Snort හෝ Suricata. 3 කොටස: කාර්යාල ජාලය ආරක්ෂා කිරීම

В පෙර ලිපිය Ubuntu 18.04 LTS හි Suricata හි ස්ථාවර අනුවාදය ධාවනය කරන්නේ කෙසේද යන්න අපි ආවරණය කර ඇත්තෙමු. තනි නෝඩයක් මත IDS පිහිටුවීම සහ නිදහස් රීති කට්ටල සක්රිය කිරීම ඉතා සරල ය. අතථ්‍ය සේවාදායකයක ස්ථාපනය කර ඇති Suricata භාවිතයෙන් වඩාත් සුලභ ආකාරයේ ප්‍රහාර භාවිතා කරමින් ආයතනික ජාලයක් ආරක්ෂා කරන්නේ කෙසේදැයි අද අපි සොයා බලමු. මෙය සිදු කිරීම සඳහා, අපට පරිගණක හර දෙකක් සහිත Linux මත VDS අවශ්ය වේ. RAM ප්‍රමාණය බර මත රඳා පවතී: යමෙකුට 2 GB ප්‍රමාණවත් වන අතර වඩාත් බැරෑරුම් කාර්යයන් සඳහා 4 හෝ 6 ක් අවශ්‍ය විය හැකිය. අතථ්‍ය යන්ත්‍රයක වාසිය වන්නේ අත්හදා බැලීමේ හැකියාවයි: ඔබට අවම වින්‍යාසයකින් ආරම්භ කර වැඩි කළ හැකිය. අවශ්ය පරිදි සම්පත්.

ඡායාරූපය: රොයිටර්

• Snort හෝ Suricata. 1 කොටස: ඔබේ ආයතනික ජාලය ආරක්ෂා කිරීම සඳහා නොමිලේ IDS/IPS තෝරා ගැනීම
• Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම

ජාල සම්බන්ධ කිරීම

IDS මුලින්ම අතථ්‍ය යන්ත්‍රයකට ඉවත් කිරීම පරීක්ෂණ සඳහා අවශ්‍ය විය හැක. ඔබ කිසි විටෙකත් එවැනි විසඳුම් සමඟ කටයුතු නොකළේ නම්, භෞතික දෘඩාංග ඇණවුම් කිරීමට සහ ජාල ගෘහ නිර්මාණ ශිල්පය වෙනස් කිරීමට ඔබ ඉක්මන් නොවිය යුතුය. ඔබේ ගණනය කිරීමේ අවශ්‍යතා තීරණය කිරීම සඳහා පද්ධතිය ආරක්ෂිතව සහ ලාභදායී ලෙස ක්‍රියාත්මක කිරීම වඩාත් සුදුසුය. සියලුම ආයතනික ගමනාගමනය තනි බාහිර නෝඩයක් හරහා ගමන් කළ යුතු බව වටහා ගැනීම වැදගත්ය: IDS Suricata ස්ථාපනය කර ඇති VDS වෙත දේශීය ජාලයක් (හෝ ජාල කිහිපයක්) සම්බන්ධ කිරීමට, ඔබට භාවිතා කළ හැකිය සොෆ්ට් ඊතර් - වින්‍යාස කිරීමට පහසු, ශක්තිමත් සංකේතනය සපයන හරස් වේදිකා VPN සේවාදායකයක්. කාර්යාල අන්තර්ජාල සම්බන්ධතාවයක සැබෑ IP එකක් නොතිබිය හැකිය, එබැවින් එය VPS මත පිහිටුවීම වඩා හොඳය. උබුන්ටු ගබඩාවේ සූදානම් පැකේජ නොමැත, ඔබට මෘදුකාංගය බාගත කිරීමට සිදුවේ. ව්යාපෘති අඩවිය, හෝ සේවාවේ බාහිර ගබඩාවකින් Launchpad (ඔබ ඔහුව විශ්වාස කරන්නේ නම්):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

පහත දැක්වෙන විධානය සමඟ ඔබට පවතින පැකේජ ලැයිස්තුව නැරඹිය හැක:

apt-cache search softether

අපට softether-vpnserver (පරීක්ෂණ වින්‍යාසයේ සේවාදායකය VDS මත ක්‍රියාත්මක වේ), මෙන්ම softether-vpncmd - එය වින්‍යාස කිරීම සඳහා විධාන රේඛා උපයෝගිතා අවශ්‍ය වේ.

