В Fe wnaethon ni ddangos i chi sut i redeg y fersiwn sefydlog o Suricata ar Ubuntu 18.04 LTS. Mae sefydlu IDS ar un nod a chysylltu setiau rheolau am ddim yn eithaf syml. Heddiw, byddwn yn darganfod sut i amddiffyn rhwydwaith corfforaethol rhag y mathau mwyaf cyffredin o ymosodiadau gan ddefnyddio Suricata wedi'i osod ar weinydd rhithwir. I wneud hyn, mae angen VDS arnom ar Linux gyda dau graidd cyfrifiadurol. Mae faint o RAM yn dibynnu ar y llwyth: i rai, mae 2 GB yn ddigon, ond ar gyfer tasgau mwy difrifol, efallai y bydd angen 4 neu hyd yn oed 6. Mantais peiriant rhithwir yw'r gallu i arbrofi: gallwch chi ddechrau gyda chyfluniad lleiaf posibl a chynyddu adnoddau yn ôl yr angen.
llun: Reuters
Cysylltu rhwydweithiau
Efallai y bydd angen symud IDS i beiriant rhithwir yn bennaf ar gyfer profi. Os nad ydych erioed wedi delio ag atebion o'r fath, ni ddylech ruthro i archebu caledwedd ffisegol a newid pensaernïaeth y rhwydwaith. Mae'n well profi'r system yn ddiogel a heb unrhyw gost ychwanegol i benderfynu ar eich anghenion adnoddau cyfrifiadurol. Mae'n bwysig deall y bydd yn rhaid i'r holl draffig corfforaethol gael ei basio trwy un nod allanol: i gysylltu rhwydwaith lleol (neu sawl rhwydwaith) â VDS gyda IDS Suricata wedi'i osod, gallwch ei ddefnyddio - gweinydd VPN traws-lwyfan hawdd ei sefydlu sy'n darparu amgryptio cryf. Efallai na fydd gan gysylltiad Rhyngrwyd swyddfa IP go iawn, felly mae'n well ei uwchraddio i VPS. Nid oes unrhyw becynnau parod yn ystorfa Ubuntu; bydd yn rhaid lawrlwytho'r feddalwedd naill ai o , neu o ystorfa allanol ar y gwasanaeth (os ydych chi'n ymddiried ynddo):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateGallwch weld y rhestr o becynnau sydd ar gael gan ddefnyddio'r gorchymyn canlynol:
apt-cache search softether
Bydd angen softether-vpnserver arnom (mae'r gweinydd yn y cyfluniad prawf yn rhedeg ar VDS), yn ogystal â softether-vpncmd - cyfleustodau llinell orchymyn i'w ffurfweddu.
sudo apt-get install softether-vpnserver softether-vpncmdI ffurfweddu'r gweinydd, defnyddiwch gyfleustodau llinell orchymyn arbennig:
sudo vpncmd
Ni fyddwn yn siarad yn fanwl am y gosodiad: mae'r weithdrefn yn eithaf syml, fe'i disgrifir yn dda mewn nifer o gyhoeddiadau ac nid yw'n ymwneud yn uniongyrchol â phwnc yr erthygl. Yn fyr, ar ôl cychwyn vpncmd mae angen i chi ddewis eitem 1 i fynd i'r consol rheoli gweinydd. I wneud hyn, mae angen i chi nodi'r enw localhost a phwyso enter yn lle nodi enw'r canolbwynt. Yn y consol, gosodwch gyfrinair y gweinyddwr gyda'r gorchymyn serverpasswordset, dilëwch y canolbwynt rhithwir DEFAULT (gorchymyn hubdelete) a chreu un newydd gyda'r enw Suricata_VPN, a hefyd gosodwch ei gyfrinair (gorchymyn hubcreate). Nesaf, mae angen i chi fynd i gonsol rheoli'r canolbwynt newydd gan ddefnyddio'r gorchymyn hwb Suricata_VPN i greu grŵp a defnyddiwr gan ddefnyddio'r gorchmynion creu grŵp a usercreate. Mae'r cyfrinair defnyddiwr wedi'i osod gan ddefnyddio userpasswordset.
