В tá clúdaithe againn conas an leagan cobhsaí de Suricata a reáchtáil ar Ubuntu 18.04 LTS. Tá sé simplí go leor IDS a bhunú ar nód amháin agus tacair rialacha saor in aisce a chumasú. Sa lá atá inniu déanfaimid amach conas líonra corparáideach a chosaint ag baint úsáide as na cineálacha ionsaithe is coitianta ag baint úsáide as Suricata suiteáilte ar fhreastalaí fíorúil. Chun seo a dhéanamh, teastaíonn VDS uainn ar Linux le dhá chroílár ríomhaireachta. Braitheann an méid RAM ar an ualach: is leor 2 GB do dhuine, agus d'fhéadfadh go mbeadh gá le 4 nó fiú 6 le haghaidh tascanna níos tromchúisí Is é an buntáiste a bhaineann le meaisín fíorúil ná an cumas triail a bhaint as: is féidir leat tosú le cumraíocht íosta agus méadú. acmhainní de réir mar is gá.
grianghraf: Reuters
Líonraí a nascadh
D’fhéadfadh go mbeadh gá le IDS a bhaint de mheaisín fíorúil ar an gcéad dul síos le haghaidh tástálacha. Murar dhéileáil tú riamh le réitigh den sórt sin, níor chóir duit Rush chun crua-earraí fisiceacha a ordú agus ailtireacht an líonra a athrú. Is fearr an córas a rith go sábháilte agus go cost-éifeachtach chun do riachtanais ríomha a chinneadh. Tá sé tábhachtach a thuiscint go gcaithfear an trácht corparáideach ar fad a chur ar aghaidh trí nód seachtrach amháin: chun líonra áitiúil (nó roinnt líonraí) a nascadh le VDS le IDS Suricata suiteáilte, is féidir leat úsáid a bhaint as - Freastalaí VPN tras-ardán atá éasca le cumrú a sholáthraíonn criptiú láidir. Seans nach bhfuil IP fíor ag nasc Idirlín oifige, mar sin is fearr é a shocrú ar VPS. Níl aon phacáistí réamhdhéanta i stór Ubuntu, beidh ort na bogearraí a íoslódáil ach an oiread , nó ó stór seachtrach ar an tseirbhís (má tá muinín agat ann):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateIs féidir leat liosta na bpacáistí atá ar fáil a fheiceáil leis an ordú seo a leanas:
apt-cache search softether
Beidh softether-vpnserver ag teastáil uainn (tá an freastalaí sa chumraíocht tástála ag rith ar VDS), chomh maith le softether-vpncmd - fóntais líne ordaithe chun é a chumrú.
sudo apt-get install softether-vpnserver softether-vpncmdÚsáidtear fóntais líne ordaithe speisialta chun an freastalaí a chumrú:
sudo vpncmd
Ní labhairfimid go mion faoin suíomh: tá an nós imeachta simplí go leor, déantar cur síos maith air i bhfoilseacháin iomadúla agus ní bhaineann sé go díreach le hábhar an ailt. I mbeagán focal, tar éis duit vpncmd a thosú, ní mór duit mír 1 a roghnú chun dul go dtí an consól bainistíochta freastalaí. Chun seo a dhéanamh, ní mór duit an t-ainm localhost a chur isteach agus brúigh Enter seachas ainm an mhoil a chur isteach. Socraítear pasfhocal an riarthóra sa chonsól leis an ordú serverpasswordset, scriostar an mol fíorúil DEFAULT (ordú hubdelete) agus cruthaítear ceann nua leis an ainm Suricata_VPN, agus socraítear a phasfhocal freisin (ordú hubcreate). Ansin, ní mór duit dul chuig consól bainistíochta an mhoil nua ag baint úsáide as an mol Suricata_VPN ordú chun grúpa agus úsáideoir a chruthú ag baint úsáide as na horduithe groupcreate agus usercreate. Socraítear an pasfhocal úsáideora ag baint úsáide as userpasswordset.
Tacaíonn SoftEther le dhá mhodh aistrithe tráchta: SecureNAT agus Local Bridge. Is é an chéad cheann ná teicneolaíocht dhílseánaigh chun líonra príobháideach fíorúil a thógáil lena NAT agus DHCP féin. Ní éilíonn SecureNAT TUN/TAP nó Netfilter nó socruithe balla dóiteáin eile. Ní chuireann ródú isteach ar chroílár an chórais, agus déantar gach próiseas a fhíorú agus a oibriú ar aon VPS / VDS, beag beann ar an hypervisor a úsáidtear. Mar thoradh air seo tá ualach LAP méadaithe agus luas níos moille i gcomparáid le modh Droichead Áitiúil, a nascann an mol fíorúil SoftEther le adapter líonra fisiciúil nó gléas TAP.
