В tha sinn air dèiligeadh ri mar a ruitheas tu an tionndadh seasmhach de Suricata air Ubuntu 18.04 LTS. Tha e gu math sìmplidh a bhith a’ stèidheachadh IDS air aon nód agus a’ comasachadh seataichean riaghailtean an-asgaidh. An-diugh gheibh sinn a-mach mar a dhìonas sinn lìonra corporra a’ cleachdadh na seòrsaichean ionnsaighean as cumanta a’ cleachdadh Suricata air a chuir a-steach air frithealaiche brìgheil. Gus seo a dhèanamh, feumaidh sinn VDS air Linux le dà chore coimpiutaireachd. Tha an ìre de RAM an urra ris an luchd: tha 2 GB gu leòr airson cuideigin, agus dh’ fhaodadh gum bi feum air 4 no eadhon 6 airson gnìomhan nas miosa. Is e buannachd inneal brìgheil an comas deuchainn a dhèanamh: faodaidh tu tòiseachadh le glè bheag de rèiteachadh agus àrdachadh goireasan mar a dh’ fheumar.
dealbh: Reuters
A 'ceangal lìonraidhean
Dh’ fhaodadh gum bi feum air toirt air falbh IDS gu inneal brìgheil sa chiad àite airson deuchainnean. Mura do dhèilig thu a-riamh ri fuasglaidhean mar sin, cha bu chòir dhut cabhag a dhèanamh gus bathar-cruaidh corporra òrdachadh agus ailtireachd an lìonraidh atharrachadh. Tha e nas fheàrr an siostam a ruith gu sàbhailte agus gu cosg-èifeachdach gus na feumalachdan coimpiutaireachd agad a dhearbhadh. Tha e cudromach tuigsinn gum feum a h-uile trafaic corporra a dhol tro aon nód taobh a-muigh: gus lìonra ionadail (no grunn lìonraidhean) a cheangal ri VDS le IDS Suricata air a chuir a-steach, faodaidh tu a chleachdadh - Frithealaiche VPN tar-àrd-ùrlar furasta a rèiteachadh a bheir seachad crioptachadh làidir. Is dòcha nach eil fìor IP aig ceangal eadar-lìn oifis, agus mar sin tha e nas fheàrr a stèidheachadh air VPS. Chan eil pasganan deiseil ann an stòr Ubuntu, feumaidh tu am bathar-bog a luchdachadh sìos an dàrna cuid bho , no bho ionad-tasgaidh bhon taobh a-muigh air an t-seirbheis (ma tha earbsa agad ann):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateChì thu liosta nam pasganan a tha rim faighinn leis an òrdugh a leanas:
apt-cache search softether
Bidh feum againn air softether-vpnserver (tha am frithealaiche ann an rèiteachadh an deuchainn a’ ruith air VDS), a bharrachd air softether-vpncmd - goireasan loidhne-àithne airson a rèiteachadh.
sudo apt-get install softether-vpnserver softether-vpncmdTha goireas loidhne-àithne sònraichte air a chleachdadh gus am frithealaiche a rèiteachadh:
sudo vpncmd
Cha bhith sinn a 'bruidhinn gu mionaideach mun t-suidheachadh: tha an dòigh-obrach gu math sìmplidh, tha e air a mhìneachadh gu math ann an grunn fhoillseachaidhean agus chan eil e a' buntainn gu dìreach ri cuspair an artaigil. Ann an ùine ghoirid, às deidh dhut vpncmd a thòiseachadh, feumaidh tu rud 1 a thaghadh airson a dhol gu consol riaghlaidh an fhrithealaiche. Gus seo a dhèanamh, feumaidh tu an t-ainm localhost a chuir a-steach agus brùth cuir a-steach an àite a bhith a’ cuir a-steach ainm a ’mholaidh. Tha am facal-faire rianadair air a shuidheachadh anns a’ chonsail leis an àithne serverpasswordset, tha am mòr-ionad brìgheil DEFAULT air a dhubhadh às (òrdugh hubdelete) agus tha fear ùr air a chruthachadh leis an ainm Suricata_VPN, agus tha am facal-faire aige cuideachd air a shuidheachadh (òrdugh hubcreate). An ath rud, feumaidh tu a dhol gu consol riaghlaidh an ionaid ùr a ’cleachdadh an àithne hub Suricata_VPN gus buidheann agus neach-cleachdaidh a chruthachadh a’ cleachdadh na h-òrdughan groupcreate agus usercreate. Tha am facal-faire cleachdaiche air a shuidheachadh a’ cleachdadh userpasswordset.
