Снорт же Суриката. 3-бөлүк: Office тармагын коргоо

В мурунку макала биз Ubuntu 18.04 LTSде Suricata туруктуу версиясын кантип иштетүүнү карадык. Бир түйүнгө IDS орнотуу жана эркин эрежелер топтомун иштетүү абдан жөнөкөй. Бүгүн биз виртуалдык серверде орнотулган Suricata аркылуу чабуулдардын кеңири таралган түрлөрүн колдонуу менен корпоративдик тармакты кантип коргоону чечебиз. Бул үчүн бизге эки эсептөөчү өзөгү бар Linux боюнча VDS керек. ОЗУнун көлөмү жүктөмгө жараша болот: кимдир бирөө үчүн 2 ГБ жетиштүү, ал эми олуттуураак иштер үчүн 4 же алтургай 6 талап кылынышы мүмкүн.Виртуалдык машинанын артыкчылыгы - эксперимент жүргүзүү мүмкүнчүлүгү: минималдуу конфигурациядан баштап, көбөйтүүгө болот. зарыл болгон ресурстар.

сүрөт: Reuters

• Снорт же Суриката. 1-бөлүк: Корпоративдик тармагын коргоо үчүн акысыз IDS/IPS тандоо
• Снорт же Суриката. 2-бөлүк: Орнотуу жана Suricata баштапкы орнотуу

Тармактарды туташтыруу

IDSти виртуалдык машинага алып салуу тесттер үчүн керек болушу мүмкүн. Эгерде сиз эч качан мындай чечимдер менен алектенбесеңиз, анда физикалык жабдыктарды заказ кылууга жана тармактын архитектурасын өзгөртүүгө шашылбаңыз. Эсептөө муктаждыктарыңызды аныктоо үчүн системаны коопсуз жана үнөмдүү иштеткениңиз жакшы. Бардык корпоративдик трафик бир тышкы түйүн аркылуу өтүшү керек экенин түшүнүү маанилүү: жергиликтүү тармакты (же бир нече тармактарды) IDS Suricata орнотулган VDSке туташтыруу үчүн, сиз колдоно аласыз. SoftEther - Күчтүү шифрлөө менен камсыз кылуучу оңой конфигурацияланган, кайчылаш платформа VPN сервери. Кеңседеги Интернет байланышында чыныгы IP болбошу мүмкүн, андыктан аны VPSге орнотконуңуз жакшы. Ubuntu репозиторийинде эч кандай даяр пакеттер жок, сиз программалык камсыздоону жүктөп алышыңыз керек болот долбоордун сайты, же кызматтын тышкы репозиторийинен Launchpad (эгер ага ишенсеңиз):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

Сиз төмөнкү буйрук менен жеткиликтүү пакеттердин тизмесин көрө аласыз:

apt-cache search softether

Бизге softether-vpnserver (сыноо конфигурациясындагы сервер VDSте иштеп жатат), ошондой эле softether-vpncmd - аны конфигурациялоо үчүн буйрук сабынын утилиталары керек болот.

sudo apt-get install softether-vpnserver softether-vpncmd

Серверди конфигурациялоо үчүн атайын буйрук сабынын утилитасы колдонулат:

sudo vpncmd

Биз жөндөө жөнүндө майда-чүйдөсүнө чейин сүйлөшпөйбүз: жол-жобосу абдан жөнөкөй, ал көптөгөн басылмаларда жакшы сүрөттөлгөн жана макаланын темасына түздөн-түз тиешеси жок. Кыскача айтканда, vpncmd баштагандан кийин, серверди башкаруу консолуна өтүү үчүн 1-пунктту тандоо керек. Бул үчүн, сиз localhost атын киргизип, хабдын атын киргизүүнүн ордуна enter баскычын басышыңыз керек. Администратордун сырсөзү консолдо serverpasswordset буйругу менен коюлат, DEFAULT виртуалдык хаб жок кылынат (hubdelete буйругу) жана Suricata_VPN аты менен жаңысы түзүлөт жана анын сырсөзү да коюлган (hubcreate буйругу). Андан кийин, groupcreate жана usercreate буйруктары аркылуу топту жана колдонуучуну түзүү үчүн Hub Suricata_VPN буйругун колдонуп, жаңы хабдын башкаруу консолуна барышыңыз керек. Колдонуучунун сырсөзү userpasswordset аркылуу коюлат.

SoftEther эки трафик өткөрүү режимин колдойт: SecureNAT жана Local Bridge. Биринчиси, өзүнүн NAT жана DHCP менен виртуалдык жеке тармакты куруу үчүн проприетардык технология. SecureNAT TUN/TAP же Netfilter же башка брандмауэр орнотууларын талап кылбайт. Маршрутизация системанын өзөгүнө таасирин тийгизбейт жана бардык процесстер виртуалдаштырылган жана колдонулган гипервизорго карабастан, каалаган VPS/VDSте иштейт. Бул SoftEther виртуалдык хабын физикалык тармак адаптерине же TAP түзмөгүнө туташтырган Local Bridge режимине салыштырмалуу CPU жүгүн көбөйтөт жана ылдамдыкты азайтат.

