В
Snort හෝ Suricata. 1 කොටස: ඔබේ ආයතනික ජාලය ආරක්ෂා කිරීම සඳහා නොමිලේ IDS/IPS තෝරා ගැනීම Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම
ජාල සම්බන්ධ කිරීම
IDS මුලින්ම අතථ්ය යන්ත්රයකට ඉවත් කිරීම පරීක්ෂණ සඳහා අවශ්ය විය හැක. ඔබ කිසි විටෙකත් එවැනි විසඳුම් සමඟ කටයුතු නොකළේ නම්, භෞතික දෘඩාංග ඇණවුම් කිරීමට සහ ජාල ගෘහ නිර්මාණ ශිල්පය වෙනස් කිරීමට ඔබ ඉක්මන් නොවිය යුතුය. ඔබේ ගණනය කිරීමේ අවශ්යතා තීරණය කිරීම සඳහා පද්ධතිය ආරක්ෂිතව සහ ලාභදායී ලෙස ක්රියාත්මක කිරීම වඩාත් සුදුසුය. සියලුම ආයතනික ගමනාගමනය තනි බාහිර නෝඩයක් හරහා ගමන් කළ යුතු බව වටහා ගැනීම වැදගත්ය: IDS Suricata ස්ථාපනය කර ඇති VDS වෙත දේශීය ජාලයක් (හෝ ජාල කිහිපයක්) සම්බන්ධ කිරීමට, ඔබට භාවිතා කළ හැකිය
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update
පහත දැක්වෙන විධානය සමඟ ඔබට පවතින පැකේජ ලැයිස්තුව නැරඹිය හැක:
apt-cache search softether
අපට softether-vpnserver (පරීක්ෂණ වින්යාසයේ සේවාදායකය VDS මත ක්රියාත්මක වේ), මෙන්ම softether-vpncmd - එය වින්යාස කිරීම සඳහා විධාන රේඛා උපයෝගිතා අවශ්ය වේ.
sudo apt-get install softether-vpnserver softether-vpncmd
සේවාදායකය වින්යාස කිරීම සඳහා විශේෂ විධාන රේඛා උපයෝගීතාවයක් භාවිතා කරයි:
sudo vpncmd
අපි සැකසුම ගැන විස්තරාත්මකව කතා නොකරමු: ක්රියා පටිපාටිය තරමක් සරල ය, එය බොහෝ ප්රකාශනවල හොඳින් විස්තර කර ඇති අතර ලිපියේ මාතෘකාවට කෙලින්ම සම්බන්ධ නොවේ. කෙටියෙන් කිවහොත්, vpncmd ආරම්භ කිරීමෙන් පසු, ඔබ සේවාදායක කළමනාකරණ කොන්සෝලය වෙත යාමට අයිතම 1 තෝරාගත යුතුය. මෙය සිදු කිරීම සඳහා, ඔබ කේන්ද්රයේ නම ඇතුළත් කිරීම වෙනුවට localhost යන නම ඇතුළත් කර enter ඔබන්න. පරිපාලක මුරපදය serverpasswordset විධානය සමඟ කොන්සෝලය තුළ සකසා ඇත, DEFAULT අතථ්ය කේන්ද්රය මකා දමනු ලැබේ (hubdelete විධානය) සහ Suricata_VPN නමින් නව එකක් සාදනු ලැබේ, එහි මුරපදය ද සකසා ඇත (hubcreate විධානය). මීලඟට, groupcreate සහ usercreate විධානයන් භාවිතා කරමින් කණ්ඩායමක් සහ පරිශීලකයෙකු නිර්මාණය කිරීම සඳහා hub Suricata_VPN විධානය භාවිතා කරමින් ඔබ නව කේන්ද්රයේ කළමනාකරණ කොන්සෝලය වෙත යා යුතුය. පරිශීලක මුරපදය සකසා ඇත්තේ userpasswordset භාවිතා කරමිනි.
SoftEther රථවාහන මාරු ක්රම දෙකකට සහය දක්වයි: SecureNAT සහ Local Bridge. පළමුවැන්න තමන්ගේම NAT සහ DHCP සමඟ අතථ්ය පුද්ගලික ජාලයක් ගොඩනැගීම සඳහා හිමිකාර තාක්ෂණයකි. SecureNAT හට TUN/TAP හෝ Netfilter හෝ වෙනත් ෆයර්වෝල් සැකසුම් අවශ්ය නොවේ. මාර්ගගත කිරීම පද්ධති හරයට බලපාන්නේ නැත, සහ සියලුම ක්රියාවලි අථත්යකරණය කර ඇති අතර භාවිතා කරන අධිවිශේෂකය නොසලකා ඕනෑම VPS / VDS මත ක්රියා කරයි. මෙය SoftEther අතථ්ය කේන්ද්රය භෞතික ජාල ඇඩැප්ටරයකට හෝ TAP උපාංගයකට සම්බන්ධ කරන Local Bridge මාදිලියට සාපේක්ෂව CPU පැටවීම සහ මන්දගාමී වේගය වැඩි කරයි.
