В اڳوڻو مضمون اسان ڍڪي ڇڏيو آهي Ubuntu 18.04 LTS تي Suricata جو مستحڪم نسخو ڪيئن هلائڻ. هڪ واحد نوڊ تي هڪ IDS قائم ڪرڻ ۽ مفت قاعدي سيٽ کي فعال ڪرڻ بلڪل سادو آهي. اڄ اسان اهو معلوم ڪنداسين ته ڪارپوريٽ نيٽ ورڪ کي ڪيئن محفوظ ڪيو وڃي حملن جي سڀ کان عام قسمن کي استعمال ڪندي استعمال ڪندي Suricata هڪ ورچوئل سرور تي نصب ٿيل. هن کي ڪرڻ لاء، اسان کي لينڪس تي هڪ VDS جي ضرورت آهي ٻه ڪمپيوٽنگ ڪور سان. ريم جي مقدار جو دارومدار لوڊ تي آهي: 2 GB ڪنهن لاءِ ڪافي آهي، ۽ 4 يا ان کان به وڌيڪ 6 وڌيڪ سنجيده ڪمن لاءِ گهربل هوندا. هڪ ورچوئل مشين جو فائدو تجربو ڪرڻ جي صلاحيت آهي: توهان شروع ڪري سگهو ٿا گهٽ ۾ گهٽ ترتيب سان ۽ وڌائي سگهو ٿا. وسيلن جي ضرورت مطابق.
سرور کي ترتيب ڏيڻ لاءِ هڪ خاص ڪمانڊ لائن افاديت استعمال ڪئي ويندي آهي:
sudo vpncmd
اسان سيٽنگ بابت تفصيل سان نه ڳالهائينداسين: اهو طريقو بلڪل سادو آهي، اهو ڪيترن ئي اشاعتن ۾ چڱي طرح بيان ڪيو ويو آهي ۽ سڌو سنئون مضمون جي موضوع سان لاڳاپيل ناهي. مختصر ۾، vpncmd شروع ڪرڻ کان پوء، توهان کي سرور مينيجمينٽ ڪنسول ڏانهن وڃڻ لاء شيون 1 چونڊڻ جي ضرورت آهي. هن کي ڪرڻ لاء، توهان کي نالو داخل ڪرڻ جي ضرورت آهي localhost ۽ دٻايو داخل ڪرڻ بجاء حب جو نالو. ايڊمنسٽريٽر پاسورڊ ڪنسول ۾ سرور پاسورڊ سيٽ ڪمانڊ سان سيٽ ڪيو ويو آهي، DEFAULT ورچوئل هب ڊاهيو ويو آهي (hubdelete ڪمانڊ) ۽ هڪ نئون ٺاهيو ويو آهي نالي سان Suricata_VPN، ۽ ان جو پاسورڊ پڻ سيٽ ڪيو ويو آهي (hubcreate ڪمانڊ). اڳيون، توھان کي ھب استعمال ڪندي نئين حب جي مئنيجمينٽ ڪنسول ڏانھن وڃڻ جي ضرورت آھي Suricata_VPN ڪمانڊ استعمال ڪندي ھڪڙو گروپ ۽ صارف ٺاھيو گروپ ٺاھيو ۽ صارف ٺاھيو ڪمانڊ استعمال ڪندي. يوزر پاسورڊ استعمال ڪندي سيٽ ڪيو ويو آهي userpasswordset.
SoftEther ٻن ٽرئفڪ جي منتقلي جي طريقن کي سپورٽ ڪري ٿو: SecureNAT ۽ مقامي پل. پهرين هڪ ورچوئل پرائيويٽ نيٽ ورڪ ٺاهڻ لاءِ هڪ ملڪيت واري ٽيڪنالاجي آهي پنهنجي NAT ۽ DHCP سان. SecureNAT کي TUN/TAP يا Netfilter يا ٻي فائر وال سيٽنگ جي ضرورت نه آهي. روٽنگ سسٽم جي بنيادي تي اثر انداز نٿو ڪري، ۽ سڀني عملن کي ورچوئل ڪيو ويو آهي ۽ ڪنهن به VPS / VDS تي ڪم ڪري ٿو، بغير استعمال ٿيل هائپرائزر جي. اهو نتيجو CPU لوڊ وڌائي ٿو ۽ مقامي برج موڊ جي مقابلي ۾ سست رفتار، جيڪو SoftEther ورچوئل هب کي جسماني نيٽ ورڪ اڊاپٽر يا TAP ڊوائيس سان ڳنڍي ٿو.
