В
Хурхирах эсвэл Суриката. 1-р хэсэг: Байгууллагын сүлжээгээ хамгаалах үнэ төлбөргүй IDS/IPS сонгох Хурхирах эсвэл Суриката. 2-р хэсэг: Сурикатагийн суурилуулалт ба анхны тохиргоо
Сүлжээг холбох
Эхний ээлжинд IDS-ийг виртуал машин руу устгах нь туршилт хийхэд шаардлагатай байж магадгүй юм. Хэрэв та ийм шийдлүүдийг хэзээ ч шийдэж байгаагүй бол физик тоног төхөөрөмж захиалах, сүлжээний архитектурыг өөрчлөх гэж яарах хэрэггүй. Тооцооллын хэрэгцээгээ тодорхойлохын тулд системийг аюулгүй, хэмнэлттэй ажиллуулах нь хамгийн сайн арга юм. Корпорацийн бүх урсгалыг нэг гадаад зангилаагаар дамжуулах шаардлагатай гэдгийг ойлгох нь чухал: дотоод сүлжээг (эсвэл хэд хэдэн сүлжээг) IDS Suricata суулгасан VDS-тэй холбохын тулд та ашиглаж болно.
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update
Та боломжтой багцуудын жагсаалтыг дараах тушаалаар харж болно.
apt-cache search softether
Бидэнд softether-vpnserver (туршилтын тохиргоонд байгаа сервер VDS дээр ажиллаж байна), мөн softether-vpncmd - командын мөрийг тохируулах хэрэгслүүд хэрэгтэй болно.
sudo apt-get install softether-vpnserver softether-vpncmd
Серверийг тохируулахын тулд командын мөрийн тусгай хэрэгслийг ашигладаг.
sudo vpncmd
Бид тохиргооны талаар дэлгэрэнгүй ярихгүй: журам нь маш энгийн, олон тооны хэвлэлд сайн тайлбарласан бөгөөд нийтлэлийн сэдэвтэй шууд холбоогүй болно. Товчхондоо, vpncmd-г эхлүүлсний дараа та серверийн удирдлагын консол руу очихын тулд 1-р зүйлийг сонгох хэрэгтэй. Үүнийг хийхийн тулд та localhost нэрийг оруулаад төвийн нэрийг оруулахын оронд enter товчийг дарах хэрэгтэй. Администраторын нууц үгийг консолд serverpasswordset командын хамт тохируулж, DEFAULT виртуал төвийг устгаж (hubdelete команд) болон Suricata_VPN нэрээр шинээр үүсгэж, нууц үгийг нь тохируулсан (hubcreate команд). Дараа нь та Suricata_VPN hub командыг ашиглан шинэ төвийн удирдлагын консол руу орж groupcreate болон usercreate командуудыг ашиглан бүлэг болон хэрэглэгч үүсгэх хэрэгтэй. Хэрэглэгчийн нууц үгийг userpasswordset ашиглан тохируулна.
SoftEther нь SecureNAT болон Local Bridge гэсэн хоёр урсгал дамжуулах горимыг дэмждэг. Эхнийх нь өөрийн NAT болон DHCP бүхий виртуал хувийн сүлжээг бий болгох өмчийн технологи юм. SecureNAT нь TUN/TAP, Netfilter болон бусад галт ханын тохиргоог шаарддаггүй. Чиглүүлэлт нь системийн цөмд нөлөөлдөггүй бөгөөд бүх процессууд виртуалчлагдсан бөгөөд ашигласан гипервизороос үл хамааран дурын VPS / VDS дээр ажилладаг. Энэ нь SoftEther виртуал төвийг физик сүлжээний адаптер эсвэл TAP төхөөрөмжтэй холбодог Local Bridge горимтой харьцуулахад CPU-ийн ачаалал нэмэгдэж, хурд багасдаг.
Энэ тохиолдолд чиглүүлэлт нь Netfilter ашиглан цөмийн түвшинд явагддаг тул тохиргоо нь илүү төвөгтэй болно. Манай VDS нь Hyper-V дээр бүтээгдсэн тул сүүлийн шатанд бид локал гүүр үүсгэж, TAP төхөөрөмжийг bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes командаар идэвхжүүлнэ. Төвийн удирдлагын консолоос гарсны дараа бид системд IP хараахан өгөөгүй байгаа шинэ сүлжээний интерфейсийг харах болно.
ifconfig
Дараа нь, хэрэв идэвхгүй бол интерфэйсүүдийн хооронд пакет чиглүүлэлтийг идэвхжүүлэх шаардлагатай болно (IP дамжуулалт):
sudo nano /etc/sysctl.conf
Дараах мөрийн тайлбарыг арилгана уу:
net.ipv4.ip_forward = 1
Файлд оруулсан өөрчлөлтийг хадгалж, засварлагчаас гараад дараах тушаалыг ашиглана уу.
sudo sysctl -p
Дараа нь бид хуурамч IP (жишээ нь, 10.0.10.0/24) бүхий виртуал сүлжээний дэд сүлжээг тодорхойлж, интерфэйс рүү хаяг өгөх хэрэгтэй.
sudo ifconfig tap_suricata_vp 10.0.10.1/24
Дараа нь та Netfilter дүрмийг бичих хэрэгтэй.
