ಗೊರಕೆ ಅಥವಾ ಸುರಿಕಾಟಾ. ಭಾಗ 3: ಆಫೀಸ್ ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ರಕ್ಷಿಸುವುದು

В ಹಿಂದಿನ ಲೇಖನ ಉಬುಂಟು 18.04 LTS ನಲ್ಲಿ ಸುರಿಕಾಟಾದ ಸ್ಥಿರ ಆವೃತ್ತಿಯನ್ನು ಹೇಗೆ ಚಲಾಯಿಸುವುದು ಎಂದು ನಾವು ವಿವರಿಸಿದ್ದೇವೆ. ಒಂದೇ ನೋಡ್‌ನಲ್ಲಿ IDS ಅನ್ನು ಹೊಂದಿಸುವುದು ಮತ್ತು ಉಚಿತ ನಿಯಮ ಸೆಟ್‌ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು ಬಹಳ ಸರಳವಾಗಿದೆ. ವರ್ಚುವಲ್ ಸರ್ವರ್‌ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ಸುರಿಕಾಟಾವನ್ನು ಬಳಸಿಕೊಂಡು ಸಾಮಾನ್ಯ ರೀತಿಯ ದಾಳಿಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕಾರ್ಪೊರೇಟ್ ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಹೇಗೆ ರಕ್ಷಿಸುವುದು ಎಂದು ಇಂದು ನಾವು ಲೆಕ್ಕಾಚಾರ ಮಾಡುತ್ತೇವೆ. ಇದನ್ನು ಮಾಡಲು, ನಮಗೆ ಎರಡು ಕಂಪ್ಯೂಟಿಂಗ್ ಕೋರ್ಗಳೊಂದಿಗೆ Linux ನಲ್ಲಿ VDS ಅಗತ್ಯವಿದೆ. RAM ನ ಪ್ರಮಾಣವು ಲೋಡ್ ಅನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ: ಯಾರಿಗಾದರೂ 2 GB ಸಾಕು, ಮತ್ತು ಹೆಚ್ಚು ಗಂಭೀರವಾದ ಕಾರ್ಯಗಳಿಗೆ 4 ಅಥವಾ 6 ಸಹ ಅಗತ್ಯವಾಗಬಹುದು. ವರ್ಚುವಲ್ ಯಂತ್ರದ ಪ್ರಯೋಜನವೆಂದರೆ ಪ್ರಯೋಗ ಸಾಮರ್ಥ್ಯ: ನೀವು ಕನಿಷ್ಟ ಸಂರಚನೆಯೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸಬಹುದು ಮತ್ತು ಹೆಚ್ಚಿಸಬಹುದು ಅಗತ್ಯವಿರುವಂತೆ ಸಂಪನ್ಮೂಲಗಳು.

ಫೋಟೋ: ರಾಯಿಟರ್ಸ್

• ಗೊರಕೆ ಅಥವಾ ಸುರಿಕಾಟಾ. ಭಾಗ 1: ನಿಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ರಕ್ಷಿಸಲು ಉಚಿತ IDS/IPS ಅನ್ನು ಆಯ್ಕೆ ಮಾಡುವುದು
• ಗೊರಕೆ ಅಥವಾ ಸುರಿಕಾಟಾ. ಭಾಗ 2: ಸುರಿಕಾಟಾದ ಸ್ಥಾಪನೆ ಮತ್ತು ಆರಂಭಿಕ ಸೆಟಪ್

