Snort või Suricata. 3. osa: Office'i võrgu kaitsmine

В Eelmine artikkel oleme käsitlenud, kuidas käitada Suricata stabiilset versiooni Ubuntu 18.04 LTS-is. IDS-i seadistamine ühes sõlmes ja tasuta reeglikomplektide lubamine on üsna lihtne. Täna selgitame välja, kuidas kaitsta ettevõtte võrku virtuaalserverisse installitud Suricata abil kõige tavalisemate rünnakutüüpide abil. Selleks vajame Linuxis kahe andmetöötlustuumaga VDS-i. RAM-i maht oleneb koormusest: kellelegi piisab 2 GB-st ja tõsisemate tööülesannete jaoks võib vaja minna 4 või isegi 6. Virtuaalse masina eeliseks on võimalus katsetada: alustada saab minimaalse konfiguratsiooniga ja suurendada ressursse vastavalt vajadusele.

foto: Reuters

• Snort või Suricata. 1. osa: tasuta IDS/IPS-i valimine ettevõtte võrgu kaitsmiseks
• Snort või Suricata. Osa 2: Suricata paigaldamine ja esialgne seadistamine

Võrkude ühendamine

Testide jaoks võib osutuda vajalikuks IDS-i eemaldamine virtuaalmasinast. Kui te pole kunagi selliste lahendustega tegelenud, siis ärge kiirustage füüsilise riistvara tellimisega ja võrguarhitektuuri muutmisega. Arvutusvajaduste kindlaksmääramiseks on kõige parem kasutada süsteemi ohutult ja kulutõhusalt. Oluline on mõista, et kogu ettevõtte liiklus tuleb läbida ühe välise sõlme kaudu: kohaliku võrgu (või mitme võrgu) ühendamiseks VDS-iga, millele on installitud IDS Suricata, saate kasutada PehmeEther - Lihtsalt konfigureeritav platvormideülene VPN-server, mis pakub tugevat krüptimist. Kontori Interneti-ühendusel ei pruugi olla päris IP-d, seega on parem seadistada see VPS-is. Ubuntu hoidlas valmispakette pole, tarkvara tuleb alla laadida kas projekti saitvõi teenuse välisest hoidlast Launchpad (kui sa teda usaldad):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

Saadaolevate pakettide loendit saate vaadata järgmise käsuga:

apt-cache search softether

Selle konfigureerimiseks vajame softether-vpnserverit (testkonfiguratsioonis olev server töötab VDS-is), aga ka softether-vpncmd - käsurea utiliite.

sudo apt-get install softether-vpnserver softether-vpncmd

Serveri konfigureerimiseks kasutatakse spetsiaalset käsurea utiliiti:

sudo vpncmd

Seadistusest me üksikasjalikult ei räägi: protseduur on üsna lihtne, seda on hästi kirjeldatud paljudes väljaannetes ega ole otseselt artikli teemaga seotud. Lühidalt, pärast vpncmd käivitamist peate serveri halduskonsooli minekuks valima üksuse 1. Selleks peate jaoturi nime sisestamise asemel sisestama nime localhost ja vajutama sisestusklahvi. Administraatori parool seatakse konsoolis käsuga serverpasswordset, DEFAULT virtuaalne jaotur kustutatakse (käsk hubdelete) ja luuakse uus nimega Suricata_VPN ning määratakse ka selle parool (käsk hubcreate). Järgmisena peate minema uue jaoturi halduskonsooli, kasutades käsku hub Suricata_VPN, et luua rühm ja kasutaja, kasutades käske groupcreate ja usercreate. Kasutaja parool määratakse kasutades userpasswordset.

SoftEther toetab kahte liikluse edastusrežiimi: SecureNAT ja Local Bridge. Esimene on patenteeritud tehnoloogia virtuaalse privaatvõrgu loomiseks oma NAT-i ja DHCP-ga. SecureNAT ei vaja TUN/TAP-i ega Netfilterit ega muid tulemüüri sätteid. Marsruutimine ei mõjuta süsteemi tuuma ning kõik protsessid on virtualiseeritud ja töötavad mis tahes VPS-i / VDS-iga, olenemata kasutatavast hüperviisorist. Selle tulemuseks on suurem protsessori koormus ja aeglasem kiirus võrreldes Local Bridge režiimiga, mis ühendab SoftEtheri virtuaalse jaoturi füüsilise võrguadapteri või TAP-seadmega.

