נחירה או סוריקטה. חלק 3: הגנה על רשת ה-Office

В מאמר קודם סקרנו כיצד להפעיל את הגרסה היציבה של Suricata על אובונטו 18.04 LTS. הגדרת IDS על צומת בודד והפעלת ערכות כללים חינמיות היא די פשוטה. היום נבין כיצד להגן על רשת ארגונית באמצעות סוגי התקפות הנפוצים ביותר באמצעות Suricata המותקנת על שרת וירטואלי. לשם כך, אנו זקוקים ל-VDS ב-Linux עם שתי ליבות מחשוב. כמות ה-RAM תלויה בעומס: 2 ג'יגה-בייט מספיקים למישהו, וייתכן שיידרשו 4 או אפילו 6 למשימות רציניות יותר. היתרון של מכונה וירטואלית הוא היכולת להתנסות: אפשר להתחיל בתצורה מינימלית ולהגדיל משאבים לפי הצורך.

צילום: רויטרס

• נחירה או סוריקטה. חלק 1: בחירת IDS/IPS בחינם כדי להגן על הרשת הארגונית שלך
• נחירה או סוריקטה. חלק 2: התקנה והגדרה ראשונית של Suricata

חיבור רשתות

הסרת IDS למחשב וירטואלי מלכתחילה עשויה להיות נחוצה לצורך בדיקות. אם מעולם לא עסקתם בפתרונות כאלה, אל תמהרו להזמין חומרה פיזית ולשנות את ארכיטקטורת הרשת. עדיף להפעיל את המערכת בצורה בטוחה וחסכונית כדי לקבוע את צרכי המחשוב שלך. חשוב להבין שכל התעבורה הארגונית תצטרך לעבור דרך צומת חיצוני יחיד: כדי לחבר רשת מקומית (או מספר רשתות) ל-VDS עם IDS Suricata מותקן, אתה יכול להשתמש SoftEther - שרת VPN חוצה פלטפורמות קל להגדרה המספק הצפנה חזקה. ייתכן שלחיבור אינטרנט משרדי אין IP אמיתי, אז עדיף להגדיר אותו ב-VPS. אין חבילות מוכנות במאגר של אובונטו, תצטרך להוריד את התוכנה משני הצדדים אתר הפרויקט, או ממאגר חיצוני בשירות Launchpad (אם אתה סומך עליו):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

אתה יכול להציג את רשימת החבילות הזמינות עם הפקודה הבאה:

apt-cache search softether

נצטרך softether-vpnserver (השרת בתצורת הבדיקה פועל על VDS), כמו גם softether-vpncmd - כלי עזר של שורת הפקודה להגדרתו.

sudo apt-get install softether-vpnserver softether-vpncmd

כלי שורת פקודה מיוחד משמש כדי להגדיר את השרת:

sudo vpncmd

לא נדבר בפירוט על ההגדרה: ההליך די פשוט, הוא מתואר היטב בפרסומים רבים ואינו מתייחס ישירות לנושא המאמר. בקיצור, לאחר הפעלת vpncmd, אתה צריך לבחור פריט 1 כדי לעבור למסוף ניהול השרת. לשם כך, עליך להזין את השם localhost וללחוץ על enter במקום להזין את שם הרכזת. סיסמת המנהל נקבעת בקונסולה עם הפקודה serverpasswordset, הרכזת הוירטואלית DEFAULT נמחקת (פקודה hubdelete) ונוצרת חדשה בשם Suricata_VPN, וגם הסיסמה שלה מוגדרת (פקודה hubcreate). לאחר מכן, עליך לעבור למסוף הניהול של הרכזת החדשה באמצעות הפקודה hub Suricata_VPN כדי ליצור קבוצה ומשתמש באמצעות הפקודות groupcreate ו-usercreate. סיסמת המשתמש מוגדרת באמצעות userpasswordset.

SoftEther תומך בשני מצבי העברת תעבורה: SecureNAT וגשר מקומי. הראשון הוא טכנולוגיה קניינית לבניית רשת פרטית וירטואלית עם NAT ו-DHCP משלה. SecureNAT אינו דורש TUN/TAP או Netfilter או הגדרות חומת אש אחרות. ניתוב אינו משפיע על ליבת המערכת, וכל התהליכים מבוצעים וירטואליים ועובדים על כל VPS / VDS, ללא קשר ל-hypervisor בשימוש. זה מביא לעומס מעבד מוגבר ומהירות איטית יותר בהשוואה למצב Local Bridge, המחבר את הרכזת הוירטואלית של SoftEther למתאם רשת פיזי או התקן TAP.

