🥇 Снорт или Суриката. Дел 3: Заштита на канцелариската мрежа

В претходниот напис опфативме како да ја извршите стабилната верзија на Suricata на Ubuntu 18.04 LTS. Поставувањето IDS на еден јазол и овозможувањето бесплатни множества правила е прилично едноставно. Денес ќе откриеме како да заштитиме корпоративна мрежа користејќи ги најчестите типови на напади користејќи Suricata инсталиран на виртуелен сервер. За да го направите ова, потребен ни е VDS на Linux со две компјутерски јадра. Количината на RAM меморија зависи од оптоварувањето: за некого се доволни 2 GB, а за посериозни задачи може да бидат потребни 4 или дури 6. Предноста на виртуелната машина е способноста да експериментирате: можете да започнете со минимална конфигурација и да ја зголемите ресурси по потреба.

фото: Ројтерс

Поврзување на мрежи

Отстранувањето IDS на виртуелна машина на прво место може да биде потребно за тестови. Ако никогаш не сте се занимавале со такви решенија, не треба да брзате да нарачате физички хардвер и да ја промените мрежната архитектура. Најдобро е да го стартувате системот безбедно и економично за да ги одредите вашите потреби за пресметување. Важно е да се разбере дека целиот корпоративен сообраќај ќе мора да се пренесува преку еден надворешен јазол: за да поврзете локална мрежа (или неколку мрежи) со VDS со инсталиран IDS Suricata, можете да користите Мекиот етер - Лесен за конфигурирање, меѓуплатформски VPN сервер кој обезбедува силна шифрирање. Канцелариската интернет конекција можеби нема вистинска IP адреса, па затоа е подобро да ја поставите на VPS. Нема готови пакети во складиштето на Ubuntu, ќе мора да го преземете софтверот или од локацијата на проектот, или од надворешно складиште на услугата Launchpad (ако му верувате):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

Можете да ја видите листата на достапни пакети со следнава команда:

apt-cache search softether

Ќе ни треба softther-vpnserver (серверот во тест конфигурацијата работи на VDS), како и softther-vpncmd - комунални услуги на командната линија за негово конфигурирање.

sudo apt-get install softether-vpnserver softether-vpncmd

Специјална алатка за командна линија се користи за конфигурирање на серверот:

sudo vpncmd

Нема да зборуваме детално за поставувањето: постапката е прилично едноставна, добро е опишана во бројни публикации и не се однесува директно на темата на статијата. Накратко, по стартувањето на vpncmd, треба да ја изберете ставката 1 за да отидете на конзолата за управување со серверот. За да го направите ова, треба да го внесете името localhost и притиснете enter наместо да го внесете името на центарот. Администраторската лозинка се поставува во конзолата со командата serverpasswordset, се брише DEFAULT виртуелниот центар (команда hubdelete) и се креира нова со име Suricata_VPN, а се поставува и нејзината лозинка (команда hubcreate). Следно, треба да отидете во управувачката конзола на новиот центар користејќи ја командата hub Suricata_VPN за да креирате група и корисник користејќи ги командите groupcreate и usercreate. Корисничката лозинка е поставена со користење на userpasswordset.

SoftEther поддржува два режима за пренос на сообраќај: SecureNAT и Local Bridge. Првата е комерцијална технологија за градење виртуелна приватна мрежа со сопствени NAT и DHCP. SecureNAT не бара TUN/TAP или Netfilter или други поставки за заштитен ѕид. Рутирањето не влијае на јадрото на системот и сите процеси се виртуелизирани и работат на кој било VPS / VDS, без оглед на користениот хипервизор. Ова резултира со зголемено оптоварување на процесорот и помала брзина во споредба со режимот Local Bridge, кој го поврзува виртуелниот центар SoftEther со физички мрежен адаптер или TAP уред.