1. Шаардлагатай бол сонсох портууд дээр ирж буй пакетуудыг зөвшөөрнө үү (SoftEther өмчийн протокол нь HTTPS болон 443 портыг ашигладаг)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT
2. 10.0.10.0/24 дэд сүлжээнээс үндсэн серверийн IP руу NAT-г тохируулна уу.
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140
3. 10.0.10.0/24 дэд сүлжээнээс пакет дамжуулахыг зөвшөөрөх
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT
4. Аль хэдийн тогтсон холболтуудад пакет дамжуулахыг зөвшөөрөх
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
Системийг эхлүүлэх скрипт ашиглан дахин эхлүүлэх үед бид үйл явцын автоматжуулалтыг гэрийн даалгавар болгон уншигчдад үлдээх болно.
Хэрэв та үйлчлүүлэгчдэд IP-г автоматаар өгөхийг хүсвэл дотоод гүүрэнд DHCP үйлчилгээг суулгах шаардлагатай болно. Энэ нь серверийн тохиргоог дуусгах бөгөөд та үйлчлүүлэгчид рүү очиж болно. SoftEther нь олон протоколуудыг дэмждэг бөгөөд тэдгээрийн хэрэглээ нь LAN төхөөрөмжийн чадавхиас хамаардаг.
netstat -ap |grep vpnserver
Манай туршилтын чиглүүлэгч нь Ubuntu дээр ажилладаг тул гадны репозитороос softether-vpnclient болон softether-vpncmd багцуудыг суулгаж, өмчлөлийн протоколыг ашиглацгаая. Та үйлчлүүлэгчийг ажиллуулах хэрэгтэй:
sudo vpnclient start
Тохируулахын тулд vpncmd хэрэгслийг ашиглан vpnclient ажиллаж байгаа машинаар localhost-ыг сонго. Бүх тушаалуудыг консол дээр хийдэг: та виртуал интерфейс (NicCreate) болон данс (AccountCreate) үүсгэх хэрэгтэй болно.
Зарим тохиолдолд та AccountAnonymousSet, AccountPasswordSet, AccountCertSet, AccountSecureCertSet командуудыг ашиглан баталгаажуулах аргыг зааж өгөх ёстой. Бид DHCP ашигладаггүй тул виртуал адаптерийн хаягийг гараар тохируулдаг.
Нэмж хэлэхэд, бид ip forward (/etc/sysctl.conf файл дахь net.ipv4.ip_forward=1 сонголт) идэвхжүүлж, статик чиглүүлэлтүүдийг тохируулах хэрэгтэй. Шаардлагатай бол Suricata-тай VDS дээр та дотоод сүлжээнд суулгасан үйлчилгээг ашиглахын тулд порт дамжуулах тохиргоог хийж болно. Үүн дээр сүлжээний нэгдэл дууссан гэж үзэж болно.
Бидний санал болгож буй тохиргоо иймэрхүү харагдах болно:
Suricata-г тохируулж байна
В
IDS-г дахин эхлүүлэхийн тулд дараах тушаалыг ашиглана уу.
systemctl restart suricata
Шийдэл бэлэн болсон тул та үүнийг хорлонтой үйлдэлд тэсвэртэй эсэхийг шалгах хэрэгтэй болж магадгүй юм.
Довтолгоонуудыг дуурайлган хийх
Гадны IDS үйлчилгээг байлдааны зориулалтаар ашиглах хэд хэдэн хувилбар байж болно.
