🥇Snort ਜਾਂ Suricata. ਭਾਗ 3: ਦਫ਼ਤਰ ਨੈੱਟਵਰਕ ਦੀ ਸੁਰੱਖਿਆ

В ਪਿਛਲੇ ਲੇਖ ਅਸੀਂ ਉਬੰਟੂ 18.04 LTS 'ਤੇ Suricata ਦੇ ਸਥਿਰ ਸੰਸਕਰਣ ਨੂੰ ਕਿਵੇਂ ਚਲਾਉਣਾ ਹੈ ਬਾਰੇ ਦੱਸਿਆ ਹੈ। ਇੱਕ ਸਿੰਗਲ ਨੋਡ 'ਤੇ ਇੱਕ IDS ਸੈਟ ਅਪ ਕਰਨਾ ਅਤੇ ਮੁਫਤ ਨਿਯਮ ਸੈੱਟਾਂ ਨੂੰ ਸਮਰੱਥ ਕਰਨਾ ਬਹੁਤ ਸਿੱਧਾ ਹੈ। ਅੱਜ ਅਸੀਂ ਇਹ ਪਤਾ ਲਗਾਵਾਂਗੇ ਕਿ ਇੱਕ ਵਰਚੁਅਲ ਸਰਵਰ 'ਤੇ ਸਥਾਪਿਤ Suricata ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸਭ ਤੋਂ ਆਮ ਕਿਸਮ ਦੇ ਹਮਲਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਕਾਰਪੋਰੇਟ ਨੈੱਟਵਰਕ ਨੂੰ ਕਿਵੇਂ ਸੁਰੱਖਿਅਤ ਕਰਨਾ ਹੈ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਸਾਨੂੰ ਦੋ ਕੰਪਿਊਟਿੰਗ ਕੋਰ ਦੇ ਨਾਲ ਲੀਨਕਸ ਉੱਤੇ ਇੱਕ VDS ਦੀ ਲੋੜ ਹੈ। RAM ਦੀ ਮਾਤਰਾ ਲੋਡ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ: ਕਿਸੇ ਲਈ 2 GB ਕਾਫ਼ੀ ਹੈ, ਅਤੇ ਹੋਰ ਗੰਭੀਰ ਕੰਮਾਂ ਲਈ 4 ਜਾਂ 6 ਦੀ ਵੀ ਲੋੜ ਹੋ ਸਕਦੀ ਹੈ। ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਦਾ ਫਾਇਦਾ ਪ੍ਰਯੋਗ ਕਰਨ ਦੀ ਯੋਗਤਾ ਹੈ: ਤੁਸੀਂ ਘੱਟੋ-ਘੱਟ ਸੰਰਚਨਾ ਨਾਲ ਸ਼ੁਰੂ ਕਰ ਸਕਦੇ ਹੋ ਅਤੇ ਵਧਾ ਸਕਦੇ ਹੋ ਲੋੜ ਅਨੁਸਾਰ ਸਰੋਤ.

ਫੋਟੋ: ਰਾਇਟਰਜ਼

ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਕਨੈਕਟ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ

ਇੱਕ ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਵਿੱਚ IDS ਨੂੰ ਹਟਾਉਣ ਲਈ ਪਹਿਲਾਂ ਟੈਸਟਾਂ ਲਈ ਲੋੜ ਪੈ ਸਕਦੀ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ ਕਦੇ ਵੀ ਅਜਿਹੇ ਹੱਲਾਂ ਨਾਲ ਨਜਿੱਠਿਆ ਨਹੀਂ ਹੈ, ਤਾਂ ਤੁਹਾਨੂੰ ਭੌਤਿਕ ਹਾਰਡਵੇਅਰ ਨੂੰ ਆਰਡਰ ਕਰਨ ਅਤੇ ਨੈੱਟਵਰਕ ਆਰਕੀਟੈਕਚਰ ਨੂੰ ਬਦਲਣ ਲਈ ਜਲਦਬਾਜ਼ੀ ਨਹੀਂ ਕਰਨੀ ਚਾਹੀਦੀ। ਤੁਹਾਡੀਆਂ ਗਣਨਾ ਲੋੜਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਸਿਸਟਮ ਨੂੰ ਸੁਰੱਖਿਅਤ ਅਤੇ ਲਾਗਤ-ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਚਲਾਉਣਾ ਸਭ ਤੋਂ ਵਧੀਆ ਹੈ। ਇਹ ਸਮਝਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਸਾਰੇ ਕਾਰਪੋਰੇਟ ਟ੍ਰੈਫਿਕ ਨੂੰ ਇੱਕ ਸਿੰਗਲ ਬਾਹਰੀ ਨੋਡ ਵਿੱਚੋਂ ਲੰਘਣਾ ਹੋਵੇਗਾ: ਇੱਕ ਸਥਾਨਕ ਨੈਟਵਰਕ (ਜਾਂ ਕਈ ਨੈਟਵਰਕਾਂ) ਨੂੰ ਇੱਕ VDS ਨਾਲ ਜੋੜਨ ਲਈ IDS Suricata ਇੰਸਟਾਲ ਹੈ, ਤੁਸੀਂ ਵਰਤ ਸਕਦੇ ਹੋ ਸਾਫਟ ਈਥਰ - ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਆਸਾਨ, ਕਰਾਸ-ਪਲੇਟਫਾਰਮ VPN ਸਰਵਰ ਜੋ ਮਜ਼ਬੂਤ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇੱਕ ਦਫਤਰੀ ਇੰਟਰਨੈਟ ਕਨੈਕਸ਼ਨ ਵਿੱਚ ਅਸਲ IP ਨਹੀਂ ਹੋ ਸਕਦਾ ਹੈ, ਇਸਲਈ ਇਸਨੂੰ ਇੱਕ VPS 'ਤੇ ਸੈੱਟ ਕਰਨਾ ਬਿਹਤਰ ਹੈ। ਉਬੰਟੂ ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ ਕੋਈ ਰੈਡੀਮੇਡ ਪੈਕੇਜ ਨਹੀਂ ਹਨ, ਤੁਹਾਨੂੰ ਸਾਫਟਵੇਅਰ ਨੂੰ ਜਾਂ ਤਾਂ ਇੱਥੋਂ ਡਾਊਨਲੋਡ ਕਰਨਾ ਹੋਵੇਗਾ। ਪ੍ਰੋਜੈਕਟ ਸਾਈਟ, ਜਾਂ ਸੇਵਾ 'ਤੇ ਕਿਸੇ ਬਾਹਰੀ ਰਿਪੋਜ਼ਟਰੀ ਤੋਂ Launchpad (ਜੇ ਤੁਸੀਂ ਉਸ 'ਤੇ ਭਰੋਸਾ ਕਰਦੇ ਹੋ):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

