В покрили смо како покренути стабилну верзију Сурицате на Убунту 18.04 ЛТС. Постављање ИДС-а на једном чвору и омогућавање бесплатних скупова правила је прилично једноставно. Данас ћемо схватити како да заштитимо корпоративну мрежу користећи најчешће типове напада користећи Сурицата инсталирану на виртуелном серверу. Да бисмо то урадили, потребан нам је ВДС на Линук-у са два рачунарска језгра. Количина РАМ-а зависи од оптерећења: некоме је довољно 2 ГБ, а за озбиљније задатке може бити потребно 4 или чак 6. Предност виртуелне машине је могућност експериментисања: можете почети са минималном конфигурацијом и повећати средства по потреби.
фото: Реутерс
Повезивање мрежа
Уклањање ИДС-а на виртуелну машину на првом месту може бити потребно за тестове. Ако се никада нисте бавили оваквим решењима, не треба журити да наручите физички хардвер и промените архитектуру мреже. Најбоље је да систем покренете безбедно и исплативо да бисте утврдили ваше потребе за рачунаром. Важно је схватити да ће сав корпоративни саобраћај морати да се прође кроз један екстерни чвор: да бисте повезали локалну мрежу (или неколико мрежа) на ВДС са инсталираним ИДС Сурицата, можете користити - ВПН сервер на више платформи који се лако конфигурише и који пружа снажну енкрипцију. Канцеларијска Интернет веза можда нема прави ИП, па је боље да је поставите на ВПС. У Убунту спремишту нема готових пакета, мораћете да преузмете софтвер или са , или из екстерног спремишта на сервису (ако му верујете):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateЛисту доступних пакета можете погледати следећом командом:
apt-cache search softether
Биће нам потребан софтетхер-впнсервер (сервер у тест конфигурацији ради на ВДС-у), као и софтетхер-впнцмд - услужни програми командне линије за његово конфигурисање.
sudo apt-get install softether-vpnserver softether-vpncmdЗа конфигурисање сервера користи се посебан услужни програм командне линије:
sudo vpncmd
Нећемо детаљно говорити о поставци: поступак је прилично једноставан, добро је описан у бројним публикацијама и не односи се директно на тему чланка. Укратко, након покретања впнцмд-а, потребно је да изаберете ставку 1 да бисте отишли на конзолу за управљање сервером. Да бисте то урадили, потребно је да унесете назив лоцалхост и притиснете ентер уместо да унесете име чворишта. Администраторска лозинка се поставља у конзоли командом серверпассвордсет, брише се ДЕФАУЛТ виртуелно чвориште (команда хубделете) и креира се ново са именом Сурицата_ВПН, а такође се поставља и његова лозинка (команда хубцреате). Затим морате да одете на управљачку конзолу новог чворишта користећи команду хуб Сурицата_ВПН да бисте креирали групу и корисника помоћу команди гроупцреате и усерцреате. Корисничка лозинка се поставља помоћу усерпассвордсет-а.
СофтЕтхер подржава два режима преноса саобраћаја: СецуреНАТ и Локални мост. Прва је власничка технологија за изградњу виртуелне приватне мреже са сопственим НАТ и ДХЦП. СецуреНАТ не захтева ТУН/ТАП или Нетфилтер или друга подешавања заштитног зида. Рутирање не утиче на језгро система, а сви процеси су виртуелизовани и раде на било ком ВПС/ВДС-у, без обзира на хипервизор који се користи. Ово доводи до повећаног оптерећења процесора и спорије брзине у поређењу са режимом локалног моста, који повезује СофтЕтхер виртуелно чвориште са физичким мрежним адаптером или ТАП уређајем.
Конфигурација у овом случају постаје компликованија, пошто се рутирање дешава на нивоу кернела помоћу Нетфилтера. Наш ВДС је изграђен на Хипер-В, тако да у последњем кораку креирамо локални мост и активирамо ТАП уређај командом бридгецреате Сурицате_ВПН -девице:сурицате_впн -тап:иес. Након што изађете из конзоле за управљање чвориштем, видећемо нови мрежни интерфејс у систему којем још није додељен ИП:
ifconfig
Затим ћете морати да омогућите рутирање пакета између интерфејса (ип унапред), ако је неактивно:
sudo nano /etc/sysctl.confДекоментирајте следећи ред:
net.ipv4.ip_forward = 1Сачувајте промене у датотеци, изађите из едитора и примените их следећом командом:
sudo sysctl -pЗатим морамо да дефинишемо подмрежу за виртуелну мрежу са фиктивним ИП адресама (на пример, 10.0.10.0/24) и доделимо адресу интерфејсу:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Затим морате написати Нетфилтер правила.
1. Ако је потребно, дозволите долазне пакете на портовима за слушање (СофтЕтхер власнички протокол користи ХТТПС и порт 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Подесите НАТ са подмреже 10.0.10.0/24 на ИП адресу главног сервера
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Дозволите преношење пакета из подмреже 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Дозволите преношење пакета за већ успостављене везе
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTАутоматизацију процеса када се систем поново покрене помоћу скрипти за иницијализацију препустићемо читаоцима као домаћи задатак.
Ако желите да аутоматски дате ИП клијентима, такође ћете морати да инсталирате неку врсту ДХЦП услуге за локални мост. Овим се завршава подешавање сервера и можете ићи на клијенте. СофтЕтхер подржава многе протоколе, чија употреба зависи од могућности ЛАН опреме.
netstat -ap |grep vpnserver
Пошто наш тест рутер такође ради под Убунту-ом, хајде да инсталирамо пакете софтетхер-впнцлиент и софтетхер-впнцмд из спољног спремишта на њега да користимо власнички протокол. Мораћете да покренете клијента:
sudo vpnclient startДа бисте конфигурисали, користите услужни програм впнцмд, бирајући лоцалхост као машину на којој се впнцлиент покреће. Све команде се праве у конзоли: мораћете да креирате виртуелни интерфејс (НицЦреате) и налог (АццоунтЦреате).
