Π tumeshughulikia jinsi ya kuendesha toleo thabiti la Suricata kwenye Ubuntu 18.04 LTS. Kuweka kitambulisho kwenye nodi moja na kuwezesha seti za sheria zisizolipishwa ni rahisi sana. Leo tutajua jinsi ya kulinda mtandao wa ushirika kwa kutumia aina za kawaida za mashambulizi kwa kutumia Suricata iliyosanikishwa kwenye seva ya kawaida. Ili kufanya hivyo, tunahitaji VDS kwenye Linux na cores mbili za kompyuta. Kiasi cha RAM inategemea mzigo: 2 GB ni ya kutosha kwa mtu, na 4 au hata 6 inaweza kuhitajika kwa kazi kubwa zaidi. Faida ya mashine ya kawaida ni uwezo wa majaribio: unaweza kuanza na usanidi mdogo na kuongeza. rasilimali kama inahitajika.
picha: Reuters
Kuunganisha mitandao
Kuondoa IDS kwenye mashine pepe kunaweza kuhitajika kwa ajili ya majaribio. Ikiwa haujawahi kushughulika na ufumbuzi huo, hupaswi kukimbilia kuagiza vifaa vya kimwili na kubadilisha usanifu wa mtandao. Ni vyema kuendesha mfumo kwa usalama na kwa gharama nafuu ili kubaini mahitaji yako ya kukokotoa. Ni muhimu kuelewa kwamba trafiki yote ya ushirika itabidi kupitishwa kupitia node moja ya nje: kuunganisha mtandao wa ndani (au mitandao kadhaa) kwa VDS na IDS Suricata imewekwa, unaweza kutumia. - Seva ya VPN iliyo rahisi kusanidi, ya jukwaa-mbali ambayo hutoa usimbaji fiche dhabiti. Muunganisho wa Mtandao wa ofisi hauwezi kuwa na IP halisi, kwa hivyo ni bora kuiweka kwenye VPS. Hakuna vifurushi vilivyotengenezwa tayari kwenye hazina ya Ubuntu, itabidi upakue programu kutoka , au kutoka kwa hazina ya nje kwenye huduma (ikiwa unamwamini):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateUnaweza kutazama orodha ya vifurushi vinavyopatikana kwa amri ifuatayo:
apt-cache search softether
Tutahitaji softether-vpnserver (seva katika usanidi wa jaribio inafanya kazi kwenye VDS), na vile vile laini-vpncmd - huduma za mstari wa amri kwa kuisanidi.
sudo apt-get install softether-vpnserver softether-vpncmdHuduma maalum ya mstari wa amri hutumiwa kusanidi seva:
sudo vpncmd
Hatutazungumza kwa undani juu ya mpangilio: utaratibu ni rahisi sana, umeelezewa vizuri katika machapisho mengi na hauhusiani moja kwa moja na mada ya kifungu hicho. Kwa kifupi, baada ya kuanza vpncmd, unahitaji kuchagua kipengee 1 kwenda kwenye console ya usimamizi wa seva. Ili kufanya hivyo, unahitaji kuingiza jina la mwenyeji na ubonyeze ingiza badala ya kuingiza jina la kitovu. Nenosiri la msimamizi limewekwa kwenye console na amri ya sevapasswordset, kitovu cha DEFAULT cha virtual kinafutwa (amri ya hubdelete) na mpya imeundwa kwa jina la Suricata_VPN, na nenosiri lake pia limewekwa (amri ya hubcreate). Ifuatayo, unahitaji kwenda kwenye koni ya usimamizi ya kitovu kipya kwa kutumia kitovu Suricata_VPN amri ili kuunda kikundi na mtumiaji kwa kutumia amri za kikundi na kuunda mtumiaji. Nenosiri la mtumiaji limewekwa kwa kutumia userpasswordset.
SoftEther inasaidia njia mbili za uhamishaji wa trafiki: SecureNAT na Daraja la Karibu. Ya kwanza ni teknolojia ya umiliki ya kujenga mtandao wa kibinafsi wa kibinafsi na NAT na DHCP yake. SecureNAT haihitaji TUN/TAP au Netfilter au mipangilio mingine ya ngome. Njia haiathiri msingi wa mfumo, na michakato yote ni virtualized na kazi kwenye VPS / VDS yoyote, bila kujali hypervisor kutumika. Hii husababisha kuongezeka kwa upakiaji wa CPU na kasi ndogo ikilinganishwa na hali ya Daraja la Ndani, ambayo huunganisha kitovu pepe cha SoftEther kwenye adapta ya mtandao halisi au kifaa cha TAP.
