سنورٽ يا سورڪتا. حصو 3: آفيس نيٽ ورڪ جي حفاظت

В اڳوڻو مضمون اسان ڍڪي ڇڏيو آهي Ubuntu 18.04 LTS تي Suricata جو مستحڪم نسخو ڪيئن هلائڻ. هڪ واحد نوڊ تي هڪ IDS قائم ڪرڻ ۽ مفت قاعدي سيٽ کي فعال ڪرڻ بلڪل سادو آهي. اڄ اسان اهو معلوم ڪنداسين ته ڪارپوريٽ نيٽ ورڪ کي ڪيئن محفوظ ڪيو وڃي حملن جي سڀ کان عام قسمن کي استعمال ڪندي استعمال ڪندي Suricata هڪ ورچوئل سرور تي نصب ٿيل. هن کي ڪرڻ لاء، اسان کي لينڪس تي هڪ VDS جي ضرورت آهي ٻه ڪمپيوٽنگ ڪور سان. ريم جي مقدار جو دارومدار لوڊ تي آهي: 2 GB ڪنهن لاءِ ڪافي آهي، ۽ 4 يا ان کان به وڌيڪ 6 وڌيڪ سنجيده ڪمن لاءِ گهربل هوندا. هڪ ورچوئل مشين جو فائدو تجربو ڪرڻ جي صلاحيت آهي: توهان شروع ڪري سگهو ٿا گهٽ ۾ گهٽ ترتيب سان ۽ وڌائي سگهو ٿا. وسيلن جي ضرورت مطابق.

فوٽو: رائٽرز

• سنورٽ يا سورڪتا. حصو 1: توهان جي ڪارپوريٽ نيٽ ورڪ کي بچائڻ لاءِ مفت IDS/IPS چونڊڻ
• سنورٽ يا سورڪتا. حصو 2: Suricata جي تنصيب ۽ شروعاتي سيٽ اپ

ڳنڍڻ وارا نيٽ ورڪ

IDS کي هٽائڻ هڪ ورچوئل مشين کي پهرين جڳهه ۾ ٽيسٽ لاءِ گهربل هجي. جيڪڏهن توهان ڪڏهن به اهڙي حل سان معاملو نه ڪيو آهي، توهان کي جسماني هارڊويئر آرڊر ڪرڻ ۽ نيٽ ورڪ فن تعمير کي تبديل ڪرڻ لاء جلدي نه ڪرڻ گهرجي. اهو بهتر آهي ته سسٽم کي محفوظ ۽ قيمتي طريقي سان هلائڻ لاءِ توهان جي ڪمپيوٽر جي ضرورتن کي طئي ڪرڻ لاءِ. اهو سمجهڻ ضروري آهي ته سڀني ڪارپوريٽ ٽرئفڪ کي هڪ واحد خارجي نوڊ ذريعي گذرڻو پوندو: هڪ مقامي نيٽ ورڪ (يا ڪيترائي نيٽ ورڪ) کي VDS سان ڳنڍڻ لاءِ IDS Suricata انسٽال ٿيل، توهان استعمال ڪري سگهو ٿا. نرم ايٿر - ترتيب ڏيڻ ۾ آسان، ڪراس پليٽ فارم VPN سرور جيڪو مضبوط انڪرپشن مهيا ڪري ٿو. هڪ آفيس انٽرنيٽ ڪنيڪشن شايد حقيقي IP نه هجي، تنهن ڪري اهو بهتر آهي ته ان کي VPS تي سيٽ ڪريو. Ubuntu مخزن ۾ ڪي به تيار ٿيل پيڪيجز نه آهن، توهان کي سافٽ ويئر ڊائون لوڊ ڪرڻو پوندو يا ته پروجيڪٽ سائيٽ، يا خدمت تي هڪ ٻاهرين مخزن مان لانچ پيڊ (جيڪڏهن توهان هن تي يقين رکون ٿا):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

توھان ھيٺ ڏنل حڪم سان دستياب پيڪيجز جي فهرست ڏسي سگھو ٿا:

apt-cache search softether

اسان کي ضرورت پوندي softether-vpnserver (ٽيسٽ جي ترتيب ۾ سرور VDS تي هلندڙ آهي)، انهي سان گڏ softether-vpncmd - ان کي ترتيب ڏيڻ لاء ڪمان لائن افاديت.

