В
Snort یا Suricata. لومړۍ برخه: ستاسو د کارپوریټ شبکې ساتلو لپاره وړیا IDS/IPS غوره کول Snort یا Suricata. 2 برخه: د Suricata نصب او ابتدايي ترتیب
د شبکې نښلول
په لومړي ځای کې مجازی ماشین ته د IDS لرې کول ممکن د ازموینو لپاره اړین وي. که تاسو هیڅکله د داسې حلونو سره معامله نه ده کړې ، نو تاسو باید د فزیکي هارډویر امر کولو او د شبکې جوړښت بدلولو لپاره بیړه ونه کړئ. دا غوره ده چې سیسټم په خوندي او ارزانه توګه پرمخ بوځي ترڅو ستاسو د کمپیوټر اړتیاوې وټاکي. دا مهمه ده چې پوه شئ چې ټول کارپوریټ ترافیک باید د یو واحد بهرني نوډ له لارې تیر شي: د IDS Suricata نصب سره VDS سره د محلي شبکې (یا څو شبکې) سره وصل کولو لپاره ، تاسو کولی شئ وکاروئ
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update
تاسو کولی شئ د لاندې کمانډ سره د شته کڅوړو لیست وګورئ:
apt-cache search softether
موږ به softether-vpnserver ته اړتیا ولرو (د ازموینې ترتیب کې سرور په VDS کې روان دی) ، او همدارنګه د دې تنظیم کولو لپاره softether-vpncmd - د کمانډ لاین اسانتیاوې.
sudo apt-get install softether-vpnserver softether-vpncmd
د سرور تنظیم کولو لپاره د ځانګړي کمانډ لاین افادیت کارول کیږي:
sudo vpncmd
موږ به د ترتیب په اړه په تفصیل سره خبرې ونه کړو: طرزالعمل خورا ساده دی، دا په ډیری خپرونو کې ښه تشریح شوی او په مستقیم ډول د مقالې موضوع پورې تړاو نلري. په لنډه توګه ، د vpncmd پیل کولو وروسته ، تاسو اړتیا لرئ د سرور مدیریت کنسول ته د تګ لپاره توکي 1 غوره کړئ. د دې کولو لپاره ، تاسو اړتیا لرئ د ځای ځای نوم دننه کړئ او د مرکز نوم دننه کولو پرځای انټر فشار ورکړئ. د مدیر پاسورډ په کنسول کې د سرور پاسورډسیټ کمانډ سره تنظیم شوی ، DEFAULT مجازی مرکز حذف شوی (hubdelete کمانډ) او یو نوی د Suricata_VPN په نوم رامینځته شوی ، او د هغې پټنوم هم تنظیم شوی (hubcreate کمانډ). بیا ، تاسو اړتیا لرئ د هب Suricata_VPN کمانډ په کارولو سره د نوي مرکز مدیریت کنسول ته لاړشئ ترڅو د ګروپ جوړونې او کارونکي کمانډونو په کارولو سره ګروپ او کارونکي رامینځته کړئ. د کارن پاسورډ د یوزر پاسورډ سیټ په کارولو سره تنظیم شوی.
SoftEther د دوه ټرافيکي لیږد حالتونو ملاتړ کوي: SecureNAT او محلي پل. لومړی د خپل NAT او DHCP سره د مجازی خصوصي شبکې جوړولو لپاره ملکیت ټیکنالوژي ده. SecureNAT TUN/TAP یا Netfilter یا نورو فایروال ترتیباتو ته اړتیا نلري. روټینګ د سیسټم اصلي اغیزه نه کوي، او ټولې پروسې مجازی شوي او په هر VPS / VDS کې کار کوي، پرته له دې چې کارول شوي هایپروایزر ته پام وکړي. دا د محلي برج حالت په پرتله د CPU بار زیاتوالي او ورو سرعت پایله کوي ، کوم چې د SoftEther مجازی مرکز د فزیکي شبکې اډاپټر یا TAP وسیله سره وصل کوي.