Mae SoftEther yn cefnogi dau ddull trosglwyddo traffig: SecureNAT a Local Bridge. Mae'r cyntaf yn dechnoleg berchnogol ar gyfer adeiladu rhwydwaith preifat rhithwir gyda'i NAT a DHCP ei hun. Nid oes angen TUN/TAP ar SecureNAT, ac nid oes angen Netfilter na gosodiadau mur gwarchod eraill arno. Nid yw llwybro yn effeithio ar graidd y system, ac mae'r holl brosesau'n cael eu rhithweithio a'u rhedeg ar unrhyw VPS / VDS, waeth beth fo'r hypervisor a ddefnyddir. Mae hyn yn arwain at fwy o lwyth CPU a llai o gyflymder o'i gymharu â modd Pont Leol, sy'n cysylltu canolbwynt rhithwir SoftEther ag addasydd rhwydwaith corfforol neu ddyfais TAP.
Mae cyfluniad yn yr achos hwn yn dod yn fwy cymhleth, gan fod llwybro yn digwydd ar lefel y cnewyllyn gan ddefnyddio Netfilter. Mae ein VDS wedi'i adeiladu ar Hyper-V, felly yn y cam olaf rydyn ni'n creu pont leol ac yn actifadu'r ddyfais TAP gyda'r gorchymyn bridgecreate Suricate_VPN -device:suricate_vpn -tap: ie. Ar ôl gadael y consol rheoli hwb, byddwn yn gweld rhyngwyneb rhwydwaith newydd yn y system, nad yw IP wedi'i neilltuo eto:
ifconfig
Nesaf bydd yn rhaid i chi alluogi llwybro pecynnau rhwng rhyngwynebau (ip ymlaen) os yw'n anactif:
sudo nano /etc/sysctl.confDiystyrwch y llinell ganlynol:
net.ipv4.ip_forward = 1Rydym yn cadw'r newidiadau i'r ffeil, yn gadael y golygydd ac yn eu cymhwyso gan ddefnyddio'r gorchymyn canlynol:
sudo sysctl -pNesaf, mae angen i ni ddiffinio is-rwydwaith gydag IPs ffug ar gyfer y rhwydwaith rhithwir (er enghraifft, 10.0.10.0 / 24) a phennu cyfeiriad i'r rhyngwyneb:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Yna bydd angen i chi sefydlu rheolau Netfilter.
1. Os oes angen, caniatewch becynnau sy'n dod i mewn ar borthladdoedd gwrando (mae protocol perchnogol SoftEther yn defnyddio HTTPS a phorthladd 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Ffurfweddu NAT o'r is-rwydwaith 10.0.10.0/24 i'r prif weinyddwr IP
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Caniatáu pasio pecynnau o'r isrwyd 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Caniatáu pasio pecynnau ar gyfer cysylltiadau sydd eisoes wedi'u sefydlu
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTByddwn yn gadael awtomeiddio'r broses wrth ailgychwyn y system gan ddefnyddio sgriptiau ymgychwyn fel gwaith cartref i'r darllenwyr.
Os ydych chi am roi IP yn awtomatig i gleientiaid, bydd yn rhaid i chi hefyd osod rhyw fath o wasanaeth DHCP ar gyfer y bont leol. Ar y pwynt hwn, mae gosodiad y gweinydd wedi'i gwblhau a gallwch symud ymlaen at gleientiaid. Mae SoftEther yn cefnogi llawer o brotocolau, y mae eu defnydd yn dibynnu ar alluoedd yr offer rhwydwaith lleol.
netstat -ap |grep vpnserver
Gan fod ein llwybrydd prawf hefyd yn rhedeg Ubuntu, byddwn yn gosod y pecynnau softether-vpnclient a softether-vpncmd arno o ystorfa allanol er mwyn defnyddio'r protocol perchnogol. Bydd angen i chi gychwyn y cleient:
sudo vpnclient startI ffurfweddu, defnyddiwch y cyfleustodau vpncmd, gan ddewis localhost fel y peiriant y mae vpnclient yn rhedeg arno. Gwneir pob gorchymyn yn y consol: bydd angen i chi greu rhyngwyneb rhithwir (NicCreate) a chyfrif (AccountCreate).