ನೆಟ್‌ವರ್ಕ್‌ಗಳನ್ನು ಸಂಪರ್ಕಿಸಲಾಗುತ್ತಿದೆ

IDS ಅನ್ನು ಮೊದಲ ಸ್ಥಾನದಲ್ಲಿ ವರ್ಚುವಲ್ ಯಂತ್ರಕ್ಕೆ ತೆಗೆದುಹಾಕುವುದು ಪರೀಕ್ಷೆಗಳಿಗೆ ಬೇಕಾಗಬಹುದು. ನೀವು ಅಂತಹ ಪರಿಹಾರಗಳೊಂದಿಗೆ ಎಂದಿಗೂ ವ್ಯವಹರಿಸದಿದ್ದರೆ, ನೀವು ಭೌತಿಕ ಯಂತ್ರಾಂಶವನ್ನು ಆದೇಶಿಸಲು ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಆರ್ಕಿಟೆಕ್ಚರ್ ಅನ್ನು ಬದಲಾಯಿಸಲು ಹೊರದಬ್ಬಬಾರದು. ನಿಮ್ಮ ಕಂಪ್ಯೂಟ್ ಅಗತ್ಯಗಳನ್ನು ನಿರ್ಧರಿಸಲು ಸಿಸ್ಟಮ್ ಅನ್ನು ಸುರಕ್ಷಿತವಾಗಿ ಮತ್ತು ವೆಚ್ಚ-ಪರಿಣಾಮಕಾರಿಯಾಗಿ ರನ್ ಮಾಡುವುದು ಉತ್ತಮವಾಗಿದೆ. ಎಲ್ಲಾ ಕಾರ್ಪೊರೇಟ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಒಂದೇ ಬಾಹ್ಯ ನೋಡ್ ಮೂಲಕ ರವಾನಿಸಬೇಕು ಎಂದು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಬಹಳ ಮುಖ್ಯ: ಸ್ಥಳೀಯ ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು (ಅಥವಾ ಹಲವಾರು ನೆಟ್‌ವರ್ಕ್‌ಗಳು) ಐಡಿಎಸ್ ಸೂರಿಕಾಟಾ ಸ್ಥಾಪಿಸಿದ VDS ಗೆ ಸಂಪರ್ಕಿಸಲು, ನೀವು ಇದನ್ನು ಬಳಸಬಹುದು ಸಾಫ್ಟ್‌ಇಥರ್ - ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಸುಲಭವಾದ, ಕ್ರಾಸ್-ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ VPN ಸರ್ವರ್ ಬಲವಾದ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ. ಕಛೇರಿಯ ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕವು ನಿಜವಾದ IP ಅನ್ನು ಹೊಂದಿಲ್ಲದಿರಬಹುದು, ಆದ್ದರಿಂದ ಅದನ್ನು VPS ನಲ್ಲಿ ಹೊಂದಿಸುವುದು ಉತ್ತಮ. ಉಬುಂಟು ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಯಾವುದೇ ಸಿದ್ಧ ಪ್ಯಾಕೇಜ್‌ಗಳಿಲ್ಲ, ನೀವು ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ ಯೋಜನೆಯ ಸೈಟ್, ಅಥವಾ ಸೇವೆಯಲ್ಲಿನ ಬಾಹ್ಯ ರೆಪೊಸಿಟರಿಯಿಂದ ಲಾಂಚ್ಪ್ಯಾಡ್ (ನೀವು ಅವನನ್ನು ನಂಬಿದರೆ):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

ಕೆಳಗಿನ ಆಜ್ಞೆಯೊಂದಿಗೆ ನೀವು ಲಭ್ಯವಿರುವ ಪ್ಯಾಕೇಜುಗಳ ಪಟ್ಟಿಯನ್ನು ವೀಕ್ಷಿಸಬಹುದು:

apt-cache search softether

ನಮಗೆ softether-vpnserver (ಪರೀಕ್ಷಾ ಸಂರಚನೆಯಲ್ಲಿನ ಸರ್ವರ್ VDS ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿದೆ), ಹಾಗೆಯೇ softether-vpncmd - ಅದನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಆಜ್ಞಾ ಸಾಲಿನ ಉಪಯುಕ್ತತೆಗಳು ಬೇಕಾಗುತ್ತವೆ.

sudo apt-get install softether-vpnserver softether-vpncmd

ಸರ್ವರ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ವಿಶೇಷ ಆಜ್ಞಾ ಸಾಲಿನ ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ:

sudo vpncmd

ನಾವು ಸೆಟ್ಟಿಂಗ್ ಬಗ್ಗೆ ವಿವರವಾಗಿ ಮಾತನಾಡುವುದಿಲ್ಲ: ಕಾರ್ಯವಿಧಾನವು ತುಂಬಾ ಸರಳವಾಗಿದೆ, ಇದನ್ನು ಹಲವಾರು ಪ್ರಕಟಣೆಗಳಲ್ಲಿ ಚೆನ್ನಾಗಿ ವಿವರಿಸಲಾಗಿದೆ ಮತ್ತು ಲೇಖನದ ವಿಷಯಕ್ಕೆ ನೇರವಾಗಿ ಸಂಬಂಧಿಸುವುದಿಲ್ಲ. ಸಂಕ್ಷಿಪ್ತವಾಗಿ, vpncmd ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದ ನಂತರ, ಸರ್ವರ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಕನ್ಸೋಲ್ಗೆ ಹೋಗಲು ನೀವು ಐಟಂ 1 ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಬೇಕಾಗುತ್ತದೆ. ಇದನ್ನು ಮಾಡಲು, ನೀವು ಸ್ಥಳೀಯ ಹೋಸ್ಟ್ ಹೆಸರನ್ನು ನಮೂದಿಸಬೇಕು ಮತ್ತು ಹಬ್‌ನ ಹೆಸರನ್ನು ನಮೂದಿಸುವ ಬದಲು ಎಂಟರ್ ಒತ್ತಿರಿ. ಸರ್ವರ್‌ಪಾಸ್‌ವರ್ಡ್‌ಸೆಟ್ ಆಜ್ಞೆಯೊಂದಿಗೆ ಕನ್ಸೋಲ್‌ನಲ್ಲಿ ನಿರ್ವಾಹಕರ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಹೊಂದಿಸಲಾಗಿದೆ, ಡಿಫಾಲ್ಟ್ ವರ್ಚುವಲ್ ಹಬ್ ಅನ್ನು ಅಳಿಸಲಾಗಿದೆ (ಹಬ್‌ಡಿಲೀಟ್ ಕಮಾಂಡ್) ಮತ್ತು ಹೊಸದನ್ನು Suricata_VPN ಎಂಬ ಹೆಸರಿನೊಂದಿಗೆ ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ಅದರ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಸಹ ಹೊಂದಿಸಲಾಗಿದೆ (ಹಬ್‌ಕ್ರಿಯೇಟ್ ಕಮಾಂಡ್). ಮುಂದೆ, ಗ್ರೂಪ್‌ಕ್ರಿಯೇಟ್ ಮತ್ತು ಯೂಸರ್‌ಕ್ರಿಯೇಟ್ ಆಜ್ಞೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಗುಂಪನ್ನು ಮತ್ತು ಬಳಕೆದಾರರನ್ನು ರಚಿಸಲು ನೀವು ಹಬ್ ಸುರಿಕಾಟಾ_ವಿಪಿಎನ್ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಹೊಸ ಹಬ್‌ನ ನಿರ್ವಹಣಾ ಕನ್ಸೋಲ್‌ಗೆ ಹೋಗಬೇಕಾಗುತ್ತದೆ. ಬಳಕೆದಾರ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಯೂಸರ್ ಪಾಸ್ವರ್ಡ್ ಸೆಟ್ ಬಳಸಿ ಹೊಂದಿಸಲಾಗಿದೆ.

