スノートまたはスリカタ。 パート 3: オフィス ネットワークの保護

В 前の記事 Ubuntu 18.04 LTS で Suricata の安定版を実行する方法について説明しました。 単一ノード上で IDS をセットアップし、無料のルール セットを有効にするのは非常に簡単です。 今日は、仮想サーバーにインストールされた Suricata を使用して、最も一般的なタイプの攻撃を使用して企業ネットワークを保護する方法を考えていきます。 これを行うには、2 つのコンピューティング コアを備えた Linux 上の VDS が必要です。 RAM の量は負荷によって異なります。4 GB で十分な人もいますが、より深刻なタスクには 6 GB または XNUMX GB も必要になる場合があります。仮想マシンの利点は、実験できることです。最小限の構成から始めて、さらに増やすことができます。必要に応じてリソースを提供します。

写真：ロイター

• スノートまたはスリカタ。 パート 1: 企業ネットワークを保護するために無料の IDS/IPS を選択する
• スノートまたはスリカタ。 パート 2: Suricata のインストールと初期設定

ネットワークを接続する

テストのためには、最初に仮想マシンから IDS を削除することが必要になる場合があります。 このようなソリューションを扱ったことがない場合は、急いで物理ハードウェアを注文したり、ネットワーク アーキテクチャを変更したりする必要はありません。 コンピューティングのニーズを判断するには、システムを安全かつコスト効率よく実行することが最善です。 すべての企業トラフィックは単一の外部ノードを通過する必要があることを理解することが重要です。IDS Suricata がインストールされている VDS にローカル ネットワーク (または複数のネットワーク) を接続するには、次のコマンドを使用できます。 ソフトイーサ - 強力な暗号化を提供する、設定が簡単なクロスプラットフォーム VPN サーバー。 オフィスのインターネット接続には実際の IP が割り当てられていない可能性があるため、VPS 上に設定することをお勧めします。 Ubuntu リポジトリには既製のパッケージはありません。ソフトウェアは次のいずれかからダウンロードする必要があります。 プロジェクトサイト、またはサービス上の外部リポジトリから ランチパッド (彼を信頼しているなら):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

次のコマンドを使用して、利用可能なパッケージのリストを表示できます。

apt-cache search softether

Softether-vpnserver (テスト構成のサーバーは VDS 上で実行されています) と、それを構成するためのコマンド ライン ユーティリティである Softether-vpncmd が必要です。

sudo apt-get install softether-vpnserver softether-vpncmd

特別なコマンド ライン ユーティリティを使用してサーバーを構成します。

sudo vpncmd

設定については詳しく説明しません。手順は非常に簡単で、多くの出版物で詳しく説明されており、記事の主題とは直接関係ありません。 つまり、vpncmd を起動した後、項目 1 を選択してサーバー管理コンソールに移動する必要があります。 これを行うには、ハブの名前を入力する代わりに、localhost という名前を入力して Enter キーを押す必要があります。 管理者パスワードは、serverpasswordset コマンドを使用してコンソールで設定され、DEFAULT 仮想ハブが削除され (hubdelete コマンド)、Suricata_VPN という名前で新しい仮想ハブが作成され、そのパスワードも設定されます (hubcreate コマンド)。 次に、hub Suricata_VPN コマンドを使用して新しいハブの管理コンソールに移動し、groupcreate コマンドと usercreate コマンドを使用してグループとユーザーを作成する必要があります。 ユーザーパスワードは us​​erpasswordset を使用して設定されます。

SoftEther は、SecureNAT とローカル ブリッジの XNUMX つのトラフィック転送モードをサポートします。 XNUMX つ目は、独自の NAT と DHCP を使用して仮想プライベート ネットワークを構築する独自のテクノロジーです。 SecureNAT には、TUN/TAP、Netfilter、またはその他のファイアウォール設定は必要ありません。 ルーティングはシステムのコアには影響せず、使用されているハイパーバイザーに関係なく、すべてのプロセスが仮想化され、任意の VPS / VDS 上で動作します。 その結果、SoftEther 仮想ハブを物理ネットワーク アダプターまたは TAP デバイスに接続するローカル ブリッジ モードと比較して、CPU 負荷が増加し、速度が遅くなります。

