ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > ಗೊರಕೆ ಅಥವಾ ಸುರಿಕಾಟಾ. ಭಾಗ 3: ಆಫೀಸ್ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ರಕ್ಷಿಸುವುದು
ಗೊರಕೆ ಅಥವಾ ಸುರಿಕಾಟಾ. ಭಾಗ 3: ಆಫೀಸ್ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ರಕ್ಷಿಸುವುದು
В ಹಿಂದಿನ ಲೇಖನ ಉಬುಂಟು 18.04 LTS ನಲ್ಲಿ ಸುರಿಕಾಟಾದ ಸ್ಥಿರ ಆವೃತ್ತಿಯನ್ನು ಹೇಗೆ ಚಲಾಯಿಸುವುದು ಎಂದು ನಾವು ವಿವರಿಸಿದ್ದೇವೆ. ಒಂದೇ ನೋಡ್ನಲ್ಲಿ IDS ಅನ್ನು ಹೊಂದಿಸುವುದು ಮತ್ತು ಉಚಿತ ನಿಯಮ ಸೆಟ್ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು ಬಹಳ ಸರಳವಾಗಿದೆ. ವರ್ಚುವಲ್ ಸರ್ವರ್ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ಸುರಿಕಾಟಾವನ್ನು ಬಳಸಿಕೊಂಡು ಸಾಮಾನ್ಯ ರೀತಿಯ ದಾಳಿಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಹೇಗೆ ರಕ್ಷಿಸುವುದು ಎಂದು ಇಂದು ನಾವು ಲೆಕ್ಕಾಚಾರ ಮಾಡುತ್ತೇವೆ. ಇದನ್ನು ಮಾಡಲು, ನಮಗೆ ಎರಡು ಕಂಪ್ಯೂಟಿಂಗ್ ಕೋರ್ಗಳೊಂದಿಗೆ Linux ನಲ್ಲಿ VDS ಅಗತ್ಯವಿದೆ. RAM ನ ಪ್ರಮಾಣವು ಲೋಡ್ ಅನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ: ಯಾರಿಗಾದರೂ 2 GB ಸಾಕು, ಮತ್ತು ಹೆಚ್ಚು ಗಂಭೀರವಾದ ಕಾರ್ಯಗಳಿಗೆ 4 ಅಥವಾ 6 ಸಹ ಅಗತ್ಯವಾಗಬಹುದು. ವರ್ಚುವಲ್ ಯಂತ್ರದ ಪ್ರಯೋಜನವೆಂದರೆ ಪ್ರಯೋಗ ಸಾಮರ್ಥ್ಯ: ನೀವು ಕನಿಷ್ಟ ಸಂರಚನೆಯೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸಬಹುದು ಮತ್ತು ಹೆಚ್ಚಿಸಬಹುದು ಅಗತ್ಯವಿರುವಂತೆ ಸಂಪನ್ಮೂಲಗಳು.
IDS ಅನ್ನು ಮೊದಲ ಸ್ಥಾನದಲ್ಲಿ ವರ್ಚುವಲ್ ಯಂತ್ರಕ್ಕೆ ತೆಗೆದುಹಾಕುವುದು ಪರೀಕ್ಷೆಗಳಿಗೆ ಬೇಕಾಗಬಹುದು. ನೀವು ಅಂತಹ ಪರಿಹಾರಗಳೊಂದಿಗೆ ಎಂದಿಗೂ ವ್ಯವಹರಿಸದಿದ್ದರೆ, ನೀವು ಭೌತಿಕ ಯಂತ್ರಾಂಶವನ್ನು ಆದೇಶಿಸಲು ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಆರ್ಕಿಟೆಕ್ಚರ್ ಅನ್ನು ಬದಲಾಯಿಸಲು ಹೊರದಬ್ಬಬಾರದು. ನಿಮ್ಮ ಕಂಪ್ಯೂಟ್ ಅಗತ್ಯಗಳನ್ನು ನಿರ್ಧರಿಸಲು ಸಿಸ್ಟಮ್ ಅನ್ನು ಸುರಕ್ಷಿತವಾಗಿ ಮತ್ತು ವೆಚ್ಚ-ಪರಿಣಾಮಕಾರಿಯಾಗಿ ರನ್ ಮಾಡುವುದು ಉತ್ತಮವಾಗಿದೆ. ಎಲ್ಲಾ ಕಾರ್ಪೊರೇಟ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಒಂದೇ ಬಾಹ್ಯ ನೋಡ್ ಮೂಲಕ ರವಾನಿಸಬೇಕು ಎಂದು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಬಹಳ ಮುಖ್ಯ: ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ ಅನ್ನು (ಅಥವಾ ಹಲವಾರು ನೆಟ್ವರ್ಕ್ಗಳು) ಐಡಿಎಸ್ ಸೂರಿಕಾಟಾ ಸ್ಥಾಪಿಸಿದ VDS ಗೆ ಸಂಪರ್ಕಿಸಲು, ನೀವು ಇದನ್ನು ಬಳಸಬಹುದು ಸಾಫ್ಟ್ಇಥರ್ - ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಸುಲಭವಾದ, ಕ್ರಾಸ್-ಪ್ಲಾಟ್ಫಾರ್ಮ್ VPN ಸರ್ವರ್ ಬಲವಾದ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ. ಕಛೇರಿಯ ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕವು ನಿಜವಾದ IP ಅನ್ನು ಹೊಂದಿಲ್ಲದಿರಬಹುದು, ಆದ್ದರಿಂದ ಅದನ್ನು VPS ನಲ್ಲಿ ಹೊಂದಿಸುವುದು ಉತ್ತಮ. ಉಬುಂಟು ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಯಾವುದೇ ಸಿದ್ಧ ಪ್ಯಾಕೇಜ್ಗಳಿಲ್ಲ, ನೀವು ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ ಯೋಜನೆಯ ಸೈಟ್, ಅಥವಾ ಸೇವೆಯಲ್ಲಿನ ಬಾಹ್ಯ ರೆಪೊಸಿಟರಿಯಿಂದ ಲಾಂಚ್ಪ್ಯಾಡ್ (ನೀವು ಅವನನ್ನು ನಂಬಿದರೆ):
ಕೆಳಗಿನ ಆಜ್ಞೆಯೊಂದಿಗೆ ನೀವು ಲಭ್ಯವಿರುವ ಪ್ಯಾಕೇಜುಗಳ ಪಟ್ಟಿಯನ್ನು ವೀಕ್ಷಿಸಬಹುದು:
apt-cache search softether
ನಮಗೆ softether-vpnserver (ಪರೀಕ್ಷಾ ಸಂರಚನೆಯಲ್ಲಿನ ಸರ್ವರ್ VDS ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿದೆ), ಹಾಗೆಯೇ softether-vpncmd - ಅದನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಆಜ್ಞಾ ಸಾಲಿನ ಉಪಯುಕ್ತತೆಗಳು ಬೇಕಾಗುತ್ತವೆ.
ಸರ್ವರ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ವಿಶೇಷ ಆಜ್ಞಾ ಸಾಲಿನ ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ:
sudo vpncmd
ನಾವು ಸೆಟ್ಟಿಂಗ್ ಬಗ್ಗೆ ವಿವರವಾಗಿ ಮಾತನಾಡುವುದಿಲ್ಲ: ಕಾರ್ಯವಿಧಾನವು ತುಂಬಾ ಸರಳವಾಗಿದೆ, ಇದನ್ನು ಹಲವಾರು ಪ್ರಕಟಣೆಗಳಲ್ಲಿ ಚೆನ್ನಾಗಿ ವಿವರಿಸಲಾಗಿದೆ ಮತ್ತು ಲೇಖನದ ವಿಷಯಕ್ಕೆ ನೇರವಾಗಿ ಸಂಬಂಧಿಸುವುದಿಲ್ಲ. ಸಂಕ್ಷಿಪ್ತವಾಗಿ, vpncmd ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದ ನಂತರ, ಸರ್ವರ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಕನ್ಸೋಲ್ಗೆ ಹೋಗಲು ನೀವು ಐಟಂ 1 ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಬೇಕಾಗುತ್ತದೆ. ಇದನ್ನು ಮಾಡಲು, ನೀವು ಸ್ಥಳೀಯ ಹೋಸ್ಟ್ ಹೆಸರನ್ನು ನಮೂದಿಸಬೇಕು ಮತ್ತು ಹಬ್ನ ಹೆಸರನ್ನು ನಮೂದಿಸುವ ಬದಲು ಎಂಟರ್ ಒತ್ತಿರಿ. ಸರ್ವರ್ಪಾಸ್ವರ್ಡ್ಸೆಟ್ ಆಜ್ಞೆಯೊಂದಿಗೆ ಕನ್ಸೋಲ್ನಲ್ಲಿ ನಿರ್ವಾಹಕರ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಹೊಂದಿಸಲಾಗಿದೆ, ಡಿಫಾಲ್ಟ್ ವರ್ಚುವಲ್ ಹಬ್ ಅನ್ನು ಅಳಿಸಲಾಗಿದೆ (ಹಬ್ಡಿಲೀಟ್ ಕಮಾಂಡ್) ಮತ್ತು ಹೊಸದನ್ನು Suricata_VPN ಎಂಬ ಹೆಸರಿನೊಂದಿಗೆ ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ಅದರ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಸಹ ಹೊಂದಿಸಲಾಗಿದೆ (ಹಬ್ಕ್ರಿಯೇಟ್ ಕಮಾಂಡ್). ಮುಂದೆ, ಗ್ರೂಪ್ಕ್ರಿಯೇಟ್ ಮತ್ತು ಯೂಸರ್ಕ್ರಿಯೇಟ್ ಆಜ್ಞೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಗುಂಪನ್ನು ಮತ್ತು ಬಳಕೆದಾರರನ್ನು ರಚಿಸಲು ನೀವು ಹಬ್ ಸುರಿಕಾಟಾ_ವಿಪಿಎನ್ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಹೊಸ ಹಬ್ನ ನಿರ್ವಹಣಾ ಕನ್ಸೋಲ್ಗೆ ಹೋಗಬೇಕಾಗುತ್ತದೆ. ಬಳಕೆದಾರ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಯೂಸರ್ ಪಾಸ್ವರ್ಡ್ ಸೆಟ್ ಬಳಸಿ ಹೊಂದಿಸಲಾಗಿದೆ.