У неким случајевима морате навести метод аутентикације помоћу команди АццоунтАнонимоусСет, АццоунтПассвордСет, АццоунтЦертСет и АццоунтСецуреЦертСет. Пошто не користимо ДХЦП, адреса за виртуелни адаптер се поставља ручно.
Поред тога, морамо да омогућимо ип унапред (параметар нет.ипв4.ип_форвард=1 у датотеци /етц/сисцтл.цонф) и да конфигуришемо статичке руте. Ако је потребно, на ВДС-у са Сурицата-ом, можете да конфигуришете прослеђивање портова за коришћење услуга инсталираних на локалној мрежи. На овоме се умрежавање може сматрати завршеним.
Наша предложена конфигурација ће изгледати отприлике овако:
Постављање Сурицата
В говорили смо о два начина рада ИДС-а: кроз НФКУЕУЕ ред (НФК режим) и кроз нулту копију (режим АФ_ПАЦКЕТ). Други захтева два интерфејса, али је бржи - ми ћемо га користити. Параметар је подразумевано подешен у /етц/дефаулт/сурицата. Такође морамо да уредимо одељак варс у /етц/сурицата/сурицата.иамл, постављајући виртуелну подмрежу тамо као дом.
Да бисте поново покренули ИДС, користите наредбу:
systemctl restart suricataРешење је спремно, сада ћете можда морати да га тестирате на отпорност на злонамерне радње.
Симулација напада
Може постојати неколико сценарија за борбену употребу екстерне ИДС услуге:
Заштита од ДДоС напада (примарна сврха)
Такву опцију је тешко имплементирати унутар корпоративне мреже, пошто пакети за анализу морају доћи до системског интерфејса који гледа на Интернет. Чак и ако их ИДС блокира, лажни саобраћај може срушити везу за пренос података. Да бисте то избегли, потребно је да наручите ВПС са довољно продуктивном Интернет везом која може да прође сав саобраћај на локалној мрежи и сав спољни саобраћај. Често је лакше и јефтиније то учинити него проширити канцеларијски канал. Као алтернативу, вреди поменути специјализоване сервисе за заштиту од ДДоС-а. Цена њихових услуга је упоредива са ценом виртуелног сервера и не захтева дуготрајну конфигурацију, али постоје и недостаци - клијент за свој новац добија само ДДоС заштиту, док се његов ИДС може конфигурисати како ви као.
Заштита од спољних напада других врста
Сурицата је у стању да се носи са покушајима експлоатације различитих рањивости у корпоративним мрежним сервисима доступним са Интернета (сервер поште, веб сервер и веб апликације, итд.). Обично се за ово ИДС инсталира унутар ЛАН-а после граничних уређаја, али изношење ван има право да постоји.
Заштита од инсајдера
Упркос свим напорима администратора система, рачунари на корпоративној мрежи могу бити заражени малвером. Осим тога, понекад се на локалном подручју појављују и хулигани, који покушавају да изврше неке недозвољене радње. Сурицата може помоћи у блокирању таквих покушаја, иако је за заштиту интерне мреже боље да је инсталирате унутар периметра и користите у тандему са управљаним прекидачем који може пресликати саобраћај на један порт. Екстерни ИДС такође није бескористан у овом случају – барем ће моћи да ухвати покушаје злонамерног софтвера који живи на ЛАН-у да контактира спољни сервер.
За почетак ћемо направити још један тест који напада ВПС, а на локалном мрежном рутеру ћемо подићи Апацхе са подразумеваном конфигурацијом, након чега ћемо му проследити 80. порт са ИДС сервера. Затим ћемо симулирати ДДоС напад од нападачког домаћина. Да бисте то урадили, преузмите са ГитХуб-а, компајлирајте и покрените мали керкес програм на нападачком чвору (можда ћете морати да инсталирате гцц пакет):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Резултат њеног рада је био следећи:
Сурицата одсече негативца, а страница Апацхе се подразумевано отвара, упркос нашем импровизованом нападу и прилично мртвом каналу „канцеларијске“ (заправо кућне) мреже. За озбиљније задатке, требало би да користите . Дизајниран је за тестирање пенетрације и омогућава вам да симулирате разне нападе. Упутства за инсталацију на сајту пројекта. Након инсталације, потребно је ажурирање:
sudo msfupdateЗа тестирање, покрените мсфцонсоле.
Нажалост, најновијим верзијама оквира недостаје могућност аутоматског разбијања, тако да ће експлоатације морати да се сортирају ручно и покрену помоћу команде усе. За почетак, вреди одредити отворене портове на нападнутом рачунару, на пример, користећи нмап (у нашем случају ће га у потпуности заменити нетстат на нападнутом хосту), а затим изабрати и користити одговарајући .
Постоје и други начини за тестирање отпорности ИДС-а на нападе, укључујући онлајн услуге. Ради радозналости, можете организовати тестирање на стрес користећи пробну верзију . Да бисте проверили реакцију на радње унутрашњих уљеза, вреди инсталирати посебне алате на једној од машина у локалној мрежи. Постоји много опција и с времена на време их треба применити не само на експериментално место, већ и на радне системе, само што је ово сасвим друга прича.
Извор: ввв.хабр.цом