پدې حالت کې تنظیم کول خورا پیچلي کیږي، ځکه چې د Netfilter په کارولو سره د کرنل په کچه روټینګ واقع کیږي. زموږ VDS په Hyper-V کې جوړ شوی، نو په وروستي مرحله کې موږ یو ځایی پل جوړوو او د TAP وسیله د برج جوړونکي Suricate_VPN -device:suricate_vpn -tap:yes کمانډ سره فعالوو. د هب مدیریت کنسول څخه د وتلو وروسته، موږ به په سیسټم کې د شبکې نوی انٹرفیس وګورو چې لا تر اوسه IP ندی ټاکل شوی:
ifconfig
بیا، تاسو باید د انٹرفیسونو (IP فارورډ) ترمنځ د پیکټ روټینګ فعال کړئ، که دا غیر فعال وي:
sudo nano /etc/sysctl.conf
لاندې کرښه غیر تبصره کړئ:
net.ipv4.ip_forward = 1
په فایل کې بدلونونه خوندي کړئ، له مدیر څخه ووځئ او د لاندې کمانډ سره یې پلي کړئ:
sudo sysctl -p
بیا، موږ اړتیا لرو چې د جعلي IPs سره د مجازی شبکې لپاره فرعي نیټ تعریف کړو (د مثال په توګه، 10.0.10.0/24) او انٹرفیس ته پته وټاکو:
sudo ifconfig tap_suricata_vp 10.0.10.1/24
بیا تاسو اړتیا لرئ د Netfilter قواعد ولیکئ.
1. که اړتیا وي، د اوریدلو په بندرونو کې راتلونکو کڅوړو ته اجازه ورکړئ (SoftEther ملکیت پروتوکول HTTPS او پورټ 443 کاروي)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT
2. NAT له 10.0.10.0/24 فرعي نیټ څخه اصلي سرور IP ته تنظیم کړئ
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140
3. د فرعي نیټ 10.0.10.0/24 څخه پاکټونو ته اجازه ورکړئ
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT
4. د مخکینیو تاسیس شویو اتصالاتو لپاره د کڅوړو انتقالولو ته اجازه ورکړئ
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
موږ به د پروسې اتومات پریږدو کله چې سیسټم د کور کار په توګه لوستونکو ته د ابتدايي سکریپټونو په کارولو سره بیا پیل شي.
که تاسو غواړئ په اتوماتيک ډول پیرودونکو ته IP ورکړئ، تاسو به د ځایی پل لپاره د DHCP ډول ډول خدمت نصبولو ته هم اړتیا ولرئ. دا د سرور ترتیب بشپړوي او تاسو کولی شئ مراجعینو ته لاړ شئ. SoftEther د ډیری پروتوکولونو ملاتړ کوي، چې کارول یې د LAN تجهیزاتو وړتیاوو پورې اړه لري.
netstat -ap |grep vpnserver
څرنګه چې زموږ د ټیسټ روټر هم د اوبنټو لاندې چلیږي ، راځئ چې د ملکیت پروتوکول کارولو لپاره په دې کې د بهرني ذخیره کولو څخه نرمتر-vpnclient او softether-vpncmd کڅوړې نصب کړو. تاسو به د پیرودونکي چلولو ته اړتیا ولرئ:
sudo vpnclient start
د تنظیم کولو لپاره، د vpncmd افادیت وکاروئ، لوکل هوسټ د ماشین په توګه غوره کړئ په کوم کې چې vpnclient روان دی. ټول حکمونه په کنسول کې جوړ شوي دي: تاسو به اړتیا ولرئ یو مجازی انٹرفیس (NicCreate) او یو حساب (AccountCreate) جوړ کړئ.
په ځینو مواردو کې، تاسو باید د AccountAnonymousSet، AccountPasswordSet، AccountCertSet، او AccountSecureCertSet کمانډونو په کارولو سره د تصدیق کولو میتود مشخص کړئ. څرنګه چې موږ DHCP نه کاروو، د مجازی اډاپټر پته په لاسي ډول ټاکل شوې.
برسېره پردې، موږ اړتیا لرو چې ip فارورډ فعال کړو (په /etc/sysctl.conf فایل کې net.ipv4.ip_forward=1 اختیار) او جامد لارې تنظیم کړئ. که اړتیا وي، د Suricata سره په VDS کې، تاسو کولی شئ په محلي شبکه کې نصب شوي خدماتو کارولو لپاره د پورټ فارورډینګ تنظیم کړئ. په دې اړه، د شبکې ادغام بشپړ ګڼل کیدی شي.
زموږ وړاندیز شوی ترتیب به داسې ښکاري:
د Suricata تنظیم کول
В
د IDS بیا پیلولو لپاره، کمانډ وکاروئ:
systemctl restart suricata
حل چمتو دی، اوس تاسو اړتیا لرئ چې د ناوړه کړنو په وړاندې د مقاومت لپاره ازموینه وکړئ.
