: ang pamaagi yano ra, kini maayo nga gihulagway sa daghang mga publikasyon ug dili direkta nga may kalabotan sa hilisgutan sa artikulo. Sa laktud, pagkahuman sa pagsugod sa vpncmd kinahanglan nimo nga pilion ang aytem 1 aron makaadto sa console sa pagdumala sa server. Aron mahimo kini, kinahanglan nimo nga isulod ang ngalan nga localhost ug pindota ang enter imbis nga mosulod sa ngalan sa hub. Sa console, itakda ang password sa administrator gamit ang serverpasswordset command, kuhaa ang DEFAULT virtual hub (hubdelete command) ug paghimo og bag-o nga adunay ngalan nga Suricata_VPN, ug itakda usab ang password niini (hubcreate command). Sunod, kinahanglan kang moadto sa management console sa bag-ong hub gamit ang hub Suricata_VPN command aron makamugna og grupo ug user gamit ang groupcreate ug usercreate commands. Ang user password gitakda gamit ang userpasswordset.
Gisuportahan sa SoftEther ang duha ka paagi sa pagpasa sa trapiko: SecureNAT ug Local Bridge. Ang una mao ang proprietary nga teknolohiya alang sa pagtukod og virtual private network nga adunay kaugalingong NAT ug DHCP. Ang SecureNAT wala magkinahanglan og TUN/TAP, ni nagkinahanglan kini og Netfilter o uban pang mga setting sa firewall. Ang pagruta dili makaapekto sa kinauyokan sa sistema, ug ang tanan nga mga proseso gi-virtualize ug gipadagan sa bisan unsang VPS/VDS, bisan unsa pa ang gigamit nga hypervisor. Nagresulta kini sa pagtaas sa load sa CPU ug pagkunhod sa gikusgon kumpara sa Local Bridge mode, nga nagkonektar sa SoftEther virtual hub ngadto sa usa ka physical network adapter o TAP device.
Ang pag-configure niini nga kaso nahimong mas komplikado, tungod kay ang pag-ruta mahitabo sa lebel sa kernel gamit ang Netfilter. Ang among VDS gitukod sa Hyper-V, mao nga sa katapusan nga lakang naghimo kami usa ka lokal nga tulay ug gi-aktibo ang TAP device gamit ang bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes command. Human sa paggawas sa hub management console, atong makita ang usa ka bag-ong network interface sa sistema, nga wala pa ma-assign sa usa ka IP:
ifconfig
Sunod kinahanglan nimo nga palihokon ang packet routing tali sa mga interface (ip forward) kung kini dili aktibo:
sudo nano /etc/sysctl.confUncomment sa mosunod nga linya:
net.ipv4.ip_forward = 1Gitipigan namo ang mga pagbag-o sa file, paggawas sa editor ug i-apply kini gamit ang mosunod nga sugo:
sudo sysctl -pSunod, kinahanglan namon nga ipasabut ang usa ka subnet nga adunay tinumotumo nga mga IP alang sa virtual nga network (pananglitan, 10.0.10.0/24) ug maghatag usa ka adres sa interface:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Unya kinahanglan nimo nga i-set up ang mga lagda sa Netfilter.
1. Kung gikinahanglan, tugoti ang umaabot nga mga pakete sa mga port sa pagpaminaw (SoftEther proprietary protocol naggamit sa HTTPS ug port 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. I-configure ang NAT gikan sa 10.0.10.0/24 subnet ngadto sa main server IP
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Tugoti ang pagpasa sa mga pakete gikan sa 10.0.10.0/24 subnet
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Tugoti ang pagpasa sa mga pakete alang sa natukod na nga mga koneksyon
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTIbilin namon ang automation sa proseso kung i-restart ang sistema gamit ang mga script sa pagsugod ingon homework alang sa mga magbabasa.
