В a ti bo bi o ṣe le ṣiṣẹ ẹya iduroṣinṣin ti Suricata lori Ubuntu 18.04 LTS. Ṣiṣeto IDS kan lori ipade kan ati ṣiṣe awọn eto ofin ọfẹ jẹ lẹwa taara. Loni a yoo ro bi o ṣe le daabobo nẹtiwọọki ile-iṣẹ nipa lilo awọn iru ikọlu ti o wọpọ julọ nipa lilo Suricata ti a fi sori ẹrọ olupin foju kan. Lati ṣe eyi, a nilo VDS kan lori Linux pẹlu awọn ohun kohun iširo meji. Iwọn Ramu da lori fifuye: 2 GB to fun ẹnikan, ati 4 tabi paapaa 6 le nilo fun awọn iṣẹ ṣiṣe to ṣe pataki diẹ sii. oro bi ti nilo.
Fọto: Reuters
Nsopọ awọn nẹtiwọki
Yiyọ IDS kuro si ẹrọ foju kan ni aye akọkọ le nilo fun awọn idanwo. Ti o ko ba ti ṣe pẹlu iru awọn solusan, o yẹ ki o yara lati paṣẹ ohun elo ti ara ati yi faaji nẹtiwọọki pada. O dara julọ lati ṣiṣe eto naa lailewu ati idiyele-doko lati pinnu awọn iwulo iṣiro rẹ. O ṣe pataki lati ni oye pe gbogbo awọn ijabọ ile-iṣẹ yoo ni lati kọja nipasẹ ipade ita kan: lati so nẹtiwọọki agbegbe kan (tabi awọn nẹtiwọọki pupọ) si VDS pẹlu IDS Suricata ti fi sori ẹrọ, o le lo. - Rọrun-lati tunto, olupin VPN agbelebu-Syeed ti o pese fifi ẹnọ kọ nkan to lagbara. Isopọ Intanẹẹti ọfiisi le ma ni IP gidi, nitorinaa o dara lati ṣeto sori VPS kan. Ko si awọn idii ti a ti ṣetan ni ibi ipamọ Ubuntu, iwọ yoo ni lati ṣe igbasilẹ sọfitiwia naa boya lati , tabi lati ibi ipamọ ita lori iṣẹ naa (ti o ba gbẹkẹle rẹ):
sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get updateO le wo atokọ ti awọn idii ti o wa pẹlu aṣẹ atẹle:
apt-cache search softether
A yoo nilo softether-vpnserver (olupin ti o wa ninu iṣeto idanwo n ṣiṣẹ lori VDS), bakannaa softether-vpncmd - awọn ohun elo laini aṣẹ fun atunto rẹ.
sudo apt-get install softether-vpnserver softether-vpncmdIwUlO laini aṣẹ pataki kan ni a lo lati tunto olupin naa:
sudo vpncmd
A kii yoo sọrọ ni awọn alaye nipa eto: ilana naa jẹ ohun rọrun, o jẹ apejuwe daradara ni ọpọlọpọ awọn atẹjade ati pe ko ni ibatan taara si koko-ọrọ ti nkan naa. Ni kukuru, lẹhin ti o bẹrẹ vpncmd, o nilo lati yan ohun kan 1 lati lọ si console iṣakoso olupin. Lati ṣe eyi, o nilo lati tẹ orukọ localhost sii ki o tẹ tẹ dipo titẹ orukọ ibudo naa sii. Ọrọigbaniwọle oludari ti ṣeto ninu console pẹlu aṣẹ olupinpasswordset, ibudo foju DEFAULT ti paarẹ (aṣẹ hubdelete) ati pe a ṣẹda tuntun pẹlu orukọ Suricata_VPN, ati pe ọrọ igbaniwọle rẹ tun ṣeto (aṣẹ aṣẹ-iṣẹ). Nigbamii, o nilo lati lọ si console iṣakoso ti ibudo tuntun nipa lilo aṣẹ Suricata_VPN hub lati ṣẹda ẹgbẹ kan ati olumulo nipa lilo awọn aṣẹ ẹgbẹ ati ṣẹda awọn aṣẹ. Ti ṣeto ọrọ igbaniwọle olumulo nipa lilo ọrọ igbaniwọle olumulo olumulo.