Usanidi katika kesi hii inakuwa ngumu zaidi, kwani uelekezaji hufanyika kwenye kiwango cha kernel kwa kutumia Netfilter. VDS yetu imejengwa kwenye Hyper-V, kwa hivyo katika hatua ya mwisho tunaunda daraja la ndani na kuamsha kifaa cha TAP kwa bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes amri. Baada ya kuondoka kwa kiweko cha usimamizi wa kitovu, tutaona kiolesura kipya cha mtandao kwenye mfumo ambao bado haujapewa IP:
ifconfig
Ifuatayo, itabidi uwashe uelekezaji wa pakiti kati ya miingiliano (ip mbele), ikiwa haifanyi kazi:
sudo nano /etc/sysctl.confToa maoni kwa mstari ufuatao:
net.ipv4.ip_forward = 1Hifadhi mabadiliko kwenye faili, toka kwa hariri na uitumie kwa amri ifuatayo:
sudo sysctl -pIfuatayo, tunahitaji kufafanua subnet ya mtandao pepe yenye IP za uwongo (kwa mfano, 10.0.10.0/24) na kugawa anwani kwenye kiolesura:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Kisha unahitaji kuandika sheria za Netfilter.
1. Ikihitajika, ruhusu pakiti zinazoingia kwenye milango ya kusikiliza (Itifaki ya umiliki ya SoftEther hutumia HTTPS na mlango 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Sanidi NAT kutoka kwa subnet ya 10.0.10.0/24 hadi IP ya seva kuu
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Ruhusu kupitisha pakiti kutoka kwa subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Ruhusu vifurushi vya kupitisha kwa miunganisho iliyoanzishwa tayari
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTTutaacha mchakato otomatiki mfumo utakapowashwa upya kwa kutumia hati za uanzishaji kwa wasomaji kama kazi ya nyumbani.
Ikiwa ungependa kutoa IP kwa wateja kiotomatiki, utahitaji pia kusakinisha aina fulani ya huduma ya DHCP kwa daraja la ndani. Hii inakamilisha usanidi wa seva na unaweza kwenda kwa wateja. SoftEther inasaidia itifaki nyingi, matumizi ambayo inategemea uwezo wa vifaa vya LAN.
netstat -ap |grep vpnserver
Kwa kuwa kipanga njia chetu cha majaribio pia kinafanya kazi chini ya Ubuntu, hebu tusakinishe vifurushi vya softether-vpnclient na softether-vpncmd kutoka kwenye hazina ya nje ili kutumia itifaki ya umiliki. Utahitaji kuendesha mteja:
sudo vpnclient startIli kusanidi, tumia matumizi ya vpncmd, ukichagua localhost kama mashine ambayo vpnclient inaendesha. Amri zote zinafanywa kwenye console: utahitaji kuunda interface ya kawaida (NicCreate) na akaunti (AccountCreate).
Katika baadhi ya matukio, lazima ubainishe mbinu ya uthibitishaji kwa kutumia AccountAnonymousSet, AccountPasswordSet, AccountCertSet, na AccountSecureCertSet amri. Kwa kuwa hatutumii DHCP, anwani ya adapta ya mtandaoni imewekwa kwa mikono.
Kwa kuongeza, tunahitaji kuwezesha ip mbele (chaguo net.ipv4.ip_forward=1 katika /etc/sysctl.conf faili) na kusanidi njia tuli. Ikiwa ni lazima, kwenye VDS na Suricata, unaweza kusanidi usambazaji wa bandari ili kutumia huduma zilizowekwa kwenye mtandao wa ndani. Juu ya hili, kuunganisha mtandao kunaweza kuchukuliwa kuwa kamili.
Usanidi wetu uliopendekezwa utaonekana kama hii:
Kuanzisha Suricata
Π tulizungumza kuhusu njia mbili za uendeshaji wa IDS: kupitia foleni ya NFQUEUE (modi ya NFQ) na kupitia nakala ya sifuri (modi ya AF_PACKET). Ya pili inahitaji miingiliano miwili, lakini ni haraka - tutaitumia. Kigezo kimewekwa kwa chaguo-msingi katika /etc/default/suricata. Tunahitaji pia kuhariri sehemu ya vars katika /etc/suricata/suricata.yaml, kuweka subnet pepe kama nyumbani.
Ili kuanzisha upya IDS, tumia amri:
systemctl restart suricataSuluhisho liko tayari, sasa unaweza kuhitaji kuipima kwa upinzani dhidi ya vitendo vibaya.