Seadistamine muutub sel juhul keerulisemaks, kuna marsruutimine toimub Netfilteri abil tuuma tasemel. Meie VDS on üles ehitatud Hyper-V-le, nii et viimases etapis loome kohaliku silla ja aktiveerime TAP-seadme käsuga bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. Pärast jaoturi halduskonsoolist väljumist näeme süsteemis uut võrguliidest, millele pole veel IP-aadressi määratud:

ifconfig

Järgmisena peate lubama pakettide marsruutimise liideste vahel (ip edasi), kui see on passiivne:

sudo nano /etc/sysctl.conf

Tühista järgmise rea kommentaarid:

net.ipv4.ip_forward = 1

Salvestage faili muudatused, väljuge redaktorist ja rakendage need järgmise käsuga:

sudo sysctl -p

Järgmiseks peame määratlema fiktiivsete IP-aadressidega (näiteks 10.0.10.0/24) virtuaalse võrgu alamvõrgu ja määrama liidesele aadressi:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

Seejärel peate kirjutama Netfilteri reeglid.

1. Vajadusel lubage sissetulevad paketid kuulamisportides (SoftEtheri patenteeritud protokoll kasutab HTTPS-i ja porti 443)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. Seadistage NAT alamvõrgust 10.0.10.0/24 peaserveri IP-le

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. Lubage pakettide edastamine alamvõrgust 10.0.10.0/24

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. Lubage juba loodud ühenduste jaoks pakette edastada

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Protsessi automatiseerimise jätame süsteemi taaskäivitamisel initsialiseerimisskripte kasutades lugejate kodutööks.

Kui soovite IP-d klientidele automaatselt anda, peate installima kohaliku silla jaoks ka mingi DHCP-teenuse. See lõpetab serveri seadistamise ja võite minna klientide juurde. SoftEther toetab paljusid protokolle, mille kasutamine sõltub LAN-seadmete võimalustest.

netstat -ap |grep vpnserver

Kuna meie testruuter töötab ka Ubuntu all, installime sellele välisest hoidlast paketid softether-vpnclient ja softether-vpncmd, et kasutada patenteeritud protokolli. Peate klienti käivitama:

sudo vpnclient start

Konfigureerimiseks kasutage utiliiti vpncmd, valides masinaks, millel vpnclient töötab, localhost. Kõik käsud tehakse konsoolis: peate looma virtuaalse liidese (NicCreate) ja konto (AccountCreate).

Mõnel juhul peate määrama autentimismeetodi, kasutades käske AccountAnonymousSet, AccountPasswordSet, AccountCertSet ja AccountSecureCertSet. Kuna me ei kasuta DHCP-d, määratakse virtuaalse adapteri aadress käsitsi.

Lisaks peame lubama ip forwardi (failis /etc/sysctl.conf parameeter net.ipv4.ip_forward=1) ja konfigureerima staatilised marsruudid. Vajadusel saate Suricataga VDS-is konfigureerida pordi suunamise, et kasutada kohalikku võrku installitud teenuseid. Selle põhjal võib võrgu ühendamise lugeda lõpetatuks.

Meie pakutud konfiguratsioon näeb välja umbes selline:

Suricata seadistamine

В Eelmine artikkel rääkisime kahest IDS-i töörežiimist: NFQUEUE järjekorra kaudu (NFQ-režiim) ja nullkoopia kaudu (AF_PACKET-režiim). Teine nõuab kahte liidest, kuid on kiirem - me kasutame seda. Parameeter on vaikimisi määratud failis /etc/default/suricata. Samuti peame redigeerima failis /etc/suricata/suricata.yaml jaotist Vars, määrates seal virtuaalse alamvõrgu koduks.

IDS-i taaskäivitamiseks kasutage käsku:

systemctl restart suricata

Lahendus on valmis, nüüd peate võib-olla testima selle vastupanuvõimet pahatahtlikele tegevustele.

