Snort یا Suricata. حصہ 3: آفس نیٹ ورک کی حفاظت

В پچھلا مضمون ہم نے Ubuntu 18.04 LTS پر Suricata کے مستحکم ورژن کو چلانے کا طریقہ بتایا ہے۔ ایک ہی نوڈ پر آئی ڈی ایس ترتیب دینا اور مفت رول سیٹ کو فعال کرنا کافی سیدھا ہے۔ آج ہم یہ معلوم کریں گے کہ ورچوئل سرور پر نصب Suricata کا استعمال کرتے ہوئے سب سے عام قسم کے حملوں کا استعمال کرتے ہوئے کارپوریٹ نیٹ ورک کی حفاظت کیسے کی جائے۔ ایسا کرنے کے لیے، ہمیں لینکس پر دو کمپیوٹنگ کور کے ساتھ VDS کی ضرورت ہے۔ RAM کی مقدار بوجھ پر منحصر ہے: کسی کے لیے 2 GB کافی ہے، اور زیادہ سنجیدہ کاموں کے لیے 4 یا 6 بھی درکار ہو سکتے ہیں۔ ورچوئل مشین کا فائدہ تجربہ کرنے کی صلاحیت ہے: آپ کم سے کم ترتیب کے ساتھ شروع کر سکتے ہیں اور بڑھا سکتے ہیں۔ ضرورت کے مطابق وسائل۔

تصویر: رائٹرز

• Snort یا Suricata. حصہ 1: اپنے کارپوریٹ نیٹ ورک کی حفاظت کے لیے ایک مفت IDS/IPS کا انتخاب
• Snort یا Suricata. حصہ 2: سوریکاٹا کی تنصیب اور ابتدائی سیٹ اپ

مربوط نیٹ ورکس

آئی ڈی ایس کو پہلی جگہ ورچوئل مشین میں ہٹانا ٹیسٹوں کے لیے درکار ہو سکتا ہے۔ اگر آپ نے اس طرح کے حل کے ساتھ کبھی نمٹا نہیں ہے، تو آپ کو فزیکل ہارڈویئر آرڈر کرنے اور نیٹ ورک کے فن تعمیر کو تبدیل کرنے میں جلدی نہیں کرنی چاہیے۔ اپنی کمپیوٹ کی ضروریات کا تعین کرنے کے لیے نظام کو محفوظ طریقے سے اور لاگت سے چلانا بہتر ہے۔ یہ سمجھنا ضروری ہے کہ تمام کارپوریٹ ٹریفک کو ایک بیرونی نوڈ سے گزرنا ہوگا: ایک مقامی نیٹ ورک (یا کئی نیٹ ورکس) کو VDS سے مربوط کرنے کے لیے جس میں IDS Suricata انسٹال ہے، آپ استعمال کر سکتے ہیں۔ سافٹ ایٹر - ترتیب میں آسان، کراس پلیٹ فارم VPN سرور جو مضبوط انکرپشن فراہم کرتا ہے۔ ہو سکتا ہے ایک آفس انٹرنیٹ کنکشن میں حقیقی IP نہ ہو، اس لیے اسے VPS پر سیٹ کرنا بہتر ہے۔ اوبنٹو ریپوزٹری میں کوئی ریڈی میڈ پیکجز نہیں ہیں، آپ کو سافٹ ویئر ڈاؤن لوڈ کرنا پڑے گا یا تو یہاں سے پروجیکٹ سائٹ، یا سروس پر کسی بیرونی ذخیرہ سے لانچ پیڈ (اگر آپ اس پر بھروسہ کرتے ہیں):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

