В ne kemi mbuluar se si të ekzekutojmë versionin e qëndrueshëm të Suricata në Ubuntu 18.04 LTS. Vendosja e një IDS në një nyje të vetme dhe aktivizimi i grupeve të rregullave falas është mjaft i thjeshtë. Sot do të kuptojmë se si të mbrojmë një rrjet të korporatës duke përdorur llojet më të zakonshme të sulmeve duke përdorur Suricata të instaluar në një server virtual. Për ta bërë këtë, na duhet një VDS në Linux me dy bërthama kompjuterike. Sasia e RAM-it varet nga ngarkesa: 2 GB janë të mjaftueshme për dikë, dhe 4 ose edhe 6 mund të nevojiten për detyra më serioze. Avantazhi i një makinerie virtuale është aftësia për të eksperimentuar: mund të filloni me një konfigurim minimal dhe të rritni burimet sipas nevojës.
Foto: Reuters
Lidhja e rrjeteve
Zhvendosja e IDS në një makinë virtuale mund të jetë kryesisht e nevojshme për testim. Nëse nuk jeni marrë kurrë me zgjidhje të tilla, nuk duhet të nxitoni të porosisni pajisje fizike dhe të ndryshoni arkitekturën e rrjetit. Është më mirë të testoni sistemin në mënyrë të sigurt dhe pa kosto shtesë për të përcaktuar nevojat tuaja për burimet kompjuterike. Është e rëndësishme të kuptohet se i gjithë trafiku i korporatës do të duhet të kalojë përmes një nyje të vetme të jashtme: për të lidhur një rrjet lokal (ose disa rrjete) me një VDS me IDS Suricata të instaluar, mund të përdorni - Një server VPN i lehtë për t'u konfiguruar, ndër-platformë që ofron kriptim të fortë. Një lidhje interneti zyre mund të mos ketë një IP të vërtetë, kështu që është më mirë ta konfiguroni atë në një VPS. Nuk ka paketa të gatshme në depon e Ubuntu, do të duhet të shkarkoni softuerin ose nga , ose nga një depo e jashtme në shërbim (nëse i besoni atij):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateJu mund të shikoni listën e paketave të disponueshme me komandën e mëposhtme:
apt-cache search softether
Do të na duhet softther-vpnserver (serveri në konfigurimin e provës po funksionon në VDS), si dhe softther-vpncmd - shërbimet e linjës së komandës për konfigurimin e tij.
sudo apt-get install softether-vpnserver softether-vpncmdPër të konfiguruar serverin, përdorni një mjet të veçantë të linjës së komandës:
sudo vpncmd
Ne nuk do të flasim në detaje për konfigurimin: procedura është mjaft e thjeshtë, përshkruhet mirë në botime të shumta dhe nuk lidhet drejtpërdrejt me temën e artikullit. Me pak fjalë, pas fillimit të vpncmd, duhet të zgjidhni artikullin 1 për të shkuar në tastierën e menaxhimit të serverit. Për ta bërë këtë, duhet të futni emrin localhost dhe shtypni enter në vend që të futni emrin e shpërndarësit. Në tastierë, vendosni fjalëkalimin e administratorit me komandën serverpasswordset, fshini qendrën virtuale DEFAULT (komandën hubdelete) dhe krijoni një të ri me emrin Suricata_VPN, si dhe vendosni fjalëkalimin e tij (komandë hubcreate). Tjetra, duhet të shkoni te tastiera e menaxhimit të shpërndarësit të ri duke përdorur komandën hub Suricata_VPN për të krijuar një grup dhe përdorues duke përdorur komandat groupcreate dhe usercreate. Fjalëkalimi i përdoruesit vendoset duke përdorur grupin e fjalëkalimeve të përdoruesit.
SoftEther mbështet dy mënyra të transferimit të trafikut: SecureNAT dhe Local Bridge. E para është një teknologji e pronarit për ndërtimin e një rrjeti privat virtual me NAT dhe DHCP-në e tij. SecureNAT nuk kërkon TUN/TAP ose Netfilter ose cilësime të tjera të murit të zjarrit. Rutimi nuk ndikon në thelbin e sistemit, dhe të gjitha proceset janë të virtualizuara dhe funksionojnë në çdo VPS / VDS, pavarësisht nga hipervizori i përdorur. Kjo rezulton në rritje të ngarkesës së CPU-së dhe shpejtësi më të ngadaltë në krahasim me modalitetin Local Bridge, i cili lidh qendrën virtuale SoftEther me një përshtatës rrjeti fizik ose pajisje TAP.
