గురక లేదా సూరికాటా. పార్ట్ 3: ఆఫీస్ నెట్వర్క్ను రక్షించడం
В మునుపటి వ్యాసం ఉబుంటు 18.04 LTSలో సురికాటా యొక్క స్థిరమైన సంస్కరణను ఎలా అమలు చేయాలో మేము కవర్ చేసాము. ఒకే నోడ్పై IDSని సెటప్ చేయడం మరియు ఉచిత రూల్ సెట్లను ప్రారంభించడం చాలా సరళంగా ఉంటుంది. వర్చువల్ సర్వర్లో ఇన్స్టాల్ చేయబడిన Suricataని ఉపయోగించి అత్యంత సాధారణ రకాల దాడులను ఉపయోగించి కార్పొరేట్ నెట్వర్క్ను ఎలా రక్షించాలో ఈ రోజు మనం కనుగొంటాము. దీన్ని చేయడానికి, మనకు రెండు కంప్యూటింగ్ కోర్లతో Linuxలో VDS అవసరం. RAM మొత్తం లోడ్పై ఆధారపడి ఉంటుంది: ఎవరికైనా 2 GB సరిపోతుంది మరియు మరింత తీవ్రమైన పనుల కోసం 4 లేదా 6 కూడా అవసరం కావచ్చు. వర్చువల్ మెషీన్ యొక్క ప్రయోజనం ఏమిటంటే ప్రయోగాలు చేసే సామర్థ్యం: మీరు కనీస కాన్ఫిగరేషన్తో ప్రారంభించి, పెంచుకోవచ్చు అవసరమైన వనరులు.
మొదటి స్థానంలో వర్చువల్ మెషీన్కు IDSని తీసివేయడం పరీక్షల కోసం అవసరం కావచ్చు. మీరు అలాంటి పరిష్కారాలతో ఎప్పుడూ వ్యవహరించకపోతే, మీరు భౌతిక హార్డ్వేర్ను ఆర్డర్ చేయడానికి మరియు నెట్వర్క్ నిర్మాణాన్ని మార్చడానికి తొందరపడకూడదు. మీ గణన అవసరాలను గుర్తించడానికి సిస్టమ్ను సురక్షితంగా మరియు తక్కువ ఖర్చుతో అమలు చేయడం ఉత్తమం. అన్ని కార్పొరేట్ ట్రాఫిక్ను ఒకే బాహ్య నోడ్ ద్వారా పంపవలసి ఉంటుందని అర్థం చేసుకోవడం ముఖ్యం: IDS Suricata ఇన్స్టాల్ చేయబడిన VDSకి స్థానిక నెట్వర్క్ (లేదా అనేక నెట్వర్క్లు) కనెక్ట్ చేయడానికి, మీరు ఉపయోగించవచ్చు సాఫ్ట్ ఈథర్ - కాన్ఫిగర్ చేయడానికి సులభమైన, బలమైన గుప్తీకరణను అందించే క్రాస్-ప్లాట్ఫారమ్ VPN సర్వర్. ఆఫీస్ ఇంటర్నెట్ కనెక్షన్కు నిజమైన IP ఉండకపోవచ్చు, కాబట్టి దానిని VPSలో సెటప్ చేయడం మంచిది. ఉబుంటు రిపోజిటరీలో రెడీమేడ్ ప్యాకేజీలు లేవు, మీరు సాఫ్ట్వేర్ను డౌన్లోడ్ చేసుకోవాలి ప్రాజెక్ట్ సైట్, లేదా సేవలో బాహ్య రిపోజిటరీ నుండి Launchpad (మీరు అతన్ని విశ్వసిస్తే):
కింది ఆదేశంతో మీరు అందుబాటులో ఉన్న ప్యాకేజీల జాబితాను చూడవచ్చు:
apt-cache search softether
మాకు softether-vpnserver (పరీక్ష కాన్ఫిగరేషన్లోని సర్వర్ VDSలో నడుస్తోంది), అలాగే softether-vpncmd - కమాండ్ లైన్ యుటిలిటీలను కాన్ఫిగర్ చేయడానికి అవసరం.