sudo apt-get install softether-vpnserver softether-vpncmd

සේවාදායකය වින්‍යාස කිරීම සඳහා විශේෂ විධාන රේඛා උපයෝගීතාවයක් භාවිතා කරයි:

sudo vpncmd

අපි සැකසුම ගැන විස්තරාත්මකව කතා නොකරමු: ක්‍රියා පටිපාටිය තරමක් සරල ය, එය බොහෝ ප්‍රකාශනවල හොඳින් විස්තර කර ඇති අතර ලිපියේ මාතෘකාවට කෙලින්ම සම්බන්ධ නොවේ. කෙටියෙන් කිවහොත්, vpncmd ආරම්භ කිරීමෙන් පසු, ඔබ සේවාදායක කළමනාකරණ කොන්සෝලය වෙත යාමට අයිතම 1 තෝරාගත යුතුය. මෙය සිදු කිරීම සඳහා, ඔබ කේන්ද්‍රයේ නම ඇතුළත් කිරීම වෙනුවට localhost යන නම ඇතුළත් කර enter ඔබන්න. පරිපාලක මුරපදය serverpasswordset විධානය සමඟ කොන්සෝලය තුළ සකසා ඇත, DEFAULT අතථ්‍ය කේන්ද්‍රය මකා දමනු ලැබේ (hubdelete විධානය) සහ Suricata_VPN නමින් නව එකක් සාදනු ලැබේ, එහි මුරපදය ද සකසා ඇත (hubcreate විධානය). මීලඟට, groupcreate සහ usercreate විධානයන් භාවිතා කරමින් කණ්ඩායමක් සහ පරිශීලකයෙකු නිර්මාණය කිරීම සඳහා hub Suricata_VPN විධානය භාවිතා කරමින් ඔබ නව කේන්ද්‍රයේ කළමනාකරණ කොන්සෝලය වෙත යා යුතුය. පරිශීලක මුරපදය සකසා ඇත්තේ userpasswordset භාවිතා කරමිනි.

SoftEther රථවාහන මාරු ක්‍රම දෙකකට සහය දක්වයි: SecureNAT සහ Local Bridge. පළමුවැන්න තමන්ගේම NAT සහ DHCP සමඟ අතථ්‍ය පුද්ගලික ජාලයක් ගොඩනැගීම සඳහා හිමිකාර තාක්‍ෂණයකි. SecureNAT හට TUN/TAP හෝ Netfilter හෝ වෙනත් ෆයර්වෝල් සැකසුම් අවශ්‍ය නොවේ. මාර්ගගත කිරීම පද්ධති හරයට බලපාන්නේ නැත, සහ සියලුම ක්‍රියාවලි අථත්‍යකරණය කර ඇති අතර භාවිතා කරන අධිවිශේෂකය නොසලකා ඕනෑම VPS / VDS මත ක්‍රියා කරයි. මෙය SoftEther අතථ්‍ය කේන්ද්‍රය භෞතික ජාල ඇඩැප්ටරයකට හෝ TAP උපාංගයකට සම්බන්ධ කරන Local Bridge මාදිලියට සාපේක්ෂව CPU පැටවීම සහ මන්දගාමී වේගය වැඩි කරයි.

Netfilter භාවිතයෙන් කර්නල් මට්ටමින් මාර්ගගත කිරීම සිදු වන බැවින් මෙම අවස්ථාවෙහි වින්‍යාස කිරීම වඩාත් සංකීර්ණ වේ. අපගේ VDS ගොඩනඟා ඇත්තේ Hyper-V මත වන අතර, අවසාන පියවරේදී අපි දේශීය පාලමක් සාදා Suricate_VPN -device:suricate_vpn -tap:yes විධානය සමඟින් TAP උපාංගය සක්‍රිය කරමු. හබ් කළමනාකරණ කොන්සෝලයෙන් පිටවීමෙන් පසු, පද්ධතිය තුළ තවමත් IP එකක් පවරා නොමැති නව ජාල අතුරු මුහුණතක් අපට පෙනෙනු ඇත:

ifconfig

මීලඟට, ඔබට අතුරුමුහුණත් (ip ඉදිරියට) අතර පැකට් මාර්ගගත කිරීම සක්‍රීය කිරීමට සිදු වනු ඇත, එය අක්‍රිය නම්:

sudo nano /etc/sysctl.conf

පහත පේළියේ අදහස් ඉවත් කරන්න:

net.ipv4.ip_forward = 1

ගොනුවේ වෙනස්කම් සුරකින්න, සංස්කාරකයෙන් පිටවී පහත විධානය සමඟ ඒවා යොදන්න:

sudo sysctl -p

මීළඟට, අපි කල්පිත IPs (උදාහරණයක් ලෙස, 10.0.10.0/24) සමඟ අතථ්‍ය ජාලය සඳහා උපජාලයක් නිර්වචනය කළ යුතු අතර අතුරු මුහුණතට ලිපිනයක් පැවරිය යුතුය:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

එවිට ඔබට Netfilter නීති ලිවිය යුතුය.

