Π Waxaan daboolnay sida loo socodsiiyo nooca xasilloon ee Suricata Ubuntu 18.04 LTS. Dejinta IDS hal noode iyo awood u yeelashada jaangooyooyinka sharciga bilaashka ah waa mid toos ah. Maanta waxaan ogaan doonaa sida loo ilaaliyo shabakadaha shirkadaha iyadoo la adeegsanayo noocyada ugu badan ee weerarada iyadoo la adeegsanayo Suricata oo lagu rakibay server-ka casriga ah. Si tan loo sameeyo, waxaan u baahanahay VDS Linux oo leh laba kombuyuutar. Qadarka RAM wuxuu ku xiran yahay culeyska: 2 GB ayaa ku filan qof, 4 ama xitaa 6 ayaa loo baahan karaa hawlo culus. kheyraadka hadba sida loogu baahdo.
sawir: Reuters
Isku xirka shabakadaha
Ka saarida IDS-ka mashiinka farsamada ee meesha ugu horeysa ayaa laga yaabaa in loo baahdo baaritaanno. Haddii aanad waligaa wax ka qaban xalalkan oo kale, waa inaadan ku degdegin inaad dalbato qalab jidheed oo aad bedesho qaab dhismeedka shabakada. Way fiicantahay inaad u socodsiiso nidaamka si badbaado leh oo kharash-ku-ool ah si loo go'aamiyo baahiyahaaga xisaabinta. Waxaa muhiim ah in la fahmo in dhammaan taraafikada shirkadu ay tahay in la mariyo hal dalool dibadda ah: si loogu xiro shabakad maxalli ah (ama dhowr shabakadood) VDS oo leh IDS Suricata, waxaad isticmaali kartaa - Si fudud loo habayn karo, iskutallaab VPN server ah oo bixiya sir adag. Xidhiidhka intarneetka ee xafiisku waxa laga yaabaa inaanu lahayn IP-ga dhabta ah, markaa waxa fiican in lagu rakibo VPS. Ma jiraan baakado diyaarsan oo ku jira kaydka Ubuntu, waa inaad ka soo dejisan kartaa softiweerka midkoodna , ama laga keenay kaydka dibadda ee adeega (haddii aad ku kalsoon tahay):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateWaxaad ku arki kartaa liiska xirmooyinka la heli karo amarka soo socda:
apt-cache search softether
Waxaan u baahan doonaa softether-vpnserver (serverka ku jira qaabeynta tijaabada wuxuu ku shaqeeyaa VDS), iyo sidoo kale softether-vpncmd - utility line utilities si loo habeeyo.
sudo apt-get install softether-vpnserver softether-vpncmdUtility line taliska gaarka ah ayaa loo isticmaalaa si loo habeeyo serverka:
sudo vpncmd
Kama hadli doono si faahfaahsan oo ku saabsan goobta: nidaamku waa mid fudud, si fiican ayaa loogu sharraxay daabacaadyo badan oo aan si toos ah ula xiriirin mawduuca maqaalka. Marka la soo koobo, ka dib markaad bilowdo vpncmd, waxaad u baahan tahay inaad doorato shayga 1 si aad u aado console management server. Si aad tan u samayso, waxaad u baahan tahay inaad geliso magaca localhost oo taabo geli halkii aad ka geli lahayd magaca xarunta. Furaha sirta ah ee maamulaha waxaa lagu dhejiyay console-ka oo leh amarka serverpasswordset-ka, DEFAULT xuddunta farsamada waa la tirtiray (hubdelete Command) mid cusub ayaa la sameeyay oo wata magaca Suricata_VPN, furaha sirta ah sidoo kale waa la dejiyay (hubcreate Command). Marka xigta, waxaad u baahan tahay inaad tagto console-ka maamulka ee xarunta cusub adoo isticmaalaya xuddunta Suricata_VPN si aad u abuurto koox iyo isticmaale adoo isticmaalaya amarada abuurista kooxeed iyo isticmaale. Furaha sirta ah ee isticmaalaha waxa lagu dejiyay adeegsad passwordswordset.
