В kami parantos nutupan kumaha ngajalankeun versi stabil Suricata dina Ubuntu 18.04 LTS. Nyetel hiji IDS dina titik tunggal jeung ngaktipkeun set aturan bébas téh geulis lugas. Dinten ieu kami bakal terang kumaha ngajaga jaringan perusahaan nganggo jinis serangan anu paling umum nganggo Suricata dipasang dina server virtual. Pikeun ngalakukeun ieu, urang peryogi VDS dina Linux sareng dua inti komputasi. Jumlah RAM gumantung kana beban: 2 GB cukup pikeun batur, sarta 4 atawa malah 6 bisa jadi diperlukeun pikeun tugas leuwih serius. sumberdaya sakumaha diperlukeun.
poto: Reuters
Nyambungkeun jaringan
Nyoplokkeun IDS ka mesin virtual di tempat munggaran bisa jadi diperlukeun pikeun tés. Upami anjeun teu acan kantos ngurus solusi sapertos kitu, anjeun henteu kedah rurusuhan mesen hardware fisik sareng ngarobih arsitéktur jaringan. Hadé pisan mun éta ngajalankeun sistem kalawan aman jeung ongkos-éféktif pikeun nangtukeun kabutuhan komputasi Anjeun. Penting pikeun ngarti yén sadaya lalu lintas perusahaan kedah ngalangkungan hiji titik éksternal tunggal: pikeun nyambungkeun jaringan lokal (atanapi sababaraha jaringan) ka VDS sareng IDS Suricata dipasang, anjeun tiasa nganggo - Pangladén VPN cross-platform anu gampang dikonpigurasikeun anu nyayogikeun enkripsi anu kuat. Konéksi Internét kantor tiasa henteu gaduh IP nyata, janten langkung saé nyetél éta dina VPS. Henteu aya bungkusan anu siap-siap dina gudang Ubuntu, anjeun kedah ngaunduh parangkat lunak boh tina , atawa ti gudang éksternal on jasa (upami anjeun percanten ka anjeunna):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateAnjeun tiasa ningali daptar bungkusan anu sayogi kalayan paréntah di handap ieu:
apt-cache search softether
Urang bakal butuh softether-vpnserver (server dina konfigurasi test dijalankeun dina VDS), kitu ogé softether-vpncmd - utiliti garis paréntah pikeun ngonpigurasikeunana.
sudo apt-get install softether-vpnserver softether-vpncmdUtilitas garis paréntah khusus dianggo pikeun ngonpigurasikeun server:
sudo vpncmd
Kami moal ngobrol sacara rinci ngeunaan setting: prosedurna cukup saderhana, éta ogé dijelaskeun dina seueur publikasi sareng henteu langsung aya hubunganana sareng topik tulisan. Pondokna, saatos ngamimitian vpncmd, anjeun kedah milih item 1 pikeun angkat ka konsol manajemén server. Jang ngalampahkeun ieu, anjeun kudu ngasupkeun ngaran localhost terus pencét asupkeun tinimbang ngasupkeun nami hub. Sandi administrator diatur dina konsol jeung paréntah serverpasswordset, hub virtual DEFAULT dihapus (paréntah hubdelete) jeung nu anyar dijieun kalawan ngaran Suricata_VPN, sarta sandi na ogé diatur (hubcreate paréntah). Salajengna, anjeun kedah angkat ka konsol manajemén hub énggal nganggo paréntah hub Suricata_VPN pikeun nyiptakeun grup sareng pangguna nganggo paréntah groupcreate sareng usercreate. Sandi pamaké diatur maké userpasswordset.
SoftEther ngadukung dua modeu transfer lalu lintas: SecureNAT sareng Local Bridge. Anu kahiji nyaéta téknologi proprietary pikeun ngawangun jaringan pribadi virtual sareng NAT sareng DHCP sorangan. SecureNAT henteu ngabutuhkeun TUN / TAP atanapi Netfilter atanapi setélan firewall anu sanés. Routing henteu mangaruhan inti sistem, sarta sakabeh prosés anu virtualized tur dianggo dina sagala VPS / VDS, paduli hypervisor dipaké. Ieu ngakibatkeun ngaronjat beban CPU jeung speed laun dibandingkeun mode Lokal Bridge, nu nyambungkeun hub virtual SoftEther ka adaptor jaringan fisik atawa alat TAP.