ਤੁਸੀਂ ਹੇਠਾਂ ਦਿੱਤੀ ਕਮਾਂਡ ਨਾਲ ਉਪਲਬਧ ਪੈਕੇਜਾਂ ਦੀ ਸੂਚੀ ਦੇਖ ਸਕਦੇ ਹੋ:

apt-cache search softether

ਸਾਨੂੰ softether-vpnserver (ਟੈਸਟ ਸੰਰਚਨਾ ਵਿੱਚ ਸਰਵਰ VDS 'ਤੇ ਚੱਲ ਰਿਹਾ ਹੈ), ਅਤੇ ਨਾਲ ਹੀ softether-vpncmd - ਇਸਨੂੰ ਸੰਰਚਿਤ ਕਰਨ ਲਈ ਕਮਾਂਡ ਲਾਈਨ ਉਪਯੋਗਤਾਵਾਂ ਦੀ ਲੋੜ ਪਵੇਗੀ।

sudo apt-get install softether-vpnserver softether-vpncmd

ਸਰਵਰ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਕਮਾਂਡ ਲਾਈਨ ਸਹੂਲਤ ਵਰਤੀ ਜਾਂਦੀ ਹੈ:

sudo vpncmd

ਅਸੀਂ ਸੈਟਿੰਗ ਬਾਰੇ ਵਿਸਥਾਰ ਵਿੱਚ ਗੱਲ ਨਹੀਂ ਕਰਾਂਗੇ: ਵਿਧੀ ਕਾਫ਼ੀ ਸਧਾਰਨ ਹੈ, ਇਹ ਬਹੁਤ ਸਾਰੇ ਪ੍ਰਕਾਸ਼ਨਾਂ ਵਿੱਚ ਚੰਗੀ ਤਰ੍ਹਾਂ ਵਰਣਨ ਕੀਤੀ ਗਈ ਹੈ ਅਤੇ ਲੇਖ ਦੇ ਵਿਸ਼ੇ ਨਾਲ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਸੰਬੰਧਿਤ ਨਹੀਂ ਹੈ। ਸੰਖੇਪ ਵਿੱਚ, vpncmd ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ ਸਰਵਰ ਪ੍ਰਬੰਧਨ ਕੰਸੋਲ 'ਤੇ ਜਾਣ ਲਈ ਆਈਟਮ 1 ਦੀ ਚੋਣ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਲੋਕਲਹੋਸਟ ਨਾਮ ਦਰਜ ਕਰਨ ਦੀ ਲੋੜ ਹੈ ਅਤੇ ਹੱਬ ਦਾ ਨਾਮ ਦਰਜ ਕਰਨ ਦੀ ਬਜਾਏ ਐਂਟਰ ਦਬਾਓ। ਐਡਮਿਨਿਸਟ੍ਰੇਟਰ ਪਾਸਵਰਡ ਸਰਵਰਪਾਸਵਰਡਸੈੱਟ ਕਮਾਂਡ ਨਾਲ ਕੰਸੋਲ ਵਿੱਚ ਸੈੱਟ ਕੀਤਾ ਗਿਆ ਹੈ, ਡਿਫੌਲਟ ਵਰਚੁਅਲ ਹੱਬ ਨੂੰ ਮਿਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ (ਹਬਡੀਲੀਟ ਕਮਾਂਡ) ਅਤੇ ਇੱਕ ਨਵਾਂ ਸਿਰੀਕਾਟਾ_ਵੀਪੀਐਨ ਨਾਮ ਨਾਲ ਬਣਾਇਆ ਗਿਆ ਹੈ, ਅਤੇ ਇਸਦਾ ਪਾਸਵਰਡ ਵੀ ਸੈੱਟ ਕੀਤਾ ਗਿਆ ਹੈ (ਹੱਬਕ੍ਰਿਏਟ ਕਮਾਂਡ)। ਅੱਗੇ, ਤੁਹਾਨੂੰ groupcreate ਅਤੇ usercreate ਕਮਾਂਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਸਮੂਹ ਅਤੇ ਉਪਭੋਗਤਾ ਬਣਾਉਣ ਲਈ hub Suricata_VPN ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਨਵੇਂ ਹੱਬ ਦੇ ਪ੍ਰਬੰਧਨ ਕੰਸੋਲ 'ਤੇ ਜਾਣ ਦੀ ਲੋੜ ਹੈ। ਯੂਜ਼ਰ ਪਾਸਵਰਡ ਯੂਜ਼ਰ ਪਾਸਵਰਡਸੈੱਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੈੱਟ ਕੀਤਾ ਗਿਆ ਹੈ।

