🥇સ્નોર્ટ અથવા સુરીકાટા. ભાગ 3: ઓફિસ નેટવર્કનું રક્ષણ

В પાછલો લેખ અમે ઉબુન્ટુ 18.04 LTS પર Suricata ના સ્થિર સંસ્કરણને કેવી રીતે ચલાવવું તે આવરી લીધું છે. એક જ નોડ પર IDS સેટ કરવું અને ફ્રી નિયમ સેટને સક્ષમ કરવું એકદમ સરળ છે. આજે આપણે વર્ચ્યુઅલ સર્વર પર ઇન્સ્ટોલ કરેલ Suricata નો ઉપયોગ કરીને સૌથી સામાન્ય પ્રકારના હુમલાઓનો ઉપયોગ કરીને કોર્પોરેટ નેટવર્કને કેવી રીતે સુરક્ષિત કરવું તે શોધીશું. આ કરવા માટે, અમને બે કોમ્પ્યુટિંગ કોરો સાથે Linux પર VDS ની જરૂર છે. RAM ની માત્રા લોડ પર આધારિત છે: 2 જીબી કોઈ વ્યક્તિ માટે પર્યાપ્ત છે, અને વધુ ગંભીર કાર્યો માટે 4 અથવા તો 6 ની પણ જરૂર પડી શકે છે. વર્ચ્યુઅલ મશીનનો ફાયદો એ પ્રયોગ કરવાની ક્ષમતા છે: તમે ન્યૂનતમ ગોઠવણી સાથે પ્રારંભ કરી શકો છો અને વધારો કરી શકો છો. જરૂરિયાત મુજબ સંસાધનો.

ફોટો: રોઇટર્સ

કનેક્ટિંગ નેટવર્ક્સ

પરીક્ષણો માટે પ્રથમ સ્થાને વર્ચ્યુઅલ મશીન પર IDS દૂર કરવાની જરૂર પડી શકે છે. જો તમે આવા ઉકેલો સાથે ક્યારેય વ્યવહાર કર્યો નથી, તો તમારે ભૌતિક હાર્ડવેરને ઓર્ડર કરવા અને નેટવર્ક આર્કિટેક્ચર બદલવા માટે ઉતાવળ કરવી જોઈએ નહીં. તમારી ગણતરીની જરૂરિયાતો નક્કી કરવા માટે સિસ્ટમને સુરક્ષિત રીતે અને ખર્ચ-અસરકારક રીતે ચલાવવી શ્રેષ્ઠ છે. તે સમજવું અગત્યનું છે કે તમામ કોર્પોરેટ ટ્રાફિકને એક બાહ્ય નોડમાંથી પસાર થવું પડશે: સ્થાનિક નેટવર્ક (અથવા ઘણા નેટવર્ક્સ) ને IDS Suricata ઇન્સ્ટોલ કરેલ VDS સાથે કનેક્ટ કરવા માટે, તમે ઉપયોગ કરી શકો છો સોફ્ટ ઇથર - રૂપરેખાંકિત કરવા માટે સરળ, ક્રોસ-પ્લેટફોર્મ VPN સર્વર જે મજબૂત એન્ક્રિપ્શન પ્રદાન કરે છે. ઑફિસ ઇન્ટરનેટ કનેક્શનમાં વાસ્તવિક IP ન હોઈ શકે, તેથી તેને VPS પર સેટ કરવું વધુ સારું છે. ઉબુન્ટુ રીપોઝીટરીમાં કોઈ તૈયાર પેકેજો નથી, તમારે સોફ્ટવેર ડાઉનલોડ કરવું પડશે પ્રોજેક્ટ સાઇટ, અથવા સેવા પરના બાહ્ય ભંડારમાંથી લૉંચપેડ (જો તમે તેના પર વિશ્વાસ કરો છો):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