Конфигурацијата во овој случај станува посложена, бидејќи рутирањето се случува на ниво на јадрото користејќи Netfilter. Нашите VDS се изградени на Hyper-V, така што во последниот чекор создаваме локален мост и го активираме уредот TAP со командата bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. По излегувањето од конзолата за управување со центар, ќе видиме нов мрежен интерфејс во системот на кој сè уште не му е доделена IP адреса:

ifconfig

Следно, ќе треба да овозможите рутирање на пакети помеѓу интерфејсите (ip forward), доколку е неактивен:

sudo nano /etc/sysctl.conf

Откажете ја следнава линија од коментар:

net.ipv4.ip_forward = 1

Зачувајте ги промените во датотеката, излезете од уредникот и применете ги со следнава команда:

sudo sysctl -p

Следно, треба да дефинираме подмрежа за виртуелната мрежа со фиктивни IP-адреси (на пример, 10.0.10.0/24) и да доделиме адреса на интерфејсот:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

Потоа треба да напишете правила на Netfilter.

1. Доколку е потребно, дозволете ги дојдовните пакети на портите за слушање (комерцијалниот протокол на SoftEther користи HTTPS и портата 443)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. Поставете NAT од подмрежата 10.0.10.0/24 до главниот IP на серверот

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. Дозволете минување на пакети од подмрежата 10.0.10.0/24

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. Дозволете минување на пакети за веќе воспоставени врски

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Ќе ја оставиме автоматизацијата на процесот кога системот ќе се рестартира со користење на скрипти за иницијализација на читателите како домашна задача.

Ако сакате автоматски да им дадете IP на клиентите, ќе треба да инсталирате и некој вид на DHCP услуга за локалниот мост. Ова го комплетира поставувањето на серверот и можете да отидете кај клиентите. SoftEther поддржува многу протоколи, чија употреба зависи од можностите на LAN опремата.

netstat -ap |grep vpnserver

Бидејќи нашиот тест рутер исто така работи под Ubuntu, ајде да ги инсталираме пакетите softther-vpnclient и softther-vpncmd од надворешно складиште на него за да го користиме сопственичкиот протокол. Ќе треба да го извршите клиентот:

sudo vpnclient start

За да конфигурирате, користете ја алатката vpncmd, избирајќи го localhost како машина на која работи vpnclient. Сите команди се направени во конзолата: ќе треба да креирате виртуелен интерфејс (NicCreate) и сметка (AccountCreate).

Во некои случаи, мора да го наведете методот за автентикација користејќи ги командите AccountAnonymousSet, AccountPasswordSet, AccountCertSet и AccountSecureCertSet. Бидејќи не користиме DHCP, адресата за виртуелниот адаптер се поставува рачно.

Дополнително, треба да овозможиме ip напред (параметарот net.ipv4.ip_forward=1 во датотеката /etc/sysctl.conf) и да ги конфигурираме статичките правци. Доколку е потребно, на VDS со Suricata, можете да го конфигурирате препраќањето на портата за да ги користите услугите инсталирани на локалната мрежа. На ова, спојувањето на мрежата може да се смета за завршено.

Нашата предложена конфигурација ќе изгледа вака:

Поставување на Suricata

В претходниот напис зборувавме за два начини на работа на IDS: преку редот NFQUEUE (режим NFQ) и преку нулта копија (режим AF_PACKET). Вториот бара два интерфејси, но е побрз - ќе го користиме. Параметарот е стандардно поставен во /etc/default/suricata. Исто така, треба да го уредиме делот vars во /etc/suricata/suricata.yaml, поставувајќи ја виртуелната подмрежа таму како домашна.

За да го рестартирате IDS, користете ја командата:

systemctl restart suricata

Решението е подготвено, сега можеби ќе треба да го тестирате за отпорност на злонамерни дејства.

