РNe shpjeguam se si të ekzekutohet versioni stabil i Suricata në Ubuntu 18.04 LTS. Konfigurimi i një IDS në një nyje të vetme dhe aktivizimi i rregullave falas është mjaft i thjeshtë. Sot, do të shohim se si të mbrojmë një rrjet të korporatës nga llojet më të zakonshme të sulmeve duke përdorur Suricata të instaluar në një server virtual. Për këtë, do të na duhet një VDS në Linux me dy bërthama llogaritëse. Sasia e RAM-it varet nga ngarkesa e punës: 2 GB mund të jenë të mjaftueshme për disa, ndërsa detyrat më të vështira mund të kërkojnë 4 ose edhe 6. Avantazhi i një makine virtuale është aftësia për të eksperimentuar: mund të filloni me një konfigurim minimal dhe të rrisni burimet sipas nevojës.
Foto: Reuters
Lidhja e rrjeteve
Zhvendosja e IDS nĂ« njĂ« makinĂ« virtuale mund tĂ« jetĂ« kryesisht e nevojshme pĂ«r testim. NĂ«se nuk jeni marrĂ« kurrĂ« me zgjidhje tĂ« tilla, nuk duhet tĂ« nxitoni tĂ« porosisni pajisje fizike dhe tĂ« ndryshoni arkitekturĂ«n e rrjetit. ĂshtĂ« mĂ« mirĂ« tĂ« testoni sistemin nĂ« mĂ«nyrĂ« tĂ« sigurt dhe pa kosto shtesĂ« pĂ«r tĂ« pĂ«rcaktuar nevojat tuaja pĂ«r burimet kompjuterike. ĂshtĂ« e rĂ«ndĂ«sishme tĂ« kuptohet se i gjithĂ« trafiku i korporatĂ«s do tĂ« duhet tĂ« kalojĂ« pĂ«rmes njĂ« nyje tĂ« vetme tĂ« jashtme: pĂ«r tĂ« lidhur njĂ« rrjet lokal (ose disa rrjete) me njĂ« VDS me IDS Suricata tĂ« instaluar, mund tĂ« pĂ«rdorni â njĂ« server VPN ndĂ«rplatformĂ«sh i lehtĂ« pĂ«r tâu konfiguruar qĂ« ofron enkriptim tĂ« sigurt. Lidhja juaj e internetit nĂ« zyrĂ« mund tĂ« mos ketĂ« njĂ« adresĂ« IP tĂ« vĂ«rtetĂ«, kĂ«shtu qĂ« Ă«shtĂ« mĂ« mirĂ« ta konfiguroni nĂ« njĂ« VPS. NĂ« depo Ubuntu Nuk ka paketa tĂ« gatshme, softueri do tĂ« duhet tĂ« shkarkohet ose nga , ose nga njĂ« depo e jashtme nĂ« shĂ«rbim (nĂ«se i besoni atij):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateJu mund të shikoni listën e paketave të disponueshme me komandën e mëposhtme:
apt-cache search softether 
Do të na duhet softther-vpnserver (serveri në konfigurimin e provës po funksionon në VDS), si dhe softther-vpncmd - shërbimet e linjës së komandës për konfigurimin e tij.
sudo apt-get install softether-vpnserver softether-vpncmdPër të konfiguruar serverin, përdorni një mjet të veçantë të linjës së komandës:
sudo vpncmd 
Ne nuk do të flasim në detaje për konfigurimin: procedura është mjaft e thjeshtë, përshkruhet mirë në botime të shumta dhe nuk lidhet drejtpërdrejt me temën e artikullit. Me pak fjalë, pas fillimit të vpncmd, duhet të zgjidhni artikullin 1 për të shkuar në tastierën e menaxhimit të serverit. Për ta bërë këtë, duhet të futni emrin localhost dhe shtypni enter në vend që të futni emrin e shpërndarësit. Në tastierë, vendosni fjalëkalimin e administratorit me komandën serverpasswordset, fshini qendrën virtuale DEFAULT (komandën hubdelete) dhe krijoni një të ri me emrin Suricata_VPN, si dhe vendosni fjalëkalimin e tij (komandë hubcreate). Tjetra, duhet të shkoni te tastiera e menaxhimit të shpërndarësit të ri duke përdorur komandën hub Suricata_VPN për të krijuar një grup dhe përdorues duke përdorur komandat groupcreate dhe usercreate. Fjalëkalimi i përdoruesit vendoset duke përdorur grupin e fjalëkalimeve të përdoruesit.