ھن صورت ۾ ٺاھ جوڙ وڌيڪ پيچيده ٿي ويندي آھي، ڇو ته روٽنگ ڪنييل سطح تي Netfilter استعمال ڪندي ٿيندي آھي. اسان جا VDS Hyper-V تي ٺهيل آهن، تنهن ڪري آخري مرحلي ۾ اسان هڪ مقامي پل ٺاهي ۽ TAP ڊوائيس کي چالو ڪيو bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes ڪمانڊ سان. حب مئنيجمينٽ ڪنسول مان نڪرڻ کان پوء، اسان سسٽم ۾ هڪ نئون نيٽ ورڪ انٽرفيس ڏسندا سين جنهن کي اڃا تائين IP مقرر نه ڪيو ويو آهي:
ifconfig
اڳيون، توهان کي انٽرفيس جي وچ ۾ پيڪٽ روٽنگ کي فعال ڪرڻو پوندو (IP اڳتي)، جيڪڏهن اهو غير فعال آهي:
3. سب نيٽ 10.0.10.0/24 مان پيڪٽ پاس ڪرڻ جي اجازت ڏيو
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT
4. اڳ ۾ ئي قائم ڪنيڪشن لاءِ پيڪن کي پاس ڪرڻ جي اجازت ڏيو
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
اسان عمل جي آٽوميشن کي ڇڏي ڏينداسين جڏهن سسٽم ٻيهر شروع ڪيو ويندو شروعاتي اسڪرپٽ استعمال ڪندي پڙهندڙن کي هوم ورڪ طور.
جيڪڏھن توھان چاھيو ٿا ڪلائنٽ کي IP خودڪار طريقي سان، توھان کي پڻ انسٽال ڪرڻو پوندو ڪجھ قسم جي DHCP سروس مقامي پل لاءِ. هي سرور سيٽ اپ مڪمل ڪري ٿو ۽ توهان ڪلائنٽ ڏانهن وڃي سگهو ٿا. SoftEther ڪيترن ئي پروٽوڪول کي سپورٽ ڪري ٿو، جن جو استعمال LAN سامان جي صلاحيتن تي منحصر آهي.
netstat -ap |grep vpnserver
جيئن ته اسان جو ٽيسٽ روٽر Ubuntu جي تحت پڻ هلندو آهي، اچو ته انسٽال ڪريون softether-vpnclient ۽ softether-vpncmd پيڪيجز ان تي هڪ خارجي مخزن مان ملڪيت پروٽوڪول استعمال ڪرڻ لاءِ. توهان کي ڪلائنٽ هلائڻ جي ضرورت پوندي:
sudo vpnclient start
ترتيب ڏيڻ لاءِ، vpncmd يوٽيلٽي استعمال ڪريو، لوڪل ھوسٽ کي مشين طور چونڊيو جنھن تي وي پي اين ڪلائنٽ ھلندو آھي. سڀئي حڪم ڪنسول ۾ ڪيا ويا آهن: توهان کي هڪ مجازي انٽرفيس (NicCreate) ۽ هڪ اڪائونٽ (AccountCreate) ٺاهڻ جي ضرورت پوندي.
ڪجھ ڪيسن ۾، توھان کي ضرور بيان ڪرڻ گھرجي تصديق جو طريقو استعمال ڪندي AccountAnonymousSet، AccountPasswordSet، AccountCertSet، ۽ AccountSecureCertSet حڪم. جيئن ته اسان DHCP استعمال نه ڪري رهيا آهيون، مجازي اڊاپٽر لاء پتو دستي طور تي مقرر ڪيو ويو آهي.
ان کان علاوه، اسان کي ip فارورڊ کي فعال ڪرڻ جي ضرورت آھي (آپشن net.ipv4.ip_forward=1 /etc/sysctl.conf فائل ۾) ۽ جامد رستن کي ترتيب ڏيو. جيڪڏهن ضروري هجي ته، VDS تي Suricata سان، توهان مقامي نيٽ ورڪ تي نصب ڪيل خدمتون استعمال ڪرڻ لاء پورٽ فارورڊنگ ترتيب ڏئي سگهو ٿا. ان تي، نيٽ ورڪ ملائڻ کي مڪمل سمجهي سگهجي ٿو.