Бул учурда конфигурация татаалдашат, анткени маршрутизация Netfilter аркылуу ядро ​​деңгээлинде ишке ашат. Биздин VDS Hyper-Vде курулган, ошондуктан акыркы кадамда биз жергиликтүү көпүрө түзүп, bridgecreate Suricate_VPN -device:suricate_vpn -tap: yes буйругу менен TAP түзмөгүн иштетебиз. Хаб башкаруу консолунан чыккандан кийин, системада IP ыйгарыла элек жаңы тармак интерфейсин көрөбүз:

ifconfig

Андан кийин, эгер ал жигердүү эмес болсо, интерфейстер арасында пакеттик маршрутту иштетишиңиз керек болот (IP алдыга):

sudo nano /etc/sysctl.conf

Төмөнкү сапты алып салыңыз:

net.ipv4.ip_forward = 1

Файлга өзгөртүүлөрдү сактап, редактордон чыгып, аларды төмөнкү буйрук менен колдонуңуз:

sudo sysctl -p

Андан кийин, биз жасалма IP менен (мисалы, 10.0.10.0/24) виртуалдык тармак үчүн субсетаны аныктап, интерфейске даректи дайындашыбыз керек:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

Андан кийин Netfilter эрежелерин жазуу керек.

1. Зарыл болсо, угуу портторунда кирүүчү пакеттерге уруксат бериңиз (SoftEther проприетардык протоколу HTTPS жана 443 портун колдонот)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT'ты 10.0.10.0/24 субсетинен башкы сервердин IP дарегине орнотуңуз

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. 10.0.10.0/24 субнеттен пакеттерди өткөрүүгө уруксат бериңиз

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. Түзүлгөн байланыштар үчүн пакеттерди өткөрүүгө уруксат бериңиз

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Окурмандарга үй тапшырмасы катары инициализация скрипттерин колдонуу менен система кайра иштетилгенде процессти автоматташтырууну калтырабыз.

Эгерде сиз IP даректерин кардарларга автоматтык түрдө бергиңиз келсе, жергиликтүү көпүрө үчүн кандайдыр бир DHCP кызматын орнотушуңуз керек болот. Бул серверди орнотууну аяктайт жана сиз кардарларга бара аласыз. SoftEther көптөгөн протоколдорду колдойт, алардын колдонулушу LAN жабдууларынын мүмкүнчүлүктөрүнө жараша болот.

netstat -ap |grep vpnserver

Биздин сыноо роутерибиз Ubuntu астында да иштегендиктен, проприетардык протоколду колдонуу үчүн ага тышкы репозиторийден softether-vpnclient жана softether-vpncmd пакеттерин орнотобуз. Сиз кардарды иштетүү керек:

sudo vpnclient start

Конфигурациялоо үчүн, vpnclient иштеп жаткан машина катары localhost тандап, vpncmd утилитасын колдонуңуз. Бардык буйруктар консолдо жасалган: сиз виртуалдык интерфейсти (NicCreate) жана каттоо эсебин (AccountCreate) түзүшүңүз керек.

Кээ бир учурларда, AccountAnonymousSet, AccountPasswordSet, AccountCertSet жана AccountSecureCertSet буйруктары аркылуу аутентификация ыкмасын көрсөтүшүңүз керек. Биз DHCP колдонбогондуктан, виртуалдык адаптердин дареги кол менен орнотулган.

Мындан тышкары, биз ip forward (/etc/sysctl.conf файлындагы net.ipv4.ip_forward=1 параметр) иштетип, статикалык маршруттарды конфигурациялашыбыз керек. Зарыл болсо, VDS менен Suricata, сиз портту багыттоону конфигурациялоону локалдык тармакта орнотулган кызматтарды колдонууга болот. Бул боюнча, тармакты бириктирүү аяктады деп эсептесе болот.

Сунушталган конфигурациябыз төмөнкүдөй болот:

Suricata орнотуу

В мурунку макала биз IDSтин эки иштөө режими жөнүндө сүйлөштүк: NFQUEUE кезеги аркылуу (NFQ режими) жана нөл көчүрмөсү аркылуу (AF_PACKET режими). Экинчиси эки интерфейсти талап кылат, бирок тезирээк - биз аны колдонобуз. Параметр демейки боюнча /etc/default/suricata ичинде орнотулган. Биз ошондой эле /etc/suricata/suricata.yaml дарегиндеги vars бөлүмүн түзөтүшүбүз керек, ал жерде виртуалдык ички тармакты үй катары орнотушубуз керек.

IDSти кайра иштетүү үчүн, буйрукту колдонуңуз:

systemctl restart suricata

Чечим даяр, эми аны зыяндуу аракеттерге каршы туруу үчүн сынап көрүшүңүз керек болушу мүмкүн.