Netfilter භාවිතයෙන් කර්නල් මට්ටමින් මාර්ගගත කිරීම සිදු වන බැවින් මෙම අවස්ථාවෙහි වින්යාස කිරීම වඩාත් සංකීර්ණ වේ. අපගේ VDS ගොඩනඟා ඇත්තේ Hyper-V මත වන අතර, අවසාන පියවරේදී අපි දේශීය පාලමක් සාදා Suricate_VPN -device:suricate_vpn -tap:yes විධානය සමඟින් TAP උපාංගය සක්රිය කරමු. හබ් කළමනාකරණ කොන්සෝලයෙන් පිටවීමෙන් පසු, පද්ධතිය තුළ තවමත් IP එකක් පවරා නොමැති නව ජාල අතුරු මුහුණතක් අපට පෙනෙනු ඇත:
ifconfig
මීලඟට, ඔබට අතුරුමුහුණත් (ip ඉදිරියට) අතර පැකට් මාර්ගගත කිරීම සක්රීය කිරීමට සිදු වනු ඇත, එය අක්රිය නම්:
sudo nano /etc/sysctl.conf
පහත පේළියේ අදහස් ඉවත් කරන්න:
net.ipv4.ip_forward = 1
ගොනුවේ වෙනස්කම් සුරකින්න, සංස්කාරකයෙන් පිටවී පහත විධානය සමඟ ඒවා යොදන්න:
sudo sysctl -p
මීළඟට, අපි කල්පිත IPs (උදාහරණයක් ලෙස, 10.0.10.0/24) සමඟ අතථ්ය ජාලය සඳහා උපජාලයක් නිර්වචනය කළ යුතු අතර අතුරු මුහුණතට ලිපිනයක් පැවරිය යුතුය:
sudo ifconfig tap_suricata_vp 10.0.10.1/24
එවිට ඔබට Netfilter නීති ලිවිය යුතුය.
1. අවශ්ය නම්, සවන්දීමේ වරායන් මත එන පැකට් වලට ඉඩ දෙන්න (SoftEther හිමිකාර ප්රොටෝකෝලය HTTPS සහ port 443 භාවිතා කරයි)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT
2. NAT 10.0.10.0/24 උපජාලයේ සිට ප්රධාන සේවාදායක IP වෙත සකසන්න
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140
3. උපජාල 10.0.10.0/24 වෙතින් පැකට් ගමන් කිරීමට ඉඩ දෙන්න
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT
4. දැනටමත් ස්ථාපිත සම්බන්ධතා සඳහා පැකට් ගමන් කිරීමට ඉඩ දෙන්න
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
ආරම්භක ස්ක්රිප්ට් භාවිතයෙන් පද්ධතිය නැවත ආරම්භ කරන විට අපි ක්රියාවලියේ ස්වයංක්රීයකරණය පාඨකයන්ට ගෙදර වැඩ ලෙස අත්හරිමු.
ඔබට ස්වයංක්රීයව සේවාලාභීන්ට IP ලබා දීමට අවශ්ය නම්, ඔබට දේශීය පාලම සඳහා යම් ආකාරයක DHCP සේවාවක් ස්ථාපනය කිරීමටද අවශ්ය වනු ඇත. මෙය සේවාදායක සැකසුම සම්පූර්ණ කරන අතර ඔබට සේවාලාභීන් වෙත යා හැක. SoftEther බොහෝ ප්රොටෝකෝල සඳහා සහය දක්වයි, එහි භාවිතය LAN උපකරණවල හැකියාවන් මත රඳා පවතී.
netstat -ap |grep vpnserver
අපගේ පරීක්ෂණ රවුටරයද Ubuntu යටතේ ක්රියාත්මක වන බැවින්, හිමිකාර ප්රොටෝකෝලය භාවිතා කිරීම සඳහා අපි එහි බාහිර ගබඩාවකින් softether-vpnclient සහ softether-vpncmd පැකේජ ස්ථාපනය කරමු. ඔබට සේවාලාභියා ධාවනය කිරීමට අවශ්ය වනු ඇත:
sudo vpnclient start
වින්යාස කිරීමට, vpncmd උපයෝගීතාව භාවිතා කරන්න, vpnclient ධාවනය වන යන්ත්රය ලෙස localhost තෝරා ගන්න. සියලුම විධාන කොන්සෝලය තුළ සාදා ඇත: ඔබට අථත්ය අතුරු මුහුණතක් (NicCreate) සහ ගිණුමක් (AccountCreate) සෑදිය යුතුය.