اسان جي تجويز ڪيل ترتيب هن طرح ڪجهه نظر ايندي:
Suricata ترتيب ڏيڻ
В اڳوڻو مضمون اسان IDS جي آپريشن جي ٻن طريقن بابت ڳالهايو: NFQUEUE قطار (NFQ موڊ) ذريعي ۽ صفر ڪاپي (AF_PACKET موڊ) ذريعي. ٻيو ٻن انٽرفيس جي ضرورت آهي، پر تيز آهي - اسان ان کي استعمال ڪنداسين. پيرا ميٽر مقرر ٿيل آهي ڊفالٽ ۾ /etc/default/suricata. اسان کي /etc/suricata/suricata.yaml ۾ vars سيڪشن کي ايڊٽ ڪرڻ جي ضرورت آهي، اتي ورچوئل سب نيٽ کي گهر جي طور تي ترتيب ڏيو.
IDS کي ٻيهر شروع ڪرڻ لاء، حڪم استعمال ڪريو:
systemctl restart suricata
حل تيار آهي، هاڻي توهان کي شايد ان کي جانچڻ جي ضرورت پوندي ته جيئن بدسلوڪي عملن جي مزاحمت لاءِ.
نقلي حملا
ٻاهرين IDS سروس جي جنگي استعمال لاءِ ڪيترائي منظرنامو ٿي سگھن ٿا:
DDoS حملن جي خلاف تحفظ (بنيادي مقصد)
ڪارپوريٽ نيٽ ورڪ ۾ اهڙي اختيار کي لاڳو ڪرڻ ڏکيو آهي، ڇو ته تجزيو لاء پيڪيٽ سسٽم انٽرفيس تائين پهچڻ گهرجي جيڪو انٽرنيٽ تي نظر اچي ٿو. جيتوڻيڪ IDS انهن کي بلاڪ ڪري ٿو، غلط ٽرئفڪ ڊيٽا جي لنڪ کي هيٺ آڻي سگهي ٿو. هن کان بچڻ لاءِ، توهان کي آرڊر ڪرڻ جي ضرورت آهي VPS سان ڪافي پيداواري انٽرنيٽ ڪنيڪشن جيڪو سڀني مقامي نيٽ ورڪ ٽرئفڪ ۽ سڀني ٻاهرين ٽرئفڪ کي پاس ڪري سگهي ٿو. اهو عام طور تي آسان ۽ سستو آهي اهو ڪرڻ جي ڀيٽ ۾ آفيس چينل کي وڌائڻ جي ڀيٽ ۾. هڪ متبادل طور، اهو DDoS جي خلاف تحفظ لاء خاص خدمتن جو ذڪر ڪرڻ جي قابل آهي. انهن جي خدمتن جي قيمت هڪ مجازي سرور جي قيمت جي مقابلي ۾ آهي، ۽ ان کي وقت سازي جي ترتيب جي ضرورت ناهي، پر ان ۾ پڻ نقصان آهن - ڪلائنٽ پنهنجي پئسن لاء صرف DDoS تحفظ حاصل ڪري ٿو، جڏهن ته هن جو پنهنجو IDS توهان جي طور تي ترتيب ڏئي سگهجي ٿو. جهڙو.
ٻين قسمن جي ٻاهرين حملن جي خلاف تحفظ
Suricata ڪارپوريٽ نيٽ ورڪ خدمتن ۾ مختلف خطرن کي استحصال ڪرڻ جي ڪوششن کي منهن ڏيڻ جي قابل آهي انٽرنيٽ تان رسائي (ميل سرور، ويب سرور ۽ ويب ايپليڪيشنون، وغيره). عام طور تي، ان لاء، IDS سرحد جي ڊوائيسز کان پوء LAN اندر نصب ڪيو ويندو آهي، پر ان کي ٻاهر ڪڍڻ جو حق موجود آهي.