Кол салууларды симуляциялоо

Тышкы IDS кызматын согуштук колдонуунун бир нече сценарийлери болушу мүмкүн:

DDoS чабуулдарынан коргоо (негизги максат)

Корпоративдик тармактын ичинде мындай опцияны ишке ашыруу кыйын, анткени талдоо үчүн пакеттер Интернетти караган системанын интерфейсине кириши керек. IDS аларды бөгөттөсө да, жасалма трафик маалымат шилтемесин түшүрүшү мүмкүн. Мунун алдын алуу үчүн, бардык жергиликтүү тармак трафигин жана бардык тышкы трафикти өткөрө ала турган жетиштүү жемиштүү интернет байланышы бар VPSке заказ беришиңиз керек. Кеңсе каналын кеңейтүүгө караганда муну жасоо көбүнчө оңой жана арзаныраак. Альтернатива катары, DDoSдан коргоо боюнча адистештирилген кызматтарды белгилей кетүү керек. Алардын кызматтарынын баасы виртуалдык сервердин баасы менен салыштырууга болот жана ал көп убакытты талап кылган конфигурацияны талап кылбайт, бирок кемчиликтери да бар - кардар өз акчасы үчүн DDoS коргоосун гана алат, ал эми өзүнүн IDSти сиз сыяктуу конфигурациялоого болот. сыяктуу.

Башка түрдөгү тышкы чабуулдардан коргоо

Suricata Интернеттен (почта сервери, веб-сервер жана веб-тиркемелер ж. Адатта, бул үчүн IDS чек ара түзүлүштөрүнөн кийин LAN ичинде орнотулат, бирок аны сыртка алып чыгуу бар болууга укуктуу.

Инсайдерлерден коргоо

Системалык администратордун аракетине карабастан, корпоративдик тармактагы компьютерлер зыяндуу программаларды жуктуруп алышы мүмкүн. Мындан тышкары, кээде жер-жерлерде хулигандар пайда болуп, алар кандайдыр бир мыйзамсыз операцияларды жасоого аракет кылышат. Suricata мындай аракеттерге бөгөт коюуга жардам берет, бирок ички тармакты коргоо үчүн аны периметрдин ичине орнотуп, аны бир портко трафикти чагылдыра турган башкарылуучу коммутатор менен тандемде колдонуу жакшы. Бул учурда тышкы IDS да пайдасыз эмес - жок дегенде, ал LANда жашаган зыяндуу программалардын тышкы сервер менен байланышуу аракеттерин кармай алат.

Баштоо үчүн, биз VPSке чабуул жасоочу дагы бир тестти түзөбүз жана локалдык тармак роутеринде биз Apacheди демейки конфигурация менен көтөрөбүз, андан кийин ага IDS серверинен 80-портту жөнөтөбүз. Андан кийин, биз чабуулчу хосттун DDoS чабуулун окшоштурабыз. Бул үчүн, GitHub'дан жүктөп алыңыз, чабуулчу түйүндө кичинекей xerxes программасын түзүңүз жана иштетиңиз (сизге gcc пакетин орнотуу керек болушу мүмкүн):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

Анын ишинин натыйжасы төмөнкүдөй болду:

Суиката кара ниетти кесип салат жана Apache барагы демейки боюнча ачылат, биздин экспромт чабуулубузга жана "офис" (чындыгында үй) тармагынын өлүк каналына карабастан. олуттуу милдеттерди аткаруу үчүн, колдонуу керек Metasploit Framework. Ал кирүүгө тестирлөө үчүн иштелип чыккан жана ар кандай чабуулдарды имитациялоого мүмкүндүк берет. Орнотуу көрсөтмөлөрү жеткиликтүү долбоордун сайтында. Орнотуудан кийин жаңыртуу талап кылынат:

sudo msfupdate

Сыноо үчүн msfconsole иштетиңиз.

Тилекке каршы, фреймворктун акыркы версияларында автоматтык түрдө бузулуу мүмкүнчүлүгү жок, андыктан эксплоиттер кол менен иргелип, use буйругу менен иштетилиши керек. Баштоо үчүн, чабуул жасалган машинада ачылган портторду аныктоо керек, мисалы, nmap колдонуу (биздин учурда, ал толугу менен чабуулга алынган хостто netstat менен алмаштырылат), андан кийин тиешелүүнү тандап, колдонуңуз. Metasploit модулдары. 

IDSтин кол салууларга туруктуулугун текшерүү үчүн башка каражаттар, анын ичинде онлайн кызматтары бар. Кызыгуу үчүн, сиз сыноо версиясын колдонуп стресс-тестирлөө уюштура аласыз IP стресс. Ички бузуучулардын аракеттерине реакцияны текшерүү үчүн локалдык тармактагы машиналардын бирине атайын шаймандарды орнотуу керек. Көп варианттар бар жана мезгил-мезгили менен алар эксперименталдык сайтка гана эмес, жумушчу системаларга да колдонулушу керек, бул такыр башка окуя.

Source: www.habr.com