sudo apt-get install softether-vpnserver softether-vpncmd

سرور کي ترتيب ڏيڻ لاءِ هڪ خاص ڪمانڊ لائن افاديت استعمال ڪئي ويندي آهي:

sudo vpncmd

اسان سيٽنگ بابت تفصيل سان نه ڳالهائينداسين: اهو طريقو بلڪل سادو آهي، اهو ڪيترن ئي اشاعتن ۾ چڱي طرح بيان ڪيو ويو آهي ۽ سڌو سنئون مضمون جي موضوع سان لاڳاپيل ناهي. مختصر ۾، vpncmd شروع ڪرڻ کان پوء، توهان کي سرور مينيجمينٽ ڪنسول ڏانهن وڃڻ لاء شيون 1 چونڊڻ جي ضرورت آهي. هن کي ڪرڻ لاء، توهان کي نالو داخل ڪرڻ جي ضرورت آهي localhost ۽ دٻايو داخل ڪرڻ بجاء حب جو نالو. ايڊمنسٽريٽر پاسورڊ ڪنسول ۾ سرور پاسورڊ سيٽ ڪمانڊ سان سيٽ ڪيو ويو آهي، DEFAULT ورچوئل هب ڊاهيو ويو آهي (hubdelete ڪمانڊ) ۽ هڪ نئون ٺاهيو ويو آهي نالي سان Suricata_VPN، ۽ ان جو پاسورڊ پڻ سيٽ ڪيو ويو آهي (hubcreate ڪمانڊ). اڳيون، توھان کي ھب استعمال ڪندي نئين حب جي مئنيجمينٽ ڪنسول ڏانھن وڃڻ جي ضرورت آھي Suricata_VPN ڪمانڊ استعمال ڪندي ھڪڙو گروپ ۽ صارف ٺاھيو گروپ ٺاھيو ۽ صارف ٺاھيو ڪمانڊ استعمال ڪندي. يوزر پاسورڊ استعمال ڪندي سيٽ ڪيو ويو آهي userpasswordset.

SoftEther ٻن ٽرئفڪ جي منتقلي جي طريقن کي سپورٽ ڪري ٿو: SecureNAT ۽ مقامي پل. پهرين هڪ ورچوئل پرائيويٽ نيٽ ورڪ ٺاهڻ لاءِ هڪ ملڪيت واري ٽيڪنالاجي آهي پنهنجي NAT ۽ DHCP سان. SecureNAT کي TUN/TAP يا Netfilter يا ٻي فائر وال سيٽنگ جي ضرورت نه آهي. روٽنگ سسٽم جي بنيادي تي اثر انداز نٿو ڪري، ۽ سڀني عملن کي ورچوئل ڪيو ويو آهي ۽ ڪنهن به VPS / VDS تي ڪم ڪري ٿو، بغير استعمال ٿيل هائپرائزر جي. اهو نتيجو CPU لوڊ وڌائي ٿو ۽ مقامي برج موڊ جي مقابلي ۾ سست رفتار، جيڪو SoftEther ورچوئل هب کي جسماني نيٽ ورڪ اڊاپٽر يا TAP ڊوائيس سان ڳنڍي ٿو.

ھن صورت ۾ ٺاھ جوڙ وڌيڪ پيچيده ٿي ويندي آھي، ڇو ته روٽنگ ڪنييل سطح تي Netfilter استعمال ڪندي ٿيندي آھي. اسان جا VDS Hyper-V تي ٺهيل آهن، تنهن ڪري آخري مرحلي ۾ اسان هڪ مقامي پل ٺاهي ۽ TAP ڊوائيس کي چالو ڪيو bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes ڪمانڊ سان. حب مئنيجمينٽ ڪنسول مان نڪرڻ کان پوء، اسان سسٽم ۾ هڪ نئون نيٽ ورڪ انٽرفيس ڏسندا سين جنهن کي اڃا تائين IP مقرر نه ڪيو ويو آهي:

ifconfig

اڳيون، توهان کي انٽرفيس جي وچ ۾ پيڪٽ روٽنگ کي فعال ڪرڻو پوندو (IP اڳتي)، جيڪڏهن اهو غير فعال آهي:

sudo nano /etc/sysctl.conf

ھيٺ ڏنل لائن کي رد ڪريو:

net.ipv4.ip_forward = 1

فائل ۾ تبديليون محفوظ ڪريو، ايڊيٽر مان نڪرڻ ۽ ھيٺ ڏنل حڪم سان لاڳو ڪريو:

sudo sysctl -p

اڳيون، اسان کي فرضي IPs (مثال طور، 10.0.10.0/24) سان گڏ ورچوئل نيٽ ورڪ لاءِ هڪ ذيلي نيٽ مقرر ڪرڻ جي ضرورت آهي ۽ انٽرفيس کي هڪ ايڊريس تفويض ڪرڻ گهرجي:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

پوء توھان کي لکڻ جي ضرورت آھي Netfilter ضابطا.