Kuiga mashambulizi
Kunaweza kuwa na hali kadhaa za matumizi ya vita ya huduma ya IDS ya nje:
Ulinzi dhidi ya mashambulizi ya DDoS (kusudi kuu)
Ni ngumu kutekeleza chaguo kama hilo ndani ya mtandao wa ushirika, kwani pakiti za uchambuzi lazima zifikie kwenye kiolesura cha mfumo kinachoangalia mtandao. Hata kama IDS itawazuia, trafiki ya uwongo inaweza kupunguza kiunga cha data. Ili kuepuka hili, unahitaji kuagiza VPS na uunganisho wa kutosha wa Intaneti unaozalisha ambao unaweza kupitisha trafiki yote ya mtandao wa ndani na trafiki yote ya nje. Mara nyingi ni rahisi na ya bei nafuu kufanya hivyo kuliko kupanua kituo cha ofisi. Kama mbadala, inafaa kutaja huduma maalum za ulinzi dhidi ya DDoS. Gharama ya huduma zao inalinganishwa na gharama ya seva ya kawaida, na hauhitaji usanidi wa muda, lakini pia kuna hasara - mteja hupokea ulinzi wa DDoS tu kwa pesa zake, wakati IDS yake mwenyewe inaweza kusanidiwa kama wewe. kama.
Ulinzi dhidi ya mashambulizi ya nje ya aina nyingine
Suricata ina uwezo wa kukabiliana na majaribio ya kutumia udhaifu mbalimbali katika huduma za mtandao wa shirika zinazopatikana kutoka kwa Mtandao (seva ya barua, seva ya wavuti na programu za wavuti, n.k.). Kawaida, kwa hili, IDS imewekwa ndani ya LAN baada ya vifaa vya mpaka, lakini kuchukua nje ina haki ya kuwepo.
Ulinzi kutoka kwa watu wa ndani
Licha ya jitihada bora za msimamizi wa mfumo, kompyuta kwenye mtandao wa ushirika zinaweza kuambukizwa na programu hasidi. Kwa kuongezea, wakati mwingine wahuni huonekana katika eneo la karibu, ambao hujaribu kufanya shughuli haramu. Suricata inaweza kusaidia kuzuia majaribio kama haya, ingawa ili kulinda mtandao wa ndani ni bora kuisakinisha ndani ya eneo na kuitumia sanjari na swichi inayodhibitiwa ambayo inaweza kuakisi trafiki kwenye bandari moja. IDS ya nje pia haina maana katika kesi hii - angalau itaweza kupata majaribio ya programu hasidi inayoishi kwenye LAN ili kuwasiliana na seva ya nje.
Kuanza, tutaunda jaribio lingine la kushambulia VPS, na kwenye kipanga njia cha mtandao wa ndani tutainua Apache na usanidi chaguo-msingi, baada ya hapo tutasambaza bandari ya 80 kutoka kwa seva ya IDS. Ifuatayo, tutaiga shambulio la DDoS kutoka kwa mwenyeji anayeshambulia. Ili kufanya hivyo, pakua kutoka kwa GitHub, kusanya na uendesha programu ndogo ya xerxes kwenye nodi ya kushambulia (unaweza kuhitaji kusanikisha kifurushi cha gcc):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Matokeo ya kazi yake yalikuwa kama ifuatavyo:
Suricata hukata mhalifu, na ukurasa wa Apache hufungua kwa chaguo-msingi, licha ya shambulio letu lisilotarajiwa na chaneli iliyokufa ya mtandao wa "ofisi" (kwa kweli nyumbani). Kwa kazi kubwa zaidi, unapaswa kutumia . Imeundwa kwa ajili ya majaribio ya kupenya na hukuruhusu kuiga aina mbalimbali za mashambulizi. Maagizo ya ufungaji kwenye tovuti ya mradi. Baada ya usakinishaji, sasisho inahitajika:
sudo msfupdateKwa majaribio, endesha msfconsole.
Kwa bahati mbaya, matoleo ya hivi karibuni ya mfumo hayana uwezo wa kupasuka kiotomatiki, kwa hivyo ushujaa utalazimika kupangwa kwa mikono na kukimbia kwa kutumia amri ya matumizi. Kuanza, inafaa kuamua bandari zilizofunguliwa kwenye mashine iliyoshambuliwa, kwa mfano, kwa kutumia nmap (kwa upande wetu, itabadilishwa kabisa na netstat kwenye mwenyeji aliyeshambuliwa), kisha uchague na utumie inayofaa. .
Kuna njia nyingine za kujaribu uthabiti wa IDS dhidi ya mashambulizi, ikiwa ni pamoja na huduma za mtandaoni. Kwa ajili ya udadisi, unaweza kupanga majaribio ya dhiki kwa kutumia toleo la majaribio . Ili kuangalia majibu ya vitendo vya waingilizi wa ndani, inafaa kusanikisha zana maalum kwenye moja ya mashine kwenye mtandao wa ndani. Kuna chaguzi nyingi na mara kwa mara zinapaswa kutumika sio tu kwenye tovuti ya majaribio, lakini pia kwa mifumo ya kufanya kazi, hii tu ni hadithi tofauti kabisa.
Chanzo: mapenzi.com