Rünnakute simuleerimine

Välise IDS-teenuse võitluslikul kasutamisel võib olla mitu stsenaariumi:

Kaitse DDoS-i rünnakute eest (esmane eesmärk)

Sellist võimalust on ettevõtte võrgus keeruline rakendada, kuna analüüsimiseks mõeldud paketid peavad jõudma Internetti vaatavasse süsteemiliidesesse. Isegi kui IDS need blokeerib, võib võltsliiklus andmesideühenduse katkestada. Selle vältimiseks tuleb tellida piisavalt tootliku internetiühendusega VPS, mis suudab läbida kogu kohaliku võrgu liiklust ja kogu välist liiklust. Tihti on seda lihtsam ja odavam teha kui kontorikanalit laiendada. Alternatiivina tasub mainida DDoS-i vastase kaitse eriteenuseid. Nende teenuste maksumus on võrreldav virtuaalserveri maksumusega ja see ei nõua aeganõudvat konfigureerimist, kuid on ka puudusi - klient saab oma raha eest ainult DDoS-kaitse, samas kui tema enda IDS-i saab seadistada nagu teie. meeldib.

Kaitse muud tüüpi väliste rünnakute eest

Suricata on võimeline toime tulema katsetega ära kasutada Internetist ligipääsetavate ettevõtete võrguteenuste (meiliserver, veebiserver ja veebirakendused jne) erinevaid turvaauke. Tavaliselt paigaldatakse selleks IDS LAN-i sisse piiriseadmete järel, kuid väljapoole viimisel on õigus eksisteerida.

Kaitse siseringi eest

Vaatamata süsteemiadministraatori pingutustele võivad ettevõtte võrgus olevad arvutid olla nakatatud pahavaraga. Lisaks ilmuvad kohalikku piirkonda mõnikord huligaanid, kes üritavad sooritada mõnda ebaseaduslikku toimingut. Suricata võib aidata selliseid katseid blokeerida, kuigi sisevõrgu kaitsmiseks on parem paigaldada see perimeetri sisse ja kasutada seda koos hallatava lülitiga, mis peegeldab liiklust ühte porti. Ka väline IDS pole sel juhul kasutu – vähemalt suudab see tabada LAN-is elava pahavara katseid välise serveriga ühendust võtta.

Alustuseks loome veel ühe VPS-i ründava testi ning kohaliku võrgu ruuteril tõstame vaikekonfiguratsiooniga Apache, misjärel edastame sellele IDS-serverist 80. pordi. Järgmisena simuleerime ründava hosti DDoS-i rünnakut. Selleks laadige alla GitHubist, kompileerige ja käivitage ründaval sõlmel väike programm xerxes (võib-olla peate installima gcc paketi):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

Tema töö tulemus oli järgmine:

Suricata lõikab kurikaela ära ja vaikimisi avaneb Apache leht, vaatamata meie ekspromptründele ja "kontori" (tegelikult kodu) võrgu üsna surnud kanalile. Tõsisemate ülesannete jaoks peaksite kasutama Metasploit raamistik. See on mõeldud läbitungimise testimiseks ja võimaldab simuleerida erinevaid rünnakuid. Paigaldusjuhised on saadaval projekti kodulehel. Pärast installimist on vajalik värskendus:

sudo msfupdate

Testimiseks käivitage msfconsole.

Kahjuks puudub raamistiku uusimatel versioonidel automaatne mõramine, mistõttu tuleb ärakasutamist käsitsi sorteerida ja käivitada käsuga use. Alustuseks tasub näiteks nmap abil kindlaks teha rünnatud masinas avatud pordid (meie puhul asendatakse see rünnatud hostis täielikult netstat-iga) ning seejärel valida ja kasutada sobivat Metasploiti moodulid. 

IDS-i rünnakute vastupanuvõime testimiseks on ka teisi vahendeid, sealhulgas võrguteenuseid. Uudishimu huvides saate prooviversiooni abil stressitesti korraldada IP stressi tekitaja. Sisemiste sissetungijate tegevusele reageerimise kontrollimiseks tasub ühele kohaliku võrgu masinale paigaldada spetsiaalsed tööriistad. Võimalusi on palju ja aeg-ajalt tuleks neid rakendada mitte ainult katseplatsil, vaid ka töötavates süsteemides, ainult see on hoopis teine ​​lugu.

Allikas: www.habr.com