1. جيڪڏهن ضروري هجي ته، ٻڌڻ جي بندرگاهن تي اچڻ واري پيڪيٽ کي اجازت ڏيو (SoftEther Proprietary Protocol HTTPS ۽ پورٽ 443 استعمال ڪري ٿو)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT سيٽ اپ ڪريو 10.0.10.0/24 سب نيٽ کان مين سرور IP تائين

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. سب نيٽ 10.0.10.0/24 مان پيڪٽ پاس ڪرڻ جي اجازت ڏيو

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. اڳ ۾ ئي قائم ڪنيڪشن لاءِ پيڪن کي پاس ڪرڻ جي اجازت ڏيو

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

اسان عمل جي آٽوميشن کي ڇڏي ڏينداسين جڏهن سسٽم ٻيهر شروع ڪيو ويندو شروعاتي اسڪرپٽ استعمال ڪندي پڙهندڙن کي هوم ورڪ طور.

جيڪڏھن توھان چاھيو ٿا ڪلائنٽ کي IP خودڪار طريقي سان، توھان کي پڻ انسٽال ڪرڻو پوندو ڪجھ قسم جي DHCP سروس مقامي پل لاءِ. هي سرور سيٽ اپ مڪمل ڪري ٿو ۽ توهان ڪلائنٽ ڏانهن وڃي سگهو ٿا. SoftEther ڪيترن ئي پروٽوڪول کي سپورٽ ڪري ٿو، جن جو استعمال LAN سامان جي صلاحيتن تي منحصر آهي.

netstat -ap |grep vpnserver

جيئن ته اسان جو ٽيسٽ روٽر Ubuntu جي تحت پڻ هلندو آهي، اچو ته انسٽال ڪريون softether-vpnclient ۽ softether-vpncmd پيڪيجز ان تي هڪ خارجي مخزن مان ملڪيت پروٽوڪول استعمال ڪرڻ لاءِ. توهان کي ڪلائنٽ هلائڻ جي ضرورت پوندي:

sudo vpnclient start

ترتيب ڏيڻ لاءِ، vpncmd يوٽيلٽي استعمال ڪريو، لوڪل ھوسٽ کي مشين طور چونڊيو جنھن تي وي پي اين ڪلائنٽ ھلندو آھي. سڀئي حڪم ڪنسول ۾ ڪيا ويا آهن: توهان کي هڪ مجازي انٽرفيس (NicCreate) ۽ هڪ اڪائونٽ (AccountCreate) ٺاهڻ جي ضرورت پوندي.

ڪجھ ڪيسن ۾، توھان کي ضرور بيان ڪرڻ گھرجي تصديق جو طريقو استعمال ڪندي AccountAnonymousSet، AccountPasswordSet، AccountCertSet، ۽ AccountSecureCertSet حڪم. جيئن ته اسان DHCP استعمال نه ڪري رهيا آهيون، مجازي اڊاپٽر لاء پتو دستي طور تي مقرر ڪيو ويو آهي.

ان کان علاوه، اسان کي ip فارورڊ کي فعال ڪرڻ جي ضرورت آھي (آپشن net.ipv4.ip_forward=1 /etc/sysctl.conf فائل ۾) ۽ جامد رستن کي ترتيب ڏيو. جيڪڏهن ضروري هجي ته، VDS تي Suricata سان، توهان مقامي نيٽ ورڪ تي نصب ڪيل خدمتون استعمال ڪرڻ لاء پورٽ فارورڊنگ ترتيب ڏئي سگهو ٿا. ان تي، نيٽ ورڪ ملائڻ کي مڪمل سمجهي سگهجي ٿو.