SoftEther mbështet dy mënyra të transferimit të trafikut: SecureNAT dhe Local Bridge. E para është një teknologji e pronarit për ndërtimin e një rrjeti privat virtual me NAT dhe DHCP-në e tij. SecureNAT nuk kërkon TUN/TAP ose Netfilter ose cilësime të tjera të murit të zjarrit. Rutimi nuk ndikon në thelbin e sistemit, dhe të gjitha proceset janë të virtualizuara dhe funksionojnë në çdo VPS / VDS, pavarësisht nga hipervizori i përdorur. Kjo rezulton në rritje të ngarkesës së CPU-së dhe shpejtësi më të ngadaltë në krahasim me modalitetin Local Bridge, i cili lidh qendrën virtuale SoftEther me një përshtatës rrjeti fizik ose pajisje TAP.
Konfigurimi në këtë rast bëhet më i ndërlikuar, pasi rutimi ndodh në nivelin e kernelit duke përdorur Netfilter. VDS-të tona janë ndërtuar në Hyper-V, kështu që në hapin e fundit ne krijojmë një urë lokale dhe aktivizojmë pajisjen TAP me komandën bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. Pas daljes nga tastiera e menaxhimit të shpërndarësve, do të shohim një ndërfaqe të re rrjeti në sistem që nuk i është caktuar ende një IP:
ifconfig 
Më pas, do të duhet të aktivizoni kursimin e paketave ndërmjet ndërfaqeve (ip përpara), nëse është joaktive:
sudo nano /etc/sysctl.confZhkomentoni rreshtin e mëposhtëm:
net.ipv4.ip_forward = 1Ruani ndryshimet në skedar, dilni nga redaktori dhe zbatoni ato me komandën e mëposhtme:
sudo sysctl -pMë pas, duhet të përcaktojmë një nënrrjet për rrjetin virtual me IP fiktive (për shembull, 10.0.10.0/24) dhe t'i caktojmë një adresë ndërfaqes:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Pastaj ju duhet të shkruani rregullat e Netfilter.
1. Nëse është e nevojshme, lejoni paketat hyrëse në portet e dëgjimit (protokolli i pronarit SoftEther përdor HTTPS dhe portin 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Konfiguro NAT nga nënrrjeti 10.0.10.0/24 në IP të serverit kryesor
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Lejo kalimin e paketave nga nënrrjeti 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Lejo kalimin e paketave për lidhjet e vendosura tashmë
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTNe do t'ua lëmë lexuesve si detyrë shtëpie automatizimin e procesit kur sistemi të riniset duke përdorur skriptet e inicializimit.
Nëse dëshironi t'u jepni IP klientëve automatikisht, do t'ju duhet gjithashtu të instaloni një lloj shërbimi DHCP për urën lokale. Kjo përfundon konfigurimin e serverit dhe ju mund të shkoni te klientët. SoftEther mbështet shumë protokolle, përdorimi i të cilave varet nga aftësitë e pajisjes LAN.
netstat -ap |grep vpnserver 
Meqenëse ruteri ynë i testimit funksionon edhe nën Ubuntu, instaloni paketat softether-vpnclient dhe softether-vpncmd nga një depo e jashtme për të përdorur protokollin pronësor. Do t'ju duhet të ekzekutoni klientin:
sudo vpnclient startPër të konfiguruar, përdorni mjetin vpncmd, duke zgjedhur localhost si makinën në të cilën vpnclient po funksionon. Të gjitha komandat bëhen në tastierë: do t'ju duhet të krijoni një ndërfaqe virtuale (NicCreate) dhe një llogari (AccountCreate).