SoftEther ಎರಡು ಸಂಚಾರ ವರ್ಗಾವಣೆ ವಿಧಾನಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ: SecureNAT ಮತ್ತು ಸ್ಥಳೀಯ ಸೇತುವೆ. ಮೊದಲನೆಯದು ತನ್ನದೇ ಆದ NAT ಮತ್ತು DHCP ಯೊಂದಿಗೆ ವರ್ಚುವಲ್ ಖಾಸಗಿ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ನಿರ್ಮಿಸಲು ಸ್ವಾಮ್ಯದ ತಂತ್ರಜ್ಞಾನವಾಗಿದೆ. SecureNAT ಗೆ TUN/TAP ಅಥವಾ Netfilter ಅಥವಾ ಇತರ ಫೈರ್ವಾಲ್ ಸೆಟ್ಟಿಂಗ್ಗಳ ಅಗತ್ಯವಿಲ್ಲ. ರೂಟಿಂಗ್ ಸಿಸ್ಟಂನ ಕೋರ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ, ಮತ್ತು ಎಲ್ಲಾ ಪ್ರಕ್ರಿಯೆಗಳು ವರ್ಚುವಲೈಸ್ ಆಗಿರುತ್ತವೆ ಮತ್ತು ಯಾವುದೇ VPS / VDS ನಲ್ಲಿ ಕೆಲಸ ಮಾಡುತ್ತವೆ, ಬಳಸಿದ ಹೈಪರ್ವೈಸರ್ ಅನ್ನು ಲೆಕ್ಕಿಸದೆ. ಇದು ಸ್ಥಳೀಯ ಬ್ರಿಡ್ಜ್ ಮೋಡ್ಗೆ ಹೋಲಿಸಿದರೆ ಹೆಚ್ಚಿದ CPU ಲೋಡ್ ಮತ್ತು ನಿಧಾನವಾದ ವೇಗಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ, ಇದು SoftEther ವರ್ಚುವಲ್ ಹಬ್ ಅನ್ನು ಭೌತಿಕ ನೆಟ್ವರ್ಕ್ ಅಡಾಪ್ಟರ್ ಅಥವಾ TAP ಸಾಧನಕ್ಕೆ ಸಂಪರ್ಕಿಸುತ್ತದೆ.
