В wy hawwe behannele hoe't jo de stabile ferzje fan Suricata op Ubuntu 18.04 LTS útfiere kinne. It ynstellen fan in IDS op ien knooppunt en it ynskeakeljen fan fergese regelsets is frij ienfâldich. Hjoed sille wy útfine hoe't jo in bedriuwsnetwurk kinne beskermje mei de meast foarkommende soarten oanfallen mei Suricata ynstalleare op in firtuele server. Om dit te dwaan, hawwe wy in VDS op Linux nedich mei twa komputerkearnen. It bedrach fan RAM hinget ôf fan de lading: 2 GB is genôch foar immen, en 4 of sels 6 kin nedich wêze foar mear serieuze taken.It foardiel fan in firtuele masine is de mooglikheid om te eksperimintearjen: jo kinne begjinne mei in minimale konfiguraasje en fergrutsjen middels as nedich.
foto: Reuters
Ferbine netwurken
It ferpleatsen fan de IDS nei in firtuele masine kin earst nedich wêze foar testen. As jo sokke oplossingen noait hawwe behannele, moatte jo net haasten om fysike hardware te bestellen en de netwurkarsjitektuer te feroarjen. It is it bêste om it systeem feilich en rendabel út te fieren om jo rekkenferlet te bepalen. It is wichtich om te begripen dat alle bedriuwsferkear troch in inkele eksterne knooppunt moat wurde trochjûn: om in lokaal netwurk (as ferskate netwurken) te ferbinen mei in VDS mei IDS Suricata ynstalleare, kinne jo gebrûk meitsje fan - In maklik te konfigurearjen, cross-platform VPN-tsjinner dy't sterke fersifering leveret. In kantoar ynternetferbining hat miskien gjin echte IP, dus it is better om it op in VPS yn te stellen. D'r binne gjin klearmakke pakketten yn it Ubuntu-repository, jo moatte de software ek downloade fan , of fan in eksterne repository op 'e tsjinst (as jo him fertrouwe):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateJo kinne de list mei beskikbere pakketten besjen mei it folgjende kommando:
apt-cache search softether
Wy sille softether-vpnserver nedich wêze (de tsjinner yn 'e testkonfiguraasje rint op VDS), lykas ek softether-vpncmd - kommandorigelhelpprogramma's foar it konfigurearjen.
sudo apt-get install softether-vpnserver softether-vpncmdIn spesjale kommandorigelprogramma wurdt brûkt om de tsjinner te konfigurearjen:
sudo vpncmd
Wy sille net prate yn detail oer de ynstelling: de proseduere is frij simpel, it is goed beskreaun yn tal fan publikaasjes en net direkt relatearje oan it ûnderwerp fan it artikel. Koartsein, nei it starten fan vpncmd, moatte jo item 1 selektearje om nei de serverbehearkonsole te gean. Om dit te dwaan, moatte jo de namme localhost ynfiere en op enter drukke ynstee fan de namme fan 'e hub yn te fieren. It administratorwachtwurd wurdt ynsteld yn 'e konsole mei it kommando serverpasswordset, de DEFAULT firtuele hub wurdt wiske (hubdelete kommando) en in nij wurdt makke mei de namme Suricata_VPN, en it wachtwurd is ek ynsteld (hubcreate kommando). Dêrnei moatte jo nei de behearskonsole fan 'e nije hub gean mei it kommando hub Suricata_VPN om in groep en brûker te meitsjen mei de kommando's groupcreate en usercreate. It brûkerswachtwurd wurdt ynsteld mei brûkerspasswordset.
SoftEther stipet twa ferkearsferfiermodi: SecureNAT en Local Bridge. De earste is in proprietêre technology foar it bouwen fan in firtuele privee netwurk mei syn eigen NAT en DHCP. SecureNAT fereasket gjin TUN / TAP of Netfilter of oare firewallynstellingen. Routing hat gjin ynfloed op 'e kearn fan it systeem, en alle prosessen wurde virtualisearre en wurkje op elke VPS / VDS, nettsjinsteande de brûkte hypervisor. Dit resultearret yn ferhege CPU load en stadiger snelheid yn ferliking mei Local Bridge modus, dy't ferbynt de SoftEther firtuele hub oan in fysike netwurk adapter of TAP apparaat.