Konfigurasi dina hal ieu jadi leuwih pajeulit, saprak routing lumangsung dina tingkat kernel ngagunakeun Netfilter. VDS kami diwangun dina Hyper-V, jadi dina hambalan panungtungan urang nyieun sasak lokal tur ngaktipkeun alat TAP kalawan bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes paréntah. Saatos exiting konsol manajemén hub, urang bakal ningali panganteur jaringan anyar dina sistem nu teu acan ditugaskeun hiji IP:
ifconfig
Salajengna, anjeun kedah ngaktipkeun pakét routing antara interfaces (ip maju), upami teu aktip:
sudo nano /etc/sysctl.confUncomment baris handap:
net.ipv4.ip_forward = 1Simpen parobihan kana file, kaluar éditor sareng nerapkeunana nganggo paréntah di handap ieu:
sudo sysctl -pSalajengna, urang kedah nangtukeun subnet pikeun jaringan virtual sareng IP fiktif (contona, 10.0.10.0/24) sareng napelkeun alamat ka antarmuka:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Teras anjeun kedah nyerat aturan Netfilter.
1. Upami diperlukeun, ngidinan pakét asup dina port déngékeun (Protokol proprietary SoftEther ngagunakeun HTTPS jeung port 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Nyetél NAT tina subnet 10.0.10.0/24 ka IP server utama
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Ngidinan ngalirkeun pakét ti subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Ngidinan ngalirkeun pakét pikeun sambungan geus ngadegkeun
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTKami bakal ngantunkeun otomatisasi prosés nalika sistem dibalikan deui nganggo skrip initialization ka pamiarsa salaku PR.
Upami anjeun hoyong masihan IP ka klien sacara otomatis, anjeun ogé kedah masang sababaraha jinis layanan DHCP pikeun sasak lokal. Ieu ngalengkepan pangaturan server sareng anjeun tiasa angkat ka klien. SoftEther ngadukung seueur protokol, anu dianggo gumantung kana kamampuan alat LAN.
netstat -ap |grep vpnserver
Kusabab router uji kami ogé dijalankeun dina Ubuntu, hayu urang pasang paket softether-vpnclient sareng softether-vpncmd tina gudang éksternal pikeun ngagunakeun protokol proprietary. Anjeun kedah ngajalankeun klien:
sudo vpnclient startPikeun ngonpigurasikeun, nganggo utilitas vpncmd, milih localhost salaku mesin dimana vpnclient dijalankeun. Sadaya paréntah dilakukeun dina konsol: anjeun kedah nyiptakeun antarmuka virtual (NicCreate) sareng akun (AccountCreate).
Dina sababaraha kasus, anjeun kedah netepkeun metodeu auténtikasi nganggo paréntah AccountAnonymousSet, AccountPasswordSet, AccountCertSet, sareng AccountSecureCertSet. Kusabab urang henteu nganggo DHCP, alamat adaptor virtual diatur sacara manual.
Sajaba ti éta, urang kudu ngaktipkeun ip maju (net.ipv4.ip_forward=1 parameter dina file /etc/sysctl.conf) jeung ngonpigurasikeun ruteu statik. Upami diperlukeun, dina VDS kalawan Suricata, anjeun tiasa ngonpigurasikeun port diteruskeun pikeun ngagunakeun jasa dipasang dina jaringan lokal. Dina ieu, jaringan merging bisa dianggap lengkep.
Konfigurasi anu diusulkeun kami bakal katingali sapertos kieu:
Nyetél Suricata
В urang ngobrol ngeunaan dua modus operasi IDS: ngaliwatan antrian NFQUEUE (mode NFQ) sarta ngaliwatan salinan enol (mode AF_PACKET). Nu kadua merlukeun dua interfaces, tapi leuwih gancang - urang bakal make eta. Parameter diatur sacara standar dina /etc/default/suricata. Urang ogé kudu ngédit bagian vars di /etc/suricata/suricata.yaml, netepkeun subnet virtual aya salaku home.
Pikeun ngabalikan deui IDS, paké paréntah:
systemctl restart suricataSolusina parantos siap, ayeuna anjeun kedah nguji éta pikeun tahan kana tindakan jahat.
