В avemu cupertu cumu eseguisce a versione stabile di Suricata in Ubuntu 18.04 LTS. Stabilisce un IDS in un unicu node è attivà setti di regule gratuiti hè abbastanza simplice. Oghje scopreremu cumu prutegge una reta corporativa utilizendu i tipi di attacchi più cumuni cù Suricata installatu in un servitore virtuale. Per fà questu, avemu bisognu di un VDS in Linux cù dui core di computing. A quantità di RAM dipende da a carica: 2 GB hè abbastanza per qualchissia, è ancu 4 o ancu 6 pò esse necessariu per i travaglii più serii. U vantaghju di una macchina virtuale hè a capacità di sperimentà: pudete principià cù una cunfigurazione minima è cresce. risorse cum'è necessariu.
foto: Reuters
Cunnettendu e rete
Eliminazione di IDS à una macchina virtuale in u primu locu pò esse necessariu per e teste. Se ùn avete mai trattatu tali suluzioni, ùn deve micca affruntà à urdinà hardware fisicu è cambià l'architettura di a rete. Hè megliu eseguisce u sistema in modu sicuru è costu-efficace per determinà i vostri bisogni di calculu. Hè impurtante di capisce chì tuttu u trafficu corporativu duverà esse passatu per un unicu node esternu: per cunnette una reta lucale (o parechje rete) à un VDS cù IDS Suricata installatu, pudete aduprà. - Un servitore VPN multiplataforma faciule da cunfigurà chì furnisce una criptografia forte. Una cunnessione Internet di l'uffiziu ùn pò micca avè una IP vera, cusì hè megliu cunfigurà in un VPS. Ùn ci sò micca pacchetti pronti in u repositariu Ubuntu, avete da scaricà u software sia da , o da un repositoriu esternu nantu à u serviziu (se fidate di ellu):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updatePudete vede a lista di i pacchetti dispunibili cù u cumandimu seguitu:
apt-cache search softether
Avemu bisognu di softether-vpnserver (u servitore in a cunfigurazione di prova hè in esecuzione in VDS), è ancu softether-vpncmd - utilità di linea di cumanda per a cunfigurazione.
sudo apt-get install softether-vpnserver softether-vpncmdUna utilità di linea di cumanda speciale hè aduprata per cunfigurà u servitore:
sudo vpncmd
Ùn avemu micca parlatu in dettagliu nantu à u paràmetru: a prucedura hè abbastanza simplice, hè ben descritta in numerosi publicazioni è ùn hè micca direttamente in relazione cù u tema di l'articulu. In corta, dopu avè principiatu vpncmd, avete bisognu di selezziunà l'elementu 1 per andà in a cunsola di gestione di u servitore. Per fà questu, avete bisognu di inserisce u nome localhost è appughjà enteru invece di inserisce u nome di u hub. A password di l'amministratore hè stabilitu in a cunsola cù u cumandimu serverpasswordset, u hub virtuale DEFAULT hè eliminatu (cumandamentu hubdelete) è un novu hè creatu cù u nome Suricata_VPN, è a so password hè ancu stabilita (cumandamentu hubcreate). In seguitu, avete bisognu à andà à a cunsola di gestione di u novu hub usendu u cumandamentu di u centru Suricata_VPN per creà un gruppu è un utilizatore utilizendu i cumandamenti groupcreate è usercreate. A password di l'utilizatore hè stabilita cù userpasswordset.
SoftEther supporta dui modi di trasferimentu di trafficu: SecureNAT è Local Bridge. U primu hè una tecnulugia proprietaria per custruisce una reta privata virtuale cù u so propiu NAT è DHCP. SecureNAT ùn necessita micca TUN / TAP o Netfilter o altre paràmetri di firewall. U routing ùn affetta micca u core di u sistema, è tutti i prucessi sò virtualizzati è funzionanu in qualsiasi VPS / VDS, indipendentemente da l'ipervisore utilizatu. Questu risultatu in una carica di CPU aumentata è una velocità più lenta paragunata à u modu Local Bridge, chì cunnetta u centru virtuale SoftEther à un adattatore fisicu di rete o un dispositivu TAP.