Konfiguraasje yn dit gefal wurdt yngewikkelder, om't routing bart op it kernelnivo mei Netfilter. Us VDS binne boud op Hyper-V, dus yn 'e lêste stap meitsje wy in lokale brêge en aktivearje it TAP-apparaat mei it kommando bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. Nei it ferlitten fan 'e hubbehearkonsole sille wy in nije netwurkynterface yn it systeem sjen dat noch gjin IP is tawiisd:
ifconfig
Folgjende moatte jo pakketrouting tusken ynterfaces ynskeakelje (ip foarút), as it ynaktyf is:
sudo nano /etc/sysctl.confUnkommentearje de folgjende rigel:
net.ipv4.ip_forward = 1Bewarje de wizigingen yn it bestân, ferlitte de bewurker en tapasse se mei it folgjende kommando:
sudo sysctl -pDêrnei moatte wy in subnet definiearje foar it firtuele netwurk mei fiktive IP's (bygelyks 10.0.10.0/24) en in adres tawize oan 'e ynterface:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Dan moatte jo Netfilter regels skriuwe.
1. As it nedich is, tastean ynkommende pakketten op harkjende havens (SoftEther proprietêr protokol brûkt HTTPS en poarte 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Stel NAT yn fan it 10.0.10.0/24 subnet nei de haadtsjinner IP
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Tastean trochjaan pakketten út it subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Tastean trochjaan pakketten foar al fêstige ferbinings
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTWy sille de automatisearring fan it proses ferlitte as it systeem opnij starte mei inisjalisaasjeskripts oan 'e lêzers as húswurk.
As jo IP automatysk oan kliïnten wolle jaan, moatte jo ek in soarte fan DHCP-tsjinst ynstallearje foar de lokale brêge. Dit foltôget de tsjinner opset en jo kinne nei de kliïnten gean. SoftEther stipet in protte protokollen, wêrfan it gebrûk hinget ôf fan 'e mooglikheden fan' e LAN-apparatuer.
netstat -ap |grep vpnserver
Om't ús testrouter ek ûnder Ubuntu rint, litte wy de pakketten softether-vpnclient en softether-vpncmd ynstallearje fan in eksterne repository derop om it proprietêre protokol te brûken. Jo moatte de kliïnt útfiere:
sudo vpnclient startOm te konfigurearjen, brûk it vpncmd-hulpprogramma, selektearje localhost as de masine wêrop de vpnclient rint. Alle kommando's wurde makke yn 'e konsole: jo moatte in firtuele ynterface (NicCreate) en in akkount (AccountCreate) oanmeitsje.
Yn guon gefallen moatte jo de autentikaasjemetoade opjaan mei de kommando's AccountAnonymousSet, AccountPasswordSet, AccountCertSet en AccountSecureCertSet. Om't wy gjin DHCP brûke, wurdt it adres foar de firtuele adapter manuell ynsteld.
Derneist moatte wy ip foarút ynskeakelje (de net.ipv4.ip_forward=1 parameter yn it /etc/sysctl.conf-bestân) en statyske rûtes ynstelle. As it nedich is, op VDS mei Suricata, kinne jo poarte trochstjoere ynstelle om de tsjinsten te brûken ynstalleare op it lokale netwurk. Hjirmei kin de netwurkfúzje as folslein beskôge wurde.
Us foarstelde konfiguraasje sil der sa útsjen:
It opsetten fan Suricata
В wy prate oer twa wurkwizen fan IDS: fia de NFQUEUE-wachtrige (NFQ-modus) en troch nul kopy (AF_PACKET-modus). De twadde fereasket twa ynterfaces, mar is rapper - wy sille it brûke. De parameter is standert ynsteld yn /etc/default/suricata. Wy moatte ek de vars-seksje yn /etc/suricata/suricata.yaml bewurkje, it firtuele subnet dêr as thús ynstelle.
Om IDS opnij te starten, brûk it kommando:
systemctl restart suricataDe oplossing is klear, no moatte jo it miskien testen foar ferset tsjin kweade aksjes.