SoftEther ಎರಡು ಸಂಚಾರ ವರ್ಗಾವಣೆ ವಿಧಾನಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ: SecureNAT ಮತ್ತು ಸ್ಥಳೀಯ ಸೇತುವೆ. ಮೊದಲನೆಯದು ತನ್ನದೇ ಆದ NAT ಮತ್ತು DHCP ಯೊಂದಿಗೆ ವರ್ಚುವಲ್ ಖಾಸಗಿ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ನಿರ್ಮಿಸಲು ಸ್ವಾಮ್ಯದ ತಂತ್ರಜ್ಞಾನವಾಗಿದೆ. SecureNAT ಗೆ TUN/TAP ಅಥವಾ Netfilter ಅಥವಾ ಇತರ ಫೈರ್‌ವಾಲ್ ಸೆಟ್ಟಿಂಗ್‌ಗಳ ಅಗತ್ಯವಿಲ್ಲ. ರೂಟಿಂಗ್ ಸಿಸ್ಟಂನ ಕೋರ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ, ಮತ್ತು ಎಲ್ಲಾ ಪ್ರಕ್ರಿಯೆಗಳು ವರ್ಚುವಲೈಸ್ ಆಗಿರುತ್ತವೆ ಮತ್ತು ಯಾವುದೇ VPS / VDS ನಲ್ಲಿ ಕೆಲಸ ಮಾಡುತ್ತವೆ, ಬಳಸಿದ ಹೈಪರ್ವೈಸರ್ ಅನ್ನು ಲೆಕ್ಕಿಸದೆ. ಇದು ಸ್ಥಳೀಯ ಬ್ರಿಡ್ಜ್ ಮೋಡ್‌ಗೆ ಹೋಲಿಸಿದರೆ ಹೆಚ್ಚಿದ CPU ಲೋಡ್ ಮತ್ತು ನಿಧಾನವಾದ ವೇಗಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ, ಇದು SoftEther ವರ್ಚುವಲ್ ಹಬ್ ಅನ್ನು ಭೌತಿಕ ನೆಟ್‌ವರ್ಕ್ ಅಡಾಪ್ಟರ್ ಅಥವಾ TAP ಸಾಧನಕ್ಕೆ ಸಂಪರ್ಕಿಸುತ್ತದೆ.

ಈ ಸಂದರ್ಭದಲ್ಲಿ ಸಂರಚನೆಯು ಹೆಚ್ಚು ಜಟಿಲವಾಗಿದೆ, ಏಕೆಂದರೆ Netfilter ಅನ್ನು ಬಳಸಿಕೊಂಡು ಕರ್ನಲ್ ಮಟ್ಟದಲ್ಲಿ ರೂಟಿಂಗ್ ಸಂಭವಿಸುತ್ತದೆ. ನಮ್ಮ VDS ಅನ್ನು ಹೈಪರ್-ವಿ ಯಲ್ಲಿ ನಿರ್ಮಿಸಲಾಗಿದೆ, ಆದ್ದರಿಂದ ಕೊನೆಯ ಹಂತದಲ್ಲಿ ನಾವು ಸ್ಥಳೀಯ ಸೇತುವೆಯನ್ನು ರಚಿಸುತ್ತೇವೆ ಮತ್ತು ಬ್ರಿಡ್ಜ್ ಕ್ರಿಯೇಟ್ Suricate_VPN -device:suricate_vpn -tap:yes ಆಜ್ಞೆಯೊಂದಿಗೆ TAP ಸಾಧನವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತೇವೆ. ಹಬ್ ಮ್ಯಾನೇಜ್‌ಮೆಂಟ್ ಕನ್ಸೋಲ್‌ನಿಂದ ನಿರ್ಗಮಿಸಿದ ನಂತರ, ಇನ್ನೂ IP ಅನ್ನು ನಿಯೋಜಿಸದ ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ನಾವು ಹೊಸ ನೆಟ್‌ವರ್ಕ್ ಇಂಟರ್‌ಫೇಸ್ ಅನ್ನು ನೋಡುತ್ತೇವೆ:

ifconfig

ಮುಂದೆ, ನೀವು ಇಂಟರ್ಫೇಸ್‌ಗಳ ನಡುವೆ ಪ್ಯಾಕೆಟ್ ರೂಟಿಂಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಬೇಕಾಗುತ್ತದೆ (ಐಪಿ ಫಾರ್ವರ್ಡ್), ಅದು ನಿಷ್ಕ್ರಿಯವಾಗಿದ್ದರೆ:

sudo nano /etc/sysctl.conf

ಕೆಳಗಿನ ಸಾಲನ್ನು ರದ್ದುಮಾಡಿ:

net.ipv4.ip_forward = 1

ಬದಲಾವಣೆಗಳನ್ನು ಫೈಲ್‌ಗೆ ಉಳಿಸಿ, ಸಂಪಾದಕದಿಂದ ನಿರ್ಗಮಿಸಿ ಮತ್ತು ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯೊಂದಿಗೆ ಅವುಗಳನ್ನು ಅನ್ವಯಿಸಿ:

sudo sysctl -p

ಮುಂದೆ, ನಾವು ಕಾಲ್ಪನಿಕ ಐಪಿಗಳೊಂದಿಗೆ ವರ್ಚುವಲ್ ನೆಟ್‌ವರ್ಕ್‌ಗಾಗಿ ಸಬ್‌ನೆಟ್ ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಬೇಕಾಗಿದೆ (ಉದಾಹರಣೆಗೆ, 10.0.10.0/24) ಮತ್ತು ಇಂಟರ್ಫೇಸ್‌ಗೆ ವಿಳಾಸವನ್ನು ನಿಯೋಜಿಸಿ:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

ನಂತರ ನೀವು Netfilter ನಿಯಮಗಳನ್ನು ಬರೆಯಬೇಕಾಗಿದೆ.

1. ಅಗತ್ಯವಿದ್ದಲ್ಲಿ, ಆಲಿಸುವ ಪೋರ್ಟ್‌ಗಳಲ್ಲಿ ಒಳಬರುವ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಅನುಮತಿಸಿ (SoftEther ಸ್ವಾಮ್ಯದ ಪ್ರೋಟೋಕಾಲ್ HTTPS ಮತ್ತು ಪೋರ್ಟ್ 443 ಅನ್ನು ಬಳಸುತ್ತದೆ)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT ಅನ್ನು 10.0.10.0/24 ಸಬ್‌ನೆಟ್‌ನಿಂದ ಮುಖ್ಯ ಸರ್ವರ್ IP ಗೆ ಹೊಂದಿಸಿ

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. ಸಬ್‌ನೆಟ್ 10.0.10.0/24 ನಿಂದ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಹಾದುಹೋಗಲು ಅನುಮತಿಸಿ

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. ಈಗಾಗಲೇ ಸ್ಥಾಪಿಸಲಾದ ಸಂಪರ್ಕಗಳಿಗಾಗಿ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಹಾದುಹೋಗಲು ಅನುಮತಿಸಿ

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

ಮನೆಕೆಲಸದಂತೆ ಓದುಗರಿಗೆ ಇನಿಶಿಯಲೈಸೇಶನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಿಸ್ಟಮ್ ಅನ್ನು ಮರುಪ್ರಾರಂಭಿಸಿದಾಗ ನಾವು ಪ್ರಕ್ರಿಯೆಯ ಯಾಂತ್ರೀಕರಣವನ್ನು ಬಿಡುತ್ತೇವೆ.

