В við höfum farið yfir hvernig á að keyra stöðugu útgáfuna af Suricata á Ubuntu 18.04 LTS. Að setja upp IDS á einum hnút og virkja ókeypis reglusett er frekar einfalt. Í dag munum við finna út hvernig á að vernda fyrirtækjanet með því að nota algengustu tegundir árása með því að nota Suricata uppsett á sýndarþjóni. Til að gera þetta þurfum við VDS á Linux með tveimur tölvukjarna. Magn vinnsluminni fer eftir álaginu: 2 GB er nóg fyrir einhvern, og 4 eða jafnvel 6 gæti þurft fyrir alvarlegri verkefni. Kosturinn við sýndarvél er hæfileikinn til að gera tilraunir: þú getur byrjað með lágmarks stillingu og aukið úrræði eftir þörfum.
mynd: Reuters
Að tengja net
Að fjarlægja IDS í sýndarvél í fyrsta lagi gæti verið nauðsynlegt fyrir prófanir. Ef þú hefur aldrei tekist á við slíkar lausnir ættirðu ekki að flýta þér að panta líkamlegan vélbúnað og breyta netarkitektúrnum. Það er best að keyra kerfið á öruggan og hagkvæman hátt til að ákvarða tölvuþarfir þínar. Það er mikilvægt að skilja að öll fyrirtækjaumferð verður að fara í gegnum einn ytri hnút: til að tengja staðarnet (eða nokkur net) við VDS með IDS Suricata uppsettu geturðu notað - Auðvelt að stilla, þvert á palla VPN netþjón sem veitir sterka dulkóðun. Nettenging á skrifstofu er kannski ekki með alvöru IP, svo það er betra að setja það upp á VPS. Það eru engir tilbúnir pakkar í Ubuntu geymslunni, þú verður að hlaða niður hugbúnaðinum annað hvort frá , eða frá ytri geymslu á þjónustunni (ef þú treystir honum):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateÞú getur skoðað listann yfir tiltæka pakka með eftirfarandi skipun:
apt-cache search softether
Við munum þurfa softether-vpnserver (þjónninn í prófunarstillingunum er í gangi á VDS), sem og softether-vpncmd - skipanalínutól til að stilla hann.
sudo apt-get install softether-vpnserver softether-vpncmdSérstakt skipanalínuforrit er notað til að stilla þjóninn:
sudo vpncmd
Við munum ekki tala í smáatriðum um stillinguna: aðferðin er frekar einföld, hún er vel lýst í fjölmörgum ritum og tengist ekki beint efni greinarinnar. Í stuttu máli, eftir að vpncmd hefur verið ræst, þarftu að velja atriði 1 til að fara í stjórnborð netþjónsins. Til að gera þetta þarftu að slá inn nafnið localhost og ýta á enter í stað þess að slá inn nafn miðstöðvarinnar. Stjórnandalykilorðið er stillt í stjórnborðinu með serverpasswordset skipuninni, DEFAULT sýndarmiðstöðinni er eytt (hubdelete skipun) og nýtt er búið til með nafninu Suricata_VPN og lykilorð þess er einnig stillt (hubcreate skipun). Næst þarftu að fara í stjórnborðið á nýju miðstöðinni með því að nota hub Suricata_VPN skipunina til að búa til hóp og notanda með því að nota groupcreate og usercreate skipanirnar. Notandalykilorðið er stillt með því að nota userpasswordset.
SoftEther styður tvær umferðarflutningsstillingar: SecureNAT og Local Bridge. Sú fyrsta er sértækni til að byggja upp sýndar einkanet með eigin NAT og DHCP. SecureNAT krefst ekki TUN/TAP eða Netfilter eða annarra eldveggsstillinga. Leiðbeining hefur ekki áhrif á kjarna kerfisins og allir ferlar eru sýndir og virka á hvaða VPS / VDS sem er, óháð því hvaða hypervisor er notaður. Þetta leiðir til aukins CPU-álags og hægari hraða samanborið við Local Bridge-stillingu, sem tengir SoftEther sýndarmiðstöðina við líkamlegt net millistykki eða TAP tæki.