Mewn rhai achosion, mae angen i chi osod y dull dilysu gan ddefnyddio'r gorchmynion AccountAnonymousSet, AccountPasswordSet, AccountCertSet, a AccountSecureCertSet. Gan nad ydym yn defnyddio DHCP, mae'r cyfeiriad ar gyfer yr addasydd rhithwir wedi'i osod â llaw.
Yn ogystal, bydd angen i ni alluogi ip ymlaen (net.ipv4.ip_forward=1 paramedr yn y ffeil /etc/sysctl.conf) a ffurfweddu llwybrau statig. Os oes angen, gallwch chi ffurfweddu anfon porthladd ymlaen ar VDS gyda Suricata i ddefnyddio gwasanaethau sydd wedi'u gosod ar y rhwydwaith lleol. Ar y pwynt hwn, gellir ystyried bod uno rhwydweithiau yn gyflawn.
Bydd ein cyfluniad arfaethedig yn edrych rhywbeth fel hyn:
Sefydlu Suricata
В buom yn siarad am ddau ddull gweithredu IDS: trwy'r ciw NFQUEUE (modd NFQ) a thrwy gopi sero (modd AF_PACKET). Mae angen dau ryngwyneb ar yr ail, ond mae'n gyflymach - byddwn yn ei ddefnyddio. Mae'r opsiwn wedi'i osod yn ddiofyn yn /etc/default/suricata. Bydd angen i ni hefyd olygu'r adran vars yn /etc/suricata/suricata.yaml, gan gofrestru'r is-rwydwaith rhithwir yno fel cartref.
I ailgychwyn IDS defnyddiwch y gorchymyn:
systemctl restart suricataMae'r ateb yn barod, nawr efallai y bydd angen i chi ei brofi am wrthwynebiad i ymosodwyr.
Efelychu ymosodiadau
Gall fod sawl senario ar gyfer defnyddio gwasanaeth IDS allanol i frwydro:
Amddiffyn rhag ymosodiadau DDoS (prif bwrpas)
Mae'n anodd gweithredu'r opsiwn hwn o fewn rhwydwaith corfforaethol, gan fod yn rhaid i becynnau i'w dadansoddi gyrraedd rhyngwyneb y system sy'n wynebu'r Rhyngrwyd. Hyd yn oed os yw'r IDS yn eu blocio, gall traffig annilys rwystro'r cyswllt data. Er mwyn osgoi hyn, mae angen i chi archebu VPS gyda chysylltiad Rhyngrwyd digon pwerus a all basio trwy'r holl draffig rhwydwaith lleol a'r holl draffig allanol. Mae hyn yn aml yn haws ac yn rhatach i'w wneud nag ehangu sianel y swyddfa. Fel dewis arall, mae'n werth sôn am wasanaethau arbenigol ar gyfer amddiffyn DDoS. Mae cost eu gwasanaethau yn debyg i gost gweinydd rhithwir, ac nid oes angen cyfluniad llafurddwys, ond mae anfanteision hefyd - am eu harian dim ond amddiffyniad DDoS y mae'r cleient yn ei dderbyn, tra gellir ffurfweddu eu IDS eu hunain fel y dymunir.