Tha SoftEther a’ toirt taic do dhà dhòigh gluasad trafaic: SecureNAT agus Local Bridge. Is e a’ chiad fhear teicneòlas seilbh airson lìonra prìobhaideach brìgheil a thogail leis an NAT agus DHCP aige fhèin. Chan fheum SecureNAT TUN / TAP no Netfilter no suidheachaidhean balla-teine eile. Chan eil slighe a’ toirt buaidh air cridhe an t-siostaim, agus tha a h-uile pròiseas air a dhèanamh brìgheil agus ag obair air VPS / VDS sam bith, ge bith dè an hypervisor a thathas a’ cleachdadh. Bidh seo a’ leantainn gu barrachd luchdan CPU agus astar nas slaodaiche an coimeas ri modh Drochaid Ionadail, a cheanglas mòr-ionad brìgheil SoftEther ri inneal-atharrachaidh lìonra corporra no inneal TAP.
Bidh rèiteachadh sa chùis seo a ’fàs nas iom-fhillte, leis gu bheil slighe a’ tachairt aig ìre kernel a ’cleachdadh Netfilter. Tha na VDS againn air an togail air Hyper-V, agus mar sin anns a’ cheum mu dheireadh bidh sinn a’ cruthachadh drochaid ionadail agus a’ cur an inneal TAP an gnìomh leis an drochaidcreate Suricate_VPN -device:suricate_vpn -tap:yes command. Às deidh dhuinn an consol riaghlaidh mòr-ionad fhàgail, chì sinn eadar-aghaidh lìonra ùr san t-siostam nach deach IP a shònrachadh fhathast:
ifconfig
An ath rud, feumaidh tu slighe pacaid a chomasachadh eadar eadar-aghaidh (ip air adhart), ma tha e neo-ghnìomhach:
sudo nano /etc/sysctl.confThoir iomradh air an loidhne a leanas:
net.ipv4.ip_forward = 1Sàbhail na h-atharrachaidhean air an fhaidhle, fàg an deasaiche agus cuir an gnìomh iad leis an òrdugh a leanas:
sudo sysctl -pAn ath rud, feumaidh sinn subnet a mhìneachadh airson an lìonra brìgheil le IPan meallta (mar eisimpleir, 10.0.10.0 / 24) agus seòladh a shònrachadh don eadar-aghaidh:
sudo ifconfig tap_suricata_vp 10.0.10.1/24An uairsin feumaidh tu riaghailtean Netfilter a sgrìobhadh.
1. Ma tha feum air, leig le pacaidean a thig a-steach air puirt èisteachd (bidh protocol seilbh SoftEther a’ cleachdadh HTTPS agus port 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Stèidhich NAT bhon subnet 10.0.10.0/24 gu prìomh IP an fhrithealaiche
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Leig seachad pasganan bhon subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Leig seachad pasganan airson ceanglaichean a tha stèidhichte mar-thà
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTFàgaidh sinn fèin-ghluasad a’ phròiseis nuair a thèid an siostam ath-thòiseachadh a’ cleachdadh sgriobtaichean tòiseachaidh don luchd-leughaidh mar obair-dachaigh.
Ma tha thu airson IP a thoirt do luchd-dèiligidh gu fèin-ghluasadach, feumaidh tu cuideachd seòrsa de sheirbheis DHCP a chuir a-steach airson an drochaid ionadail. Cuiridh seo crìoch air suidheachadh an fhrithealaiche agus faodaidh tu a dhol chun luchd-dèiligidh. Bidh SoftEther a ’toirt taic do dh’ iomadh protocol, agus bidh an cleachdadh an urra ri comasan uidheamachd LAN.
netstat -ap |grep vpnserver
Leis gu bheil an router deuchainn againn cuideachd a’ ruith fo Ubuntu, stàlaich sinn na pacaidean softether-vpnclient agus softether-vpncmd bho stòr air an taobh a-muigh air gus am pròtacal seilbh a chleachdadh. Feumaidh tu an neach-dèiligidh a ruith:
sudo vpnclient startGus rèiteachadh, cleachd an goireas vpncmd, a’ taghadh localhost mar an inneal air a bheil an vpnclient a’ ruith. Tha a h-uile àithne air a dhèanamh sa chonsail: feumaidh tu eadar-aghaidh brìgheil a chruthachadh (NicCreate) agus cunntas (AccountCreate).
