Π Ubuntu 18.04 LTS-en Suricata-ren bertsio egonkorra nola exekutatu erakutsi dizugu. IDS nodo batean konfiguratzea eta doako arau multzoak konektatzea nahiko erraza da. Gaur, sare korporatibo bat zerbitzari birtualean instalatutako Suricata erabiliz eraso mota ohikoenetatik nola babestu ikusiko dugu. Horretarako, Linux-en VDS bat behar dugu bi nukleo informatikorekin. RAM kopurua kargaren araberakoa da: batzuentzat 2 GB nahikoa dira, baina zeregin serioagoetarako, 4 edo 6 behar izan daitezke.Makina birtual baten abantaila esperimentatzeko gaitasuna da: konfigurazio minimo batekin has zaitezke. eta behar diren baliabideak handitu.
Argazkia: Reuters
Sareak konektatzea
IDS makina birtual batera eramatea beharrezkoa izan daiteke probak egiteko. Inoiz ez baduzu horrelako soluzioekin jorratu, ez duzu presarik egin behar hardware fisikoa eskatzeko eta sareko arkitektura aldatzeko. Hobe da sistema seguru eta kostu gehigarririk gabe probatzea zure baliabide informatikoen beharrak zehazteko. Garrantzitsua da ulertzea enpresa-trafiko guztia kanpoko nodo bakar batetik pasatu beharko dela: sare lokal bat (edo hainbat sare) IDS Suricata instalatuta duen VDS batera konektatzeko, erabil dezakezu. β konfiguratzeko erraza den plataforma anitzeko VPN zerbitzaria, enkriptazio sendoa eskaintzen duena. Bulegoko Interneteko konexio batek baliteke benetako IPrik ez izatea, beraz, hobe da VPS batera berritzea. Ubuntu biltegian ez dago prest egindako paketerik; softwarea bietatik deskargatu beharko da , edo zerbitzuko kanpoko biltegi batetik (Beraz fidatzen bazara):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateEskuragarri dauden paketeen zerrenda ikus dezakezu komando hau erabiliz:
apt-cache search softether
softether-vpnserver beharko dugu (probaren konfigurazioko zerbitzaria VDSn exekutatzen ari da), baita softether-vpncmd - komando lerroko utilitateak konfiguratzeko.
sudo apt-get install softether-vpnserver softether-vpncmdZerbitzaria konfiguratzeko, erabili komando lerroko utilitate berezi bat:
sudo vpncmd
Ez dugu zehatz-mehatz hitz egingo konfigurazioari buruz: prozedura nahiko erraza da, argitalpen ugaritan ondo deskribatuta dago eta ez du zuzenean lotzen artikuluaren gaiarekin. Laburbilduz, vpncmd abiarazi ondoren 1 elementua hautatu behar duzu zerbitzariaren kudeaketa kontsolara joateko. Horretarako, localhost izena idatzi behar duzu eta sakatu Sartu zentroaren izena sartu beharrean. Kontsolan, ezarri administratzailearen pasahitza serverpasswordset komandoarekin, ezabatu DEFAULT hub birtuala (hubdelete komandoa) eta sortu berri bat Suricata_VPN izenarekin, eta ezarri bere pasahitza ere (hubcreate komandoa). Ondoren, hub berriaren kudeaketa kontsolara joan behar duzu hub Suricata_VPN komandoa erabiliz talde bat eta erabiltzailea sortzeko groupcreate eta usercreate komandoak erabiliz. Erabiltzailearen pasahitza userpasswordset erabiliz ezartzen da.
SoftEther-ek trafikoa transmititzeko bi modu onartzen ditu: SecureNAT eta Local Bridge. Lehenengoa bere NAT eta DHCP propioa duen sare pribatu birtual bat eraikitzeko jabedun teknologia da. SecureNATek ez du TUN/TAP behar, ezta Netfilter edo beste suebaki ezarpenak ere. Bideratzeak ez du sistemaren muinean eragiten, eta prozesu guztiak birtualizatu egiten dira eta edozein VPS/VDStan exekutatzen dira, erabilitako hipervisorea edozein dela ere. Honen ondorioz, CPU karga handitu eta abiadura murrizten da Local Bridge moduarekin alderatuta, SoftEther hub birtuala sareko egokitzaile fisiko edo TAP gailu batera konektatzen duena.
