В
Snort ё Suricata. Қисми 1: Интихоби IDS/IPS ройгон барои ҳифзи шабакаи корпоративии шумо Snort ё Suricata. Қисми 2: Насб ва насби ибтидоии Suricata
Пайваст кардани шабакаҳо
Дар ҷои аввал нест кардани IDS ба мошини виртуалӣ метавонад барои санҷишҳо лозим шавад. Агар шумо ҳеҷ гоҳ бо чунин қарорҳо сарукор надошта бошед, шумо набояд барои фармоиш додани сахтафзори ҷисмонӣ ва тағир додани меъмории шабака шитоб накунед. Беҳтар аст, ки системаро бехатар ва камхарҷ идора кунед, то эҳтиёҷоти ҳисоббарории худро муайян кунед. Фаҳмидани он муҳим аст, ки тамоми трафики корпоративӣ бояд тавассути як гиреҳи беруна гузарад: барои пайваст кардани шабакаи маҳаллӣ (ё якчанд шабака) ба VDS бо IDS Suricata насб карда шудааст, шумо метавонед истифода баред
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update
Шумо метавонед рӯйхати бастаҳои дастрасро бо фармони зерин дидан кунед:
apt-cache search softether
Барои танзими он ба мо softether-vpnserver (сервер дар конфигуратсияи санҷишӣ дар VDS кор мекунад) ва инчунин softether-vpncmd - утилитаҳои сатри фармон лозим мешавад.
sudo apt-get install softether-vpnserver softether-vpncmd
Барои танзим кардани сервер як утилитаи махсуси сатри фармон истифода мешавад:
sudo vpncmd
Мо ба таври муфассал дар бораи танзимот сӯҳбат намекунем: тартиби хеле содда аст, он дар нашрияҳои сершумор хуб тавсиф шудааст ва бевосита ба мавзӯи мақола алоқаманд нест. Хулоса, пас аз оғози vpncmd, шумо бояд банди 1-ро интихоб кунед, то ба консоли идоракунии сервер гузаред. Барои ин ба шумо лозим аст, ки номи localhost-ро ворид кунед ва ба ҷои ворид кардани номи марказ enter-ро пахш кунед. Пароли администратор дар консол бо фармони serverpasswordset муқаррар карда мешавад, маркази виртуалии DEFAULT нест карда мешавад (фармони hubdelete) ва нав бо номи Suricata_VPN сохта мешавад ва пароли он низ муқаррар карда мешавад (фармони hubcreate). Баъдан, шумо бояд ба консоли идоракунии маркази нав бо истифода аз фармони hub Suricata_VPN барои эҷод кардани гурӯҳ ва корбар бо истифода аз фармонҳои groupcreate ва usercreate гузаред. Пароли корбар бо истифода аз userpasswordset муқаррар карда мешавад.
SoftEther ду намуди интиқоли трафикро дастгирӣ мекунад: SecureNAT ва Bridge Local. Аввалин технологияи хусусӣ барои сохтани шабакаи хусусии виртуалӣ бо NAT ва DHCP-и худ мебошад. SecureNAT TUN/TAP ё Netfilter ё дигар танзимоти деворро талаб намекунад. Масир ба асосии система таъсир намерасонад ва ҳама равандҳо виртуалӣ шудаанд ва дар ҳама гуна VPS / VDS, новобаста аз гипервизори истифодашуда кор мекунанд. Ин боиси афзоиши сарбории CPU ва суръати сусттар дар муқоиса бо режими пулии маҳаллӣ мегардад, ки маркази виртуалии SoftEther-ро ба адаптери шабакаи физикӣ ё дастгоҳи TAP мепайвандад.
Конфигуратсия дар ин ҳолат мушкилтар мешавад, зеро масир дар сатҳи ядро бо истифода аз Netfilter сурат мегирад. VDS-и мо дар Hyper-V сохта шудааст, аз ин рӯ дар қадами охирин мо пули маҳаллӣ эҷод мекунем ва дастгоҳи TAP-ро бо фармони bridgecreate Suricate_VPN -device:suricate_vpn -tap: yes фаъол мекунем. Пас аз баромадан аз консоли идоракунии марказ, мо интерфейси нави шабакаро дар система мебинем, ки то ҳол IP таъин нашудааст:
ifconfig
Баъдан, шумо бояд масири пакетро байни интерфейсҳо фаъол созед (ip ба пеш), агар он ғайрифаъол бошад:
sudo nano /etc/sysctl.conf
Сатри зеринро холӣ кунед:
net.ipv4.ip_forward = 1
Тағиротро дар файл захира кунед, аз муҳаррир хориҷ шавед ва онҳоро бо фармони зерин татбиқ кунед:
sudo sysctl -p
Баъдан, мо бояд зершабакаи шабакаи маҷозӣ бо IP-ҳои сохтаро муайян кунем (масалан, 10.0.10.0/24) ва суроғаро ба интерфейс таъин кунем:
sudo ifconfig tap_suricata_vp 10.0.10.1/24
Пас шумо бояд қоидаҳои Netfilter нависед.
