Snort वा Suricata। भाग ३: अफिस नेटवर्कको सुरक्षा

В अघिल्लो लेख हामीले Ubuntu 18.04 LTS मा Suricata को स्थिर संस्करण कसरी चलाउने भनेर कभर गरेका छौं। एकल नोडमा IDS सेट अप गर्ने र नि: शुल्क नियम सेटहरू सक्षम पार्ने धेरै सरल छ। आज हामी भर्चुअल सर्भरमा स्थापित Suricata प्रयोग गरेर सबैभन्दा सामान्य प्रकारका आक्रमणहरू प्रयोग गरेर कर्पोरेट नेटवर्क कसरी सुरक्षित गर्ने भनेर पत्ता लगाउनेछौं। यो गर्नको लागि, हामीलाई लिनक्समा दुई कम्प्युटिङ कोरको साथ VDS चाहिन्छ। RAM को मात्रा लोडमा निर्भर गर्दछ: कसैको लागि 2 GB पर्याप्त छ, र अधिक गम्भीर कार्यहरूको लागि 4 वा 6 पनि आवश्यक हुन सक्छ। भर्चुअल मेसिनको फाइदा भनेको प्रयोग गर्ने क्षमता हो: तपाईं न्यूनतम कन्फिगरेसनको साथ सुरू गर्न सक्नुहुन्छ र बढाउन सक्नुहुन्छ। आवश्यकता अनुसार स्रोतहरू।

तस्बिरः रोयटर्स

• Snort वा Suricata। भाग 1: तपाइँको कर्पोरेट नेटवर्क सुरक्षित गर्न नि: शुल्क IDS/IPS छनोट गर्दै
• Snort वा Suricata। भाग २: Suricata को स्थापना र प्रारम्भिक सेटअप

जडान नेटवर्कहरू

पहिलो स्थानमा भर्चुअल मेसिनमा IDS हटाउन परीक्षणको लागि आवश्यक हुन सक्छ। यदि तपाईंले त्यस्ता समाधानहरूसँग कहिल्यै व्यवहार गर्नुभएको छैन भने, तपाईंले भौतिक हार्डवेयर अर्डर गर्न र नेटवर्क संरचना परिवर्तन गर्न हतार गर्नु हुँदैन। तपाइँको कम्प्युट आवश्यकताहरू निर्धारण गर्न प्रणालीलाई सुरक्षित र लागत-प्रभावी रूपमा चलाउनु उत्तम हुन्छ। यो बुझ्न महत्त्वपूर्ण छ कि सबै कर्पोरेट ट्राफिक एक एकल बाह्य नोड मार्फत पारित गर्नुपर्छ: IDS Suricata स्थापना भएको VDS मा स्थानीय नेटवर्क (वा धेरै नेटवर्कहरू) जडान गर्न, तपाईंले प्रयोग गर्न सक्नुहुन्छ। सफ्टेथेर - कन्फिगर गर्न सजिलो, क्रस-प्लेटफर्म VPN सर्भर जसले बलियो ईन्क्रिप्शन प्रदान गर्दछ। अफिस इन्टरनेट जडानमा वास्तविक IP नहुन सक्छ, त्यसैले यसलाई VPS मा सेटअप गर्नु राम्रो हुन्छ। Ubuntu भण्डारमा कुनै तयार प्याकेजहरू छैनन्, तपाईंले सफ्टवेयर डाउनलोड गर्नुपर्नेछ। परियोजना साइट, वा सेवामा बाहिरी भण्डारबाट लन्चप्याड (यदि तपाइँ उसलाई विश्वास गर्नुहुन्छ भने):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