SoftEther ṣe atilẹyin awọn ọna gbigbe ijabọ meji: SecureNAT ati Afara Agbegbe. Akọkọ jẹ imọ-ẹrọ ohun-ini fun kikọ nẹtiwọọki aladani foju kan pẹlu NAT tirẹ ati DHCP. SecureNAT ko nilo TUN/TAP tabi Netfilter tabi awọn eto ogiriina miiran. Ipa ọna ko ni ipa lori ipilẹ ti eto naa, ati pe gbogbo awọn ilana jẹ agbara ati ṣiṣẹ lori eyikeyi VPS / VDS, laibikita hypervisor ti a lo. Eyi ṣe abajade fifuye Sipiyu ti o pọ si ati iyara ti o lọra ni akawe si ipo Afara Agbegbe, eyiti o so ibudo foju SoftEther pọ si ohun ti nmu badọgba nẹtiwọọki ti ara tabi ẹrọ TAP.
Iṣeto ni ọran yii di idiju diẹ sii, nitori ipa-ọna waye ni ipele ekuro nipa lilo Netfilter. VDS wa ni itumọ ti Hyper-V, nitorina ni igbesẹ ti o kẹhin a ṣẹda afara agbegbe ati mu ẹrọ TAP ṣiṣẹ pẹlu bridgecreate Suricate_VPN -device: suricate_vpn -tap: bẹẹni pipaṣẹ. Lẹhin ti o jade kuro ni console iṣakoso ibudo, a yoo rii wiwo nẹtiwọọki tuntun ninu eto ti ko ti yan IP kan:
ifconfig
Nigbamii, iwọ yoo ni lati mu ipa-ọna soso ṣiṣẹ laarin awọn atọkun (ip siwaju), ti ko ba ṣiṣẹ:
sudo nano /etc/sysctl.confṢe akiyesi laini atẹle naa:
net.ipv4.ip_forward = 1Ṣafipamọ awọn ayipada si faili naa, jade kuro ni olootu ki o lo wọn pẹlu aṣẹ atẹle:
sudo sysctl -pNigbamii ti, a nilo lati ṣalaye subnet kan fun nẹtiwọọki foju pẹlu IPs airotẹlẹ (fun apẹẹrẹ, 10.0.10.0/24) ati fi adirẹsi kan si wiwo:
sudo ifconfig tap_suricata_vp 10.0.10.1/24Lẹhinna o nilo lati kọ awọn ofin Netfilter.
1. Ti o ba jẹ dandan, gba awọn apo-iwe ti nwọle lori awọn ebute gbigbọ (SoftEther Protocol proprietary lo HTTPS ati ibudo 443)
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT2. Ṣeto NAT lati inu subnet 10.0.10.0/24 si IP olupin akọkọ
sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.1403. Gba awọn apo-iwe ti o kọja lati subnet 10.0.10.0/24
sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT4. Gba awọn apo-iwe ti o kọja fun awọn asopọ ti iṣeto tẹlẹ
sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPTA yoo lọ kuro ni adaṣe ti ilana naa nigbati eto naa ba tun bẹrẹ nipa lilo awọn iwe afọwọkọ ibẹrẹ si awọn oluka bi iṣẹ amurele.
Ti o ba fẹ fi IP fun awọn onibara laifọwọyi, iwọ yoo tun nilo lati fi sori ẹrọ diẹ ninu iru iṣẹ DHCP fun afara agbegbe. Eyi pari iṣeto olupin ati pe o le lọ si awọn alabara. SoftEther ṣe atilẹyin ọpọlọpọ awọn ilana, lilo eyiti o da lori awọn agbara ti ohun elo LAN.
netstat -ap |grep vpnserver
Niwọn igba ti olulana idanwo wa tun n ṣiṣẹ labẹ Ubuntu, jẹ ki a fi ẹrọ softether-vpnclient ati awọn idii-vpncmd softether-vpncmd lati ibi ipamọ ita lori rẹ lati lo ilana ohun-ini. Iwọ yoo nilo lati ṣiṣẹ alabara:
sudo vpnclient startLati tunto, lo vpncmd IwUlO, yiyan localhost bi ẹrọ lori eyiti vpnclient nṣiṣẹ. Gbogbo awọn aṣẹ ni a ṣe ninu console: iwọ yoo nilo lati ṣẹda wiwo foju kan (NicCreate) ati akọọlẹ kan (AccountCreate).