Konfigurimi në këtë rast bëhet më i ndërlikuar, pasi rutimi ndodh në nivelin e kernelit duke përdorur Netfilter. VDS-të tona janë ndërtuar në Hyper-V, kështu që në hapin e fundit ne krijojmë një urë lokale dhe aktivizojmë pajisjen TAP me komandën bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. Pas daljes nga tastiera e menaxhimit të shpërndarësve, do të shohim një ndërfaqe të re rrjeti në sistem që nuk i është caktuar ende një IP:
ifconfig
Më pas, do të duhet të aktivizoni kursimin e paketave ndërmjet ndërfaqeve (ip përpara), nëse është joaktive:
sudo nano /etc/sysctl.confZhkomentoni rreshtin e mëposhtëm:
net.ipv4.ip_forward = 1Ruani ndryshimet në skedar, dilni nga redaktori dhe zbatoni ato me komandën e mëposhtme:
sudo sysctl -pMë pas, duhet të përcaktojmë një nënrrjet për rrjetin virtual me IP fiktive (për shembull, 10.0.10.0/24) dhe t'i caktojmë një adresë ndërfaqes:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Pastaj ju duhet të shkruani rregullat e Netfilter.
1. Nëse është e nevojshme, lejoni paketat hyrëse në portet e dëgjimit (protokolli i pronarit SoftEther përdor HTTPS dhe portin 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Konfiguro NAT nga nënrrjeti 10.0.10.0/24 në IP të serverit kryesor
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Lejo kalimin e paketave nga nënrrjeti 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Lejo kalimin e paketave për lidhjet e vendosura tashmë
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTNe do t'ua lëmë lexuesve si detyrë shtëpie automatizimin e procesit kur sistemi të riniset duke përdorur skriptet e inicializimit.
Nëse dëshironi t'u jepni IP klientëve automatikisht, do t'ju duhet gjithashtu të instaloni një lloj shërbimi DHCP për urën lokale. Kjo përfundon konfigurimin e serverit dhe ju mund të shkoni te klientët. SoftEther mbështet shumë protokolle, përdorimi i të cilave varet nga aftësitë e pajisjes LAN.
netstat -ap |grep vpnserver
Meqenëse ruteri ynë i testimit funksionon gjithashtu nën Ubuntu, le të instalojmë paketat softther-vpnclient dhe softther-vpncmd nga një depo e jashtme në të për të përdorur protokollin e pronarit. Ju do të duhet të ekzekutoni klientin:
sudo vpnclient startPër të konfiguruar, përdorni mjetin vpncmd, duke zgjedhur localhost si makinën në të cilën vpnclient po funksionon. Të gjitha komandat bëhen në tastierë: do t'ju duhet të krijoni një ndërfaqe virtuale (NicCreate) dhe një llogari (AccountCreate).
Në disa raste, duhet të specifikoni metodën e vërtetimit duke përdorur komandat AccountAnonymousSet, AccountPasswordSet, AccountCertSet dhe AccountSecureCertSet. Meqenëse nuk përdorim DHCP, adresa për përshtatësin virtual vendoset manualisht.
Përveç kësaj, ne duhet të aktivizojmë ip përpara (opsioni net.ipv4.ip_forward=1 në skedarin /etc/sysctl.conf) dhe të konfigurojmë rrugët statike. Nëse është e nevojshme, në VDS me Suricata, mund të konfiguroni përcjelljen e portit për të përdorur shërbimet e instaluara në rrjetin lokal. Mbi këtë, bashkimi i rrjetit mund të konsiderohet i plotë.
Konfigurimi ynë i propozuar do të duket diçka si kjo:
Vendosja e Suricata
В folëm për dy mënyra të funksionimit të IDS: përmes radhës NFQUEUE (modaliteti NFQ) dhe përmes kopjimit zero (modaliteti AF_PACKET). E dyta kërkon dy ndërfaqe, por është më e shpejtë - ne do ta përdorim atë. Parametri vendoset si parazgjedhje në /etc/default/suricata. Ne gjithashtu duhet të modifikojmë seksionin vars në /etc/suricata/suricata.yaml, duke vendosur nënrrjetin virtual atje si shtëpi.
Për të rifilluar IDS, përdorni komandën:
systemctl restart suricataZgjidhja është gati, tani mund t'ju duhet ta provoni për rezistencë ndaj sulmuesve.
