В Бид Ubuntu 18.04 LTS дээр Suricata-ийн тогтвортой хувилбарыг хэрхэн ажиллуулах талаар авч үзсэн. Нэг зангилаа дээр IDS тохируулах, үнэгүй дүрмийн багцыг идэвхжүүлэх нь маш энгийн зүйл юм. Өнөөдөр бид виртуал сервер дээр суулгасан Suricata ашиглан хамгийн түгээмэл халдлагуудыг ашиглан корпорацийн сүлжээг хэрхэн хамгаалах талаар олж мэдэх болно. Үүнийг хийхийн тулд бидэнд хоёр тооцоолох цөм бүхий Linux дээр VDS хэрэгтэй. RAM-ийн хэмжээ нь ачааллаас хамаарна: хэн нэгэнд 2 ГБ хангалттай, илүү ноцтой ажлуудад 4 эсвэл бүр 6 шаардлагатай байж болно.Виртуал машины давуу тал нь туршилт хийх чадвар юм: та хамгийн бага тохиргооноос эхэлж, нэмэгдүүлэх боломжтой. шаардлагатай бол нөөц.
зураг: Ройтерс
Сүлжээг холбох
Эхний ээлжинд IDS-ийг виртуал машин руу устгах нь туршилт хийхэд шаардлагатай байж магадгүй юм. Хэрэв та ийм шийдлүүдийг хэзээ ч шийдэж байгаагүй бол физик тоног төхөөрөмж захиалах, сүлжээний архитектурыг өөрчлөх гэж яарах хэрэггүй. Тооцооллын хэрэгцээгээ тодорхойлохын тулд системийг аюулгүй, хэмнэлттэй ажиллуулах нь хамгийн сайн арга юм. Корпорацийн бүх урсгалыг нэг гадаад зангилаагаар дамжуулах шаардлагатай гэдгийг ойлгох нь чухал: дотоод сүлжээг (эсвэл хэд хэдэн сүлжээг) IDS Suricata суулгасан VDS-тэй холбохын тулд та ашиглаж болно. - Тохируулахад хялбар, хүчирхэг шифрлэлтээр хангадаг хөндлөн платформ VPN сервер. Оффисын интернет холболт нь жинхэнэ IP байхгүй байж магадгүй тул VPS дээр тохируулах нь дээр. Ubuntu репозиторт бэлэн багц байхгүй тул та программ хангамжийг эндээс татаж авах хэрэгтэй болно , эсвэл үйлчилгээ дээрх гадаад репозитороос (хэрэв та түүнд итгэдэг бол):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateТа боломжтой багцуудын жагсаалтыг дараах тушаалаар харж болно.
apt-cache search softether
Бидэнд softether-vpnserver (туршилтын тохиргоонд байгаа сервер VDS дээр ажиллаж байна), мөн softether-vpncmd - командын мөрийг тохируулах хэрэгслүүд хэрэгтэй болно.
sudo apt-get install softether-vpnserver softether-vpncmdСерверийг тохируулахын тулд командын мөрийн тусгай хэрэгслийг ашигладаг.
sudo vpncmd
Бид тохиргооны талаар дэлгэрэнгүй ярихгүй: журам нь маш энгийн, олон тооны хэвлэлд сайн тайлбарласан бөгөөд нийтлэлийн сэдэвтэй шууд холбоогүй болно. Товчхондоо, vpncmd-г эхлүүлсний дараа та серверийн удирдлагын консол руу очихын тулд 1-р зүйлийг сонгох хэрэгтэй. Үүнийг хийхийн тулд та localhost нэрийг оруулаад төвийн нэрийг оруулахын оронд enter товчийг дарах хэрэгтэй. Администраторын нууц үгийг консолд serverpasswordset командын хамт тохируулж, DEFAULT виртуал төвийг устгаж (hubdelete команд) болон Suricata_VPN нэрээр шинээр үүсгэж, нууц үгийг нь тохируулсан (hubcreate команд). Дараа нь та Suricata_VPN hub командыг ашиглан шинэ төвийн удирдлагын консол руу орж groupcreate болон usercreate командуудыг ашиглан бүлэг болон хэрэглэгч үүсгэх хэрэгтэй. Хэрэглэгчийн нууц үгийг userpasswordset ашиглан тохируулна.
