В Mir hunn iwwerdeckt wéi Dir déi stabil Versioun vu Suricata op Ubuntu 18.04 LTS leeft. En IDS op engem eenzegen Node opzestellen an gratis Regelsets z'aktivéieren ass zimmlech einfach. Haut wäerte mir erausfannen wéi een e Firmennetz schützt mat de meescht üblechen Aarte vun Attacken mat Suricata installéiert op engem virtuelle Server. Fir dëst ze maachen, brauche mir e VDS op Linux mat zwee Rechenkären. D'Quantitéit vum RAM hänkt vun der Belaaschtung of: 2 GB ass genuch fir een, a 4 oder souguer 6 kënne fir méi sérieux Aufgaben erfuerderlech sinn.De Virdeel vun enger virtueller Maschinn ass d'Fäegkeet ze experimentéieren: Dir kënnt mat enger minimaler Konfiguratioun ufänken an erhéijen Ressourcen wéi néideg.
Foto: Reuters
Verbannen Netzwierker
Ewechzehuelen IDS op eng virtuell Maschinn an der éischter Plaz kann fir Tester néideg ginn. Wann Dir nach ni mat esou Léisunge beschäftegt hutt, sollt Dir net presséiert fir kierperlech Hardware ze bestellen an d'Netzarchitektur z'änneren. Et ass am beschten de System sécher a kosteneffizient ze lafen fir Är Rechenbedierfnesser ze bestëmmen. Et ass wichteg ze verstoen datt all Firmenverkéier duerch en eenzegen externen Node passéiert musse ginn: fir e lokalen Netzwierk (oder e puer Netzwierker) mat engem VDS mat IDS Suricata installéiert ze verbannen, kënnt Dir benotzen - En einfach ze konfiguréieren, cross-platform VPN Server dee staark Verschlësselung ubitt. Eng Büro Internetverbindung huet vläicht keng richteg IP, also ass et besser et op engem VPS opzestellen. Et gi keng fäerdeg Packagen am Ubuntu Repository, Dir musst d'Software entweder eroflueden , oder vun engem externe Repository um Service (wann Dir him vertraut):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateDir kënnt d'Lëscht vun verfügbare Packagen mat dem folgenden Kommando kucken:
apt-cache search softether
Mir brauche softether-vpnserver (de Server an der Testkonfiguratioun leeft op VDS), souwéi softether-vpncmd - Kommandozeil Utilities fir et ze konfiguréieren.
sudo apt-get install softether-vpnserver softether-vpncmdE spezielle Kommandozeil Utility gëtt benotzt fir de Server ze konfiguréieren:
sudo vpncmd
Mir wäerten net am Detail iwwer d'Astellung schwätzen: d'Prozedur ass ganz einfach, et ass gutt a ville Publikatiounen beschriwwen an ass net direkt mat dem Thema vum Artikel. Kuerz gesot, nodeems Dir vpncmd gestart hutt, musst Dir Element 1 auswielen fir op d'Servermanagementkonsole ze goen. Fir dëst ze maachen, musst Dir den Numm localhost aginn an dréckt Enter anstatt den Numm vum Hub anzeginn. D'Administrator Passwuert gëtt an der Konsole mat dem Serverpasswordset Kommando gesat, den DEFAULT virtuellen Hub gëtt geläscht (hubdelete Kommando) an en neit gëtt mam Numm Suricata_VPN erstallt, a säi Passwuert ass och agestallt (hubcreate Kommando). Als nächst musst Dir op d'Gestiounskonsole vum neien Hub goen andeems Dir den Hub Suricata_VPN Kommando benotzt fir e Grupp a Benotzer ze kreéieren mat de Kommandoen Groupcreate a Usercreate. D'Benotzerpasswuert gëtt mat Userpasswordset agestallt.
SoftEther ënnerstëtzt zwee Traffic Transfermodi: SecureNAT a Local Bridge. Déi éischt ass eng propriétaire Technologie fir e virtuellt privaten Netzwierk mat eegenen NAT an DHCP ze bauen. SecureNAT erfuerdert keng TUN/TAP oder Netfilter oder aner Firewall-Astellungen. Routing beaflosst net de Kär vum System, an all Prozesser gi virtualiséiert a funktionnéieren op all VPS / VDS, onofhängeg vum benotzten Hypervisor. Dëst resultéiert zu enger verstäerkter CPU Belaaschtung a méi lues Geschwindegkeet am Verglach zum Local Bridge Modus, deen de SoftEther virtuelle Hub mat engem kierperlechen Netzwierkadapter oder TAP Apparat verbënnt.