Kung gusto nimo nga awtomatiko nga mag-isyu sa IP sa mga kliyente, kinahanglan usab nimo nga i-install ang usa ka matang sa serbisyo sa DHCP alang sa lokal nga tulay. Niini nga punto, ang pag-setup sa server nahuman ug mahimo ka nga magpadayon sa mga kliyente. Gisuportahan sa SoftEther ang daghang mga protocol, ang paggamit niini nagdepende sa mga kapabilidad sa kagamitan sa lokal nga network.
netstat -ap |grep vpnserver
Tungod kay ang among test router nagpadagan usab sa Ubuntu, among i-install ang softether-vpnclient ug softether-vpncmd nga mga pakete niini gikan sa usa ka eksternal nga repository aron magamit ang proprietary protocol. Kinahanglan nimong sugdan ang kliyente:
sudo vpnclient startAron ma-configure, gamita ang vpncmd utility, pagpili localhost isip makina diin ang vpnclient nagdagan. Ang tanan nga mga mando gihimo sa console: kinahanglan nimo nga maghimo usa ka virtual interface (NicCreate) ug usa ka account (AccountCreate).
Sa pipila ka mga kaso, kinahanglan nimo nga itakda ang pamaagi sa pag-authenticate gamit ang AccountAnonymousSet, AccountPasswordSet, AccountCertSet, ug AccountSecureCertSet nga mga sugo. Tungod kay wala kami naggamit sa DHCP, ang adres alang sa virtual adapter gitakda sa mano-mano.
Dugang pa, kinahanglan natong i-enable ang ip forward (net.ipv4.ip_forward=1 parameter sa /etc/sysctl.conf file) ug i-configure ang static nga mga rota. Kung gikinahanglan, mahimo nimong i-configure ang pagpasa sa port sa usa ka VDS nga adunay Suricata aron magamit ang mga serbisyo nga na-install sa lokal nga network. Niini nga punto, ang paghiusa sa mga network mahimong isipon nga kompleto.
Ang among gisugyot nga pag-configure mahimong sama niini:
Pagpahimutang sa Suricata
Π naghisgot kami bahin sa duha ka paagi sa operasyon sa IDS: pinaagi sa NFQUEUE queue (NFQ mode) ug pinaagi sa zero copy (AF_PACKET mode). Ang ikaduha nagkinahanglan og duha ka mga interface, apan mas paspas - atong gamiton kini. Ang kapilian gitakda pinaagi sa default sa /etc/default/suricata. Kinahanglan usab namon nga usbon ang seksyon sa vars sa /etc/suricata/suricata.yaml, pagrehistro sa virtual subnet didto isip balay.
Aron ma-restart ang IDS gamita ang command:
systemctl restart suricataAndam na ang solusyon, karon mahimo nimong sulayan kini alang sa pagsukol sa mga tig-atake.
Pag-simulate sa mga pag-atake
Mahimong adunay daghang mga senaryo alang sa paggamit sa kombat sa usa ka serbisyo sa gawas nga IDS:
Proteksyon batok sa mga pag-atake sa DDoS (panguna nga katuyoan)
Lisud nga ipatuman kini nga kapilian sa sulod sa usa ka corporate network, tungod kay ang mga pakete alang sa pagtuki kinahanglan nga makaabut sa interface nga nag-atubang sa Internet sa sistema. Bisan kung gibabagan sila sa mga IDS, ang dili tinuod nga trapiko mahimong makabara sa link sa datos. Aron malikayan kini, kinahanglan ka nga mag-order sa usa ka VPS nga adunay igo nga kusog nga koneksyon sa Internet nga makaagi sa tanan nga trapiko sa lokal nga network ug tanan nga trapiko sa gawas. Kini kasagaran mas sayon ββug mas barato nga buhaton kay sa pagpalapad sa channel sa opisina. Isip alternatibo, angay nga hisgutan ang mga espesyal nga serbisyo alang sa proteksyon sa DDoS. Ang gasto sa ilang mga serbisyo ikatandi sa gasto sa usa ka virtual server, ug ang labor-intensive nga pagsumpo wala gikinahanglan, apan adunay usab mga disadvantages - alang sa ilang salapi ang kliyente makadawat lamang sa proteksyon sa DDoS, samtang ang ilang kaugalingong IDS mahimong ma-configure sumala sa gusto.