SoftEther нь SecureNAT болон Local Bridge гэсэн хоёр урсгал дамжуулах горимыг дэмждэг. Эхнийх нь өөрийн NAT болон DHCP бүхий виртуал хувийн сүлжээг бий болгох өмчийн технологи юм. SecureNAT нь TUN/TAP, Netfilter болон бусад галт ханын тохиргоог шаарддаггүй. Чиглүүлэлт нь системийн цөмд нөлөөлдөггүй бөгөөд бүх процессууд виртуалчлагдсан бөгөөд ашигласан гипервизороос үл хамааран дурын VPS / VDS дээр ажилладаг. Энэ нь SoftEther виртуал төвийг физик сүлжээний адаптер эсвэл TAP төхөөрөмжтэй холбодог Local Bridge горимтой харьцуулахад CPU-ийн ачаалал нэмэгдэж, хурд багасдаг.
Энэ тохиолдолд чиглүүлэлт нь Netfilter ашиглан цөмийн түвшинд явагддаг тул тохиргоо нь илүү төвөгтэй болно. Манай VDS нь Hyper-V дээр бүтээгдсэн тул сүүлийн шатанд бид локал гүүр үүсгэж, TAP төхөөрөмжийг bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes командаар идэвхжүүлнэ. Төвийн удирдлагын консолоос гарсны дараа бид системд IP хараахан өгөөгүй байгаа шинэ сүлжээний интерфейсийг харах болно.
ifconfig
Дараа нь, хэрэв идэвхгүй бол интерфэйсүүдийн хооронд пакет чиглүүлэлтийг идэвхжүүлэх шаардлагатай болно (IP дамжуулалт):
sudo nano /etc/sysctl.confДараах мөрийн тайлбарыг арилгана уу:
net.ipv4.ip_forward = 1Файлд оруулсан өөрчлөлтийг хадгалж, засварлагчаас гараад дараах тушаалыг ашиглана уу.
sudo sysctl -pДараа нь бид хуурамч IP (жишээ нь, 10.0.10.0/24) бүхий виртуал сүлжээний дэд сүлжээг тодорхойлж, интерфэйс рүү хаяг өгөх хэрэгтэй.
sudo ifconfig tap_suricata_vp 10.0.10.1/24Дараа нь та Netfilter дүрмийг бичих хэрэгтэй.
1. Шаардлагатай бол сонсох портууд дээр ирж буй пакетуудыг зөвшөөрнө үү (SoftEther өмчийн протокол нь HTTPS болон 443 портыг ашигладаг)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. 10.0.10.0/24 дэд сүлжээнээс үндсэн серверийн IP руу NAT-г тохируулна уу.
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. 10.0.10.0/24 дэд сүлжээнээс пакет дамжуулахыг зөвшөөрөх
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Аль хэдийн тогтсон холболтуудад пакет дамжуулахыг зөвшөөрөх
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTСистемийг эхлүүлэх скрипт ашиглан дахин эхлүүлэх үед бид үйл явцын автоматжуулалтыг гэрийн даалгавар болгон уншигчдад үлдээх болно.
Хэрэв та үйлчлүүлэгчдэд IP-г автоматаар өгөхийг хүсвэл дотоод гүүрэнд DHCP үйлчилгээг суулгах шаардлагатай болно. Энэ нь серверийн тохиргоог дуусгах бөгөөд та үйлчлүүлэгчид рүү очиж болно. SoftEther нь олон протоколуудыг дэмждэг бөгөөд тэдгээрийн хэрэглээ нь LAN төхөөрөмжийн чадавхиас хамаардаг.
netstat -ap |grep vpnserver
Манай туршилтын чиглүүлэгч нь Ubuntu дээр ажилладаг тул гадны репозитороос softether-vpnclient болон softether-vpncmd багцуудыг суулгаж, өмчлөлийн протоколыг ашиглацгаая. Та үйлчлүүлэгчийг ажиллуулах хэрэгтэй:
sudo vpnclient startТохируулахын тулд vpncmd хэрэгслийг ашиглан vpnclient ажиллаж байгаа машинаар localhost-ыг сонго. Бүх тушаалуудыг консол дээр хийдэг: та виртуал интерфейс (NicCreate) болон данс (AccountCreate) үүсгэх хэрэгтэй болно.
