Snort vai Suricata. 3. daļa: Biroja tīkla aizsardzība

В iepriekšējais raksts mēs esam apskatījuši, kā palaist stabilo Suricata versiju Ubuntu 18.04 LTS. IDS iestatīšana vienā mezglā un bezmaksas noteikumu kopu iespējošana ir diezgan vienkārša. Šodien mēs izdomāsim, kā aizsargāt korporatīvo tīklu, izmantojot visizplatītākos uzbrukumu veidus, izmantojot virtuālajā serverī instalēto Suricata. Lai to izdarītu, mums ir nepieciešams VDS operētājsistēmā Linux ar diviem skaitļošanas kodoliem. RAM apjoms ir atkarīgs no slodzes: kādam pietiek ar 2 GB, nopietnākiem darbiem var būt nepieciešami 4 vai pat 6. Virtuālās mašīnas priekšrocība ir iespēja eksperimentēt: var sākt ar minimālu konfigurāciju un palielināt resursus pēc vajadzības.

foto: Reuters

• Snort vai Suricata. 1. daļa: Bezmaksas IDS/IPS izvēle korporatīvā tīkla aizsardzībai
• Snort vai Suricata. 2. daļa: Suricata uzstādīšana un sākotnējā iestatīšana

Tīklu savienošana

IDS pārvietošana uz virtuālo mašīnu vispirms var būt nepieciešama testu veikšanai. Ja jūs nekad neesat nodarbojies ar šādiem risinājumiem, jums nevajadzētu steigties pasūtīt fizisko aparatūru un mainīt tīkla arhitektūru. Vislabāk ir palaist sistēmu droši un rentabli, lai noteiktu skaitļošanas vajadzības. Ir svarīgi saprast, ka visa korporatīvā trafika būs jānodod caur vienu ārēju mezglu: lai savienotu vietējo tīklu (vai vairākus tīklus) ar VDS ar instalētu IDS Suricata, varat izmantot SoftEther - Viegli konfigurējams, vairāku platformu VPN serveris, kas nodrošina spēcīgu šifrēšanu. Biroja interneta savienojumam var nebūt īsta IP, tāpēc labāk to iestatīt VPS. Ubuntu repozitorijā nav gatavu pakotņu, programmatūra būs jālejupielādē vai nu no projekta vietnevai no pakalpojuma ārējā repozitorija Launchpad (ja tu viņam uzticies):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

Pieejamo pakotņu sarakstu var apskatīt ar šādu komandu:

apt-cache search softether

Mums būs nepieciešams softether-vpnserver (testa konfigurācijā esošais serveris darbojas VDS), kā arī softether-vpncmd - komandrindas utilītas tā konfigurēšanai.

sudo apt-get install softether-vpnserver softether-vpncmd

Servera konfigurēšanai tiek izmantota īpaša komandrindas utilīta:

sudo vpncmd

Mēs nerunāsim sīkāk par iestatījumu: procedūra ir diezgan vienkārša, tā ir labi aprakstīta daudzās publikācijās un nav tieši saistīta ar raksta tēmu. Īsāk sakot, pēc vpncmd palaišanas jums ir jāatlasa 1. vienums, lai pārietu uz servera pārvaldības konsoli. Lai to izdarītu, jums jāievada nosaukums localhost un jānospiež enter, nevis jāievada centrmezgla nosaukums. Konsolē ar komandu serverpasswordset tiek iestatīta administratora parole, tiek dzēsts DEFAULT virtuālais centrmezgls (komanda hubdelete) un tiek izveidots jauns ar nosaukumu Suricata_VPN, kā arī tiek iestatīta tā parole (komanda hubcreate). Pēc tam jums ir jādodas uz jaunā centrmezgla pārvaldības konsoli, izmantojot komandu Hub Suricata_VPN, lai izveidotu grupu un lietotāju, izmantojot komandas groupcreate un usercreate. Lietotāja parole tiek iestatīta, izmantojot userpasswordset.

SoftEther atbalsta divus satiksmes pārsūtīšanas režīmus: SecureNAT un Local Bridge. Pirmā ir patentēta tehnoloģija virtuāla privātā tīkla izveidei ar savu NAT un DHCP. SecureNAT neprasa TUN/TAP vai Netfilter vai citus ugunsmūra iestatījumus. Maršrutēšana neietekmē sistēmas kodolu, un visi procesi tiek virtualizēti un darbojas jebkurā VPS/VDS neatkarīgi no izmantotā hipervizora. Tā rezultātā palielinās CPU noslodze un lēnāks ātrums salīdzinājumā ar vietējā tilta režīmu, kas savieno SoftEther virtuālo centrmezglu ar fizisko tīkla adapteri vai TAP ierīci.

