Snort 또는 Suricata. 파트 3: 사무실 네트워크 보호

В 이전 기사 Ubuntu 18.04 LTS에서 Suricata의 안정적인 버전을 실행하는 방법을 다루었습니다. 단일 노드에서 IDS를 설정하고 무료 규칙 세트를 활성화하는 것은 매우 간단합니다. 오늘 우리는 가상 서버에 설치된 Suricata를 사용하여 가장 일반적인 유형의 공격을 사용하여 기업 네트워크를 보호하는 방법을 알아낼 것입니다. 이를 위해서는 두 개의 컴퓨팅 코어가 있는 Linux의 VDS가 필요합니다. RAM의 양은 부하에 따라 다릅니다: 누군가에게는 2GB면 충분하고 더 심각한 작업에는 4GB 또는 6GB가 필요할 수 있습니다 가상 머신의 장점은 실험 능력입니다: 최소한의 구성으로 시작하여 늘릴 수 있습니다 필요에 따라 자원.

사진: 로이터

• Snort 또는 Suricata. 1부: 기업 네트워크 보호를 위한 무료 IDS/IPS 선택
• Snort 또는 Suricata. 2부: Suricata 설치 및 초기 설정

네트워크 연결

먼저 테스트를 위해 IDS를 가상 머신으로 제거해야 할 수 있습니다. 이러한 솔루션을 사용해 본 적이 없다면 서둘러 물리적 하드웨어를 주문하고 네트워크 아키텍처를 변경해서는 안됩니다. 시스템을 안전하고 비용 효율적으로 실행하여 컴퓨팅 요구 사항을 결정하는 것이 가장 좋습니다. 모든 회사 트래픽이 단일 외부 노드를 통과해야 한다는 점을 이해하는 것이 중요합니다. 로컬 네트워크(또는 여러 네트워크)를 IDS Suricata가 설치된 VDS에 연결하려면 다음을 사용할 수 있습니다. 소프트에테르 - 강력한 암호화를 제공하는 구성하기 쉬운 교차 플랫폼 VPN 서버입니다. 사무실 인터넷 연결에는 실제 IP가 없을 수 있으므로 VPS에 설정하는 것이 좋습니다. Ubuntu 리포지토리에는 미리 만들어진 패키지가 없으므로 다음에서 소프트웨어를 다운로드해야 합니다. 프로젝트 사이트또는 서비스의 외부 저장소에서 런치 패드 (당신이 그를 신뢰한다면):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

다음 명령을 사용하여 사용 가능한 패키지 목록을 볼 수 있습니다.

apt-cache search softether

softether-vpnserver(테스트 구성의 서버는 VDS에서 실행 중임)와 이를 구성하기 위한 명령줄 유틸리티인 softether-vpncmd가 필요합니다.

sudo apt-get install softether-vpnserver softether-vpncmd

서버를 구성하는 데 특수 명령줄 유틸리티가 사용됩니다.

sudo vpncmd

우리는 설정에 대해 자세히 이야기하지 않을 것입니다. 절차는 매우 간단하고 수많은 출판물에 잘 설명되어 있으며 기사의 주제와 직접 관련이 없습니다. 즉, vpncmd를 시작한 후 항목 1을 선택하여 서버 관리 콘솔로 이동해야 합니다. 이렇게 하려면 허브 이름을 입력하는 대신 localhost라는 이름을 입력하고 Enter 키를 눌러야 합니다. 콘솔에서 serverpasswordset 명령으로 관리자 암호를 설정하고 DEFAULT 가상 허브를 삭제하고(hubdelete 명령) Suricata_VPN이라는 이름으로 새 가상 허브를 생성하고 해당 암호도 설정합니다(hubcreate 명령). 다음으로 허브 Suricata_VPN 명령을 사용하여 새 허브의 관리 콘솔로 이동하여 groupcreate 및 usercreate 명령을 사용하여 그룹 및 사용자를 생성해야 합니다. 사용자 암호는 userpasswordset을 사용하여 설정됩니다.

SoftEther는 SecureNAT 및 Local Bridge의 두 가지 트래픽 전송 모드를 지원합니다. 첫 번째는 자체 NAT 및 DHCP로 가상 사설망을 구축하는 독점 기술입니다. SecureNAT에는 TUN/TAP, Netfilter 또는 기타 방화벽 설정이 필요하지 않습니다. 라우팅은 시스템의 핵심에 영향을 미치지 않으며 모든 프로세스는 가상화되어 사용되는 하이퍼바이저에 관계없이 모든 VPS/VDS에서 작동합니다. 이로 인해 SoftEther 가상 허브를 물리적 네트워크 어댑터 또는 TAP 장치에 연결하는 로컬 브리지 모드에 비해 CPU 부하가 증가하고 속도가 느려집니다.