この場合、ルーティングは Netfilter を使用してカーネル レベルで行われるため、構成はより複雑になります。 VDS は Hyper-V 上に構築されているため、最後のステップでローカル ブリッジを作成し、bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes コマンドを使用して TAP デバイスをアクティブ化します。 ハブ管理コンソールを終了すると、システム内にまだ IP が割り当てられていない新しいネットワーク インターフェイスが表示されます。

ifconfig

次に、インターフェイス間のパケット ルーティング (ip forward) が非アクティブな場合は有効にする必要があります。

sudo nano /etc/sysctl.conf

次の行のコメントを解除します。

net.ipv4.ip_forward = 1

変更をファイルに保存し、エディタを終了して、次のコマンドを使用して変更を適用します。

sudo sysctl -p

次に、架空の IP (10.0.10.0/24 など) を使用して仮想ネットワークのサブネットを定義し、インターフェイスにアドレスを割り当てる必要があります。

sudo ifconfig tap_suricata_vp 10.0.10.1/24

次に、Netfilter ルールを作成する必要があります。

1. 必要に応じて、リスニング ポートでの受信パケットを許可します (SoftEther 独自のプロトコルは HTTPS とポート 443 を使用します)。

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. 10.0.10.0/24 サブネットからメイン サーバー IP への NAT を設定します。

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. サブネット 10.0.10.0/24 からのパケットの通過を許可します。

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. すでに確立されている接続に対してパケットの通過を許可する

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

初期化スクリプトを使用したシステム再起動時の処理の自動化については、読者の宿題として残しておきます。

クライアントに IP を自動的に付与したい場合は、ローカル ブリッジに何らかの DHCP サービスをインストールする必要もあります。 これでサーバーのセットアップが完了し、クライアントにアクセスできるようになります。 SoftEther は多くのプロトコルをサポートしていますが、その使用は LAN 機器の機能によって異なります。

netstat -ap |grep vpnserver

テスト ルーターも Ubuntu で実行されるため、独自のプロトコルを使用するために、外部リポジトリから Softether-vpnclient パッケージと Softether-vpncmd パッケージをインストールしましょう。 クライアントを実行する必要があります。

sudo vpnclient start

構成するには、vpncmd ユーティリティを使用し、vpnclient が実行されているマシンとして localhost を選択します。 すべてのコマンドはコンソールで実行されます。仮想インターフェイス (NicCreate) とアカウント (AccountCreate) を作成する必要があります。

場合によっては、AccountAnonymousSet、AccountPasswordSet、AccountCertSet、および AccountSecureCertSet コマンドを使用して認証方法を指定する必要があります。 DHCP を使用していないため、仮想アダプターのアドレスは手動で設定されます。

さらに、ip forward (/etc/sysctl.conf ファイルのオプション net.ipv4.ip_forward=1) を有効にし、静的ルートを構成する必要があります。 必要に応じて、Suricata を備えた VDS で、ローカル ネットワークにインストールされているサービスを使用するようにポート転送を構成できます。 これにより、ネットワークの統合は完了したと見なすことができます。

私たちが提案する構成は次のようになります。

Suricata のセットアップ

В 前の記事 IDS の XNUMX つの動作モード、つまり NFQUEUE キュー (NFQ モード) とゼロ コピー (AF_PACKET モード) について説明しました。 XNUMX 番目のインターフェースは XNUMX つのインターフェースを必要としますが、より高速なので、それを使用します。 このパラメータはデフォルトで /etc/default/suricata に設定されます。 また、/etc/suricata/suricata.yaml の vars セクションを編集して、仮想サブネットをホームとして設定する必要があります。

IDS を再起動するには、次のコマンドを使用します。

systemctl restart suricata

ソリューションの準備が整ったので、悪意のあるアクションに対する耐性をテストする必要がある場合があります。

攻撃のシミュレーション

外部 IDS サービスの戦闘使用には、いくつかのシナリオが考えられます。

DDoS 攻撃に対する保護 (主な目的)

