Snort किंवा Suricata. भाग 3: ऑफिस नेटवर्कचे संरक्षण करणे

В मागील लेख उबंटू 18.04 LTS वर Suricata ची स्थिर आवृत्ती कशी चालवायची ते आम्ही कव्हर केले आहे. एकाच नोडवर आयडीएस सेट करणे आणि विनामूल्य नियम सेट सक्षम करणे अगदी सोपे आहे. आज आम्ही व्हर्च्युअल सर्व्हरवर स्थापित केलेल्या Suricata वापरून सर्वात सामान्य प्रकारचे हल्ले वापरून कॉर्पोरेट नेटवर्कचे संरक्षण कसे करावे हे शोधून काढू. हे करण्यासाठी, आम्हाला लिनक्सवर दोन कॉम्प्युटिंग कोर असलेल्या व्हीडीएसची आवश्यकता आहे. RAM चे प्रमाण लोडवर अवलंबून असते: एखाद्यासाठी 2 GB पुरेसे आहे आणि अधिक गंभीर कार्यांसाठी 4 किंवा 6 ची आवश्यकता असू शकते. आभासी मशीनचा फायदा म्हणजे प्रयोग करण्याची क्षमता: आपण कमीतकमी कॉन्फिगरेशनसह प्रारंभ करू शकता आणि वाढवू शकता. आवश्यकतेनुसार संसाधने.

फोटो: रॉयटर्स

• Snort किंवा Suricata. भाग 1: तुमच्या कॉर्पोरेट नेटवर्कचे संरक्षण करण्यासाठी विनामूल्य IDS/IPS निवडणे
• Snort किंवा Suricata. भाग 2: Suricata ची स्थापना आणि प्रारंभिक सेटअप

नेटवर्क कनेक्ट करत आहे

चाचण्यांसाठी प्रथम व्हर्च्युअल मशीनवर IDS काढणे आवश्यक असू शकते. जर तुम्ही अशा सोल्यूशन्सचा कधीही सामना केला नसेल, तर तुम्ही भौतिक हार्डवेअर ऑर्डर करण्यासाठी आणि नेटवर्क आर्किटेक्चर बदलण्यासाठी घाई करू नये. तुमच्‍या गणनेच्‍या गरजा निर्धारित करण्‍यासाठी प्रणाली सुरक्षितपणे आणि किफायतशीरपणे चालवणे उत्तम. हे समजून घेणे महत्त्वाचे आहे की सर्व कॉर्पोरेट रहदारी एकाच बाह्य नोडमधून पार करावी लागेल: आयडीएस सुरीकाटा स्थापित असलेल्या व्हीडीएसशी स्थानिक नेटवर्क (किंवा अनेक नेटवर्क) कनेक्ट करण्यासाठी, आपण वापरू शकता सॉफ्टएथर - कॉन्फिगर करण्यास सोपा, क्रॉस-प्लॅटफॉर्म VPN सर्व्हर जो मजबूत एन्क्रिप्शन प्रदान करतो. ऑफिस इंटरनेट कनेक्शनमध्ये वास्तविक IP नसू शकतो, म्हणून ते VPS वर सेट करणे चांगले आहे. उबंटू रेपॉजिटरीमध्ये कोणतेही तयार पॅकेज नाहीत, तुम्हाला सॉफ्टवेअर डाउनलोड करावे लागेल. प्रकल्प साइट, किंवा सेवेवरील बाह्य भांडारातून Launchpad (जर तुमचा त्याच्यावर विश्वास असेल):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

तुम्ही खालील आदेशासह उपलब्ध पॅकेजेसची सूची पाहू शकता:

apt-cache search softether

ते कॉन्फिगर करण्यासाठी आम्हाला softether-vpnserver (चाचणी कॉन्फिगरेशनमधील सर्व्हर VDS वर चालू आहे), तसेच softether-vpncmd - कमांड लाइन युटिलिटिजची आवश्यकता असेल.

