🥇स्नॉर्ट या सुरीकाटा। भाग 3: कार्यालय नेटवर्क की सुरक्षा करना

В पिछला लेख हमने Ubuntu 18.04 LTS पर सुरिकाटा के स्थिर संस्करण को चलाने का तरीका बताया है। एक नोड पर एक आईडीएस सेट अप करना और मुफ्त नियम सेट सक्षम करना बहुत सीधा है। आज हम यह पता लगाएंगे कि वर्चुअल सर्वर पर स्थापित सुरीकाटा का उपयोग करके सबसे सामान्य प्रकार के हमलों का उपयोग करके कॉर्पोरेट नेटवर्क की सुरक्षा कैसे की जाए। ऐसा करने के लिए, हमें Linux पर दो कंप्यूटिंग कोर के साथ VDS की आवश्यकता है। रैम की मात्रा लोड पर निर्भर करती है: किसी के लिए 2 जीबी पर्याप्त है, और अधिक गंभीर कार्यों के लिए 4 या 6 की आवश्यकता हो सकती है। वर्चुअल मशीन का लाभ प्रयोग करने की क्षमता है: आप न्यूनतम कॉन्फ़िगरेशन के साथ शुरू कर सकते हैं और बढ़ा सकते हैं आवश्यकतानुसार संसाधन।

फोटो: रॉयटर्स

कनेक्टिंग नेटवर्क

परीक्षण के लिए सबसे पहले आईडीएस को वर्चुअल मशीन से हटाना आवश्यक हो सकता है। यदि आप इस तरह के समाधान से कभी नहीं निपटे हैं, तो आपको भौतिक हार्डवेयर ऑर्डर करने और नेटवर्क आर्किटेक्चर को बदलने में जल्दबाजी नहीं करनी चाहिए। अपनी गणना आवश्यकताओं को निर्धारित करने के लिए सिस्टम को सुरक्षित और लागत प्रभावी ढंग से चलाना सबसे अच्छा है। यह समझना महत्वपूर्ण है कि सभी कॉर्पोरेट ट्रैफ़िक को एक बाहरी नोड के माध्यम से पारित करना होगा: एक स्थानीय नेटवर्क (या कई नेटवर्क) को VDS से कनेक्ट करने के लिए, IDS Suricata स्थापित करने के लिए, आप उपयोग कर सकते हैं सॉफ्टएथर - एक आसान-से-कॉन्फ़िगर, क्रॉस-प्लेटफ़ॉर्म वीपीएन सर्वर जो मजबूत एन्क्रिप्शन प्रदान करता है। कार्यालय के इंटरनेट कनेक्शन में वास्तविक IP नहीं हो सकता है, इसलिए इसे VPS पर सेट करना बेहतर है। उबंटू रिपॉजिटरी में कोई तैयार पैकेज नहीं है, आपको सॉफ्टवेयर को या तो डाउनलोड करना होगा प्रोजेक्ट वेबसाइट, या सेवा पर बाहरी रिपॉजिटरी से लांच पैड (यदि आप उस पर भरोसा करते हैं):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

आप निम्न आदेश के साथ उपलब्ध पैकेजों की सूची देख सकते हैं:

apt-cache search softether

हमें इसे कॉन्फ़िगर करने के लिए softether-vpnserver (परीक्षण कॉन्फ़िगरेशन में सर्वर VDS पर चल रहा है), साथ ही softether-vpncmd - कमांड लाइन उपयोगिताओं की आवश्यकता होगी।

sudo apt-get install softether-vpnserver softether-vpncmd

सर्वर को कॉन्फ़िगर करने के लिए एक विशेष कमांड लाइन उपयोगिता का उपयोग किया जाता है:

sudo vpncmd

हम सेटिंग के बारे में विस्तार से बात नहीं करेंगे: प्रक्रिया काफी सरल है, यह कई प्रकाशनों में अच्छी तरह से वर्णित है और सीधे लेख के विषय से संबंधित नहीं है। संक्षेप में, वीपीएनसीएमडी शुरू करने के बाद, आपको सर्वर प्रबंधन कंसोल पर जाने के लिए आइटम 1 का चयन करना होगा। ऐसा करने के लिए, आपको लोकलहोस्ट नाम दर्ज करना होगा और हब का नाम दर्ज करने के बजाय एंटर दबाना होगा। व्यवस्थापक पासवर्ड कंसोल में सर्वरपासवर्डसेट कमांड के साथ सेट किया गया है, DEFAULT वर्चुअल हब को हटा दिया गया है (Hubdelete कमांड) और एक नया बनाया गया है जिसका नाम Suricata_VPN है, और इसका पासवर्ड भी सेट है (Hubcreate कमांड)। इसके बाद, आपको groupcreate और usercreate कमांड का उपयोग करके एक समूह और उपयोगकर्ता बनाने के लिए हब Suricata_VPN कमांड का उपयोग करके नए हब के प्रबंधन कंसोल पर जाने की आवश्यकता है। यूजर पासवर्ड यूजरपासवर्डसेट का उपयोग करके सेट किया गया है।

