სნორტი ან სურიკატა. ნაწილი 3: ოფისის ქსელის დაცვა

В წინა სტატია ჩვენ განვიხილეთ, თუ როგორ უნდა გაუშვათ Suricata-ს სტაბილური ვერსია Ubuntu 18.04 LTS-ზე. IDS-ის დაყენება ერთ კვანძზე და უფასო წესების ჩართვა საკმაოდ მარტივია. დღეს ჩვენ გავარკვევთ, თუ როგორ დავიცვათ კორპორატიული ქსელი შეტევების ყველაზე გავრცელებული ტიპების გამოყენებით ვირტუალურ სერვერზე დაინსტალირებული Suricata-ს გამოყენებით. ამისათვის ჩვენ გვჭირდება VDS Linux-ზე ორი გამოთვლითი ბირთვით. ოპერატიული მეხსიერების რაოდენობა დამოკიდებულია დატვირთვაზე: ვიღაცისთვის საკმარისია 2 გბ, ხოლო უფრო სერიოზული ამოცანებისთვის შეიძლება საჭირო იყოს 4 ან თუნდაც 6. ვირტუალური მანქანის უპირატესობა არის ექსპერიმენტების შესაძლებლობა: შეგიძლიათ დაიწყოთ მინიმალური კონფიგურაციით და გაზარდოთ. რესურსები საჭიროებისამებრ.

ფოტო: Reuters

• სნორტი ან სურიკატა. ნაწილი 1: უფასო IDS/IPS-ის არჩევა თქვენი კორპორატიული ქსელის დასაცავად
• სნორტი ან სურიკატა. ნაწილი 2: Suricata-ს ინსტალაცია და საწყისი დაყენება

ქსელების დაკავშირება

IDS-ის ამოღება ვირტუალურ მანქანაზე პირველ რიგში შეიძლება დაგჭირდეთ ტესტებისთვის. თუ ასეთი გადაწყვეტილებები არასდროს გქონიათ საქმე, არ უნდა იჩქაროთ ფიზიკური აღჭურვილობის შეკვეთა და ქსელის არქიტექტურის შეცვლა. უმჯობესია სისტემის უსაფრთხოდ და ეკონომიურად გაშვება თქვენი გამოთვლითი საჭიროებების დასადგენად. მნიშვნელოვანია გვესმოდეს, რომ მთელი კორპორატიული ტრაფიკი უნდა გაიაროს ერთი გარე კვანძის მეშვეობით: ლოკალური ქსელის (ან რამდენიმე ქსელის) დასაკავშირებლად VDS-თან დაინსტალირებული IDS Suricata-ით შეგიძლიათ გამოიყენოთ რბილი ეთერი - ადვილად კონფიგურირებადი, მრავალპლატფორმიანი VPN სერვერი, რომელიც უზრუნველყოფს ძლიერ დაშიფვრას. საოფისე ინტერნეტ კავშირს შეიძლება არ ჰქონდეს რეალური IP, ამიტომ უმჯობესია დააყენოთ იგი VPS-ზე. Ubuntu-ს საცავში არ არის მზა პაკეტები, თქვენ მოგიწევთ პროგრამული უზრუნველყოფის ჩამოტვირთვა პროექტის საიტი, ან სერვისის გარე საცავიდან Launchpad (თუ მას ენდობით):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

თქვენ შეგიძლიათ ნახოთ ხელმისაწვდომი პაკეტების სია შემდეგი ბრძანებით:

apt-cache search softether

ჩვენ დაგვჭირდება softther-vpnserver (სერვერი სატესტო კონფიგურაციაში მუშაობს VDS-ზე), ასევე softther-vpncmd - ბრძანების ხაზის კომუნალური პროგრამები მისი კონფიგურაციისთვის.

sudo apt-get install softether-vpnserver softether-vpncmd

სერვერის კონფიგურაციისთვის გამოიყენება ბრძანების ხაზის სპეციალური პროგრამა:

sudo vpncmd

ჩვენ დეტალურად არ ვისაუბრებთ პარამეტრზე: პროცედურა საკმაოდ მარტივია, ის კარგად არის აღწერილი მრავალ პუბლიკაციაში და პირდაპირ არ ეხება სტატიის თემას. მოკლედ, vpncmd-ის დაწყების შემდეგ, თქვენ უნდა აირჩიოთ ელემენტი 1 სერვერის მართვის კონსოლზე გადასასვლელად. ამისათვის თქვენ უნდა შეიყვანოთ სახელი localhost და დააჭიროთ Enter ჰაბის სახელის შეყვანის ნაცვლად. ადმინისტრატორის პაროლი კონსოლში დაყენებულია serverpasswordset ბრძანებით, წაიშლება DEFAULT ვირტუალური კერა (hubdelete ბრძანება) და იქმნება ახალი სახელით Suricata_VPN და ასევე დაყენებულია მისი პაროლი (hubcreate ბრძანება). შემდეგი, თქვენ უნდა გადახვიდეთ ახალი ცენტრის მართვის კონსოლში hub Suricata_VPN ბრძანების გამოყენებით, რათა შექმნათ ჯგუფი და მომხმარებელი groupcreate და usercreate ბრძანებების გამოყენებით. მომხმარებლის პაროლი დაყენებულია userpasswordset-ის გამოყენებით.