तपाइँ निम्न आदेशको साथ उपलब्ध प्याकेजहरूको सूची हेर्न सक्नुहुन्छ:

apt-cache search softether

हामीलाई softether-vpnserver (परीक्षण कन्फिगरेसनको सर्भर VDS मा चलिरहेको छ), साथै softether-vpncmd - यसलाई कन्फिगर गर्नको लागि कमाण्ड लाइन उपयोगिताहरू चाहिन्छ।

sudo apt-get install softether-vpnserver softether-vpncmd

सर्भर कन्फिगर गर्न एक विशेष आदेश लाइन उपयोगिता प्रयोग गरिन्छ:

sudo vpncmd

हामी सेटिङको बारेमा विस्तृत रूपमा कुरा गर्दैनौं: प्रक्रिया एकदम सरल छ, यो धेरै प्रकाशनहरूमा राम्रोसँग वर्णन गरिएको छ र लेखको विषयसँग सीधा सम्बन्धित छैन। छोटकरीमा, vpncmd सुरु गरेपछि, तपाईंले सर्भर व्यवस्थापन कन्सोलमा जानको लागि वस्तु 1 चयन गर्न आवश्यक छ। यो गर्नको लागि, तपाईंले नाम लोकलहोस्ट प्रविष्ट गर्न आवश्यक छ र हबको नाम प्रविष्ट गर्नुको सट्टा इन्टर थिच्नुहोस्। प्रशासक पासवर्ड सर्भरपासवर्डसेट आदेशको साथ कन्सोलमा सेट गरिएको छ, DEFAULT भर्चुअल हब मेटाइएको छ (हबडेलीट आदेश) र Suricata_VPN नामको साथ नयाँ सिर्जना गरिएको छ, र यसको पासवर्ड पनि सेट गरिएको छ (hubcreate आदेश)। अर्को, तपाईंले हब Suricata_VPN कमाण्ड प्रयोग गरेर नयाँ हबको व्यवस्थापन कन्सोलमा जानु पर्छ र groupcreate र usercreate आदेशहरू प्रयोग गरेर समूह र प्रयोगकर्ता सिर्जना गर्न। प्रयोगकर्ता पासवर्ड प्रयोगकर्ता पासवर्डसेट प्रयोग गरेर सेट गरिएको छ।

SoftEther ले दुई ट्राफिक स्थानान्तरण मोडहरूलाई समर्थन गर्दछ: SecureNAT र स्थानीय ब्रिज। पहिलो यसको आफ्नै NAT र DHCP संग भर्चुअल निजी नेटवर्क निर्माण गर्न को लागी एक स्वामित्व प्रविधि हो। SecureNAT लाई TUN/TAP वा Netfilter वा अन्य फायरवाल सेटिङहरू आवश्यक पर्दैन। रूटिङले प्रणालीको कोरलाई असर गर्दैन, र सबै प्रक्रियाहरू भर्चुअलाइज गरिएका छन् र कुनै पनि VPS/VDS मा काम गर्छन्, हाइपरभाइजर प्रयोग गरिएको भएता पनि। यसले स्थानीय ब्रिज मोडको तुलनामा CPU लोड र ढिलो गतिमा परिणाम दिन्छ, जसले SoftEther भर्चुअल हबलाई भौतिक नेटवर्क एडाप्टर वा TAP उपकरणमा जडान गर्दछ।

यस अवस्थामा कन्फिगरेसन थप जटिल हुन्छ, किनकि नेटफिल्टर प्रयोग गरेर कर्नेल स्तरमा रूटिङ हुन्छ। हाम्रो VDS हाइपर-V मा बनाइएको छ, त्यसैले अन्तिम चरणमा हामी स्थानीय ब्रिज सिर्जना गर्छौं र bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes आदेशको साथ TAP उपकरण सक्रिय गर्छौं। हब व्यवस्थापन कन्सोलबाट बाहिर निस्किएपछि, हामीले प्रणालीमा एउटा नयाँ नेटवर्क इन्टरफेस देख्नेछौं जुन अझै आईपी तोकिएको छैन:

ifconfig

अर्को, तपाईंले इन्टरफेसहरू (आईपी फर्वार्ड) बीच प्याकेट रूटिङ सक्षम गर्नुपर्नेछ, यदि यो निष्क्रिय छ भने:

sudo nano /etc/sysctl.conf

निम्न लाइन अनकमेन्ट गर्नुहोस्:

net.ipv4.ip_forward = 1

फाइलमा परिवर्तनहरू बचत गर्नुहोस्, सम्पादकबाट बाहिर निस्कनुहोस् र तिनीहरूलाई निम्न आदेशको साथ लागू गर्नुहोस्:

sudo sysctl -p

अर्को, हामीले काल्पनिक आईपीहरूसँग भर्चुअल नेटवर्कको लागि सबनेट परिभाषित गर्न आवश्यक छ (उदाहरणका लागि, 10.0.10.0/24) र इन्टरफेसमा ठेगाना प्रदान गर्नुहोस्:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

