В nou te kouvri ki jan yo kouri vèsyon ki estab nan Suricata sou Ubuntu 18.04 LTS. Mete kanpe yon IDS sou yon sèl ne ak pèmèt seri règ gratis se trè senp. Jodi a nou pral konnen ki jan yo pwoteje yon rezo antrepriz lè l sèvi avèk kalite atak ki pi komen lè l sèvi avèk Suricata enstale sou yon sèvè vityèl. Pou fè sa, nou bezwen yon VDS sou Linux ak de nwayo informatique. Kantite RAM depann de chaj la: 2 GB se ase pou yon moun, e yo ka mande 4 oswa menm 6 pou travay ki pi grav. Avantaj nan yon machin vityèl se kapasite nan eksperyans: ou ka kòmanse ak yon konfigirasyon minim epi ogmante. resous jan sa nesesè.
foto: Reuters
Konekte rezo yo
Retire IDS nan yon machin vityèl an plas an premye ka nesesè pou tès yo. Si ou pa janm te fè fas ak solisyon sa yo, ou pa ta dwe prese bay lòd kenkayri fizik ak chanje achitekti rezo a. Li pi bon pou w kouri sistèm nan san danje epi ak pri-efikas pou detèmine bezwen kalkile w yo. Li enpòtan pou w konprann ke tout trafik antrepriz yo pral oblije pase nan yon sèl ne ekstèn: konekte yon rezo lokal (oswa plizyè rezo) nan yon VDS ak IDS Suricata enstale, ou ka itilize - Yon sèvè VPN ki fasil pou konfigirasyon, kwa-platfòm ki bay gwo chifreman. Yon koneksyon entènèt biwo ka pa gen yon IP reyèl, kidonk li pi bon pou mete l sou yon VPS. Pa gen okenn pakè ki pare nan depo Ubuntu a, w ap oblije telechaje lojisyèl an swa nan , oswa nan yon depo ekstèn sou sèvis la (si ou fè li konfyans):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateOu ka wè lis pakè ki disponib ak lòd sa a:
apt-cache search softether
Nou pral bezwen softether-vpnserver (sèvè a nan konfigirasyon tès la ap kouri sou VDS), osi byen ke softether-vpncmd - sèvis piblik liy lòd pou konfigirasyon li.
sudo apt-get install softether-vpnserver softether-vpncmdYo itilize yon sèvis piblik espesyal liy lòd pou konfigirasyon sèvè a:
sudo vpncmd
Nou pa pral pale an detay sou anviwònman an: pwosedi a se byen senp, li byen dekri nan plizyè piblikasyon epi li pa dirèkteman gen rapò ak sijè a nan atik la. Nan ti bout tan, apre w fin kòmanse vpncmd, ou bezwen chwazi atik 1 pou ale nan konsole jesyon sèvè a. Pou fè sa, ou bezwen antre non localhost la epi peze antre olye pou w antre non sant la. Modpas administratè a mete nan konsole a ak kòmandman serverpasswordset la, sant vityèl DEFAULT la efase (kòmand hubdelete) epi yo kreye yon nouvo ak non Suricata_VPN, epi li mete modpas li tou (kòmand hubcreate). Apre sa, ou bezwen ale nan konsole jesyon nouvo mwaye a lè l sèvi avèk sant Suricata_VPN lòd pou kreye yon gwoup ak itilizatè lè l sèvi avèk kòmandman groupcreate ak usercreate. Modpas itilizatè a mete lè l sèvi avèk userpasswordset.
SoftEther sipòte de mòd transfè trafik: SecureNAT ak Local Bridge. Premye a se yon teknoloji propriétaires pou bati yon rezo prive vityèl ak pwòp NAT ak DHCP li yo. SecureNAT pa egzije TUN/TAP oswa Netfilter oswa lòt paramèt pare-feu. Routage pa afekte nwayo sistèm lan, epi tout pwosesis yo virtualize ak travay sou nenpòt VPS / VDS, kèlkeswa hypervisor yo itilize. Sa a lakòz ogmante chaj CPU ak vitès pi dousman konpare ak mòd Local Bridge, ki konekte sant vityèl SoftEther a ak yon adaptè rezo fizik oswa aparèy TAP.
