Π nodinihinay ny fomba fampandehanana ny version stable an'ny Suricata amin'ny Ubuntu 18.04 LTS. Ny fametrahana IDS amin'ny node tokana ary ny fampandehanana ny fitsipika malalaka dia tsotra. Androany dia hojerentsika ny fomba hiarovana ny tambajotran'ny orinasa amin'ny fampiasana ireo karazana fanafihana mahazatra indrindra amin'ny fampiasana Suricata napetraka amin'ny mpizara virtoaly. Mba hanaovana izany dia mila VDS amin'ny Linux misy core computing roa isika. Ny habetsaky ny RAM dia miankina amin'ny entana: 2 GB dia ampy ho an'ny olona iray, ary 4 na 6 aza dia mety takiana amin'ny asa lehibe kokoa. loharanon-karena araka izay ilaina.
sary: ββReuters
Mampifandray tambajotra
Ny fanesorana IDS amin'ny milina virtoaly voalohany dia mety ilaina amin'ny fitsapana. Raha mbola tsy nanao vahaolana toy izany ianao, dia tsy tokony ho maika hanafatra fitaovana ara-batana ary hanova ny rafitry ny tambajotra. Ny tsara indrindra dia ny fampandehanana ny rafitra am-pilaminana sy tsy misy vidiny mba hamaritana ny filanao kajy. Zava-dehibe ny mahatakatra fa ny fifamoivoizana orinasa rehetra dia tsy maintsy mandalo amin'ny node ivelany tokana: hampifandray tambajotra eo an-toerana (na tambajotra maromaro) amin'ny VDS misy IDS Suricata napetraka, azonao ampiasaina. - Mpizara VPN mora amboarina, cross-platform izay manome encryption matanjaka. Ny fifandraisana Internet birao dia mety tsy manana IP tena izy, noho izany dia tsara kokoa ny mametraka izany amin'ny VPS. Tsy misy fonosana efa vita ao amin'ny tahiry Ubuntu, tsy maintsy misintona ny rindrambaiko ianao na avy amin'ny , na avy amin'ny tahiry ivelany amin'ny serivisy (raha matoky azy ianao):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateAzonao atao ny mijery ny lisitry ny fonosana misy miaraka amin'ity baiko manaraka ity:
apt-cache search softether
Mila softether-vpnserver (ny mpizara ao amin'ny fanamafisam-panadinana dia mandeha amin'ny VDS), ary koa ny softether-vpncmd - komandin'ny baikon'ny baikon'ny fanamboarana azy.
sudo apt-get install softether-vpnserver softether-vpncmdFampiasa manokana andalana baiko no ampiasaina hanamboarana ny mpizara:
sudo vpncmd
Tsy hiresaka amin'ny antsipiriany momba ny toe-javatra izahay: tsotra ny fomba fiasa, voafaritra tsara amin'ny boky maro ary tsy mifandray mivantana amin'ny lohahevitry ny lahatsoratra. Raha fintinina, aorian'ny fanombohana vpncmd dia mila misafidy singa 1 ianao raha handeha amin'ny console fitantanana server. Mba hanaovana izany dia mila miditra ny anarana localhost ianao ary tsindrio ny Enter fa tsy miditra ny anaran'ny hub. Ny tenimiafina administratera dia napetraka ao amin'ny console miaraka amin'ny baiko serverpasswordset, voafafa ny hub virtoaly DEFAULT (baiko hubdelete) ary misy iray vaovao noforonina miaraka amin'ny anarana Suricata_VPN, ary napetraka koa ny tenimiafina (baiko hubcreate). Manaraka, mila mandeha any amin'ny console fitantanana ny hub vaovao ianao amin'ny alΓ lan'ny baiko Suricata_VPN hub mba hamoronana vondrona sy mpampiasa mampiasa ny baiko groupcreate sy usercreate. Ny tenimiafina mpampiasa dia apetraka amin'ny fampiasana userpasswordset.
SoftEther dia manohana fomba famindrana fifamoivoizana roa: SecureNAT sy Local Bridge. Ny voalohany dia teknolojia manokana amin'ny fananganana tambajotra tsy miankina virtoaly miaraka amin'ny NAT sy DHCP azy manokana. SecureNAT dia tsy mitaky TUN/TAP na Netfilter na firafitry ny firewall hafa. Ny lalana dia tsy misy fiantraikany amin'ny fototry ny rafitra, ary ny dingana rehetra dia virtoaly ary miasa amin'ny VPS / VDS rehetra, na inona na inona hypervisor ampiasaina. Izany dia miteraka fitomboan'ny enta-mavesatry ny CPU sy ny hafainganam-pandeha miadana kokoa raha oharina amin'ny maody Local Bridge, izay mampifandray ny habaka virtoaly SoftEther amin'ny adaptatera tambajotra ara-batana na fitaovana TAP.