සමහර අවස්ථාවලදී, ඔබ AccountAnonymousSet, AccountPasswordSet, AccountCertSet, සහ AccountSecureCertSet විධාන භාවිතයෙන් සත්යාපන ක්රමය සඳහන් කළ යුතුය. අපි DHCP භාවිතා නොකරන බැවින්, අතථ්ය ඇඩැප්ටරය සඳහා ලිපිනය අතින් සකසා ඇත.
ඊට අමතරව, අපට ip Forward සක්රීය කළ යුතුය ( /etc/sysctl.conf ගොනුවේ net.ipv4.ip_forward=1 පරාමිතිය) සහ ස්ථිතික මාර්ග වින්යාස කිරීම. අවශ්ය නම්, Suricata සමඟ VDS මත, දේශීය ජාලයේ ස්ථාපනය කර ඇති සේවාවන් භාවිතා කිරීමට ඔබට වරාය යොමු කිරීම වින්යාසගත කළ හැකිය. මේ මත, ජාලකරණය සම්පූර්ණ ලෙස සැලකිය හැකිය.
අපගේ යෝජිත වින්යාසය මේ වගේ දෙයක් පෙනෙනු ඇත:
Suricata පිහිටුවීම
В
IDS නැවත ආරම්භ කිරීමට, විධානය භාවිතා කරන්න:
systemctl restart suricata
විසඳුම සූදානම්, දැන් ඔබට අනිෂ්ට ක්රියාවන්ට ප්රතිරෝධය සඳහා එය පරීක්ෂා කිරීමට අවශ්ය විය හැකිය.
ප්රහාරයන් අනුකරණය කිරීම
බාහිර IDS සේවාවක සටන් භාවිතය සඳහා අවස්ථා කිහිපයක් තිබිය හැකිය:
DDoS ප්රහාර වලින් ආරක්ෂා වීම (මූලික අරමුණ)
ආයතනික ජාලය තුළ එවැනි විකල්පයක් ක්රියාත්මක කිරීම අපහසුය, මන්ද විශ්ලේෂණය සඳහා පැකට් අන්තර්ජාලය දෙස බලන පද්ධති අතුරුමුහුණතට යා යුතුය. IDS ඒවා අවහිර කළත්, ව්යාජ ගමනාගමනය මඟින් දත්ත සබැඳිය අඩු කළ හැකිය. මෙය වලක්වා ගැනීම සඳහා, ඔබ සියලුම දේශීය ජාල ගමනාගමනය සහ සියලුම බාහිර ගමනාගමනය පසුකර යා හැකි ප්රමාණවත් තරම් ඵලදායී අන්තර්ජාල සම්බන්ධතාවයක් සහිත VPS එකක් ඇණවුම් කළ යුතුය. කාර්යාල නාලිකාව පුළුල් කිරීමට වඩා මෙය කිරීමට බොහෝ විට පහසු සහ ලාභදායී වේ. විකල්පයක් ලෙස, DDoS වලට එරෙහිව ආරක්ෂාව සඳහා විශේෂිත සේවාවන් සඳහන් කිරීම වටී. ඔවුන්ගේ සේවාවන්හි පිරිවැය අතථ්ය සේවාදායකයක පිරිවැය හා සැසඳිය හැකි අතර එයට කාලය ගතවන වින්යාසය අවශ්ය නොවේ, නමුත් අවාසි ද ඇත - සේවාදායකයාට ඔහුගේ මුදල් සඳහා ලැබෙන්නේ DDoS ආරක්ෂාව පමණක් වන අතර ඔහුගේම IDS ඔබ ලෙස වින්යාසගත කළ හැකිය. මෙන්.
වෙනත් වර්ගවල බාහිර ප්රහාර වලින් ආරක්ෂා වීම
අන්තර්ජාලයෙන් ප්රවේශ විය හැකි ආයතනික ජාල සේවාවන්හි (තැපැල් සේවාදායකය, වෙබ් සේවාදායකය සහ වෙබ් යෙදුම් ආදිය) විවිධ දුර්වලතා උපයෝගී කර ගැනීමේ උත්සාහයන් සමඟ සාර්ථකව කටයුතු කිරීමට Suricata සමත් වේ. සාමාන්යයෙන්, මේ සඳහා, මායිම් උපාංගවලට පසු LAN තුළ IDS ස්ථාපනය කර ඇත, නමුත් එය පිටතට ගැනීම සඳහා පැවැත්මේ අයිතිය ඇත.