Konfigirasyon nan ka sa a vin pi konplike, depi routage fèt nan nivo nwayo lè l sèvi avèk Netfilter. VDS nou yo bati sou Hyper-V, kidonk nan dènye etap la nou kreye yon pon lokal epi aktive aparèy TAP la ak kòmandman bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. Apre w fin soti konsole jesyon sant lan, nou pral wè yon nouvo koòdone rezo nan sistèm nan ki poko bay yon IP:
ifconfig
Apre sa, w ap oblije pèmèt routage pake ant interfaces (ip pi devan), si li inaktif:
sudo nano /etc/sysctl.confDekomantè liy sa a:
net.ipv4.ip_forward = 1Sove chanjman ki fèt nan dosye a, sòti editè a epi aplike yo ak lòd sa a:
sudo sysctl -pApre sa, nou bezwen defini yon subnet pou rezo vityèl la ak IP fiktif (pa egzanp, 10.0.10.0/24) epi bay yon adrès nan koòdone:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Lè sa a, ou bezwen ekri règ Netfilter.
1. Si sa nesesè, pèmèt pake fèk ap rantre sou pò koute yo (pwotokòl propriétaire SoftEther sèvi ak HTTPS ak pò 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Mete NAT soti nan sous-rezo 10.0.10.0/24 a nan IP sèvè prensipal la
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Pèmèt pase pakè ki soti nan subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Pèmèt pakè pase pou koneksyon ki deja etabli
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTNou pral kite automatisation pwosesis la lè sistèm lan rekòmanse lè l sèvi avèk scripts inisyalizasyon bay lektè yo kòm devwa.
Si ou vle bay kliyan IP otomatikman, w ap bezwen tou enstale kèk kalite sèvis DHCP pou pon lokal la. Sa a konplete konfigirasyon sèvè a epi ou ka ale nan kliyan yo. SoftEther sipòte anpil pwotokòl, itilizasyon ki depann de kapasite ekipman LAN yo.
netstat -ap |grep vpnserver
Depi routeur tès nou an kouri tou anba Ubuntu, ann enstale pakè softether-vpnclient ak softether-vpncmd ki soti nan yon depo ekstèn sou li pou itilize pwotokòl propriétaires la. Ou pral bezwen kouri kliyan an:
sudo vpnclient startPou konfigirasyon, sèvi ak sèvis piblik vpncmd la, chwazi localhost kòm machin sou kote vpnclient la ap kouri. Tout kòmandman yo fèt nan konsole a: w ap bezwen kreye yon koòdone vityèl (NicCreate) ak yon kont (AccountCreate).
Nan kèk ka, ou dwe presize metòd otantifikasyon an lè l sèvi avèk kòmandman AccountAnonymousSet, AccountPasswordSet, AccountCertSet, ak AccountSecureCertSet. Piske nou pa sèvi ak DHCP, adrès pou adaptè vityèl la mete manyèlman.
Anplis de sa, nou bezwen pèmèt ip pi devan (opsyon net.ipv4.ip_forward=1 nan /etc/sysctl.conf fichye a) ak konfigirasyon wout estatik. Si sa nesesè, sou VDS ak Suricata, ou ka konfigirasyon transmisyon pò pou itilize sèvis ki enstale sou rezo lokal la. Sou sa, rezo a fusion kapab konsidere kòm nèt sou tout pwen.
Konfigirasyon pwopoze nou an ap gade yon bagay tankou sa a:
Mete kanpe Suricata
В nou te pale sou de mòd operasyon IDS: atravè keu NFQUEUE (mòd NFQ) ak nan kopi zewo (mòd AF_PACKET). Dezyèm lan mande de interfaces, men se pi vit - nou pral sèvi ak li. Paramèt la mete pa default nan /etc/default/suricata. Nou bezwen tou edite seksyon vars nan /etc/suricata/suricata.yaml, mete sous-rezo vityèl la kòm kay.
Pou rekòmanse IDS, sèvi ak kòmandman an:
systemctl restart suricataSolisyon an pare, kounye a ou ka bezwen teste li pou rezistans nan aksyon move.