Зарим тохиолдолд та AccountAnonymousSet, AccountPasswordSet, AccountCertSet, AccountSecureCertSet командуудыг ашиглан баталгаажуулах аргыг зааж өгөх ёстой. Бид DHCP ашигладаггүй тул виртуал адаптерийн хаягийг гараар тохируулдаг.
Нэмж хэлэхэд, бид ip forward (/etc/sysctl.conf файл дахь net.ipv4.ip_forward=1 сонголт) идэвхжүүлж, статик чиглүүлэлтүүдийг тохируулах хэрэгтэй. Шаардлагатай бол Suricata-тай VDS дээр та дотоод сүлжээнд суулгасан үйлчилгээг ашиглахын тулд порт дамжуулах тохиргоог хийж болно. Үүн дээр сүлжээний нэгдэл дууссан гэж үзэж болно.
Бидний санал болгож буй тохиргоо иймэрхүү харагдах болно:
Suricata-г тохируулж байна
В Бид IDS-ийн ажиллах хоёр горимын талаар ярилцсан: NFQUEUE дараалал (NFQ горим) ба тэг хуулбар (AF_PACKET горим). Хоёр дахь нь хоёр интерфейс шаарддаг, гэхдээ илүү хурдан байдаг - бид үүнийг ашиглах болно. Параметрийг анхдагчаар /etc/default/suricata-д тохируулсан. Мөн бид /etc/suricata/suricata.yaml доторх vars хэсгийг засварлаж, виртуал дэд сүлжээг гэр болгон тохируулах хэрэгтэй.
IDS-г дахин эхлүүлэхийн тулд дараах тушаалыг ашиглана уу.
systemctl restart suricataШийдэл бэлэн болсон тул та үүнийг хорлонтой үйлдэлд тэсвэртэй эсэхийг шалгах хэрэгтэй болж магадгүй юм.
Довтолгоонуудыг дуурайлган хийх
Гадны IDS үйлчилгээг байлдааны зориулалтаар ашиглах хэд хэдэн хувилбар байж болно.
DDoS халдлагаас хамгаалах (үндсэн зорилго)
Шинжилгээнд зориулагдсан пакетууд нь интернетээс хардаг системийн интерфейс рүү орох ёстой тул ийм сонголтыг корпорацийн сүлжээнд хэрэгжүүлэхэд хэцүү байдаг. Хэдийгээр IDS нь тэдгээрийг блоклосон ч гэсэн хуурамч урсгал нь өгөгдлийн холбоосыг унагаж болно. Үүнээс зайлсхийхийн тулд та дотоод сүлжээний бүх урсгал болон бүх гадаад урсгалыг дамжуулж чадах хангалттай бүтээмжтэй интернет холболттой VPS захиалах хэрэгтэй. Оффисын сувгийг өргөжүүлэхээс илүүтэйгээр үүнийг хийх нь ихэвчлэн хялбар бөгөөд хямд байдаг. Өөр хувилбар болгон DDoS-ээс хамгаалах тусгай үйлчилгээг дурдах нь зүйтэй. Тэдний үйлчилгээний өртөг нь виртуал серверийн өртөгтэй харьцуулах боломжтой бөгөөд энэ нь цаг хугацаа шаардсан тохиргоо шаарддаггүй, гэхдээ сул талууд бас байдаг - үйлчлүүлэгч зөвхөн мөнгөөр DDoS хамгаалалтыг авдаг бол өөрийн IDS-ийг таны адил тохируулах боломжтой. дуртай.