సర్వర్ను కాన్ఫిగర్ చేయడానికి ప్రత్యేక కమాండ్ లైన్ యుటిలిటీ ఉపయోగించబడుతుంది:
sudo vpncmd
మేము సెట్టింగ్ గురించి వివరంగా మాట్లాడము: విధానం చాలా సులభం, ఇది అనేక ప్రచురణలలో బాగా వివరించబడింది మరియు వ్యాసం యొక్క అంశానికి నేరుగా సంబంధం లేదు. సంక్షిప్తంగా, vpncmdని ప్రారంభించిన తర్వాత, సర్వర్ మేనేజ్మెంట్ కన్సోల్కి వెళ్లడానికి మీరు ఐటెమ్ 1ని ఎంచుకోవాలి. దీన్ని చేయడానికి, మీరు లోకల్ హోస్ట్ పేరును నమోదు చేయాలి మరియు హబ్ పేరును నమోదు చేయడానికి బదులుగా ఎంటర్ నొక్కండి. సర్వర్పాస్వర్డ్సెట్ కమాండ్తో కన్సోల్లో అడ్మినిస్ట్రేటర్ పాస్వర్డ్ సెట్ చేయబడింది, DEFAULT వర్చువల్ హబ్ తొలగించబడుతుంది (hubdelete కమాండ్) మరియు Suricata_VPN పేరుతో కొత్తది సృష్టించబడుతుంది మరియు దాని పాస్వర్డ్ కూడా సెట్ చేయబడింది (hubcreate కమాండ్). తర్వాత, గ్రూప్క్రియేట్ మరియు యూజర్క్రియేట్ ఆదేశాలను ఉపయోగించి సమూహాన్ని మరియు వినియోగదారుని సృష్టించడానికి మీరు hub Suricata_VPN ఆదేశాన్ని ఉపయోగించి కొత్త హబ్ యొక్క నిర్వహణ కన్సోల్కి వెళ్లాలి. వినియోగదారు పాస్వర్డ్ను వినియోగదారు పాస్వర్డ్సెట్ ఉపయోగించి సెట్ చేసారు.
SoftEther రెండు ట్రాఫిక్ బదిలీ మోడ్లకు మద్దతు ఇస్తుంది: SecureNAT మరియు స్థానిక వంతెన. మొదటిది దాని స్వంత NAT మరియు DHCPతో వర్చువల్ ప్రైవేట్ నెట్వర్క్ను నిర్మించడానికి యాజమాన్య సాంకేతికత. SecureNATకి TUN/TAP లేదా Netfilter లేదా ఇతర ఫైర్వాల్ సెట్టింగ్లు అవసరం లేదు. రూటింగ్ సిస్టమ్ యొక్క ప్రధాన భాగాన్ని ప్రభావితం చేయదు మరియు అన్ని ప్రక్రియలు వర్చువలైజ్ చేయబడతాయి మరియు ఉపయోగించిన హైపర్వైజర్తో సంబంధం లేకుండా ఏదైనా VPS / VDSలో పని చేస్తాయి. ఇది సాఫ్ట్ఈథర్ వర్చువల్ హబ్ని ఫిజికల్ నెట్వర్క్ అడాప్టర్ లేదా TAP పరికరానికి కనెక్ట్ చేసే లోకల్ బ్రిడ్జ్ మోడ్తో పోలిస్తే CPU లోడ్ మరియు నెమ్మదిగా వేగం పెరుగుతుంది.
ఈ సందర్భంలో కాన్ఫిగరేషన్ మరింత క్లిష్టంగా మారుతుంది, ఎందుకంటే Netfilter ఉపయోగించి కెర్నల్ స్థాయిలో రూటింగ్ జరుగుతుంది. మా VDS హైపర్-Vపై నిర్మించబడింది, కాబట్టి చివరి దశలో మేము స్థానిక వంతెనను సృష్టిస్తాము మరియు బ్రిడ్జ్క్రియేట్ Suricate_VPN -device:suricate_vpn -tap:yes కమాండ్తో TAP పరికరాన్ని సక్రియం చేస్తాము. హబ్ మేనేజ్మెంట్ కన్సోల్ నుండి నిష్క్రమించిన తర్వాత, సిస్టమ్లో ఇంకా IP కేటాయించబడని కొత్త నెట్వర్క్ ఇంటర్ఫేస్ని చూస్తాము:
ifconfig
తర్వాత, మీరు ఇంటర్ఫేస్ల మధ్య ప్యాకెట్ రూటింగ్ను ప్రారంభించాలి (ip ఫార్వర్డ్), ఇది నిష్క్రియంగా ఉంటే:
sudo nano /etc/sysctl.conf
కింది పంక్తిని తీసివేయండి:
net.ipv4.ip_forward = 1
ఫైల్లో మార్పులను సేవ్ చేసి, ఎడిటర్ నుండి నిష్క్రమించి, కింది ఆదేశంతో వాటిని వర్తింపజేయండి:
sudo sysctl -p
తర్వాత, మనం కల్పిత IPలతో (ఉదాహరణకు, 10.0.10.0/24) వర్చువల్ నెట్వర్క్ కోసం సబ్నెట్ను నిర్వచించాలి మరియు ఇంటర్ఫేస్కు చిరునామాను కేటాయించాలి:
sudo ifconfig tap_suricata_vp 10.0.10.1/24
అప్పుడు మీరు Netfilter నియమాలను వ్రాయాలి.
