Snort یا Suricata. دریمه برخه: د دفتر شبکې ساتنه

В پخوانۍ مقاله موږ پوښلي چې څنګه په اوبنټو 18.04 LTS کې د سوریکاټا مستحکم نسخه چلوو. په یو واحد نوډ کې د IDS تنظیم کول او د وړیا قواعدو سیټونو فعالول خورا ساده دي. نن ورځ موږ به معلومه کړو چې څنګه په مجازی سرور کې نصب شوي سوریکاټا په کارولو سره د ډیری عام بریدونو په کارولو سره د کارپوریټ شبکې ساتنه وکړو. د دې کولو لپاره، موږ په لینکس کې VDS ته اړتیا لرو چې دوه کمپیوټري کورونه لري. د RAM اندازه په بار پورې اړه لري: د یو چا لپاره 2 GB کافی دی، او 4 یا حتی 6 ممکن د ډیرو جدي کارونو لپاره اړین وي. د مجازی ماشین ګټه د تجربې وړتیا ده: تاسو کولی شئ د لږترلږه ترتیب سره پیل کړئ او زیات کړئ سرچینې لکه څنګه چې اړتیا وي.

عکس: رویټرز

• Snort یا Suricata. لومړۍ برخه: ستاسو د کارپوریټ شبکې ساتلو لپاره وړیا IDS/IPS غوره کول
• Snort یا Suricata. 2 برخه: د Suricata نصب او ابتدايي ترتیب

د شبکې نښلول

په لومړي ځای کې مجازی ماشین ته د IDS لرې کول ممکن د ازموینو لپاره اړین وي. که تاسو هیڅکله د داسې حلونو سره معامله نه ده کړې ، نو تاسو باید د فزیکي هارډویر امر کولو او د شبکې جوړښت بدلولو لپاره بیړه ونه کړئ. دا غوره ده چې سیسټم په خوندي او ارزانه توګه پرمخ بوځي ترڅو ستاسو د کمپیوټر اړتیاوې وټاکي. دا مهمه ده چې پوه شئ چې ټول کارپوریټ ترافیک باید د یو واحد بهرني نوډ له لارې تیر شي: د IDS Suricata نصب سره VDS سره د محلي شبکې (یا څو شبکې) سره وصل کولو لپاره ، تاسو کولی شئ وکاروئ ساوتری - د تنظیم کولو لپاره اسانه ، د کراس پلیټ فارم VPN سرور چې قوي کوډ کول چمتو کوي. د دفتر انټرنیټ اتصال ممکن ریښتیني IP ونه لري ، نو دا غوره ده چې دا په VPS کې تنظیم کړئ. د اوبنټو ذخیره کې هیڅ چمتو شوي کڅوړې شتون نلري ، تاسو باید سافټویر له دې څخه ډاونلوډ کړئ د پروژې سایټ، یا په خدمت کې د بهرني ذخیره څخه لانچرپاد (که تاسو په هغه باور لرئ):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

تاسو کولی شئ د لاندې کمانډ سره د شته کڅوړو لیست وګورئ:

apt-cache search softether

موږ به softether-vpnserver ته اړتیا ولرو (د ازموینې ترتیب کې سرور په VDS کې روان دی) ، او همدارنګه د دې تنظیم کولو لپاره softether-vpncmd - د کمانډ لاین اسانتیاوې.

sudo apt-get install softether-vpnserver softether-vpncmd

د سرور تنظیم کولو لپاره د ځانګړي کمانډ لاین افادیت کارول کیږي:

sudo vpncmd

موږ به د ترتیب په اړه په تفصیل سره خبرې ونه کړو: طرزالعمل خورا ساده دی، دا په ډیری خپرونو کې ښه تشریح شوی او په مستقیم ډول د مقالې موضوع پورې تړاو نلري. په لنډه توګه ، د vpncmd پیل کولو وروسته ، تاسو اړتیا لرئ د سرور مدیریت کنسول ته د تګ لپاره توکي 1 غوره کړئ. د دې کولو لپاره ، تاسو اړتیا لرئ د ځای ځای نوم دننه کړئ او د مرکز نوم دننه کولو پرځای انټر فشار ورکړئ. د مدیر پاسورډ په کنسول کې د سرور پاسورډسیټ کمانډ سره تنظیم شوی ، DEFAULT مجازی مرکز حذف شوی (hubdelete کمانډ) او یو نوی د Suricata_VPN په نوم رامینځته شوی ، او د هغې پټنوم هم تنظیم شوی (hubcreate کمانډ). بیا ، تاسو اړتیا لرئ د هب Suricata_VPN کمانډ په کارولو سره د نوي مرکز مدیریت کنسول ته لاړشئ ترڅو د ګروپ جوړونې او کارونکي کمانډونو په کارولو سره ګروپ او کارونکي رامینځته کړئ. د کارن پاسورډ د یوزر پاسورډ سیټ په کارولو سره تنظیم شوی.