सॉफ्टएथर दो ट्रैफिक ट्रांसफर मोड का समर्थन करता है: सिक्योरनेट और लोकल ब्रिज। पहली अपने स्वयं के NAT और DHCP के साथ वर्चुअल प्राइवेट नेटवर्क बनाने के लिए एक मालिकाना तकनीक है। SecureNAT को TUN/TAP या नेटफ़िल्टर या अन्य फ़ायरवॉल सेटिंग्स की आवश्यकता नहीं है। रूटिंग सिस्टम कोर को प्रभावित नहीं करता है, और सभी प्रक्रियाएं वर्चुअलाइज्ड हैं और किसी भी VPS / VDS पर काम करती हैं, भले ही हाइपरविजर का इस्तेमाल किया गया हो। इसके परिणामस्वरूप लोकल ब्रिज मोड की तुलना में सीपीयू लोड और धीमी गति बढ़ जाती है, जो सॉफ्टएथर वर्चुअल हब को एक भौतिक नेटवर्क एडेप्टर या टीएपी डिवाइस से जोड़ता है।

इस मामले में कॉन्फ़िगरेशन अधिक जटिल हो जाता है, क्योंकि रूटिंग नेटफिल्टर का उपयोग करके कर्नेल स्तर पर होती है। हमारा वीडीएस हाइपर-वी पर बनाया गया है, इसलिए अंतिम चरण में हम एक स्थानीय पुल बनाते हैं और टीएपी डिवाइस को ब्रिजक्रिएट सर्केट_वीपीएन -डिवाइस: सर्केट_वीपीएन -टैप: यस कमांड के साथ सक्रिय करते हैं। हब प्रबंधन कंसोल से बाहर निकलने के बाद, हम सिस्टम में एक नया नेटवर्क इंटरफ़ेस देखेंगे जिसे अभी तक आईपी असाइन नहीं किया गया है:

ifconfig

अगला, आपको इंटरफेस (आईपी फॉरवर्ड) के बीच पैकेट रूटिंग को सक्षम करना होगा, अगर यह निष्क्रिय है:

sudo nano /etc/sysctl.conf

निम्नलिखित पंक्ति को अनकमेंट करें:

net.ipv4.ip_forward = 1

फ़ाइल में परिवर्तन सहेजें, संपादक से बाहर निकलें और उन्हें निम्न आदेश के साथ लागू करें:

sudo sysctl -p

अगला, हमें आभासी नेटवर्क के लिए काल्पनिक आईपी (उदाहरण के लिए, 10.0.10.0/24) के साथ एक सबनेट को परिभाषित करने और इंटरफ़ेस को एक पता निर्दिष्ट करने की आवश्यकता है:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

फिर आपको नेटफिल्टर नियम लिखने की जरूरत है।

1. यदि आवश्यक हो, आने वाले पैकेटों को सुनने वाले बंदरगाहों पर अनुमति दें (सॉफ्टएथर मालिकाना प्रोटोकॉल HTTPS और पोर्ट 443 का उपयोग करता है)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT को सबनेट 10.0.10.0/24 से मुख्य सर्वर IP पर सेट करें

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. सबनेट 10.0.10.0/24 से पासिंग पैकेट की अनुमति दें

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. पहले से स्थापित कनेक्शन के लिए पासिंग पैकेट की अनुमति दें

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

हम प्रक्रिया के स्वचालन को छोड़ देंगे जब होमवर्क के रूप में प्रारंभिक स्क्रिप्ट का उपयोग करके सिस्टम को पुनरारंभ किया जाता है।

यदि आप ग्राहकों को स्वचालित रूप से आईपी देना चाहते हैं, तो आपको स्थानीय पुल के लिए किसी प्रकार की डीएचसीपी सेवा भी स्थापित करनी होगी। यह सर्वर सेटअप को पूरा करता है और आप क्लाइंट्स के पास जा सकते हैं। सॉफ्टएथर कई प्रोटोकॉल का समर्थन करता है, जिसका उपयोग लैन उपकरण की क्षमताओं पर निर्भर करता है।

netstat -ap |grep vpnserver

चूंकि हमारा टेस्ट राउटर उबंटू के तहत भी चलता है, आइए मालिकाना प्रोटोकॉल का उपयोग करने के लिए उस पर एक बाहरी रिपॉजिटरी से softether-vpnclient और softether-vpncmd पैकेज इंस्टॉल करें। आपको क्लाइंट चलाने की आवश्यकता होगी:

sudo vpnclient start

कॉन्फ़िगर करने के लिए, vpncmd उपयोगिता का उपयोग करें, लोकलहोस्ट को उस मशीन के रूप में चुनें जिस पर vpnclient चल रहा है। सभी आदेश कंसोल में बने होते हैं: आपको एक वर्चुअल इंटरफ़ेस (NicCreate) और एक खाता (AccountCreate) बनाना होगा।