त्यसपछि तपाईंले Netfilter नियमहरू लेख्न आवश्यक छ।

1. आवश्यक भएमा, सुन्ने पोर्टहरूमा आगमन प्याकेटहरूलाई अनुमति दिनुहोस् (SoftEther स्वामित्व प्रोटोकलले HTTPS र पोर्ट 443 प्रयोग गर्दछ)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT लाई 10.0.10.0/24 सबनेटबाट मुख्य सर्भर IP मा सेटअप गर्नुहोस्

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. सबनेट 10.0.10.0/24 बाट प्याकेटहरू पास गर्न अनुमति दिनुहोस्

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. पहिले नै स्थापित जडानहरूको लागि प्याकेटहरू पास गर्न अनुमति दिनुहोस्

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

गृहकार्यको रूपमा पाठकहरूलाई प्रारम्भिक स्क्रिप्टहरू प्रयोग गरेर प्रणाली पुन: सुरु भएपछि हामी प्रक्रियाको स्वचालन छोड्नेछौं।

यदि तपाइँ ग्राहकहरूलाई स्वचालित रूपमा आईपी दिन चाहनुहुन्छ भने, तपाइँले स्थानीय पुलको लागि केहि प्रकारको DHCP सेवा पनि स्थापना गर्न आवश्यक छ। यसले सर्भर सेटअप पूरा गर्दछ र तपाइँ ग्राहकहरूमा जान सक्नुहुन्छ। SoftEther ले धेरै प्रोटोकलहरूलाई समर्थन गर्दछ, जसको प्रयोग LAN उपकरणको क्षमताहरूमा निर्भर गर्दछ।

netstat -ap |grep vpnserver

हाम्रो परीक्षण राउटर Ubuntu अन्तर्गत पनि चल्ने भएकोले, स्वामित्व प्रोटोकल प्रयोग गर्नको लागि यसमा बाह्य भण्डारबाट softether-vpnclient र softether-vpncmd प्याकेजहरू स्थापना गरौं। तपाईंले ग्राहक चलाउन आवश्यक हुनेछ:

sudo vpnclient start

कन्फिगर गर्न, vpncmd उपयोगिता प्रयोग गर्नुहोस्, vpnclient चलिरहेको मेसिनको रूपमा लोकलहोस्ट चयन गर्नुहोस्। सबै आदेशहरू कन्सोलमा बनाइन्छ: तपाईंले भर्चुअल इन्टरफेस (NicCreate) र खाता (AccountCreate) सिर्जना गर्न आवश्यक छ।

केही अवस्थामा, तपाईंले AccountAnonymousSet, AccountPasswordSet, AccountCertSet, र AccountSecureCertSet आदेशहरू प्रयोग गरेर प्रमाणीकरण विधि निर्दिष्ट गर्नुपर्छ। हामीले DHCP प्रयोग नगरेको हुनाले, भर्चुअल एडाप्टरको लागि ठेगाना म्यानुअल रूपमा सेट गरिएको छ।

थप रूपमा, हामीले ip फर्वार्ड सक्षम गर्न आवश्यक छ (net.ipv4.ip_forward=1 प्यारामिटर /etc/sysctl.conf फाइलमा) र स्थिर मार्गहरू कन्फिगर गर्नुहोस्। यदि आवश्यक छ भने, Suricata सँग VDS मा, तपाइँ स्थानीय नेटवर्कमा स्थापित सेवाहरू प्रयोग गर्न पोर्ट फर्वार्डिङ कन्फिगर गर्न सक्नुहुन्छ। यसमा, नेटवर्क मर्जर पूर्ण मान्न सकिन्छ।

हाम्रो प्रस्तावित कन्फिगरेसन यस्तो देखिन्छ:

Suricata सेटअप गर्दै

В अघिल्लो लेख हामीले IDS को सञ्चालनका दुई मोडहरूको बारेमा कुरा गर्यौं: NFQUEUE queue (NFQ मोड) मार्फत र शून्य प्रतिलिपि (AF_PACKET मोड) मार्फत। दोस्रोलाई दुई इन्टरफेसहरू चाहिन्छ, तर छिटो छ - हामी यसलाई प्रयोग गर्नेछौं। प्यारामिटर पूर्वनिर्धारित रूपमा /etc/default/suricata मा सेट गरिएको छ। हामीले भर्चुअल सबनेटलाई घरको रूपमा सेट गर्दै /etc/suricata/suricata.yaml मा vars खण्ड पनि सम्पादन गर्न आवश्यक छ।

IDS पुन: सुरु गर्न, आदेश प्रयोग गर्नुहोस्:

systemctl restart suricata

समाधान तयार छ, अब तपाईले यसलाई दुर्भावनापूर्ण कार्यहरूको प्रतिरोधको लागि परीक्षण गर्न आवश्यक पर्दछ।

आक्रमणहरू अनुकरण गर्दै

बाह्य IDS सेवाको लडाई प्रयोगको लागि धेरै परिदृश्यहरू हुन सक्छन्:

DDoS आक्रमणहरू विरुद्ध सुरक्षा (प्राथमिक उद्देश्य)

कर्पोरेट नेटवर्क भित्र यो विकल्प लागू गर्न गाह्रो छ, किनकि विश्लेषणको लागि प्याकेटहरू इन्टरनेटमा हेर्दा प्रणाली इन्टरफेसमा पुग्नै पर्छ। यदि IDS ले तिनीहरूलाई रोक्छ भने पनि, नकली ट्राफिकले डाटा लिङ्कलाई तल ल्याउन सक्छ। यसबाट बच्नको लागि, तपाईंले पर्याप्त उत्पादनशील इन्टरनेट जडानको साथ VPS अर्डर गर्न आवश्यक छ जसले सबै स्थानीय नेटवर्क ट्राफिक र सबै बाह्य ट्राफिकहरू पास गर्न सक्छ। अफिस च्यानल विस्तार गर्नु भन्दा यो गर्न अक्सर सजिलो र सस्तो छ। एक विकल्पको रूपमा, यो DDoS विरुद्ध सुरक्षाको लागि विशेष सेवाहरू उल्लेख गर्न लायक छ। तिनीहरूको सेवाहरूको लागत भर्चुअल सर्भरको लागतसँग तुलनात्मक छ, र यसले समय-उपभोग कन्फिगरेसनको आवश्यकता पर्दैन, तर त्यहाँ बेफाइदाहरू पनि छन् - ग्राहकले आफ्नो पैसाको लागि मात्र DDoS सुरक्षा प्राप्त गर्दछ, जबकि उसको आफ्नै IDS तपाईं जस्तै कन्फिगर गर्न सकिन्छ। जस्तै।

अन्य प्रकारका बाह्य आक्रमणहरू विरुद्ध सुरक्षा

Suricata इन्टरनेट (मेल सर्भर, वेब सर्भर र वेब अनुप्रयोगहरू, आदि) बाट पहुँचयोग्य कर्पोरेट नेटवर्क सेवाहरूमा विभिन्न कमजोरीहरूको शोषण गर्ने प्रयासहरूको सामना गर्न सक्षम छ। सामान्यतया, यसका लागि, सीमा यन्त्रहरू पछि ल्यान भित्र आईडीएस स्थापना गरिन्छ, तर यसलाई बाहिर लैजानको लागि अस्तित्वको अधिकार छ।

भित्रीबाट सुरक्षा

प्रणाली प्रशासकको उत्कृष्ट प्रयासको बावजुद, कर्पोरेट नेटवर्कमा कम्प्युटरहरू मालवेयरबाट संक्रमित हुन सक्छन्। थप रूपमा, कहिलेकाहीं गुण्डाहरू स्थानीय क्षेत्रमा देखा पर्छन्, जसले केही गैरकानूनी कार्यहरू गर्न खोज्छन्। Suricata ले त्यस्ता प्रयासहरूलाई रोक्न मद्दत गर्न सक्छ, यद्यपि आन्तरिक सञ्जालको सुरक्षा गर्न यसलाई परिधि भित्र स्थापना गर्न र एउटा पोर्टमा ट्राफिक मिरर गर्न सक्ने व्यवस्थित स्विचको साथ मिलाएर प्रयोग गर्नु राम्रो हुन्छ। यस मामला मा एक बाह्य IDS पनि बेकार छैन - कम्तिमा यो बाहिरी सर्भर सम्पर्क गर्न LAN मा जीवित मालवेयर द्वारा प्रयासहरू समात्न सक्षम हुनेछ।