آپ درج ذیل کمانڈ کے ساتھ دستیاب پیکجوں کی فہرست دیکھ سکتے ہیں۔

apt-cache search softether

ہمیں softether-vpnserver (ٹیسٹ کنفیگریشن میں سرور VDS پر چل رہا ہے) کے ساتھ ساتھ softether-vpncmd - اسے ترتیب دینے کے لیے کمانڈ لائن یوٹیلیٹیز کی ضرورت ہوگی۔

sudo apt-get install softether-vpnserver softether-vpncmd

سرور کو ترتیب دینے کے لیے ایک خاص کمانڈ لائن یوٹیلیٹی استعمال کی جاتی ہے:

sudo vpncmd

ہم ترتیب کے بارے میں تفصیل سے بات نہیں کریں گے: طریقہ کار بہت آسان ہے، یہ متعدد اشاعتوں میں اچھی طرح سے بیان کیا گیا ہے اور مضمون کے موضوع سے براہ راست تعلق نہیں رکھتا ہے۔ مختصراً، vpncmd شروع کرنے کے بعد، آپ کو سرور مینجمنٹ کنسول پر جانے کے لیے آئٹم 1 کو منتخب کرنا ہوگا۔ ایسا کرنے کے لیے، آپ کو لوکل ہوسٹ کا نام درج کرنا ہوگا اور حب کا نام درج کرنے کے بجائے انٹر دبائیں۔ ایڈمنسٹریٹر کا پاس ورڈ سرور پاسورڈ سیٹ کمانڈ کے ساتھ کنسول میں سیٹ کیا جاتا ہے، ڈیفالٹ ورچوئل ہب کو حذف کر دیا جاتا ہے (ہب ڈیلیٹ کمانڈ) اور ایک نیا نام Suricata_VPN کے ساتھ بنایا جاتا ہے، اور اس کا پاس ورڈ بھی سیٹ کیا جاتا ہے (hubcreate کمانڈ)۔ اس کے بعد، آپ کو حب Suricata_VPN کمانڈ کا استعمال کرتے ہوئے نئے حب کے مینجمنٹ کنسول پر جانے کی ضرورت ہے تاکہ گروپ تخلیق اور صارف تخلیق کمانڈز کا استعمال کرتے ہوئے ایک گروپ اور صارف بنائیں۔ صارف کا پاس ورڈ یوزر پاس ورڈ سیٹ کا استعمال کرتے ہوئے سیٹ کیا جاتا ہے۔

SoftEther ٹریفک کی منتقلی کے دو طریقوں کو سپورٹ کرتا ہے: SecureNAT اور Local Bridge۔ پہلی اپنی NAT اور DHCP کے ساتھ ورچوئل پرائیویٹ نیٹ ورک بنانے کے لیے ایک ملکیتی ٹیکنالوجی ہے۔ SecureNAT کو TUN/TAP یا Netfilter یا دیگر فائر وال سیٹنگز کی ضرورت نہیں ہے۔ روٹنگ سسٹم کے بنیادی حصے کو متاثر نہیں کرتی ہے، اور تمام عمل ورچوئلائز ہوتے ہیں اور کسی بھی VPS/VDS پر کام کرتے ہیں، چاہے ہائپر وائزر استعمال کیا گیا ہو۔ اس کے نتیجے میں مقامی برج موڈ کے مقابلے CPU لوڈ اور سست رفتاری ہوتی ہے، جو SoftEther ورچوئل ہب کو فزیکل نیٹ ورک اڈاپٹر یا TAP ڈیوائس سے جوڑتا ہے۔

اس معاملے میں کنفیگریشن زیادہ پیچیدہ ہو جاتی ہے، کیونکہ نیٹ فلٹر کا استعمال کرتے ہوئے کرنل کی سطح پر روٹنگ ہوتی ہے۔ ہمارا VDS Hyper-V پر بنایا گیا ہے، لہذا آخری مرحلے میں ہم ایک مقامی پل بناتے ہیں اور TAP ڈیوائس کو bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes کمانڈ کے ساتھ فعال کرتے ہیں۔ حب مینجمنٹ کنسول سے باہر نکلنے کے بعد، ہم سسٹم میں ایک نیا نیٹ ورک انٹرفیس دیکھیں گے جسے ابھی تک IP تفویض نہیں کیا گیا ہے:

ifconfig

اگلا، آپ کو انٹرفیس (آئی پی فارورڈ) کے درمیان پیکٹ روٹنگ کو فعال کرنا پڑے گا، اگر یہ غیر فعال ہے:

sudo nano /etc/sysctl.conf

درج ذیل لائن کو غیر تبصرہ کریں:

net.ipv4.ip_forward = 1

فائل میں تبدیلیاں محفوظ کریں، ایڈیٹر سے باہر نکلیں اور درج ذیل کمانڈ کے ساتھ ان کا اطلاق کریں:

sudo sysctl -p

اگلا، ہمیں فرضی آئی پی کے ساتھ ورچوئل نیٹ ورک کے لیے سب نیٹ کی وضاحت کرنے کی ضرورت ہے (مثال کے طور پر، 10.0.10.0/24) اور انٹرفیس کو ایک پتہ تفویض کرنا ہوگا:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