1. అవసరమైతే, లిజనింగ్ పోర్ట్లలో ఇన్కమింగ్ ప్యాకెట్లను అనుమతించండి (SoftEther యాజమాన్య ప్రోటోకాల్ HTTPS మరియు పోర్ట్ 443ని ఉపయోగిస్తుంది)
3. సబ్నెట్ 10.0.10.0/24 నుండి పాసింగ్ ప్యాకెట్లను అనుమతించండి
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT
4. ఇప్పటికే ఏర్పాటు చేసిన కనెక్షన్ల కోసం పాసింగ్ ప్యాకెట్లను అనుమతించండి
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
హోమ్వర్క్గా పాఠకులకు ప్రారంభ స్క్రిప్ట్లను ఉపయోగించి సిస్టమ్ పునఃప్రారంభించబడినప్పుడు మేము ప్రక్రియ యొక్క ఆటోమేషన్ను వదిలివేస్తాము.
మీరు క్లయింట్లకు స్వయంచాలకంగా IPని అందించాలనుకుంటే, మీరు స్థానిక వంతెన కోసం కొన్ని రకాల DHCP సేవను కూడా ఇన్స్టాల్ చేయాలి. ఇది సర్వర్ సెటప్ను పూర్తి చేస్తుంది మరియు మీరు క్లయింట్లకు వెళ్లవచ్చు. SoftEther అనేక ప్రోటోకాల్లకు మద్దతు ఇస్తుంది, దీని ఉపయోగం LAN పరికరాల సామర్థ్యాలపై ఆధారపడి ఉంటుంది.
netstat -ap |grep vpnserver
మా టెస్ట్ రూటర్ కూడా ఉబుంటు కింద నడుస్తుంది కాబట్టి, యాజమాన్య ప్రోటోకాల్ను ఉపయోగించడానికి దానిపై బాహ్య రిపోజిటరీ నుండి softether-vpnclient మరియు softether-vpncmd ప్యాకేజీలను ఇన్స్టాల్ చేద్దాం. మీరు క్లయింట్ను అమలు చేయాలి:
sudo vpnclient start
కాన్ఫిగర్ చేయడానికి, vpncmd యుటిలిటీని ఉపయోగించండి, vpnclient నడుస్తున్న మెషీన్గా లోకల్ హోస్ట్ని ఎంచుకుంటుంది. అన్ని ఆదేశాలు కన్సోల్లో తయారు చేయబడ్డాయి: మీరు వర్చువల్ ఇంటర్ఫేస్ (NicCreate) మరియు ఖాతాను (AccountCreate) సృష్టించాలి.
కొన్ని సందర్భాల్లో, మీరు తప్పనిసరిగా AccountAnonymousSet, AccountPasswordSet, AccountCertSet మరియు AccountSecureCertSet ఆదేశాలను ఉపయోగించి ప్రమాణీకరణ పద్ధతిని పేర్కొనాలి. మేము DHCPని ఉపయోగించడం లేదు కాబట్టి, వర్చువల్ అడాప్టర్ చిరునామా మానవీయంగా సెట్ చేయబడింది.
అదనంగా, మనం ip ఫార్వర్డ్ని ప్రారంభించాలి (/etc/sysctl.conf ఫైల్లో net.ipv4.ip_forward=1 ఎంపిక) మరియు స్టాటిక్ రూట్లను కాన్ఫిగర్ చేయాలి. అవసరమైతే, Suricataతో VDSలో, మీరు స్థానిక నెట్వర్క్లో ఇన్స్టాల్ చేసిన సేవలను ఉపయోగించడానికి పోర్ట్ ఫార్వార్డింగ్ను కాన్ఫిగర్ చేయవచ్చు. దీనిపై, నెట్వర్క్ విలీనం పూర్తయినట్లు పరిగణించవచ్చు.