د بریدونو سمبالول
د بهرني IDS خدمت د جنګي کارولو لپاره ډیری سناریوګانې شتون لري:
د DDoS بریدونو پروړاندې محافظت (لومړنی هدف)
د کارپوریټ شبکې دننه دا ډول اختیار پلي کول ستونزمن دي، ځکه چې د تحلیل لپاره کڅوړې باید د سیسټم انٹرفیس ته ورسیږي چې انټرنیټ ګوري. حتی که IDS دوی بند کړي، جعلي ترافیک کولی شي د ډیټا لینک ښکته کړي. د دې څخه مخنیوي لپاره ، تاسو اړتیا لرئ د کافي تولیدي انټرنیټ اتصال سره د VPS امر وکړئ چې کولی شي ټول محلي شبکې ترافیک او ټول بهرني ترافیک تیر کړي. د دفتر چینل پراخولو په پرتله دا کار کول ډیری وختونه اسانه او ارزانه دي. د بدیل په توګه، دا د DDoS په وړاندې د ساتنې لپاره د ځانګړو خدماتو یادونه ارزښت لري. د دوی د خدماتو لګښت د مجازی سرور لګښت سره پرتله کولو وړ دی، او دا د وخت مصرف کولو ترتیب ته اړتیا نلري، مګر نیمګړتیاوې هم شتون لري - پیرودونکي د خپلو پیسو لپاره یوازې د DDoS محافظت ترلاسه کوي، پداسې حال کې چې د هغه خپل IDS ستاسو په څیر ترتیب کیدی شي. لکه
د نورو ډولونو د بهرنیو بریدونو په وړاندې محافظت
سوریکاتا د دې وړتیا لري چې د انټرنیټ څخه د لاسرسي وړ کارپوریټ شبکې خدماتو کې د مختلف زیانونو څخه د ګټې اخیستنې هڅو سره مقابله وکړي (د میل سرور ، ویب سرور او ویب غوښتنلیکونه ، او داسې نور). عموما، د دې لپاره، IDS د سرحدي وسیلو وروسته د LAN دننه نصب کیږي، مګر بهر یې اخیستل د شتون حق لري.
د داخلي څخه ساتنه
د سیسټم مدیر د غوره هڅو سره سره، په کارپوریټ شبکه کې کمپیوټرونه د مالویر سره اخته کیدی شي. سربیره پردې، ځینې وختونه په سیمه ایزو سیمو کې غله ښکاري، چې هڅه کوي ځینې غیرقانوني عملیات ترسره کړي. سوریکاټا کولی شي د دې ډول هڅو مخنیوي کې مرسته وکړي ، که څه هم د داخلي شبکې خوندي کولو لپاره دا غوره ده چې دا په احاطه کې نصب کړئ او د منظم شوي سویچ سره یې په ټنډیم کې وکاروئ چې کولی شي یو بندر ته ترافیک منعکس کړي. په دې حالت کې یو بهرنی IDS هم بې ګټې نه دی - لږترلږه دا به د دې وړتیا ولري چې په LAN کې د مالویر ژوند کولو هڅې ونیسي ترڅو د بهرني سرور سره اړیکه ونیسي.
د پیل کولو لپاره ، موږ به د VPS برید کولو بله ازموینه رامینځته کړو ، او د ځایی شبکې روټر کې به موږ اپاچي د ډیفالټ ترتیب سره لوړ کړو ، له هغې وروسته به موږ د IDS سرور څخه دې ته 80th بندر ولیږو. بیا، موږ به د برید کونکي کوربه څخه د DDoS برید انډول کړو. د دې کولو لپاره ، د GitHub څخه ډاونلوډ کړئ ، په برید کونکي نوډ کې د کوچني xerxes برنامه تالیف او چل کړئ (تاسو ممکن د gcc بسته نصبولو ته اړتیا ولرئ):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80
د هغې د کار پایله په لاندې ډول وه:
سوریکاتا کلیوال قطع کوي، او د اپاچي پاڼه په ډیفالټ ډول پرانیزي، سره له دې چې زموږ د ناڅاپي برید او د "دفتر" (په حقیقت کې د کور) شبکې خورا مړه چینل سره سره. د ډیرو جدي کارونو لپاره، تاسو باید وکاروئ
sudo msfupdate
د ازموینې لپاره، msfconsole چل کړئ.
له بده مرغه، د چوکاټ وروستۍ نسخې په اتوماتيک ډول د کریک کولو وړتیا نلري، نو استحصال باید په لاسي ډول ترتیب شي او د کارولو کمانډ په کارولو سره پرمخ بوځي. د پیل کولو لپاره ، دا د برید شوي ماشین کې خلاص بندرونو ټاکلو ارزښت لري ، د مثال په توګه ، د nmap کارول (زموږ په قضیه کې ، دا به په بشپړ ډول د برید شوي کوربه کې د netstat لخوا ځای په ځای شي) ، او بیا مناسب انتخاب او وکاروئ.
د بریدونو په وړاندې د IDS مقاومت ازموینې لپاره نورې لارې شتون لري، په شمول د آنلاین خدماتو. د تجسس لپاره ، تاسو کولی شئ د آزموینې نسخې په کارولو سره د فشار ازموینې تنظیم کړئ
سرچینه: www.habr.com