Kasu honetan konfigurazioa zaildu egiten da, bideratzea nukleo mailan gertatzen baita Netfilter erabiliz. Gure VDS Hyper-V-en eraikita dago, beraz, azken urratsean zubi lokal bat sortu eta TAP gailua aktibatzen dugu bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes komandoarekin. Zentroa kudeatzeko kontsolatik irten ondoren, sareko interfaze berri bat ikusiko dugu sisteman, oraindik IP esleitu ez zaiona:
ifconfig
Ondoren, interfazeen arteko paketeen bideraketa gaitu beharko duzu (ip aurrera) aktibo ez badago:
sudo nano /etc/sysctl.confKendu iruzkinak lerro hau:
net.ipv4.ip_forward = 1Aldaketak fitxategian gordetzen ditugu, editoretik irten eta hurrengo komandoa erabiliz aplikatzen ditugu:
sudo sysctl -pOndoren, sare birtualerako fikziozko IPak dituen azpisare bat definitu behar dugu (adibidez, 10.0.10.0/24) eta helbide bat esleitu interfazeari:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Ondoren, Netfilter arauak konfiguratu beharko dituzu.
1. Beharrezkoa bada, baimendu sarrerako paketeak entzuteko ataketan (SoftEther jabedun protokoloak HTTPS eta 443 ataka erabiltzen ditu)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Konfiguratu NAT 10.0.10.0/24 azpisaretik zerbitzari nagusiko IPra
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Baimendu 10.0.10.0/24 azpisaretik paketeak pasatzen
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Baimendu dagoeneko ezarritako konexioetarako paketeak pasatzen
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTSistema berrabiarazteko prozesuaren automatizazioa utziko dugu hasierako script-ak irakurleen etxeko lan gisa erabiliz.
Bezeroei IP automatikoki igorri nahi badiezu, tokiko zubirako DHCP zerbitzu motaren bat ere instalatu beharko duzu. Une honetan, zerbitzariaren konfigurazioa amaitu da eta bezeroetara joan zaitezke. SoftEther-ek protokolo asko onartzen ditu, eta horien erabilera sare lokaleko ekipoen gaitasunen araberakoa da.
netstat -ap |grep vpnserver
Gure probako bideratzaileak Ubuntu ere exekutatzen duenez, softether-vpnclient eta softether-vpncmd paketeak instalatuko ditugu kanpoko biltegi batetik, jabedun protokoloa erabiltzeko. Bezeroa abiarazi beharko duzu:
sudo vpnclient startKonfiguratzeko, erabili vpncmd utilitatea, localhost hautatuz vpnclient exekutatzen ari den makina gisa. Komando guztiak kontsolan egiten dira: interfaze birtual bat (NicCreate) eta kontu bat (AccountCreate) sortu beharko dituzu.
Zenbait kasutan, autentifikazio-metodoa ezarri behar duzu AccountAnonymousSet, AccountPasswordSet, AccountCertSet eta AccountSecureCertSet komandoak erabiliz. DHCP erabiltzen ez dugunez, egokitzaile birtualaren helbidea eskuz ezartzen da.
Horrez gain, ip forward gaitu beharko dugu (net.ipv4.ip_forward=1 parametroa /etc/sysctl.conf fitxategian) eta ibilbide estatikoak konfiguratu beharko ditugu. Beharrezkoa izanez gero, Suricata duen VDS batean portuak birbidaltzea konfigura dezakezu sare lokalean instalatutako zerbitzuak erabiltzeko. Une honetan, sareen bateratzea amaitutzat jo daiteke.
Gure proposatutako konfigurazioa honelako itxura izango du:
Suricata konfiguratzea
Π IDS funtzionatzeko bi moduri buruz hitz egin dugu: NFQUEUE ilararen bidez (NFQ modua) eta zero kopiaren bidez (AF_PACKET modua). Bigarrenak bi interfaze behar ditu, baina azkarragoa da - erabiliko dugu. Aukera lehenespenez ezarrita dago /etc/default/suricata-n. Vars atala ere editatu beharko dugu /etc/suricata/suricata.yaml-n, bertan azpisare birtuala hasiera gisa erregistratuz.
IDS berrabiarazteko, erabili komandoa:
systemctl restart suricataIrtenbidea prest dago, orain erasotzaileekiko erresistentzia probatu beharko duzu.