D'Konfiguratioun an dësem Fall gëtt méi komplizéiert, well Routing geschitt um Kernelniveau mat Netfilter. Eis VDS sinn op Hyper-V gebaut, also am leschte Schrëtt erstellen mir eng lokal Bréck an aktivéieren den TAP-Apparat mam Bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes Kommando. Nodeems mir d'Hub Management Konsole verlooss hunn, gesi mir eng nei Netzwierkinterface am System deen nach net eng IP zougewisen huet:
ifconfig
Als nächst musst Dir Paketrouting tëscht Interfaces aktivéieren (ip Forward), wann et inaktiv ass:
sudo nano /etc/sysctl.confKommentéieren déi folgend Linn:
net.ipv4.ip_forward = 1Späichert d'Ännerungen an d'Datei, fuert den Editor aus a benotzt se mat dem folgenden Kommando:
sudo sysctl -pAls nächst musse mir e Subnet fir de virtuelle Netzwierk mat fiktiven IPs definéieren (zum Beispill 10.0.10.0/24) an eng Adress un d'Interface zouginn:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Da musst Dir Netfilter Regelen schreiwen.
1. Wann néideg, erlaabt Entréeën Pakete op lauschteren Ports (SoftEther propriétaire Protokoll benotzt HTTPS a Port 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Setzt NAT vum 10.0.10.0/24 Subnet op den Haaptserver IP op.
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Erlaabt Passage Pakete vum Ënnernet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Erlaabt Passage Pakete fir schonn etabléiert Verbindungen
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTMir verloossen d'Automatiséierung vum Prozess wann de System nei gestart gëtt mat Initialiséierungsskripte fir d'Lieser als Hausaufgaben.
Wann Dir IP Clienten automatesch wëllt ginn, musst Dir och eng Zort DHCP Service fir déi lokal Bréck installéieren. Dëst fäerdeg de Server Setup an Dir kënnt op d'Clientë goen. SoftEther ënnerstëtzt vill Protokoller, d'Benotzung vun deenen hänkt vun de Fäegkeeten vun der LAN-Ausrüstung of.
netstat -ap |grep vpnserver
Well eisen Testrouter och ënner Ubuntu leeft, loosst eis d'Softether-vpnclient a softether-vpncmd Pakete vun engem externe Repository drop installéieren fir de propriétaire Protokoll ze benotzen. Dir musst de Client lafen:
sudo vpnclient startFir ze konfiguréieren, benotzt de vpncmd Utility, wielt localhost als Maschinn op där de vpnclient leeft. All Kommandoe ginn an der Konsole gemaach: Dir musst eng virtuell Interface (NicCreate) an e Kont (AccountCreate) erstellen.
A verschiddene Fäll musst Dir d'Authentifikatiounsmethod mat de Kommandoen AccountAnonymousSet, AccountPasswordSet, AccountCertSet a AccountSecureCertSet spezifizéieren. Well mir net DHCP benotzen, gëtt d'Adress fir de virtuelle Adapter manuell gesat.
Zousätzlech musse mir IP Forward aktivéieren (Optioun net.ipv4.ip_forward=1 an der /etc/sysctl.conf Datei) a statesch routes konfiguréieren. Wann néideg, op VDS mat Suricata, kënnt Dir Port Forwarding konfiguréieren fir d'Servicer ze benotzen déi am lokalen Netzwierk installéiert sinn. Op dëser, kann d'Netz Fusioun komplett considéréiert ginn.
Eis proposéiert Konfiguratioun wäert esou ausgesinn:
Suricata opbauen
В mir hunn iwwer zwee Operatiounsmodi vun IDS geschwat: duerch d'NFQUEUE Schlaang (NFQ Modus) an duerch Null Kopie (AF_PACKET Modus). Déi zweet erfuerdert zwee Interfaces, awer ass méi séier - mir wäerte se benotzen. De Parameter gëtt als Standard an /etc/default/suricata gesat. Mir mussen och d'Vars Sektioun an /etc/suricata/suricata.yaml änneren, de virtuelle Subnet do als Heem setzen.
Fir IDS nei ze starten, benotzt de Kommando:
systemctl restart suricataD'Léisung ass prett, elo musst Dir et vläicht testen fir Resistenz géint béiswëlleg Handlungen.