कुछ मामलों में, आपको AccountAnonymousSet, AccountPasswordSet, AccountCertSet, और AccountSecureCertSet कमांड का उपयोग करके प्रमाणीकरण विधि निर्दिष्ट करनी होगी। चूंकि हम डीएचसीपी का उपयोग नहीं कर रहे हैं, वर्चुअल एडेप्टर के लिए पता मैन्युअल रूप से सेट किया गया है।

इसके अतिरिक्त, हमें ip आगे सक्षम करने की आवश्यकता है (net.ipv4.ip_forward=1 पैरामीटर /etc/sysctl.conf फ़ाइल में) और स्थैतिक मार्गों को कॉन्फ़िगर करें। यदि आवश्यक हो, VDS पर Suricata के साथ, आप स्थानीय नेटवर्क पर स्थापित सेवाओं का उपयोग करने के लिए पोर्ट फ़ॉरवर्डिंग को कॉन्फ़िगर कर सकते हैं। इस पर नेटवर्क विलय को पूर्ण माना जा सकता है।

हमारा प्रस्तावित कॉन्फ़िगरेशन कुछ इस तरह दिखेगा:

सुरिकाटा की स्थापना

В पिछला लेख हमने IDS के संचालन के दो तरीकों के बारे में बात की: NFQUEUE कतार (NFQ मोड) के माध्यम से और शून्य प्रति (AF_PACKET मोड) के माध्यम से। दूसरे के लिए दो इंटरफेस की आवश्यकता होती है, लेकिन यह तेज़ है - हम इसका उपयोग करेंगे। पैरामीटर डिफ़ॉल्ट रूप से /etc/default/suricata में सेट होता है। हमें /etc/suricata/suricata.yaml में vars सेक्शन को संपादित करने की भी आवश्यकता है, वहाँ वर्चुअल सबनेट को घर के रूप में सेट करना है।

आईडीएस को पुनरारंभ करने के लिए, कमांड का उपयोग करें:

systemctl restart suricata

समाधान तैयार है, अब आपको दुर्भावनापूर्ण कार्यों के प्रतिरोध के लिए इसका परीक्षण करने की आवश्यकता हो सकती है।

अनुकरणीय हमले

बाहरी आईडीएस सेवा के युद्धक उपयोग के लिए कई परिदृश्य हो सकते हैं:

DDoS हमलों से सुरक्षा (प्राथमिक उद्देश्य)

कॉर्पोरेट नेटवर्क के अंदर इस तरह के विकल्प को लागू करना मुश्किल है, क्योंकि विश्लेषण के लिए पैकेट को सिस्टम इंटरफ़ेस पर जाना चाहिए जो इंटरनेट पर दिखता है। भले ही आईडीएस उन्हें ब्लॉक कर दे, नकली ट्रैफिक डेटा लिंक को नीचे ला सकता है। इससे बचने के लिए, आपको पर्याप्त उत्पादक इंटरनेट कनेक्शन के साथ एक VPS ऑर्डर करने की आवश्यकता है जो सभी स्थानीय नेटवर्क ट्रैफ़िक और सभी बाहरी ट्रैफ़िक को पार कर सके। कार्यालय चैनल का विस्तार करने की तुलना में ऐसा करना अक्सर आसान और सस्ता होता है। एक विकल्प के रूप में, यह DDoS से सुरक्षा के लिए विशेष सेवाओं का उल्लेख करने योग्य है। उनकी सेवाओं की लागत एक वर्चुअल सर्वर की लागत के बराबर है, और इसके लिए समय लेने वाली कॉन्फ़िगरेशन की आवश्यकता नहीं है, लेकिन इसके नुकसान भी हैं - क्लाइंट को अपने पैसे के लिए केवल DDoS सुरक्षा प्राप्त होती है, जबकि उसकी अपनी IDS को आप के रूप में कॉन्फ़िगर किया जा सकता है पसंद करना।

अन्य प्रकार के बाहरी आक्रमणों से सुरक्षा

सुरिकाटा इंटरनेट (मेल सर्वर, वेब सर्वर और वेब एप्लिकेशन, आदि) से सुलभ कॉर्पोरेट नेटवर्क सेवाओं में विभिन्न कमजोरियों का फायदा उठाने के प्रयासों का सामना करने में सक्षम है। आमतौर पर, इसके लिए सीमा उपकरणों के बाद LAN के अंदर IDS स्थापित किया जाता है, लेकिन इसे बाहर ले जाने का अधिकार मौजूद है।

