В koprejna kif tħaddem il-verżjoni stabbli ta 'Suricata fuq Ubuntu 18.04 LTS. It-twaqqif ta 'IDS fuq nodu wieħed u l-abilitazzjoni ta' settijiet ta 'regoli ħielsa hija pjuttost sempliċi. Illum ser insemmu kif nipproteġu netwerk korporattiv billi tuża l-aktar tipi komuni ta 'attakki billi tuża Suricata installata fuq server virtwali. Biex nagħmlu dan, għandna bżonn VDS fuq Linux b'żewġ cores tal-kompjuters. L-ammont ta 'RAM jiddependi fuq it-tagħbija: 2 GB huwa biżżejjed għal xi ħadd, u 4 jew saħansitra 6 jistgħu jkunu meħtieġa għal kompiti aktar serji. Il-vantaġġ ta' magna virtwali huwa l-abbiltà li tesperimenta: tista 'tibda b'konfigurazzjoni minima u żżid riżorsi kif meħtieġ.
ritratt: Reuters
Konnessjoni tan-netwerks
It-tneħħija tal-IDS għal magna virtwali fl-ewwel lok tista' tkun meħtieġa għat-testijiet. Jekk qatt ma ttrattat soluzzjonijiet bħal dawn, m'għandekx tgħaġġel biex tordna hardware fiżiku u tibdel l-arkitettura tan-netwerk. L-aħjar huwa li tħaddem is-sistema b'mod sikur u kosteffettiv biex tiddetermina l-bżonnijiet tal-kompjuter tiegħek. Huwa importanti li tifhem li t-traffiku korporattiv kollu se jkollu jgħaddi minn nodu estern wieħed: biex tgħaqqad netwerk lokali (jew diversi netwerks) ma' VDS b'IDS Suricata installat, tista' tuża - Server VPN multi-pjattaforma faċli biex jiġi kkonfigurat li jipprovdi kriptaġġ b'saħħtu. Konnessjoni tal-Internet tal-uffiċċju jista 'ma jkollux IP reali, għalhekk huwa aħjar li twaqqafha fuq VPS. M'hemm l-ebda pakketti lesti fir-repożitorju ta 'Ubuntu, ser ikollok tniżżel is-softwer jew minn , jew minn repożitorju estern fuq is-servizz (jekk tafdah):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateTista' tara l-lista ta' pakketti disponibbli bil-kmand li ġej:
apt-cache search softether
Ikollna bżonn softether-vpnserver (is-server fil-konfigurazzjoni tat-test qed jaħdem fuq VDS), kif ukoll softether-vpncmd - utilitajiet tal-linja tal-kmand għall-konfigurazzjoni tiegħu.
sudo apt-get install softether-vpnserver softether-vpncmdUtilità speċjali tal-linja tal-kmand tintuża biex tikkonfigura s-server:
sudo vpncmd
Mhux se nitkellmu fid-dettall dwar l-issettjar: il-proċedura hija pjuttost sempliċi, hija deskritta tajjeb f'bosta pubblikazzjonijiet u ma tirrelatax direttament mas-suġġett tal-artikolu. Fil-qosor, wara li tibda vpncmd, trid tagħżel l-oġġett 1 biex tmur fil-console ta 'ġestjoni tas-server. Biex tagħmel dan, trid iddaħħal l-isem localhost u tagħfas enter minflok ma ddaħħal l-isem tal-hub. Il-password tal-amministratur hija ssettjata fil-console bil-kmand serverpasswordset, il-hub virtwali DEFAULT jitħassar (kmand tal-hubdelete) u tinħoloq waħda ġdida bl-isem Suricata_VPN, u l-password tagħha hija wkoll issettjata (kmand tal-hubcreate). Sussegwentement, trid tmur fil-console ta 'ġestjoni taċ-ċentru l-ġdid billi tuża l-kmand Suricata_VPN tal-hub biex toħloq grupp u utent billi tuża l-kmandi groupcreate u usercreate. Il-password tal-utent hija ssettjata billi tuża userpasswordset.
SoftEther jappoġġja żewġ modi ta 'trasferiment tat-traffiku: SecureNAT u Local Bridge. L-ewwel hija teknoloġija proprjetarja għall-bini ta 'netwerk privat virtwali b'NAT u DHCP tagħha stess. SecureNAT ma jeħtieġx TUN/TAP jew Netfilter jew settings oħra tal-firewall. Ir-rotot ma jaffettwax il-qalba tas-sistema, u l-proċessi kollha huma virtwali u jaħdmu fuq kwalunkwe VPS / VDS, irrispettivament mill-hypervisor użat. Dan jirriżulta f'żieda fit-tagħbija tas-CPU u veloċità aktar bil-mod meta mqabbla mal-modalità Local Bridge, li tgħaqqad iċ-ċentru virtwali SoftEther ma 'adapter tan-netwerk fiżiku jew apparat TAP.