SoftEther د دوه ټرافيکي لیږد حالتونو ملاتړ کوي: SecureNAT او محلي پل. لومړی د خپل NAT او DHCP سره د مجازی خصوصي شبکې جوړولو لپاره ملکیت ټیکنالوژي ده. SecureNAT TUN/TAP یا Netfilter یا نورو فایروال ترتیباتو ته اړتیا نلري. روټینګ د سیسټم اصلي اغیزه نه کوي، او ټولې پروسې مجازی شوي او په هر VPS / VDS کې کار کوي، پرته له دې چې کارول شوي هایپروایزر ته پام وکړي. دا د محلي برج حالت په پرتله د CPU بار زیاتوالي او ورو سرعت پایله کوي ، کوم چې د SoftEther مجازی مرکز د فزیکي شبکې اډاپټر یا TAP وسیله سره وصل کوي.

پدې حالت کې تنظیم کول خورا پیچلي کیږي، ځکه چې د Netfilter په کارولو سره د کرنل په کچه روټینګ واقع کیږي. زموږ VDS په Hyper-V کې جوړ شوی، نو په وروستي مرحله کې موږ یو ځایی پل جوړوو او د TAP وسیله د برج جوړونکي Suricate_VPN -device:suricate_vpn -tap:yes کمانډ سره فعالوو. د هب مدیریت کنسول څخه د وتلو وروسته، موږ به په سیسټم کې د شبکې نوی انٹرفیس وګورو چې لا تر اوسه IP ندی ټاکل شوی:

ifconfig

بیا، تاسو باید د انٹرفیسونو (IP فارورډ) ترمنځ د پیکټ روټینګ فعال کړئ، که دا غیر فعال وي:

sudo nano /etc/sysctl.conf

لاندې کرښه غیر تبصره کړئ:

net.ipv4.ip_forward = 1

په فایل کې بدلونونه خوندي کړئ، له مدیر څخه ووځئ او د لاندې کمانډ سره یې پلي کړئ:

sudo sysctl -p

بیا، موږ اړتیا لرو چې د جعلي IPs سره د مجازی شبکې لپاره فرعي نیټ تعریف کړو (د مثال په توګه، 10.0.10.0/24) او انٹرفیس ته پته وټاکو:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

بیا تاسو اړتیا لرئ د Netfilter قواعد ولیکئ.

1. که اړتیا وي، د اوریدلو په بندرونو کې راتلونکو کڅوړو ته اجازه ورکړئ (SoftEther ملکیت پروتوکول HTTPS او پورټ 443 کاروي)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT له 10.0.10.0/24 فرعي نیټ څخه اصلي سرور IP ته تنظیم کړئ

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. د فرعي نیټ 10.0.10.0/24 څخه پاکټونو ته اجازه ورکړئ

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. د مخکینیو تاسیس شویو اتصالاتو لپاره د کڅوړو انتقالولو ته اجازه ورکړئ

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

موږ به د پروسې اتومات پریږدو کله چې سیسټم د کور کار په توګه لوستونکو ته د ابتدايي سکریپټونو په کارولو سره بیا پیل شي.

که تاسو غواړئ په اتوماتيک ډول پیرودونکو ته IP ورکړئ، تاسو به د ځایی پل لپاره د DHCP ډول ډول خدمت نصبولو ته هم اړتیا ولرئ. دا د سرور ترتیب بشپړوي او تاسو کولی شئ مراجعینو ته لاړ شئ. SoftEther د ډیری پروتوکولونو ملاتړ کوي، چې کارول یې د LAN تجهیزاتو وړتیاوو پورې اړه لري.

netstat -ap |grep vpnserver

څرنګه چې زموږ د ټیسټ روټر هم د اوبنټو لاندې چلیږي ، راځئ چې د ملکیت پروتوکول کارولو لپاره په دې کې د بهرني ذخیره کولو څخه نرمتر-vpnclient او softether-vpncmd کڅوړې نصب کړو. تاسو به د پیرودونکي چلولو ته اړتیا ولرئ:

sudo vpnclient start

د تنظیم کولو لپاره، د vpncmd افادیت وکاروئ، لوکل هوسټ د ماشین په توګه غوره کړئ په کوم کې چې vpnclient روان دی. ټول حکمونه په کنسول کې جوړ شوي دي: تاسو به اړتیا ولرئ یو مجازی انٹرفیس (NicCreate) او یو حساب (AccountCreate) جوړ کړئ.