Simulearje oanfallen
D'r kinne ferskate senario's wêze foar it fjochtsjen fan in eksterne IDS-tsjinst:
Beskerming tsjin DDoS-oanfallen (primêr doel)
It is lestich om sa'n opsje yn it bedriuwsnetwurk út te fieren, om't de pakketten foar analyse moatte komme nei de systeemynterface dy't nei it ynternet sjocht. Sels as de IDS se blokkearret, kin falsk ferkear de gegevenskeppeling nei ûnderen bringe. Om dit te foarkommen, moatte jo in VPS bestelle mei in genôch produktive ynternetferbining dy't alle lokale netwurkferkear en alle eksterne ferkear trochjaan kin. It is faak makliker en goedkeaper om dit te dwaan dan it kantoarkanaal út te wreidzjen. As alternatyf is it de muoite wurdich om spesjalisearre tsjinsten te neamen foar beskerming tsjin DDoS. De kosten fan har tsjinsten binne te fergelykjen mei de kosten fan in firtuele tsjinner, en it fereasket gjin tiidslinend konfiguraasje, mar d'r binne ek neidielen - de kliïnt krijt allinich DDoS-beskerming foar syn jild, wylst syn eigen IDS kin wurde konfigureare as jo lykas.
Beskerming tsjin eksterne oanfallen fan oare soarten
Suricata is yn steat om te gean mei besykjen om ferskate kwetsberens te eksploitearjen yn bedriuwsnetwurktsjinsten dy't tagonklik binne fan it ynternet (e-posttsjinner, webserver en webapplikaasjes, ensfh.). Meastal, foar dit, IDS wurdt ynstallearre binnen it LAN nei de grins apparaten, mar nimme it bûten hat it rjocht om te bestean.
Beskerming fan ynsiders
Nettsjinsteande de bêste ynspanningen fan 'e systeembehearder, kinne kompjûters op it bedriuwsnetwurk wurde ynfekteare mei malware. Derneist ferskine soms hooligans yn 'e pleatslike omjouwing, dy't besykje guon yllegale operaasjes út te fieren. Suricata kin helpe om sokke besykjen te blokkearjen, hoewol om it ynterne netwurk te beskermjen is it better om it yn 'e perimeter te ynstallearjen en it te brûken yn tandem mei in behearde switch dy't ferkear kin spegelje nei ien haven. In eksterne IDS is ek net nutteloos yn dit gefal - teminsten sil it besykjen fan malware dy't op it LAN libje kinne fange om kontakt te meitsjen mei in eksterne tsjinner.
Om te begjinnen, sille wy in oare test oanmeitsje dy't VPS oanfalt, en op 'e lokale netwurk router sille wy Apache ferheegje mei de standertkonfiguraasje, wêrnei't wy de 80e poarte dernei trochstjoere fan' e IDS-tsjinner. Folgjende sille wy in DDoS-oanfal simulearje fan in oanfallende host. Om dit te dwaan, download fan GitHub, kompilearje en útfiere in lyts xerxes-programma op 'e oanfallende knooppunt (jo moatte miskien it gcc-pakket ynstallearje):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80It resultaat fan har wurk wie as folget:
Suricata snijt de skurk ôf, en de Apache-side iepenet standert, nettsjinsteande ús ympromptu oanfal en it nochal deade kanaal fan it "kantoar" (eins thús) netwurk. Foar mear serieuze taken moatte jo brûke . It is ûntworpen foar penetraasjetesten en lit jo in ferskaat oan oanfallen simulearje. Ynstallaasje ynstruksjes op de projektwebside. Nei ynstallaasje is in fernijing nedich:
sudo msfupdateFoar testen, rinne msfconsole.
Spitigernôch ûntbrekke de lêste ferzjes fan it ramt de mooglikheid om automatysk te kraken, sadat eksploaten manuell moatte wurde sorteare en útfiere mei it gebrûk kommando. Om te begjinnen is it de muoite wurdich om te bepalen hokker havens iepen binne op 'e oanfallen masine, bygelyks mei nmap (yn ús gefal sil it folslein ferfongen wurde troch netstat op' e oanfallen host), en selektearje en brûk dan de passende .
D'r binne oare manieren om de fearkrêft fan in IDS te testen tsjin oanfallen, ynklusyf online tsjinsten. Om 'e nijsgjirrigens kinne jo stresstesten regelje mei de proefferzje . Om de reaksje op 'e aksjes fan ynterne ynbrekkers te kontrolearjen, is it wurdich om spesjale ark te ynstallearjen op ien fan' e masines op it lokale netwurk. D'r binne in protte opsjes en fan tiid ta tiid moatte se net allinich tapast wurde op 'e eksperimintele side, mar ek op wurksystemen, allinich dit is in folslein oar ferhaal.
Boarne: www.habr.com