अंदरूनी लोगों से सुरक्षा

सिस्टम व्यवस्थापक के सर्वोत्तम प्रयासों के बावजूद, कॉर्पोरेट नेटवर्क के कंप्यूटर मैलवेयर से संक्रमित हो सकते हैं। इसके अलावा, गुंडे कभी-कभी स्थानीय क्षेत्र में दिखाई देते हैं, जो कुछ अवैध कार्यों को करने की कोशिश करते हैं। सुरिकाटा इस तरह के प्रयासों को रोकने में मदद कर सकता है, हालांकि आंतरिक नेटवर्क की सुरक्षा के लिए इसे परिधि के अंदर स्थापित करना और एक प्रबंधित स्विच के साथ मिलकर इसका उपयोग करना बेहतर होता है जो एक बंदरगाह पर यातायात को प्रतिबिंबित कर सकता है। इस मामले में एक बाहरी आईडीएस भी बेकार नहीं है - कम से कम यह बाहरी सर्वर से संपर्क करने के लिए लैन पर रहने वाले मैलवेयर के प्रयासों को पकड़ने में सक्षम होगा।

आरंभ करने के लिए, हम VPS पर हमला करने वाला एक और परीक्षण बनाएंगे, और स्थानीय नेटवर्क राउटर पर हम Apache को डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ बढ़ाएंगे, जिसके बाद हम IDS सर्वर से 80वें पोर्ट को अग्रेषित करेंगे। अगला, हम हमलावर मेजबान से DDoS हमले का अनुकरण करेंगे। ऐसा करने के लिए, GitHub से डाउनलोड करें, हमला करने वाले नोड पर एक छोटा xerxes प्रोग्राम संकलित करें और चलाएं (आपको gcc पैकेज स्थापित करने की आवश्यकता हो सकती है):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

उसके काम का परिणाम इस प्रकार था:

सुरीकाटा खलनायक को काट देता है, और अपाचे पृष्ठ डिफ़ॉल्ट रूप से हमारे अचानक हमले और "कार्यालय" (वास्तव में घर) नेटवर्क के मृत चैनल के बावजूद खुलता है। अधिक गंभीर कार्यों के लिए, आपको उपयोग करना चाहिए मेटस्प्लोइट फ्रेमवर्क. यह पैठ परीक्षण के लिए डिज़ाइन किया गया है और आपको विभिन्न प्रकार के हमलों का अनुकरण करने की अनुमति देता है। स्थापना निर्देश उपलब्ध परियोजना की वेबसाइट पर। स्थापना के बाद, एक अद्यतन की आवश्यकता है:

sudo msfupdate

परीक्षण के लिए, msfconsole चलाएँ।

दुर्भाग्य से, ढांचे के नवीनतम संस्करणों में स्वचालित रूप से क्रैक करने की क्षमता नहीं है, इसलिए शोषण को मैन्युअल रूप से सॉर्ट करना होगा और उपयोग कमांड का उपयोग करना होगा। आरंभ करने के लिए, हमलावर मशीन पर खुले बंदरगाहों को निर्धारित करने के लायक है, उदाहरण के लिए, एनएमएपी का उपयोग करके (हमारे मामले में, यह पूरी तरह से हमला किए गए मेजबान पर नेटस्टैट द्वारा प्रतिस्थापित किया जाएगा), और उसके बाद उपयुक्त का चयन करें और उसका उपयोग करें मेटास्प्लोइट मॉड्यूल.

ऑनलाइन सेवाओं सहित हमलों के खिलाफ आईडीएस के लचीलेपन का परीक्षण करने के अन्य साधन हैं। जिज्ञासा के लिए, आप परीक्षण संस्करण का उपयोग करके तनाव परीक्षण की व्यवस्था कर सकते हैं आईपी तनाव. आंतरिक घुसपैठियों के कार्यों की प्रतिक्रिया की जांच करने के लिए, स्थानीय नेटवर्क पर मशीनों में से किसी एक पर विशेष उपकरण स्थापित करना उचित है। बहुत सारे विकल्प हैं और समय-समय पर उन्हें न केवल प्रायोगिक साइट पर, बल्कि कार्य प्रणालियों पर भी लागू किया जाना चाहिए, केवल यह एक पूरी तरह से अलग कहानी है।

स्रोत: www.habr.com

स्नॉर्ट या सुरीकाटा। भाग 3: कार्यालय नेटवर्क की सुरक्षा करना

कनेक्टिंग नेटवर्क

सुरिकाटा की स्थापना

अनुकरणीय हमले

एक टिप्पणी जोड़ें उत्तर रद्द