Netfilter를 사용하여 커널 수준에서 라우팅이 발생하기 때문에 이 경우 구성이 더 복잡해집니다. 우리의 VDS는 Hyper-V에 구축되었으므로 마지막 단계에서 로컬 브리지를 생성하고 bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes 명령을 사용하여 TAP 장치를 활성화합니다. 허브 관리 콘솔을 종료하면 아직 IP가 할당되지 않은 시스템의 새 네트워크 인터페이스가 표시됩니다.

ifconfig

다음으로 비활성화된 경우 인터페이스 간 패킷 라우팅(ip 전달)을 활성화해야 합니다.

sudo nano /etc/sysctl.conf

다음 줄의 주석 처리를 제거하십시오.

net.ipv4.ip_forward = 1

변경 사항을 파일에 저장하고 편집기를 종료한 후 다음 명령을 사용하여 적용합니다.

sudo sysctl -p

다음으로 가상 IP(예: 10.0.10.0/24)를 사용하여 가상 네트워크에 대한 서브넷을 정의하고 인터페이스에 주소를 할당해야 합니다.

sudo ifconfig tap_suricata_vp 10.0.10.1/24

그런 다음 Netfilter 규칙을 작성해야 합니다.

1. 필요한 경우 청취 포트에서 들어오는 패킷을 허용합니다(SoftEther 독점 프로토콜은 HTTPS 및 포트 443 사용).

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. 10.0.10.0/24 서브넷에서 메인 서버 IP로 NAT 설정

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. 서브넷 10.0.10.0/24에서 패킷 전달 허용

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. 이미 설정된 연결에 대한 전달 패킷 허용

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

초기화 스크립트를 사용하여 시스템을 다시 시작할 때 프로세스의 자동화는 독자에게 숙제로 남겨 두겠습니다.

클라이언트에 IP를 자동으로 부여하려면 로컬 브리지용 DHCP 서비스도 설치해야 합니다. 이로써 서버 설정이 완료되고 클라이언트로 이동할 수 있습니다. SoftEther는 많은 프로토콜을 지원하며 그 사용은 LAN 장비의 기능에 따라 다릅니다.

netstat -ap |grep vpnserver

테스트 라우터도 Ubuntu에서 실행되므로 독점 프로토콜을 사용하기 위해 외부 리포지토리에서 softether-vpnclient 및 softether-vpncmd 패키지를 설치해 보겠습니다. 클라이언트를 실행해야 합니다.

sudo vpnclient start

구성하려면 vpncmd 유틸리티를 사용하여 vpnclient가 실행 중인 시스템으로 localhost를 선택합니다. 모든 명령은 콘솔에서 수행됩니다. 가상 인터페이스(NicCreate)와 계정(AccountCreate)을 생성해야 합니다.

경우에 따라 AccountAnonymousSet, AccountPasswordSet, AccountCertSet 및 AccountSecureCertSet 명령을 사용하여 인증 방법을 지정해야 합니다. DHCP를 사용하지 않기 때문에 가상 어댑터의 주소는 수동으로 설정됩니다.

또한 ip forward(/etc/sysctl.conf 파일에서 net.ipv4.ip_forward=1 옵션)를 활성화하고 정적 경로를 구성해야 합니다. 필요한 경우 Suricata가 포함된 VDS에서 로컬 네트워크에 설치된 서비스를 사용하도록 포트 포워딩을 구성할 수 있습니다. 이것으로 네트워크 병합이 완료된 것으로 간주할 수 있습니다.

제안된 구성은 다음과 같습니다.

Suricata 설정

В 이전 기사 우리는 NFQUEUE 큐(NFQ 모드)를 통한 것과 제로 복사(AF_PACKET 모드)를 통한 IDS의 두 가지 작동 모드에 대해 이야기했습니다. 두 번째는 두 개의 인터페이스가 필요하지만 더 빠릅니다. 우리는 그것을 사용할 것입니다. 매개변수는 기본적으로 /etc/default/suricata에서 설정됩니다. 또한 /etc/suricata/suricata.yaml에서 vars 섹션을 편집하여 가상 서브넷을 홈으로 설정해야 합니다.

IDS를 다시 시작하려면 다음 명령을 사용하십시오.

systemctl restart suricata

솔루션이 준비되었습니다. 이제 악의적인 행동에 대한 저항력을 테스트해야 할 수도 있습니다.

공격 시뮬레이션

외부 IDS 서비스의 전투 사용에 대한 몇 가지 시나리오가 있을 수 있습니다.