SoftEther მხარს უჭერს ტრაფიკის გადაცემის ორ რეჟიმს: SecureNAT და Local Bridge. პირველი არის საკუთრების ტექნოლოგია ვირტუალური კერძო ქსელის შესაქმნელად საკუთარი NAT და DHCP. SecureNAT არ საჭიროებს TUN/TAP ან Netfilter ან სხვა firewall-ის პარამეტრებს. მარშრუტიზაცია არ ახდენს გავლენას სისტემის ბირთვზე და ყველა პროცესი ვირტუალიზებულია და მუშაობს ნებისმიერ VPS/VDS-ზე, განურჩევლად გამოყენებული ჰიპერვიზორისა. ეს იწვევს პროცესორის დატვირთვის გაზრდას და ნელ სიჩქარეს ლოკალური ხიდის რეჟიმთან შედარებით, რომელიც აკავშირებს SoftEther ვირტუალურ ცენტრს ფიზიკურ ქსელურ ადაპტერთან ან TAP მოწყობილობასთან.

კონფიგურაცია ამ შემთხვევაში უფრო რთული ხდება, რადგან მარშრუტიზაცია ხდება ბირთვის დონეზე Netfilter-ის გამოყენებით. ჩვენი VDS აგებულია Hyper-V-ზე, ამიტომ ბოლო ეტაპზე ვქმნით ლოკალურ ხიდს და ვააქტიურებთ TAP მოწყობილობას bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes ბრძანებით. ჰაბის მართვის კონსოლიდან გასვლის შემდეგ, სისტემაში ვიხილავთ ახალ ქსელურ ინტერფეისს, რომელსაც ჯერ არ მინიჭებული აქვს IP:

ifconfig

შემდეგი, თქვენ უნდა ჩართოთ პაკეტების მარშრუტიზაცია ინტერფეისებს შორის (ip forward), თუ ის არააქტიურია:

sudo nano /etc/sysctl.conf

გააუქმეთ შემდეგი ხაზი:

net.ipv4.ip_forward = 1

შეინახეთ ცვლილებები ფაილში, გამოდით რედაქტორიდან და გამოიყენეთ ისინი შემდეგი ბრძანებით:

sudo sysctl -p

შემდეგი, ჩვენ უნდა განვსაზღვროთ ქვექსელი ვირტუალური ქსელისთვის ფიქტიური IP-ებით (მაგალითად, 10.0.10.0/24) და მივუთითოთ მისამართი ინტერფეისს:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

შემდეგ თქვენ უნდა დაწეროთ Netfilter წესები.

1. საჭიროების შემთხვევაში, დაუშვით შემომავალი პაკეტები მოსასმენ პორტებზე (SoftEther საკუთრების პროტოკოლი იყენებს HTTPS და პორტს 443)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. დააყენეთ NAT 10.0.10.0/24 ქვექსელიდან მთავარ სერვერის IP-მდე

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. დაუშვით პაკეტების გადაცემა ქვექსელიდან 10.0.10.0/24

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. დაუშვით პაკეტების გადაცემა უკვე დამყარებული კავშირებისთვის

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

პროცესის ავტომატიზაციას სისტემის გადატვირთვისას ინიციალიზაციის სკრიპტების გამოყენებით მკითხველს საშინაო დავალებად დავტოვებთ.

თუ გსურთ IP-ის მინიჭება კლიენტებს ავტომატურად, ასევე დაგჭირდებათ რაიმე სახის DHCP სერვისის დაყენება ადგილობრივი ხიდისთვის. ეს დაასრულებს სერვერის დაყენებას და შეგიძლიათ კლიენტებთან წასვლა. SoftEther მხარს უჭერს ბევრ პროტოკოლს, რომელთა გამოყენება დამოკიდებულია LAN აღჭურვილობის შესაძლებლობებზე.

netstat -ap |grep vpnserver

ვინაიდან ჩვენი სატესტო როუტერი ასევე მუშაობს Ubuntu-ში, მოდით დავაინსტალიროთ softther-vpnclient და softther-vpncmd პაკეტები მასზე გარე საცავიდან, რომ გამოვიყენოთ საკუთრების პროტოკოლი. თქვენ დაგჭირდებათ კლიენტის გაშვება:

sudo vpnclient start

კონფიგურაციისთვის გამოიყენეთ vpncmd პროგრამა, აირჩიეთ localhost, როგორც მანქანა, რომელზეც მუშაობს vpnclient. ყველა ბრძანება შესრულებულია კონსოლში: თქვენ უნდა შექმნათ ვირტუალური ინტერფეისი (NicCreate) და ანგარიში (AccountCreate).