1. අවශ්‍ය නම්, සවන්දීමේ වරායන් මත එන පැකට් වලට ඉඩ දෙන්න (SoftEther හිමිකාර ප්‍රොටෝකෝලය HTTPS සහ port 443 භාවිතා කරයි)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT 10.0.10.0/24 උපජාලයේ සිට ප්‍රධාන සේවාදායක IP වෙත සකසන්න

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. උපජාල 10.0.10.0/24 වෙතින් පැකට් ගමන් කිරීමට ඉඩ දෙන්න

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. දැනටමත් ස්ථාපිත සම්බන්ධතා සඳහා පැකට් ගමන් කිරීමට ඉඩ දෙන්න

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

ආරම්භක ස්ක්‍රිප්ට් භාවිතයෙන් පද්ධතිය නැවත ආරම්භ කරන විට අපි ක්‍රියාවලියේ ස්වයංක්‍රීයකරණය පාඨකයන්ට ගෙදර වැඩ ලෙස අත්හරිමු.

ඔබට ස්වයංක්‍රීයව සේවාලාභීන්ට IP ලබා දීමට අවශ්‍ය නම්, ඔබට දේශීය පාලම සඳහා යම් ආකාරයක DHCP සේවාවක් ස්ථාපනය කිරීමටද අවශ්‍ය වනු ඇත. මෙය සේවාදායක සැකසුම සම්පූර්ණ කරන අතර ඔබට සේවාලාභීන් වෙත යා හැක. SoftEther බොහෝ ප්‍රොටෝකෝල සඳහා සහය දක්වයි, එහි භාවිතය LAN උපකරණවල හැකියාවන් මත රඳා පවතී.

netstat -ap |grep vpnserver

අපගේ පරීක්ෂණ රවුටරයද Ubuntu යටතේ ක්‍රියාත්මක වන බැවින්, හිමිකාර ප්‍රොටෝකෝලය භාවිතා කිරීම සඳහා අපි එහි බාහිර ගබඩාවකින් softether-vpnclient සහ softether-vpncmd පැකේජ ස්ථාපනය කරමු. ඔබට සේවාලාභියා ධාවනය කිරීමට අවශ්‍ය වනු ඇත:

sudo vpnclient start

වින්‍යාස කිරීමට, vpncmd උපයෝගීතාව භාවිතා කරන්න, vpnclient ධාවනය වන යන්ත්‍රය ලෙස localhost තෝරා ගන්න. සියලුම විධාන කොන්සෝලය තුළ සාදා ඇත: ඔබට අථත්‍ය අතුරු මුහුණතක් (NicCreate) සහ ගිණුමක් (AccountCreate) සෑදිය යුතුය.

සමහර අවස්ථාවලදී, ඔබ AccountAnonymousSet, AccountPasswordSet, AccountCertSet, සහ AccountSecureCertSet විධාන භාවිතයෙන් සත්‍යාපන ක්‍රමය සඳහන් කළ යුතුය. අපි DHCP භාවිතා නොකරන බැවින්, අතථ්‍ය ඇඩැප්ටරය සඳහා ලිපිනය අතින් සකසා ඇත.

ඊට අමතරව, අපට ip Forward සක්‍රීය කළ යුතුය ( /etc/sysctl.conf ගොනුවේ net.ipv4.ip_forward=1 පරාමිතිය) සහ ස්ථිතික මාර්ග වින්‍යාස කිරීම. අවශ්ය නම්, Suricata සමඟ VDS මත, දේශීය ජාලයේ ස්ථාපනය කර ඇති සේවාවන් භාවිතා කිරීමට ඔබට වරාය යොමු කිරීම වින්යාසගත කළ හැකිය. මේ මත, ජාලකරණය සම්පූර්ණ ලෙස සැලකිය හැකිය.

අපගේ යෝජිත වින්‍යාසය මේ වගේ දෙයක් පෙනෙනු ඇත:

Suricata පිහිටුවීම

В පෙර ලිපිය අපි IDS මෙහෙයුම් ආකාර දෙකක් ගැන කතා කළෙමු: NFQUEUE පෝලිම (NFQ මාදිලිය) සහ ශුන්‍ය පිටපත හරහා (AF_PACKET මාදිලිය). දෙවැන්න අතුරුමුහුණත් දෙකක් අවශ්ය වේ, නමුත් වේගවත් වේ - අපි එය භාවිතා කරන්නෙමු. පරාමිතිය /etc/default/suricata හි පෙරනිමියෙන් සකසා ඇත. අපට /etc/suricata/suricata.yaml හි ඇති vars කොටස සංස්කරණය කිරීමට අවශ්‍ය වේ, එහි ඇති අතථ්‍ය උපජාලය නිවස ලෙස සැකසීම.