Konfigurācija šajā gadījumā kļūst sarežģītāka, jo maršrutēšana notiek kodola līmenī, izmantojot Netfilter. Mūsu VDS ir veidota uz Hyper-V, tāpēc pēdējā darbībā mēs izveidojam lokālo tiltu un aktivizējam TAP ierīci ar komandu bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. Pēc iziešanas no centrmezgla pārvaldības konsoles sistēmā redzēsim jaunu tīkla saskarni, kurai vēl nav piešķirts IP:

ifconfig

Pēc tam jums būs jāiespējo pakešu maršrutēšana starp saskarnēm (ip uz priekšu), ja tā ir neaktīva:

sudo nano /etc/sysctl.conf

Atceliet šādas rindas komentārus:

net.ipv4.ip_forward = 1

Saglabājiet izmaiņas failā, izejiet no redaktora un lietojiet tās ar šādu komandu:

sudo sysctl -p

Tālāk mums ir jādefinē apakštīkls virtuālajam tīklam ar fiktīviem IP (piemēram, 10.0.10.0/24) un interfeisam jāpiešķir adrese:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

Tad jums ir jāraksta Netfilter noteikumi.

1. Ja nepieciešams, atļaujiet ienākošās paketes noklausīšanās portos (SoftEther patentētais protokols izmanto HTTPS un 443. portu)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. Iestatiet NAT no 10.0.10.0/24 apakštīkla uz galvenā servera IP.

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. Atļaut pārsūtīt pakešu no apakštīkla 10.0.10.0/24

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. Atļaujiet nodot paketes jau izveidotiem savienojumiem

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Procesa automatizāciju, kad sistēma tiks restartēta, izmantojot inicializācijas skriptus, kā mājasdarbu atstāsim lasītāju ziņā.

Ja vēlaties automātiski piešķirt IP klientiem, jums būs jāinstalē arī kāds DHCP pakalpojums vietējam tiltam. Tas pabeidz servera iestatīšanu, un jūs varat doties uz klientiem. SoftEther atbalsta daudzus protokolus, kuru izmantošana ir atkarīga no LAN aprīkojuma iespējām.

netstat -ap |grep vpnserver

Tā kā mūsu testa maršrutētājs darbojas arī ar Ubuntu, instalēsim softether-vpnclient un softether-vpncmd pakotnes no ārējās krātuves, lai izmantotu patentēto protokolu. Jums būs jāpalaiž klients:

sudo vpnclient start

Lai konfigurētu, izmantojiet utilītu vpncmd, atlasot localhost kā mašīnu, kurā darbojas vpnclient. Visas komandas tiek veiktas konsolē: jums būs jāizveido virtuālais interfeiss (NicCreate) un konts (AccountCreate).

Dažos gadījumos ir jānorāda autentifikācijas metode, izmantojot komandas AccountAnonymousSet, AccountPasswordSet, AccountCertSet un AccountSecureCertSet. Tā kā mēs neizmantojam DHCP, virtuālā adaptera adrese tiek iestatīta manuāli.

Turklāt mums ir jāiespējo ip forward (parametrs net.ipv4.ip_forward=1 failā /etc/sysctl.conf) un jākonfigurē statiskie maršruti. Ja nepieciešams, VDS ar Suricata varat konfigurēt portu pāradresāciju, lai izmantotu vietējā tīklā instalētos pakalpojumus. Šajā sakarā tīkla apvienošanu var uzskatīt par pabeigtu.

Mūsu piedāvātā konfigurācija izskatīsies apmēram šādi:

Suricata iestatīšana

В iepriekšējais raksts mēs runājām par diviem IDS darbības režīmiem: caur NFQUEUE rindu (NFQ režīms) un caur nulles kopiju (AF_PACKET režīms). Otrajam ir nepieciešamas divas saskarnes, bet tas ir ātrāks - mēs to izmantosim. Parametrs pēc noklusējuma ir iestatīts mapē /etc/default/suricata. Mums ir arī jārediģē sadaļa vars mapē /etc/suricata/suricata.yaml, iestatot virtuālo apakštīklu kā mājas lapu.

Lai restartētu IDS, izmantojiet komandu:

systemctl restart suricata

Risinājums ir gatavs, tagad jums, iespējams, būs jāpārbauda tā izturība pret ļaunprātīgām darbībām.