ಈ ಸಂದರ್ಭದಲ್ಲಿ ಸಂರಚನೆಯು ಹೆಚ್ಚು ಜಟಿಲವಾಗಿದೆ, ಏಕೆಂದರೆ Netfilter ಅನ್ನು ಬಳಸಿಕೊಂಡು ಕರ್ನಲ್ ಮಟ್ಟದಲ್ಲಿ ರೂಟಿಂಗ್ ಸಂಭವಿಸುತ್ತದೆ. ನಮ್ಮ VDS ಅನ್ನು ಹೈಪರ್-ವಿ ಯಲ್ಲಿ ನಿರ್ಮಿಸಲಾಗಿದೆ, ಆದ್ದರಿಂದ ಕೊನೆಯ ಹಂತದಲ್ಲಿ ನಾವು ಸ್ಥಳೀಯ ಸೇತುವೆಯನ್ನು ರಚಿಸುತ್ತೇವೆ ಮತ್ತು ಬ್ರಿಡ್ಜ್ ಕ್ರಿಯೇಟ್ Suricate_VPN -device:suricate_vpn -tap:yes ಆಜ್ಞೆಯೊಂದಿಗೆ TAP ಸಾಧನವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತೇವೆ. ಹಬ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಕನ್ಸೋಲ್ನಿಂದ ನಿರ್ಗಮಿಸಿದ ನಂತರ, ಇನ್ನೂ IP ಅನ್ನು ನಿಯೋಜಿಸದ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ನಾವು ಹೊಸ ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ನೋಡುತ್ತೇವೆ:
ifconfig
ಮುಂದೆ, ನೀವು ಇಂಟರ್ಫೇಸ್ಗಳ ನಡುವೆ ಪ್ಯಾಕೆಟ್ ರೂಟಿಂಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಬೇಕಾಗುತ್ತದೆ (ಐಪಿ ಫಾರ್ವರ್ಡ್), ಅದು ನಿಷ್ಕ್ರಿಯವಾಗಿದ್ದರೆ:
sudo nano /etc/sysctl.conf
ಕೆಳಗಿನ ಸಾಲನ್ನು ರದ್ದುಮಾಡಿ:
net.ipv4.ip_forward = 1
ಬದಲಾವಣೆಗಳನ್ನು ಫೈಲ್ಗೆ ಉಳಿಸಿ, ಸಂಪಾದಕದಿಂದ ನಿರ್ಗಮಿಸಿ ಮತ್ತು ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯೊಂದಿಗೆ ಅವುಗಳನ್ನು ಅನ್ವಯಿಸಿ:
sudo sysctl -p
ಮುಂದೆ, ನಾವು ಕಾಲ್ಪನಿಕ ಐಪಿಗಳೊಂದಿಗೆ ವರ್ಚುವಲ್ ನೆಟ್ವರ್ಕ್ಗಾಗಿ ಸಬ್ನೆಟ್ ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಬೇಕಾಗಿದೆ (ಉದಾಹರಣೆಗೆ, 10.0.10.0/24) ಮತ್ತು ಇಂಟರ್ಫೇಸ್ಗೆ ವಿಳಾಸವನ್ನು ನಿಯೋಜಿಸಿ:
sudo ifconfig tap_suricata_vp 10.0.10.1/24
ನಂತರ ನೀವು Netfilter ನಿಯಮಗಳನ್ನು ಬರೆಯಬೇಕಾಗಿದೆ.
1. ಅಗತ್ಯವಿದ್ದಲ್ಲಿ, ಆಲಿಸುವ ಪೋರ್ಟ್ಗಳಲ್ಲಿ ಒಳಬರುವ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಅನುಮತಿಸಿ (SoftEther ಸ್ವಾಮ್ಯದ ಪ್ರೋಟೋಕಾಲ್ HTTPS ಮತ್ತು ಪೋರ್ಟ್ 443 ಅನ್ನು ಬಳಸುತ್ತದೆ)
3. ಸಬ್ನೆಟ್ 10.0.10.0/24 ನಿಂದ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಹಾದುಹೋಗಲು ಅನುಮತಿಸಿ
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT
4. ಈಗಾಗಲೇ ಸ್ಥಾಪಿಸಲಾದ ಸಂಪರ್ಕಗಳಿಗಾಗಿ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಹಾದುಹೋಗಲು ಅನುಮತಿಸಿ
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
ಮನೆಕೆಲಸದಂತೆ ಓದುಗರಿಗೆ ಇನಿಶಿಯಲೈಸೇಶನ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಿಸ್ಟಮ್ ಅನ್ನು ಮರುಪ್ರಾರಂಭಿಸಿದಾಗ ನಾವು ಪ್ರಕ್ರಿಯೆಯ ಯಾಂತ್ರೀಕರಣವನ್ನು ಬಿಡುತ್ತೇವೆ.
ನೀವು ಕ್ಲೈಂಟ್ಗಳಿಗೆ ಸ್ವಯಂಚಾಲಿತವಾಗಿ IP ಅನ್ನು ನೀಡಲು ಬಯಸಿದರೆ, ನೀವು ಸ್ಥಳೀಯ ಸೇತುವೆಗಾಗಿ ಕೆಲವು ರೀತಿಯ DHCP ಸೇವೆಯನ್ನು ಸಹ ಸ್ಥಾಪಿಸಬೇಕಾಗುತ್ತದೆ. ಇದು ಸರ್ವರ್ ಸೆಟಪ್ ಅನ್ನು ಪೂರ್ಣಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ನೀವು ಕ್ಲೈಂಟ್ಗಳಿಗೆ ಹೋಗಬಹುದು. SoftEther ಅನೇಕ ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, ಅದರ ಬಳಕೆಯು LAN ಉಪಕರಣದ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ.