Ni awọn igba miiran, o gbọdọ pato ọna ìfàṣẹsí nipa lilo AccountAnonymousSet, AccountPasswordSet, AccountCertSet, ati AccountSecureCertSet pipaṣẹ. Niwọn igba ti a ko lo DHCP, adirẹsi fun ohun ti nmu badọgba foju ti ṣeto pẹlu ọwọ.
Ni afikun, a nilo lati mu ip siwaju (net.ipv4.ip_forward = paramita 1 ninu faili /etc/sysctl.conf) ati tunto awọn ipa ọna aimi. Ti o ba jẹ dandan, lori VDS pẹlu Suricata, o le tunto ifiranšẹ ibudo lati lo awọn iṣẹ ti a fi sori ẹrọ lori nẹtiwọki agbegbe. Lori eyi, apapọ nẹtiwọọki le jẹ pe pipe.
Iṣeto ni imọran wa yoo dabi nkan bi eyi:
Ṣiṣeto Suricata
В a sọrọ nipa awọn ọna ṣiṣe meji ti ID: nipasẹ isinyi NFQUEUE (ipo NFQ) ati nipasẹ ẹda odo (ipo AF_PACKET). Awọn keji nilo meji atọkun, sugbon jẹ yiyara - a yoo lo o. A ṣeto paramita nipasẹ aiyipada ni /etc/default/suricata. A tun nilo lati ṣatunkọ apakan vars ni /etc/suricata/suricata.yaml, ṣeto subnet foju nibẹ bi ile.
Lati tun IDS bẹrẹ, lo aṣẹ naa:
systemctl restart suricataOjutu naa ti ṣetan, ni bayi o le nilo lati ṣe idanwo fun resistance si awọn iṣe irira.
Simulating ku
Awọn oju iṣẹlẹ pupọ le wa fun lilo ija ti iṣẹ ID ID ita kan:
Idaabobo lodi si awọn ikọlu DDoS (idi akọkọ)
O nira lati ṣe iru aṣayan kan ninu nẹtiwọọki ile-iṣẹ, nitori awọn apo-iwe fun itupalẹ gbọdọ gba si wiwo eto ti o wo Intanẹẹti. Paapa ti IDS ba ṣe idiwọ wọn, ijabọ asan le mu ọna asopọ data silẹ. Lati yago fun eyi, o nilo lati paṣẹ VPS kan pẹlu asopọ intanẹẹti ti o munadoko ti o le kọja gbogbo ijabọ nẹtiwọọki agbegbe ati gbogbo ijabọ ita. O rọrun nigbagbogbo ati din owo lati ṣe eyi ju lati faagun ikanni ọfiisi. Gẹgẹbi yiyan, o tọ lati darukọ awọn iṣẹ amọja fun aabo lodi si DDoS. Awọn idiyele ti awọn iṣẹ wọn jẹ afiwera si idiyele ti olupin foju, ati pe ko nilo iṣeto akoko n gba, ṣugbọn awọn aila-nfani tun wa - alabara gba aabo DDoS nikan fun owo rẹ, lakoko ti IDS tirẹ le tunto bi iwọ. fẹran.
Idaabobo lodi si awọn ikọlu ita ti awọn iru miiran
Suricata ni anfani lati koju pẹlu awọn igbiyanju lati lo ọpọlọpọ awọn ailagbara ni awọn iṣẹ nẹtiwọọki ajọ ti o wa lati Intanẹẹti (olupin meeli, olupin wẹẹbu ati awọn ohun elo wẹẹbu, ati bẹbẹ lọ). Nigbagbogbo, fun eyi, IDS ti fi sori ẹrọ inu LAN lẹhin awọn ẹrọ aala, ṣugbọn gbigbe ni ita ni ẹtọ lati wa.