सुरु गर्नको लागि, हामी VPS आक्रमण गर्ने अर्को परीक्षण सिर्जना गर्नेछौं, र स्थानीय नेटवर्क राउटरमा हामी पूर्वनिर्धारित कन्फिगरेसनको साथ Apache उठाउनेछौं, त्यसपछि हामी IDS सर्भरबाट 80 औं पोर्टलाई फर्वार्ड गर्नेछौं। अर्को, हामी आक्रमणकारी होस्टबाट DDoS आक्रमण सिमुलेट गर्नेछौं। यो गर्नको लागि, GitHub बाट डाउनलोड गर्नुहोस्, आक्रमण गर्ने नोडमा एउटा सानो xerxes कार्यक्रम कम्पाइल गर्नुहोस् र चलाउनुहोस् (तपाईंले gcc प्याकेज स्थापना गर्न आवश्यक पर्दछ):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

उनको कामको नतिजा निम्नानुसार थियो:

Suricata ले खलनायकलाई काट्छ, र अपाचे पृष्ठ पूर्वनिर्धारित रूपमा खुल्छ, हाम्रो अचानक आक्रमण र "अफिस" (वास्तवमा घर) नेटवर्कको बरु मृत च्यानलको बावजुद। थप गम्भीर कार्यहरूको लागि, तपाईंले प्रयोग गर्नुपर्छ मेटास्प्लिट फ्रेमवर्क। यो प्रवेश परीक्षणको लागि डिजाइन गरिएको हो र तपाईंलाई विभिन्न प्रकारका आक्रमणहरू अनुकरण गर्न अनुमति दिन्छ। स्थापना निर्देशनहरू उपलब्ध छ परियोजना वेबसाइटमा। स्थापना पछि, अद्यावधिक आवश्यक छ:

sudo msfupdate

परीक्षणको लागि, msfconsole चलाउनुहोस्।

दुर्भाग्यवश, फ्रेमवर्कको नवीनतम संस्करणहरूमा स्वचालित रूपमा क्र्याक गर्ने क्षमताको कमी छ, त्यसैले शोषणहरूलाई म्यानुअल रूपमा क्रमबद्ध गर्न र प्रयोग आदेश प्रयोग गरेर चलाउनु पर्छ। सुरु गर्नको लागि, यो आक्रमण गरिएको मेसिनमा खुला पोर्टहरू निर्धारण गर्न लायक छ, उदाहरणका लागि, nmap प्रयोग गरेर (हाम्रो अवस्थामा, यो पूर्ण रूपमा आक्रमण गरिएको होस्टमा netstat द्वारा प्रतिस्थापित हुनेछ), र त्यसपछि उपयुक्त चयन गर्नुहोस् र प्रयोग गर्नुहोस्। मेटास्प्लोइट मोड्युलहरू. 

अनलाइन सेवाहरू सहित आक्रमणहरू विरुद्ध IDS को लचिलोपन परीक्षण गर्न अन्य माध्यमहरू छन्। जिज्ञासाको खातिर, तपाईं परीक्षण संस्करण प्रयोग गरेर तनाव परीक्षण व्यवस्था गर्न सक्नुहुन्छ आईपी ​​तनाव। आन्तरिक घुसपैठकर्ताहरूको कार्यहरूको प्रतिक्रिया जाँच गर्न, यो स्थानीय नेटवर्कमा मेशिनहरू मध्ये एकमा विशेष उपकरणहरू स्थापना गर्न लायक छ। त्यहाँ धेरै विकल्पहरू छन् र समय-समयमा तिनीहरू प्रयोगात्मक साइटमा मात्र होइन, तर काम गर्ने प्रणालीहरूमा पनि लागू गरिनुपर्छ, केवल यो पूर्ण रूपमा फरक कथा हो।

स्रोत: www.habr.com