SoftEther ਦੋ ਟ੍ਰੈਫਿਕ ਟ੍ਰਾਂਸਫਰ ਮੋਡਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ: SecureNAT ਅਤੇ ਲੋਕਲ ਬ੍ਰਿਜ। ਪਹਿਲੀ ਇਸ ਦੇ ਆਪਣੇ NAT ਅਤੇ DHCP ਨਾਲ ਇੱਕ ਵਰਚੁਅਲ ਪ੍ਰਾਈਵੇਟ ਨੈੱਟਵਰਕ ਬਣਾਉਣ ਲਈ ਇੱਕ ਮਲਕੀਅਤ ਤਕਨਾਲੋਜੀ ਹੈ। SecureNAT ਨੂੰ TUN/TAP ਜਾਂ Netfilter ਜਾਂ ਹੋਰ ਫਾਇਰਵਾਲ ਸੈਟਿੰਗਾਂ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਰੂਟਿੰਗ ਸਿਸਟਮ ਕੋਰ ਨੂੰ ਪ੍ਰਭਾਵਤ ਨਹੀਂ ਕਰਦੀ ਹੈ, ਅਤੇ ਸਾਰੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਰਚੁਅਲਾਈਜ਼ਡ ਹੁੰਦੀਆਂ ਹਨ ਅਤੇ ਕਿਸੇ ਵੀ VPS / VDS 'ਤੇ ਕੰਮ ਕਰਦੀਆਂ ਹਨ, ਹਾਈਪਰਵਾਈਜ਼ਰ ਦੀ ਵਰਤੋਂ ਕੀਤੇ ਬਿਨਾਂ. ਇਸ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਲੋਕਲ ਬ੍ਰਿਜ ਮੋਡ ਦੇ ਮੁਕਾਬਲੇ CPU ਲੋਡ ਅਤੇ ਧੀਮੀ ਗਤੀ ਵਧਦੀ ਹੈ, ਜੋ SoftEther ਵਰਚੁਅਲ ਹੱਬ ਨੂੰ ਭੌਤਿਕ ਨੈੱਟਵਰਕ ਅਡਾਪਟਰ ਜਾਂ TAP ਡਿਵਾਈਸ ਨਾਲ ਜੋੜਦਾ ਹੈ।

ਇਸ ਕੇਸ ਵਿੱਚ ਸੰਰਚਨਾ ਵਧੇਰੇ ਗੁੰਝਲਦਾਰ ਹੋ ਜਾਂਦੀ ਹੈ, ਕਿਉਂਕਿ ਨੈੱਟਫਿਲਟਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਰਨਲ ਪੱਧਰ 'ਤੇ ਰੂਟਿੰਗ ਹੁੰਦੀ ਹੈ। ਸਾਡਾ VDS Hyper-V 'ਤੇ ਬਣਾਇਆ ਗਿਆ ਹੈ, ਇਸਲਈ ਆਖਰੀ ਪੜਾਅ ਵਿੱਚ ਅਸੀਂ ਇੱਕ ਲੋਕਲ ਬ੍ਰਿਜ ਬਣਾਉਂਦੇ ਹਾਂ ਅਤੇ ਬ੍ਰਿਜਕ੍ਰਿਏਟ Suricate_VPN -device:suricate_vpn -tap:yes ਕਮਾਂਡ ਨਾਲ TAP ਡਿਵਾਈਸ ਨੂੰ ਐਕਟੀਵੇਟ ਕਰਦੇ ਹਾਂ। ਹੱਬ ਮੈਨੇਜਮੈਂਟ ਕੰਸੋਲ ਤੋਂ ਬਾਹਰ ਆਉਣ ਤੋਂ ਬਾਅਦ, ਅਸੀਂ ਸਿਸਟਮ ਵਿੱਚ ਇੱਕ ਨਵਾਂ ਨੈੱਟਵਰਕ ਇੰਟਰਫੇਸ ਦੇਖਾਂਗੇ ਜਿਸਨੂੰ ਅਜੇ ਤੱਕ ਇੱਕ IP ਨਿਰਧਾਰਤ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ:

