Snort utawa Suricata. Part 3: Nglindhungi Jaringan Kantor

В artikel sadurunge kita wis nutupi carane mbukak versi stabil saka Suricata ing Ubuntu 18.04 LTS. Nyetel IDS ing siji simpul lan ngaktifake set aturan gratis cukup gampang. Dina iki kita bakal nemtokake cara kanggo nglindhungi jaringan perusahaan nggunakake jinis serangan sing paling umum nggunakake Suricata sing diinstal ing server virtual. Kanggo nindakake iki, kita butuh VDS ing Linux kanthi rong inti komputasi. Jumlah RAM gumantung ing beban: 2 GB cukup kanggo wong, lan 4 utawa malah 6 bisa uga dibutuhake kanggo tugas sing luwih serius. Kauntungan saka mesin virtual yaiku kemampuan kanggo eksprimen: sampeyan bisa miwiti kanthi konfigurasi minimal lan nambah. sumber daya minangka needed.

foto: Reuters

• Snort utawa Suricata. Bagean 1: Milih IDS/IPS Gratis kanggo Nglindhungi Jaringan Perusahaan
• Snort utawa Suricata. Part 2: Instalasi lan persiyapan awal saka Suricata

Nyambung jaringan

Mbusak IDS menyang mesin virtual ing wiwitan bisa uga dibutuhake kanggo tes. Yen sampeyan durung nate ngatasi solusi kasebut, sampeyan ora kudu cepet-cepet pesen hardware fisik lan ngganti arsitektur jaringan. Sing paling apik kanggo mbukak sistem kanthi aman lan biaya-efektif kanggo nemtokake kabutuhan komputasi sampeyan. Penting kanggo ngerti manawa kabeh lalu lintas perusahaan kudu ngliwati simpul eksternal siji: kanggo nyambungake jaringan lokal (utawa sawetara jaringan) menyang VDS kanthi IDS Suricata diinstal, sampeyan bisa nggunakake Waca rangkeng- - Server VPN lintas platform sing gampang dikonfigurasi sing nyedhiyakake enkripsi sing kuat. Sambungan Internet kantor bisa uga ora duwe IP nyata, dadi luwih apik kanggo nyetel ing VPS. Ora ana paket sing wis siap ing repositori Ubuntu, sampeyan kudu ndownload piranti lunak kasebut situs proyek, utawa saka panyimpenan eksternal ing layanan kasebut Launchpad (yen sampeyan percaya marang dheweke):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

Sampeyan bisa ndeleng dhaptar paket sing kasedhiya kanthi printah ing ngisor iki:

apt-cache search softether

Kita butuh softether-vpnserver (server ing konfigurasi test mlaku ing VDS), uga softether-vpncmd - utilitas baris perintah kanggo ngatur.

sudo apt-get install softether-vpnserver softether-vpncmd

Utilitas baris perintah khusus digunakake kanggo ngatur server:

sudo vpncmd

Kita ora bakal ngomong kanthi rinci babagan setelan: prosedur kasebut cukup prasaja, uga diterangake ing pirang-pirang publikasi lan ora langsung ana hubungane karo topik artikel kasebut. Ing cendhak, sawise miwiti vpncmd, sampeyan kudu milih item 1 kanggo pindhah menyang console Manajemen server. Kanggo nindakake iki, sampeyan kudu ngetik jeneng localhost lan pencet enter tinimbang ngetik jeneng hub. Sandi administrator disetel ing console karo printah serverpasswordset, hub virtual DEFAULT dibusak (hubdelete printah) lan anyar digawe karo jeneng Suricata_VPN, lan sandi uga disetel (hubcreate printah). Sabanjure, sampeyan kudu pindhah menyang konsol manajemen hub anyar nggunakake perintah hub Suricata_VPN kanggo nggawe grup lan pangguna nggunakake perintah groupcreate lan usercreate. Tembung sandhi pangguna disetel nggunakake userpasswordset.

SoftEther ndhukung rong mode transfer lalu lintas: SecureNAT lan Local Bridge. Kapisan yaiku teknologi kepemilikan kanggo mbangun jaringan pribadi virtual kanthi NAT lan DHCP dhewe. SecureNAT ora mbutuhake TUN / TAP utawa Netfilter utawa setelan firewall liyane. Routing ora mengaruhi inti saka sistem, lan kabeh pangolahan virtualized lan bisa ing sembarang VPS / VDS, preduli saka hypervisor digunakake. Iki nyebabake tambah beban CPU lan kacepetan sing luwih alon dibandhingake karo mode Bridge Lokal, sing nyambungake hub virtual SoftEther menyang adaptor jaringan fisik utawa piranti TAP.