તમે નીચેના આદેશ સાથે ઉપલબ્ધ પેકેજોની યાદી જોઈ શકો છો:

apt-cache search softether

અમને softether-vpnserver (પરીક્ષણ રૂપરેખાંકનમાં સર્વર VDS પર ચાલી રહ્યું છે), તેમજ softether-vpncmd - તેને ગોઠવવા માટે કમાન્ડ લાઇન ઉપયોગિતાઓની જરૂર પડશે.

sudo apt-get install softether-vpnserver softether-vpncmd

સર્વરને રૂપરેખાંકિત કરવા માટે વિશિષ્ટ આદેશ વાક્ય ઉપયોગિતાનો ઉપયોગ થાય છે:

sudo vpncmd

અમે સેટિંગ વિશે વિગતવાર વાત કરીશું નહીં: પ્રક્રિયા એકદમ સરળ છે, તે અસંખ્ય પ્રકાશનોમાં સારી રીતે વર્ણવેલ છે અને લેખના વિષય સાથે સીધો સંબંધ નથી. ટૂંકમાં, vpncmd શરૂ કર્યા પછી, તમારે સર્વર મેનેજમેન્ટ કન્સોલ પર જવા માટે આઇટમ 1 પસંદ કરવાની જરૂર છે. આ કરવા માટે, તમારે લોકલહોસ્ટ નામ દાખલ કરવું પડશે અને હબનું નામ દાખલ કરવાને બદલે એન્ટર દબાવો. એડમિનિસ્ટ્રેટર પાસવર્ડ સર્વરપાસવર્ડસેટ આદેશ સાથે કન્સોલમાં સેટ કરવામાં આવે છે, ડિફૉલ્ટ વર્ચ્યુઅલ હબ કાઢી નાખવામાં આવે છે (હબડેલીટ આદેશ) અને Suricata_VPN નામ સાથે નવો બનાવવામાં આવે છે, અને તેનો પાસવર્ડ પણ સેટ કરવામાં આવે છે (hubcreate આદેશ). આગળ, તમારે groupcreate અને usercreate આદેશોનો ઉપયોગ કરીને જૂથ અને વપરાશકર્તા બનાવવા માટે હબ Suricata_VPN આદેશનો ઉપયોગ કરીને નવા હબના મેનેજમેન્ટ કન્સોલ પર જવાની જરૂર છે. યુઝર પાસવર્ડ યુઝર પાસવર્ડસેટનો ઉપયોગ કરીને સેટ કરેલ છે.

SoftEther બે ટ્રાફિક ટ્રાન્સફર મોડને સપોર્ટ કરે છે: SecureNAT અને લોકલ બ્રિજ. પ્રથમ તેના પોતાના NAT અને DHCP સાથે વર્ચ્યુઅલ પ્રાઇવેટ નેટવર્ક બનાવવા માટેની માલિકીની તકનીક છે. SecureNAT ને TUN/TAP અથવા Netfilter અથવા અન્ય ફાયરવોલ સેટિંગ્સની જરૂર નથી. રાઉટીંગ સિસ્ટમ કોરને અસર કરતું નથી, અને બધી પ્રક્રિયાઓ વર્ચ્યુઅલાઈઝ થાય છે અને કોઈપણ VPS/VDS પર કામ કરે છે, પછી ભલેને હાઈપરવાઈઝરનો ઉપયોગ કરવામાં આવે. આના પરિણામે CPU લોડ વધે છે અને સ્થાનિક બ્રિજ મોડની સરખામણીમાં ધીમી ગતિ થાય છે, જે SoftEther વર્ચ્યુઅલ હબને ભૌતિક નેટવર્ક એડેપ્ટર અથવા TAP ઉપકરણ સાથે જોડે છે.