අභ්යන්තරිකයින්ගෙන් ආරක්ෂාව
පද්ධති පරිපාලකගේ උපරිම උත්සාහය නොතකා, ආයතනික ජාලයේ පරිගණක අනිෂ්ට මෘදුකාංග වලින් ආසාදනය විය හැක. මීට අමතරව, සමහර නීති විරෝධී මෙහෙයුම් සිදු කිරීමට උත්සාහ කරන දාමරිකයන් සමහර විට ප්රදේශයේ පෙනී සිටිති. අභ්යන්තර ජාලය ආරක්ෂා කිරීම සඳහා පරිමිතිය තුළ ස්ථාපනය කිරීම සහ එක් වරායකට ගමනාගමනය පිළිබිඹු කළ හැකි කළමනාකරණය කළ ස්විචයක් සමඟ එය භාවිතා කිරීම වඩා හොඳය. මෙම අවස්ථාවෙහිදී බාහිර IDS ද නිෂ්ඵල නොවේ - අවම වශයෙන් LAN හි ජීවත්වන අනිෂ්ට මෘදුකාංග මගින් බාහිර සේවාදායකයක් සම්බන්ධ කර ගැනීමට උත්සාහ කිරීමට එය සමත් වනු ඇත.
ආරම්භ කිරීම සඳහා, අපි VPS වලට පහර දෙන තවත් පරීක්ෂණයක් සාදනු ඇත, සහ දේශීය ජාල රවුටරය මත අපි පෙරනිමි වින්යාසය සමඟ Apache ඔසවන්නෙමු, ඉන්පසු අපි 80 වන වරාය IDS සේවාදායකයෙන් එයට යොමු කරන්නෙමු. ඊළඟට, අපි ප්රහාරක ධාරකයකින් DDoS ප්රහාරයක් අනුකරණය කරන්නෙමු. මෙය සිදු කිරීම සඳහා, GitHub වෙතින් බාගත කර, ප්රහාරක නෝඩයේ කුඩා xerxes වැඩසටහනක් සම්පාදනය කර ධාවනය කරන්න (ඔබට gcc පැකේජය ස්ථාපනය කිරීමට අවශ්ය විය හැක):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80
ඇයගේ කාර්යයේ ප්රතිඵලය පහත පරිදි විය:
Suricata දුෂ්ටයා කපා දමයි, සහ Apache පිටුව පෙරනිමියෙන් විවෘත වේ, අපගේ හදිසි ප්රහාරය සහ "කාර්යාලය" (ඇත්ත වශයෙන්ම නිවස) ජාලයේ තරමක් මිය ගිය නාලිකාව නොතකා. වඩාත් බැරෑරුම් කාර්යයන් සඳහා, ඔබ භාවිතා කළ යුතුය
sudo msfupdate
පරීක්ෂා කිරීම සඳහා, msfconsole ධාවනය කරන්න.
අවාසනාවකට, රාමුවේ නවතම අනුවාදවලට ස්වයංක්රීයව ඉරිතැලීමේ හැකියාවක් නොමැත, එබැවින් සූරාකෑම් අතින් වර්ග කර භාවිත විධානය භාවිතයෙන් ක්රියාත්මක කිරීමට සිදුවේ. ආරම්භ කිරීම සඳහා, ප්රහාරයට ලක් වූ යන්ත්රයේ විවෘත වරායන් තීරණය කිරීම වටී, උදාහරණයක් ලෙස, nmap භාවිතා කිරීම (අපගේ නඩුවේදී, එය ප්රහාරයට ලක් වූ ධාරකයේ netstat මගින් සම්පූර්ණයෙන්ම ප්රතිස්ථාපනය වේ), ඉන්පසු සුදුසු දේ තෝරා භාවිතා කරන්න.
සබැඳි සේවා ඇතුළුව ප්රහාරවලට එරෙහිව IDS හි ඔරොත්තු දීමේ හැකියාව පරීක්ෂා කිරීමට වෙනත් ක්රම තිබේ. කුතුහලය සඳහා, ඔබට අත්හදා බැලීමේ අනුවාදය භාවිතයෙන් ආතති පරීක්ෂාව සංවිධානය කළ හැකිය
මූලාශ්රය: www.habr.com