Konfigurasi ing kasus iki dadi luwih rumit, amarga routing dumadi ing tingkat kernel nggunakake Netfilter. VDS kita dibangun ing Hyper-V, supaya ing langkah pungkasan kita nggawe jembatan lokal lan ngaktifake piranti TAP karo bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes printah. Sawise metu saka konsol manajemen hub, kita bakal weruh antarmuka jaringan anyar ing sistem sing durung diwenehi IP:

ifconfig

Sabanjure, sampeyan kudu ngaktifake rute paket ing antarane antarmuka (ip maju), yen ora aktif:

sudo nano /etc/sysctl.conf

Batal komentar ing baris ing ngisor iki:

net.ipv4.ip_forward = 1

Simpen owah-owahan menyang file, metu saka editor lan aplikasi nganggo printah ing ngisor iki:

sudo sysctl -p

Sabanjure, kita kudu nemtokake subnet kanggo jaringan virtual kanthi IP fiktif (contone, 10.0.10.0/24) lan menehi alamat menyang antarmuka:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

Banjur sampeyan kudu nulis aturan Netfilter.

1. Yen perlu, ngidini paket mlebu ing port ngrungokake (protokol proprietary SoftEther nggunakake HTTPS lan port 443)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. Nggawe NAT saka subnet 10.0.10.0/24 menyang IP server utama

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. Allow liwat paket saka subnet 10.0.10.0/24

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. Allow maringaken Paket kanggo sambungan wis diadegaké

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Kita bakal ninggalake otomatisasi proses nalika sistem diwiwiti maneh nggunakake skrip inisialisasi menyang pembaca minangka peer.

Yen sampeyan pengin menehi IP menyang klien kanthi otomatis, sampeyan uga kudu nginstal sawetara layanan DHCP kanggo jembatan lokal. Iki ngrampungake persiyapan server lan sampeyan bisa pindhah menyang klien. SoftEther ndhukung akeh protokol, panggunaan gumantung saka kemampuan peralatan LAN.

netstat -ap |grep vpnserver

Wiwit router test kita uga mlaku ing Ubuntu, ayo nginstal paket softether-vpnclient lan softether-vpncmd saka repositori eksternal kanggo nggunakake protokol proprietary. Sampeyan kudu mbukak klien:

sudo vpnclient start

Kanggo ngatur, gunakake sarana vpncmd, pilih localhost minangka mesin sing digunakake vpnclient. Kabeh printah digawe ing console: sampeyan kudu nggawe antarmuka virtual (NicCreate) lan akun (AccountCreate).

Ing sawetara kasus, sampeyan kudu nemtokake cara otentikasi nggunakake printah AccountAnonymousSet, AccountPasswordSet, AccountCertSet, lan AccountSecureCertSet. Amarga kita ora nggunakake DHCP, alamat adaptor virtual disetel kanthi manual.

Kajaba iku, kita kudu ngaktifake ip maju (parameter net.ipv4.ip_forward=1 ing file /etc/sysctl.conf) lan ngatur rute statis. Yen perlu, ing VDS karo Suricata, sampeyan bisa ngatur port forwarding kanggo nggunakake layanan sing diinstal ing jaringan lokal. Ing babagan iki, panggabungan jaringan bisa dianggep lengkap.

Konfigurasi sing diusulake bakal katon kaya iki:

Nyetel Suricata

В artikel sadurunge kita ngomong babagan rong mode operasi IDS: liwat antrian NFQUEUE (mode NFQ) lan liwat salinan nul (mode AF_PACKET). Kapindho mbutuhake rong antarmuka, nanging luwih cepet - kita bakal nggunakake. Parameter disetel kanthi gawan ing /etc/default/suricata. Kita uga kudu ngowahi bagean vars ing /etc/suricata/suricata.yaml, nyetel subnet virtual ana minangka ngarep.

Kanggo miwiti maneh IDS, gunakake printah:

systemctl restart suricata

Solusi wis siyap, saiki sampeyan bisa uga kudu nyoba kanggo nglawan tumindak ala.