netstat -ap |grep vpnserver
ನಮ್ಮ ಪರೀಕ್ಷಾ ರೂಟರ್ ಸಹ ಉಬುಂಟು ಅಡಿಯಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದರಿಂದ, ಸ್ವಾಮ್ಯದ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಲು ಅದರ ಮೇಲೆ ಬಾಹ್ಯ ರೆಪೊಸಿಟರಿಯಿಂದ softether-vpnclient ಮತ್ತು softether-vpncmd ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸ್ಥಾಪಿಸೋಣ. ನೀವು ಕ್ಲೈಂಟ್ ಅನ್ನು ರನ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ:
sudo vpnclient start
ಸಂರಚಿಸಲು, vpncmd ಸೌಲಭ್ಯವನ್ನು ಬಳಸಿ, vpnclient ಚಾಲನೆಯಲ್ಲಿರುವ ಯಂತ್ರವಾಗಿ ಲೋಕಲ್ ಹೋಸ್ಟ್ ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಿ. ಎಲ್ಲಾ ಆಜ್ಞೆಗಳನ್ನು ಕನ್ಸೋಲ್ನಲ್ಲಿ ಮಾಡಲಾಗಿದೆ: ನೀವು ವರ್ಚುವಲ್ ಇಂಟರ್ಫೇಸ್ (NicCreate) ಮತ್ತು ಖಾತೆಯನ್ನು (AccountCreate) ರಚಿಸಬೇಕಾಗುತ್ತದೆ.
ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ನೀವು AccountAnonymousSet, AccountPasswordSet, AccountCertSet ಮತ್ತು AccountSecureCertSet ಆಜ್ಞೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದೃಢೀಕರಣ ವಿಧಾನವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕು. ನಾವು DHCP ಅನ್ನು ಬಳಸುತ್ತಿಲ್ಲವಾದ್ದರಿಂದ, ವರ್ಚುವಲ್ ಅಡಾಪ್ಟರ್ಗಾಗಿ ವಿಳಾಸವನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಹೊಂದಿಸಲಾಗಿದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ನಾವು ip ಫಾರ್ವರ್ಡ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಬೇಕಾಗಿದೆ (/etc/sysctl.conf ಫೈಲ್ನಲ್ಲಿ net.ipv4.ip_forward=1 ಆಯ್ಕೆ) ಮತ್ತು ಸ್ಥಿರ ಮಾರ್ಗಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ. ಅಗತ್ಯವಿದ್ದರೆ, ಸುರಿಕಾಟಾದೊಂದಿಗೆ VDS ನಲ್ಲಿ, ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ಸೇವೆಗಳನ್ನು ಬಳಸಲು ನೀವು ಪೋರ್ಟ್ ಫಾರ್ವರ್ಡ್ ಮಾಡುವಿಕೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು. ಇದರ ಮೇಲೆ, ನೆಟ್ವರ್ಕ್ ವಿಲೀನವನ್ನು ಸಂಪೂರ್ಣ ಪರಿಗಣಿಸಬಹುದು.
ನಮ್ಮ ಪ್ರಸ್ತಾವಿತ ಸಂರಚನೆಯು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಸುರಿಕಾಟಾವನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
В ಹಿಂದಿನ ಲೇಖನ ನಾವು IDS ನ ಕಾರ್ಯಾಚರಣೆಯ ಎರಡು ವಿಧಾನಗಳ ಬಗ್ಗೆ ಮಾತನಾಡಿದ್ದೇವೆ: NFQUEUE ಕ್ಯೂ (NFQ ಮೋಡ್) ಮತ್ತು ಶೂನ್ಯ ನಕಲು (AF_PACKET ಮೋಡ್) ಮೂಲಕ. ಎರಡನೆಯದು ಎರಡು ಇಂಟರ್ಫೇಸ್ಗಳ ಅಗತ್ಯವಿದೆ, ಆದರೆ ವೇಗವಾಗಿರುತ್ತದೆ - ನಾವು ಅದನ್ನು ಬಳಸುತ್ತೇವೆ. ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ /etc/default/suricata ನಲ್ಲಿ ಹೊಂದಿಸಲಾಗಿದೆ. ನಾವು /etc/suricata/suricata.yaml ನಲ್ಲಿ ವರ್ಸ್ ವಿಭಾಗವನ್ನು ಎಡಿಟ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ, ಅಲ್ಲಿ ವರ್ಚುವಲ್ ಸಬ್ನೆಟ್ ಅನ್ನು ಹೋಮ್ ಆಗಿ ಹೊಂದಿಸಿ.