ನೀವು ಕ್ಲೈಂಟ್‌ಗಳಿಗೆ ಸ್ವಯಂಚಾಲಿತವಾಗಿ IP ಅನ್ನು ನೀಡಲು ಬಯಸಿದರೆ, ನೀವು ಸ್ಥಳೀಯ ಸೇತುವೆಗಾಗಿ ಕೆಲವು ರೀತಿಯ DHCP ಸೇವೆಯನ್ನು ಸಹ ಸ್ಥಾಪಿಸಬೇಕಾಗುತ್ತದೆ. ಇದು ಸರ್ವರ್ ಸೆಟಪ್ ಅನ್ನು ಪೂರ್ಣಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ನೀವು ಕ್ಲೈಂಟ್‌ಗಳಿಗೆ ಹೋಗಬಹುದು. SoftEther ಅನೇಕ ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, ಅದರ ಬಳಕೆಯು LAN ಉಪಕರಣದ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ.

netstat -ap |grep vpnserver

ನಮ್ಮ ಪರೀಕ್ಷಾ ರೂಟರ್ ಸಹ ಉಬುಂಟು ಅಡಿಯಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದರಿಂದ, ಸ್ವಾಮ್ಯದ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಲು ಅದರ ಮೇಲೆ ಬಾಹ್ಯ ರೆಪೊಸಿಟರಿಯಿಂದ softether-vpnclient ಮತ್ತು softether-vpncmd ಪ್ಯಾಕೇಜ್‌ಗಳನ್ನು ಸ್ಥಾಪಿಸೋಣ. ನೀವು ಕ್ಲೈಂಟ್ ಅನ್ನು ರನ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ:

sudo vpnclient start

ಸಂರಚಿಸಲು, vpncmd ಸೌಲಭ್ಯವನ್ನು ಬಳಸಿ, vpnclient ಚಾಲನೆಯಲ್ಲಿರುವ ಯಂತ್ರವಾಗಿ ಲೋಕಲ್ ಹೋಸ್ಟ್ ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಿ. ಎಲ್ಲಾ ಆಜ್ಞೆಗಳನ್ನು ಕನ್ಸೋಲ್‌ನಲ್ಲಿ ಮಾಡಲಾಗಿದೆ: ನೀವು ವರ್ಚುವಲ್ ಇಂಟರ್ಫೇಸ್ (NicCreate) ಮತ್ತು ಖಾತೆಯನ್ನು (AccountCreate) ರಚಿಸಬೇಕಾಗುತ್ತದೆ.

ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ನೀವು AccountAnonymousSet, AccountPasswordSet, AccountCertSet ಮತ್ತು AccountSecureCertSet ಆಜ್ಞೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದೃಢೀಕರಣ ವಿಧಾನವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕು. ನಾವು DHCP ಅನ್ನು ಬಳಸುತ್ತಿಲ್ಲವಾದ್ದರಿಂದ, ವರ್ಚುವಲ್ ಅಡಾಪ್ಟರ್‌ಗಾಗಿ ವಿಳಾಸವನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಹೊಂದಿಸಲಾಗಿದೆ.

ಹೆಚ್ಚುವರಿಯಾಗಿ, ನಾವು ip ಫಾರ್ವರ್ಡ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಬೇಕಾಗಿದೆ (/etc/sysctl.conf ಫೈಲ್‌ನಲ್ಲಿ net.ipv4.ip_forward=1 ಆಯ್ಕೆ) ಮತ್ತು ಸ್ಥಿರ ಮಾರ್ಗಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ. ಅಗತ್ಯವಿದ್ದರೆ, ಸುರಿಕಾಟಾದೊಂದಿಗೆ VDS ನಲ್ಲಿ, ಸ್ಥಳೀಯ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ಸೇವೆಗಳನ್ನು ಬಳಸಲು ನೀವು ಪೋರ್ಟ್ ಫಾರ್ವರ್ಡ್ ಮಾಡುವಿಕೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು. ಇದರ ಮೇಲೆ, ನೆಟ್ವರ್ಕ್ ವಿಲೀನವನ್ನು ಸಂಪೂರ್ಣ ಪರಿಗಣಿಸಬಹುದು.

ನಮ್ಮ ಪ್ರಸ್ತಾವಿತ ಸಂರಚನೆಯು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:

ಸುರಿಕಾಟಾವನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ

В ಹಿಂದಿನ ಲೇಖನ ನಾವು IDS ನ ಕಾರ್ಯಾಚರಣೆಯ ಎರಡು ವಿಧಾನಗಳ ಬಗ್ಗೆ ಮಾತನಾಡಿದ್ದೇವೆ: NFQUEUE ಕ್ಯೂ (NFQ ಮೋಡ್) ಮತ್ತು ಶೂನ್ಯ ನಕಲು (AF_PACKET ಮೋಡ್) ಮೂಲಕ. ಎರಡನೆಯದು ಎರಡು ಇಂಟರ್ಫೇಸ್ಗಳ ಅಗತ್ಯವಿದೆ, ಆದರೆ ವೇಗವಾಗಿರುತ್ತದೆ - ನಾವು ಅದನ್ನು ಬಳಸುತ್ತೇವೆ. ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ /etc/default/suricata ನಲ್ಲಿ ಹೊಂದಿಸಲಾಗಿದೆ. ನಾವು /etc/suricata/suricata.yaml ನಲ್ಲಿ ವರ್ಸ್ ವಿಭಾಗವನ್ನು ಎಡಿಟ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ, ಅಲ್ಲಿ ವರ್ಚುವಲ್ ಸಬ್‌ನೆಟ್ ಅನ್ನು ಹೋಮ್ ಆಗಿ ಹೊಂದಿಸಿ.