Ny fanamboarana amin'ity tranga ity dia lasa sarotra kokoa, satria ny lalana dia mitranga amin'ny sehatra kernel amin'ny fampiasana Netfilter. Ny VDS-nay dia miorina amin'ny Hyper-V, ka amin'ny dingana farany dia mamorona tetezana eo an-toerana izahay ary manetsika ny fitaovana TAP miaraka amin'ny baiko bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. Aorian'ny fivoahana amin'ny console fitantanana hub dia hahita seha-pifandraisana vaovao ao amin'ny rafitra izay tsy mbola nomena IP:
ifconfig
Manaraka, tsy maintsy avelanao ny fandefasana fonosana eo anelanelan'ny interface (ip forward), raha tsy mavitrika:
sudo nano /etc/sysctl.confEsory ny tsipika manaraka:
net.ipv4.ip_forward = 1Tehirizo ny fanovana amin'ny rakitra, mialΓ amin'ny tonian-dahatsoratra ary ampiharo amin'ny baiko manaraka:
sudo sysctl -pAvy eo, mila mamaritra subnet ho an'ny tambajotra virtoaly miaraka amin'ny IP noforonina isika (ohatra, 10.0.10.0/24) ary manendry adiresy amin'ny interface:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Avy eo dia mila manoratra fitsipika Netfilter ianao.
1. Raha ilaina, avelao ny fonosana miditra amin'ny seranana fihainoana (Ny protocol proprietary SoftEther dia mampiasa HTTPS sy port 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Amboary ny NAT avy amin'ny subnet 10.0.10.0/24 mankany amin'ny IP server lehibe
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Avelao ny fonosana mandalo avy amin'ny subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Avelao ny fonosana mandalo ho an'ny fifandraisana efa napetraka
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTHiala amin'ny automatique ny dingana isika rehefa averina ny rafitra amin'ny fampiasana sora-baventy ho an'ny mpamaky ho enti-mody.
Raha te hanome IP ho an'ny mpanjifa ho azy ianao dia mila mametraka karazana serivisy DHCP ho an'ny tetezana eo an-toerana ihany koa. Izany dia mamita ny fametrahana ny mpizara ary afaka mankany amin'ny mpanjifa ianao. SoftEther dia manohana protocols maro, ny fampiasana azy dia miankina amin'ny fahaiza-manaon'ny fitaovana LAN.
netstat -ap |grep vpnserver
Satria mandeha eo ambanin'ny Ubuntu ihany koa ny router fitsapana anay, andao hametraka ny fonosana softether-vpnclient sy softether-vpncmd avy amin'ny tahiry ivelany eo aminy mba hampiasana ny protocol proprietary. Mila mihazakazaka ny mpanjifa ianao:
sudo vpnclient startRaha te hanamboatra dia ampiasao ny utility vpncmd, fidio ny localhost ho milina izay iasan'ny vpnclient. Ny baiko rehetra dia natao ao amin'ny console: mila mamorona interface virtoaly ianao (NicCreate) sy kaonty (AccountCreate).
Amin'ny toe-javatra sasany, tsy maintsy mamaritra ny fomba fanamarinana ianao amin'ny fampiasana ny baiko AccountAnonymousSet, AccountPasswordSet, AccountCertSet, ary AccountSecureCertSet. Satria tsy mampiasa DHCP izahay, dia apetraka amin'ny tanana ny adiresin'ny adaptatera virtoaly.
Fanampin'izany, mila mamela ny ip forward isika (ny parameter net.ipv4.ip_forward=1 ao amin'ny rakitra /etc/sysctl.conf) ary manitsy ny lalana static. Raha ilaina, amin'ny VDS miaraka amin'i Suricata, azonao atao ny manitsy ny fandefasana seranan-tsambo hampiasa ireo serivisy napetraka ao amin'ny tambajotra eo an-toerana. Amin'izany dia azo heverina ho feno ny fampivondronana tambajotra.
Hijery toy izao ny fanamboarana natolotray:
Fametrahana ny Suricata
РNiresaka momba ny fomba fiasan'ny IDS roa izahay: amin'ny alà lan'ny filaharana NFQUEUE (mode NFQ) ary amin'ny alà lan'ny kopia aotra (mode AF_PACKET). Ny faharoa dia mitaky interface roa, fa haingana kokoa - hampiasa izany izahay. Ny parameter dia napetraka amin'ny alà lan'ny /etc/default/suricata. Mila manitsy ny fizarana vars ao amin'ny /etc/suricata/suricata.yaml koa isika, mametraka ny zana-tsipìka virtoaly ao ho toy ny trano.
Mba hanombohana indray ny IDS dia ampiasao ny baiko:
systemctl restart suricataEfa vonona ny vahaolana, mety mila mitsapa izany ianao amin'ny fanoherana ny hetsika ratsy.