Simulating serangan

Ana sawetara skenario kanggo nggunakake pertempuran layanan IDS eksternal:

Perlindhungan marang serangan DDoS (tujuan utama)

Iku angel ngleksanakake pilihan kasebut ing jaringan perusahaan, amarga paket kanggo analisis kudu tekan antarmuka sistem sing katon ing Internet. Sanajan IDS ngalangi, lalu lintas palsu bisa nyebabake link data. Kanggo ngindhari iki, sampeyan kudu pesen VPS kanthi sambungan Internet sing cukup produktif sing bisa ngliwati kabeh lalu lintas jaringan lokal lan kabeh lalu lintas eksternal. Asring luwih gampang lan luwih murah kanggo nindakake iki tinimbang nggedhekake saluran kantor. Minangka alternatif, iku worth nyebutke layanan khusus kanggo pangayoman marang DDoS. Biaya layanan sing iso dibandhingke karo biaya saka server virtual, lan ora mbutuhake konfigurasi wektu-akeh, nanging ana uga cacat - klien nampa mung pangayoman DDoS kanggo dhuwit, nalika IDS dhewe bisa diatur minangka sampeyan. kaya.

Perlindhungan marang serangan eksternal saka jinis liyane

Suricata bisa ngatasi upaya kanggo ngeksploitasi macem-macem kerentanan ing layanan jaringan perusahaan sing bisa diakses saka Internet (server email, server web lan aplikasi web, lsp.). Biasane, kanggo iki, IDS dipasang ing LAN sawise piranti tapel wates, nanging njupuk ing njaba nduweni hak kanggo ana.

Proteksi saka njero

Senadyan upaya paling apik saka administrator sistem, komputer ing jaringan perusahaan bisa kena infeksi malware. Kajaba iku, hooligans kadhangkala katon ing wilayah lokal, sing nyoba kanggo nindakake sawetara operasi ilegal. Suricata bisa mbantu mblokir upaya kasebut, sanajan kanggo nglindhungi jaringan internal luwih apik kanggo nginstal ing njero perimeter lan digunakake bebarengan karo saklar sing bisa ngatur lalu lintas menyang port siji. IDS eksternal uga ora ana gunane ing kasus iki - paling ora bakal bisa nyekel upaya malware sing manggon ing LAN kanggo ngubungi server eksternal.

Kanggo miwiti, kita bakal nggawe VPS sing nyerang tes liyane, lan ing router jaringan lokal kita bakal ngunggahake Apache kanthi konfigurasi standar, sawise iku kita bakal nerusake port 80th saka server IDS. Sabanjure, kita bakal simulasi serangan DDoS saka host sing nyerang. Kanggo nindakake iki, download saka GitHub, ngumpulake lan mbukak program xerxes cilik ing simpul sing nyerang (sampeyan kudu nginstal paket gcc):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

Asil karyane kaya ing ngisor iki:

Suricata ngethok wong jahat, lan kaca Apache mbukak kanthi gawan, sanajan serangan dadakan lan saluran jaringan "kantor" (sajatine omah) sing rada mati. Kanggo tugas sing luwih serius, sampeyan kudu nggunakake Kerangka Metasploit. Iki dirancang kanggo tes penetrasi lan ngidini sampeyan simulasi macem-macem serangan. Instruksi instalasi kasedhiya ing situs web proyek. Sawise instalasi, nganyari dibutuhake:

sudo msfupdate

Kanggo testing, mbukak msfconsole.

Sayange, versi paling anyar saka framework ora duwe kemampuan kanggo crack kanthi otomatis, mula eksploitasi kudu diurutake kanthi manual lan mbukak nggunakake perintah use. Kanggo miwiti, sampeyan kudu nemtokake port sing mbukak ing mesin sing diserang, umpamane, nggunakake nmap (ing kasus kita, bakal diganti kanthi netstat ing host sing diserang), banjur pilih lan gunakake sing cocog. Modul Metasploit. 

Ana cara liya kanggo nguji daya tahan IDS marang serangan, kalebu layanan online. Kanggo penasaran, sampeyan bisa ngatur tes stres nggunakake versi nyoba Tekanan IP. Kanggo mriksa reaksi kanggo tumindak intruders internal, iku worth nginstal alat khusus ing salah siji saka mesin ing jaringan lokal. Ana akeh pilihan lan saka wektu kanggo wektu padha kudu Applied ora mung kanggo situs eksperimen, nanging uga kanggo sistem apa, mung iki crita temen beda.

Source: www.habr.com