پھر آپ کو نیٹ فلٹر کے قواعد لکھنے کی ضرورت ہے۔

1. اگر ضروری ہو تو، سننے والے بندرگاہوں پر آنے والے پیکٹ کی اجازت دیں (SoftEther ملکیتی پروٹوکول HTTPS اور پورٹ 443 استعمال کرتا ہے)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. NAT کو 10.0.10.0/24 سب نیٹ سے مین سرور IP پر سیٹ کریں

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. سب نیٹ 10.0.10.0/24 سے پیکٹ پاس کرنے کی اجازت دیں۔

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. پہلے سے قائم کنکشن کے لیے پیکٹ پاس کرنے کی اجازت دیں۔

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

ہم اس عمل کی آٹومیشن کو اس وقت چھوڑ دیں گے جب سسٹم کو دوبارہ شروع کیا جائے گا جب ابتدائی اسکرپٹس کا استعمال کرتے ہوئے قارئین کو ہوم ورک کے طور پر پیش کیا جائے گا۔

اگر آپ کلائنٹس کو خود بخود IP دینا چاہتے ہیں، تو آپ کو مقامی پل کے لیے کسی قسم کی DHCP سروس بھی انسٹال کرنے کی ضرورت ہوگی۔ یہ سرور سیٹ اپ کو مکمل کرتا ہے اور آپ کلائنٹس کے پاس جا سکتے ہیں۔ SoftEther بہت سے پروٹوکول کو سپورٹ کرتا ہے، جن کا استعمال LAN آلات کی صلاحیتوں پر منحصر ہے۔

netstat -ap |grep vpnserver

چونکہ ہمارا ٹیسٹ راؤٹر بھی Ubuntu کے تحت چلتا ہے، آئیے ملکیتی پروٹوکول کو استعمال کرنے کے لیے اس پر ایک بیرونی ریپوزٹری سے softether-vpnclient اور softether-vpncmd پیکیجز انسٹال کریں۔ آپ کو کلائنٹ کو چلانے کی ضرورت ہوگی:

sudo vpnclient start

کنفیگر کرنے کے لیے، vpncmd یوٹیلیٹی استعمال کریں، لوکل ہوسٹ کو اس مشین کے طور پر منتخب کریں جس پر vpnclient چل رہا ہے۔ تمام کمانڈز کنسول میں بنائے جاتے ہیں: آپ کو ایک ورچوئل انٹرفیس (NicCreate) اور ایک اکاؤنٹ (AccountCreate) بنانے کی ضرورت ہوگی۔

کچھ معاملات میں، آپ کو AccountAnonymousSet، AccountPasswordSet، AccountCertSet، اور AccountSecureCertSet کمانڈز کا استعمال کرتے ہوئے تصدیق کا طریقہ بتانا ہوگا۔ چونکہ ہم DHCP استعمال نہیں کر رہے ہیں، ورچوئل اڈاپٹر کا پتہ دستی طور پر سیٹ کیا گیا ہے۔

اس کے علاوہ، ہمیں ip فارورڈ کو فعال کرنے کی ضرورت ہے (/etc/sysctl.conf فائل میں net.ipv4.ip_forward=1 پیرامیٹر) اور جامد راستوں کو ترتیب دینا ہوگا۔ اگر ضروری ہو تو، Suricata کے ساتھ VDS پر، آپ مقامی نیٹ ورک پر انسٹال کردہ خدمات کو استعمال کرنے کے لیے پورٹ فارورڈنگ کو ترتیب دے سکتے ہیں۔ اس پر، نیٹ ورک کے انضمام کو مکمل سمجھا جا سکتا ہے.