Simulating serangan
Aya sababaraha skénario pikeun panggunaan tempur tina jasa IDS éksternal:
Perlindungan ngalawan serangan DDoS (tujuan utama)
Hésé pikeun nerapkeun pilihan sapertos di jero jaringan perusahaan, sabab pakét pikeun analisa kedah dugi ka antarmuka sistem anu katingali dina Internét. Malah lamun IDS meungpeuk aranjeunna, lalulintas spurious bisa mawa handap link data. Pikeun ngahindarkeun ieu, anjeun kedah mesen VPS kalayan sambungan Internét anu cukup produktif anu tiasa ngalangkungan sadaya lalu lintas jaringan lokal sareng sadaya lalu lintas éksternal. Seringna langkung gampang sareng langkung mirah pikeun ngalakukeun ieu tibatan ngalegaan saluran kantor. Alternatipna, kedah disebatkeun jasa khusus pikeun panyalindungan ngalawan DDoS. Biaya jasa maranéhanana nyaéta comparable kana biaya hiji server virtual, sarta eta teu merlukeun konfigurasi consuming waktu, tapi aya ogé kalemahan - klien nu narima ukur panyalindungan DDoS duit na, bari IDS sorangan bisa ngonpigurasi sakumaha anjeun. siga.
Perlindungan ngalawan serangan luar tina tipe séjén
Suricata tiasa ngatasi usaha pikeun ngamangpaatkeun rupa-rupa kerentanan dina jasa jaringan perusahaan anu tiasa diaksés tina Internét (server mail, server wéb sareng aplikasi wéb, jsb.). Biasana, pikeun ieu, IDS dipasang di jero LAN saatos alat wates, tapi nyandak éta di luar ngagaduhan hak pikeun aya.
Perlindungan tina insiders
Sanaos usaha panghadéna tina administrator sistem, komputer dina jaringan perusahaan tiasa katépaan ku malware. Sajaba ti éta, hooligans kadang muncul di wewengkon lokal, anu nyoba ngalakukeun sababaraha operasi ilegal. Suricata tiasa ngabantosan usaha sapertos kitu, sanaos ngajaga jaringan internal langkung saé dipasang di jero perimeter sareng dianggo saluyu sareng switch anu diurus anu tiasa ngeunteung lalu lintas kana hiji palabuhan. Hiji IDS éksternal oge teu aya gunana dina hal ieu - sahenteuna bakal bisa nyekel usaha ku malware hirup dina LAN pikeun kontak hiji server éksternal.
Pikeun dimimitian ku, urang bakal nyieun test séjén narajang VPS, sarta dina router jaringan lokal urang bakal ngangkat Apache kalawan konfigurasi standar, lajeng urang bakal neraskeun port 80th ka dinya ti server IDS. Salajengna, urang bakal simulate serangan DDoS ti host narajang. Jang ngalampahkeun ieu, unduh tina GitHub, kompilasi sareng jalankeun program xerxes leutik dina titik anu nyerang (anjeun kedah pasang pakét gcc):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Hasil karyana nyaéta kieu:
Suricata motong kaluar penjahat, sarta kaca Apache muka sacara standar, sanajan serangan dadakan urang jeung saluran rada maot tina jaringan "kantor" (sabenerna imah). Pikeun tugas anu langkung serius, anjeun kedah nganggo . Hal ieu dirarancang pikeun nguji penetrasi sareng ngamungkinkeun anjeun pikeun simulasi rupa-rupa serangan. parentah instalasi dina ramatloka proyék. Saatos instalasi, apdet diperyogikeun:
sudo msfupdatePikeun nguji, ngajalankeun msfconsole.
Hanjakal, versi panganyarna tina kerangka kurang kamampuhan pikeun otomatis rengat, jadi exploits kudu diurutkeun sacara manual tur ngajalankeun ngagunakeun paréntah pamakéan. Pikeun mimitian, éta patut nangtukeun palabuhan anu dibuka dina mesin anu diserang, contona, nganggo nmap (dina kasus urang, éta bakal diganti ku netstat dina host anu diserang), teras pilih sareng nganggo anu luyu. .
Aya cara séjén pikeun nguji daya tahan hiji IDS ngalawan serangan, kaasup jasa online. Demi panasaran, anjeun tiasa ngatur tés setrés nganggo versi percobaan . Pikeun mariksa réaksi kana tindakan intruders internal, éta patut masang parabot husus dina salah sahiji mesin dina jaringan lokal. Aya seueur pilihan sareng ti waktos ka waktos aranjeunna kedah diterapkeun henteu ngan ukur kana situs ékspérimén, tapi ogé pikeun sistem kerja, ngan ieu mangrupikeun carita anu béda-béda.
sumber: www.habr.com