IDS නැවත ආරම්භ කිරීමට, විධානය භාවිතා කරන්න:

systemctl restart suricata

විසඳුම සූදානම්, දැන් ඔබට අනිෂ්ට ක්‍රියාවන්ට ප්‍රතිරෝධය සඳහා එය පරීක්ෂා කිරීමට අවශ්‍ය විය හැකිය.

ප්රහාරයන් අනුකරණය කිරීම

බාහිර IDS සේවාවක සටන් භාවිතය සඳහා අවස්ථා කිහිපයක් තිබිය හැකිය:

DDoS ප්‍රහාර වලින් ආරක්ෂා වීම (මූලික අරමුණ)

ආයතනික ජාලය තුළ එවැනි විකල්පයක් ක්‍රියාත්මක කිරීම අපහසුය, මන්ද විශ්ලේෂණය සඳහා පැකට් අන්තර්ජාලය දෙස බලන පද්ධති අතුරුමුහුණතට යා යුතුය. IDS ඒවා අවහිර කළත්, ව්‍යාජ ගමනාගමනය මඟින් දත්ත සබැඳිය අඩු කළ හැකිය. මෙය වලක්වා ගැනීම සඳහා, ඔබ සියලුම දේශීය ජාල ගමනාගමනය සහ සියලුම බාහිර ගමනාගමනය පසුකර යා හැකි ප්‍රමාණවත් තරම් ඵලදායී අන්තර්ජාල සම්බන්ධතාවයක් සහිත VPS එකක් ඇණවුම් කළ යුතුය. කාර්යාල නාලිකාව පුළුල් කිරීමට වඩා මෙය කිරීමට බොහෝ විට පහසු සහ ලාභදායී වේ. විකල්පයක් ලෙස, DDoS වලට එරෙහිව ආරක්ෂාව සඳහා විශේෂිත සේවාවන් සඳහන් කිරීම වටී. ඔවුන්ගේ සේවාවන්හි පිරිවැය අතථ්‍ය සේවාදායකයක පිරිවැය හා සැසඳිය හැකි අතර එයට කාලය ගතවන වින්‍යාසය අවශ්‍ය නොවේ, නමුත් අවාසි ද ඇත - සේවාදායකයාට ඔහුගේ මුදල් සඳහා ලැබෙන්නේ DDoS ආරක්ෂාව පමණක් වන අතර ඔහුගේම IDS ඔබ ලෙස වින්‍යාසගත කළ හැකිය. මෙන්.

වෙනත් වර්ගවල බාහිර ප්රහාර වලින් ආරක්ෂා වීම

අන්තර්ජාලයෙන් ප්‍රවේශ විය හැකි ආයතනික ජාල සේවාවන්හි (තැපැල් සේවාදායකය, වෙබ් සේවාදායකය සහ වෙබ් යෙදුම් ආදිය) විවිධ දුර්වලතා උපයෝගී කර ගැනීමේ උත්සාහයන් සමඟ සාර්ථකව කටයුතු කිරීමට Suricata සමත් වේ. සාමාන්‍යයෙන්, මේ සඳහා, මායිම් උපාංගවලට පසු LAN තුළ IDS ස්ථාපනය කර ඇත, නමුත් එය පිටතට ගැනීම සඳහා පැවැත්මේ අයිතිය ඇත.

අභ්‍යන්තරිකයින්ගෙන් ආරක්ෂාව

පද්ධති පරිපාලකගේ උපරිම උත්සාහය නොතකා, ආයතනික ජාලයේ පරිගණක අනිෂ්ට මෘදුකාංග වලින් ආසාදනය විය හැක. මීට අමතරව, සමහර නීති විරෝධී මෙහෙයුම් සිදු කිරීමට උත්සාහ කරන දාමරිකයන් සමහර විට ප්‍රදේශයේ පෙනී සිටිති. අභ්‍යන්තර ජාලය ආරක්ෂා කිරීම සඳහා පරිමිතිය තුළ ස්ථාපනය කිරීම සහ එක් වරායකට ගමනාගමනය පිළිබිඹු කළ හැකි කළමනාකරණය කළ ස්විචයක් සමඟ එය භාවිතා කිරීම වඩා හොඳය. මෙම අවස්ථාවෙහිදී බාහිර IDS ද නිෂ්ඵල නොවේ - අවම වශයෙන් LAN හි ජීවත්වන අනිෂ්ට මෘදුකාංග මගින් බාහිර සේවාදායකයක් සම්බන්ධ කර ගැනීමට උත්සාහ කිරීමට එය සමත් වනු ඇත.