sudo apt-get install softether-vpnserver softether-vpncmd

सर्व्हर कॉन्फिगर करण्यासाठी विशेष कमांड लाइन युटिलिटी वापरली जाते:

sudo vpncmd

आम्ही सेटिंगबद्दल तपशीलवार बोलणार नाही: प्रक्रिया अगदी सोपी आहे, तिचे असंख्य प्रकाशनांमध्ये चांगले वर्णन केले आहे आणि लेखाच्या विषयाशी थेट संबंध नाही. थोडक्यात, vpncmd सुरू केल्यानंतर, सर्व्हर व्यवस्थापन कन्सोलवर जाण्यासाठी तुम्हाला आयटम 1 निवडणे आवश्यक आहे. हे करण्यासाठी, तुम्हाला लोकलहोस्ट नाव प्रविष्ट करणे आवश्यक आहे आणि हबचे नाव प्रविष्ट करण्याऐवजी एंटर दाबा. प्रशासक पासवर्ड सर्व्हरपासवर्डसेट कमांडसह कन्सोलमध्ये सेट केला जातो, डीफॉल्ट व्हर्च्युअल हब हटविला जातो (हबडेलीट कमांड) आणि Suricata_VPN नावाने एक नवीन तयार केला जातो आणि त्याचा पासवर्ड देखील सेट केला जातो (हबक्रिएट कमांड). पुढे, तुम्हाला हब Suricata_VPN कमांड वापरून नवीन हबच्या मॅनेजमेंट कन्सोलवर जावे लागेल आणि groupcreate आणि usercreate कमांडचा वापर करून ग्रुप आणि वापरकर्ता तयार करा. वापरकर्ता संकेतशब्द वापरकर्ता पासवर्डसेट वापरून सेट केला जातो.

सॉफ्टइथर दोन ट्रॅफिक ट्रान्सफर मोडला सपोर्ट करते: सिक्युरनेट आणि लोकल ब्रिज. पहिले स्वतःचे NAT आणि DHCP सह आभासी खाजगी नेटवर्क तयार करण्यासाठी मालकीचे तंत्रज्ञान आहे. SecureNAT ला TUN/TAP किंवा Netfilter किंवा इतर फायरवॉल सेटिंग्जची आवश्यकता नाही. राउटिंगचा प्रणालीच्या कोरवर परिणाम होत नाही आणि सर्व प्रक्रिया व्हर्च्युअलाइज केल्या जातात आणि कोणत्याही VPS/VDS वर कार्य करतात, हायपरवाइजर वापरल्याशिवाय. यामुळे स्थानिक ब्रिज मोडच्या तुलनेत CPU भार वाढतो आणि वेग कमी होतो, जे SoftEther व्हर्च्युअल हबला भौतिक नेटवर्क अडॅप्टर किंवा TAP डिव्हाइसशी जोडते.

या प्रकरणात कॉन्फिगरेशन अधिक क्लिष्ट होते, कारण रूटिंग नेटफिल्टर वापरून कर्नल स्तरावर होते. आमचे व्हीडीएस हायपर-व्ही वर तयार केले आहे, म्हणून शेवटच्या टप्प्यात आम्ही स्थानिक ब्रिज तयार करतो आणि ब्रिजक्रिएट Suricate_VPN -device:suricate_vpn -tap:yes कमांडसह TAP डिव्हाइस सक्रिय करतो. हब मॅनेजमेंट कन्सोलमधून बाहेर पडल्यानंतर, आम्हाला सिस्टममध्ये एक नवीन नेटवर्क इंटरफेस दिसेल ज्याला अद्याप IP नियुक्त केलेला नाही:

ifconfig

पुढे, तुम्हाला इंटरफेस (IP फॉरवर्ड) दरम्यान पॅकेट राउटिंग सक्षम करावे लागेल, जर ते निष्क्रिय असेल:

sudo nano /etc/sysctl.conf

खालील ओळ अनकमेंट करा:

net.ipv4.ip_forward = 1

फाइलमध्ये बदल सेव्ह करा, एडिटरमधून बाहेर पडा आणि त्यांना खालील कमांडसह लागू करा:

sudo sysctl -p

पुढे, आम्हाला काल्पनिक IP सह व्हर्च्युअल नेटवर्कसाठी सबनेट परिभाषित करणे आवश्यक आहे (उदाहरणार्थ, 10.0.10.0/24) आणि इंटरफेसला एक पत्ता नियुक्त करणे आवश्यक आहे:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

मग तुम्हाला नेटफिल्टरचे नियम लिहावे लागतील.