ზოგიერთ შემთხვევაში, თქვენ უნდა მიუთითოთ ავთენტიფიკაციის მეთოდი AccountAnonymousSet, AccountPasswordSet, AccountCertSet და AccountSecureCertSet ბრძანებების გამოყენებით. ვინაიდან ჩვენ არ ვიყენებთ DHCP-ს, ვირტუალური ადაპტერის მისამართი დაყენებულია ხელით.

გარდა ამისა, ჩვენ უნდა გავააქტიუროთ ip forward (ვარიანტი net.ipv4.ip_forward=1 /etc/sysctl.conf ფაილში) და სტატიკური მარშრუტების კონფიგურაცია. საჭიროების შემთხვევაში, Suricata-სთან VDS-ზე შეგიძლიათ დააკონფიგურიროთ პორტის გადამისამართება ლოკალურ ქსელში დაინსტალირებული სერვისების გამოსაყენებლად. ამასთან დაკავშირებით, ქსელის შერწყმა შეიძლება ჩაითვალოს დასრულებულად.

ჩვენი შემოთავაზებული კონფიგურაცია ასე გამოიყურება:

Suricata-ს დაყენება

В წინა სტატია ჩვენ ვისაუბრეთ IDS-ის მუშაობის ორ რეჟიმზე: NFQUEUE რიგის მეშვეობით (NFQ რეჟიმი) და ნულოვანი ასლის მეშვეობით (AF_PACKET რეჟიმი). მეორე მოითხოვს ორ ინტერფეისს, მაგრამ უფრო სწრაფია - ჩვენ მას გამოვიყენებთ. პარამეტრი ნაგულისხმევად დაყენებულია /etc/default/suricata-ში. ჩვენ ასევე გვჭირდება vars განყოფილების რედაქტირება /etc/suricata/suricata.yaml-ში, იქ ვირტუალური ქვექსელის დაყენება, როგორც მთავარი.

IDS-ის გადატვირთვისთვის გამოიყენეთ ბრძანება:

systemctl restart suricata

გამოსავალი მზად არის, ახლა შეიძლება დაგჭირდეთ მისი ტესტირება მავნე მოქმედებებისადმი წინააღმდეგობისთვის.

თავდასხმების სიმულაცია

გარე IDS სერვისის საბრძოლო გამოყენების რამდენიმე სცენარი შეიძლება არსებობდეს:

დაცვა DDoS შეტევებისგან (პირველადი მიზანი)

კორპორატიული ქსელის შიგნით ასეთი ვარიანტის განხორციელება რთულია, რადგან ანალიზისთვის პაკეტები უნდა მოხვდნენ სისტემურ ინტერფეისამდე, რომელიც უყურებს ინტერნეტს. მაშინაც კი, თუ IDS დაბლოკავს მათ, ყალბმა ტრაფიკმა შეიძლება გაანადგუროს მონაცემთა ბმული. ამის თავიდან ასაცილებლად, თქვენ უნდა შეუკვეთოთ VPS საკმარისად პროდუქტიული ინტერნეტ კავშირით, რომელსაც შეუძლია გაიაროს ყველა ადგილობრივი ქსელის ტრაფიკი და მთელი გარე ტრაფიკი. ამის გაკეთება ხშირად უფრო ადვილი და იაფია, ვიდრე საოფისე არხის გაფართოება. როგორც ალტერნატივა, აღსანიშნავია DDoS-ისგან დაცვის სპეციალიზებული სერვისები. მათი მომსახურების ღირებულება შედარებულია ვირტუალური სერვერის ღირებულებასთან და არ საჭიროებს შრომატევადი კონფიგურაციას, მაგრამ ასევე არის უარყოფითი მხარეები - კლიენტი იღებს მხოლოდ DDoS დაცვას თავისი ფულისთვის, ხოლო მისი IDS შეიძლება კონფიგურირებული იყოს როგორც თქვენ. მოსწონს.

სხვა სახის გარე შეტევებისგან დაცვა

Suricata-ს შეუძლია გაუმკლავდეს სხვადასხვა დაუცველობის გამოყენების მცდელობებს კორპორატიული ქსელის სერვისებში, რომლებიც ხელმისაწვდომია ინტერნეტიდან (ფოსტის სერვერი, ვებ სერვერი და ვებ აპლიკაციები და ა.შ.). როგორც წესი, ამისათვის IDS ინსტალირებულია LAN-ის შიგნით სასაზღვრო მოწყობილობების შემდეგ, მაგრამ მის გარეთ გატანას აქვს არსებობის უფლება.