IDS ಅನ್ನು ಮರುಪ್ರಾರಂಭಿಸಲು, ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ:

systemctl restart suricata

ಪರಿಹಾರವು ಸಿದ್ಧವಾಗಿದೆ, ಈಗ ನೀವು ದುರುದ್ದೇಶಪೂರಿತ ಕ್ರಿಯೆಗಳಿಗೆ ಪ್ರತಿರೋಧಕ್ಕಾಗಿ ಅದನ್ನು ಪರೀಕ್ಷಿಸಬೇಕಾಗಬಹುದು.

ದಾಳಿಗಳನ್ನು ಅನುಕರಿಸುವುದು

ಬಾಹ್ಯ IDS ಸೇವೆಯ ಯುದ್ಧ ಬಳಕೆಗೆ ಹಲವಾರು ಸನ್ನಿವೇಶಗಳು ಇರಬಹುದು:

DDoS ದಾಳಿಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆ (ಪ್ರಾಥಮಿಕ ಉದ್ದೇಶ)

ಕಾರ್ಪೊರೇಟ್ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಅಂತಹ ಆಯ್ಕೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು ಕಷ್ಟ, ಏಕೆಂದರೆ ವಿಶ್ಲೇಷಣೆಗಾಗಿ ಪ್ಯಾಕೆಟ್‌ಗಳು ಇಂಟರ್ನೆಟ್ ಅನ್ನು ನೋಡುವ ಸಿಸ್ಟಮ್ ಇಂಟರ್ಫೇಸ್‌ಗೆ ಹೋಗಬೇಕು. IDS ಅವರನ್ನು ನಿರ್ಬಂಧಿಸಿದರೂ ಸಹ, ನಕಲಿ ಟ್ರಾಫಿಕ್ ಡೇಟಾ ಲಿಂಕ್ ಅನ್ನು ಕೆಳಗೆ ತರಬಹುದು. ಇದನ್ನು ತಪ್ಪಿಸಲು, ನೀವು ಎಲ್ಲಾ ಸ್ಥಳೀಯ ನೆಟ್‌ವರ್ಕ್ ಟ್ರಾಫಿಕ್ ಮತ್ತು ಎಲ್ಲಾ ಬಾಹ್ಯ ಟ್ರಾಫಿಕ್ ಅನ್ನು ರವಾನಿಸಬಹುದಾದ ಸಾಕಷ್ಟು ಉತ್ಪಾದಕ ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕದೊಂದಿಗೆ VPS ಅನ್ನು ಆದೇಶಿಸಬೇಕಾಗುತ್ತದೆ. ಕಚೇರಿ ಚಾನೆಲ್ ಅನ್ನು ವಿಸ್ತರಿಸುವುದಕ್ಕಿಂತ ಹೆಚ್ಚಾಗಿ ಇದನ್ನು ಮಾಡಲು ಸುಲಭ ಮತ್ತು ಅಗ್ಗವಾಗಿದೆ. ಪರ್ಯಾಯವಾಗಿ, DDoS ವಿರುದ್ಧ ರಕ್ಷಣೆಗಾಗಿ ವಿಶೇಷ ಸೇವೆಗಳನ್ನು ನಮೂದಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ. ಅವರ ಸೇವೆಗಳ ವೆಚ್ಚವನ್ನು ವರ್ಚುವಲ್ ಸರ್ವರ್‌ನ ವೆಚ್ಚಕ್ಕೆ ಹೋಲಿಸಬಹುದು ಮತ್ತು ಇದಕ್ಕೆ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುವ ಕಾನ್ಫಿಗರೇಶನ್ ಅಗತ್ಯವಿಲ್ಲ, ಆದರೆ ಅನಾನುಕೂಲಗಳೂ ಇವೆ - ಕ್ಲೈಂಟ್ ತನ್ನ ಹಣಕ್ಕಾಗಿ DDoS ರಕ್ಷಣೆಯನ್ನು ಮಾತ್ರ ಪಡೆಯುತ್ತಾನೆ, ಆದರೆ ಅವನ ಸ್ವಂತ IDS ಅನ್ನು ನೀವು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು ಹಾಗೆ.

ಇತರ ರೀತಿಯ ಬಾಹ್ಯ ದಾಳಿಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆ

ಇಂಟರ್ನೆಟ್‌ನಿಂದ (ಮೇಲ್ ಸರ್ವರ್, ವೆಬ್ ಸರ್ವರ್ ಮತ್ತು ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಇತ್ಯಾದಿ) ಪ್ರವೇಶಿಸಬಹುದಾದ ಕಾರ್ಪೊರೇಟ್ ನೆಟ್‌ವರ್ಕ್ ಸೇವೆಗಳಲ್ಲಿನ ವಿವಿಧ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಪ್ರಯತ್ನಗಳನ್ನು ಸುರಿಕಾಟಾ ನಿಭಾಯಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. ಸಾಮಾನ್ಯವಾಗಿ, ಇದಕ್ಕಾಗಿ, ಗಡಿ ಸಾಧನಗಳ ನಂತರ LAN ಒಳಗೆ IDS ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಆದರೆ ಅದನ್ನು ಹೊರಗೆ ತೆಗೆದುಕೊಳ್ಳುವುದು ಅಸ್ತಿತ್ವದ ಹಕ್ಕನ್ನು ಹೊಂದಿದೆ.

