புரோஹோஸ்டர் > Блог > நிர்வாகம் > குறட்டை அல்லது சுரிகாட்டா. பகுதி 3: அலுவலக நெட்வொர்க்கைப் பாதுகாத்தல்
குறட்டை அல்லது சுரிகாட்டா. பகுதி 3: அலுவலக நெட்வொர்க்கைப் பாதுகாத்தல்
В முந்தைய கட்டுரை Ubuntu 18.04 LTS இல் Suricata இன் நிலையான பதிப்பை எவ்வாறு இயக்குவது என்பதை நாங்கள் விவரித்துள்ளோம். ஒரு ஒற்றை முனையில் ஐடிஎஸ் அமைப்பது மற்றும் இலவச விதிகளை இயக்குவது மிகவும் எளிமையானது. மெய்நிகர் சேவையகத்தில் நிறுவப்பட்ட சூரிகாட்டாவைப் பயன்படுத்தி மிகவும் பொதுவான வகையான தாக்குதல்களைப் பயன்படுத்தி கார்ப்பரேட் நெட்வொர்க்கை எவ்வாறு பாதுகாப்பது என்பதை இன்று கண்டுபிடிப்போம். இதைச் செய்ய, லினக்ஸில் இரண்டு கம்ப்யூட்டிங் கோர்கள் கொண்ட VDS தேவை. ரேமின் அளவு சுமையைப் பொறுத்தது: ஒருவருக்கு 2 ஜிபி போதுமானது, மேலும் தீவிரமான பணிகளுக்கு 4 அல்லது 6 கூட தேவைப்படலாம். மெய்நிகர் இயந்திரத்தின் நன்மை பரிசோதனை திறன்: நீங்கள் குறைந்தபட்ச உள்ளமைவுடன் தொடங்கலாம் மற்றும் அதிகரிக்கலாம் தேவையான வளங்கள்.
முதலில் மெய்நிகர் இயந்திரத்திற்கு IDS ஐ அகற்றுவது சோதனைகளுக்கு தேவைப்படலாம். அத்தகைய தீர்வுகளை நீங்கள் ஒருபோதும் கையாளவில்லை என்றால், நீங்கள் உடல் வன்பொருளை ஆர்டர் செய்ய மற்றும் பிணைய கட்டமைப்பை மாற்ற அவசரப்படக்கூடாது. உங்கள் கணக்கீட்டுத் தேவைகளைத் தீர்மானிக்க, கணினியைப் பாதுகாப்பாகவும் செலவு குறைந்ததாகவும் இயக்குவது சிறந்தது. அனைத்து கார்ப்பரேட் போக்குவரத்தையும் ஒரு வெளிப்புற முனை வழியாக அனுப்ப வேண்டும் என்பதைப் புரிந்துகொள்வது அவசியம்: ஐடிஎஸ் சூரிகாட்டா நிறுவப்பட்ட VDS உடன் உள்ளூர் நெட்வொர்க்கை (அல்லது பல நெட்வொர்க்குகள்) இணைக்க, நீங்கள் பயன்படுத்தலாம் சாஃப்ட்இதர் - கட்டமைக்க எளிதான, கிராஸ்-பிளாட்ஃபார்ம் VPN சேவையகம் வலுவான குறியாக்கத்தை வழங்குகிறது. அலுவலக இணைய இணைப்பில் உண்மையான ஐபி இல்லாமல் இருக்கலாம், எனவே அதை VPS இல் அமைப்பது நல்லது. உபுண்டு களஞ்சியத்தில் ஆயத்த தொகுப்புகள் எதுவும் இல்லை, நீங்கள் மென்பொருளை பதிவிறக்கம் செய்ய வேண்டும். திட்ட தளம், அல்லது சேவையின் வெளிப்புற களஞ்சியத்திலிருந்து ஏவூர்தி செலுத்தும் இடம் (நீங்கள் அவரை நம்பினால்):
பின்வரும் கட்டளையுடன் கிடைக்கக்கூடிய தொகுப்புகளின் பட்டியலை நீங்கள் பார்க்கலாம்:
apt-cache search softether
எங்களுக்கு softether-vpnserver (சோதனை உள்ளமைவில் உள்ள சேவையகம் VDS இல் இயங்குகிறது), அத்துடன் softether-vpncmd - கட்டளை வரி பயன்பாடுகளை உள்ளமைக்க வேண்டும்.