Në disa raste, duhet të specifikoni metodën e vërtetimit duke përdorur komandat AccountAnonymousSet, AccountPasswordSet, AccountCertSet dhe AccountSecureCertSet. Meqenëse nuk përdorim DHCP, adresa për përshtatësin virtual vendoset manualisht.
Përveç kësaj, ne duhet të aktivizojmë ip përpara (opsioni net.ipv4.ip_forward=1 në skedarin /etc/sysctl.conf) dhe të konfigurojmë rrugët statike. Nëse është e nevojshme, në VDS me Suricata, mund të konfiguroni përcjelljen e portit për të përdorur shërbimet e instaluara në rrjetin lokal. Mbi këtë, bashkimi i rrjetit mund të konsiderohet i plotë.
Konfigurimi ynë i propozuar do të duket diçka si kjo:
Vendosja e Suricata
Рfolëm për dy mënyra të funksionimit të IDS: përmes radhës NFQUEUE (modaliteti NFQ) dhe përmes kopjimit zero (modaliteti AF_PACKET). E dyta kërkon dy ndërfaqe, por është më e shpejtë - ne do ta përdorim atë. Parametri vendoset si parazgjedhje në /etc/default/suricata. Ne gjithashtu duhet të modifikojmë seksionin vars në /etc/suricata/suricata.yaml, duke vendosur nënrrjetin virtual atje si shtëpi.
Për të rifilluar IDS, përdorni komandën:
systemctl restart suricataZgjidhja është gati, tani mund t'ju duhet ta provoni për rezistencë ndaj sulmuesve.
Simulimi i sulmeve
Mund të ketë disa skenarë për përdorimin luftarak të një shërbimi të jashtëm IDS:
Mbrojtja kundër sulmeve DDoS (qëllimi kryesor)
ĂshtĂ« e vĂ«shtirĂ« tĂ« zbatohet njĂ« opsion i tillĂ« brenda rrjetit tĂ« korporatĂ«s, pasi paketat pĂ«r analizĂ« duhet tĂ« arrijnĂ« nĂ« ndĂ«rfaqen e sistemit qĂ« shikon internetin. Edhe nĂ«se IDS i bllokon ato, trafiku i rremĂ« mund tĂ« rrĂ«zojĂ« lidhjen e tĂ« dhĂ«nave. PĂ«r tĂ« shmangur kĂ«tĂ«, duhet tĂ« porosisni njĂ« VPS me njĂ« lidhje mjaft produktive nĂ« internet qĂ« mund tĂ« kalojĂ« tĂ« gjithĂ« trafikun e rrjetit lokal dhe tĂ« gjithĂ« trafikun e jashtĂ«m. Shpesh Ă«shtĂ« mĂ« e lehtĂ« dhe mĂ« e lirĂ« ta bĂ«sh kĂ«tĂ« sesa tĂ« zgjerosh kanalin e zyrĂ«s. Si alternativĂ«, vlen tĂ« pĂ«rmenden shĂ«rbimet e specializuara pĂ«r mbrojtjen kundĂ«r DDoS. Kostoja e shĂ«rbimeve tĂ« tyre Ă«shtĂ« e krahasueshme me koston e njĂ« serveri virtual dhe nuk kĂ«rkon konfigurim qĂ« kĂ«rkon shumĂ« kohĂ«, por ka edhe disavantazhe - klienti merr vetĂ«m mbrojtje DDoS pĂ«r paratĂ« e tij, ndĂ«rsa IDS-ja e tij mund tĂ« konfigurohet si ju si.