Simuléieren Attacken
Et kann e puer Szenarie fir de Kampf Notzung vun engem externen IDS Service ginn:
Schutz géint DDoS Attacken (primär Zweck)
Et ass schwéier esou eng Optioun am Firmennetz ëmzesetzen, well d'Päckchen fir d'Analyse mussen op d'Systeminterface kommen, déi um Internet kuckt. Och wann d'IDS se blockéiert, spurious Traffic kann den Datelink erofbréngen. Fir dëst ze vermeiden, musst Dir e VPS bestellen mat enger genuch produktiver Internetverbindung, déi all lokalen Netzwierkverkéier an all externen Traffic passéiere kann. Et ass dacks méi einfach a méi bëlleg dëst ze maachen wéi de Bürokanal auszebauen. Als Alternativ ass et derwäert spezialiséiert Servicer fir Schutz géint DDoS ze ernimmen. D'Käschte vun hire Servicer sinn vergläichbar mat de Käschte vun engem virtuelle Server, an et erfuerdert keng Zäit-opwänneg Konfiguratioun, awer et ginn och Nodeeler - de Client kritt nëmmen DDoS-Schutz fir seng Suen, während seng eegen IDS ka konfiguréiert ginn wéi Dir gär.
Schutz géint extern Attacke vun aneren Typen
Suricata ass fäeg Versuche fir verschidde Schwachstelle an de Firmennetzservicer auszenotzen, déi vum Internet zougänglech sinn (Mailserver, Webserver a Webapplikatiounen, etc.). Normalerweis, fir dës, ass IDS bannent der LAN installéiert no der Grenz Apparater, mee huelen et ausserhalb huet d'Recht ze existéieren.
Schutz vun Insider
Trotz de beschten Efforte vum Systemadministrator kënnen Computeren am Firmennetz mat Malware infizéiert sinn. Zousätzlech schéngen heiansdo Hooligans an der Géigend, déi probéieren illegal Operatiounen ze maachen. Suricata kann hëllefen esou Versich ze blockéieren, obwuel fir den internen Netzwierk ze schützen ass et besser et am Perimeter z'installéieren an et an Tandem mat engem verwalteten Schalter ze benotzen deen den Traffic op een Hafen spigelen kann. En externen IDS ass och net nëtzlos an dësem Fall - op d'mannst wäert et fäeg sinn Versuche vu Malware déi um LAN liewen fir en externen Server ze kontaktéieren.
Fir unzefänken, wäerte mir en aneren Test attackéieren VPS erstellen, an um lokalen Netzwierk Router wäerte mir Apache mat der Standardkonfiguratioun erhéijen, duerno wäerte mir den 80. Hafen vun der IDS Server weiderginn. Als nächst wäerte mir en DDoS Attack vun engem attackéierende Host simuléieren. Fir dëst ze maachen, luet vu GitHub erof, kompiléiert a leeft e klenge Xerxes Programm op den attackéierten Node (Dir musst vläicht de gcc Package installéieren):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80D'Resultat vun hirer Aarbecht war wéi follegt:
Suricata schneidt de Béisen of, an d'Apache Säit mécht als Standard op, trotz eisem improviséierte Attack an dem zimlech doudege Kanal vum "Büro" (tatsächlech Heem) Netzwierk. Fir méi sérieux Aufgaben, sollt Dir benotzen . Et ass fir Pénétratiounstest entwéckelt an erlaabt Iech eng Vielfalt vun Attacken ze simuléieren. Installatioun Uweisungen op der Websäit vum Projet. No der Installatioun ass en Update erfuerderlech:
sudo msfupdateFir ze testen, lafen msfconsole.
Leider fehlen déi lescht Versioune vum Framework d'Fäegkeet fir automatesch ze knacken, sou datt d'Exploitë manuell musse sortéiert ginn a mat der Benotzungskommando lafen. Fir unzefänken ass et derwäert ze bestëmmen d'Ports déi op der attackéierter Maschinn opmaachen, zum Beispill mat nmap (an eisem Fall gëtt et komplett duerch netstat op den attackéierten Host ersat), a wielt dann de passenden .
Et ginn aner Moyene fir d'Widderstandsfäegkeet vun engem IDS géint Attacken ze testen, dorënner Online Servicer. Fir d'Wuel vu Virwëtz, kënnt Dir Stress Tester mat der Testversioun arrangéieren . Fir d'Reaktioun op d'Aktiounen vun internen Abroch ze kontrolléieren, ass et derwäert speziell Tools op ee vun de Maschinnen am lokalen Netzwierk ze installéieren. Et gi vill Méiglechkeeten a vun Zäit zu Zäit sollten se net nëmmen op den experimentellen Site applizéiert ginn, awer och op d'Aarbechtssystemer, nëmmen dat ass eng ganz aner Geschicht.
Source: will.com