சேவையகத்தை கட்டமைக்க ஒரு சிறப்பு கட்டளை வரி பயன்பாடு பயன்படுத்தப்படுகிறது:
sudo vpncmd
அமைப்பைப் பற்றி நாங்கள் விரிவாகப் பேச மாட்டோம்: செயல்முறை மிகவும் எளிமையானது, இது பல வெளியீடுகளில் நன்கு விவரிக்கப்பட்டுள்ளது மற்றும் கட்டுரையின் தலைப்புடன் நேரடியாக தொடர்புடையது அல்ல. சுருக்கமாக, vpncmd ஐத் தொடங்கிய பிறகு, சேவையக மேலாண்மை கன்சோலுக்குச் செல்ல நீங்கள் உருப்படி 1 ஐத் தேர்ந்தெடுக்க வேண்டும். இதைச் செய்ய, நீங்கள் மையத்தின் பெயரை உள்ளிடுவதற்குப் பதிலாக லோக்கல் ஹோஸ்ட் என்ற பெயரை உள்ளிட்டு என்டர் அழுத்தவும். சர்வர்பாஸ்வேர்ட்செட் கட்டளையுடன் கன்சோலில் நிர்வாகி கடவுச்சொல் அமைக்கப்பட்டுள்ளது, DEFAULT மெய்நிகர் மையம் நீக்கப்பட்டது (hubdelete கட்டளை) மற்றும் Suricata_VPN என்ற பெயரில் புதியது உருவாக்கப்பட்டது, மேலும் அதன் கடவுச்சொல்லும் அமைக்கப்பட்டுள்ளது (hubcreate கட்டளை). அடுத்து, நீங்கள் hub Suricata_VPN கட்டளையைப் பயன்படுத்தி புதிய மையத்தின் மேலாண்மை கன்சோலுக்குச் சென்று குழு உருவாக்கம் மற்றும் பயனர் உருவாக்கம் கட்டளைகளைப் பயன்படுத்தி ஒரு குழுவையும் பயனரையும் உருவாக்க வேண்டும். பயனர் கடவுச்சொல் பயனர் கடவுச்சொல்லைப் பயன்படுத்தி அமைக்கப்பட்டுள்ளது.
SoftEther இரண்டு போக்குவரத்து பரிமாற்ற முறைகளை ஆதரிக்கிறது: SecureNAT மற்றும் Local Bridge. முதலாவது அதன் சொந்த NAT மற்றும் DHCP உடன் ஒரு மெய்நிகர் தனியார் நெட்வொர்க்கை உருவாக்குவதற்கான தனியுரிம தொழில்நுட்பமாகும். SecureNAT க்கு TUN/TAP அல்லது Netfilter அல்லது பிற ஃபயர்வால் அமைப்புகள் தேவையில்லை. ரூட்டிங் கணினியின் மையத்தை பாதிக்காது, மேலும் அனைத்து செயல்முறைகளும் மெய்நிகராக்கப்பட்டு எந்த VPS / VDS இல் வேலை செய்கின்றன, பயன்படுத்தப்படும் ஹைப்பர்வைசரைப் பொருட்படுத்தாமல். இது லோக்கல் பிரிட்ஜ் பயன்முறையுடன் ஒப்பிடும்போது அதிகரித்த CPU சுமை மற்றும் மெதுவான வேகத்தில் விளைகிறது, இது SoftEther மெய்நிகர் மையத்தை இயற்பியல் நெட்வொர்க் அடாப்டர் அல்லது TAP சாதனத்துடன் இணைக்கிறது.