1. आवश्यक असल्यास, ऐकण्याच्या पोर्टवर येणार्‍या पॅकेट्सना अनुमती द्या (सॉफ्टइथर प्रोप्रायटरी प्रोटोकॉल HTTPS आणि पोर्ट 443 वापरते)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. 10.0.10.0/24 सबनेटवरून मुख्य सर्व्हर IP वर NAT सेट करा

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. सबनेट 10.0.10.0/24 वरून पॅकेट पास करण्यास अनुमती द्या

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. आधीच स्थापित कनेक्शनसाठी पॅकेट पास करण्याची परवानगी द्या

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

गृहपाठ म्हणून वाचकांसाठी इनिशिएलायझेशन स्क्रिप्ट वापरून सिस्टम रीस्टार्ट झाल्यावर आम्ही प्रक्रियेचे ऑटोमेशन सोडू.

तुम्ही क्लायंटला आपोआप IP देऊ इच्छित असल्यास, तुम्हाला स्थानिक ब्रिजसाठी काही प्रकारची DHCP सेवा देखील स्थापित करावी लागेल. हे सर्व्हर सेटअप पूर्ण करते आणि तुम्ही क्लायंटकडे जाऊ शकता. SoftEther अनेक प्रोटोकॉलचे समर्थन करते, ज्याचा वापर LAN उपकरणांच्या क्षमतेवर अवलंबून असतो.

netstat -ap |grep vpnserver

आमचा चाचणी राउटर उबंटू अंतर्गत देखील चालत असल्याने, मालकी प्रोटोकॉल वापरण्यासाठी बाह्य भांडारातून सॉफ्टदर-व्हीपीएनक्लायंट आणि सॉफ्टदर-व्हीपीएनसीएमडी पॅकेजेस स्थापित करूया. आपल्याला क्लायंट चालवण्याची आवश्यकता असेल:

sudo vpnclient start

कॉन्फिगर करण्यासाठी, vpncmd युटिलिटी वापरा, vpnclient ज्या मशीनवर चालत आहे त्या मशीन म्हणून लोकलहोस्टची निवड करा. सर्व कमांड कन्सोलमध्ये बनविल्या जातात: तुम्हाला व्हर्च्युअल इंटरफेस (NicCreate) आणि खाते (AccountCreate) तयार करावे लागेल.

काही प्रकरणांमध्ये, तुम्ही AccountAnonymousSet, AccountPasswordSet, AccountCertSet आणि AccountSecureCertSet आदेश वापरून प्रमाणीकरण पद्धत निर्दिष्ट करणे आवश्यक आहे. आम्ही DHCP वापरत नसल्यामुळे, व्हर्च्युअल अडॅप्टरचा पत्ता स्वहस्ते सेट केला आहे.

याशिवाय, आम्हाला ip फॉरवर्ड (/etc/sysctl.conf फाइलमधील पर्याय net.ipv4.ip_forward=1) सक्षम करणे आणि स्थिर मार्ग कॉन्फिगर करणे आवश्यक आहे. आवश्यक असल्यास, Suricata सह VDS वर, तुम्ही स्थानिक नेटवर्कवर स्थापित केलेल्या सेवा वापरण्यासाठी पोर्ट फॉरवर्डिंग कॉन्फिगर करू शकता. यावर, नेटवर्क विलीनीकरण पूर्ण मानले जाऊ शकते.