Uzbrukumu simulēšana

Ārēja IDS pakalpojuma kaujas izmantošanai var būt vairāki scenāriji:

Aizsardzība pret DDoS uzbrukumiem (galvenais mērķis)

Šādu iespēju ir grūti ieviest korporatīvajā tīklā, jo analīzei paredzētajām paketēm ir jānokļūst sistēmas saskarnē, kas skatās uz internetu. Pat ja IDS tos bloķē, neīstā trafika var pārtraukt datu savienojumu. Lai no tā izvairītos, jums ir jāpasūta VPS ar pietiekami produktīvu interneta pieslēgumu, kas var nodot visu lokālā tīkla trafiku un visu ārējo trafiku. Bieži vien to ir vieglāk un lētāk izdarīt nekā paplašināt biroja kanālu. Kā alternatīvu ir vērts pieminēt specializētos pakalpojumus aizsardzībai pret DDoS. Viņu pakalpojumu izmaksas ir salīdzināmas ar virtuālā servera izmaksām, un tam nav nepieciešama laikietilpīga konfigurēšana, taču ir arī trūkumi - klients par savu naudu saņem tikai DDoS aizsardzību, savukārt savu IDS var konfigurēt kā jūs patīk.

Aizsardzība pret cita veida ārējiem uzbrukumiem

Suricata spēj tikt galā ar mēģinājumiem izmantot dažādas ievainojamības korporatīvajos tīkla pakalpojumos, kas pieejami no interneta (pasta serveris, tīmekļa serveris un tīmekļa lietojumprogrammas utt.). Parasti šim nolūkam IDS tiek uzstādīts LAN iekšpusē pēc robežierīcēm, bet izņemšanai ārpusē ir tiesības pastāvēt.

Aizsardzība no iekšienes

Neskatoties uz sistēmas administratora pūlēm, korporatīvajā tīklā esošie datori var tikt inficēti ar ļaunprātīgu programmatūru. Turklāt vietējā teritorijā dažkārt parādās huligāni, kuri cenšas veikt kādas nelikumīgas darbības. Suricata var palīdzēt bloķēt šādus mēģinājumus, lai gan, lai aizsargātu iekšējo tīklu, labāk to uzstādīt perimetrā un izmantot kopā ar pārvaldītu slēdzi, kas var atspoguļot trafiku uz vienu portu. Arī ārējais IDS šajā gadījumā nav bezjēdzīgs – vismaz tas spēs notvert LAN mītošās ļaunprogrammatūras mēģinājumus sazināties ar ārēju serveri.

Sākumā mēs izveidosim vēl vienu testu, kas uzbrūk VPS, un vietējā tīkla maršrutētājā mēs paaugstināsim Apache ar noklusējuma konfigurāciju, pēc tam no IDS servera uz to pārsūtīsim 80. portu. Tālāk mēs simulēsim DDoS uzbrukumu no uzbrūkoša saimniekdatora. Lai to izdarītu, lejupielādējiet no GitHub, kompilējiet un palaidiet nelielu xerxes programmu uzbrukuma mezglā (iespējams, jums būs jāinstalē gcc pakotne):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

Viņas darba rezultāts bija šāds:

Suricata nogriež ļaundari, un Apache lapa tiek atvērta pēc noklusējuma, neskatoties uz mūsu improvizēto uzbrukumu un diezgan mirušo "biroja" (faktiski mājas) tīkla kanālu. Nopietnākiem uzdevumiem jums vajadzētu izmantot Metasploit sistēma. Tas ir paredzēts iespiešanās pārbaudei un ļauj simulēt dažādus uzbrukumus. Uzstādīšanas instrukcijas pieejama projekta mājaslapā. Pēc instalēšanas ir nepieciešams atjauninājums:

sudo msfupdate

Lai pārbaudītu, palaidiet msfconsole.

Diemžēl jaunākajām ietvara versijām nav iespējas automātiski uzlauzt, tāpēc exploiti būs jākārto manuāli un jāpalaiž, izmantojot komandu use. Vispirms ir vērts noteikt portus, kas ir atvērti uzbrukušajā datorā, piemēram, izmantojot nmap (mūsu gadījumā tas tiks pilnībā aizstāts ar netstat uzbruktajā resursdatorā), un pēc tam atlasiet un izmantojiet atbilstošo Metasploit moduļi. 

Ir arī citi veidi, kā pārbaudīt IDS noturību pret uzbrukumiem, tostarp tiešsaistes pakalpojumi. Zinātkāres labad varat organizēt stresa testēšanu, izmantojot izmēģinājuma versiju IP stresa izraisītājs. Lai pārbaudītu reakciju uz iekšējo iebrucēju darbībām, ir vērts instalēt īpašus rīkus vienā no vietējā tīkla mašīnām. Variantu ir ļoti daudz un ik pa laikam tās jāpiemēro ne tikai eksperimentālajai vietai, bet arī darba sistēmām, tikai tas ir pavisam cits stāsts.

Avots: www.habr.com