Симулирање на напади

Може да има неколку сценарија за борбена употреба на надворешна услуга IDS:

Заштита од DDoS напади (примарна цел)

Тешко е да се имплементира таква опција внатре во корпоративната мрежа, бидејќи пакетите за анализа мора да стигнат до системскиот интерфејс што гледа на Интернет. Дури и ако IDS ги блокира, лажниот сообраќај може да ја уништи врската со податоци. За да го избегнете ова, треба да нарачате VPS со доволно продуктивна интернет конекција што може да го помине целиот локален мрежен сообраќај и целиот надворешен сообраќај. Често е полесно и поевтино да се направи ова отколку да се прошири канцеларискиот канал. Како алтернатива, вреди да се споменат специјализираните услуги за заштита од DDoS. Цената на нивните услуги е споредлива со цената на виртуелниот сервер и не бара конфигурација која одзема многу време, но има и недостатоци - клиентот добива само DDoS заштита за своите пари, додека неговиот сопствен IDS може да се конфигурира како вие допаѓа.

Заштита од надворешни напади од други видови

Suricata може да се справи со обидите за искористување на различни пропусти во корпоративните мрежни услуги достапни од Интернет (поштенски сервер, веб-сервер и веб-апликации итн.). Обично, за ова, IDS се инсталира внатре во LAN по граничните уреди, но неговото изнесување надвор има право да постои.

Заштита од инсајдери

И покрај најдобрите напори на системскиот администратор, компјутерите на корпоративната мрежа можат да бидат заразени со малициозен софтвер. Дополнително, на локалното подрачје понекогаш се појавуваат хулигани, кои се обидуваат да извршат некои нелегални операции. Suricata може да помогне да се блокираат таквите обиди, иако за заштита на внатрешната мрежа е подобро да се инсталира внатре во периметарот и да се користи во тандем со управуван прекинувач што може да го отслика сообраќајот на една порта. Надворешниот IDS исто така не е бескорисен во овој случај - барем ќе може да ги фати обидите на малициозен софтвер кој живее на LAN да контактира со надворешен сервер.

За почеток, ќе создадеме уште еден тест кој го напаѓа VPS, а на рутерот за локална мрежа ќе го подигнеме Apache со стандардната конфигурација, по што ќе ја препратиме 80-тата порта до него од серверот IDS. Следно, ќе симулираме DDoS напад од домаќин кој напаѓа. За да го направите ова, преземете од GitHub, компајлирајте и стартувајте мала програма xerxes на напаѓачкиот јазол (можеби ќе треба да го инсталирате пакетот gcc):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

Резултатот од нејзината работа беше како што следува:

Suricata го отсекува негативецот, а страницата Apache се отвора стандардно, и покрај нашиот импровизиран напад и прилично мртвиот канал на мрежата „канцеларија“ (всушност домашна). За посериозни задачи, треба да користите Рамка на Метасплојт. Тој е дизајниран за тестирање на пенетрација и ви овозможува да симулирате различни напади. Инструкции за инсталација е достапна на веб-страницата на проектот. По инсталацијата, потребно е ажурирање:

sudo msfupdate

За тестирање, стартувајте msfconsole.

За жал, најновите верзии на рамката немаат можност за автоматско кршење, па експлоатите ќе мора да се подредат рачно и да се извршуваат со помош на командата за употреба. За почеток, вреди да се одредат портите отворени на нападната машина, на пример, со користење nmap (во нашиот случај, целосно ќе се замени со netstat на нападнатиот домаќин), а потоа изберете и користете го соодветниот Метасплоит модули.

Постојат и други средства за тестирање на отпорноста на IDS против напади, вклучително и онлајн услуги. Заради љубопитност, можете да организирате стрес-тестирање користејќи ја пробната верзија ИП стрес. За да ја проверите реакцијата на дејствата на внатрешните натрапници, вреди да се инсталираат специјални алатки на една од машините на локалната мрежа. Има многу опции и од време на време тие треба да се применат не само на експерименталната локација, туку и на работните системи, само што ова е сосема друга приказна.

Извор: www.habr.com

Снорт или Суриката. Дел 3: Заштита на канцелариската мрежа

Поврзување на мрежи

Поставување на Suricata

Симулирање на напади

Додадете коментар Откажи одговор