DDoS халдлагаас хамгаалах (үндсэн зорилго)
Шинжилгээнд зориулагдсан пакетууд нь интернетээс хардаг системийн интерфейс рүү орох ёстой тул ийм сонголтыг корпорацийн сүлжээнд хэрэгжүүлэхэд хэцүү байдаг. Хэдийгээр IDS нь тэдгээрийг блоклосон ч гэсэн хуурамч урсгал нь өгөгдлийн холбоосыг унагаж болно. Үүнээс зайлсхийхийн тулд та дотоод сүлжээний бүх урсгал болон бүх гадаад урсгалыг дамжуулж чадах хангалттай бүтээмжтэй интернет холболттой VPS захиалах хэрэгтэй. Оффисын сувгийг өргөжүүлэхээс илүүтэйгээр үүнийг хийх нь ихэвчлэн хялбар бөгөөд хямд байдаг. Өөр хувилбар болгон DDoS-ээс хамгаалах тусгай үйлчилгээг дурдах нь зүйтэй. Тэдний үйлчилгээний өртөг нь виртуал серверийн өртөгтэй харьцуулах боломжтой бөгөөд энэ нь цаг хугацаа шаардсан тохиргоо шаарддаггүй, гэхдээ сул талууд бас байдаг - үйлчлүүлэгч зөвхөн мөнгөөр DDoS хамгаалалтыг авдаг бол өөрийн IDS-ийг таны адил тохируулах боломжтой. дуртай.
Бусад төрлийн гадны халдлагаас хамгаалах
Suricata нь Интернэтээс (мэйл сервер, вэб сервер, вэб програмууд гэх мэт) нэвтрэх боломжтой корпорацийн сүлжээний үйлчилгээний янз бүрийн эмзэг байдлыг ашиглах оролдлогыг даван туулах чадвартай. Ихэвчлэн үүний тулд IDS-ийг хилийн төхөөрөмжүүдийн дараа LAN дотор суулгадаг боловч түүнийг гадагш гаргах нь оршин байх эрхтэй.
Дотоод хүмүүсээс хамгаалах
Системийн администраторын бүх хүчин чармайлтыг үл харгалзан корпорацийн сүлжээнд байгаа компьютерууд хортой програмаар халдварлаж болно. Түүнчлэн орон нутагт зарим үед хууль бус ажиллагаа явуулахыг завдсан танхай этгээдүүд гарч ирдэг. Suricata нь ийм оролдлогыг хаахад тусалж чадна, гэхдээ дотоод сүлжээг хамгаалахын тулд үүнийг периметрийн дотор суулгаж, нэг порт руу урсгалыг тусгах боломжтой удирддаг шилжүүлэгчтэй хамт ашиглах нь дээр. Гадны IDS нь энэ тохиолдолд ашиггүй зүйл биш юм - ядаж л LAN дээр амьдардаг хортой програмууд гадны сервертэй холбогдох оролдлогыг барьж чадна.
Эхлэхийн тулд бид VPS-ийн довтолгооны өөр нэг туршилтыг үүсгэх бөгөөд дотоод сүлжээний чиглүүлэгч дээр бид Apache-г анхдагч тохиргоотой болгож, дараа нь IDS серверээс 80-р портыг дамжуулна. Дараа нь бид халдагч хостоос DDoS халдлагыг дуурайлган хийх болно. Үүнийг хийхийн тулд GitHub-аас татаж аваад, довтолж буй зангилаа дээр жижиг xerxes програмыг хөрвүүлэн ажиллуул (та gcc багцыг суулгах шаардлагатай байж магадгүй):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80
Түүний ажлын үр дүн дараах байдалтай байв.
Суиката муу санаатныг тасалж, Апачи хуудас нь бидний гэнэтийн дайралт, "оффисын" (үнэндээ гэр) сүлжээний нэлээд үхсэн сувгийг үл харгалзан анхдагч байдлаар нээгддэг. Илүү ноцтой ажлуудын хувьд та ашиглах хэрэгтэй
sudo msfupdate
Туршилт хийхийн тулд msfconsole-г ажиллуулна уу.
Харамсалтай нь, фреймворкийн хамгийн сүүлийн хувилбарууд нь автоматаар хагарах чадваргүй тул exploit-уудыг гараар эрэмбэлж, use командыг ашиглан ажиллуулах шаардлагатай болно. Эхлэхийн тулд халдлагад өртсөн машин дээр нээгдсэн портуудыг тодорхойлох нь зүйтэй, жишээлбэл, nmap ашиглан (манай тохиолдолд үүнийг халдлагад өртсөн хост дээр netstat-аар бүрэн солих болно), дараа нь тохирохыг сонгоод ашиглана уу.
IDS-ийн халдлагын эсрэг тэсвэрлэх чадварыг шалгах өөр арга хэрэгсэл, түүний дотор онлайн үйлчилгээ байдаг. Сонирхолтой байхын тулд та туршилтын хувилбарыг ашиглан стресс тестийг зохион байгуулж болно
Эх сурвалж: www.habr.com