ifconfig

ਅੱਗੇ, ਤੁਹਾਨੂੰ ਇੰਟਰਫੇਸ (ਆਈਪੀ ਫਾਰਵਰਡ) ਦੇ ਵਿਚਕਾਰ ਪੈਕੇਟ ਰੂਟਿੰਗ ਨੂੰ ਸਮਰੱਥ ਕਰਨਾ ਹੋਵੇਗਾ, ਜੇਕਰ ਇਹ ਅਕਿਰਿਆਸ਼ੀਲ ਹੈ:

sudo nano /etc/sysctl.conf

ਹੇਠ ਦਿੱਤੀ ਲਾਈਨ ਨੂੰ ਅਣਕਮੇਂਟ ਕਰੋ:

net.ipv4.ip_forward = 1

ਫਾਈਲ ਵਿੱਚ ਤਬਦੀਲੀਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰੋ, ਸੰਪਾਦਕ ਤੋਂ ਬਾਹਰ ਜਾਓ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਨਾਲ ਲਾਗੂ ਕਰੋ:

sudo sysctl -p

ਅੱਗੇ, ਸਾਨੂੰ ਫਰਜ਼ੀ IPs (ਉਦਾਹਰਨ ਲਈ, 10.0.10.0/24) ਵਾਲੇ ਵਰਚੁਅਲ ਨੈੱਟਵਰਕ ਲਈ ਇੱਕ ਸਬਨੈੱਟ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨ ਅਤੇ ਇੰਟਰਫੇਸ ਨੂੰ ਇੱਕ ਐਡਰੈੱਸ ਦੇਣ ਦੀ ਲੋੜ ਹੈ:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

ਫਿਰ ਤੁਹਾਨੂੰ Netfilter ਨਿਯਮ ਲਿਖਣ ਦੀ ਲੋੜ ਹੈ.

1. ਜੇਕਰ ਲੋੜ ਹੋਵੇ, ਤਾਂ ਸੁਣਨ ਵਾਲੇ ਪੋਰਟਾਂ 'ਤੇ ਆਉਣ ਵਾਲੇ ਪੈਕੇਟਾਂ ਦੀ ਇਜਾਜ਼ਤ ਦਿਓ (ਸਾਫਟ ਈਥਰ ਮਲਕੀਅਤ ਪ੍ਰੋਟੋਕੋਲ HTTPS ਅਤੇ ਪੋਰਟ 443 ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT ਨੂੰ 10.0.10.0/24 ਸਬਨੈੱਟ ਤੋਂ ਮੁੱਖ ਸਰਵਰ IP ਤੇ ਸੈਟ ਅਪ ਕਰੋ

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. ਸਬਨੈੱਟ 10.0.10.0/24 ਤੋਂ ਪੈਕੇਟ ਪਾਸ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿਓ

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਿਤ ਕਨੈਕਸ਼ਨਾਂ ਲਈ ਪੈਕੇਟ ਪਾਸ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿਓ

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

ਅਸੀਂ ਪ੍ਰਕਿਰਿਆ ਦੇ ਆਟੋਮੇਸ਼ਨ ਨੂੰ ਛੱਡ ਦੇਵਾਂਗੇ ਜਦੋਂ ਸਿਸਟਮ ਨੂੰ ਹੋਮਵਰਕ ਵਜੋਂ ਪਾਠਕਾਂ ਨੂੰ ਸ਼ੁਰੂਆਤੀ ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੁੜ ਚਾਲੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਜੇਕਰ ਤੁਸੀਂ ਗਾਹਕਾਂ ਨੂੰ ਆਟੋਮੈਟਿਕਲੀ IP ਦੇਣਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ ਸਥਾਨਕ ਬ੍ਰਿਜ ਲਈ ਕਿਸੇ ਕਿਸਮ ਦੀ DHCP ਸੇਵਾ ਨੂੰ ਵੀ ਸਥਾਪਤ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ। ਇਹ ਸਰਵਰ ਸੈੱਟਅੱਪ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ ਅਤੇ ਤੁਸੀਂ ਗਾਹਕਾਂ ਕੋਲ ਜਾ ਸਕਦੇ ਹੋ। SoftEther ਬਹੁਤ ਸਾਰੇ ਪ੍ਰੋਟੋਕੋਲਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਦੀ ਵਰਤੋਂ LAN ਉਪਕਰਣਾਂ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ।

netstat -ap |grep vpnserver

ਕਿਉਂਕਿ ਸਾਡਾ ਟੈਸਟ ਰਾਊਟਰ ਵੀ ਉਬੰਟੂ ਦੇ ਅਧੀਨ ਚੱਲਦਾ ਹੈ, ਆਓ ਮਲਕੀਅਤ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਇਸ 'ਤੇ ਇੱਕ ਬਾਹਰੀ ਰਿਪੋਜ਼ਟਰੀ ਤੋਂ softether-vpnclient ਅਤੇ softether-vpncmd ਪੈਕੇਜ ਇੰਸਟਾਲ ਕਰੀਏ। ਤੁਹਾਨੂੰ ਕਲਾਇੰਟ ਨੂੰ ਚਲਾਉਣ ਦੀ ਲੋੜ ਹੋਵੇਗੀ:

sudo vpnclient start

ਸੰਰਚਨਾ ਕਰਨ ਲਈ, vpncmd ਸਹੂਲਤ ਦੀ ਵਰਤੋਂ ਕਰੋ, ਲੋਕਲਹੋਸਟ ਨੂੰ ਮਸ਼ੀਨ ਵਜੋਂ ਚੁਣੋ ਜਿਸ 'ਤੇ vpnclient ਚੱਲ ਰਿਹਾ ਹੈ। ਸਾਰੀਆਂ ਕਮਾਂਡਾਂ ਕੰਸੋਲ ਵਿੱਚ ਬਣਾਈਆਂ ਗਈਆਂ ਹਨ: ਤੁਹਾਨੂੰ ਇੱਕ ਵਰਚੁਅਲ ਇੰਟਰਫੇਸ (NicCreate) ਅਤੇ ਇੱਕ ਖਾਤਾ (AccountCreate) ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੋਵੇਗੀ।

ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਤੁਹਾਨੂੰ AccountAnonymousSet, AccountPasswordSet, AccountCertSet, ਅਤੇ AccountSecureCertSet ਕਮਾਂਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਧੀ ਨਿਰਧਾਰਤ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ। ਕਿਉਂਕਿ ਅਸੀਂ DHCP ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰ ਰਹੇ ਹਾਂ, ਵਰਚੁਅਲ ਅਡੈਪਟਰ ਲਈ ਪਤਾ ਹੱਥੀਂ ਸੈੱਟ ਕੀਤਾ ਗਿਆ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਾਨੂੰ ip ਫਾਰਵਰਡ (/etc/sysctl.conf ਫਾਈਲ ਵਿੱਚ ਵਿਕਲਪ net.ipv4.ip_forward=1) ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਅਤੇ ਸਥਿਰ ਰੂਟਾਂ ਨੂੰ ਸੰਰਚਿਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਜੇਕਰ ਲੋੜ ਹੋਵੇ, ਸੂਰੀਕਾਟਾ ਨਾਲ VDS 'ਤੇ, ਤੁਸੀਂ ਸਥਾਨਕ ਨੈੱਟਵਰਕ 'ਤੇ ਸਥਾਪਤ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਪੋਰਟ ਫਾਰਵਰਡਿੰਗ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ। ਇਸ 'ਤੇ, ਨੈਟਵਰਕ ਰਲੇਵੇਂ ਨੂੰ ਪੂਰਾ ਮੰਨਿਆ ਜਾ ਸਕਦਾ ਹੈ.

ਸਾਡੀ ਪ੍ਰਸਤਾਵਿਤ ਸੰਰਚਨਾ ਕੁਝ ਇਸ ਤਰ੍ਹਾਂ ਦਿਖਾਈ ਦੇਵੇਗੀ:

Suricata ਸੈੱਟਅੱਪ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ

В ਪਿਛਲੇ ਲੇਖ ਅਸੀਂ IDS ਦੇ ਸੰਚਾਲਨ ਦੇ ਦੋ ਢੰਗਾਂ ਬਾਰੇ ਗੱਲ ਕੀਤੀ: NFQUEUE ਕਤਾਰ (NFQ ਮੋਡ) ਰਾਹੀਂ ਅਤੇ ਜ਼ੀਰੋ ਕਾਪੀ (AF_PACKET ਮੋਡ) ਰਾਹੀਂ। ਦੂਜੇ ਨੂੰ ਦੋ ਇੰਟਰਫੇਸ ਦੀ ਲੋੜ ਹੈ, ਪਰ ਤੇਜ਼ ਹੈ - ਅਸੀਂ ਇਸਨੂੰ ਵਰਤਾਂਗੇ। ਪੈਰਾਮੀਟਰ ਨੂੰ ਮੂਲ ਰੂਪ ਵਿੱਚ /etc/default/suricata ਵਿੱਚ ਸੈੱਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਸਾਨੂੰ /etc/suricata/suricata.yaml ਵਿੱਚ ਵਰਚੁਅਲ ਸਬਨੈੱਟ ਨੂੰ ਘਰ ਦੇ ਰੂਪ ਵਿੱਚ ਸੈੱਟ ਕਰਦੇ ਹੋਏ, vars ਭਾਗ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਨ ਦੀ ਵੀ ਲੋੜ ਹੈ।

IDS ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰਨ ਲਈ, ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ:

systemctl restart suricata

ਹੱਲ ਤਿਆਰ ਹੈ, ਹੁਣ ਤੁਹਾਨੂੰ ਖਤਰਨਾਕ ਕਾਰਵਾਈਆਂ ਦੇ ਵਿਰੋਧ ਲਈ ਇਸਦੀ ਜਾਂਚ ਕਰਨ ਦੀ ਲੋੜ ਹੋ ਸਕਦੀ ਹੈ।

ਹਮਲਿਆਂ ਦੀ ਨਕਲ ਕਰਨਾ

ਇੱਕ ਬਾਹਰੀ IDS ਸੇਵਾ ਦੀ ਲੜਾਈ ਦੀ ਵਰਤੋਂ ਲਈ ਕਈ ਦ੍ਰਿਸ਼ ਹੋ ਸਕਦੇ ਹਨ:

DDoS ਹਮਲਿਆਂ ਤੋਂ ਸੁਰੱਖਿਆ (ਮੁਢਲਾ ਉਦੇਸ਼)

ਕਾਰਪੋਰੇਟ ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ ਅਜਿਹੇ ਵਿਕਲਪ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਮੁਸ਼ਕਲ ਹੈ, ਕਿਉਂਕਿ ਵਿਸ਼ਲੇਸ਼ਣ ਲਈ ਪੈਕਟਾਂ ਨੂੰ ਸਿਸਟਮ ਇੰਟਰਫੇਸ ਤੱਕ ਪਹੁੰਚਣਾ ਚਾਹੀਦਾ ਹੈ ਜੋ ਇੰਟਰਨੈਟ ਨੂੰ ਵੇਖਦਾ ਹੈ. ਭਾਵੇਂ IDS ਉਹਨਾਂ ਨੂੰ ਰੋਕਦਾ ਹੈ, ਜਾਅਲੀ ਟ੍ਰੈਫਿਕ ਡੇਟਾ ਲਿੰਕ ਨੂੰ ਹੇਠਾਂ ਲਿਆ ਸਕਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਚਣ ਲਈ, ਤੁਹਾਨੂੰ ਲੋੜੀਂਦੇ ਉਤਪਾਦਕ ਇੰਟਰਨੈਟ ਕਨੈਕਸ਼ਨ ਦੇ ਨਾਲ ਇੱਕ VPS ਆਰਡਰ ਕਰਨ ਦੀ ਲੋੜ ਹੈ ਜੋ ਸਾਰੇ ਸਥਾਨਕ ਨੈਟਵਰਕ ਟ੍ਰੈਫਿਕ ਅਤੇ ਸਾਰੇ ਬਾਹਰੀ ਟ੍ਰੈਫਿਕ ਨੂੰ ਪਾਸ ਕਰ ਸਕਦਾ ਹੈ। ਦਫਤਰ ਦੇ ਚੈਨਲ ਦਾ ਵਿਸਤਾਰ ਕਰਨ ਨਾਲੋਂ ਅਜਿਹਾ ਕਰਨਾ ਅਕਸਰ ਸੌਖਾ ਅਤੇ ਸਸਤਾ ਹੁੰਦਾ ਹੈ। ਇੱਕ ਵਿਕਲਪ ਵਜੋਂ, DDoS ਤੋਂ ਸੁਰੱਖਿਆ ਲਈ ਵਿਸ਼ੇਸ਼ ਸੇਵਾਵਾਂ ਦਾ ਜ਼ਿਕਰ ਕਰਨਾ ਮਹੱਤਵਪੂਰਣ ਹੈ। ਉਹਨਾਂ ਦੀਆਂ ਸੇਵਾਵਾਂ ਦੀ ਲਾਗਤ ਇੱਕ ਵਰਚੁਅਲ ਸਰਵਰ ਦੀ ਲਾਗਤ ਨਾਲ ਤੁਲਨਾਯੋਗ ਹੈ, ਅਤੇ ਇਸਨੂੰ ਸਮਾਂ-ਬਰਬਾਦ ਕਰਨ ਵਾਲੀ ਸੰਰਚਨਾ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ, ਪਰ ਇਸਦੇ ਨੁਕਸਾਨ ਵੀ ਹਨ - ਕਲਾਇੰਟ ਨੂੰ ਉਸਦੇ ਪੈਸੇ ਲਈ ਕੇਵਲ DDoS ਸੁਰੱਖਿਆ ਪ੍ਰਾਪਤ ਹੁੰਦੀ ਹੈ, ਜਦੋਂ ਕਿ ਉਸਦੀ ਆਪਣੀ IDS ਨੂੰ ਤੁਹਾਡੇ ਵਾਂਗ ਸੰਰਚਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ. ਪਸੰਦ

ਹੋਰ ਕਿਸਮਾਂ ਦੇ ਬਾਹਰੀ ਹਮਲਿਆਂ ਤੋਂ ਸੁਰੱਖਿਆ

Suricata ਇੰਟਰਨੈਟ (ਮੇਲ ਸਰਵਰ, ਵੈੱਬ ਸਰਵਰ ਅਤੇ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ, ਆਦਿ) ਤੋਂ ਪਹੁੰਚਯੋਗ ਕਾਰਪੋਰੇਟ ਨੈਟਵਰਕ ਸੇਵਾਵਾਂ ਵਿੱਚ ਵੱਖ-ਵੱਖ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨਾਲ ਸਿੱਝਣ ਦੇ ਯੋਗ ਹੈ। ਆਮ ਤੌਰ 'ਤੇ, ਇਸਦੇ ਲਈ, ਬਾਰਡਰ ਡਿਵਾਈਸਾਂ ਤੋਂ ਬਾਅਦ ਆਈਡੀਐਸ ਨੂੰ LAN ਦੇ ਅੰਦਰ ਸਥਾਪਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਪਰ ਇਸਨੂੰ ਬਾਹਰ ਲਿਜਾਣ ਦਾ ਅਧਿਕਾਰ ਮੌਜੂਦ ਹੈ।

