Snort a i ʻole Suricata. Mahele 3: Ka pale ʻana i ka Pūnaewele Keʻena
В ʻatikala mua ua uhi mākou pehea e holo ai i ka mana paʻa o Suricata ma Ubuntu 18.04 LTS. ʻO ka hoʻonohonoho ʻana i kahi IDS ma kahi node hoʻokahi a me ka ʻae ʻana i nā hoʻonohonoho lula manuahi he maʻalahi. I kēia lā e noʻonoʻo mākou pehea e pale ai i kahi ʻoihana ʻoihana me ka hoʻohana ʻana i nā ʻano hoʻouka maʻamau e hoʻohana ana iā Suricata i hoʻokomo ʻia ma kahi kikowaena virtual. No ka hana ʻana i kēia, pono mākou i kahi VDS ma Linux me ʻelua cores computing. ʻO ka nui o ka RAM e pili ana i ka ukana: Ua lawa ka 2 GB no kekahi, a ʻo 4 a i ʻole 6 paha e koi ʻia no nā hana koʻikoʻi. nā kumuwaiwai e like me ka mea e pono ai.
ʻO ka wehe ʻana i ka IDS i kahi mīkini maʻemaʻe ma kahi mua e pono ai no nā hoʻāʻo. Inā ʻaʻole ʻoe i hana i kēlā mau hoʻonā, ʻaʻole pono ʻoe e wikiwiki e kauoha i nā lako kino a hoʻololi i ka hoʻolālā pūnaewele. ʻOi aku ka maikaʻi o ka holo ʻana i ka ʻōnaehana me ka palekana a me ka uku-maikaʻi e hoʻoholo ai i kāu pono helu helu. He mea nui e hoʻomaopopo i ka hele ʻana o nā kaʻa hui āpau ma kahi node waho hoʻokahi: e hoʻopili i kahi pūnaewele kūloko (a i ʻole kekahi mau pūnaewele) i kahi VDS me IDS Suricata i hoʻokomo ʻia, hiki iā ʻoe ke hoʻohana. Palupalu - He kikowaena VPN maʻalahi-e hoʻonohonoho, cross-platform e hāʻawi i ka hoʻopunipuni ikaika. ʻAʻole paha i loaʻa i kahi pilina pūnaewele keʻena kahi IP maoli, no laila ʻoi aku ka maikaʻi o ka hoʻonohonoho ʻana ma kahi VPS. ʻAʻohe ʻāpana i hoʻomākaukau ʻia i ka waihona ʻo Ubuntu, pono ʻoe e hoʻoiho i ka polokalamu mai kahua papahana, a i ʻole mai kahi waihona waho ma ka lawelawe Launchpad (inā hilinaʻi ʻoe iā ia):
Hiki iā ʻoe ke nānā i ka papa inoa o nā pūʻolo i loaʻa me kēia kauoha:
apt-cache search softether
Pono mākou i ka softether-vpnserver (ke holo nei ke kikowaena i ka hoʻonohonoho hoʻāʻo ma VDS), a me ka softether-vpncmd - nā pono laina kauoha no ka hoʻonohonoho ʻana.
Hoʻohana ʻia kahi pono laina kauoha kūikawā e hoʻonohonoho i ke kikowaena:
sudo vpncmd
ʻAʻole mākou e kamaʻilio kikoʻī e pili ana i ka hoʻonohonoho: maʻalahi ke kaʻina hana, wehewehe maikaʻi ʻia i nā paʻi he nui a ʻaʻole pili pololei i ke kumuhana o ka ʻatikala. I ka pōkole, ma hope o ka hoʻomaka ʻana i ka vpncmd, pono ʻoe e koho i ka mea 1 e hele i ka console management server. No ka hana ʻana i kēia, pono ʻoe e hoʻokomo i ka inoa localhost a kaomi i ke komo ma mua o ke komo ʻana i ka inoa o ka hub. Hoʻonohonoho ʻia ka ʻōlelo huna luna ma ka console me ke kauoha serverpasswordset, ua holoi ʻia ka DEFAULT virtual hub (hubdelete command) a ua hana ʻia kahi mea hou me ka inoa Suricata_VPN, a ua hoʻonohonoho pū ʻia kāna ʻōlelo huna (hubcreate command). A laila, pono ʻoe e hele i ka console hoʻokele o ka hub hou me ka hoʻohana ʻana i ka hub Suricata_VPN kauoha e hana i kahi hui a me ka mea hoʻohana e hoʻohana ana i nā kauoha groupcreate a usercreate. Hoʻonohonoho ʻia ka ʻōlelo huna me ka hoʻohana ʻana i ka userpasswordset.