分析用のパケットはインターネットを参照するシステム インターフェイスに到達する必要があるため、企業ネットワーク内でこのようなオプションを実装することは困難です。 IDS がそれらをブロックしたとしても、偽のトラフィックによってデータ リンクがダウンする可能性があります。 これを回避するには、すべてのローカル ネットワーク トラフィックとすべての外部トラフィックを通過できる、十分に生産性の高いインターネット接続を備えた VPS を注文する必要があります。 多くの場合、オフィスチャネルを拡大するよりも、これを行う方が簡単で安価です。 代替案として、DDoS に対する保護に特化したサービスについて言及する価値があります。 サービスのコストは仮想サーバーのコストに匹敵し、時間のかかる構成は必要ありませんが、欠点もあります。クライアントは自分のお金で DDoS 保護しか受けられませんが、クライアント独自の IDS はユーザーの好みに合わせて構成できます。好き。

他の種類の外部攻撃に対する保護

Suricata は、インターネットからアクセスできる企業ネットワーク サービス (メール サーバー、Web サーバー、Web アプリケーションなど) のさまざまな脆弱性を悪用する試みに対処できます。 通常、このために IDS は境界デバイスの後に LAN 内に設置されますが、IDS を外部に持ち出すことも存在する権利があります。

内部関係者からの保護

システム管理者の最善の努力にもかかわらず、企業ネットワーク上のコンピュータはマルウェアに感染する可能性があります。 さらに、地元地域に違法行為を行おうとするフーリガンが現れることもあります。 Suricata はそのような試みをブロックするのに役立ちますが、内部ネットワークを保護するには、Suricata を境界内にインストールし、トラフィックを XNUMX つのポートにミラ​​ーリングできるマネージド スイッチと併用することをお勧めします。 この場合、外部 IDS も役に立ちません。少なくとも、LAN 上に存在するマルウェアによる外部サーバーへの接続の試みをキャッチすることができます。

まず、VPS を攻撃する別のテストを作成し、ローカル ネットワーク ルーター上でデフォルト設定で Apache を起動し、その後、IDS サーバーからそれに 80 番目のポートを転送します。 次に、攻撃ホストからの DDoS 攻撃をシミュレートします。 これを行うには、GitHub からダウンロードし、攻撃ノード上で小さな xerxes プログラムをコンパイルして実行します (gcc パッケージのインストールが必要な場合があります)。

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

彼女の仕事の結果は次のとおりでした。

Suricata が悪役を遮断し、私たちの即席の攻撃と「オフィス」(実際には自宅) ネットワークのかなり機能不全なチャネルにもかかわらず、デフォルトで Apache ページが開きます。 より深刻なタスクの場合は、次を使用する必要があります。 メタスコイトフレームワーク。 侵入テスト用に設計されており、さまざまな攻撃をシミュレートできます。 インストール手順 利用できます プロジェクトのウェブサイトで。 インストール後、アップデートが必要です。

sudo msfupdate

テストするには、msfconsole を実行します。

残念ながら、このフレームワークの最新バージョンには自動的にクラックする機能がないため、エクスプロイトを手動で分類し、use コマンドを使用して実行する必要があります。 まず、攻撃されたマシン上で開いているポートを、たとえば nmap を使用して確認し (この場合、攻撃されたホスト上の netstat に完全に置き換えられます)、適切なポートを選択して使用することが重要です。 Metasploit モジュール. 

オンライン サービスなど、攻撃に対する IDS の回復力をテストする他の手段もあります。 興味のために、試用版を使用してストレス テストを手配できます。 知財ストレス要因。 内部侵入者の行動に対する反応を確認するには、ローカル ネットワーク上のマシンの XNUMX つに特別なツールをインストールする価値があります。 多くのオプションがあり、場合によっては実験サイトだけでなく、実際のシステムにも適用する必要がありますが、これだけがまったく異なります。

出所： habr.com