Simulimi i sulmeve
Mund të ketë disa skenarë për përdorimin luftarak të një shërbimi të jashtëm IDS:
Mbrojtja kundër sulmeve DDoS (qëllimi kryesor)
Është e vështirë të zbatohet një opsion i tillë brenda rrjetit të korporatës, pasi paketat për analizë duhet të arrijnë në ndërfaqen e sistemit që shikon internetin. Edhe nëse IDS i bllokon ato, trafiku i rremë mund të rrëzojë lidhjen e të dhënave. Për të shmangur këtë, duhet të porosisni një VPS me një lidhje mjaft produktive në internet që mund të kalojë të gjithë trafikun e rrjetit lokal dhe të gjithë trafikun e jashtëm. Shpesh është më e lehtë dhe më e lirë ta bësh këtë sesa të zgjerosh kanalin e zyrës. Si alternativë, vlen të përmenden shërbimet e specializuara për mbrojtjen kundër DDoS. Kostoja e shërbimeve të tyre është e krahasueshme me koston e një serveri virtual dhe nuk kërkon konfigurim që kërkon shumë kohë, por ka edhe disavantazhe - klienti merr vetëm mbrojtje DDoS për paratë e tij, ndërsa IDS-ja e tij mund të konfigurohet si ju si.
Mbrojtje kundër sulmeve të jashtme të llojeve të tjera
Suricata është në gjendje të përballojë përpjekjet për të shfrytëzuar dobësi të ndryshme në shërbimet e rrjetit të korporatave të aksesueshme nga Interneti (server poste, server në internet dhe aplikacione në ueb, etj.). Zakonisht, për këtë, IDS instalohet brenda LAN-it pas pajisjeve kufitare, por nxjerrja e tij jashtë ka të drejtë të ekzistojë.
Mbrojtje nga të brendshmet
Megjithë përpjekjet më të mira të administratorit të sistemit, kompjuterët në rrjetin e korporatës mund të infektohen me malware. Përveç kësaj, ndonjëherë në zonën e zonës shfaqen huliganë, të cilët përpiqen të kryejnë disa operacione të paligjshme. Suricata mund të ndihmojë në bllokimin e përpjekjeve të tilla, megjithëse për të mbrojtur rrjetin e brendshëm është më mirë ta instaloni brenda perimetrit dhe ta përdorni së bashku me një ndërprerës të menaxhuar që mund të pasqyrojë trafikun në një port. Një IDS e jashtme gjithashtu nuk është e padobishme në këtë rast - të paktën do të jetë në gjendje të kapë përpjekjet e malware që jetojnë në LAN për të kontaktuar një server të jashtëm.
Për të filluar, ne do të krijojmë një provë tjetër që sulmon VPS, dhe në ruterin e rrjetit lokal do të ngremë Apache me konfigurimin e paracaktuar, pas së cilës do t'ia përcjellim portin e 80-të nga serveri IDS. Më pas, ne do të simulojmë një sulm DDoS nga një host sulmues. Për ta bërë këtë, shkarkoni nga GitHub, përpiloni dhe ekzekutoni një program të vogël xerxes në nyjen sulmuese (mund t'ju duhet të instaloni paketën gcc):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Rezultati i punës së saj ishte si më poshtë:
Suricata ndërpret keqbërësin dhe faqja Apache hapet si parazgjedhje, pavarësisht sulmit tonë të improvizuar dhe kanalit mjaft të vdekur të rrjetit të "zyrës" (në fakt në shtëpi). Për detyra më serioze, duhet të përdorni . Është projektuar për testimin e depërtimit dhe ju lejon të simuloni një sërë sulmesh. Udhezime Instalimi në faqen e internetit të projektit. Pas instalimit, kërkohet një përditësim:
sudo msfupdatePër testim, ekzekutoni msfconsole.
Fatkeqësisht, versionet e fundit të kornizës nuk kanë aftësinë për të hakuar automatikisht, kështu që shfrytëzimet do të duhet të zgjidhen manualisht dhe të nisen duke përdorur komandën e përdorimit. Së pari, duhet të përcaktoni portat e hapura në makinën e sulmuar, për shembull, duke përdorur nmap (në rastin tonë, ai do të zëvendësohet plotësisht nga netstat në hostin e sulmuar), dhe më pas zgjidhni dhe përdorni ato të përshtatshmet .
Ka mjete të tjera për të testuar qëndrueshmërinë e një IDS ndaj sulmeve, duke përfshirë shërbimet online. Për hir të kuriozitetit, mund të organizoni testimin e stresit duke përdorur versionin e provës . Për të kontrolluar reagimin ndaj veprimeve të ndërhyrësve të brendshëm, ia vlen të instaloni mjete speciale në një nga makinat në rrjetin lokal. Ka shumë opsione dhe herë pas here ato duhet të aplikohen jo vetëm në sitin eksperimental, por edhe në sistemet e punës, vetëm se kjo është një histori krejtësisht e ndryshme.
Burimi: www.habr.com