Mbrojtje kundër sulmeve të jashtme të llojeve të tjera
Suricata është në gjendje të përballojë përpjekjet për të shfrytëzuar dobësi të ndryshme në shërbimet e rrjetit të korporatave të aksesueshme nga Interneti (server poste, server në internet dhe aplikacione në ueb, etj.). Zakonisht, për këtë, IDS instalohet brenda LAN-it pas pajisjeve kufitare, por nxjerrja e tij jashtë ka të drejtë të ekzistojë.
Mbrojtje nga të brendshmet
Megjithë përpjekjet më të mira të administratorit të sistemit, kompjuterët në rrjetin e korporatës mund të infektohen me malware. Përveç kësaj, ndonjëherë në zonën e zonës shfaqen huliganë, të cilët përpiqen të kryejnë disa operacione të paligjshme. Suricata mund të ndihmojë në bllokimin e përpjekjeve të tilla, megjithëse për të mbrojtur rrjetin e brendshëm është më mirë ta instaloni brenda perimetrit dhe ta përdorni së bashku me një ndërprerës të menaxhuar që mund të pasqyrojë trafikun në një port. Një IDS e jashtme gjithashtu nuk është e padobishme në këtë rast - të paktën do të jetë në gjendje të kapë përpjekjet e malware që jetojnë në LAN për të kontaktuar një server të jashtëm.
Për të filluar, ne do të krijojmë një provë tjetër që sulmon VPS, dhe në ruterin e rrjetit lokal do të ngremë Apache me konfigurimin e paracaktuar, pas së cilës do t'ia përcjellim portin e 80-të nga serveri IDS. Më pas, ne do të simulojmë një sulm DDoS nga një host sulmues. Për ta bërë këtë, shkarkoni nga GitHub, përpiloni dhe ekzekutoni një program të vogël xerxes në nyjen sulmuese (mund t'ju duhet të instaloni paketën gcc):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Rezultati i punës së saj ishte si më poshtë:
Suricata ndĂ«rpret keqbĂ«rĂ«sin dhe faqja Apache hapet si parazgjedhje, pavarĂ«sisht sulmit tonĂ« tĂ« improvizuar dhe kanalit mjaft tĂ« vdekur tĂ« rrjetit tĂ« "zyrĂ«s" (nĂ« fakt nĂ« shtĂ«pi). PĂ«r detyra mĂ« serioze, duhet tĂ« pĂ«rdorni . ĂshtĂ« projektuar pĂ«r testimin e depĂ«rtimit dhe ju lejon tĂ« simuloni njĂ« sĂ«rĂ« sulmesh. Udhezime Instalimi nĂ« faqen e internetit tĂ« projektit. Pas instalimit, kĂ«rkohet njĂ« pĂ«rditĂ«sim:
sudo msfupdatePĂ«r testim, ekzekutoni msfconsole.
Fatkeqësisht, versionet e fundit të kornizës nuk kanë aftësinë për të hakuar automatikisht, kështu që shfrytëzimet do të duhet të zgjidhen manualisht dhe të nisen duke përdorur komandën e përdorimit. Së pari, duhet të përcaktoni portat e hapura në makinën e sulmuar, për shembull, duke përdorur nmap (në rastin tonë, ai do të zëvendësohet plotësisht nga netstat në hostin e sulmuar), dhe më pas zgjidhni dhe përdorni ato të përshtatshmet .
Ka mjete të tjera për të testuar qëndrueshmërinë e një IDS ndaj sulmeve, duke përfshirë shërbimet online. Për hir të kuriozitetit, mund të organizoni testimin e stresit duke përdorur versionin e provës . Për të kontrolluar reagimin ndaj veprimeve të ndërhyrësve të brendshëm, ia vlen të instaloni mjete speciale në një nga makinat në rrjetin lokal. Ka shumë opsione dhe herë pas here ato duhet të aplikohen jo vetëm në sitin eksperimental, por edhe në sistemet e punës, vetëm se kjo është një histori krejtësisht e ndryshme.
Burimi: www.habr.com