Netfilter ஐப் பயன்படுத்தி கர்னல் மட்டத்தில் ரூட்டிங் நிகழும் என்பதால், இந்த வழக்கில் உள்ளமைவு மிகவும் சிக்கலானதாகிறது. எங்கள் VDS Hyper-V இல் கட்டமைக்கப்பட்டுள்ளது, எனவே கடைசி கட்டத்தில் நாம் ஒரு உள்ளூர் பிரிட்ஜை உருவாக்கி, Suricate_VPN -device:suricate_vpn -tap:yes கட்டளையைப் பிரிட்ஜ் கிரியேட் மூலம் TAP சாதனத்தை செயல்படுத்துகிறோம். ஹப் மேனேஜ்மென்ட் கன்சோலில் இருந்து வெளியேறிய பிறகு, கணினியில் ஒரு புதிய நெட்வொர்க் இடைமுகத்தைக் காண்போம், அது இன்னும் ஐபி ஒதுக்கப்படவில்லை:
ifconfig
அடுத்து, நீங்கள் இடைமுகங்களுக்கு இடையே பாக்கெட் ரூட்டிங் இயக்க வேண்டும் (ஐபி முன்னோக்கி), அது செயலற்றதாக இருந்தால்:
sudo nano /etc/sysctl.conf
பின்வரும் வரியில் கருத்துத் தெரிவிக்கவும்:
net.ipv4.ip_forward = 1
கோப்பில் மாற்றங்களைச் சேமித்து, எடிட்டரிலிருந்து வெளியேறி, பின்வரும் கட்டளையுடன் அவற்றைப் பயன்படுத்தவும்:
sudo sysctl -p
அடுத்து, கற்பனையான ஐபிகளுடன் (உதாரணமாக, 10.0.10.0/24) மெய்நிகர் நெட்வொர்க்கிற்கான சப்நெட்டை வரையறுக்க வேண்டும் மற்றும் இடைமுகத்திற்கு ஒரு முகவரியை ஒதுக்க வேண்டும்:
sudo ifconfig tap_suricata_vp 10.0.10.1/24
நீங்கள் Netfilter விதிகளை எழுத வேண்டும்.
1. தேவைப்பட்டால், கேட்கும் போர்ட்களில் உள்வரும் பாக்கெட்டுகளை அனுமதிக்கவும் (SoftEther தனியுரிம நெறிமுறை HTTPS மற்றும் போர்ட் 443 ஐப் பயன்படுத்துகிறது)
3. சப்நெட் 10.0.10.0/24 இலிருந்து பாக்கெட்டுகளை அனுப்ப அனுமதிக்கவும்
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT
4. ஏற்கனவே நிறுவப்பட்ட இணைப்புகளுக்கு பாஸிங் பாக்கெட்டுகளை அனுமதிக்கவும்
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
தொடக்கநிலை ஸ்கிரிப்ட்களைப் பயன்படுத்தி கணினியை மறுதொடக்கம் செய்யும் போது, செயல்முறையின் தன்னியக்கத்தை வாசகர்களுக்கு வீட்டுப்பாடமாக விட்டுவிடுவோம்.
வாடிக்கையாளர்களுக்கு தானாக ஐபி கொடுக்க விரும்பினால், உள்ளூர் பிரிட்ஜிற்கு சில வகையான DHCP சேவையையும் நிறுவ வேண்டும். இது சேவையக அமைப்பை நிறைவு செய்கிறது மற்றும் நீங்கள் வாடிக்கையாளர்களுக்கு செல்லலாம். SoftEther பல நெறிமுறைகளை ஆதரிக்கிறது, அதன் பயன்பாடு LAN சாதனங்களின் திறன்களைப் பொறுத்தது.