IDS ಅನ್ನು ಮರುಪ್ರಾರಂಭಿಸಲು, ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ:
systemctl restart suricata
ಪರಿಹಾರವು ಸಿದ್ಧವಾಗಿದೆ, ಈಗ ನೀವು ದುರುದ್ದೇಶಪೂರಿತ ಕ್ರಿಯೆಗಳಿಗೆ ಪ್ರತಿರೋಧಕ್ಕಾಗಿ ಅದನ್ನು ಪರೀಕ್ಷಿಸಬೇಕಾಗಬಹುದು.
ದಾಳಿಗಳನ್ನು ಅನುಕರಿಸುವುದು
ಬಾಹ್ಯ IDS ಸೇವೆಯ ಯುದ್ಧ ಬಳಕೆಗೆ ಹಲವಾರು ಸನ್ನಿವೇಶಗಳು ಇರಬಹುದು:
DDoS ದಾಳಿಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆ (ಪ್ರಾಥಮಿಕ ಉದ್ದೇಶ)
ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಅಂತಹ ಆಯ್ಕೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು ಕಷ್ಟ, ಏಕೆಂದರೆ ವಿಶ್ಲೇಷಣೆಗಾಗಿ ಪ್ಯಾಕೆಟ್ಗಳು ಇಂಟರ್ನೆಟ್ ಅನ್ನು ನೋಡುವ ಸಿಸ್ಟಮ್ ಇಂಟರ್ಫೇಸ್ಗೆ ಹೋಗಬೇಕು. IDS ಅವರನ್ನು ನಿರ್ಬಂಧಿಸಿದರೂ ಸಹ, ನಕಲಿ ಟ್ರಾಫಿಕ್ ಡೇಟಾ ಲಿಂಕ್ ಅನ್ನು ಕೆಳಗೆ ತರಬಹುದು. ಇದನ್ನು ತಪ್ಪಿಸಲು, ನೀವು ಎಲ್ಲಾ ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ ಟ್ರಾಫಿಕ್ ಮತ್ತು ಎಲ್ಲಾ ಬಾಹ್ಯ ಟ್ರಾಫಿಕ್ ಅನ್ನು ರವಾನಿಸಬಹುದಾದ ಸಾಕಷ್ಟು ಉತ್ಪಾದಕ ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕದೊಂದಿಗೆ VPS ಅನ್ನು ಆದೇಶಿಸಬೇಕಾಗುತ್ತದೆ. ಕಚೇರಿ ಚಾನೆಲ್ ಅನ್ನು ವಿಸ್ತರಿಸುವುದಕ್ಕಿಂತ ಹೆಚ್ಚಾಗಿ ಇದನ್ನು ಮಾಡಲು ಸುಲಭ ಮತ್ತು ಅಗ್ಗವಾಗಿದೆ. ಪರ್ಯಾಯವಾಗಿ, DDoS ವಿರುದ್ಧ ರಕ್ಷಣೆಗಾಗಿ ವಿಶೇಷ ಸೇವೆಗಳನ್ನು ನಮೂದಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ. ಅವರ ಸೇವೆಗಳ ವೆಚ್ಚವನ್ನು ವರ್ಚುವಲ್ ಸರ್ವರ್ನ ವೆಚ್ಚಕ್ಕೆ ಹೋಲಿಸಬಹುದು ಮತ್ತು ಇದಕ್ಕೆ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುವ ಕಾನ್ಫಿಗರೇಶನ್ ಅಗತ್ಯವಿಲ್ಲ, ಆದರೆ ಅನಾನುಕೂಲಗಳೂ ಇವೆ - ಕ್ಲೈಂಟ್ ತನ್ನ ಹಣಕ್ಕಾಗಿ DDoS ರಕ್ಷಣೆಯನ್ನು ಮಾತ್ರ ಪಡೆಯುತ್ತಾನೆ, ಆದರೆ ಅವನ ಸ್ವಂತ IDS ಅನ್ನು ನೀವು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು ಹಾಗೆ.
ಇತರ ರೀತಿಯ ಬಾಹ್ಯ ದಾಳಿಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆ
ಇಂಟರ್ನೆಟ್ನಿಂದ (ಮೇಲ್ ಸರ್ವರ್, ವೆಬ್ ಸರ್ವರ್ ಮತ್ತು ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು, ಇತ್ಯಾದಿ) ಪ್ರವೇಶಿಸಬಹುದಾದ ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ ಸೇವೆಗಳಲ್ಲಿನ ವಿವಿಧ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಪ್ರಯತ್ನಗಳನ್ನು ಸುರಿಕಾಟಾ ನಿಭಾಯಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. ಸಾಮಾನ್ಯವಾಗಿ, ಇದಕ್ಕಾಗಿ, ಗಡಿ ಸಾಧನಗಳ ನಂತರ LAN ಒಳಗೆ IDS ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಆದರೆ ಅದನ್ನು ಹೊರಗೆ ತೆಗೆದುಕೊಳ್ಳುವುದು ಅಸ್ತಿತ್ವದ ಹಕ್ಕನ್ನು ಹೊಂದಿದೆ.