ہماری مجوزہ ترتیب کچھ اس طرح نظر آئے گی:

Suricata ترتیب دے رہا ہے۔

В پچھلا مضمون ہم نے IDS کے آپریشن کے دو طریقوں کے بارے میں بات کی: NFQUEUE قطار (NFQ موڈ) کے ذریعے اور صفر کاپی (AF_PACKET موڈ) کے ذریعے۔ دوسرا دو انٹرفیس کی ضرورت ہے، لیکن تیز ہے - ہم اسے استعمال کریں گے. پیرامیٹر بطور ڈیفالٹ /etc/default/suricata میں سیٹ کیا جاتا ہے۔ ہمیں ورچوئل سب نیٹ کو گھر کے طور پر ترتیب دیتے ہوئے /etc/suricata/suricata.yaml میں vars سیکشن میں ترمیم کرنے کی بھی ضرورت ہے۔

IDS کو دوبارہ شروع کرنے کے لیے، کمانڈ استعمال کریں:

systemctl restart suricata

حل تیار ہے، اب آپ کو بدنیتی پر مبنی اعمال کے خلاف مزاحمت کے لیے اسے جانچنے کی ضرورت پڑ سکتی ہے۔

نقلی حملوں

بیرونی IDS سروس کے جنگی استعمال کے کئی منظرنامے ہو سکتے ہیں:

DDoS حملوں کے خلاف تحفظ (بنیادی مقصد)

کارپوریٹ نیٹ ورک کے اندر اس طرح کے آپشن کو نافذ کرنا مشکل ہے، کیونکہ تجزیہ کے لیے پیکٹ کو انٹرنیٹ پر نظر آنے والے سسٹم انٹرفیس تک پہنچنا چاہیے۔ یہاں تک کہ اگر آئی ڈی ایس انہیں روکتا ہے، جعلی ٹریفک ڈیٹا لنک کو نیچے لا سکتی ہے۔ اس سے بچنے کے لیے، آپ کو کافی پیداواری انٹرنیٹ کنکشن کے ساتھ VPS آرڈر کرنے کی ضرورت ہے جو تمام مقامی نیٹ ورک ٹریفک اور تمام بیرونی ٹریفک کو منتقل کر سکے۔ آفس چینل کو وسعت دینے کے بجائے ایسا کرنا اکثر آسان اور سستا ہوتا ہے۔ متبادل کے طور پر، DDoS کے خلاف تحفظ کے لیے خصوصی خدمات کا ذکر کرنا ضروری ہے۔ ان کی خدمات کی لاگت کا موازنہ ایک ورچوئل سرور کی لاگت سے کیا جاسکتا ہے، اور اس کے لیے وقت گزارنے والی ترتیب کی ضرورت نہیں ہے، لیکن اس کے نقصانات بھی ہیں - کلائنٹ کو اپنے پیسوں کے لیے صرف DDoS تحفظ ملتا ہے، جب کہ اس کی اپنی IDS کو آپ کی طرح ترتیب دیا جا سکتا ہے۔ پسند

دیگر اقسام کے بیرونی حملوں سے تحفظ

Suricata انٹرنیٹ سے قابل رسائی کارپوریٹ نیٹ ورک سروسز (میل سرور، ویب سرور اور ویب ایپلیکیشنز وغیرہ) میں مختلف کمزوریوں سے فائدہ اٹھانے کی کوششوں سے نمٹنے کے قابل ہے۔ عام طور پر اس کے لیے بارڈر ڈیوائسز کے بعد LAN کے اندر IDS انسٹال کیا جاتا ہے لیکن اسے باہر لے جانے کا حق ہے۔