netstat -ap |grep vpnserver
எங்கள் சோதனை திசைவி உபுண்டுவின் கீழ் இயங்குவதால், தனியுரிம நெறிமுறையைப் பயன்படுத்த, வெளிப்புற களஞ்சியத்திலிருந்து softether-vpnclient மற்றும் softether-vpncmd தொகுப்புகளை நிறுவுவோம். நீங்கள் கிளையண்டை இயக்க வேண்டும்:
sudo vpnclient start
கட்டமைக்க, vpncmd பயன்பாட்டைப் பயன்படுத்தவும், vpnclient இயங்கும் இயந்திரமாக லோக்கல் ஹோஸ்டைத் தேர்ந்தெடுக்கவும். அனைத்து கட்டளைகளும் கன்சோலில் செய்யப்படுகின்றன: நீங்கள் ஒரு மெய்நிகர் இடைமுகம் (NicCreate) மற்றும் ஒரு கணக்கை (AccountCreate) உருவாக்க வேண்டும்.
சில சந்தர்ப்பங்களில், AccountAnonymousSet, AccountPasswordSet, AccountCertSet மற்றும் AccountSecureCertSet கட்டளைகளைப் பயன்படுத்தி அங்கீகார முறையை நீங்கள் குறிப்பிட வேண்டும். நாங்கள் DHCP ஐப் பயன்படுத்தாததால், மெய்நிகர் அடாப்டருக்கான முகவரி கைமுறையாக அமைக்கப்பட்டுள்ளது.
கூடுதலாக, நாம் ip முன்னோக்கியை இயக்க வேண்டும் (/etc/sysctl.conf கோப்பில் net.ipv4.ip_forward=1 விருப்பம்) மற்றும் நிலையான வழிகளை உள்ளமைக்க வேண்டும். தேவைப்பட்டால், Suricata உடன் VDS இல், உள்ளூர் நெட்வொர்க்கில் நிறுவப்பட்ட சேவைகளைப் பயன்படுத்த போர்ட் பகிர்தலை உள்ளமைக்கலாம். இதில், பிணைய இணைப்பு முழுமையானதாகக் கருதலாம்.
எங்கள் முன்மொழியப்பட்ட உள்ளமைவு இப்படி இருக்கும்:
சூரிகாட்டாவை அமைத்தல்
В முந்தைய கட்டுரை IDS இன் இரண்டு செயல்பாட்டு முறைகளைப் பற்றி பேசினோம்: NFQUEUE வரிசை (NFQ பயன்முறை) மற்றும் பூஜ்ஜிய நகல் (AF_PACKET பயன்முறை) மூலம். இரண்டாவதாக இரண்டு இடைமுகங்கள் தேவை, ஆனால் வேகமானது - நாங்கள் அதைப் பயன்படுத்துவோம். அளவுரு முன்னிருப்பாக /etc/default/suricata இல் அமைக்கப்படும். /etc/suricata/suricata.yaml இல் உள்ள vars பகுதியையும் திருத்த வேண்டும், அங்குள்ள மெய்நிகர் சப்நெட்டை முகப்பாக அமைக்க வேண்டும்.
IDS ஐ மறுதொடக்கம் செய்ய, கட்டளையைப் பயன்படுத்தவும்:
systemctl restart suricata
தீர்வு தயாராக உள்ளது, இப்போது நீங்கள் தீங்கிழைக்கும் செயல்களுக்கு எதிர்ப்பை சோதிக்க வேண்டும்.