ਅੰਦਰੂਨੀ ਤੋਂ ਸੁਰੱਖਿਆ

ਸਿਸਟਮ ਪ੍ਰਸ਼ਾਸਕ ਦੇ ਵਧੀਆ ਯਤਨਾਂ ਦੇ ਬਾਵਜੂਦ, ਕਾਰਪੋਰੇਟ ਨੈੱਟਵਰਕ 'ਤੇ ਕੰਪਿਊਟਰ ਮਾਲਵੇਅਰ ਨਾਲ ਸੰਕਰਮਿਤ ਹੋ ਸਕਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਥਾਨਕ ਖੇਤਰ ਵਿਚ ਕਈ ਵਾਰ ਗੁੰਡੇ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ, ਜੋ ਕੁਝ ਗੈਰ-ਕਾਨੂੰਨੀ ਕਾਰਵਾਈਆਂ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ। ਸੂਰੀਕਾਟਾ ਅਜਿਹੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਰੋਕਣ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕਦਾ ਹੈ, ਹਾਲਾਂਕਿ ਅੰਦਰੂਨੀ ਨੈੱਟਵਰਕ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਇਸਨੂੰ ਘੇਰੇ ਦੇ ਅੰਦਰ ਸਥਾਪਿਤ ਕਰਨਾ ਅਤੇ ਇੱਕ ਪ੍ਰਬੰਧਿਤ ਸਵਿੱਚ ਦੇ ਨਾਲ ਇਸਦੀ ਵਰਤੋਂ ਕਰਨਾ ਬਿਹਤਰ ਹੈ ਜੋ ਇੱਕ ਪੋਰਟ ਤੇ ਆਵਾਜਾਈ ਨੂੰ ਪ੍ਰਤੀਬਿੰਬਤ ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਕੇਸ ਵਿੱਚ ਇੱਕ ਬਾਹਰੀ ਆਈਡੀਐਸ ਵੀ ਬੇਕਾਰ ਨਹੀਂ ਹੈ - ਘੱਟੋ ਘੱਟ ਇਹ ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਲਈ LAN ਉੱਤੇ ਰਹਿਣ ਵਾਲੇ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਫੜਨ ਦੇ ਯੋਗ ਹੋਵੇਗਾ।

ਸ਼ੁਰੂ ਕਰਨ ਲਈ, ਅਸੀਂ VPS 'ਤੇ ਹਮਲਾ ਕਰਨ ਵਾਲਾ ਇੱਕ ਹੋਰ ਟੈਸਟ ਬਣਾਵਾਂਗੇ, ਅਤੇ ਸਥਾਨਕ ਨੈੱਟਵਰਕ ਰਾਊਟਰ 'ਤੇ ਅਸੀਂ ਡਿਫੌਲਟ ਕੌਂਫਿਗਰੇਸ਼ਨ ਨਾਲ ਅਪਾਚੇ ਨੂੰ ਵਧਾਵਾਂਗੇ, ਜਿਸ ਤੋਂ ਬਾਅਦ ਅਸੀਂ IDS ਸਰਵਰ ਤੋਂ 80ਵੇਂ ਪੋਰਟ ਨੂੰ ਅੱਗੇ ਭੇਜਾਂਗੇ। ਅੱਗੇ, ਅਸੀਂ ਇੱਕ ਹਮਲਾਵਰ ਹੋਸਟ ਤੋਂ ਇੱਕ DDoS ਹਮਲੇ ਦੀ ਨਕਲ ਕਰਾਂਗੇ। ਅਜਿਹਾ ਕਰਨ ਲਈ, GitHub ਤੋਂ ਡਾਉਨਲੋਡ ਕਰੋ, ਹਮਲਾ ਕਰਨ ਵਾਲੇ ਨੋਡ 'ਤੇ ਇੱਕ ਛੋਟਾ xerxes ਪ੍ਰੋਗਰਾਮ ਕੰਪਾਈਲ ਕਰੋ ਅਤੇ ਚਲਾਓ (ਤੁਹਾਨੂੰ gcc ਪੈਕੇਜ ਇੰਸਟਾਲ ਕਰਨ ਦੀ ਲੋੜ ਹੋ ਸਕਦੀ ਹੈ):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

ਉਸਦੇ ਕੰਮ ਦਾ ਨਤੀਜਾ ਇਸ ਪ੍ਰਕਾਰ ਸੀ:

ਸੂਰੀਕਾਟਾ ਖਲਨਾਇਕ ਨੂੰ ਕੱਟ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਅਪਾਚੇ ਪੇਜ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਖੁੱਲ੍ਹਦਾ ਹੈ, ਸਾਡੇ ਅਚਾਨਕ ਹਮਲੇ ਅਤੇ "ਦਫ਼ਤਰ" (ਅਸਲ ਵਿੱਚ ਘਰ) ਨੈਟਵਰਕ ਦੇ ਨਾਜ਼ੁਕ ਚੈਨਲ ਦੇ ਬਾਵਜੂਦ। ਵਧੇਰੇ ਗੰਭੀਰ ਕੰਮਾਂ ਲਈ, ਤੁਹਾਨੂੰ ਵਰਤਣਾ ਚਾਹੀਦਾ ਹੈ ਮੈਟਾਸਪਲਿਓਟ ਫਰੇਮਵਰਕ. ਇਹ ਪ੍ਰਵੇਸ਼ ਜਾਂਚ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਤੁਹਾਨੂੰ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਹਮਲਿਆਂ ਦੀ ਨਕਲ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇੰਸਟਾਲੇਸ਼ਨ ਨਿਰਦੇਸ਼ ਉਪਲੱਬਧ ਪ੍ਰੋਜੈਕਟ ਦੀ ਵੈੱਬਸਾਈਟ 'ਤੇ. ਇੰਸਟਾਲੇਸ਼ਨ ਦੇ ਬਾਅਦ, ਇੱਕ ਅੱਪਡੇਟ ਦੀ ਲੋੜ ਹੈ:

sudo msfupdate

ਜਾਂਚ ਲਈ, msfconsole ਚਲਾਓ।

ਬਦਕਿਸਮਤੀ ਨਾਲ, ਫਰੇਮਵਰਕ ਦੇ ਨਵੀਨਤਮ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਸਵੈਚਲਿਤ ਤੌਰ 'ਤੇ ਕ੍ਰੈਕ ਕਰਨ ਦੀ ਯੋਗਤਾ ਦੀ ਘਾਟ ਹੈ, ਇਸਲਈ ਸ਼ੋਸ਼ਣ ਨੂੰ ਹੱਥੀਂ ਕ੍ਰਮਬੱਧ ਕਰਨਾ ਹੋਵੇਗਾ ਅਤੇ ਵਰਤੋਂ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਚਲਾਉਣਾ ਹੋਵੇਗਾ। ਸ਼ੁਰੂ ਕਰਨ ਲਈ, ਹਮਲਾਵਰ ਮਸ਼ੀਨ 'ਤੇ ਖੁੱਲ੍ਹੀਆਂ ਪੋਰਟਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨਾ ਮਹੱਤਵਪੂਰਣ ਹੈ, ਉਦਾਹਰਣ ਵਜੋਂ, nmap ਦੀ ਵਰਤੋਂ ਕਰਨਾ (ਸਾਡੇ ਕੇਸ ਵਿੱਚ, ਇਹ ਹਮਲਾ ਕੀਤੇ ਹੋਸਟ 'ਤੇ ਨੈੱਟਸਟੈਟ ਦੁਆਰਾ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬਦਲਿਆ ਜਾਵੇਗਾ), ਅਤੇ ਫਿਰ ਉਚਿਤ ਦੀ ਚੋਣ ਕਰੋ ਅਤੇ ਵਰਤੋਂ ਮੈਟਾਸਪਲੋਇਟ ਮੋਡੀਊਲ.

ਔਨਲਾਈਨ ਸੇਵਾਵਾਂ ਸਮੇਤ, ਹਮਲਿਆਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ IDS ਦੀ ਲਚਕਤਾ ਦੀ ਜਾਂਚ ਕਰਨ ਦੇ ਹੋਰ ਸਾਧਨ ਹਨ। ਉਤਸੁਕਤਾ ਦੀ ਖ਼ਾਤਰ, ਤੁਸੀਂ ਅਜ਼ਮਾਇਸ਼ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਤਣਾਅ ਦੀ ਜਾਂਚ ਦਾ ਪ੍ਰਬੰਧ ਕਰ ਸਕਦੇ ਹੋ IP ਤਣਾਅ. ਅੰਦਰੂਨੀ ਘੁਸਪੈਠੀਆਂ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਪ੍ਰਤੀ ਪ੍ਰਤੀਕ੍ਰਿਆ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ, ਸਥਾਨਕ ਨੈਟਵਰਕ ਤੇ ਇੱਕ ਮਸ਼ੀਨ 'ਤੇ ਵਿਸ਼ੇਸ਼ ਟੂਲ ਸਥਾਪਤ ਕਰਨ ਦੇ ਯੋਗ ਹੈ. ਇੱਥੇ ਬਹੁਤ ਸਾਰੇ ਵਿਕਲਪ ਹਨ ਅਤੇ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਉਹਨਾਂ ਨੂੰ ਨਾ ਸਿਰਫ ਪ੍ਰਯੋਗਾਤਮਕ ਸਾਈਟ 'ਤੇ ਲਾਗੂ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਸਗੋਂ ਕੰਮ ਕਰਨ ਵਾਲੇ ਸਿਸਟਮਾਂ ਲਈ ਵੀ, ਸਿਰਫ ਇਹ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਵੱਖਰੀ ਕਹਾਣੀ ਹੈ.

ਸਰੋਤ: www.habr.com

Snort ਜਾਂ Suricata. ਭਾਗ 3: ਆਫਿਸ ਨੈੱਟਵਰਕ ਦੀ ਰੱਖਿਆ ਕਰਨਾ

ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਕਨੈਕਟ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ

Suricata ਸੈੱਟਅੱਪ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ

ਹਮਲਿਆਂ ਦੀ ਨਕਲ ਕਰਨਾ

ਇੱਕ ਟਿੱਪਣੀ ਜੋੜੋ Отменить ответ