మా ప్రతిపాదిత కాన్ఫిగరేషన్ ఇలా కనిపిస్తుంది:
Suricata ఏర్పాటు
В మునుపటి వ్యాసం మేము IDS యొక్క రెండు ఆపరేషన్ మోడ్ల గురించి మాట్లాడాము: NFQUEUE క్యూ (NFQ మోడ్) మరియు జీరో కాపీ (AF_PACKET మోడ్) ద్వారా. రెండవది రెండు ఇంటర్ఫేస్లు అవసరం, కానీ వేగవంతమైనది - మేము దానిని ఉపయోగిస్తాము. పరామితి డిఫాల్ట్గా /etc/default/suricataలో సెట్ చేయబడింది. మేము /etc/suricata/suricata.yamlలో vars విభాగాన్ని కూడా సవరించాలి, అక్కడ వర్చువల్ సబ్నెట్ను హోమ్గా సెట్ చేయాలి.
పరిష్కారం సిద్ధంగా ఉంది, ఇప్పుడు మీరు హానికరమైన చర్యలకు నిరోధకత కోసం దీనిని పరీక్షించవలసి ఉంటుంది.
దాడులను అనుకరించడం
బాహ్య IDS సేవ యొక్క పోరాట ఉపయోగం కోసం అనేక దృశ్యాలు ఉండవచ్చు:
DDoS దాడుల నుండి రక్షణ (ప్రాథమిక ప్రయోజనం)
కార్పొరేట్ నెట్వర్క్లో అటువంటి ఎంపికను అమలు చేయడం కష్టం, ఎందుకంటే విశ్లేషణ కోసం ప్యాకెట్లు తప్పనిసరిగా ఇంటర్నెట్ను చూసే సిస్టమ్ ఇంటర్ఫేస్కు చేరుకోవాలి. IDS వాటిని బ్లాక్ చేసినప్పటికీ, నకిలీ ట్రాఫిక్ డేటా లింక్ను తగ్గించగలదు. దీన్ని నివారించడానికి, మీరు అన్ని స్థానిక నెట్వర్క్ ట్రాఫిక్ మరియు అన్ని బాహ్య ట్రాఫిక్లను దాటగలిగే తగినంత ఉత్పాదక ఇంటర్నెట్ కనెక్షన్తో VPSని ఆర్డర్ చేయాలి. ఆఫీసు ఛానెల్ని విస్తరించడం కంటే దీన్ని చేయడం చాలా సులభం మరియు చౌకగా ఉంటుంది. ప్రత్యామ్నాయంగా, DDoS నుండి రక్షణ కోసం ప్రత్యేక సేవలను పేర్కొనడం విలువ. వారి సేవల ధర వర్చువల్ సర్వర్ ధరతో పోల్చవచ్చు మరియు దీనికి ఎక్కువ సమయం తీసుకునే కాన్ఫిగరేషన్ అవసరం లేదు, కానీ ప్రతికూలతలు కూడా ఉన్నాయి - క్లయింట్ తన డబ్బు కోసం DDoS రక్షణను మాత్రమే పొందుతాడు, అయితే అతని స్వంత IDS మీరు కాన్ఫిగర్ చేయవచ్చు ఇష్టం.
ఇతర రకాల బాహ్య దాడుల నుండి రక్షణ
ఇంటర్నెట్ (మెయిల్ సర్వర్, వెబ్ సర్వర్ మరియు వెబ్ అప్లికేషన్లు మొదలైనవి) నుండి యాక్సెస్ చేయగల కార్పొరేట్ నెట్వర్క్ సేవల్లోని వివిధ దుర్బలత్వాలను ఉపయోగించుకునే ప్రయత్నాలను Suricata ఎదుర్కోగలదు. సాధారణంగా, దీని కోసం, సరిహద్దు పరికరాల తర్వాత LAN లోపల IDS ఇన్స్టాల్ చేయబడుతుంది, అయితే దాన్ని బయటికి తీసుకెళ్లే హక్కు ఉంటుంది.
అంతర్గత వ్యక్తుల నుండి రక్షణ
సిస్టమ్ అడ్మినిస్ట్రేటర్ ఉత్తమ ప్రయత్నాలు చేసినప్పటికీ, కార్పొరేట్ నెట్వర్క్లోని కంప్యూటర్లు మాల్వేర్తో సంక్రమించవచ్చు. అదనంగా, పోకిరీలు కొన్నిసార్లు స్థానిక ప్రాంతంలో కనిపిస్తారు, వారు కొన్ని చట్టవిరుద్ధ కార్యకలాపాలను నిర్వహించడానికి ప్రయత్నిస్తారు. Suricata అటువంటి ప్రయత్నాలను నిరోధించడంలో సహాయపడుతుంది, అయినప్పటికీ అంతర్గత నెట్వర్క్ను రక్షించడానికి చుట్టుకొలత లోపల దీన్ని ఇన్స్టాల్ చేయడం ఉత్తమం మరియు ఒక పోర్ట్కి ట్రాఫిక్ను ప్రతిబింబించే మేనేజ్డ్ స్విచ్తో కలిసి ఉపయోగించడం మంచిది. ఈ సందర్భంలో బాహ్య IDS కూడా పనికిరానిది కాదు - కనీసం బాహ్య సర్వర్ని సంప్రదించడానికి LANలో నివసిస్తున్న మాల్వేర్ ప్రయత్నాలను పట్టుకోగలుగుతుంది.