Kākoʻo ʻo SoftEther i ʻelua mau ʻano hoʻoili kaʻa: SecureNAT a me Local Bridge. ʻO ka mea mua he ʻenehana ponoʻī no ke kūkulu ʻana i kahi pūnaewele pilikino virtual me kāna NAT a me DHCP ponoʻī. ʻAʻole koi ʻo SecureNAT iā TUN/TAP a i ʻole Netfilter a i ʻole nā hoʻonohonoho pā ahi ʻē aʻe. ʻAʻole pili ka routing i ke kumu o ka ʻōnaehana, a ua virtualized nā kaʻina hana āpau a hana i kekahi VPS / VDS, me ka nānā ʻole i ka hypervisor i hoʻohana ʻia. Loaʻa kēia i ka hoʻonui ʻana i ka ukana CPU a me ka wikiwiki o ka wikiwiki e hoʻohālikelike ʻia me ka mode Bridge Bridge, kahi e hoʻopili ai i ka hub virtual SoftEther i kahi mea hoʻopili pūnaewele kino a i ʻole mea TAP.
ʻOi aku ka paʻakikī o ka hoʻonohonoho ʻana i kēia hihia, no ka mea ke hele nei ke ala ma ka pae kernel me ka hoʻohana ʻana iā Netfilter. Hoʻokumu ʻia kā mākou VDS ma Hyper-V, no laila ma ka hana hope mākou e hana ai i kahi alahaka kūloko a hoʻāla i ka hāmeʻa TAP me ka bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes kauoha. Ma hope o ka haʻalele ʻana i ka console hoʻokele hub, e ʻike mākou i kahi kikowaena pūnaewele hou i ka ʻōnaehana ʻaʻole i hāʻawi ʻia i kahi IP:
ifconfig
A laila, pono ʻoe e ʻae i ka hoʻokele packet ma waena o nā interface (ip forward), inā ʻaʻole ia:
sudo nano /etc/sysctl.conf
E wehe i ka manaʻo i kēia laina:
net.ipv4.ip_forward = 1
E mālama i nā hoʻololi i ka faila, haʻalele i ka mea hoʻoponopono a hoʻopili iā lākou me kēia kauoha:
sudo sysctl -p
A laila, pono mākou e wehewehe i kahi subnet no ka pūnaewele virtual me nā IP fictitious (no ka laʻana, 10.0.10.0/24) a hāʻawi i kahi helu i ka interface:
sudo ifconfig tap_suricata_vp 10.0.10.1/24
A laila pono ʻoe e kākau i nā lula Netfilter.
1. Inā pono, e ʻae i nā ʻeke komo mai ma nā awa hoʻolohe (Hoʻohana ka protocol proprietary SoftEther i ka HTTPS a me ke awa 443)
3. E ʻae i ka hele ʻana i nā ʻeke mai ka subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT
4. E ʻae i ka hele ʻana i nā ʻeke no nā pilina paʻa
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
E haʻalele mākou i ka automation o ke kaʻina hana ke hoʻomaka hou ka ʻōnaehana me ka hoʻohana ʻana i nā palapala hoʻomaka i ka poʻe heluhelu ma ke ʻano he haʻawina home.
Inā makemake ʻoe e hāʻawi i ka IP i nā mea kūʻai aku, pono ʻoe e hoʻokomo i kekahi ʻano lawelawe DHCP no ke alahaka kūloko. Hoʻopau kēia i ka hoʻonohonoho kikowaena a hiki iā ʻoe ke hele i nā mea kūʻai aku. Kākoʻo ʻo SoftEther i nā protocols he nui, ʻo ka hoʻohana ʻana e pili ana i ka hiki o nā lako LAN.
netstat -ap |grep vpnserver
No ka holo ʻana o kā mākou mea hoʻokele hoʻāʻo ma lalo o Ubuntu, e hoʻokomo i nā pūʻolo softether-vpnclient a me softether-vpncmd mai kahi waihona waho e hoʻohana ai i ka protocol proprietary. Pono ʻoe e holo i ka mea kūʻai aku:
sudo vpnclient start
No ka hoʻonohonoho ʻana, e hoʻohana i ka pono vpncmd, e koho i ka localhost e like me ka mīkini e holo ai ka vpnclient. Hana ʻia nā kauoha āpau i ka console: pono ʻoe e hana i kahi kikowaena virtual (NicCreate) a me kahi moʻokāki (AccountCreate).