DDoS 공격으로부터 보호(주 목적)

분석을 위한 패킷이 인터넷을 보는 시스템 인터페이스에 도달해야 하기 때문에 기업 네트워크 내부에서 이러한 옵션을 구현하는 것은 어렵습니다. IDS가 차단하더라도 스퓨리어스 트래픽으로 인해 데이터 링크가 다운될 수 있습니다. 이를 방지하려면 모든 로컬 네트워크 트래픽과 모든 외부 트래픽을 전달할 수 있는 충분히 생산적인 인터넷 연결이 있는 VPS를 주문해야 합니다. 사무실 채널을 확장하는 것보다 이렇게 하는 것이 종종 더 쉽고 저렴합니다. 대안으로 DDoS 방어를 위한 전문 서비스를 언급할 가치가 있습니다. 그들의 서비스 비용은 가상 서버의 비용과 비슷하며 시간이 많이 걸리는 구성이 필요하지 않지만 단점도 있습니다. 클라이언트는 자신의 돈에 대해 DDoS 보호만 받는 반면 자신의 IDS는 귀하로 구성할 수 있습니다. 좋다.

다른 유형의 외부 공격으로부터 보호

Suricata는 인터넷에서 접근할 수 있는 기업 네트워크 서비스(메일 서버, 웹 서버, 웹 애플리케이션 등)의 다양한 취약점을 악용하려는 시도에 대처할 수 있습니다. 보통 이를 위해 IDS는 보더 디바이스 이후 LAN 내부에 설치되지만 외부로 가져가면 존재할 권리가 있다.

내부자로부터 보호

시스템 관리자의 최선의 노력에도 불구하고 회사 네트워크의 컴퓨터는 맬웨어에 감염될 수 있습니다. 또한 불법적 인 작업을 수행하려는 훌리건이 때때로 지역에 나타납니다. Suricata는 이러한 시도를 차단하는 데 도움이 될 수 있지만 내부 네트워크를 보호하려면 경계 내부에 설치하고 트래픽을 하나의 포트로 미러링할 수 있는 관리형 스위치와 함께 사용하는 것이 좋습니다. 이 경우 외부 IDS도 쓸모가 없습니다. 최소한 LAN에 상주하는 맬웨어가 외부 서버에 접속하려는 시도를 포착할 수 있습니다.

먼저 VPS를 공격하는 또 다른 테스트를 만들고 로컬 네트워크 라우터에서 기본 구성으로 Apache를 올린 다음 IDS 서버에서 80번째 포트를 VPS로 전달합니다. 다음으로 공격 호스트의 DDoS 공격을 시뮬레이션합니다. 이렇게 하려면 GitHub에서 다운로드하고 공격 노드에서 작은 xerxes 프로그램을 컴파일 및 실행합니다(gcc 패키지를 설치해야 할 수 있음).

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

그녀의 작업 결과는 다음과 같습니다.

Suricata는 악당을 차단하고 즉석 공격과 "사무실"(실제로는 집) 네트워크의 다소 죽은 채널에도 불구하고 기본적으로 Apache 페이지가 열립니다. 보다 심각한 작업의 경우 다음을 사용해야 합니다. 메타 스 플리트 프레임 워크. 침투 테스트를 위해 설계되었으며 다양한 공격을 시뮬레이션할 수 있습니다. 설치 지침 사용할 수있는 프로젝트 웹 사이트에서. 설치 후 업데이트가 필요합니다.

sudo msfupdate

테스트를 위해 msfconsole을 실행합니다.

안타깝게도 프레임워크의 최신 버전에는 자동 크랙 기능이 없기 때문에 익스플로잇을 수동으로 정렬하고 use 명령을 사용하여 실행해야 합니다. 우선, 예를 들어 nmap을 사용하여 공격된 시스템에서 열려 있는 포트를 결정한 다음(이 경우 공격을 받은 호스트에서 netstat로 완전히 대체됨) 적절한 포트를 선택하여 사용하는 것이 좋습니다. 메타스플로잇 모듈. 

온라인 서비스를 포함하여 공격에 대한 IDS의 복원력을 테스트하는 다른 방법이 있습니다. 호기심을 위해 평가판을 사용하여 스트레스 테스트를 할 수 있습니다. IP 스트레서. 내부 침입자의 행동에 대한 반응을 확인하려면 로컬 네트워크의 컴퓨터 중 하나에 특수 도구를 설치하는 것이 좋습니다. 많은 옵션이 있으며 때때로 실험 사이트뿐만 아니라 작업 시스템에도 적용해야하지만 이것은 완전히 다른 이야기입니다.

출처 : habr.com