В me li ser Ubuntu 18.04 LTS-ê guhertoya stabîl a Suricata çawa dimeşîne. Sazkirina IDS-ê li ser yek girêk û çalakkirina komên qaîdeyên belaş pir hêsan e. Îro em ê fêr bibin ka meriv çawa torgilokek pargîdanî bi karanîna celebên herî gelemperî yên êrîşan bi karanîna Suricata-ya ku li ser serverek virtual hatî saz kirin biparêze biparêze. Ji bo kirina vê yekê, em hewceyê VDS-ê li Linux-ê bi du navgînên hesabkirinê re hene. Hejmara RAM-ê bi barkirinê ve girêdayî ye: 2 GB ji bo kesek bes e, û dibe ku 4 an jî 6 ji bo karên girantir hewce bike. Feydeya makîneya virtual jêhatîbûna ceribandinê ye: hûn dikarin bi mîhengek hindik dest pê bikin û zêde bikin. çavkaniyên wek pêwîst.
wêne: Reuters
Girêdana torên
Rakirina IDS-ê ji makîneyek virtual di rêza yekem de dibe ku ji bo ceribandinan hewce be. Ger we çu carî bi çareseriyên weha re mijûl nebûye, divê hûn lez nekin ku hûn amûra laşî ferman bikin û mîmariya torê biguhezînin. Baştir e ku hûn pergalê bi ewlehî û lêçûn bimeşînin da ku hûn hewcedariyên xwe yên hesabkirinê diyar bikin. Girîng e ku meriv fêm bike ku hemî seyrûsefera pargîdanî dê bi yek girêkek derveyî ve were derbas kirin: ji bo girêdana torgilokek herêmî (an çend toran) bi VDS-ya ku bi IDS Suricata hatî saz kirin, hûn dikarin bikar bînin. - Pêşkêşkarek VPN-ya ku bi hêsanî vesazkirî, cross-platform ku şîfrekirina bihêz peyda dike. Dibe ku girêdanek Înternetê ya nivîsgehê ne xwediyê IP-ya rastîn be, ji ber vê yekê çêtir e ku hûn wê li ser VPS-ê saz bikin. Di depoya Ubuntu de pakêtên hazir tune ne, hûn ê nermalavê jî ji wan dakêşin , an ji depoyek derveyî li ser karûbarê (eger hûn jê bawer bin):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateHûn dikarin navnîşa pakêtên berdest bi fermana jêrîn bibînin:
apt-cache search softether
Em ê hewceyê softther-vpnserver (pêşkêşkera di veavakirina testê de li ser VDS-ê tê xebitandin), û her weha softther-vpncmd - ji bo mîhengkirina wê karûbarên rêzika fermanê hewce ne.
sudo apt-get install softether-vpnserver softether-vpncmdJi bo mîhengkirina serverê amûrek rêzika fermanê ya taybetî tê bikar anîn:
sudo vpncmd
Em ê bi hûrgulî li ser mîhengê neaxivin: prosedur pir hêsan e, ew di gelek weşanan de baş tête diyar kirin û rasterast bi mijara gotarê re têkildar nabe. Bi kurtasî, piştî destpêkirina vpncmd, hûn hewce ne ku babet 1 hilbijêrin da ku biçin konsolê rêveberiya serverê. Ji bo kirina vê yekê, hûn hewce ne ku navê localhost-ê têkevin û li şûna ku navê navendê têkevin, Enter bikirtînin. Şîfreya rêveberê di konsolê de bi fermana serverpasswordset tê danîn, navenda virtual DEFAULT tê jêbirin (fermana hubdelete) û şîfreyek nû bi navê Suricata_VPN tê çêkirin, û şîfreya wê jî tê danîn (fermana hubcreate). Dûv re, hûn hewce ne ku bi karanîna hub Suricata_VPN emrê hub Suricata_VPN-ê biçin konsolê rêveberiyê ya huba nû da ku bi karanîna fermanên groupcreate û usercreate komek û bikarhênerek biafirînin. Şîfreya bikarhêner bi karanîna userpasswordset tê danîn.
SoftEther du awayên veguheztina trafîkê piştgirî dike: SecureNAT û Pira Herêmî. Ya yekem teknolojiyek xwedan e ji bo avakirina torgilokek taybet a virtual bi NAT û DHCP-ya xwe. SecureNAT hewcedariya TUN/TAP an Netfilter an mîhengên din ên dîwarê agir nake. Routing bandorê li ser bingeha pergalê nake, û hemî pêvajo virtual têne kirin û li ser her VPS / VDS-ê dixebitin, bêyî ku hîpervisorê hatî bikar anîn. Ev dibe sedema zêdebûna barkirina CPU û leza hêdîtir li gorî moda Pira Herêmî, ya ku navenda virtual SoftEther bi adapterek torê ya laşî an amûrek TAP ve girêdide.