આ કિસ્સામાં રૂપરેખાંકન વધુ જટિલ બને છે, કારણ કે નેટફિલ્ટરનો ઉપયોગ કરીને કર્નલ સ્તરે રૂટીંગ થાય છે. અમારું VDS Hyper-V પર બનેલ છે, તેથી છેલ્લા પગલામાં અમે સ્થાનિક બ્રિજ બનાવીએ છીએ અને TAP ઉપકરણને bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes આદેશ સાથે સક્રિય કરીએ છીએ. હબ મેનેજમેન્ટ કન્સોલમાંથી બહાર નીકળ્યા પછી, અમે સિસ્ટમમાં એક નવું નેટવર્ક ઇન્ટરફેસ જોશું કે જેને હજુ સુધી IP સોંપવામાં આવ્યો નથી:

ifconfig

આગળ, તમારે ઈન્ટરફેસ (ip ફોરવર્ડ) વચ્ચે પેકેટ રૂટીંગ સક્ષમ કરવું પડશે, જો તે નિષ્ક્રિય છે:

sudo nano /etc/sysctl.conf

નીચેની લાઇનને અનકોમેન્ટ કરો:

net.ipv4.ip_forward = 1

ફાઇલમાં ફેરફારો સાચવો, સંપાદકમાંથી બહાર નીકળો અને તેમને નીચેના આદેશ સાથે લાગુ કરો:

sudo sysctl -p

આગળ, અમારે કાલ્પનિક IP (ઉદાહરણ તરીકે, 10.0.10.0/24) સાથે વર્ચ્યુઅલ નેટવર્ક માટે સબનેટ વ્યાખ્યાયિત કરવાની જરૂર છે અને ઇન્ટરફેસને સરનામું સોંપવું પડશે:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

પછી તમારે નેટફિલ્ટર નિયમો લખવાની જરૂર છે.

1. જો જરૂરી હોય તો, સાંભળવાના પોર્ટ પર ઇનકમિંગ પેકેટ્સને મંજૂરી આપો (સોફ્ટઇથર પ્રોપ્રાઇટરી પ્રોટોકોલ HTTPS અને પોર્ટ 443 નો ઉપયોગ કરે છે)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT ને 10.0.10.0/24 સબનેટથી મુખ્ય સર્વર IP પર સેટ કરો

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. સબનેટ 10.0.10.0/24માંથી પેકેટો પસાર કરવાની મંજૂરી આપો

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. પહેલાથી સ્થાપિત જોડાણો માટે પેકેટો પસાર કરવાની મંજૂરી આપો

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

જ્યારે સિસ્ટમ પુનઃપ્રારંભ થશે ત્યારે અમે પ્રક્રિયાના ઓટોમેશનને હોમવર્ક તરીકે વાચકોને ઇનિશિયલાઈઝેશન સ્ક્રિપ્ટનો ઉપયોગ કરીને છોડી દઈશું.

જો તમે ગ્રાહકોને આપમેળે IP આપવા માંગતા હો, તો તમારે સ્થાનિક બ્રિજ માટે અમુક પ્રકારની DHCP સેવા પણ ઇન્સ્ટોલ કરવી પડશે. આ સર્વર સેટઅપ પૂર્ણ કરે છે અને તમે ક્લાયન્ટ્સ પર જઈ શકો છો. SoftEther ઘણા પ્રોટોકોલ્સને સપોર્ટ કરે છે, જેનો ઉપયોગ LAN સાધનોની ક્ષમતાઓ પર આધાર રાખે છે.

netstat -ap |grep vpnserver

અમારું ટેસ્ટ રાઉટર પણ ઉબુન્ટુ હેઠળ ચાલતું હોવાથી, ચાલો માલિકીના પ્રોટોકોલનો ઉપયોગ કરવા માટે તેના પર બાહ્ય રિપોઝીટરીમાંથી softether-vpnclient અને softether-vpncmd પેકેજો ઇન્સ્ટોલ કરીએ. તમારે ક્લાયંટ ચલાવવાની જરૂર પડશે:

sudo vpnclient start

રૂપરેખાંકિત કરવા માટે, vpncmd ઉપયોગિતાનો ઉપયોગ કરો, લોકલહોસ્ટને મશીન તરીકે પસંદ કરીને કે જેના પર vpnclient ચાલી રહ્યું છે. બધા આદેશો કન્સોલમાં બનાવવામાં આવે છે: તમારે વર્ચ્યુઅલ ઇન્ટરફેસ (NicCreate) અને એકાઉન્ટ (AccountCreate) બનાવવાની જરૂર પડશે.