התצורה במקרה זה הופכת מסובכת יותר, מכיוון שהניתוב מתרחש ברמת הקרנל באמצעות Netfilter. ה-VDS שלנו בנויים על Hyper-V, אז בשלב האחרון אנחנו יוצרים גשר מקומי ומפעילים את התקן TAP עם הפקודה bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. לאחר יציאה ממסוף ניהול הרכזות, נראה ממשק רשת חדש במערכת שטרם הוקצה לו IP:

ifconfig

לאחר מכן, תצטרך לאפשר ניתוב מנות בין ממשקים (ip forward), אם הוא לא פעיל:

sudo nano /etc/sysctl.conf

בטל את ההערה לשורה הבאה:

net.ipv4.ip_forward = 1

שמור את השינויים בקובץ, צא מהעורך והחל אותם בפקודה הבאה:

sudo sysctl -p

לאחר מכן, עלינו להגדיר תת-רשת לרשת הוירטואלית עם כתובות IP פיקטיביות (לדוגמה, 10.0.10.0/24) ולהקצות כתובת לממשק:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

אז אתה צריך לכתוב חוקי Netfilter.

1. במידת הצורך, אפשר מנות נכנסות ביציאות האזנה (הפרוטוקול הקנייני של SoftEther משתמש ב-HTTPS וביציאה 443)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. הגדר NAT מרשת המשנה 10.0.10.0/24 ל-IP של השרת הראשי

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. אפשר להעביר מנות מרשת המשנה 10.0.10.0/24

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. אפשר להעביר מנות לחיבורים שכבר נוצרו

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

את האוטומציה של התהליך נשאיר לקוראים כשיעורי בית עם הפעלה מחדש של המערכת באמצעות סקריפטים של אתחול.

אם אתה רוצה לתת IP ללקוחות באופן אוטומטי, תצטרך גם להתקין סוג של שירות DHCP עבור הגשר המקומי. זה משלים את הגדרת השרת ואתה יכול ללכת אל הלקוחות. SoftEther תומך בפרוטוקולים רבים, שהשימוש בהם תלוי ביכולות של ציוד ה-LAN.

netstat -ap |grep vpnserver

מכיוון שנתב הבדיקה שלנו פועל גם תחת אובונטו, בואו נתקין את החבילות softether-vpnclient ו-softether-vpncmd ממאגר חיצוני עליו כדי להשתמש בפרוטוקול הקנייני. תצטרך להפעיל את הלקוח:

sudo vpnclient start

כדי להגדיר, השתמש בכלי השירות vpncmd, ובחר ב-localhost כמחשב שבו פועל ה-vpnclient. כל הפקודות מתבצעות במסוף: תצטרך ליצור ממשק וירטואלי (NicCreate) וחשבון (AccountCreate).

במקרים מסוימים, עליך לציין את שיטת האימות באמצעות הפקודות AccountAnonymousSet, AccountPasswordSet, AccountCertSet ו- AccountSecureCertSet. מכיוון שאיננו משתמשים ב-DHCP, הכתובת של המתאם הוירטואלי מוגדרת באופן ידני.

בנוסף, עלינו להפעיל ip forward (הפרמטר net.ipv4.ip_forward=1 בקובץ /etc/sysctl.conf) ולהגדיר מסלולים סטטיים. במידת הצורך, ב-VDS עם Suricata, תוכל להגדיר העברת יציאות לשימוש בשירותים המותקנים ברשת המקומית. על זה, מיזוג הרשת יכול להיחשב כמושלם.

התצורה המוצעת שלנו תיראה בערך כך:

הגדרת Suricata

В מאמר קודם דיברנו על שני מצבי פעולה של IDS: דרך תור NFQUEUE (מצב NFQ) ודרך העתקה אפס (מצב AF_PACKET). השני דורש שני ממשקים, אבל הוא מהיר יותר - אנחנו נשתמש בו. הפרמטר מוגדר כברירת מחדל ב- /etc/default/suricata. אנחנו צריכים גם לערוך את קטע vars ב-/etc/suricata/suricata.yaml, להגדיר את רשת המשנה הווירטואלית שם כבית.

כדי להפעיל מחדש את IDS, השתמש בפקודה:

systemctl restart suricata

הפתרון מוכן, כעת ייתכן שיהיה עליך לבדוק את ההתנגדות לפעולות זדוניות.