Veavakirin di vê rewşê de tevlihevtir dibe, ji ber ku rêkirin di asta kernelê de bi karanîna Netfilter pêk tê. VDS-a me li ser Hyper-V-yê hatî çêkirin, ji ber vê yekê di gava paşîn de em pirek herêmî diafirînin û amûra TAP-ê bi bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes-ferman çalak dikin. Piştî ku em ji konsoleya rêveberiya hub derkevin, em ê di pergalê de navgînek torê ya nû ya ku hîn IP-yek jê nehatiye veqetandin bibînin:
ifconfig
Dûv re, heke ew neçalak be, hûn neçar in ku rêça pakêtê di navbera navbeynkaran de çalak bikin (ip pêş):
sudo nano /etc/sysctl.confRêza jêrîn şîrove nekin:
net.ipv4.ip_forward = 1Guhertinên pelê hilînin, ji edîtorê derkevin û wan bi fermana jêrîn bicîh bînin:
sudo sysctl -pDûv re, pêdivî ye ku em ji bo tora virtual bi IP-yên xeyalî (mînakek, 10.0.10.0/24) subnetek diyar bikin û navnîşanek ji navbeynê re veqetînin:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Dûv re hûn hewce ne ku qaîdeyên Netfilter binivîsin.
1. Ger hewce be, destûr bidin pakêtên hatinî li ser portên guhdarîkirinê (protokola xwedaniya SoftEther HTTPS û porta 443 bikar tîne)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. NAT-ê ji binneta 10.0.10.0/24-ê heya IP-ya servera sereke saz bikin
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Destûrê bide derbasbûna pakêtên ji binnetê 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Destûra derbaskirina pakêtan ji bo girêdanên jixwe hatine damezrandin
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTDema ku pergal ji nû ve bi karanîna skrîptên destpêkê ve were destpêkirin, em ê otomatîkkirina pêvajoyê ji xwendevanan re wekî karê malê bihêlin.
Heke hûn dixwazin IP-ê bixweber bidin xerîdaran, hûn ê hewce bikin ku ji bo pira herêmî jî cûreyek karûbarê DHCP saz bikin. Ev sazkirina serverê temam dike û hûn dikarin biçin ser xerîdaran. SoftEther gelek protokolan piştgirî dike, karanîna wan bi kapasîteyên alavên LAN ve girêdayî ye.
netstat -ap |grep vpnserver
Ji ber ku routerê meya ceribandinê jî di bin Ubuntu de dimeşe, bila em pakêtên softther-vpnclient û softther-vpncmd ji depoyek derveyî li ser wê saz bikin da ku protokola xwedan bikar bînin. Hûn hewce ne ku xerîdar bimeşînin:
sudo vpnclient startJi bo veavakirinê, kargêriya vpncmd bikar bînin, localhost wekî makîneya ku vpnclient lê dimeşîne hilbijêrin. Hemî ferman di konsolê de têne çêkirin: hûn ê hewce bikin ku pêwendiyek virtual (NicCreate) û hesabek (AccountCreate) biafirînin.
Di hin rewşan de, divê hûn bi karanîna fermanên AccountAnonymousSet, AccountPasswordSet, AccountCertSet, û AccountSecureCertSet rêbaza erêkirinê diyar bikin. Ji ber ku em DHCP bikar neynin, navnîşana adapterê virtual bi destan tê danîn.
Wekî din, pêdivî ye ku em ip-ya pêşverû (parametra net.ipv4.ip_forward=1 di pelê /etc/sysctl.conf de) çalak bikin û rêyên statîk mîheng bikin. Ger hewce be, li ser VDS bi Suricata re, hûn dikarin şandina portê mîheng bikin da ku karûbarên ku li ser tora herêmî hatine saz kirin bikar bînin. Li ser vê yekê, yekbûna torê dikare bêkêmasî were hesibandin.
Veavakirina me ya pêşniyarkirî dê tiştek weha xuya bike:
Sazkirina Suricata
В me li ser du awayên xebitandina IDS-ê peyivî: bi riya rêza NFQUEUE (moda NFQ) û bi kopiya sifir (moda AF_PACKET). Ya duyemîn du navber hewce dike, lê zûtir e - em ê wê bikar bînin. Parametre ji hêla xwerû ve di /etc/default/suricata de tête danîn. Di heman demê de pêdivî ye ku em beşa vars di /etc/suricata/suricata.yaml de biguherînin, li wir subneta virtual wekî malê bicîh bikin.
Ji bo nûvekirina IDS-ê, emrê bikar bînin:
systemctl restart suricataÇareserî amade ye, naha dibe ku hûn hewce ne ku wê ji bo berxwedana li hember kiryarên xirab biceribînin.