કેટલાક કિસ્સાઓમાં, તમારે AccountAnonymousSet, AccountPasswordSet, AccountCertSet અને AccountSecureCertSet આદેશોનો ઉપયોગ કરીને પ્રમાણીકરણ પદ્ધતિનો ઉલ્લેખ કરવો આવશ્યક છે. અમે DHCP નો ઉપયોગ કરતા ન હોવાથી, વર્ચ્યુઅલ એડેપ્ટર માટેનું સરનામું મેન્યુઅલી સેટ કરેલ છે.

વધુમાં, આપણે ip ફોરવર્ડ (net.ipv4.ip_forward=1 પરિમાણ /etc/sysctl.conf ફાઈલમાં) સક્ષમ કરવાની જરૂર છે અને સ્ટેટિક રૂટ્સને રૂપરેખાંકિત કરવાની જરૂર છે. જો જરૂરી હોય તો, Suricata સાથે VDS પર, તમે સ્થાનિક નેટવર્ક પર ઇન્સ્ટોલ કરેલી સેવાઓનો ઉપયોગ કરવા માટે પોર્ટ ફોરવર્ડિંગને ગોઠવી શકો છો. આના પર, નેટવર્ક મર્જિંગ પૂર્ણ ગણી શકાય.

અમારી સૂચિત ગોઠવણી આના જેવી દેખાશે:

Suricata સેટ કરી રહ્યું છે

В પાછલો લેખ અમે IDS ના સંચાલનના બે મોડ વિશે વાત કરી: NFQUEUE કતાર (NFQ મોડ) દ્વારા અને શૂન્ય નકલ (AF_PACKET મોડ) દ્વારા. બીજાને બે ઇન્ટરફેસની જરૂર છે, પરંતુ તે ઝડપી છે - અમે તેનો ઉપયોગ કરીશું. પરિમાણ મૂળભૂત રીતે /etc/default/suricata માં સેટ કરેલ છે. આપણે ત્યાં વર્ચ્યુઅલ સબનેટને હોમ તરીકે સેટ કરીને /etc/suricata/suricata.yaml માં vars વિભાગને સંપાદિત કરવાની પણ જરૂર છે.

IDS પુનઃપ્રારંભ કરવા માટે, આદેશનો ઉપયોગ કરો:

systemctl restart suricata

સોલ્યુશન તૈયાર છે, હવે તમારે દૂષિત ક્રિયાઓના પ્રતિકાર માટે તેનું પરીક્ષણ કરવાની જરૂર પડી શકે છે.

હુમલાઓનું અનુકરણ

બાહ્ય IDS સેવાના લડાઇના ઉપયોગ માટે ઘણા દૃશ્યો હોઈ શકે છે:

DDoS હુમલા સામે રક્ષણ (પ્રાથમિક હેતુ)