Il-konfigurazzjoni f'dan il-każ issir aktar ikkumplikata, peress li r-rotot iseħħ fil-livell tal-kernel bl-użu ta 'Netfilter. Il-VDS tagħna huma mibnija fuq Hyper-V, għalhekk fl-aħħar pass noħolqu pont lokali u nattivaw l-apparat TAP bil-kmand bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. Wara li noħorġu mill-console tal-ġestjoni tal-hub, se naraw interface tan-netwerk ġdid fis-sistema li għadha ma ġietx assenjata IP:
ifconfig
Sussegwentement, ser ikollok tippermetti r-rotot tal-pakketti bejn l-interfaces (ip forward), jekk ma jkunx attiv:
sudo nano /etc/sysctl.confNeħħi l-kumment tal-linja li ġejja:
net.ipv4.ip_forward = 1Issejvja l-bidliet fil-fajl, oħroġ mill-editur u applikahom bil-kmand li ġej:
sudo sysctl -pSussegwentement, irridu niddefinixxu subnet għan-netwerk virtwali b'IPs fittizji (per eżempju, 10.0.10.0/24) u nassenjaw indirizz għall-interface:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Imbagħad għandek bżonn tikteb regoli Netfilter.
1. Jekk meħtieġ, ħalli l-pakketti deħlin fuq il-portijiet tas-smigħ (il-protokoll proprjetarju ta' SoftEther juża HTTPS u l-port 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Twaqqaf NAT mis-subnet 10.0.10.0/24 għall-IP tas-server prinċipali
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Ħalli pakketti li jgħaddu mis-subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Ħalli tgħaddi pakketti għal konnessjonijiet diġà stabbiliti
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTAħna se nħallu l-awtomazzjoni tal-proċess meta s-sistema terġa 'tibda billi tuża skripts ta' inizjalizzazzjoni lill-qarrejja bħala xogħol tad-dar.
Jekk trid tagħti l-IP lill-klijenti awtomatikament, ser ikollok bżonn ukoll tinstalla xi tip ta 'servizz DHCP għall-pont lokali. Dan itemm is-setup tas-server u tista' tmur għand il-klijenti. SoftEther jappoġġja ħafna protokolli, li l-użu tagħhom jiddependi fuq il-kapaċitajiet tat-tagħmir LAN.
netstat -ap |grep vpnserver
Peress li r-router tat-test tagħna jaħdem ukoll taħt Ubuntu, ejja ninstallaw il-pakketti softether-vpnclient u softether-vpncmd minn repożitorju estern fuqu biex tuża l-protokoll proprjetarju. Ikollok bżonn tmexxi l-klijent:
sudo vpnclient startBiex tikkonfigura, uża l-utilità vpncmd, agħżel localhost bħala l-magna li fuqha qed jaħdem il-vpnclient. Il-kmandi kollha jsiru fil-console: ser ikollok bżonn toħloq interface virtwali (NicCreate) u kont (AccountCreate).
F'xi każijiet, trid tispeċifika l-metodu ta' awtentikazzjoni billi tuża l-kmandi AccountAnonymousSet, AccountPasswordSet, AccountCertSet u AccountSecureCertSet. Peress li mhux qed nużaw DHCP, l-indirizz għall-adapter virtwali huwa ssettjat manwalment.
Barra minn hekk, irridu nippermettu ip forward (għażla net.ipv4.ip_forward=1 fil-fajl /etc/sysctl.conf) u kkonfigurat rotot statiċi. Jekk meħtieġ, fuq VDS b'Suricata, tista' tikkonfigura port forwarding biex tuża s-servizzi installati fuq in-netwerk lokali. Fuq dan, l-għaqda tan-netwerk tista 'titqies kompluta.
Il-konfigurazzjoni proposta tagħna tidher xi ħaġa bħal din:
It-twaqqif ta’ Suricata
В tkellimna dwar żewġ modi ta 'tħaddim ta' IDS: permezz tal-kju NFQUEUE (modalità NFQ) u permezz ta 'kopja żero (modalità AF_PACKET). It-tieni jeħtieġ żewġ interfaces, iżda huwa aktar mgħaġġel - se nużawh. Il-parametru huwa ssettjat awtomatikament f'/etc/default/suricata. Għandna bżonn ukoll neditjaw is-sezzjoni vars f'/etc/suricata/suricata.yaml, billi nissettjaw is-subnet virtwali hemmhekk bħala d-dar.
Biex terġa 'tibda l-IDS, uża l-kmand:
systemctl restart suricataIs-soluzzjoni hija lesta, issa jista 'jkollok bżonn tittestjaha għar-reżistenza għal azzjonijiet malizzjużi.