I kekahi mau hihia, pono ʻoe e kuhikuhi i ke ʻano hōʻoia me ka hoʻohana ʻana i nā kauoha AccountAnonymousSet, AccountPasswordSet, AccountCertSet, a me AccountSecureCertSet. No ka mea ʻaʻole mākou e hoʻohana ana i ka DHCP, ua hoʻonohonoho lima ʻia ka helu wahi no ka adapter virtual.
Eia hou, pono mākou e ho'ā i ka ip i mua (koho net.ipv4.ip_forward=1 ma ka waihona /etc/sysctl.conf) a hoʻonohonoho i nā ala paʻa. Inā pono, ma VDS me Suricata, hiki iā ʻoe ke hoʻonohonoho i ka port forwarding e hoʻohana i nā lawelawe i kau ʻia ma ka pūnaewele kūloko. Ma kēia, hiki ke noʻonoʻo ʻia ka hoʻohui ʻana o ka pūnaewele.
ʻO kā mākou hoʻonohonoho i manaʻo ʻia e like me kēia:
Hoʻonohonoho ʻia ʻo Suricata
В ʻatikala mua ua kamaʻilio mākou e pili ana i ʻelua ʻano hana o ka IDS: ma o ka NFQUEUE queue (NFQ mode) a ma o ka kope kope (AF_PACKET mode). Pono ka lua i ʻelua mau kikowaena, akā ʻoi aku ka wikiwiki - e hoʻohana mākou. Hoʻonohonoho ʻia ka ʻāpana e ka paʻamau i /etc/default/suricata. Pono mākou e hoʻoponopono i ka ʻāpana vars ma /etc/suricata/suricata.yaml, e hoʻonohonoho ana i ka subnet virtual ma laila e like me ka home.
E hoʻomaka hou i ka IDS, e hoʻohana i ke kauoha:
systemctl restart suricata
Ua mākaukau ka hopena, i kēia manawa pono ʻoe e hoʻāʻo iā ia no ke kūʻē ʻana i nā hana ʻino.
Hoʻohālikelike i nā hoʻouka kaua
Hiki i kekahi mau hiʻohiʻona no ka hoʻohana kaua ʻana i kahi lawelawe IDS waho:
Palekana mai nā hoʻouka kaua DDoS (kumu mua)
He mea paʻakikī ke hoʻokō i kēlā koho i loko o ka ʻoihana hui, no ka mea, pono e loaʻa nā ʻeke no ka nānā ʻana i ka ʻōnaehana ʻōnaehana e nānā i ka Pūnaewele. ʻOiai inā pāpā ʻia ka IDS iā lākou, hiki i ka huakaʻi hoʻopunipuni ke hoʻoiho i ka loulou data. No ka pale ʻana i kēia, pono ʻoe e kauoha i kahi VPS me kahi pilina pūnaewele kūpono e hiki ai ke hele i nā kaʻa pūnaewele kūloko a me nā kaʻa waho waho. ʻOi aku ka maʻalahi a ʻoi aku ka maʻalahi o ka hana ʻana i kēia ma mua o ka hoʻonui ʻana i ke kahawai keʻena. Ma ke ʻano he koho, pono e haʻi i nā lawelawe kūikawā no ka pale ʻana iā DDoS. ʻO ke kumukūʻai o kā lākou lawelawe e like me ke kumukūʻai o kahi kikowaena virtual, ʻaʻole ia e koi i ka hoʻonohonoho hoʻopau manawa, akā aia kekahi mau hemahema - loaʻa i ka mea kūʻai aku ka pale DDoS no kāna kālā, ʻoiai hiki ke hoʻonohonoho ʻia kāna IDS ponoʻī e like me ʻoe. like.
Pale i nā hoʻouka ʻana o waho o nā ʻano ʻano ʻē aʻe
Hiki iā Suricata ke hoʻokō i nā hoʻāʻo e hoʻohana i nā nāwaliwali like ʻole i nā lawelawe ʻoihana ʻoihana i loaʻa mai ka Pūnaewele (ka leka uila, ka pūnaewele pūnaewele a me nā noi pūnaewele, etc.). ʻO ka mea maʻamau, no kēia, hoʻokomo ʻia ʻo IDS i loko o ka LAN ma hope o nā ʻaoʻao palena, akā ʻo ka lawe ʻana i waho ke kuleana e noho.