Бусад төрлийн гадны халдлагаас хамгаалах
Suricata нь Интернэтээс (мэйл сервер, вэб сервер, вэб програмууд гэх мэт) нэвтрэх боломжтой корпорацийн сүлжээний үйлчилгээний янз бүрийн эмзэг байдлыг ашиглах оролдлогыг даван туулах чадвартай. Ихэвчлэн үүний тулд IDS-ийг хилийн төхөөрөмжүүдийн дараа LAN дотор суулгадаг боловч түүнийг гадагш гаргах нь оршин байх эрхтэй.
Дотоод хүмүүсээс хамгаалах
Системийн администраторын бүх хүчин чармайлтыг үл харгалзан корпорацийн сүлжээнд байгаа компьютерууд хортой програмаар халдварлаж болно. Түүнчлэн орон нутагт зарим үед хууль бус ажиллагаа явуулахыг завдсан танхай этгээдүүд гарч ирдэг. Suricata нь ийм оролдлогыг хаахад тусалж чадна, гэхдээ дотоод сүлжээг хамгаалахын тулд үүнийг периметрийн дотор суулгаж, нэг порт руу урсгалыг тусгах боломжтой удирддаг шилжүүлэгчтэй хамт ашиглах нь дээр. Гадны IDS нь энэ тохиолдолд ашиггүй зүйл биш юм - ядаж л LAN дээр амьдардаг хортой програмууд гадны сервертэй холбогдох оролдлогыг барьж чадна.
Эхлэхийн тулд бид VPS-ийн довтолгооны өөр нэг туршилтыг үүсгэх бөгөөд дотоод сүлжээний чиглүүлэгч дээр бид Apache-г анхдагч тохиргоотой болгож, дараа нь IDS серверээс 80-р портыг дамжуулна. Дараа нь бид халдагч хостоос DDoS халдлагыг дуурайлган хийх болно. Үүнийг хийхийн тулд GitHub-аас татаж аваад, довтолж буй зангилаа дээр жижиг xerxes програмыг хөрвүүлэн ажиллуул (та gcc багцыг суулгах шаардлагатай байж магадгүй):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Түүний ажлын үр дүн дараах байдалтай байв.
Суиката муу санаатныг тасалж, Апачи хуудас нь бидний гэнэтийн дайралт, "оффисын" (үнэндээ гэр) сүлжээний нэлээд үхсэн сувгийг үл харгалзан анхдагч байдлаар нээгддэг. Илүү ноцтой ажлуудын хувьд та ашиглах хэрэгтэй . Энэ нь нэвтрэлтийн тест хийхэд зориулагдсан бөгөөд янз бүрийн халдлагуудыг дуурайлган хийх боломжийг олгодог. Суулгах заавар төслийн вэбсайт дээр. Суулгасны дараа шинэчлэлт хийх шаардлагатай:
sudo msfupdateТуршилт хийхийн тулд msfconsole-г ажиллуулна уу.
Харамсалтай нь, фреймворкийн хамгийн сүүлийн хувилбарууд нь автоматаар хагарах чадваргүй тул exploit-уудыг гараар эрэмбэлж, use командыг ашиглан ажиллуулах шаардлагатай болно. Эхлэхийн тулд халдлагад өртсөн машин дээр нээгдсэн портуудыг тодорхойлох нь зүйтэй, жишээлбэл, nmap ашиглан (манай тохиолдолд үүнийг халдлагад өртсөн хост дээр netstat-аар бүрэн солих болно), дараа нь тохирохыг сонгоод ашиглана уу. .
IDS-ийн халдлагын эсрэг тэсвэрлэх чадварыг шалгах өөр арга хэрэгсэл, түүний дотор онлайн үйлчилгээ байдаг. Сонирхолтой байхын тулд та туршилтын хувилбарыг ашиглан стресс тестийг зохион байгуулж болно . Дотоод халдагчдын үйлдэлд үзүүлэх хариу үйлдлийг шалгахын тулд дотоод сүлжээнд байгаа машинуудын аль нэгэнд тусгай хэрэгсэл суурилуулах нь зүйтэй. Маш олон сонголтууд байдаг бөгөөд үе үе тэдгээрийг зөвхөн туршилтын талбайд төдийгүй ажлын системд ашиглах ёстой, зөвхөн энэ бол огт өөр түүх юм.
Эх сурвалж: www.habr.com