اسان جي تجويز ڪيل ترتيب هن طرح ڪجهه نظر ايندي:

Suricata ترتيب ڏيڻ

В اڳوڻو مضمون اسان IDS جي آپريشن جي ٻن طريقن بابت ڳالهايو: NFQUEUE قطار (NFQ موڊ) ذريعي ۽ صفر ڪاپي (AF_PACKET موڊ) ذريعي. ٻيو ٻن انٽرفيس جي ضرورت آهي، پر تيز آهي - اسان ان کي استعمال ڪنداسين. پيرا ميٽر مقرر ٿيل آهي ڊفالٽ ۾ /etc/default/suricata. اسان کي /etc/suricata/suricata.yaml ۾ vars سيڪشن کي ايڊٽ ڪرڻ جي ضرورت آهي، اتي ورچوئل سب نيٽ کي گهر جي طور تي ترتيب ڏيو.

IDS کي ٻيهر شروع ڪرڻ لاء، حڪم استعمال ڪريو:

systemctl restart suricata

حل تيار آهي، هاڻي توهان کي شايد ان کي جانچڻ جي ضرورت پوندي ته جيئن بدسلوڪي عملن جي مزاحمت لاءِ.

نقلي حملا

ٻاهرين IDS سروس جي جنگي استعمال لاءِ ڪيترائي منظرنامو ٿي سگھن ٿا:

DDoS حملن جي خلاف تحفظ (بنيادي مقصد)

ڪارپوريٽ نيٽ ورڪ ۾ اهڙي اختيار کي لاڳو ڪرڻ ڏکيو آهي، ڇو ته تجزيو لاء پيڪيٽ سسٽم انٽرفيس تائين پهچڻ گهرجي جيڪو انٽرنيٽ تي نظر اچي ٿو. جيتوڻيڪ IDS انهن کي بلاڪ ڪري ٿو، غلط ٽرئفڪ ڊيٽا جي لنڪ کي هيٺ آڻي سگهي ٿو. هن کان بچڻ لاءِ، توهان کي آرڊر ڪرڻ جي ضرورت آهي VPS سان ڪافي پيداواري انٽرنيٽ ڪنيڪشن جيڪو سڀني مقامي نيٽ ورڪ ٽرئفڪ ۽ سڀني ٻاهرين ٽرئفڪ کي پاس ڪري سگهي ٿو. اهو عام طور تي آسان ۽ سستو آهي اهو ڪرڻ جي ڀيٽ ۾ آفيس چينل کي وڌائڻ جي ڀيٽ ۾. هڪ متبادل طور، اهو DDoS جي خلاف تحفظ لاء خاص خدمتن جو ذڪر ڪرڻ جي قابل آهي. انهن جي خدمتن جي قيمت هڪ مجازي سرور جي قيمت جي مقابلي ۾ آهي، ۽ ان کي وقت سازي جي ترتيب جي ضرورت ناهي، پر ان ۾ پڻ نقصان آهن - ڪلائنٽ پنهنجي پئسن لاء صرف DDoS تحفظ حاصل ڪري ٿو، جڏهن ته هن جو پنهنجو IDS توهان جي طور تي ترتيب ڏئي سگهجي ٿو. جهڙو.

ٻين قسمن جي ٻاهرين حملن جي خلاف تحفظ

Suricata ڪارپوريٽ نيٽ ورڪ خدمتن ۾ مختلف خطرن کي استحصال ڪرڻ جي ڪوششن کي منهن ڏيڻ جي قابل آهي انٽرنيٽ تان رسائي (ميل سرور، ويب سرور ۽ ويب ايپليڪيشنون، وغيره). عام طور تي، ان لاء، IDS سرحد جي ڊوائيسز کان پوء LAN اندر نصب ڪيو ويندو آهي، پر ان کي ٻاهر ڪڍڻ جو حق موجود آهي.