Simulation atak
Kapab genyen plizyè senaryo pou itilizasyon konba yon sèvis IDS ekstèn:
Pwoteksyon kont atak DDoS (objektif prensipal)
Li difisil pou aplike yon opsyon sa yo andedan rezo antrepriz la, paske pakè yo pou analiz yo dwe ale nan koòdone sistèm nan ki gade entènèt la. Menm si IDS la bloke yo, trafik espwè ka desann lyen done yo. Pou evite sa a, ou bezwen kòmande yon VPS ak yon koneksyon entènèt ase pwodiktif ki ka pase tout trafik rezo lokal yo ak tout trafik ekstèn. Li souvan pi fasil ak pi bon mache pou fè sa pase pou elaji chanèl biwo a. Kòm yon altènatif, li vo mansyone sèvis espesyalize pou pwoteksyon kont DDoS. Pri a nan sèvis yo se konparab ak pri a nan yon sèvè vityèl, epi li pa mande pou konfigirasyon tan konsome, men gen tou dezavantaj - kliyan an resevwa sèlman pwoteksyon DDoS pou lajan l ', pandan y ap pwòp IDS li yo ka configuré jan ou. tankou.
Pwoteksyon kont atak ekstèn nan lòt kalite
Suricata kapab fè fas ak tantativ pou eksplwate divès kalite vilnerabilite nan sèvis rezo antrepriz aksesib sou Entènèt (sèvè lapòs, sèvè entènèt ak aplikasyon entènèt, elatriye). Anjeneral, pou sa, IDS enstale andedan LAN apre aparèy fwontyè yo, men pran li deyò gen dwa egziste.
Pwoteksyon kont inisye yo
Malgre pi bon efò administratè sistèm lan, òdinatè sou rezo antrepriz la ka enfekte ak malveyan. Anplis de sa, vwayou pafwa parèt nan zòn lokal la, ki eseye fè kèk operasyon ilegal. Suricata ka ede bloke tantativ sa yo, byenke pou pwoteje rezo entèn la li pi bon enstale li andedan perimèt la epi sèvi ak li ansanm ak yon switch jere ki ka reflete trafik nan yon sèl pò. Yon ID ekstèn tou pa itil nan ka sa a - omwen li pral kapab trape tantativ pa malveyan k ap viv sou LAN a kontakte yon sèvè ekstèn.
Pou kòmanse, nou pral kreye yon lòt tès atake VPS, ak sou routeur rezo lokal la nou pral ogmante Apache ak konfigirasyon default la, apre sa nou pral voye pò a 80th nan li soti nan sèvè IDS la. Apre sa, nou pral simulation yon atak DDoS soti nan yon lame atake. Pou fè sa, telechaje soti nan GitHub, konpile epi kouri yon ti pwogram xerxes sou ne atak la (ou ka bezwen enstale pake gcc la):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Rezilta travay li a te jan sa a:
Suricata koupe mechan an, ak paj Apache a louvri pa default, malgre atak enprovize nou an ak kanal la olye mouri nan "biwo" (aktyèlman lakay) rezo a. Pou travay ki pi grav, ou ta dwe itilize . Li fèt pou tès pénétration ak pèmèt ou simulation yon varyete atak. Enstriksyon enstalasyon yo sou sit entènèt pwojè a. Apre enstalasyon, yon aktyalizasyon nesesè:
sudo msfupdatePou fè tès, kouri msfconsole.
Malerezman, dènye vèsyon yo nan fondasyon an manke kapasite nan krak otomatikman, kidonk èksplwatasyon yo pral oblije klase manyèlman epi kouri lè l sèvi avèk kòmandman an itilize. Pou kòmanse, li vo detèmine pò yo louvri sou machin nan atake, pou egzanp, lè l sèvi avèk nmap (nan ka nou an, li pral konplètman ranplase pa netstat sou lame a atake), ak Lè sa a, chwazi epi sèvi ak apwopriye a. .
Gen lòt mwayen pou teste rezistans yon IDS kont atak, tankou sèvis sou entènèt. Pou dedomajman pou kiryozite, ou ka fè aranjman pou tès estrès lè l sèvi avèk vèsyon an jijman . Pou tcheke reyaksyon an nan aksyon yo nan entrigan entèn, li vo enstale zouti espesyal sou youn nan machin yo sou rezo lokal la. Gen yon anpil nan opsyon ak de tan zan tan yo ta dwe aplike pa sèlman nan sit la eksperimantal, men tou, nan sistèm k ap travay, sèlman sa a se yon istwa konplètman diferan.
Sous: www.habr.com