Éiríonn an chumraíocht sa chás seo níos casta, ós rud é go dtarlaíonn ródú ag leibhéal na heithne ag baint úsáide as Netfilter. Tá ár VDS tógtha ar Hyper-V, mar sin sa chéim dheireanach cruthaímid droichead áitiúil agus gníomhóimid an gléas TAP leis an bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes command. Tar éis dúinn an consól bainistíochta moil a fhágáil, feicfidh muid comhéadan líonra nua sa chóras nach bhfuil IP sannta go fóill:
ifconfig
Ansin, beidh ort ródú paicéad a chumasú idir comhéadain (ip ar aghaidh), má tá sé neamhghníomhach:
sudo nano /etc/sysctl.confDéan trácht ar an líne seo a leanas:
net.ipv4.ip_forward = 1Sábháil na hathruithe ar an gcomhad, scoir an t-eagarthóir agus cuir i bhfeidhm iad leis an ordú seo a leanas:
sudo sysctl -pAnsin, ní mór dúinn subnet a shainiú don líonra fíorúil le IPanna bréige (mar shampla, 10.0.10.0/24) agus seoladh a shannadh don chomhéadan:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Ansin ní mór duit rialacha Netfilter a scríobh.
1. Más gá, ceadaigh paicéid isteach ar phoirt éisteachta (úsáideann prótacal dílseánaigh SoftEther HTTPS agus port 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Socraigh NAT ón subnet 10.0.10.0/24 go dtí an príomhfhreastalaí IP
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Ceadaigh paicéid a rith ón subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Ceadaigh paicéid a rith le haghaidh naisc atá bunaithe cheana féin
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTFágfaimid uathoibriú an phróisis nuair a atosófar an córas trí úsáid a bhaint as scripteanna tosaigh do na léitheoirí mar obair bhaile.
Más mian leat IP a thabhairt do chliaint go huathoibríoch, beidh ort freisin seirbhís DHCP de chineál éigin a shuiteáil don droichead áitiúil. Críochnaíonn sé seo socrú an fhreastalaí agus is féidir leat dul chuig na cliaint. Tacaíonn SoftEther le go leor prótacail, a mbraitheann a n-úsáid ar chumais an trealaimh LAN.
netstat -ap |grep vpnserver
Ós rud é go ritheann ár ródaire tástála faoi Ubuntu freisin, déanaimis na pacáistí softether-vpnclient agus softether-vpncmd ó stór seachtrach a shuiteáil air chun an prótacal dílseánaigh a úsáid. Beidh ort an cliant a rith:
sudo vpnclient startChun a chumrú, bain úsáid as an áirgiúlacht vpncmd, ag roghnú localhost mar an meaisín ar a bhfuil an vpnclient ag rith. Déantar gach ordú sa chonsól: beidh ort comhéadan fíorúil (NicCreate) agus cuntas (AccountCreate) a chruthú.
I gcásanna áirithe, ní mór duit an modh fíordheimhnithe a shonrú ag baint úsáide as na horduithe AccountAnonymousSet, AccountPasswordSet, AccountCertSet, agus AccountSecureCertSet. Ós rud é nach bhfuil muid ag baint úsáide as DHCP, tá an seoladh don adapter fíorúil socraithe de láimh.
Ina theannta sin, ní mór dúinn ip ar aghaidh a chumasú (an paraiméadar net.ipv4.ip_forward=1 sa chomhad /etc/sysctl.conf) agus bealaí statacha a chumrú. Más gá, ar VDS le Suricata, is féidir leat cur ar aghaidh calafoirt a chumrú chun na seirbhísí atá suiteáilte ar an líonra áitiúil a úsáid. Ar an ábhar seo, is féidir a mheas go bhfuil an cumasc líonra críochnaithe.
Beidh cuma mar seo ar ár gcumraíocht mholta:
Socrú Suricata
В labhair muid faoi dhá mhodh oibríochta IDS: tríd an scuaine NFQUEUE (modh NFQ) agus trí chóip nialasach (modh AF_PACKET). Éilíonn an dara ceann dhá chomhéadan, ach tá sé níos tapúla - úsáidfimid é. Socraítear an paraiméadar de réir réamhshocraithe i /etc/default/suricata. Ní mór dúinn freisin an roinn vars in /etc/suricata/suricata.yaml a chur in eagar, ag socrú an fholíon fíorúil ann mar bhaile.
Chun IDS a atosú, bain úsáid as an ordú:
systemctl restart suricataTá an réiteach réidh, anois b'fhéidir go mbeadh ort é a thástáil le haghaidh frithsheasmhacht in aghaidh gníomhartha mailíseach.