Ann an cuid de chùisean, feumaidh tu an dòigh dearbhaidh a shònrachadh a’ cleachdadh òrdughan AccountAnonymousSet, AccountPasswordSet, AccountCertSet, agus AccountSecureCertSet. Leis nach eil sinn a’ cleachdadh DHCP, tha an seòladh airson an inneal-atharrachaidh brìgheil air a shuidheachadh le làimh.
A bharrachd air an sin, feumaidh sinn ip air adhart a chomasachadh (roghainn net.ipv4.ip_forward=1 anns an fhaidhle /etc/sysctl.conf) agus slighean statach a rèiteachadh. Ma tha feum air, air VDS le Suricata, faodaidh tu port air adhart a rèiteachadh gus na seirbheisean a tha air an stàladh air an lìonra ionadail a chleachdadh. Air an seo, faodar beachdachadh air an aonachadh lìonra coileanta.
Bidh an rèiteachadh a tha sinn a’ moladh a’ coimhead rudeigin mar seo:
Suricata a stèidheachadh
В Bhruidhinn sinn mu dhà dhòigh-obrach de IDS: tron ciudha NFQUEUE (modh NFQ) agus tro leth-bhreac neoni (modh AF_PACKET). Feumaidh an dàrna fear dà eadar-aghaidh, ach tha e nas luaithe - cleachdaidh sinn e. Tha am paramadair air a shuidheachadh gu bunaiteach ann an /etc/default/suricata. Feumaidh sinn cuideachd an roinn vars a dheasachadh ann an /etc/suricata/suricata.yaml, a’ suidheachadh an subnet brìgheil an sin mar dhachaigh.
Gus IDS ath-thòiseachadh, cleachd an àithne:
systemctl restart suricataTha am fuasgladh deiseil, a-nis is dòcha gum feum thu deuchainn a dhèanamh air airson a bhith an aghaidh gnìomhan droch-rùnach.
A 'samhlachadh ionnsaighean
Faodaidh grunn shuidheachaidhean a bhith ann airson cleachdadh sabaid seirbheis IDS bhon taobh a-muigh:
Dìon an aghaidh ionnsaighean DDoS (prìomh adhbhar)
Tha e duilich a leithid de roghainn a chuir an gnìomh taobh a-staigh an lìonra corporra, oir feumaidh na pacaidean airson mion-sgrùdadh faighinn chun eadar-aghaidh siostam a tha a ’coimhead air an eadar-lìn. Fiù ma bhios an IDS gam bacadh, faodaidh trafaic spùtach an ceangal dàta a thoirt sìos. Gus seo a sheachnadh, feumaidh tu VPS òrdachadh le ceangal eadar-lìn buannachdail gu leòr a dh’ fhaodas a dhol seachad air a h-uile trafaic lìonra ionadail agus trafaic bhon taobh a-muigh. Gu tric tha e nas fhasa agus nas saoire seo a dhèanamh na bhith a’ leudachadh sianal na h-oifis. Mar roghainn eile, is fhiach iomradh a thoirt air seirbheisean sònraichte airson dìon an aghaidh DDoS. Tha cosgais nan seirbheisean aca an coimeas ri cosgais frithealaiche brìgheil, agus chan eil feum air rèiteachadh ùine, ach tha eas-bhuannachdan ann cuideachd - chan fhaigh an neach-dèiligidh ach dìon DDoS airson an airgead aige, agus faodar an IDS aige fhèin a rèiteachadh mar thusa. coltach.