A cunfigurazione in questu casu diventa più cumplicata, postu chì u routing si trova à u livellu di u kernel cù Netfilter. I nostri VDS sò custruiti nantu à Hyper-V, cusì in l'ultimu passu creemu un ponte lucale è attivemu u dispusitivu TAP cù u bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes command. Dopu avè esce da a cunsola di gestione di u hub, vedemu una nova interfaccia di rete in u sistema chì ùn hè micca stata ancu attribuita una IP:
ifconfig
In seguitu, vi tuccherà à attivà u routing di pacchetti trà interfacce (ip forward), s'ellu hè inattivu:
sudo nano /etc/sysctl.confUncomment a linea seguente:
net.ipv4.ip_forward = 1Salvà i cambiamenti à u schedariu, esci da l'editore è appiccà cù u cumandimu seguente:
sudo sysctl -pDopu, avemu bisognu di definisce una subnet per a reta virtuale cù IP fittizi (per esempiu, 10.0.10.0/24) è assignà un indirizzu à l'interfaccia:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Allora avete bisognu di scrive e regule di Netfilter.
1. Se ne necessariu, permette i pacchetti in entrata nantu à i porti d'ascoltu (protokollu propiu di SoftEther usa HTTPS è u portu 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Configurate NAT da a subnet 10.0.10.0/24 à l'IP di u servitore principale
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Permette di passà pacchetti da a subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Permette di passà pacchetti per e cunnessione digià stabilitu
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTLasceremu l'automatizazione di u prucessu quandu u sistema hè riavviatu cù script d'inizializazione à i lettori cum'è travaglii di casa.
Se vulete dà l'IP à i clienti in autumàticu, avete ancu bisognu di installà un tipu di serviziu DHCP per u ponte lucale. Questu cumpleta a configurazione di u servitore è pudete andà à i clienti. SoftEther sustene parechji protokolli, l'usu di quale dipende di e capacità di l'equipaggiu LAN.
netstat -ap |grep vpnserver
Siccomu u nostru router di prova funziona ancu sottu Ubuntu, installemu i pacchetti softether-vpnclient è softether-vpncmd da un repositoriu esternu nantu à ellu per utilizà u protokollu pruprietariu. Avete bisognu di eseguisce u cliente:
sudo vpnclient startPer cunfigurà, utilizate l'utilità vpncmd, selezziunate localhost cum'è a macchina nantu à quale u vpnclient hè in esecuzione. Tutti i cumandamenti sò fatti in a cunsola: avete bisognu di creà una interfaccia virtuale (NicCreate) è un contu (AccountCreate).
In certi casi, deve specificà u metudu di autentificazione utilizendu i cumandamenti AccountAnonymousSet, AccountPasswordSet, AccountCertSet è AccountSecureCertSet. Siccomu ùn usemu micca DHCP, l'indirizzu per l'adattatore virtuale hè stabilitu manualmente.
Inoltre, avemu bisognu di attivà ip forward (u paràmetru net.ipv4.ip_forward = 1 in u schedariu /etc/sysctl.conf) è cunfigurà rotte statiche. Se necessariu, nantu à VDS cù Suricata, pudete cunfigurà u portu forwarding per utilizà i servizii installati in a reta lucale. Nantu à questu, a fusione di a rete pò esse cunsiderata cumpleta.
A nostra cunfigurazione pruposta serà simile à questu:
Mise en place de Suricata
В avemu parlatu di dui modi di funziunamentu di l'IDS: à traversu a fila NFQUEUE (modu NFQ) è attraversu a copia zero (modu AF_PACKET). U sicondu hà bisognu di duie interfacce, ma hè più veloce - avemu aduprà. U paràmetru hè stabilitu per difettu in /etc/default/suricata. Avemu ancu bisognu di edità a rùbbrica vars in /etc/suricata/suricata.yaml, mettendu a subnet virtuale quì cum'è casa.
Per riavvià IDS, utilizate u cumandimu:
systemctl restart suricataA suluzione hè pronta, avà pudete avè bisognu di pruvà a resistenza à l'azzioni maliziusi.