1. Агар лозим бошад, ба бастаҳои воридотӣ дар портҳои гӯш иҷозат диҳед (протоколи хусусии SoftEther HTTPS ва порти 443-ро истифода мебарад)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT
2. Насб кардани NAT аз зершабакаи 10.0.10.0/24 ба IP сервери асосӣ
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140
3. Иҷозат додан ба интиқоли бастаҳо аз зершабакаи 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT
4. Иҷозати интиқоли бастаҳо барои пайвастҳои аллакай муқарраршуда
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
Мо автоматикунонии равандро ҳангоми аз нав оғоз кардани система бо истифода аз скриптҳои оғозёбӣ ба хонандагон ҳамчун вазифаи хонагӣ мегузорем.
Агар шумо хоҳед, ки IP-ро ба муштариён ба таври худкор бидиҳед, шумо инчунин бояд як намуди хидмати DHCP-ро барои пули маҳаллӣ насб кунед. Ин танзимоти серверро анҷом медиҳад ва шумо метавонед ба мизоҷон равед. SoftEther бисёр протоколҳоро дастгирӣ мекунад, ки истифодаи онҳо аз имкониятҳои таҷҳизоти LAN вобаста аст.
netstat -ap |grep vpnserver
Азбаски роутери санҷишии мо низ зери Ubuntu кор мекунад, биёед бастаҳои softether-vpnclient ва softether-vpncmd-ро аз анбори беруна дар он насб кунем, то протоколи хусусиро истифода барем. Шумо бояд муштариро иҷро кунед:
sudo vpnclient start
Барои танзим кардан, утилитаи vpncmd-ро истифода бурда, localhost-ро ҳамчун мошине, ки дар он vpnclient кор мекунад, интихоб кунед. Ҳама фармонҳо дар консол иҷро карда мешаванд: шумо бояд интерфейси виртуалӣ (NicCreate) ва ҳисоб (AccountCreate) эҷод кунед.
Дар баъзе мавридҳо, шумо бояд усули аутентификатсияро бо истифода аз фармонҳои AccountAnonymousSet, AccountPasswordSet, AccountCertSet ва AccountSecureCertSet муайян кунед. Азбаски мо DHCP-ро истифода намебарем, суроғаи адаптери виртуалӣ дастӣ муқаррар карда мешавад.
Илова бар ин, мо бояд IP forward-ро фаъол созем (параметри net.ipv4.ip_forward=1 дар файли /etc/sysctl.conf) ва масирҳои статикиро танзим кунем. Агар лозим бошад, дар VDS бо Suricata, шумо метавонед интиқоли портро барои истифодаи хидматҳои дар шабакаи маҳаллӣ насбшуда танзим кунед. Дар ин ҳолат, муттаҳидшавии шабакаро метавон анҷом дод.
Конфигуратсияи пешниҳодшудаи мо чунин хоҳад буд:
Танзими Suricata
В
Барои аз нав оғоз кардани IDS, фармонро истифода баред:
systemctl restart suricata
Ҳалли омода аст, акнун шояд ба шумо лозим меояд, ки онро барои муқовимат ба амалҳои зараровар санҷед.