اندرونیوں سے تحفظ

سسٹم ایڈمنسٹریٹر کی بہترین کوششوں کے باوجود کارپوریٹ نیٹ ورک پر موجود کمپیوٹرز میلویئر سے متاثر ہو سکتے ہیں۔ اس کے علاوہ، بعض اوقات غنڈے مقامی علاقے میں نظر آتے ہیں، جو کچھ غیر قانونی کارروائیاں کرنے کی کوشش کرتے ہیں۔ Suricata ایسی کوششوں کو روکنے میں مدد کر سکتا ہے، حالانکہ اندرونی نیٹ ورک کی حفاظت کے لیے یہ بہتر ہے کہ اسے دائرہ کے اندر نصب کیا جائے اور اسے ایک ایسے منظم سوئچ کے ساتھ مل کر استعمال کیا جائے جو ٹریفک کو ایک بندرگاہ تک آئینہ دے سکے۔ اس معاملے میں ایک بیرونی IDS بھی بیکار نہیں ہے - کم از کم یہ LAN پر رہنے والے میلویئر کی طرف سے کسی بیرونی سرور سے رابطہ کرنے کی کوششوں کو پکڑ سکے گا۔

شروع کرنے کے لیے، ہم VPS پر حملہ کرنے والا ایک اور ٹیسٹ بنائیں گے، اور مقامی نیٹ ورک روٹر پر ہم اپاچی کو ڈیفالٹ کنفیگریشن کے ساتھ اٹھائیں گے، جس کے بعد ہم IDS سرور سے 80ویں پورٹ کو آگے بھیجیں گے۔ اگلا، ہم حملہ آور میزبان سے DDoS حملے کی نقل کریں گے۔ ایسا کرنے کے لیے، GitHub سے ڈاؤن لوڈ کریں، حملہ کرنے والے نوڈ پر ایک چھوٹا xerxes پروگرام مرتب کریں اور چلائیں (آپ کو gcc پیکیج انسٹال کرنے کی ضرورت پڑسکتی ہے):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

اس کے کام کا نتیجہ یہ تھا:

سوریکاٹا نے ولن کو کاٹ دیا، اور ہمارے فوری حملے اور "آفس" (دراصل گھر) نیٹ ورک کے بجائے ڈیڈ چینل کے باوجود، اپاچی صفحہ بطور ڈیفالٹ کھل جاتا ہے۔ زیادہ سنجیدہ کاموں کے لیے، آپ کو استعمال کرنا چاہیے۔ Metasploit فریم ورک. یہ دخول کی جانچ کے لیے ڈیزائن کیا گیا ہے اور آپ کو مختلف قسم کے حملوں کی نقل کرنے کی اجازت دیتا ہے۔ انسٹالیشن کی ہدایات دستیاب منصوبے کی ویب سائٹ پر. تنصیب کے بعد، ایک اپ ڈیٹ کی ضرورت ہے:

sudo msfupdate

جانچ کے لیے، msfconsole چلائیں۔

بدقسمتی سے، فریم ورک کے تازہ ترین ورژن میں خود بخود کریک کرنے کی صلاحیت نہیں ہے، اس لیے کارناموں کو دستی طور پر ترتیب دینا ہوگا اور استعمال کمانڈ کا استعمال کرکے چلنا ہوگا۔ شروع کرنے کے لیے، حملہ شدہ مشین پر کھلنے والی بندرگاہوں کا تعین کرنے کے قابل ہے، مثال کے طور پر، nmap کا استعمال کرتے ہوئے (ہمارے معاملے میں، یہ حملہ شدہ میزبان پر نیٹسٹیٹ سے مکمل طور پر تبدیل ہو جائے گا)، اور پھر مناسب کو منتخب کریں اور استعمال کریں۔ میٹاسپلوٹ ماڈیولز. 

حملوں کے خلاف IDS کی لچک کو جانچنے کے دوسرے ذرائع ہیں، بشمول آن لائن خدمات۔ تجسس کی خاطر، آپ آزمائشی ورژن کا استعمال کرتے ہوئے تناؤ کی جانچ کا بندوبست کر سکتے ہیں۔ آئی پی اسٹریسر. اندرونی گھسنے والوں کی کارروائیوں کے ردعمل کو چیک کرنے کے لیے، یہ مقامی نیٹ ورک پر مشینوں میں سے ایک پر خصوصی آلات نصب کرنے کے قابل ہے. بہت سارے اختیارات ہیں اور وقتا فوقتا انہیں نہ صرف تجرباتی سائٹ پر لاگو کیا جانا چاہئے ، بلکہ کام کرنے والے نظاموں پر بھی ، صرف یہ ایک بالکل مختلف کہانی ہے۔

ماخذ: www.habr.com