په ځینو مواردو کې، تاسو باید د AccountAnonymousSet، AccountPasswordSet، AccountCertSet، او AccountSecureCertSet کمانډونو په کارولو سره د تصدیق کولو میتود مشخص کړئ. څرنګه چې موږ DHCP نه کاروو، د مجازی اډاپټر پته په لاسي ډول ټاکل شوې.

برسېره پردې، موږ اړتیا لرو چې ip فارورډ فعال کړو (په /etc/sysctl.conf فایل کې net.ipv4.ip_forward=1 اختیار) او جامد لارې تنظیم کړئ. که اړتیا وي، د Suricata سره په VDS کې، تاسو کولی شئ په محلي شبکه کې نصب شوي خدماتو کارولو لپاره د پورټ فارورډینګ تنظیم کړئ. په دې اړه، د شبکې ادغام بشپړ ګڼل کیدی شي.

زموږ وړاندیز شوی ترتیب به داسې ښکاري:

د Suricata تنظیم کول

В پخوانۍ مقاله موږ د IDS د عملیاتو دوه طریقو په اړه خبرې وکړې: د NFQUEUE قطار (NFQ حالت) له لارې او د صفر کاپي (AF_PACKET حالت) له لارې. دوهم دوه انٹرفیس ته اړتیا لري ، مګر ګړندی دی - موږ به یې وکاروو. پیرامیټر په ډیفالټ ډول په /etc/default/suricata کې تنظیم شوی. موږ هم اړتیا لرو چې په /etc/suricata/suricata.yaml کې د vars برخه ایډیټ کړو، هلته د کور په توګه مجازی سبنټ ترتیب کړو.

د IDS بیا پیلولو لپاره، کمانډ وکاروئ:

systemctl restart suricata

حل چمتو دی، اوس تاسو اړتیا لرئ چې د ناوړه کړنو په وړاندې د مقاومت لپاره ازموینه وکړئ.

د بریدونو سمبالول

د بهرني IDS خدمت د جنګي کارولو لپاره ډیری سناریوګانې شتون لري:

د DDoS بریدونو پروړاندې محافظت (لومړنی هدف)

د کارپوریټ شبکې دننه دا ډول اختیار پلي کول ستونزمن دي، ځکه چې د تحلیل لپاره کڅوړې باید د سیسټم انٹرفیس ته ورسیږي چې انټرنیټ ګوري. حتی که IDS دوی بند کړي، جعلي ترافیک کولی شي د ډیټا لینک ښکته کړي. د دې څخه مخنیوي لپاره ، تاسو اړتیا لرئ د کافي تولیدي انټرنیټ اتصال سره د VPS امر وکړئ چې کولی شي ټول محلي شبکې ترافیک او ټول بهرني ترافیک تیر کړي. د دفتر چینل پراخولو په پرتله دا کار کول ډیری وختونه اسانه او ارزانه دي. د بدیل په توګه، دا د DDoS په وړاندې د ساتنې لپاره د ځانګړو خدماتو یادونه ارزښت لري. د دوی د خدماتو لګښت د مجازی سرور لګښت سره پرتله کولو وړ دی، او دا د وخت مصرف کولو ترتیب ته اړتیا نلري، مګر نیمګړتیاوې هم شتون لري - پیرودونکي د خپلو پیسو لپاره یوازې د DDoS محافظت ترلاسه کوي، پداسې حال کې چې د هغه خپل IDS ستاسو په څیر ترتیب کیدی شي. لکه

د نورو ډولونو د بهرنیو بریدونو په وړاندې محافظت

سوریکاتا د دې وړتیا لري چې د انټرنیټ څخه د لاسرسي وړ کارپوریټ شبکې خدماتو کې د مختلف زیانونو څخه د ګټې اخیستنې هڅو سره مقابله وکړي (د میل سرور ، ویب سرور او ویب غوښتنلیکونه ، او داسې نور). عموما، د دې لپاره، IDS د سرحدي وسیلو وروسته د LAN دننه نصب کیږي، مګر بهر یې اخیستل د شتون حق لري.