SoftEther waxay taageertaa laba hab oo kala wareejinta taraafikada: SecureNAT iyo Buundada Maxalliga ah. Midda kowaad waa tignoolajiyada iska leh ee lagu dhisayo shabakad gaar loo leeyahay oo NAT iyo DHCP u gaar ah. SecureNAT uma baahna TUN/TAP ama Netfilter ama goobaha kale ee dab-damiska. Jideynta ma saameynayso xudunta nidaamka, iyo dhammaan geeddi-socodyada waa la farsameeyay waxayna ka shaqeeyaan VPS / VDS kasta, iyada oo aan loo eegin hypervisor-ka la isticmaalo. Tani waxay keenaysaa korodhka culeyska CPU iyo xawaaraha gaabiska ah marka loo eego qaabka Buundada Maxalliga ah, kaas oo ku xira SoftEther xarun dalwaddii ah adabtarada shabakadda jirka ama aaladda TAP.
Isku xidhka kiiskani wuxuu noqonayaa mid aad u adag, maadaama dariiqa marintu ay ka dhacdo heerka kernel iyadoo la adeegsanayo Netfilter. VDS-kayaga waxa lagu dhisay Hyper-V, markaa talaabada ugu dambaysa waxaanu samaynaa buundo maxali ah oo aanu ku hawlgelinaa aaladda TAP oo wata buundada Suricate_VPN -device: suricate_vpn -tap: haa amarka. Ka dib markii laga baxo konsole maamulka hub, waxaan ku arki doonaa is-dhexgal shabakadeed cusub oo ku jira nidaamka aan weli loo qoondeeyay IP ah:
ifconfig
Marka xigta, waa inaad awood u yeelataa marin-u-socodka baakidhka ee u dhexeeya is-dhexgalka (ip-ga hore), haddii ay tahay mid aan shaqaynayn:
sudo nano /etc/sysctl.confKa faallooda khadka soo socda:
net.ipv4.ip_forward = 1Ku keydi isbedelada faylka, ka bax tafatiraha oo ku dabaq amarkan soo socda:
sudo sysctl -pMarka xigta, waxaan u baahanahay inaan u qeexno shabakad-hoosaadka shabakadda farsamada leh IP-yada khayaaliga ah (tusaale ahaan, 10.0.10.0/24) oo aan ku wareejinno ciwaanka interface-ka:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Markaa waxaad u baahan tahay inaad qorto xeerarka Netfilter.
1. Haddii loo baahdo, u oggolow xidhmooyinka soo socda ee dekedaha dhegeysiga (SoftEther Protocol lahaanshaha adeegsada HTTPS iyo dekedda 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Ka samee NAT 10.0.10.0/24 subnet ilaa server-ka IP
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Oggolow in laga gudbo baakidhada subnetka 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Oggolow xirmooyinka gudbinta ee isku xirka hore loo aasaasay
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTWaxaan ka tagi doonaa otomaatiga nidaamka marka nidaamka dib loo bilaabo iyadoo la isticmaalayo qoraalada bilowga ah akhristayaasha si ay shaqo guri ahaan.
Haddii aad rabto inaad si toos ah u siiso macaamiisha IP-ga, waxaad sidoo kale u baahan doontaa inaad ku rakibto nooc ka mid ah adeegga DHCP ee buundada deegaanka. Tani waxay dhamaystiraysaa habaynta server-ka oo waxaad u tagi kartaa macaamiisha. SoftEther waxay taageertaa hab-maamuusyo badan, isticmaalka kuwaas oo ku xiran awoodda qalabka LAN.
netstat -ap |grep vpnserver
Maadaama routerkeena tijaabin uu sidoo kale ka hoos shaqeeyo Ubuntu, aan ku rakibno baakadaha softether-vpnclient iyo softether-vpncmd ee kaydka dibadeed si aan u isticmaalno borotokoolka lahaanshaha. Waxaad u baahan doontaa inaad socodsiiso macmiilka:
sudo vpnclient startSi loo habeeyo, isticmaal vpncmd utility, adigoo dooranaya localhost sida mashiinka uu vpnclient ku shaqaynayo. Dhammaan amarrada waxaa lagu sameeyay console-ka: waxaad u baahan doontaa inaad abuurto interface interface ah (NicCreate) iyo akoon (AccountCreate).