தாக்குதல்களை உருவகப்படுத்துதல்
வெளிப்புற IDS சேவையின் போர் பயன்பாட்டிற்கு பல காட்சிகள் இருக்கலாம்:
DDoS தாக்குதல்களுக்கு எதிரான பாதுகாப்பு (முதன்மை நோக்கம்)
கார்ப்பரேட் நெட்வொர்க்கிற்குள் அத்தகைய விருப்பத்தை செயல்படுத்துவது கடினம், ஏனெனில் பகுப்பாய்வுக்கான பாக்கெட்டுகள் இணையத்தைப் பார்க்கும் கணினி இடைமுகத்தைப் பெற வேண்டும். IDS அவற்றைத் தடுத்தாலும், போலியான போக்குவரத்து தரவு இணைப்பைக் குறைக்கும். இதைத் தவிர்க்க, அனைத்து உள்ளூர் நெட்வொர்க் ட்ராஃபிக் மற்றும் அனைத்து வெளிப்புற போக்குவரத்தையும் கடந்து செல்லக்கூடிய போதுமான உற்பத்தி இணைய இணைப்புடன் VPS ஐ ஆர்டர் செய்ய வேண்டும். அலுவலக சேனலை விரிவுபடுத்துவதை விட இதைச் செய்வது பெரும்பாலும் எளிதானது மற்றும் மலிவானது. மாற்றாக, DDoS க்கு எதிரான பாதுகாப்பிற்கான சிறப்பு சேவைகளைக் குறிப்பிடுவது மதிப்பு. அவர்களின் சேவைகளின் விலை மெய்நிகர் சேவையகத்தின் விலையுடன் ஒப்பிடத்தக்கது, மேலும் இதற்கு நேரத்தை எடுத்துக்கொள்ளும் உள்ளமைவு தேவையில்லை, ஆனால் குறைபாடுகளும் உள்ளன - வாடிக்கையாளர் தனது பணத்திற்கு DDoS பாதுகாப்பை மட்டுமே பெறுகிறார், அதே நேரத்தில் அவரது சொந்த IDS ஐ நீங்கள் கட்டமைக்க முடியும். போன்ற.
பிற வகைகளின் வெளிப்புற தாக்குதல்களுக்கு எதிரான பாதுகாப்பு
இணையத்தில் இருந்து அணுகக்கூடிய கார்ப்பரேட் நெட்வொர்க் சேவைகளில் (அஞ்சல் சேவையகம், வலை சேவையகம் மற்றும் வலை பயன்பாடுகள் போன்றவை) பல்வேறு பாதிப்புகளை சுரண்டுவதற்கான முயற்சிகளை Suricata சமாளிக்க முடியும். வழக்கமாக, இதற்காக, எல்லை சாதனங்களுக்குப் பிறகு LAN க்குள் IDS நிறுவப்படும், ஆனால் அதை வெளியே எடுத்துக்கொள்வதற்கான உரிமை உள்ளது.
உள் நபர்களிடமிருந்து பாதுகாப்பு
கணினி நிர்வாகியின் சிறந்த முயற்சிகள் இருந்தபோதிலும், கார்ப்பரேட் நெட்வொர்க்கில் உள்ள கணினிகள் தீம்பொருளால் பாதிக்கப்படலாம். கூடுதலாக, குண்டர்கள் சில நேரங்களில் உள்ளூர் பகுதியில் தோன்றும், அவர்கள் சில சட்டவிரோத நடவடிக்கைகளை செய்ய முயற்சி செய்கிறார்கள். சூரிகாட்டா அத்தகைய முயற்சிகளைத் தடுக்க உதவுகிறது, இருப்பினும் உள் நெட்வொர்க்கைப் பாதுகாக்க சுற்றளவுக்குள் அதை நிறுவி, ஒரு துறைமுகத்திற்கு போக்குவரத்தை பிரதிபலிக்கக்கூடிய நிர்வகிக்கப்பட்ட சுவிட்சுடன் இணைந்து பயன்படுத்துவது நல்லது. இந்த விஷயத்தில் வெளிப்புற IDS பயனற்றது அல்ல - குறைந்தபட்சம் LAN இல் வாழும் தீம்பொருள் வெளிப்புற சேவையகத்தைத் தொடர்புகொள்வதற்கான முயற்சிகளைப் பிடிக்க முடியும்.