Dìon an aghaidh ionnsaighean bhon taobh a-muigh de sheòrsan eile
Tha Suricata comasach air dèiligeadh ri oidhirpean gus brath a ghabhail air diofar so-leòntachd ann an seirbheisean lìonra corporra a tha ruigsinneach bhon eadar-lìn (frithealaiche puist, frithealaiche lìn agus tagraidhean lìn, msaa). Mar as trice, airson seo, tha IDS air a chuir a-steach taobh a-staigh an LAN às deidh na h-innealan crìche, ach tha còir aig a bhith ga thoirt a-muigh.
Dìon bho dhaoine a-staigh
A dh 'aindeoin na h-oidhirpean as fheàrr aig rianadair an t-siostaim, faodaidh coimpiutairean air an lìonra corporra a bhith air an galar le malware. A bharrachd air an sin, bidh hooligans uaireannan a’ nochdadh san sgìre ionadail, a bhios a’ feuchainn ri cuid de ghnìomhachdan mì-laghail a dhèanamh. Faodaidh Suricata cuideachadh le bhith a’ cur stad air oidhirpean mar sin, ged a tha e nas fheàrr an lìonra a-staigh a dhìon a stàladh taobh a-staigh an iomaill agus a chleachdadh còmhla ri suidse stiùirichte a dh’ fhaodadh trafaic a nochdadh gu aon phort. Chan eil IDS taobh a-muigh cuideachd gun fheum sa chùis seo - co-dhiù bidh e comasach dha oidhirpean le malware a tha a’ fuireach air an LAN a ghlacadh gus fios a chuir gu frithealaiche a-muigh.
An toiseach, cruthaichidh sinn deuchainn eile a ’toirt ionnsaigh air VPS, agus air an router lìonra ionadail togaidh sinn Apache leis an rèiteachadh bunaiteach, às deidh sin cuiridh sinn air adhart am port 80th thuige bhon t-seirbheisiche IDS. An uairsin, nì sinn atharrais air ionnsaigh DDoS bho òstair ionnsaigh. Gus seo a dhèanamh, luchdaich sìos bho GitHub, cuir ri chèile agus ruith prògram xerxes beag air an nód ionnsaigh (is dòcha gum feum thu am pasgan gcc a stàladh):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Bha toradh na h-obrach aice mar a leanas:
Bidh Suricata a’ gearradh dheth an t-eucoir, agus bidh duilleag Apache a’ fosgladh gu bunaiteach, a dh’ aindeoin ar n-ionnsaigh gun dàil agus an t-sianal caran marbh den lìonra “oifis” (dachaigh dha-rìribh). Airson gnìomhan nas trom, bu chòir dhut a chleachdadh . Tha e air a dhealbhadh airson deuchainn treòrachaidh agus leigidh e leat atharrais air grunn ionnsaighean. Stiùireadh stàlaidh air làrach-lìn a’ phròiseict. Às deidh an stàladh, tha feum air ùrachadh:
sudo msfupdateAirson deuchainn, ruith msfconsole.
Gu mì-fhortanach, chan eil comas aig na dreachan as ùire den fhrèam sgàineadh gu fèin-ghluasadach, agus mar sin feumar cleachdaidhean a rèiteachadh le làimh agus a ruith a’ cleachdadh an àithne cleachdaidh. An toiseach, is fhiach na puirt a tha fosgailte air an inneal ionnsaigh a dhearbhadh, mar eisimpleir, a ’cleachdadh nmap (anns a’ chùis againn, thèid netstat a chuir na àite gu tur air an òstair ionnsaigh), agus an uairsin tagh agus cleachd am fear iomchaidh. .
Tha dòighean eile ann gus tapachd IDS a dhearbhadh an aghaidh ionnsaighean, a’ toirt a-steach seirbheisean air-loidhne. Air sgàth feòrachas, faodaidh tu deuchainn cuideam a chuir air dòigh a’ cleachdadh an dreach deuchainn . Gus sùil a thoirt air freagairt gnìomhan luchd-ionnsaigh a-staigh, is fhiach innealan sònraichte a chuir a-steach air aon de na h-innealan air an lìonra ionadail. Tha tòrr roghainnean ann agus bho àm gu àm bu chòir an cur an sàs chan ann a-mhàin air an làrach deuchainneach, ach cuideachd air siostaman obrach, is e dìreach sgeulachd gu tur eadar-dhealaichte a tha seo.
Source: www.habr.com