Proteksyon batok sa ubang mga matang sa eksternal nga pag-atake
Ang Suricata nakahimo sa pagsagubang sa mga pagsulay sa pagpahimulos sa nagkalain-laing mga kahuyangan sa corporate network services nga ma-access gikan sa Internet (mail server, web server ug web applications, ug uban pa). Kasagaran, alang niini nga katuyoan, ang mga IDS gi-install sa sulod sa lokal nga lugar pagkahuman sa mga aparato sa ngilit, apan ang pagbalhin niini sa gawas adunay katungod usab nga maglungtad.
Proteksyon gikan sa internal nga mga tig-atake
Bisan pa sa tanan nga mga paningkamot sa tigdumala sa sistema, ang mga kompyuter sa usa ka corporate network mahimong mataptan sa malware. Dugang pa, ang mga hooligan usahay magpakita sa lokal nga lugar ug mosulay sa paghimo sa pipila ka mga ilegal nga operasyon. Makatabang ang Suricata sa pag-block sa ingon nga mga pagsulay, bisan kung aron mapanalipdan ang internal nga network mas maayo nga i-install kini sa sulod sa perimeter ug gamiton kini kauban ang usa ka gidumala nga switch nga mahimong salamin sa trapiko sa usa ka pantalan. Ang usa ka eksternal nga IDS dili usab walay pulos sa kini nga kaso - labing menos kini makahimo sa pagdakop sa mga pagsulay sa malware nga nagpuyo sa LAN aron makontak ang usa ka eksternal nga server.
Sa pagsugod, maghimo kami og laing pagsulay nga nag-atake sa VPS, ug sa lokal nga network router among i-install ang Apache nga adunay default nga configuration, ug dayon ipasa ang port 80 gikan sa IDS server ngadto niini. Sunod atong i-simulate ang pag-atake sa DDoS gikan sa nag-atake nga node. Aron mahimo kini, pag-download gikan sa GitHub, pag-compile ug pagdagan ang usa ka gamay nga xerxes nga programa sa nag-atake nga node (tingali kinahanglan nimo nga i-install ang gcc package):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Ang resulta sa iyang trabaho mao ang mosunod:
Giputol sa Suricata ang kontrabida, ug ang panid sa Apache nag-abli pinaagi sa default, bisan pa sa among walaβy nahimo nga pag-atake ug ang labi ka patay nga agianan sa network sa "opisina" (sa tinuud nga balay). Alang sa mas seryoso nga mga buluhaton kini angay nga gamiton . Gidisenyo kini alang sa pagsulay sa pagsulod ug gitugotan ka nga mag-simulate sa daghang lainlaing mga pag-atake. Instruksyon sa pag-instalar sa website sa proyekto. Human sa pag-instalar, gikinahanglan ang pag-update:
sudo msfupdateAlang sa pagsulay, pagdagan ang msfconsole.
Ikasubo, ang pinakabag-o nga mga bersyon sa framework walay katakus sa awtomatikong pag-hack, mao nga ang mga pagpahimulos kinahanglan nga ihan-ay sa mano-mano ug ilunsad gamit ang command sa paggamit. Una, kinahanglan nimo nga mahibal-an ang mga pantalan nga bukas sa giatake nga makina, pananglitan, gamit ang nmap (sa among kaso, kini hingpit nga mapulihan sa netstat sa giatake nga host), ug dayon pilia ug gamita ang angay nga mga. .
Adunay ubang mga paagi sa pagsulay sa pagsukol sa mga IDS sa mga pag-atake, lakip ang mga serbisyo sa online. Alang sa pagkamausisaon, mahimo nimong hikayon ang pagsulay sa stress gamit ang bersyon sa pagsulay . Aron masusi ang reaksyon sa mga aksyon sa internal nga mga tig-atake, angay nga mag-install sa mga espesyal nga himan sa usa sa mga makina sa lokal nga network. Adunay daghang mga kapilian ug matag karon ug unya kinahanglan nga kini magamit dili lamang sa eksperimento nga site, apan usab sa mga sistema sa pagtrabaho, apan kini usa ka lahi nga istorya.
Source: www.habr.com