Симуляцияи ҳамлаҳо
Барои истифодаи ҷангии хидмати берунии IDS метавонад якчанд сенария вуҷуд дошта бошад:
Муҳофизат аз ҳамлаҳои DDoS (ҳадафи асосӣ)
Татбиқи чунин вариант дар дохили шабакаи корпоративӣ душвор аст, зеро бастаҳои таҳлил бояд ба интерфейси системае, ки ба Интернет назар мекунанд, ворид шаванд. Ҳатто агар IDS онҳоро маҳкам кунад ҳам, трафики бардурӯғ метавонад истиноди маълумотро коҳиш диҳад. Барои пешгирӣ кардани ин, шумо бояд VPS-ро бо пайвасти ба қадри кофӣ самараноки интернет фармоиш диҳед, ки метавонад тамоми трафики шабакаи маҳаллӣ ва тамоми трафики берунаро гузарад. Ин аксар вақт осонтар ва арзонтар аз васеъ кардани канали офис аст. Ҳамчун алтернатива, бояд хидматҳои махсусгардонидашудаи муҳофизат аз DDoS-ро зикр кард. Арзиши хидматҳои онҳо бо арзиши сервери виртуалӣ муқоиса карда мешавад ва он конфигуратсияи вақтро талаб намекунад, аммо камбудиҳо низ мавҷуданд - муштарӣ барои пулаш танҳо муҳофизати DDoS мегирад, дар ҳоле ки IDS-и шахсии ӯ метавонад ҳамчун шумо танзим карда шавад. монанди.
Муҳофизат аз ҳамлаҳои беруна аз намудҳои дигар
Suricata қодир аст, ки бо кӯшишҳои истифодаи осебпазирии гуногун дар хидматҳои шабакавии корпоративӣ, ки аз Интернет дастрасанд (сервери почта, веб-сервер ва барномаҳои веб ва ғайра) мубориза барад. Одатан, барои ин IDS пас аз дастгоҳҳои сарҳадӣ дар дохили LAN насб карда мешавад, аммо берун бурдани он ҳуқуқи мавҷудиятро дорад.
Муҳофизат аз шахсони дохилӣ
Сарфи назар аз кӯшишҳои беҳтарини маъмури система, компютерҳои шабакаи корпоративӣ метавонанд бо нармафзори зараровар сироят карда шаванд. Гайр аз ин, дар махалхо баъзан авбошхо пайдо мешаванд, ки онхо баъзе амалиёти гайриконунй гузаронданй мешаванд. Suricata метавонад ба ҷилавгирӣ аз ин гуна кӯшишҳо кӯмак кунад, гарчанде ки барои ҳифзи шабакаи дохилӣ беҳтар аст, ки онро дар дохили периметр насб кунед ва онро дар якҷоягӣ бо коммутатори идорашаванда истифода баред, ки метавонад трафикро ба як порт инъикос кунад. Дар ин ҳолат IDS-и беруна низ бефоида нест - ҳадди аққал он метавонад кӯшиши аз ҷониби нармафзори зарароваре, ки дар LAN зиндагӣ мекунанд, барои тамос бо сервери беруна мубориза барад.
Барои оғоз, мо озмоиши дигари ҳамлаи VPS-ро эҷод мекунем ва дар роутери шабакаи маҳаллӣ мо Apache-ро бо конфигуратсияи пешфарз баланд мебарем ва пас аз он мо бандари 80-умро аз сервери IDS ба он интиқол медиҳем. Минбаъд, мо ҳамлаи DDoS-ро аз мизбони ҳамлакунанда тақлид мекунем. Барои ин, аз GitHub зеркашӣ кунед, барномаи хурди xerxes-ро дар гиреҳи ҳамлакунанда тартиб диҳед ва иҷро кунед (шумо бояд бастаи gcc-ро насб кунед):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80
Натиҷаи кори ӯ чунин буд:
Суиката бадкирдорро қатъ мекунад ва саҳифаи Apache ба таври нобаёнӣ кушода мешавад, сарфи назар аз ҳамлаи ғайриоддии мо ва канали хеле мурдаи шабакаи "офис" (воқеан хона). Барои вазифаҳои ҷиддӣ, шумо бояд истифода баред
sudo msfupdate
Барои санҷиш, msfconsole -ро иҷро кунед.
Мутаассифона, версияҳои охирини чаҳорчӯба қобилияти шикастани худкор надоранд, аз ин рӯ истисморҳо бояд дастӣ мураттаб карда шаванд ва бо истифода аз фармони use иҷро шаванд. Барои оғоз кардан, муайян кардани бандарҳои кушодаи мошини ҳамлашуда бамаврид аст, масалан, бо истифода аз nmap (дар ҳолати мо, он пурра бо netstat дар мизбони ҳамлашуда иваз карда мешавад) ва сипас мувофиқро интихоб кунед ва истифода баред.
Воситаҳои дигари санҷиши устувории IDS ба ҳамлаҳо, аз ҷумла хидматҳои онлайн вуҷуд доранд. Ба хотири кунҷковӣ, шумо метавонед бо истифода аз версияи озмоишӣ санҷиши стресс ташкил кунед
Манбаъ: will.com