Amddiffyn rhag mathau eraill o ymosodiadau allanol
Mae Suricata yn gallu ymdopi ag ymdrechion i ecsbloetio gwendidau amrywiol mewn gwasanaethau rhwydwaith corfforaethol sydd ar gael o'r Rhyngrwyd (gweinydd post, gweinydd gwe a chymwysiadau gwe, ac ati). Fel arfer, at y diben hwn, gosodir IDS y tu mewn i'r ardal leol ar ôl y dyfeisiau ymyl, ond mae gan ei symud y tu allan hefyd hawl i fodoli.
Amddiffyn rhag ymosodwyr mewnol
Er gwaethaf holl ymdrechion gweinyddwr y system, gall cyfrifiaduron ar rwydwaith corfforaethol gael eu heintio â malware. Yn ogystal, mae hwliganiaid weithiau'n ymddangos yn yr ardal leol ac yn ceisio cyflawni rhai gweithrediadau anghyfreithlon. Gall Suricata helpu i rwystro ymdrechion o'r fath, er i amddiffyn y rhwydwaith mewnol mae'n well ei osod y tu mewn i'r perimedr a'i ddefnyddio ar y cyd â switsh wedi'i reoli a all adlewyrchu traffig i un porthladd. Nid yw IDS allanol yn ddiwerth yn yr achos hwn ychwaith - o leiaf bydd yn gallu dal ymdrechion gan malware sy'n byw ar y LAN i gysylltu â gweinydd allanol.
I ddechrau, byddwn yn creu prawf arall yn ymosod ar VPS, ac ar y llwybrydd rhwydwaith lleol byddwn yn gosod Apache gyda'r ffurfweddiad diofyn, ac yna'n anfon porthladd 80 o'r gweinydd IDS ato. Nesaf byddwn yn efelychu ymosodiad DDoS o nod ymosod. I wneud hyn, lawrlwythwch o GitHub, llunio a rhedeg rhaglen xerxes bach ar y nod ymosod (efallai y bydd angen i chi osod y pecyn gcc):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Roedd canlyniad ei gwaith fel a ganlyn:
Mae Suricata yn torri oddi ar y dihiryn, ac mae tudalen Apache yn agor yn ddiofyn, er gwaethaf ein hymosodiad byrfyfyr a sianel eithaf marw y rhwydwaith “swyddfa” (cartref mewn gwirionedd). Ar gyfer tasgau mwy difrifol mae'n werth eu defnyddio . Fe'i cynlluniwyd ar gyfer profion treiddiad ac mae'n caniatáu ichi efelychu amrywiaeth eang o ymosodiadau. Cyfarwyddiadau gosod ar wefan y prosiect. Ar ôl gosod, bydd angen diweddariad:
sudo msfupdateAr gyfer profi, rhedeg msfconsole.
Yn anffodus, nid oes gan y fersiynau diweddaraf o'r fframwaith y gallu i hacio'n awtomatig, felly bydd yn rhaid datrys campau â llaw a'u lansio gan ddefnyddio'r gorchymyn defnydd. Yn gyntaf, dylech benderfynu ar y porthladdoedd sy'n agored ar y peiriant ymosod, er enghraifft, gan ddefnyddio nmap (yn ein hachos ni, bydd yn cael ei ddisodli'n llwyr gan netstat ar y gwesteiwr yr ymosodwyd arno), ac yna dewiswch a defnyddiwch y rhai priodol .
Mae yna ddulliau eraill o brofi ymwrthedd IDS i ymosodiadau, gan gynnwys gwasanaethau ar-lein. Er mwyn chwilfrydedd, gallwch drefnu profion straen gan ddefnyddio'r fersiwn prawf . Er mwyn gwirio'r ymateb i weithredoedd ymosodwyr mewnol, mae'n werth gosod offer arbennig ar un o'r peiriannau ar y rhwydwaith lleol. Mae yna lawer o opsiynau ac o bryd i'w gilydd dylid eu cymhwyso nid yn unig i'r safle arbrofol, ond hefyd i systemau gweithio, ond mae hon yn stori hollol wahanol.
Ffynhonnell: hab.com