ಒಳಗಿನವರಿಂದ ರಕ್ಷಣೆ
ಸಿಸ್ಟಮ್ ಅಡ್ಮಿನಿಸ್ಟ್ರೇಟರ್ನ ಅತ್ಯುತ್ತಮ ಪ್ರಯತ್ನಗಳ ಹೊರತಾಗಿಯೂ, ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿರುವ ಕಂಪ್ಯೂಟರ್ಗಳು ಮಾಲ್ವೇರ್ನಿಂದ ಸೋಂಕಿಗೆ ಒಳಗಾಗಬಹುದು. ಇದರ ಜೊತೆಗೆ, ಸ್ಥಳೀಯ ಪ್ರದೇಶದಲ್ಲಿ ಕೆಲವೊಮ್ಮೆ ಗೂಂಡಾಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತಾರೆ, ಅವರು ಕೆಲವು ಅಕ್ರಮ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ. ಸುರಿಕಾಟಾ ಅಂತಹ ಪ್ರಯತ್ನಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ, ಆದರೂ ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ರಕ್ಷಿಸಲು ಅದನ್ನು ಪರಿಧಿಯೊಳಗೆ ಸ್ಥಾಪಿಸುವುದು ಉತ್ತಮ ಮತ್ತು ಒಂದು ಪೋರ್ಟ್ಗೆ ದಟ್ಟಣೆಯನ್ನು ಪ್ರತಿಬಿಂಬಿಸುವ ನಿರ್ವಹಿಸಿದ ಸ್ವಿಚ್ನೊಂದಿಗೆ ಅದನ್ನು ಬಳಸುವುದು ಉತ್ತಮ. ಈ ಸಂದರ್ಭದಲ್ಲಿ ಬಾಹ್ಯ IDS ಸಹ ನಿಷ್ಪ್ರಯೋಜಕವಲ್ಲ - ಕನಿಷ್ಠ ಇದು ಬಾಹ್ಯ ಸರ್ವರ್ ಅನ್ನು ಸಂಪರ್ಕಿಸಲು LAN ನಲ್ಲಿ ವಾಸಿಸುವ ಮಾಲ್ವೇರ್ ಪ್ರಯತ್ನಗಳನ್ನು ಹಿಡಿಯಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.
ಪ್ರಾರಂಭಿಸಲು, ನಾವು VPS ದಾಳಿ ಮಾಡುವ ಮತ್ತೊಂದು ಪರೀಕ್ಷೆಯನ್ನು ರಚಿಸುತ್ತೇವೆ ಮತ್ತು ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ ರೂಟರ್ನಲ್ಲಿ ನಾವು ಡೀಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನೊಂದಿಗೆ ಅಪಾಚೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತೇವೆ, ಅದರ ನಂತರ ನಾವು 80 ನೇ ಪೋರ್ಟ್ ಅನ್ನು ಐಡಿಎಸ್ ಸರ್ವರ್ನಿಂದ ಫಾರ್ವರ್ಡ್ ಮಾಡುತ್ತೇವೆ. ಮುಂದೆ, ನಾವು ಆಕ್ರಮಣಕಾರಿ ಹೋಸ್ಟ್ನಿಂದ DDoS ದಾಳಿಯನ್ನು ಅನುಕರಿಸುತ್ತೇವೆ. ಇದನ್ನು ಮಾಡಲು, GitHub ನಿಂದ ಡೌನ್ಲೋಡ್ ಮಾಡಿ, ಆಕ್ರಮಣಕಾರಿ ನೋಡ್ನಲ್ಲಿ ಸಣ್ಣ xerxes ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಕಂಪೈಲ್ ಮಾಡಿ ಮತ್ತು ರನ್ ಮಾಡಿ (ನೀವು gcc ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸಬೇಕಾಗಬಹುದು):
ಸುರಿಕಾಟಾ ಖಳನಾಯಕನನ್ನು ಕತ್ತರಿಸುತ್ತಾನೆ ಮತ್ತು ನಮ್ಮ ಪೂರ್ವಸಿದ್ಧತೆಯಿಲ್ಲದ ದಾಳಿ ಮತ್ತು "ಕಚೇರಿ" (ವಾಸ್ತವವಾಗಿ ಮನೆ) ನೆಟ್ವರ್ಕ್ನ ಬದಲಿಗೆ ಡೆಡ್ ಚಾನೆಲ್ನ ಹೊರತಾಗಿಯೂ ಅಪಾಚೆ ಪುಟವು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ತೆರೆಯುತ್ತದೆ. ಹೆಚ್ಚು ಗಂಭೀರವಾದ ಕಾರ್ಯಗಳಿಗಾಗಿ, ನೀವು ಬಳಸಬೇಕು Metasploit ಫ್ರೇಮ್ವರ್ಕ್. ಇದು ನುಗ್ಗುವ ಪರೀಕ್ಷೆಗಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ ಮತ್ತು ವಿವಿಧ ದಾಳಿಗಳನ್ನು ಅನುಕರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಅನುಸ್ಥಾಪನಾ ಸೂಚನೆಗಳು доступна ಯೋಜನೆಯ ವೆಬ್ಸೈಟ್ನಲ್ಲಿ. ಅನುಸ್ಥಾಪನೆಯ ನಂತರ, ನವೀಕರಣದ ಅಗತ್ಯವಿದೆ:
sudo msfupdate
ಪರೀಕ್ಷೆಗಾಗಿ, msfconsole ಅನ್ನು ರನ್ ಮಾಡಿ.
ದುರದೃಷ್ಟವಶಾತ್, ಫ್ರೇಮ್ವರ್ಕ್ನ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಗಳು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಭೇದಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ಶೋಷಣೆಗಳನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ವಿಂಗಡಿಸಬೇಕು ಮತ್ತು ಬಳಕೆಯ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಚಲಾಯಿಸಬೇಕು. ಮೊದಲಿಗೆ, ದಾಳಿಗೊಳಗಾದ ಯಂತ್ರದಲ್ಲಿ ತೆರೆದಿರುವ ಪೋರ್ಟ್ಗಳನ್ನು ನಿರ್ಧರಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ, ಉದಾಹರಣೆಗೆ, nmap ಬಳಸಿ (ನಮ್ಮ ಸಂದರ್ಭದಲ್ಲಿ, ದಾಳಿಗೊಳಗಾದ ಹೋಸ್ಟ್ನಲ್ಲಿ ಅದನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನೆಟ್ಸ್ಟಾಟ್ನಿಂದ ಬದಲಾಯಿಸಲಾಗುತ್ತದೆ), ತದನಂತರ ಸೂಕ್ತವಾದದನ್ನು ಆಯ್ಕೆಮಾಡಿ ಮತ್ತು ಬಳಸಿ ಮೆಟಾಸ್ಪ್ಲೋಯಿಟ್ ಮಾಡ್ಯೂಲ್ಗಳು.
ಆನ್ಲೈನ್ ಸೇವೆಗಳು ಸೇರಿದಂತೆ ದಾಳಿಗಳ ವಿರುದ್ಧ IDS ನ ಸ್ಥಿತಿಸ್ಥಾಪಕತ್ವವನ್ನು ಪರೀಕ್ಷಿಸಲು ಇತರ ವಿಧಾನಗಳಿವೆ. ಕುತೂಹಲಕ್ಕಾಗಿ, ನೀವು ಪ್ರಾಯೋಗಿಕ ಆವೃತ್ತಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಒತ್ತಡ ಪರೀಕ್ಷೆಯನ್ನು ವ್ಯವಸ್ಥೆಗೊಳಿಸಬಹುದು ಐಪಿ ಒತ್ತಡಕ. ಆಂತರಿಕ ಒಳನುಗ್ಗುವವರ ಕ್ರಿಯೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಪರಿಶೀಲಿಸಲು, ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿನ ಯಂತ್ರಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ ವಿಶೇಷ ಸಾಧನಗಳನ್ನು ಸ್ಥಾಪಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ. ಬಹಳಷ್ಟು ಆಯ್ಕೆಗಳಿವೆ ಮತ್ತು ಕಾಲಕಾಲಕ್ಕೆ ಅವುಗಳನ್ನು ಪ್ರಾಯೋಗಿಕ ಸೈಟ್ಗೆ ಮಾತ್ರವಲ್ಲದೆ ಕೆಲಸ ಮಾಡುವ ವ್ಯವಸ್ಥೆಗಳಿಗೂ ಅನ್ವಯಿಸಬೇಕು, ಇದು ಸಂಪೂರ್ಣವಾಗಿ ವಿಭಿನ್ನ ಕಥೆಯಾಗಿದೆ.