Idaabobo lati inu
Pelu awọn igbiyanju ti o dara julọ ti olutọju eto, awọn kọmputa lori nẹtiwọki ile-iṣẹ le ni akoran pẹlu malware. Ni afikun, awọn hooligans nigbakan han ni agbegbe agbegbe, ti o gbiyanju lati ṣe diẹ ninu awọn iṣẹ arufin. Suricata le ṣe iranlọwọ lati dènà iru awọn igbiyanju bẹ, biotilejepe lati daabobo nẹtiwọki inu o dara lati fi sori ẹrọ ni inu agbegbe ati lo ni tandem pẹlu iyipada iṣakoso ti o le ṣe afihan ijabọ si ibudo kan. IDS ita ko tun jẹ asan ninu ọran yii - o kere ju yoo ni anfani lati yẹ awọn igbiyanju nipasẹ malware ti ngbe lori LAN lati kan si olupin ita.
Lati bẹrẹ pẹlu, a yoo ṣẹda idanwo miiran ti o kọlu VPS, ati lori olulana nẹtiwọọki agbegbe a yoo gbe Apache soke pẹlu iṣeto aiyipada, lẹhin eyi a yoo firanṣẹ ibudo 80th si ọdọ olupin IDS. Nigbamii ti, a yoo ṣe afiwe ikọlu DDoS kan lati ọdọ agbalejo ikọlu. Lati ṣe eyi, ṣe igbasilẹ lati GitHub, ṣajọ ati ṣiṣe eto xerxes kekere kan lori ipade ikọlu (o le nilo lati fi idii gcc sori ẹrọ):
git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes
./xerxes 45.132.17.140 80Abajade iṣẹ rẹ jẹ bi atẹle:
Suricata ge apanirun naa kuro, ati pe oju-iwe Apache ṣii nipasẹ aiyipada, laibikita ikọlu aiṣedeede wa ati ikanni kuku ti nẹtiwọọki “ọfiisi” (gangan ile). Fun awọn iṣẹ ṣiṣe to ṣe pataki, o yẹ ki o lo . O jẹ apẹrẹ fun idanwo ilaluja ati gba ọ laaye lati ṣe adaṣe ọpọlọpọ awọn ikọlu. Awọn ilana fifi sori ẹrọ lori aaye ayelujara ise agbese. Lẹhin fifi sori ẹrọ, imudojuiwọn kan nilo:
sudo msfupdateFun idanwo, ṣiṣe msfconsole.
Laanu, awọn ẹya tuntun ti ilana ko ni agbara lati kiraki laifọwọyi, nitorinaa awọn iṣamulo yoo ni lati ṣe lẹsẹsẹ pẹlu ọwọ ati ṣiṣe ni lilo aṣẹ lilo. Lati bẹrẹ pẹlu, o tọ lati pinnu awọn ebute oko oju omi ti o ṣii lori ẹrọ ikọlu, fun apẹẹrẹ, lilo nmap (ninu ọran wa, yoo rọpo patapata nipasẹ netstat lori agbalejo ti o kọlu), lẹhinna yan ati lo eyiti o yẹ. .
Awọn ọna miiran wa lati ṣe idanwo ifarabalẹ ti IDS lodi si awọn ikọlu, pẹlu awọn iṣẹ ori ayelujara. Fun idi ti iwariiri, o le ṣeto idanwo wahala nipa lilo ẹya idanwo naa . Lati ṣayẹwo ifarahan si awọn iṣe ti awọn intruders inu, o tọ lati fi awọn irinṣẹ pataki sori ọkan ninu awọn ẹrọ lori nẹtiwọọki agbegbe. Awọn aṣayan pupọ wa ati lati igba de igba wọn yẹ ki o lo kii ṣe si aaye idanwo nikan, ṣugbọn si awọn eto ṣiṣe, nikan ni eyi jẹ itan ti o yatọ patapata.
orisun: www.habr.com