தொடங்குவதற்கு, VPS ஐத் தாக்கும் மற்றொரு சோதனையை உருவாக்குவோம், மேலும் உள்ளூர் பிணைய திசைவியில் இயல்புநிலை உள்ளமைவுடன் அப்பாச்சியை உயர்த்துவோம், அதன் பிறகு IDS சேவையகத்திலிருந்து 80 வது போர்ட்டை அனுப்புவோம். அடுத்து, DDoS தாக்குதலை ஒரு தாக்குதல் ஹோஸ்டிலிருந்து உருவகப்படுத்துவோம். இதைச் செய்ய, GitHub இலிருந்து பதிவிறக்கம் செய்து, தாக்கும் முனையில் ஒரு சிறிய xerxes நிரலைத் தொகுத்து இயக்கவும் (நீங்கள் gcc தொகுப்பை நிறுவ வேண்டியிருக்கலாம்):
சூரிகாட்டா வில்லனைத் துண்டித்து, அப்பாச்சி பக்கம் முன்னிருப்பாகத் திறக்கப்படும், ஆனால் எங்கள் திடீர் தாக்குதல் மற்றும் "அலுவலகம்" (உண்மையில் வீடு) நெட்வொர்க்கின் டெட் சேனல் இருந்தபோதிலும். மிகவும் தீவிரமான பணிகளுக்கு, நீங்கள் பயன்படுத்த வேண்டும் Metasploit கட்டமைப்பு. இது ஊடுருவல் சோதனைக்காக வடிவமைக்கப்பட்டுள்ளது மற்றும் பல்வேறு தாக்குதல்களை உருவகப்படுத்த உங்களை அனுமதிக்கிறது. நிறுவும் வழிமுறைகள் கிடைக்கும் திட்ட இணையதளத்தில். நிறுவிய பின், புதுப்பித்தல் தேவை:
sudo msfupdate
சோதனைக்கு, msfconsole ஐ இயக்கவும்.
துரதிர்ஷ்டவசமாக, கட்டமைப்பின் சமீபத்திய பதிப்புகள் தானாகவே சிதைக்கும் திறனைக் கொண்டிருக்கவில்லை, எனவே சுரண்டல்கள் கைமுறையாக வரிசைப்படுத்தப்பட்டு பயன்பாட்டு கட்டளையைப் பயன்படுத்தி இயக்க வேண்டும். தொடங்குவதற்கு, தாக்கப்பட்ட கணினியில் திறந்த துறைமுகங்களைத் தீர்மானிப்பது மதிப்பு, எடுத்துக்காட்டாக, nmap ஐப் பயன்படுத்துதல் (எங்கள் விஷயத்தில், இது தாக்கப்பட்ட ஹோஸ்டில் நெட்ஸ்டாட்டால் முழுமையாக மாற்றப்படும்), பின்னர் பொருத்தமானதைத் தேர்ந்தெடுத்து பயன்படுத்தவும். மெட்டாஸ்ப்ளோயிட் தொகுதிகள்.
ஆன்லைன் சேவைகள் உட்பட தாக்குதல்களுக்கு எதிராக IDS இன் பின்னடைவைச் சோதிக்க வேறு வழிகள் உள்ளன. ஆர்வத்திற்காக, சோதனை பதிப்பைப் பயன்படுத்தி அழுத்த சோதனையை நீங்கள் ஏற்பாடு செய்யலாம் ஐபி அழுத்தி. உள் ஊடுருவல்களின் செயல்களுக்கு எதிர்வினை சரிபார்க்க, உள்ளூர் நெட்வொர்க்கில் உள்ள இயந்திரங்களில் ஒன்றில் சிறப்பு கருவிகளை நிறுவுவது மதிப்பு. நிறைய விருப்பங்கள் உள்ளன, அவ்வப்போது அவை சோதனை தளத்திற்கு மட்டுமல்ல, வேலை செய்யும் அமைப்புகளுக்கும் பயன்படுத்தப்பட வேண்டும், இது முற்றிலும் மாறுபட்ட கதை.