Simulazione di attacchi
Ci ponu esse parechje scenarii per l'usu di cummattimentu di un serviziu IDS esternu:
Prutezzione contr'à attacchi DDoS (scopu primariu)
Hè difficiuli di implementà una tale opzione in a reta corporativa, postu chì i pacchetti per l'analisi deve ghjunghje à l'interfaccia di u sistema chì vede in Internet. Ancu s'è l'IDS li blucca, u trafficu spuriu pò caccià u ligame di dati. Per evitari questu, avete bisognu di urdinà un VPS cù una cunnessione Internet abbastanza produtiva chì pò passà tuttu u trafficu di a rete locale è tuttu u trafficu esternu. Hè spessu più faciule è più prezzu di fà questu chì di espansione u canali di l'uffiziu. Comu alternativa, vale a pena menzione di servizii specializati per a prutezzione contra DDoS. U costu di i so servizii hè paragunabile à u costu di un servitore virtuale, è ùn hè micca bisognu di cunfigurazione di tempu, ma ci sò ancu disadvantages - u cliente riceve solu prutezzione DDoS per i so soldi, mentre chì u so propiu IDS pò esse cunfiguratu cum'è voi. cum'è.
Prutezzione contra attacchi esterni di altri tipi
Suricata hè capaci di affruntà i tentativi di sfruttà diverse vulnerabilità in i servizii di rete corporativa accessibili da Internet (servitore di mail, servitore web è applicazioni web, etc.). Di solitu, per questu, l'IDS hè stallatu in a LAN dopu à i dispositi di cunfini, ma piglià fora hà u dirittu di esiste.
Prutezzione da l'internu
Malgradu i migliori sforzi di l'amministratore di u sistema, l'urdinatori nantu à a reta corporativa ponu esse infettati cù malware. Inoltre, i hooligans appariscenu qualchì volta in l'area lucale, chì pruvate di fà alcune operazioni illegali. Suricata pò aiutà à bluccà tali tentativi, anche se per prutege a reta interna hè megliu installallu in u perimetru è l'utilizanu in tandem cù un switch gestionatu chì pò speculare u trafficu à un portu. Un IDS esternu ùn hè ancu inutilità in questu casu - almenu serà capaci di catturà tentativi di malware chì vive in a LAN per cuntattà un servitore esternu.
Per principià, avemu da creà una altra prova chì attaccà VPS, è nantu à u router di a reta di a rete locale suscitarà Apache cù a cunfigurazione predeterminata, dopu à quale avemu da trasmette u portu 80th da u servitore IDS. Dopu, simuleremu un attaccu DDoS da un host attaccu. Per fà questu, scaricate da GitHub, compilate è eseguite un picculu prugramma xerxes nantu à u node attaccante (pudete bisognu di installà u pacchettu gcc):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80U risultatu di u so travagliu era u seguitu:
Suricata taglia u cattivu, è a pagina Apache si apre per difettu, malgradu u nostru attaccu improvvisu è u canali piuttostu mortu di a reta di "uffiziu" (in realtà casa). Per i travaglii più serii, duvete aduprà . Hè pensatu per a prova di penetrazione è vi permette di simulà una varietà di attacchi. Istruzzioni di stallazione nant'à u situ web di u prugettu. Dopu à a stallazione, un aghjurnamentu hè necessariu:
sudo msfupdatePer pruvà, eseguite msfconsole.
Sfurtunatamente, l'ultime versioni di u framework ùn mancanu a capacità di cracke automaticamente, cusì i sfruttamenti anu da esse ordinati manualmente è eseguite cù u cumandimu di usu. Per principià, vale a pena determinà i porti aperti nantu à a macchina attaccata, per esempiu, utilizendu nmap (in u nostru casu, serà rimpiazzatu cumplettamente da netstat nantu à l'ospite attaccatu), è dopu selezziunate è utilizate l'appropritatu. .
Ci sò altri mezi per pruvà a resistenza di un IDS contr'à attacchi, cumpresi i servizii in linea. Per a curiosità, pudete organizà una prova di stress utilizendu a versione di prova . Per verificà a reazione à l'azzioni di l'intrusi internu, vale a pena installà strumenti speciali nantu à una di e macchine nantu à a reta lucale. Ci hè parechje scelte è da u tempu à u tempu si deve esse appiicati micca solu à u situ sperimentale, ma ancu à i sistemi di travagliu, solu questu hè una storia completamente diversa.
Source: www.habr.com