اندروني کان تحفظ

سسٽم ايڊمنسٽريٽر جي بهترين ڪوششن جي باوجود، ڪارپوريٽ نيٽ ورڪ تي ڪمپيوٽرن کي مالويئر سان متاثر ٿي سگهي ٿو. ان کان علاوه، غنڊا ڪڏهن ڪڏهن مقامي علائقي ۾ ظاهر ٿيندا آهن، جيڪي ڪجهه غير قانوني آپريشن ڪرڻ جي ڪوشش ڪندا آهن. Suricata اهڙين ڪوششن کي بلاڪ ڪرڻ ۾ مدد ڪري سگهي ٿو، جيتوڻيڪ اندروني نيٽ ورڪ کي بچائڻ لاء اهو بهتر آهي ته ان کي پردي جي اندر نصب ڪيو وڃي ۽ ان کي هڪ منظم سوئچ سان ٽينڊم ۾ استعمال ڪيو وڃي جيڪو ٽرئفڪ کي هڪ بندرگاهه ڏانهن آئيني ڪري سگهي ٿو. هڪ خارجي IDS پڻ هن معاملي ۾ بيڪار ناهي - گهٽ ۾ گهٽ اهو LAN تي رهندڙ مالويئر جي ڪوششن کي پڪڙڻ جي قابل هوندو ٻاهرين سرور سان رابطو ڪرڻ لاءِ.

شروع ڪرڻ لاءِ، اسان هڪ ٻيو ٽيسٽ ٺاهينداسين VPS تي حملو ڪندي، ۽ مقامي نيٽ ورڪ روٽر تي اسان اپاچي کي ڊفالٽ ترتيب سان وڌائينداسين، جنهن کان پوءِ اسان 80هين بندرگاهه کي ان ڏانهن IDS سرور کان اڳتي وڌائينداسين. اڳيون، اسان هڪ حملي ڪندڙ ميزبان کان هڪ DDoS حملي کي ترتيب ڏينداسين. هن کي ڪرڻ لاء، GitHub تان ڊائون لوڊ ڪريو، گڏ ڪرڻ ۽ حملو ڪرڻ واري نوڊ تي هڪ ننڍڙو xerxes پروگرام هلائڻ (توهان کي شايد gcc پيڪيج کي انسٽال ڪرڻ جي ضرورت پوندي):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

هن جي ڪم جو نتيجو هن ريت هو:

Suricata ولن کي ڪٽي ٿو، ۽ Apache صفحو ڊفالٽ طور کلي ٿو، اسان جي تڪڙي حملي ۽ "آفيس" (اصل ۾ گهر) نيٽ ورڪ جي بدران مئل چينل جي باوجود. وڌيڪ سنجيده ڪمن لاء، توهان کي استعمال ڪرڻ گهرجي Metasploit فريم ورڪ. اهو دخول جي جاچ لاءِ ٺاهيو ويو آهي ۽ توهان کي مختلف قسم جي حملن کي نقل ڪرڻ جي اجازت ڏئي ٿو. انسٽاليشن هدايتون موجود آهي منصوبي جي ويب سائيٽ تي. انسٽاليشن کان پوء، هڪ تازه ڪاري جي ضرورت آهي:

sudo msfupdate

جاچ لاءِ، msfconsole هلايو.

بدقسمتي سان، فريم ورڪ جي جديد نسخن ۾ خودڪار طور تي ٽوڙڻ جي صلاحيت نه آهي، تنهنڪري استحصال کي دستي طور تي ترتيب ڏيڻو پوندو ۽ استعمال حڪم استعمال ڪندي هلائڻو پوندو. شروع ڪرڻ سان، اهو طئي ڪرڻ جي قابل آهي ته حملي واري مشين تي کليل بندرگاهن، مثال طور، استعمال ڪندي nmap (اسان جي صورت ۾، اهو مڪمل طور تي حملو ٿيل ميزبان تي netstat سان تبديل ڪيو ويندو)، ۽ پوء مناسب چونڊيو ۽ استعمال ڪريو. Metasploit ماڊلز. 

حملن جي خلاف IDS جي لچڪ کي جانچڻ جا ٻيا وسيلا آهن، بشمول آن لائن خدمتون. تجسس جي خاطر، توهان آزمائشي ورزن کي استعمال ڪندي دٻاء جي جاچ جو بندوبست ڪري سگهو ٿا IP اسٽريسر. اندروني intruders جي عملن جي رد عمل کي چيڪ ڪرڻ لاء، ان کي مقامي نيٽ ورڪ تي مشينن مان هڪ تي خاص اوزار انسٽال ڪرڻ جي قابل آهي. اتي تمام گھڻا اختيار آھن ۽ وقت بوقت انھن کي لاڳو ڪيو وڃي نه رڳو تجرباتي سائيٽ تي، پر ڪم ڪندڙ سسٽم تي، رڳو اھو ھڪڙو مڪمل طور تي مختلف ڪهاڻي آھي.

جو ذريعو: www.habr.com