დაცვა ინსაიდერებისგან

სისტემის ადმინისტრატორის საუკეთესო ძალისხმევის მიუხედავად, კორპორატიულ ქსელში არსებული კომპიუტერები შეიძლება დაინფიცირდეს მავნე პროგრამით. გარდა ამისა, ადგილობრივ ტერიტორიაზე ხანდახან ჩნდებიან ხულიგნები, რომლებიც ცდილობენ რაიმე უკანონო ოპერაციების განხორციელებას. Suricata-ს შეუძლია ხელი შეუწყოს ამგვარი მცდელობების დაბლოკვას, თუმცა შიდა ქსელის დასაცავად უმჯობესია დააინსტალიროთ იგი პერიმეტრში და გამოიყენოთ იგი მართულ გადამრთველთან ერთად, რომელსაც შეუძლია ასახოს ტრაფიკი ერთ პორტში. გარე IDS ასევე არ არის უსარგებლო ამ შემთხვევაში - ყოველ შემთხვევაში, ის შეძლებს დაიჭიროს LAN-ზე მცხოვრები მავნე პროგრამების მცდელობები, დაუკავშირდეს გარე სერვერს.

დასაწყისისთვის, ჩვენ შევქმნით VPS-ზე თავდასხმის კიდევ ერთ ტესტს, ხოლო ლოკალური ქსელის როუტერზე ავაყენებთ Apache-ს ნაგულისხმევი კონფიგურაციით, რის შემდეგაც მას გადავაგზავნით მე-80 პორტს IDS სერვერიდან. შემდეგი, ჩვენ მოვახდენთ DDoS შეტევის სიმულაციას თავდამსხმელი მასპინძლისგან. ამისათვის ჩამოტვირთეთ GitHub-დან, შეადგინეთ და გაუშვით მცირე Xerxes პროგრამა შემტევ კვანძზე (შეიძლება დაგჭირდეთ gcc პაკეტის დაყენება):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

მისი მუშაობის შედეგი იყო შემდეგი:

Suricata წყვეტს ბოროტმოქმედს და Apache გვერდი იხსნება ნაგულისხმევად, მიუხედავად ჩვენი ექსპრომტი შეტევისა და "ოფისის" (რეალურად სახლის) ქსელის საკმაოდ მკვდარი არხისა. უფრო სერიოზული ამოცანებისთვის უნდა გამოიყენოთ მეტაპლოიტის ჩარჩო. იგი შექმნილია შეღწევადობის ტესტირებისთვის და საშუალებას გაძლევთ მოახდინოთ სხვადასხვა შეტევების სიმულაცია. Ინსტალაციის ინსტრუქცია ხელმისაწვდომია პროექტის ვებსაიტზე. ინსტალაციის შემდეგ საჭიროა განახლება:

sudo msfupdate

ტესტირებისთვის გაუშვით msfconsole.

სამწუხაროდ, ჩარჩოს უახლეს ვერსიებს არ გააჩნიათ ავტომატურად გატეხვის შესაძლებლობა, ამიტომ ექსპლოიტების ხელით დალაგება და გამოყენება ბრძანების გამოყენებით უნდა მოხდეს. დასაწყისისთვის, ღირს თავდასხმულ მანქანაზე გახსნილი პორტების განსაზღვრა, მაგალითად, nmap-ის გამოყენებით (ჩვენს შემთხვევაში, ის მთლიანად შეიცვლება netstat-ით თავდასხმულ ჰოსტზე), შემდეგ კი აირჩიეთ და გამოიყენეთ შესაბამისი Metasploit მოდულები. 

არსებობს სხვა საშუალებები IDS-ის მდგრადობის შესამოწმებლად თავდასხმების წინააღმდეგ, მათ შორის ონლაინ სერვისების ჩათვლით. ცნობისმოყვარეობისთვის, შეგიძლიათ მოაწყოთ სტრესის ტესტირება საცდელი ვერსიის გამოყენებით IP სტრესორი. შიდა შემოჭრის ქმედებებზე რეაქციის შესამოწმებლად, ღირს სპეციალური ხელსაწყოების დაყენება ადგილობრივ ქსელში ერთ-ერთ მანქანაზე. უამრავი ვარიანტია და დროდადრო ისინი უნდა იქნას გამოყენებული არა მხოლოდ ექსპერიმენტულ ადგილზე, არამედ სამუშაო სისტემებზეც, მხოლოდ ეს არის სრულიად განსხვავებული ამბავი.

წყარო: www.habr.com