Simulasyona êrîşan
Ji bo karanîna şerker a karûbarek IDS ya derveyî dikare çend senaryo hebin:
Parastina li dijî êrîşên DDoS (armanca bingehîn)
Zehmet e ku meriv vebijarkek wusa di hundurê tora pargîdanî de bicîh bike, ji ber ku pakêtên ji bo analîzê divê bigihîjin navbeynkariya pergalê ku li Înternetê dinêre. Her çend IDS wan asteng bike, seyrûsefera xapînok dikare girêdana daneyê hilweşîne. Ji bo ku hûn ji vê yekê dûr nekevin, hûn hewce ne ku VPS bi pêwendiyek Înternetê ya têra xwe hilberdar ferman bidin ku dikare hemî seyrûsefera torê ya herêmî û hemî seyrûsefera derveyî derbas bike. Bi gelemperî kirina vê yekê ji berfirehkirina kanala nivîsgehê hêsantir û erzantir e. Wekî alternatîf, hêjayî gotinê ye ku karûbarên pispor ên ji bo parastina li dijî DDoS. Mesrefa karûbarên wan bi lêçûna serverek virtual re tê berhev kirin, û ew ne hewceyî veavakirina demdirêj e, lê dezawantaj jî hene - xerîdar ji bo dravê xwe tenê parastina DDoS distîne, dema ku IDS-ya wî dikare wekî we were mîheng kirin. çawa.
Parastina li dijî êrîşên derve yên celebên din
Suricata dikare bi hewildanên îstismarkirina qelsiyên cihêreng ên di karûbarên torê yên pargîdanî yên ku ji Înternetê ve têne gihîştin (pêşkêşkara postê, servera webê û serîlêdanên malperê, hwd.) re mijûl bibe. Bi gelemperî, ji bo vê yekê, IDS piştî cîhazên sînor di hundurê LAN-ê de tê saz kirin, lê derxistina wê li derve mafê hebûna xwe heye.
Parastina ji hundir
Tevî hewildanên çêtirîn ên rêvebirê pergalê, komputerên li ser tora pargîdanî dikarin bi malware ve werin vegirtin. Digel vê yekê, carcaran li qada herêmî jî holîgan derdikevin, ku hewl didin hin operasyonên neqanûnî pêk bînin. Suricata dikare arîkariya astengkirina hewildanên weha bike, her çend ji bo parastina tora hundurîn çêtir e ku meriv wê di hundurê perimeterê de saz bike û wê bi guhezek rêvekirî re ku dikare seyrûsefera yek portê neynik bike bikar bîne. Di vê rewşê de IDS-ya derveyî jî ne bêkêr e - bi kêmanî ew ê bikaribe hewildanên malware ku li ser LAN-ê dijîn bigire ku bi serverek derveyî re têkilî daynin.
Destpêkê, em ê ceribandinek din a ku êrîşî VPS-ê dike biafirînin, û li ser routerê tora herêmî em ê Apache bi veavakirina xwerû rakin, pişt re em ê porta 80-an ji servera IDS-ê re bişînin. Dûv re, em ê êrîşek DDoS ji mêvandarek êrîşkar simul bikin. Ji bo vê yekê, ji GitHub dakêşin, bernameyek xerxes a piçûk li ser girêka êrîşkar berhev bikin û bimeşînin (dibe ku hûn hewce ne ku pakêta gcc saz bikin):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Encama xebata wê wiha bû:
Suricata xerabkar qut dike, û rûpela Apache ji hêla xwerû ve vedibe, tevî êrîşa meya neçapkirî û kanala pir mirî ya tora "ofîs" (bi rastî mal). Ji bo karên girantir, divê hûn bikar bînin . Ew ji bo ceribandina penetasyonê hatî çêkirin û dihêle hûn cûrbecûr êrîşan simul bikin. talîmatên sazkirinê li ser malpera projeyê. Piştî sazkirinê, nûvekirinek pêdivî ye:
sudo msfupdateJi bo ceribandinê, msfconsole bimeşînin.
Mixabin, guhertoyên herî paşîn ên çarçoweyê nebûna kapasîteya ku bixweber bişkînin, ji ber vê yekê pêdivî ye ku îstîsmar bi destan werin rêz kirin û bi karanîna fermana bikar bînin. Di destpêkê de, hêja ye ku portên vekirî yên li ser makîneya êrîşê were destnîşankirin, mînakî, bi karanîna nmap-ê (di rewşa me de, ew ê bi tevahî ji hêla netstat-ê ve li ser mêvandarê êrişkirî were guheztin), û dûv re bijareya guncan hilbijêrin û bikar bînin. .
Wateyên din hene ku ceribandina berxwedana IDS-ê li hember êrîşan, tevî karûbarên serhêl, hene. Ji bo meraqê, hûn dikarin bi karanîna guhertoya ceribandinê ceribandina stresê saz bikin . Ji bo kontrolkirina berteka li ser kiryarên dagirkerên hundurîn, hêja ye ku amûrên taybetî li ser yek ji makîneyên li ser tora herêmî saz bikin. Gelek vebijark hene û dem bi dem divê ew ne tenê li malpera ceribandinê, lê di heman demê de li pergalên xebatê jî werin sepandin, tenê ev çîrokek bi tevahî cûda ye.
Source: www.habr.com