Palekana mai loko mai
ʻOiai ʻo ka hoʻoikaika maikaʻi ʻana o ka luna ʻōnaehana, hiki ke loaʻa i nā kamepiula ma ka ʻoihana pūnaewele i ka maʻi ʻino. Eia kekahi, ʻike ʻia nā hooligans i kekahi manawa ma ka ʻāina, e hoʻāʻo nei e hana i kekahi mau hana hewa. Hiki iā Suricata ke kōkua i ka pale ʻana i ia mau hoʻāʻo, ʻoiai ʻoi aku ka maikaʻi o ka hoʻokomo ʻana iā ia i loko o ka perimeter a hoʻohana pū me kahi hoʻololi hoʻokele e hiki ke hoʻohālikelike i ke kaʻa i hoʻokahi awa. ʻAʻole pono ʻole kahi IDS waho i kēia hihia - ma ka liʻiliʻi e hiki ke hopu i nā hoʻāʻo ʻana e ka malware e noho ana ma ka LAN e hoʻopili i kahi kikowaena waho.
I ka hoʻomaka ʻana, e hana mākou i kahi hoʻāʻo ʻē aʻe e kūʻē ana i ka VPS, a ma ka ʻoihana pūnaewele kūloko e hoʻāla mākou iā Apache me ka hoʻonohonoho paʻamau, a laila e hoʻouna mākou i ke awa 80th iā ia mai ka server IDS. A laila, e hoʻohālikelike mākou i kahi hoʻouka kaua DDoS mai kahi pūʻali hoʻouka kaua. No ka hana ʻana i kēia, hoʻoiho mai GitHub, hōʻuluʻulu a holo i kahi polokalamu xerxes liʻiliʻi ma ka node hoʻouka (pono ʻoe e hoʻokomo i ka pūʻulu gcc):
Ua ʻoki ʻo Suricata i ka mea ʻino, a wehe ʻia ka ʻaoʻao Apache ma ke ʻano maʻamau, ʻoiai kā mākou hoʻouka kaua ʻole a me ke ala make o ka "keʻena" (home maoli) pūnaewele. No nā hana koʻikoʻi, pono ʻoe e hoʻohana Kākuhi Metasploit. Hoʻolālā ʻia ia no ka hoʻāʻo ʻana a hiki iā ʻoe ke hoʻohālikelike i nā ʻano hoʻouka kaua. Nā kuhikuhi hoʻonohonoho loaʻa ma ka pūnaewele papahana. Ma hope o ka hoʻouka ʻana, koi ʻia kahi mea hou:
sudo msfupdate
No ka hoʻāʻo ʻana, holo msfconsole.
ʻO ka mea pōʻino, ʻaʻole hiki i nā mana hou loa o ka framework ke hiki ke hoʻokaʻawale, no laila pono e hoʻokaʻawale ʻia nā hana me ka lima a holo me ke kauoha hoʻohana. I ka hoʻomaka ʻana, pono e hoʻoholo i nā awa i wehe ʻia ma ka mīkini i hoʻouka ʻia, no ka laʻana, me ka hoʻohana ʻana i ka nmap (i kā mākou hihia, e hoʻololi piha ʻia e netstat ma ka host i hoʻouka ʻia), a laila koho a hoʻohana i ka mea kūpono. Nā modula Metasploit.
Aia kekahi mau ala ʻē aʻe e hoʻāʻo ai i ke kūpaʻa o kahi IDS e kūʻē i ka hoʻouka ʻana, me nā lawelawe pūnaewele. No ka makemake o ka hoihoi, hiki iā ʻoe ke hoʻonohonoho i ka hoʻāʻo koʻikoʻi me ka hoʻohana ʻana i ka mana hoʻāʻo IP stresser. No ka nānāʻana i ka hopena i nā hana a nā mea komo i loko, pono e hoʻokomo i nā mea hana kūikawā ma kekahi o nā mīkini ma ka pūnaewele kūloko. Nui nā koho a i kēlā me kēia manawa pono lākou e hoʻopili ʻaʻole wale i ka pūnaewele hoʻokolohua, akā i nā ʻōnaehana hana, ʻo kēia wale nō ka moʻolelo ʻokoʻa loa.