आमचे प्रस्तावित कॉन्फिगरेशन असे काहीतरी दिसेल:

Suricata सेट करत आहे

В मागील लेख आम्ही IDS च्या ऑपरेशनच्या दोन पद्धतींबद्दल बोललो: NFQUEUE रांगेद्वारे (NFQ मोड) आणि शून्य प्रत (AF_PACKET मोड) द्वारे. दुसऱ्याला दोन इंटरफेस आवश्यक आहेत, परंतु ते वेगवान आहे - आम्ही ते वापरू. पॅरामीटर डीफॉल्टनुसार /etc/default/suricata मध्ये सेट केले आहे. आम्हाला /etc/suricata/suricata.yaml मधील vars विभाग संपादित करणे देखील आवश्यक आहे, तेथे व्हर्च्युअल सबनेट होम म्हणून सेट करणे आवश्यक आहे.

आयडीएस रीस्टार्ट करण्यासाठी, कमांड वापरा:

systemctl restart suricata

उपाय तयार आहे, आता तुम्हाला दुर्भावनायुक्त क्रियांच्या प्रतिकारासाठी त्याची चाचणी घ्यावी लागेल.

हल्ल्यांचे अनुकरण करणे

बाह्य IDS सेवेच्या लढाऊ वापरासाठी अनेक परिस्थिती असू शकतात:

DDoS हल्ल्यांपासून संरक्षण (प्राथमिक उद्देश)

कॉर्पोरेट नेटवर्कमध्ये असा पर्याय अंमलात आणणे कठीण आहे, कारण विश्लेषणासाठी पॅकेट इंटरनेटवर दिसणार्‍या सिस्टम इंटरफेसवर जाणे आवश्यक आहे. जरी आयडीएसने त्यांना ब्लॉक केले तरी, बनावट रहदारी डेटा लिंक खाली आणू शकते. हे टाळण्यासाठी, तुम्हाला पुरेशा उत्पादनक्षम इंटरनेट कनेक्शनसह VPS ऑर्डर करणे आवश्यक आहे जे सर्व स्थानिक नेटवर्क रहदारी आणि सर्व बाह्य रहदारी पास करू शकते. ऑफिस चॅनेलचा विस्तार करण्यापेक्षा हे करणे बरेचदा सोपे आणि स्वस्त असते. एक पर्याय म्हणून, DDoS विरूद्ध संरक्षणासाठी विशेष सेवांचा उल्लेख करणे योग्य आहे. त्यांच्या सेवांची किंमत व्हर्च्युअल सर्व्हरच्या किंमतीशी तुलना करता येते, आणि त्यासाठी वेळ घेणारे कॉन्फिगरेशन आवश्यक नसते, परंतु काही तोटे देखील आहेत - क्लायंटला त्याच्या पैशासाठी फक्त DDoS संरक्षण मिळते, तर त्याचा स्वतःचा IDS तुमच्याप्रमाणे कॉन्फिगर केला जाऊ शकतो. सारखे

इतर प्रकारच्या बाह्य हल्ल्यांपासून संरक्षण

इंटरनेटवरून (मेल सर्व्हर, वेब सर्व्हर आणि वेब ऍप्लिकेशन्स इ.) उपलब्ध असलेल्या कॉर्पोरेट नेटवर्क सेवांमधील विविध असुरक्षिततेचा फायदा घेण्याच्या प्रयत्नांना सुरीकाटा सक्षम आहे. सहसा, यासाठी, सीमा उपकरणांनंतर आयडीएस लॅनमध्ये स्थापित केला जातो, परंतु त्यास बाहेर नेण्याचा अधिकार आहे.