Xaaladaha qaarkood, waa inaad qeexdaa habka xaqiijinta adoo isticmaalaya amarada AccountAnonymousSet, AccountPasswordSet, AccountCertSet, iyo AccountSecureCertSet. Maadaama aynaan isticmaaleynin DHCP, ciwaanka adabtarada farsamada gacanta ayaa loo dejiyay.
Intaa waxaa dheer, waxaan u baahannahay inaan awoodno ip-ga hore (net.ipv4.ip_forward=1 parameter ee faylka /etc/sysctl.conf) oo aan habeyno waddooyinka taagan. Haddii loo baahdo, VDS oo leh Suricata, waxaad u habeyn kartaa gudbinta dekedda si aad u isticmaasho adeegyada lagu rakibay shabakadda deegaanka. Tan, isku dhafka shabakada waxaa loo tixgelin karaa mid dhammaystiran.
Qaabeyntayada la soo jeediyay ayaa u ekaan doonta sidan:
Dejinta Suricata
Π Waxaan ka hadalnay laba nooc oo IDS ah: iyada oo loo marayo safka NFQUEUE (qaabka NFQ) iyo iyada oo loo marayo koobi eber (AF_PACKET mode). Midka labaad wuxuu u baahan yahay laba interfaces, laakiin waa dhakhso badan yahay - waanu isticmaali doonaa. Halbeegga waxa loo dejiyay si caadi ah gudaha /etc/default/suricata. Waxaan sidoo kale u baahanahay inaan wax ka bedelno qaybta vars gudaha /etc/suricata/suricata.yaml, anagoo dejineyno subnet-ka casriga ah ee guriga ahaan.
Si aad dib ugu bilowdo IDS, adeegso amarka:
systemctl restart suricataXalku waa diyaar, hadda waxaa laga yaabaa inaad u baahato inaad tijaabiso iska caabinta falalka xaasidnimada ah.
Weerrada jilitaanka
Waxaa jiri kara xaalado dhowr ah oo ku saabsan isticmaalka dagaalka ee adeegga IDS ee dibadda:
Ka-hortagga weerarrada DDoS (ujeeddada aasaasiga ah)
Way adag tahay in la hirgeliyo ikhtiyaarka noocan oo kale ah gudaha shabakadda shirkadda, maadaama xirmooyinka falanqaynta ay tahay inay helaan nidaamka nidaamka ee eegaya internetka. Xitaa haddii IDS-ku uu xannibo iyaga, taraafikada qarsoodiga ah ayaa hoos u dhigi karta isku xirka xogta. Si taas looga fogaado, waxaad u baahan tahay inaad dalbato VPS oo leh xiriir internet oo wax soo saar leh oo ku filan kaas oo dhaafi kara dhammaan taraafikada shabakadaha maxalliga ah iyo dhammaan taraafikada dibadda. Inta badan way fududahay oo way ka jaban tahay tan in la sameeyo marka loo eego kanaalka xafiiska. Beddel ahaan, waxaa habboon in la xuso adeegyada gaarka ah ee ka hortagga DDoS. Qiimaha adeegyadooda waxay la mid tahay qiimaha server-ka dalwaddii, umana baahna qaabeynta waqti-qaadashada, laakiin sidoo kale waxaa jira faa'iido darrooyin - macmiilku wuxuu helayaa oo keliya ilaalinta DDoS lacagtiisa, halka IDS-kiisa loo habeyn karo sida adiga. sida.
Ka-hortagga weerarrada dibadda ee noocyada kale
Suricata waxa ay awood u leedahay in ay la qabsato isku dayga lagu doonayo in looga faa'iidaysto nuglaanta kala duwan ee adeegyada shabakadaha shirkadaha ee laga heli karo internetka (serverka boostada, server-ka shabakadda iyo codsiyada shabakadda, iwm.). Caadi ahaan, tan, IDS waxaa lagu rakibaa gudaha LAN ka dib aaladaha xuduudaha, laakiin ka qaadashada dibadda waxay xaq u leedahay inay jiraan.