הדמיית התקפות

יכולים להיות מספר תרחישים לשימוש קרבי בשירות IDS חיצוני:

הגנה מפני התקפות DDoS (מטרה ראשית)

קשה ליישם אפשרות כזו בתוך הרשת הארגונית, שכן החבילות לניתוח חייבות להגיע לממשק המערכת שמסתכל על האינטרנט. גם אם ה-IDS חוסם אותם, תעבורה מזויפת עלולה להפיל את קישור הנתונים. כדי להימנע מכך, עליך להזמין VPS עם חיבור אינטרנט פרודוקטיבי מספיק שיכול להעביר את כל תעבורת הרשת המקומית וכל התעבורה החיצונית. לרוב קל וזול יותר לעשות זאת מאשר להרחיב את ערוץ המשרד. כחלופה, ראוי להזכיר שירותים מיוחדים להגנה מפני DDoS. עלות השירותים שלהם דומה לעלות של שרת וירטואלי, והיא אינה דורשת תצורה שגוזלת זמן, אבל יש גם חסרונות - הלקוח מקבל רק הגנת DDoS עבור כספו, בעוד שה-IDS שלו יכול להיות מוגדר כמוך כמו.

הגנה מפני התקפות חיצוניות מסוגים אחרים

Suricata מסוגלת להתמודד עם ניסיונות לנצל פגיעויות שונות בשירותי רשת ארגוניים הנגישים מהאינטרנט (שרת דואר, שרת אינטרנט ויישומי אינטרנט וכו'). בדרך כלל, בשביל זה, IDS מותקן בתוך ה-LAN אחרי התקני הגבול, אבל לקחת אותו החוצה יש זכות קיום.

הגנה מפני גורמים פנימיים

למרות מאמציו הטובים ביותר של מנהל המערכת, מחשבים ברשת הארגונית עלולים להידבק בתוכנה זדונית. בנוסף, לפעמים מופיעים בסביבה חוליגנים, שמנסים לבצע כמה פעולות לא חוקיות. Suricata יכולה לעזור לחסום ניסיונות כאלה, אם כי כדי להגן על הרשת הפנימית עדיף להתקין אותה בתוך ההיקף ולהשתמש בה במקביל למתג מנוהל שיכול לשקף תעבורה ליציאה אחת. גם IDS חיצוני אינו חסר תועלת במקרה זה - לפחות הוא יוכל לתפוס ניסיונות של תוכנות זדוניות שחיות על ה-LAN ליצור קשר עם שרת חיצוני.

מלכתחילה, ניצור בדיקה נוספת שתוקפת VPS, ובנתב הרשת המקומית נעלה את Apache עם תצורת ברירת המחדל, ולאחר מכן נעביר אליו את הפורט ה-80 משרת ה-IDS. לאחר מכן, נדמה מתקפת DDoS ממארח ​​תוקף. כדי לעשות זאת, הורד מ-GitHub, קומפל והפעיל תוכנית xerxes קטנה על הצומת התוקף (ייתכן שתצטרך להתקין את חבילת gcc):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

התוצאה של עבודתה הייתה כדלקמן:

סוריקטה מנתקת את הנבל, ועמוד האפאצ'י נפתח כברירת מחדל, למרות המתקפה המאולתרת שלנו והערוץ הדי מת של רשת ה"משרד" (בעצם הביתית). עבור משימות רציניות יותר, כדאי להשתמש מסגרת Metasploit. הוא מיועד לבדיקות חדירה ומאפשר לך לדמות מגוון התקפות. הוראות התקנה זמין באתר הפרויקט. לאחר ההתקנה, נדרש עדכון:

sudo msfupdate

לבדיקה, הפעל את msfconsole.

למרבה הצער, הגרסאות האחרונות של המסגרת חסרות את היכולת לפצח אוטומטית, ולכן ניצול יצטרכו להיות ממוין באופן ידני ולהפעיל באמצעות פקודת use. מלכתחילה, כדאי לקבוע את הפורטים הפתוחים במחשב המותקף, למשל, באמצעות nmap (במקרה שלנו, הוא יוחלף לחלוטין על ידי netstat על המארח המותקף), ולאחר מכן לבחור ולהשתמש ב מודולים של Metasploit. 

ישנם אמצעים אחרים לבחון את העמידות של IDS ​​נגד התקפות, כולל שירותים מקוונים. למען הסקרנות, ניתן לארגן בדיקות מאמץ באמצעות גרסת הניסיון מדגיש IP. כדי לבדוק את התגובה לפעולות של פולשים פנימיים, כדאי להתקין כלים מיוחדים על אחת המכונות ברשת המקומית. יש הרבה אפשרויות ומדי פעם יש ליישם אותן לא רק באתר הניסוי, אלא גם על מערכות עובדות, רק שזה סיפור אחר לגמרי.

מקור: www.habr.com