કોર્પોરેટ નેટવર્કની અંદર આ વિકલ્પને અમલમાં મૂકવો મુશ્કેલ છે, કારણ કે વિશ્લેષણ માટેના પેકેટો ઇન્ટરનેટ પર દેખાતા સિસ્ટમ ઇન્ટરફેસ પર પહોંચવા આવશ્યક છે. જો IDS તેમને અવરોધિત કરે તો પણ, બનાવટી ટ્રાફિક ડેટા લિંકને નીચે લાવી શકે છે. આને અવગણવા માટે, તમારે પૂરતા પ્રમાણમાં ઉત્પાદક ઇન્ટરનેટ કનેક્શન સાથે VPS ઓર્ડર કરવાની જરૂર છે જે તમામ સ્થાનિક નેટવર્ક ટ્રાફિક અને તમામ બાહ્ય ટ્રાફિકને પસાર કરી શકે છે. ઓફિસ ચેનલને વિસ્તૃત કરવા કરતાં આ કરવું ઘણીવાર સરળ અને સસ્તું હોય છે. એક વિકલ્પ તરીકે, DDoS સામે રક્ષણ માટે વિશિષ્ટ સેવાઓનો ઉલ્લેખ કરવો યોગ્ય છે. તેમની સેવાઓની કિંમત વર્ચ્યુઅલ સર્વરની કિંમત સાથે સરખાવી શકાય છે, અને તેને સમય લેતી ગોઠવણીની જરૂર નથી, પરંતુ તેમાં ગેરફાયદા પણ છે - ક્લાયંટ તેના પૈસા માટે માત્ર DDoS સુરક્ષા મેળવે છે, જ્યારે તેના પોતાના IDSને તમારા તરીકે ગોઠવી શકાય છે. જેમ

અન્ય પ્રકારના બાહ્ય હુમલાઓ સામે રક્ષણ

સુરિકાટા ઈન્ટરનેટ (મેઈલ સર્વર, વેબ સર્વર અને વેબ એપ્લીકેશન વગેરે) પરથી સુલભ કોર્પોરેટ નેટવર્ક સેવાઓમાં વિવિધ નબળાઈઓનો ઉપયોગ કરવાના પ્રયાસોનો સામનો કરવામાં સક્ષમ છે. સામાન્ય રીતે, આ માટે, સરહદ ઉપકરણો પછી LAN ની અંદર IDS ઇન્સ્ટોલ કરવામાં આવે છે, પરંતુ તેને બહાર લઈ જવાનો અસ્તિત્વનો અધિકાર છે.

અંદરથી રક્ષણ

સિસ્ટમ એડમિનિસ્ટ્રેટરના શ્રેષ્ઠ પ્રયાસો છતાં, કોર્પોરેટ નેટવર્ક પરના કમ્પ્યુટર્સ માલવેરથી સંક્રમિત થઈ શકે છે. વધુમાં, ગુંડાઓ કેટલીકવાર સ્થાનિક વિસ્તારમાં દેખાય છે, જેઓ કેટલીક ગેરકાયદેસર કામગીરી કરવાનો પ્રયાસ કરે છે. Suricata આવા પ્રયાસોને અવરોધિત કરવામાં મદદ કરી શકે છે, જો કે આંતરિક નેટવર્કને સુરક્ષિત રાખવા માટે તેને પરિમિતિની અંદર સ્થાપિત કરવું અને એક પોર્ટ પર ટ્રાફિકને મિરર કરી શકે તેવા મેનેજ્ડ સ્વીચ સાથે ટેન્ડમમાં તેનો ઉપયોગ કરવો વધુ સારું છે. આ કિસ્સામાં બાહ્ય IDS પણ નકામું નથી - ઓછામાં ઓછું તે બાહ્ય સર્વરનો સંપર્ક કરવા માટે LAN પર રહેતા માલવેરના પ્રયાસોને પકડી શકશે.

શરૂ કરવા માટે, અમે VPS પર હુમલો કરતી બીજી ટેસ્ટ બનાવીશું અને સ્થાનિક નેટવર્ક રાઉટર પર અમે અપાચેને ડિફૉલ્ટ ગોઠવણી સાથે વધારીશું, જે પછી અમે IDS સર્વરમાંથી 80મા પોર્ટને તેના પર ફોરવર્ડ કરીશું. આગળ, અમે હુમલાખોર હોસ્ટ તરફથી DDoS હુમલાનું અનુકરણ કરીશું. આ કરવા માટે, GitHub પરથી ડાઉનલોડ કરો, એટેકિંગ નોડ પર એક નાનો xerxes પ્રોગ્રામ કમ્પાઈલ કરો અને ચલાવો (તમારે gcc પેકેજ ઇન્સ્ટોલ કરવાની જરૂર પડી શકે છે):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