Uppsetning í þessu tilfelli verður flóknari, þar sem leið á sér stað á kjarnastigi með því að nota Netfilter. VDS okkar eru byggð á Hyper-V, þannig að í síðasta skrefi búum við til staðbundna brú og virkum TAP tækið með skipuninni bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. Eftir að hafa farið út úr miðstöð stjórnborðinu munum við sjá nýtt netviðmót í kerfinu sem hefur ekki enn verið úthlutað IP:
ifconfig
Næst verður þú að virkja pakkaleiðingu milli viðmóta (ip forward), ef það er óvirkt:
sudo nano /etc/sysctl.confAfskrifaðu eftirfarandi línu:
net.ipv4.ip_forward = 1Vistaðu breytingarnar á skránni, farðu úr ritlinum og notaðu þær með eftirfarandi skipun:
sudo sysctl -pNæst þurfum við að skilgreina undirnet fyrir sýndarnetið með tilbúnum IP-tölum (til dæmis 10.0.10.0/24) og úthluta viðmótinu heimilisfangi:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Þá þarftu að skrifa Netfilter reglur.
1. Ef nauðsyn krefur, leyfðu komandi pökkum á hlustunargáttum (SoftEther sérsamskiptareglur notar HTTPS og gátt 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Settu upp NAT frá 10.0.10.0/24 undirnetinu yfir á IP aðalþjónninn
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Leyfðu að senda pakka frá undirnetinu 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Leyfðu að senda pakka fyrir þegar komið er á tengingum
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTVið munum skilja sjálfvirkni ferlisins eftir þegar kerfið er endurræst með því að nota frumstillingarforskriftir til lesenda sem heimavinnu.
Ef þú vilt gefa IP til viðskiptavina sjálfkrafa þarftu líka að setja upp einhvers konar DHCP þjónustu fyrir staðbundna brúna. Þetta lýkur uppsetningu netþjónsins og þú getur farið í viðskiptavinina. SoftEther styður margar samskiptareglur, notkun þeirra fer eftir getu staðarnetsbúnaðarins.
netstat -ap |grep vpnserver
Þar sem prófunarbeinin okkar keyrir líka undir Ubuntu skulum við setja upp softether-vpnclient og softether-vpncmd pakkana úr ytri geymslu á honum til að nota sérsamskiptareglur. Þú þarft að keyra viðskiptavininn:
sudo vpnclient startTil að stilla, notaðu vpncmd tólið, veldu localhost sem vélina sem vpnclient er í gangi á. Allar skipanir eru gerðar í stjórnborðinu: þú þarft að búa til sýndarviðmót (NicCreate) og reikning (AccountCreate).
Í sumum tilfellum verður þú að tilgreina auðkenningaraðferðina með AccountAnonymousSet, AccountPasswordSet, AccountCertSet og AccountSecureCertSet skipunum. Þar sem við erum ekki að nota DHCP er vistfang sýndarmillistykkisins stillt handvirkt.
Að auki þurfum við að virkja ip forward (valkostur net.ipv4.ip_forward=1 í /etc/sysctl.conf skránni) og stilla fastar leiðir. Ef nauðsyn krefur, á VDS með Suricata, geturðu stillt portframsendingu til að nota þjónustuna sem er uppsett á staðarnetinu. Á þessu má telja samruna netsins lokið.
Fyrirhuguð uppsetning okkar mun líta eitthvað svona út:
Að setja upp Suricata
В við ræddum um tvær aðgerðaaðferðir IDS: í gegnum NFQUEUE biðröðina (NFQ ham) og í gegnum núll afritun (AF_PACKET ham). Annað krefst tveggja viðmóta, en er hraðvirkara - við munum nota það. Færibreytan er sjálfgefið stillt í /etc/default/suricata. Við þurfum líka að breyta vars hlutanum í /etc/suricata/suricata.yaml, stilla sýndarundirnetið þar sem heima.
Til að endurræsa IDS skaltu nota skipunina:
systemctl restart suricataLausnin er tilbúin, nú gætir þú þurft að prófa hana fyrir mótstöðu gegn illgjarnum aðgerðum.