Erasoak modelatzea
Kanpoko IDS zerbitzu baten borroka erabiltzeko hainbat eszenatoki egon daitezke:
DDoS erasoen aurkako babesa (helburu nagusia)
Zaila da aukera hau sare korporatibo batean ezartzea, analisirako paketeak sistemaren Interneteko interfazera iritsi behar baitute. IDSk blokeatzen baditu ere, trafiko faltsuak datu-esteka oztopatu dezake. Hori ekiditeko, sare lokaleko trafiko guztia eta kanpoko trafiko guztia zeharkatu ahal izateko Interneteko konexio nahiko indartsua duen VPS bat eskatu behar duzu. Hau askotan errazagoa eta merkeagoa da bulegoko kanala zabaltzea baino. Alternatiba gisa, DDoS babeserako zerbitzu espezializatuak aipatzea merezi du. Beren zerbitzuen kostua zerbitzari birtual baten kostuaren parekoa da, eta ez da beharrezkoa konfigurazio lan intentsiboa, baina desabantailak ere badaude - bere diruagatik bezeroak DDoS babesa bakarrik jasotzen du, eta bere IDS propioa nahi bezala konfigura daitekeen bitartean.
Kanpoko beste eraso mota batzuen aurkako babesa
Internetetik eskura daitezkeen sare korporatiboko zerbitzuetan (posta zerbitzaria, web zerbitzaria eta web aplikazioak, etab.) hainbat ahultasun ustiatzeko saiakerei aurre egiteko gai da. Normalean, horretarako, IDS eremu lokalaren barruan instalatzen da ertzeko gailuen ondoren, baina kanpoaldera eramateak ere existitzeko eskubidea du.
Barne erasotzaileengandik babestea
Sistemaren administratzaileak ahalegin guztiak egin arren, sare korporatiboko ordenagailuak malwarez kutsa daitezke. Gainera, zenbaitetan hooliganak agertzen dira tokiko eremuan eta legez kanpoko operazio batzuk egiten saiatzen dira. Suricata-k horrelako saiakerak blokeatzen lagun dezake, nahiz eta barne-sarea babesteko hobe da perimetroaren barruan instalatzea eta trafikoa portu batera isla dezakeen kudeatutako switch batekin batera erabiltzea. Kanpoko IDS bat ere ez da alferrikakoa kasu honetan - LANean bizi diren malwareak kanpoko zerbitzari batekin harremanetan jartzeko saiakerak harrapatu ahal izango ditu gutxienez.
Hasteko, VPS erasotzeko beste proba bat sortuko dugu, eta sare lokaleko bideratzailean Apache instalatuko dugu lehenetsitako konfigurazioarekin, eta gero IDS zerbitzaritik 80 ataka birbidaliko dugu. Jarraian, erasotzaile nodo batetik DDoS eraso bat simulatuko dugu. Horretarako, deskargatu GitHub-etik, konpilatu eta exekutatu xerxes programa txiki bat erasotzaileen nodoan (baliteke gcc paketea instalatu behar izatea):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Bere lanaren emaitza honakoa izan zen:
Suricatak gaiztoa mozten du, eta Apache orria lehenespenez irekitzen da, gure bat-bateko erasoa eta "bulegoaren" (egia esan, etxeko) sarearen kanal hil samarra izan arren. Zeregin serioagoetarako erabiltzea merezi du . Sartze probak egiteko diseinatuta dago eta askotariko erasoak simulatzeko aukera ematen du. Instalazio argibideak proiektuaren webgunean. Instalatu ondoren, eguneratzea beharrezkoa izango da:
sudo msfupdateProba egiteko, exekutatu msfconsole.
Zoritxarrez, esparruaren azken bertsioek ez dute automatikoki hackeatzeko gaitasunik, beraz, ustiapenak eskuz konpondu eta erabili komandoa erabiliz abiarazi beharko dira. Lehenik eta behin, erasotutako makinan irekitako atakak zehaztu behar dituzu, adibidez, nmap erabiliz (gure kasuan, netstat-ek guztiz ordezkatuko du erasotutako ostalarian), eta ondoren egokiak hautatu eta erabili. .
Badira IDS-ek erasoen aurrean duen erresistentzia probatzeko beste bide batzuk, sareko zerbitzuak barne. Jakin-mina izateko, estres-probak antola ditzakezu probako bertsioa erabiliz . Barne erasotzaileen ekintzen erreakzioa egiaztatzeko, merezi du sare lokaleko makinetako batean tresna bereziak instalatzea. Aukera asko daude eta aldian-aldian aplikatu behar dira gune esperimentalean ez ezik, lan-sistemetan ere, baina hau guztiz bestelakoa da.
Iturria: www.habr.com