Ionsaithe a insamhladh
D’fhéadfadh roinnt cásanna a bheith ann maidir le húsáid chomhraic le seirbhís sheachtrach IDS:
Cosaint ar ionsaithe DDoS (príomhchuspóir)
Tá sé deacair rogha den sórt sin a chur i bhfeidhm laistigh den líonra corparáideach, ós rud é go gcaithfidh na paicéid le haghaidh anailíse teacht ar chomhéadan an chórais a fhéachann ar an Idirlíon. Fiú má chuireann an IDS bac orthu, féadann trácht bréagach an nasc sonraí a laghdú. Chun é seo a sheachaint, ní mór duit VPS a ordú le nasc Idirlín táirgiúil go leor a fhéadfaidh dul thar gach trácht líonra áitiúil agus gach trácht seachtrach. Is minic go mbíonn sé níos éasca agus níos saoire é seo a dhéanamh ná an cainéal oifige a leathnú. Mar mhalairt air sin, is fiú seirbhísí speisialaithe a lua le haghaidh cosanta i gcoinne DDoS. Tá costas a gcuid seirbhísí inchomparáide le costas freastalaí fíorúil, agus ní éilíonn sé cumraíocht am-íditheach, ach tá míbhuntáistí ann freisin - ní fhaigheann an cliant ach cosaint DDoS ar a chuid airgid, agus is féidir a IDS féin a chumrú mar atá tú. mhaith.
Cosaint ar ionsaithe seachtracha de chineálacha eile
Tá Suricata in ann déileáil le hiarrachtaí leas a bhaint as leochaileachtaí éagsúla i seirbhísí líonra corparáideacha atá inrochtana ón Idirlíon (freastalaí ríomhphoist, freastalaí gréasáin agus feidhmchláir ghréasáin, etc.). De ghnáth, le haghaidh seo, tá IDS suiteáilte taobh istigh den LAN tar éis na feistí teorann, ach tá sé de cheart ag tógáil taobh amuigh é.
Cosaint ó dhaoine istigh
In ainneoin iarrachtaí is fearr riarthóir an chórais, is féidir le ríomhairí ar an líonra corparáideach a bheith ionfhabhtaithe le malware. Ina theannta sin, uaireanta feictear maistíní sa cheantar áitiúil, a dhéanann iarracht roinnt oibríochtaí mídhleathacha a dhéanamh. Is féidir le Suricata cabhrú le hiarrachtaí den sórt sin a bhlocáil, cé go bhfuil sé níos fearr an líonra inmheánach a chosaint agus é a shuiteáil laistigh den imlíne agus é a úsáid in éineacht le lasc bainistithe atá in ann trácht a scáthánú chuig calafort amháin. Níl IDS seachtrach gan úsáid sa chás seo freisin - ar a laghad beidh sé in ann iarrachtaí malware a chónaíonn ar an LAN teagmháil a dhéanamh le freastalaí seachtrach a ghabháil.
Chun tús a chur leis, cruthóimid tástáil eile ag ionsaí VPS, agus ar an ródaire líonra áitiúil ardóimid Apache leis an gcumraíocht réamhshocraithe, agus ina dhiaidh sin cuirfimid an 80ú port ar aghaidh chuige ón bhfreastalaí IDS. Ansin, insamhailfimid ionsaí DDoS ó óstach ionsaí. Chun seo a dhéanamh, íoslódáil ó GitHub, tiomsaigh agus rith clár xerxes beag ar an nód ionsaí (b'fhéidir go mbeadh ort an pacáiste gcc a shuiteáil):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Bhí toradh a cuid oibre mar seo a leanas:
Gearrann Suricata as an villain, agus osclaíonn an leathanach Apache de réir réamhshocraithe, in ainneoin ár n-ionsaí gan mhoill agus an cainéal sách marbh den líonra "oifig" (i ndáiríre sa bhaile). Le haghaidh tascanna níos tromchúisí, ba chóir duit a úsáid . Tá sé deartha le haghaidh tástála treá agus ligeann duit éagsúlacht ionsaithe a insamhail. Treoracha suiteála ar shuíomh Gréasáin an tionscadail. Tar éis a shuiteáil, tá nuashonrú ag teastáil:
sudo msfupdateLe haghaidh tástála, rith msfconsole.
Ar an drochuair, níl an cumas ag na leaganacha is déanaí den chreat scoilteadh go huathoibríoch, agus mar sin ní mór an leas a bhaint as a shórtáil de láimh agus a rith ag baint úsáide as an ordú úsáide. Chun tús a chur leis, is fiú na calafoirt oscailte ar an meaisín ionsaí a chinneadh, mar shampla, ag baint úsáide as nmap (inár gcás, cuirfear in ionad netstat go hiomlán ar an óstach ionsaí), agus ansin roghnaigh agus bain úsáid as an rogha cuí. .
Tá bealaí eile ann chun athléimneacht IDS in aghaidh ionsaithe a thástáil, lena n-áirítear seirbhísí ar líne. Ar mhaithe le fiosracht, is féidir leat tástáil struis a shocrú ag baint úsáide as an leagan trialach . Chun an t-imoibriú ar ghníomhartha ionróirí inmheánacha a sheiceáil, is fiú uirlisí speisialta a shuiteáil ar cheann de na meaisíní ar an líonra áitiúil. Tá go leor roghanna ann agus ó am go chéile ba chóir iad a chur i bhfeidhm ní hamháin ar an suíomh turgnamhach, ach freisin ar chórais oibre, ach is scéal go hiomlán difriúil é seo.
Foinse: will.com