ప్రారంభించడానికి, మేము VPSపై దాడి చేసే మరొక పరీక్షను సృష్టిస్తాము మరియు స్థానిక నెట్వర్క్ రూటర్లో మేము డిఫాల్ట్ కాన్ఫిగరేషన్తో Apacheని పెంచుతాము, దాని తర్వాత మేము IDS సర్వర్ నుండి 80వ పోర్ట్ను దానికి ఫార్వార్డ్ చేస్తాము. తరువాత, మేము దాడి చేసే హోస్ట్ నుండి DDoS దాడిని అనుకరిస్తాము. దీన్ని చేయడానికి, GitHub నుండి డౌన్లోడ్ చేయండి, దాడి చేసే నోడ్లో ఒక చిన్న xerxes ప్రోగ్రామ్ను కంపైల్ చేయండి మరియు అమలు చేయండి (మీరు gcc ప్యాకేజీని ఇన్స్టాల్ చేయాల్సి ఉంటుంది):
సురికాటా విలన్ను నరికివేస్తుంది మరియు మా ఆకస్మిక దాడి మరియు "ఆఫీస్" (వాస్తవానికి హోమ్) నెట్వర్క్ యొక్క డెడ్ ఛానెల్ ఉన్నప్పటికీ, అపాచీ పేజీ డిఫాల్ట్గా తెరవబడుతుంది. మరింత తీవ్రమైన పనుల కోసం, మీరు ఉపయోగించాలి మెటాస్లోయిట్ ముసాయిదా. ఇది వ్యాప్తి పరీక్ష కోసం రూపొందించబడింది మరియు వివిధ రకాల దాడులను అనుకరించటానికి మిమ్మల్ని అనుమతిస్తుంది. సంస్థాపన సూచనలు అందుబాటులో ఉంది ప్రాజెక్ట్ వెబ్సైట్లో. ఇన్స్టాలేషన్ తర్వాత, నవీకరణ అవసరం:
sudo msfupdate
పరీక్ష కోసం, msfconsoleని అమలు చేయండి.
దురదృష్టవశాత్తూ, ఫ్రేమ్వర్క్ యొక్క తాజా సంస్కరణలు స్వయంచాలకంగా క్రాక్ చేయగల సామర్థ్యాన్ని కలిగి ఉండవు, కాబట్టి దోపిడీలను మానవీయంగా క్రమబద్ధీకరించాలి మరియు వినియోగ ఆదేశాన్ని ఉపయోగించి అమలు చేయాలి. ప్రారంభించడానికి, దాడి చేయబడిన మెషీన్లో తెరిచిన పోర్ట్లను నిర్ణయించడం విలువైనదే, ఉదాహరణకు, nmap (మా విషయంలో, ఇది దాడి చేయబడిన హోస్ట్లో నెట్స్టాట్తో పూర్తిగా భర్తీ చేయబడుతుంది) ఉపయోగించి, ఆపై తగినదాన్ని ఎంచుకుని, ఉపయోగించండి మెటాస్ప్లోయిట్ మాడ్యూల్స్.
ఆన్లైన్ సేవలతో సహా దాడులకు వ్యతిరేకంగా IDS యొక్క స్థితిస్థాపకతను పరీక్షించడానికి ఇతర మార్గాలు ఉన్నాయి. ఉత్సుకత కోసం, మీరు ట్రయల్ వెర్షన్ని ఉపయోగించి ఒత్తిడి పరీక్షను ఏర్పాటు చేసుకోవచ్చు IP ఒత్తిడి. అంతర్గత చొరబాటుదారుల చర్యలకు ప్రతిచర్యను తనిఖీ చేయడానికి, స్థానిక నెట్వర్క్లోని యంత్రాలలో ఒకదానిపై ప్రత్యేక సాధనాలను ఇన్స్టాల్ చేయడం విలువ. చాలా ఎంపికలు ఉన్నాయి మరియు కాలానుగుణంగా అవి ప్రయోగాత్మక సైట్కు మాత్రమే కాకుండా, పని చేసే వ్యవస్థలకు కూడా వర్తింపజేయాలి, ఇది పూర్తిగా భిన్నమైన కథ.