Að líkja eftir árásum
Það geta verið nokkrar aðstæður fyrir bardaganotkun ytri IDS þjónustu:
Vörn gegn DDoS árásum (aðal tilgangur)
Það er erfitt að innleiða slíkan valkost innan fyrirtækjanetsins, þar sem pakkarnir til greiningar verða að komast í kerfisviðmótið sem lítur á internetið. Jafnvel þó að IDS loki á þá getur fals umferð dregið úr gagnahlekknum. Til að forðast þetta þarftu að panta VPS með nægilega afkastamikilli nettengingu sem getur staðist alla staðbundna netumferð og alla utanaðkomandi umferð. Það er oft auðveldara og ódýrara að gera þetta en að stækka skrifstofurásina. Í staðinn er vert að nefna sérhæfða þjónustu til verndar gegn DDoS. Kostnaður við þjónustu þeirra er sambærilegur við kostnað sýndarþjóns og það krefst ekki tímafrekra stillinga, en það eru líka ókostir - viðskiptavinurinn fær aðeins DDoS vernd fyrir peningana sína, en eigin auðkenni er hægt að stilla sem þú eins og.
Vörn gegn utanaðkomandi árásum af öðrum gerðum
Suricata er fær um að takast á við tilraunir til að nýta ýmsa veikleika í netþjónustu fyrirtækja sem er aðgengileg af internetinu (póstþjónn, vefþjónn og vefforrit o.s.frv.). Venjulega, fyrir þetta, er IDS sett upp inni á staðarnetinu á eftir landamæratækjunum, en að taka það út hefur tilveruréttinn.
Vernd gegn innherja
Þrátt fyrir bestu viðleitni kerfisstjóra geta tölvur á fyrirtækjanetinu verið sýktar af spilliforritum. Auk þess birtast stundum brjálæðingar í heimabyggð sem reyna að framkvæma einhverjar ólöglegar aðgerðir. Suricata getur hjálpað til við að loka fyrir slíkar tilraunir, þó til að vernda innra netið sé betra að setja það upp innan jaðarsins og nota það í takt við stýrðan rofa sem getur speglað umferð í eina höfn. Ytri IDS er heldur ekki gagnslaus í þessu tilfelli - að minnsta kosti mun það geta náð tilraunum spilliforrita sem búa á staðarnetinu til að hafa samband við ytri netþjón.
Til að byrja með munum við búa til annað próf sem ræðst á VPS og á staðbundnum netbeini munum við hækka Apache með sjálfgefna stillingu, eftir það munum við senda 80. höfnina til hans frá IDS netþjóninum. Næst munum við líkja eftir DDoS árás frá árásarþjóni. Til að gera þetta skaltu hlaða niður frá GitHub, setja saman og keyra lítið xerxes forrit á árásarhnútnum (þú gætir þurft að setja upp gcc pakkann):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Afrakstur vinnu hennar var sem hér segir:
Suricata slítur illmennið af sér og Apache síðan opnast sjálfgefið, þrátt fyrir óundirbúna árás okkar og frekar dauða rás "skrifstofu" (reyndar heimanetsins). Fyrir alvarlegri verkefni ættir þú að nota . Það er hannað fyrir skarpskyggnipróf og gerir þér kleift að líkja eftir ýmsum árásum. Uppsetningarleiðbeiningar á heimasíðu verkefnisins. Eftir uppsetningu þarf uppfærslu:
sudo msfupdateTil að prófa skaltu keyra msfconsole.
Því miður skortir nýjustu útgáfur rammans getu til að sprunga sjálfkrafa, þannig að hetjudáð verður að flokka handvirkt og keyra með notkunarskipuninni. Til að byrja með er það þess virði að ákvarða gáttirnar sem eru opnar á vélinni sem ráðist var á, til dæmis með því að nota nmap (í okkar tilfelli verður því algjörlega skipt út fyrir netstat á hýsilinn sem ráðist var á), og veldu síðan og notaðu viðeigandi .
Það eru aðrar leiðir til að prófa seiglu IDS gegn árásum, þar á meðal netþjónustu. Fyrir forvitnis sakir geturðu skipulagt álagspróf með prufuútgáfunni . Til að athuga viðbrögð við aðgerðum innri boðflenna er það þess virði að setja upp sérstök verkfæri á einni af vélunum á staðarnetinu. Það eru fullt af valkostum og af og til ætti að beita þeim ekki aðeins á tilraunasvæðið, heldur einnig á vinnukerfi, aðeins þetta er allt önnur saga.
Heimild: www.habr.com