आतल्या लोकांपासून संरक्षण

सिस्टम प्रशासकाच्या सर्वोत्तम प्रयत्नांनंतरही, कॉर्पोरेट नेटवर्कवरील संगणक मालवेअरने संक्रमित होऊ शकतात. याव्यतिरिक्त, काही वेळा गुंड लोक स्थानिक परिसरात दिसतात, जे काही बेकायदेशीर कारवाया करण्याचा प्रयत्न करतात. Suricata अशा प्रयत्नांना रोखण्यात मदत करू शकते, जरी अंतर्गत नेटवर्कचे संरक्षण करण्यासाठी ते परिमितीच्या आत स्थापित करणे आणि एका पोर्टवर रहदारी मिरर करू शकणार्‍या व्यवस्थापित स्विचसह वापरणे चांगले आहे. या प्रकरणात बाह्य आयडीएस देखील निरुपयोगी नाही - किमान ते बाह्य सर्व्हरशी संपर्क साधण्यासाठी LAN वर राहणाऱ्या मालवेअरद्वारे प्रयत्नांना पकडण्यात सक्षम असेल.

सुरुवातीला, आम्ही व्हीपीएसवर हल्ला करणारी दुसरी चाचणी तयार करू आणि स्थानिक नेटवर्क राउटरवर आम्ही डीफॉल्ट कॉन्फिगरेशनसह Apache वाढवू, त्यानंतर आम्ही IDS सर्व्हरवरून 80 व्या पोर्टला फॉरवर्ड करू. पुढे, आम्ही आक्रमण करणार्‍या होस्टकडून DDoS हल्ल्याचे अनुकरण करू. हे करण्यासाठी, GitHub वरून डाउनलोड करा, अटॅकिंग नोडवर एक छोटा xerxes प्रोग्राम संकलित करा आणि चालवा (तुम्हाला gcc पॅकेज स्थापित करण्याची आवश्यकता असू शकते):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

तिच्या कामाचा परिणाम खालीलप्रमाणे होता:

आमचा उत्स्फूर्त हल्ला आणि "ऑफिस" (खरेतर होम) नेटवर्कचे ऐवजी मृत चॅनेल असूनही, Suricata खलनायकाला कापतो आणि अपाचे पृष्ठ डीफॉल्टनुसार उघडते. अधिक गंभीर कार्यांसाठी, आपण वापरावे मेटास्पलोइट फ्रेमवर्क. हे प्रवेश चाचणीसाठी डिझाइन केलेले आहे आणि आपल्याला विविध हल्ल्यांचे अनुकरण करण्यास अनुमती देते. स्थापना सूचना उपलब्ध प्रकल्प वेबसाइटवर. स्थापनेनंतर, एक अद्यतन आवश्यक आहे:

sudo msfupdate

चाचणीसाठी, msfconsole चालवा.

दुर्दैवाने, फ्रेमवर्कच्या नवीनतम आवृत्त्यांमध्ये आपोआप क्रॅक करण्याची क्षमता नाही, म्हणून शोषणे व्यक्तिचलितपणे क्रमवारी लावावी लागतील आणि वापर कमांड वापरून चालवावी लागतील. सुरुवातीला, आक्रमण केलेल्या मशीनवर उघडलेले पोर्ट निश्चित करणे योग्य आहे, उदाहरणार्थ, nmap वापरणे (आमच्या बाबतीत, ते आक्रमण केलेल्या होस्टवर नेटस्टॅटद्वारे पूर्णपणे बदलले जाईल), आणि नंतर योग्य निवडा आणि वापरा. मेटास्प्लोइट मॉड्यूल्स. 

ऑनलाइन सेवांसह, हल्ल्यांविरूद्ध आयडीएसची लवचिकता तपासण्यासाठी इतर मार्ग आहेत. कुतूहलाच्या फायद्यासाठी, आपण चाचणी आवृत्ती वापरून तणाव चाचणीची व्यवस्था करू शकता आयपी स्ट्रेसर. अंतर्गत घुसखोरांच्या कृतींवरील प्रतिक्रिया तपासण्यासाठी, स्थानिक नेटवर्कवरील एका मशीनवर विशेष साधने स्थापित करणे योग्य आहे. तेथे बरेच पर्याय आहेत आणि वेळोवेळी ते केवळ प्रायोगिक साइटवरच नव्हे तर कार्यरत प्रणालींवर देखील लागू केले जावे, फक्त ही एक पूर्णपणे वेगळी कथा आहे.

स्त्रोत: www.habr.com