Ka ilaalinta dadka gudaha ku jira
Inkasta oo dadaalka ugu fiican ee maamulaha nidaamka, kombiyuutarada ku jira shabakadaha shirkadaha waxaa lagu qaadi karaa malware. Intaa waxaa dheer, in hooligan ay mararka qaarkood ka soo muuqdaan agagaarka deegaanka, kuwaas oo isku dayaya in ay sameeyaan qaar ka mid ah hawlgallada sharci-darrada ah. Suricata waxay kaa caawin kartaa in la xannibo isku dayga noocaas ah, inkastoo si loo ilaaliyo shabakadda gudaha ay fiican tahay in lagu rakibo gudaha wareegga oo loo isticmaalo badeecooyin la maareeyay oo muraayad u noqon kara taraafikada hal deked. IDS-ka dibadda sidoo kale ma aha wax faa'iido leh kiiskan - ugu yaraan waxay awoodi doontaa in ay qabato isku dayada malware ee ku nool LAN si ay ula xiriiraan server dibadda ah.
Si aad u bilawdo, waxaan abuuri doonaa imtixaan kale oo weeraraya VPS, iyo shabakada shabakada maxaliga ah waxaan kor u qaadi doonaa Apache oo leh qaabka caadiga ah, ka dib waxaan u gudbin doonaa dekedda 80th ee IDS server. Marka xigta, waxaan ka tusaale qaadan doonaa weerarka DDoS ee ka imaanaya martida weerarka ah. Si tan loo sameeyo, ka soo deji GitHub, samee oo socodsii barnaamij yar oo xerxes ah oo ku yaal marinka weerarka (waxaa laga yaabaa inaad u baahato inaad ku rakibto xirmada gcc):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Natiijadii shaqadeeda waxay noqotay sidan.
Suricata waxay gooysaa tuugga, bogga Apache-na si caadi ah ayuu u furmaa, in kasta oo weerarkayaga degdega ah iyo kanaalka dhintay ee shabakadda "xafiiska" (dhab ahaantii guriga). Hawlaha aad u culus, waa inaad isticmaashaa . Waxaa loogu talagalay tijaabinta galitaanka waxayna kuu ogolaaneysaa inaad matasho weeraro kala duwan. Tilmaamaha rakibidda bogga mashruuca. Ka dib markii la rakibo, cusbooneysiin ayaa loo baahan yahay:
sudo msfupdateSi aad u tijaabiso, u wad msfconsole.
Nasiib darro, noocyadii ugu dambeeyay ee qaab-dhismeedka ayaa ka maqan awoodda ay si toos ah u dillaaci karaan, markaa ka faa'iidaysiga waa in lagu xalliyaa gacanta oo la adeegsado adeegsiga amarka. Si aad u bilawdo, waxaa habboon in la go'aamiyo dekedaha u furan mashiinka la weeraray, tusaale ahaan, adigoo isticmaalaya nmap (xaaladkeena, waxaa si buuxda loogu beddeli doonaa netstat ee martida la weeraray), ka dibna dooro oo isticmaal habka ku habboon. .
Waxaa jira habab kale oo lagu tijaabiyo adkeysiga IDS ka dhanka ah weerarada, oo ay ku jiraan adeegyada khadka. Xiisaha awgeed, waxaad diyaarin kartaa tijaabada cadaadiska adoo isticmaalaya nooca tijaabada ah . Si aad u hubiso falcelinta ficillada gudaha gudaha, waxaa habboon in lagu rakibo qalab gaar ah mid ka mid ah mashiinnada shabakadda maxalliga ah. Waxaa jira fursado badan oo waqti ka waqti waa in lagu dabaqaa ma aha oo kaliya goobta tijaabada ah, laakiin sidoo kale nidaamyada shaqada, kaliya tani waa sheeko gebi ahaanba ka duwan.
Source: www.habr.com