તેણીના કાર્યનું પરિણામ નીચે મુજબ હતું:

Suricata વિલનને કાપી નાખે છે, અને અપાચે પેજ ડિફોલ્ટ રૂપે ખુલે છે, અમારા તાત્કાલિક હુમલા અને "ઓફિસ" (ખરેખર હોમ) નેટવર્કની જગ્યાએ ડેડ ચેનલ હોવા છતાં. વધુ ગંભીર કાર્યો માટે, તમારે ઉપયોગ કરવો જોઈએ મેટાસ્પ્લોટ ફ્રેમવર્ક. તે ઘૂંસપેંઠ પરીક્ષણ માટે રચાયેલ છે અને તમને વિવિધ પ્રકારના હુમલાઓનું અનુકરણ કરવાની મંજૂરી આપે છે. સ્થાપન સૂચનો ઉપલબ્ધ પ્રોજેક્ટ વેબસાઇટ પર. ઇન્સ્ટોલેશન પછી, અપડેટ આવશ્યક છે:

sudo msfupdate

પરીક્ષણ માટે, msfconsole ચલાવો.

કમનસીબે, ફ્રેમવર્કના નવીનતમ સંસ્કરણોમાં આપમેળે ક્રેક કરવાની ક્ષમતાનો અભાવ છે, તેથી શોષણને મેન્યુઅલી સૉર્ટ કરવું પડશે અને ઉપયોગ આદેશનો ઉપયોગ કરીને ચલાવવા પડશે. શરૂ કરવા માટે, હુમલો કરેલ મશીન પર ખુલ્લા બંદરો નક્કી કરવા યોગ્ય છે, ઉદાહરણ તરીકે, nmap નો ઉપયોગ કરીને (અમારા કિસ્સામાં, તે હુમલો કરેલ હોસ્ટ પર નેટસ્ટેટ દ્વારા સંપૂર્ણપણે બદલવામાં આવશે), અને પછી યોગ્ય પસંદ કરો અને ઉપયોગ કરો. મેટાસ્પ્લોઈટ મોડ્યુલો.

હુમલાઓ સામે IDS ની સ્થિતિસ્થાપકતા ચકાસવા માટે અન્ય માધ્યમો છે, જેમાં ઓનલાઈન સેવાઓનો સમાવેશ થાય છે. જિજ્ઞાસા ખાતર, તમે અજમાયશ સંસ્કરણનો ઉપયોગ કરીને તણાવ પરીક્ષણ ગોઠવી શકો છો આઇપી સ્ટ્રેસર. આંતરિક ઘુસણખોરોની ક્રિયાઓની પ્રતિક્રિયા ચકાસવા માટે, સ્થાનિક નેટવર્ક પરના એક મશીન પર વિશિષ્ટ ટૂલ્સ ઇન્સ્ટોલ કરવા યોગ્ય છે. ત્યાં ઘણા બધા વિકલ્પો છે અને સમય સમય પર તે ફક્ત પ્રાયોગિક સાઇટ પર જ નહીં, પણ કાર્યકારી સિસ્ટમો પર પણ લાગુ થવું જોઈએ, ફક્ત આ એક સંપૂર્ણપણે અલગ વાર્તા છે.

સોર્સ: www.habr.com

Snort અથવા Suricata. ભાગ 3: ઓફિસ નેટવર્કનું રક્ષણ

કનેક્ટિંગ નેટવર્ક્સ

Suricata સેટ કરી રહ્યું છે

હુમલાઓનું અનુકરણ

એક ટિપ્પણી ઉમેરો જવાબ રદ