Simulazzjoni ta' attakki
Jista' jkun hemm diversi xenarji għall-użu tal-ġlieda kontra servizz estern tal-IDS:
Protezzjoni kontra attakki DDoS (għan primarju)
Huwa diffiċli li tiġi implimentata tali għażla ġewwa n-netwerk korporattiv, peress li l-pakketti għall-analiżi għandhom jaslu għall-interface tas-sistema li tħares lejn l-Internet. Anke jekk l-IDS jimblokkahom, it-traffiku falz jista 'jwaqqa' l-link tad-dejta. Biex tevita dan, trid tordna VPS b'konnessjoni tal-Internet produttiva biżżejjed li tista 'tgħaddi t-traffiku kollu tan-netwerk lokali u t-traffiku estern kollu. Ħafna drabi huwa aktar faċli u orħos li tagħmel dan milli tespandi l-kanal tal-uffiċċju. Bħala alternattiva, ta 'min isemmi servizzi speċjalizzati għall-protezzjoni kontra DDoS. L-ispiża tas-servizzi tagħhom hija komparabbli mal-ispiża ta 'server virtwali, u ma teħtieġx konfigurazzjoni li tieħu ħafna ħin, iżda hemm ukoll żvantaġġi - il-klijent jirċievi biss protezzjoni DDoS għall-flus tiegħu, filwaqt li l-IDS tiegħu stess jista' jiġi kkonfigurat kif int simili.
Protezzjoni kontra attakki esterni ta' tipi oħra
Suricata kapaċi tlaħħaq ma' tentattivi biex tisfrutta diversi vulnerabbiltajiet fis-servizzi tan-netwerk korporattiv aċċessibbli mill-Internet (server tal-posta, server tal-web u applikazzjonijiet tal-web, eċċ.). Normalment, għal dan, IDS huwa installat ġewwa ż-żona lokali wara l-apparat tal-fruntiera, iżda li tieħu barra għandha d-dritt li teżisti.
Protezzjoni mill-insiders
Minkejja l-aħjar sforzi tal-amministratur tas-sistema, il-kompjuters fuq in-netwerk korporattiv jistgħu jiġu infettati b'malware. Barra minn hekk, xi kultant jidhru hooligans fiż-żona lokali, li jippruvaw iwettqu xi operazzjonijiet illegali. Suricata jista 'jgħin biex jimblokka tali tentattivi, għalkemm biex jipproteġi n-netwerk intern huwa aħjar li tinstallah ġewwa l-perimetru u tużah flimkien ma' swiċċ immaniġġjat li jista 'jirrifletti t-traffiku għal port wieħed. IDS estern lanqas ma huwa inutli f'dan il-każ - mill-inqas ikun jista 'jaqbad attentati minn malware li jgħix fuq il-LAN biex jikkuntattja server estern.
Biex tibda, se noħolqu test ieħor li jattakka VPS, u fuq ir-router tan-netwerk lokali se ngħollu l-Apache bil-konfigurazzjoni awtomatika, u wara ngħaddu l-port 80 lilu mis-server IDS. Sussegwentement, se nissimulaw attakk DDoS minn host li jattakka. Biex tagħmel dan, niżżel minn GitHub, ikkumpila u mexxi programm xerxes żgħir fuq in-nodu li jattakka (jista 'jkollok bżonn tinstalla l-pakkett gcc):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Ir-riżultat tax-xogħol tagħha kien kif ġej:
Suricata taqta 'l-villain, u l-paġna Apache tiftaħ awtomatikament, minkejja l-attakk impromptu tagħna u l-kanal pjuttost mejjet tan-netwerk "tal-uffiċċju" (fil-fatt id-dar). Għal kompiti aktar serji, għandek tuża . Hija mfassla għall-ittestjar tal-penetrazzjoni u tippermettilek tissimula varjetà ta 'attakki. Istruzzjonijiet għall-installazzjoni fuq il-websajt tal-proġett. Wara l-installazzjoni, huwa meħtieġ aġġornament:
sudo msfupdateGħall-ittestjar, ħaddem msfconsole.
Sfortunatament, l-aħħar verżjonijiet tal-qafas m'għandhomx l-abbiltà li jinqasam awtomatikament, għalhekk l-isfruttamenti se jkollhom jiġu magħżula manwalment u jaħdmu bl-użu tal-kmand tal-użu. Biex tibda, ta 'min tiddetermina l-portijiet miftuħa fuq il-magna attakkata, pereżempju, bl-użu ta' nmap (fil-każ tagħna, se jiġi sostitwit kompletament minn netstat fuq l-ospitant attakkat), u mbagħad agħżel u uża l-adattat xieraq. .
Hemm mezzi oħra biex tiġi ttestjata r-reżiljenza ta' IDS kontra attakki, inklużi s-servizzi online. Għal raġunijiet ta 'kurżità, tista' tirranġa ittestjar tal-istress billi tuża l-verżjoni ta 'prova . Biex tiċċekkja r-reazzjoni għall-azzjonijiet ta 'intruders interni, ta' min tinstalla għodod speċjali fuq waħda mill-magni fuq in-netwerk lokali. Hemm ħafna għażliet u minn żmien għal żmien għandhom jiġu applikati mhux biss għas-sit sperimentali, iżda wkoll għal sistemi ta 'ħidma, biss din hija storja kompletament differenti.
Sors: www.habr.com