د داخلي څخه ساتنه

د سیسټم مدیر د غوره هڅو سره سره، په کارپوریټ شبکه کې کمپیوټرونه د مالویر سره اخته کیدی شي. سربیره پردې، ځینې وختونه په سیمه ایزو سیمو کې غله ښکاري، چې هڅه کوي ځینې غیرقانوني عملیات ترسره کړي. سوریکاټا کولی شي د دې ډول هڅو مخنیوي کې مرسته وکړي ، که څه هم د داخلي شبکې خوندي کولو لپاره دا غوره ده چې دا په احاطه کې نصب کړئ او د منظم شوي سویچ سره یې په ټنډیم کې وکاروئ چې کولی شي یو بندر ته ترافیک منعکس کړي. په دې حالت کې یو بهرنی IDS هم بې ګټې نه دی - لږترلږه دا به د دې وړتیا ولري چې په LAN کې د مالویر ژوند کولو هڅې ونیسي ترڅو د بهرني سرور سره اړیکه ونیسي.

د پیل کولو لپاره ، موږ به د VPS برید کولو بله ازموینه رامینځته کړو ، او د ځایی شبکې روټر کې به موږ اپاچي د ډیفالټ ترتیب سره لوړ کړو ، له هغې وروسته به موږ د IDS سرور څخه دې ته 80th بندر ولیږو. بیا، موږ به د برید کونکي کوربه څخه د DDoS برید انډول کړو. د دې کولو لپاره ، د GitHub څخه ډاونلوډ کړئ ، په برید کونکي نوډ کې د کوچني xerxes برنامه تالیف او چل کړئ (تاسو ممکن د gcc بسته نصبولو ته اړتیا ولرئ):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

د هغې د کار پایله په لاندې ډول وه:

سوریکاتا کلیوال قطع کوي، او د اپاچي پاڼه په ډیفالټ ډول پرانیزي، سره له دې چې زموږ د ناڅاپي برید او د "دفتر" (په حقیقت کې د کور) شبکې خورا مړه چینل سره سره. د ډیرو جدي کارونو لپاره، تاسو باید وکاروئ د ماپاسپټو چوکاټ. دا د ننوتلو ازموینې لپاره ډیزاین شوی او تاسو ته اجازه درکوي د مختلف بریدونو انډول کړئ. د نصبولو لارښوونې شتون لري د پروژې په ویب پاڼه کې. د نصبولو وروسته، تازه کولو ته اړتیا ده:

sudo msfupdate

د ازموینې لپاره، msfconsole چل کړئ.

له بده مرغه، د چوکاټ وروستۍ نسخې په اتوماتيک ډول د کریک کولو وړتیا نلري، نو استحصال باید په لاسي ډول ترتیب شي او د کارولو کمانډ په کارولو سره پرمخ بوځي. د پیل کولو لپاره ، دا د برید شوي ماشین کې خلاص بندرونو ټاکلو ارزښت لري ، د مثال په توګه ، د nmap کارول (زموږ په قضیه کې ، دا به په بشپړ ډول د برید شوي کوربه کې د netstat لخوا ځای په ځای شي) ، او بیا مناسب انتخاب او وکاروئ. د میټاسپلایټ ماډلونه. 

د بریدونو په وړاندې د IDS مقاومت ازموینې لپاره نورې لارې شتون لري، په شمول د آنلاین خدماتو. د تجسس لپاره ، تاسو کولی شئ د آزموینې نسخې په کارولو سره د فشار ازموینې تنظیم کړئ د IP فشار راوړونکی. د دې لپاره چې د داخلي لاسوهونکو عملونو غبرګون وڅیړئ، دا د محلي شبکې په یو ماشین کې د ځانګړو وسایلو نصبولو ارزښت لري. ډیری اختیارونه شتون لري او د وخت په تیریدو سره دوی باید نه یوازې په تجربوي سایټ کې پلي شي، بلکې په کاري سیسټمونو کې هم، یوازې دا یو بشپړ مختلف کیسه ده.

سرچینه: www.habr.com