ಒಳಗಿನವರಿಂದ ರಕ್ಷಣೆ

ಸಿಸ್ಟಮ್ ಅಡ್ಮಿನಿಸ್ಟ್ರೇಟರ್ನ ಅತ್ಯುತ್ತಮ ಪ್ರಯತ್ನಗಳ ಹೊರತಾಗಿಯೂ, ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿರುವ ಕಂಪ್ಯೂಟರ್ಗಳು ಮಾಲ್ವೇರ್ನಿಂದ ಸೋಂಕಿಗೆ ಒಳಗಾಗಬಹುದು. ಇದರ ಜೊತೆಗೆ, ಸ್ಥಳೀಯ ಪ್ರದೇಶದಲ್ಲಿ ಕೆಲವೊಮ್ಮೆ ಗೂಂಡಾಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತಾರೆ, ಅವರು ಕೆಲವು ಅಕ್ರಮ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ. ಸುರಿಕಾಟಾ ಅಂತಹ ಪ್ರಯತ್ನಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ, ಆದರೂ ಆಂತರಿಕ ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ರಕ್ಷಿಸಲು ಅದನ್ನು ಪರಿಧಿಯೊಳಗೆ ಸ್ಥಾಪಿಸುವುದು ಉತ್ತಮ ಮತ್ತು ಒಂದು ಪೋರ್ಟ್‌ಗೆ ದಟ್ಟಣೆಯನ್ನು ಪ್ರತಿಬಿಂಬಿಸುವ ನಿರ್ವಹಿಸಿದ ಸ್ವಿಚ್‌ನೊಂದಿಗೆ ಅದನ್ನು ಬಳಸುವುದು ಉತ್ತಮ. ಈ ಸಂದರ್ಭದಲ್ಲಿ ಬಾಹ್ಯ IDS ಸಹ ನಿಷ್ಪ್ರಯೋಜಕವಲ್ಲ - ಕನಿಷ್ಠ ಇದು ಬಾಹ್ಯ ಸರ್ವರ್ ಅನ್ನು ಸಂಪರ್ಕಿಸಲು LAN ನಲ್ಲಿ ವಾಸಿಸುವ ಮಾಲ್‌ವೇರ್ ಪ್ರಯತ್ನಗಳನ್ನು ಹಿಡಿಯಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.

ಪ್ರಾರಂಭಿಸಲು, ನಾವು VPS ದಾಳಿ ಮಾಡುವ ಮತ್ತೊಂದು ಪರೀಕ್ಷೆಯನ್ನು ರಚಿಸುತ್ತೇವೆ ಮತ್ತು ಸ್ಥಳೀಯ ನೆಟ್‌ವರ್ಕ್ ರೂಟರ್‌ನಲ್ಲಿ ನಾವು ಡೀಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್‌ನೊಂದಿಗೆ ಅಪಾಚೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತೇವೆ, ಅದರ ನಂತರ ನಾವು 80 ನೇ ಪೋರ್ಟ್ ಅನ್ನು ಐಡಿಎಸ್ ಸರ್ವರ್‌ನಿಂದ ಫಾರ್ವರ್ಡ್ ಮಾಡುತ್ತೇವೆ. ಮುಂದೆ, ನಾವು ಆಕ್ರಮಣಕಾರಿ ಹೋಸ್ಟ್‌ನಿಂದ DDoS ದಾಳಿಯನ್ನು ಅನುಕರಿಸುತ್ತೇವೆ. ಇದನ್ನು ಮಾಡಲು, GitHub ನಿಂದ ಡೌನ್‌ಲೋಡ್ ಮಾಡಿ, ಆಕ್ರಮಣಕಾರಿ ನೋಡ್‌ನಲ್ಲಿ ಸಣ್ಣ xerxes ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಕಂಪೈಲ್ ಮಾಡಿ ಮತ್ತು ರನ್ ಮಾಡಿ (ನೀವು gcc ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸಬೇಕಾಗಬಹುದು):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

ಅವಳ ಕೆಲಸದ ಫಲಿತಾಂಶವು ಈ ಕೆಳಗಿನಂತಿತ್ತು:

ಸುರಿಕಾಟಾ ಖಳನಾಯಕನನ್ನು ಕತ್ತರಿಸುತ್ತಾನೆ ಮತ್ತು ನಮ್ಮ ಪೂರ್ವಸಿದ್ಧತೆಯಿಲ್ಲದ ದಾಳಿ ಮತ್ತು "ಕಚೇರಿ" (ವಾಸ್ತವವಾಗಿ ಮನೆ) ನೆಟ್‌ವರ್ಕ್‌ನ ಬದಲಿಗೆ ಡೆಡ್ ಚಾನೆಲ್‌ನ ಹೊರತಾಗಿಯೂ ಅಪಾಚೆ ಪುಟವು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ತೆರೆಯುತ್ತದೆ. ಹೆಚ್ಚು ಗಂಭೀರವಾದ ಕಾರ್ಯಗಳಿಗಾಗಿ, ನೀವು ಬಳಸಬೇಕು Metasploit ಫ್ರೇಮ್ವರ್ಕ್. ಇದು ನುಗ್ಗುವ ಪರೀಕ್ಷೆಗಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ ಮತ್ತು ವಿವಿಧ ದಾಳಿಗಳನ್ನು ಅನುಕರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಅನುಸ್ಥಾಪನಾ ಸೂಚನೆಗಳು доступна ಯೋಜನೆಯ ವೆಬ್‌ಸೈಟ್‌ನಲ್ಲಿ. ಅನುಸ್ಥಾಪನೆಯ ನಂತರ, ನವೀಕರಣದ ಅಗತ್ಯವಿದೆ:

sudo msfupdate

ಪರೀಕ್ಷೆಗಾಗಿ, msfconsole ಅನ್ನು ರನ್ ಮಾಡಿ.

ದುರದೃಷ್ಟವಶಾತ್, ಫ್ರೇಮ್‌ವರ್ಕ್‌ನ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಗಳು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಭೇದಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ಶೋಷಣೆಗಳನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ವಿಂಗಡಿಸಬೇಕು ಮತ್ತು ಬಳಕೆಯ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಚಲಾಯಿಸಬೇಕು. ಮೊದಲಿಗೆ, ದಾಳಿಗೊಳಗಾದ ಯಂತ್ರದಲ್ಲಿ ತೆರೆದಿರುವ ಪೋರ್ಟ್‌ಗಳನ್ನು ನಿರ್ಧರಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ, ಉದಾಹರಣೆಗೆ, nmap ಬಳಸಿ (ನಮ್ಮ ಸಂದರ್ಭದಲ್ಲಿ, ದಾಳಿಗೊಳಗಾದ ಹೋಸ್ಟ್‌ನಲ್ಲಿ ಅದನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನೆಟ್‌ಸ್ಟಾಟ್‌ನಿಂದ ಬದಲಾಯಿಸಲಾಗುತ್ತದೆ), ತದನಂತರ ಸೂಕ್ತವಾದದನ್ನು ಆಯ್ಕೆಮಾಡಿ ಮತ್ತು ಬಳಸಿ ಮೆಟಾಸ್ಪ್ಲೋಯಿಟ್ ಮಾಡ್ಯೂಲ್‌ಗಳು. 

ಆನ್‌ಲೈನ್ ಸೇವೆಗಳು ಸೇರಿದಂತೆ ದಾಳಿಗಳ ವಿರುದ್ಧ IDS ನ ಸ್ಥಿತಿಸ್ಥಾಪಕತ್ವವನ್ನು ಪರೀಕ್ಷಿಸಲು ಇತರ ವಿಧಾನಗಳಿವೆ. ಕುತೂಹಲಕ್ಕಾಗಿ, ನೀವು ಪ್ರಾಯೋಗಿಕ ಆವೃತ್ತಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಒತ್ತಡ ಪರೀಕ್ಷೆಯನ್ನು ವ್ಯವಸ್ಥೆಗೊಳಿಸಬಹುದು ಐಪಿ ಒತ್ತಡಕ. ಆಂತರಿಕ ಒಳನುಗ್ಗುವವರ ಕ್ರಿಯೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಪರಿಶೀಲಿಸಲು, ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿನ ಯಂತ್ರಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ ವಿಶೇಷ ಸಾಧನಗಳನ್ನು ಸ್ಥಾಪಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ. ಬಹಳಷ್ಟು ಆಯ್ಕೆಗಳಿವೆ ಮತ್ತು ಕಾಲಕಾಲಕ್ಕೆ ಅವುಗಳನ್ನು ಪ್ರಾಯೋಗಿಕ ಸೈಟ್‌ಗೆ ಮಾತ್ರವಲ್ಲದೆ ಕೆಲಸ ಮಾಡುವ ವ್ಯವಸ್ಥೆಗಳಿಗೂ ಅನ್ವಯಿಸಬೇಕು, ಇದು ಸಂಪೂರ್ಣವಾಗಿ ವಿಭಿನ್ನ ಕಥೆಯಾಗಿದೆ.

ಮೂಲ: www.habr.com