Manao fanafihana
Mety misy scenario maromaro ho an'ny fampiasana ady amin'ny serivisy IDS ivelany:
Fiarovana amin'ny fanafihana DDoS (tanjona voalohany)
Sarotra ny mampihatra safidy toy izany ao anatin'ny tambajotra orinasa, satria ny fonosana ho an'ny famakafakana dia tsy maintsy tonga any amin'ny interface interface izay mijery ny Internet. Na dia sakanan'ny IDS aza izy ireo, ny fifamoivoizana sandoka dia mety hampidina ny rohy angon-drakitra. Mba hisorohana an'izany dia mila manafatra VPS miaraka amin'ny fifandraisana Internet mamokatra ampy izay afaka mandalo ny fifamoivoizana amin'ny tambajotra eo an-toerana sy ny fifamoivoizana ivelany rehetra. Matetika mora sy mora kokoa ny manao izany noho ny fanitarana ny fantsona birao. Ho solon'izay, ilaina ny manonona tolotra manokana ho fiarovana amin'ny DDoS. Ny vidin'ny serivisy dia azo ampitahaina amin'ny vidin'ny mpizara virtoaly, ary tsy mitaky fikirakirana mandany fotoana, fa misy ihany koa ny fatiantoka - ny mpanjifa dia tsy mahazo afa-tsy fiarovana DDoS ho an'ny volany, fa ny IDS azy manokana dia azo amboarina ho anao. tahaka.
Fiarovana amin'ny fanafihana ivelany karazana hafa
Ny Suricata dia afaka miatrika ny fikasana hanararaotra ireo vulnerability isan-karazany amin'ny serivisy tambajotran'ny orinasa azo idirana amin'ny Internet (server mail, server web ary fampiharana tranonkala, sns.). Matetika, noho izany, ny IDS dia napetraka ao anatin'ny LAN aorian'ny fitaovana sisintany, fa ny mitondra azy any ivelany dia manan-jo hisy.
Fiarovana amin'ny atiny
Na dia eo aza ny ezaka tsara indrindra ataon'ny mpitantana ny rafitra, dia mety ho voan'ny malware ny solosaina ao amin'ny tambajotran'ny orinasa. Ankoatra izany, misy hooligans indraindray miseho eny an-toerana, izay manandrana manao hetsika tsy ara-dalΓ na. Suricata dia afaka manampy amin'ny fanakanana ny andrana toy izany, na dia mba hiarovana ny tambajotra anatiny dia tsara kokoa ny mametraka azy ao anatin'ny vakim-paritra ary mampiasa azy io miaraka amin'ny switch voatanisa izay afaka mitaratra ny fifamoivoizana amin'ny seranana iray. Tsy misy ilana azy koa ny IDS ivelany amin'ity tranga ity - farafaharatsiny dia ho afaka hisambotra andrana amin'ny malware miaina ao amin'ny LAN mba hifandray amin'ny mpizara ivelany.
Hanombohana, hamorona fitsapana iray hafa hanafika VPS isika, ary amin'ny router tambajotra eo an-toerana dia hanangana Apache miaraka amin'ny konfigurasi default, ary avy eo dia handefa ny seranan-tsambo faha-80 ho azy avy amin'ny mpizara IDS. Manaraka, hanao simulate fanafihana DDoS avy amin'ny mpampiantrano mpanafika isika. Mba hanaovana izany, misintona avy amin'ny GitHub, manangΓ²na ββary manaova programa xerxes kely amin'ny node manafika (mety mila mametraka ny fonosana gcc ianao):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Ny vokatry ny asany dia toy izao manaraka izao:
Suricata dia nanapaka ilay olon-dratsy, ary ny pejin'ny Apache dia misokatra amin'ny alΓ lan'ny default, na dia eo aza ny fanafihana tampoka ataontsika sy ny fantsom-pifandraisana "birao" (tena trano). Ho an'ny asa matotra kokoa dia tokony hampiasaina . Izy io dia natao ho an'ny fitsirihana ny fidirana ary ahafahanao manamboatra fanafihana isan-karazany. TorolΓ lana fametrahana amin'ny tranokalan'ny tetikasa. Aorian'ny fametrahana dia ilaina ny fanavaozana:
sudo msfupdateHo an'ny fitsapana dia mandehana msfconsole.
Indrisy anefa, ny dikan-teny farany amin'ny rafitra dia tsy manana fahafahana mikitika ho azy, noho izany dia tsy maintsy alamina amin'ny tanana ny fanararaotana ary mihazakazaka mampiasa ny baiko fampiasana. Hanombohana dia ilaina ny mamaritra ny seranan-tsambo misokatra amin'ny milina voatafika, ohatra, amin'ny fampiasana nmap (amin'ny tranga misy antsika, dia hosoloina netstat tanteraka amin'ny mpampiantrano voatafika izy io), ary avy eo mifidiana sy ampiasao ny mety. .
Misy fomba hafa hitsapana ny faharetan'ny IDS amin'ny fanafihana, anisan'izany ny serivisy an-tserasera. Ho an'ny fahalianana dia azonao atao ny mandamina fitsapana adin-tsaina amin'ny alΓ lan'ny dikan-teny fitsapana . Mba hijerena ny fanehoan-kevitra amin'ny hetsika ataon'ny mpangalatra anatiny dia ilaina ny mametraka fitaovana manokana amin'ny iray amin'ireo milina ao amin'ny tambajotra eo an-toerana. Betsaka ny safidy ary indraindray dia tokony hampiharina tsy amin'ny tranokala andrana ihany, fa amin'ny rafitra miasa ihany koa, tantara hafa tanteraka izany.
Source: www.habr.com