ආරම්භ කිරීම සඳහා, අපි VPS වලට පහර දෙන තවත් පරීක්ෂණයක් සාදනු ඇත, සහ දේශීය ජාල රවුටරය මත අපි පෙරනිමි වින්‍යාසය සමඟ Apache ඔසවන්නෙමු, ඉන්පසු අපි 80 වන වරාය IDS සේවාදායකයෙන් එයට යොමු කරන්නෙමු. ඊළඟට, අපි ප්‍රහාරක ධාරකයකින් DDoS ප්‍රහාරයක් අනුකරණය කරන්නෙමු. මෙය සිදු කිරීම සඳහා, GitHub වෙතින් බාගත කර, ප්‍රහාරක නෝඩයේ කුඩා xerxes වැඩසටහනක් සම්පාදනය කර ධාවනය කරන්න (ඔබට gcc පැකේජය ස්ථාපනය කිරීමට අවශ්‍ය විය හැක):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

ඇයගේ කාර්යයේ ප්රතිඵලය පහත පරිදි විය:

Suricata දුෂ්ටයා කපා දමයි, සහ Apache පිටුව පෙරනිමියෙන් විවෘත වේ, අපගේ හදිසි ප්‍රහාරය සහ "කාර්යාලය" (ඇත්ත වශයෙන්ම නිවස) ජාලයේ තරමක් මිය ගිය නාලිකාව නොතකා. වඩාත් බැරෑරුම් කාර්යයන් සඳහා, ඔබ භාවිතා කළ යුතුය Metasploit රාමුව. එය විනිවිද යාමේ පරීක්ෂණ සඳහා නිර්මාණය කර ඇති අතර විවිධ ප්‍රහාර අනුකරණය කිරීමට ඔබට ඉඩ සලසයි. ස්ථාපන උපදෙස් ඇත ව්යාපෘති වෙබ් අඩවියේ. ස්ථාපනය කිරීමෙන් පසු, යාවත්කාලීන කිරීමක් අවශ්ය වේ:

sudo msfupdate

පරීක්ෂා කිරීම සඳහා, msfconsole ධාවනය කරන්න.

අවාසනාවකට, රාමුවේ නවතම අනුවාදවලට ස්වයංක්‍රීයව ඉරිතැලීමේ හැකියාවක් නොමැත, එබැවින් සූරාකෑම් අතින් වර්ග කර භාවිත විධානය භාවිතයෙන් ක්‍රියාත්මක කිරීමට සිදුවේ. ආරම්භ කිරීම සඳහා, ප්‍රහාරයට ලක් වූ යන්ත්‍රයේ විවෘත වරායන් තීරණය කිරීම වටී, උදාහරණයක් ලෙස, nmap භාවිතා කිරීම (අපගේ නඩුවේදී, එය ප්‍රහාරයට ලක් වූ ධාරකයේ netstat මගින් සම්පූර්ණයෙන්ම ප්‍රතිස්ථාපනය වේ), ඉන්පසු සුදුසු දේ තෝරා භාවිතා කරන්න. Metasploit මොඩියුල. 

සබැඳි සේවා ඇතුළුව ප්‍රහාරවලට එරෙහිව IDS හි ඔරොත්තු දීමේ හැකියාව පරීක්ෂා කිරීමට වෙනත් ක්‍රම තිබේ. කුතුහලය සඳහා, ඔබට අත්හදා බැලීමේ අනුවාදය භාවිතයෙන් ආතති පරීක්ෂාව සංවිධානය කළ හැකිය IP ආතතිය. අභ්යන්තර ආක්රමණිකයන්ගේ ක්රියාවන්ට ප්රතික්රියාව පරීක්ෂා කිරීම සඳහා, දේශීය ජාලයේ එක් යන්ත්රයක් මත විශේෂ මෙවලම් ස්ථාපනය කිරීම වටී. විකල්ප රාශියක් ඇති අතර වරින් වර ඒවා පර්යේෂණාත්මක වෙබ් අඩවියට පමණක් නොව, වැඩ කරන පද්ධති සඳහාද යෙදිය යුතුය, මෙය සම්පූර්ණයෙන්ම වෙනස් කතාවකි.

මූලාශ්රය: www.habr.com