اندروني کان تحفظ
سسٽم ايڊمنسٽريٽر جي بهترين ڪوششن جي باوجود، ڪارپوريٽ نيٽ ورڪ تي ڪمپيوٽرن کي مالويئر سان متاثر ٿي سگهي ٿو. ان کان علاوه، غنڊا ڪڏهن ڪڏهن مقامي علائقي ۾ ظاهر ٿيندا آهن، جيڪي ڪجهه غير قانوني آپريشن ڪرڻ جي ڪوشش ڪندا آهن. Suricata اهڙين ڪوششن کي بلاڪ ڪرڻ ۾ مدد ڪري سگهي ٿو، جيتوڻيڪ اندروني نيٽ ورڪ کي بچائڻ لاء اهو بهتر آهي ته ان کي پردي جي اندر نصب ڪيو وڃي ۽ ان کي هڪ منظم سوئچ سان ٽينڊم ۾ استعمال ڪيو وڃي جيڪو ٽرئفڪ کي هڪ بندرگاهه ڏانهن آئيني ڪري سگهي ٿو. هڪ خارجي IDS پڻ هن معاملي ۾ بيڪار ناهي - گهٽ ۾ گهٽ اهو LAN تي رهندڙ مالويئر جي ڪوششن کي پڪڙڻ جي قابل هوندو ٻاهرين سرور سان رابطو ڪرڻ لاءِ.
شروع ڪرڻ لاءِ، اسان هڪ ٻيو ٽيسٽ ٺاهينداسين VPS تي حملو ڪندي، ۽ مقامي نيٽ ورڪ روٽر تي اسان اپاچي کي ڊفالٽ ترتيب سان وڌائينداسين، جنهن کان پوءِ اسان 80هين بندرگاهه کي ان ڏانهن IDS سرور کان اڳتي وڌائينداسين. اڳيون، اسان هڪ حملي ڪندڙ ميزبان کان هڪ DDoS حملي کي ترتيب ڏينداسين. هن کي ڪرڻ لاء، GitHub تان ڊائون لوڊ ڪريو، گڏ ڪرڻ ۽ حملو ڪرڻ واري نوڊ تي هڪ ننڍڙو xerxes پروگرام هلائڻ (توهان کي شايد gcc پيڪيج کي انسٽال ڪرڻ جي ضرورت پوندي):
Suricata ولن کي ڪٽي ٿو، ۽ Apache صفحو ڊفالٽ طور کلي ٿو، اسان جي تڪڙي حملي ۽ "آفيس" (اصل ۾ گهر) نيٽ ورڪ جي بدران مئل چينل جي باوجود. وڌيڪ سنجيده ڪمن لاء، توهان کي استعمال ڪرڻ گهرجي Metasploit فريم ورڪ. اهو دخول جي جاچ لاءِ ٺاهيو ويو آهي ۽ توهان کي مختلف قسم جي حملن کي نقل ڪرڻ جي اجازت ڏئي ٿو. انسٽاليشن هدايتون موجود آهي منصوبي جي ويب سائيٽ تي. انسٽاليشن کان پوء، هڪ تازه ڪاري جي ضرورت آهي:
sudo msfupdate
جاچ لاءِ، msfconsole هلايو.
بدقسمتي سان، فريم ورڪ جي جديد نسخن ۾ خودڪار طور تي ٽوڙڻ جي صلاحيت نه آهي، تنهنڪري استحصال کي دستي طور تي ترتيب ڏيڻو پوندو ۽ استعمال حڪم استعمال ڪندي هلائڻو پوندو. شروع ڪرڻ سان، اهو طئي ڪرڻ جي قابل آهي ته حملي واري مشين تي کليل بندرگاهن، مثال طور، استعمال ڪندي nmap (اسان جي صورت ۾، اهو مڪمل طور تي حملو ٿيل ميزبان تي netstat سان تبديل ڪيو ويندو)، ۽ پوء مناسب چونڊيو ۽ استعمال ڪريو. Metasploit ماڊلز.
حملن جي خلاف IDS جي لچڪ کي جانچڻ جا ٻيا وسيلا آهن، بشمول آن لائن خدمتون. تجسس جي خاطر، توهان آزمائشي ورزن کي استعمال ڪندي دٻاء جي جاچ جو بندوبست ڪري سگهو ٿا IP اسٽريسر. اندروني intruders جي عملن جي رد عمل کي چيڪ ڪرڻ لاء، ان کي مقامي نيٽ ورڪ تي مشينن مان هڪ تي خاص اوزار انسٽال ڪرڻ جي قابل آهي. اتي تمام گھڻا اختيار آھن ۽ وقت بوقت انھن کي لاڳو ڪيو وڃي نه رڳو تجرباتي سائيٽ تي، پر ڪم ڪندڙ سسٽم تي، رڳو اھو ھڪڙو مڪمل طور تي مختلف ڪهاڻي آھي.