Zip File, мамкины хаЦкеры. В прошлом видео мы рассмотрели базовые сетевые атаки. Узнали принципы исследования сети, изучили ARP-spoofing и освежили знания по DoS и DDoS-атакам. Нынче же, самое время затронуть сторону организации безопасности нашей сети. Речь пойдёт о методах отражения уже упомянутых DDoS-атак, популярных системах обнаружения вторжений, о таких историях, как Honeypot, fail2ban, ну и конечно же, Suricata. Так что, если вам интересно, как работают современные системы защиты сетей, вы попали на правильный ролик. Поставьте сейчас под ним лайк, нажмите на колокольчик, если по каким-то причинам ещё не подписаны. Ну и устраивайтесь по удобней. Пора с головой погрузиться в увлекательный мир инфобеза. Погнали.

Начнём с DoSок. Любой DDoS, как правило, начинается неожиданно, словно понос, развивается быстро и способен буквально полностью заблокировать работу вашего сервераю

А самое стрёмное, что определить злоумышленника практически невозможно. Ибо чаще всего используются огромные объёмы трафика, в том числе через ботнетов. Этот же трафик и должны обрабатывать средства защиты.

Например, устройства с отслеживанием состояния. Их преимущества в том, что всё реализуется на уровне межсетевого экрана. И на основе анализа пакетов создаётся таблица состояний соединения, что позволяет отбрасывать неактивные или “мусорные” соединения.

Ну а минусы в том, что данный тип устройств защищает далеко не от всех типов DoS-атак. Плюс ко всему для каждого соединения создается своя таблица состояний, поэтому нагрузка многократно возрастает на само устройство защиты.

Если же удалось определить сетевые маршруты, по которым
развивается атака, то возможно создание так называемых “черных дыр”. Сетевые black hole — это “места”, куда перенаправляется и сбрасывается трафик.

По аналогии с устройством /dev/null в ОС Linux. На практике, черная дыра способна полностью “поглотить” весь трафик атаки, но для этого нужно точно указать IP-адреса назначения или источника. Что, к сожалению, не всегда возможно.

Также с DDoS-атаками можно бороться посредством распределения сетевых ресурсов. Например, географическое распределение. Т.е. распределение сетевых мощностей на отдельные узлы.

Тут важно отметить методику Anycast. Это метод маршрутизации, который позволяет направлять трафик от одного источника к различным сетевым узлам
представляющим один и тот же IPшник.

Во внутренних сетях чаще всего используют ограничение соединений и тайм-аутов, т.к. время передачи мало. Такие ограничения направлены на то, чтобы гарантировать, что DDoS-атаки не запускаются и не распространяются изнутри сетки.

Для защиты сетей от нежелательного трафика с помощью фильтрации по
набору заданных правил используются списки контроля доступа. Например, Acess лист может запретить или разрешить HTTP-трафик только
на определенные сайты, используя IP-адрес или группу IP-адресов.

Ну и, если специалистов на настройке в компании нет, всегда можно обратиться к провайдеру за услугой очистки и изменения направления трафика. Эта услуга более известна, как скрабинг.

При её использовании трафик организации или внешний трафик будет сначала перенаправляться во внутреннюю сеть поставщика решения, там фильтроваться и уже “в чистом виде” передаваться на вход.

Системы обнаружения вторжений

Теперь давайте введём пару новых понятий. В ИБ существуют СОВы. Системы Обнаружения Вторжений (или IDS) – это программное или аппаратное решение, определяющее вредоносную активности в системе или сетевом трафике.

И Системы Предотвращения Вторжений (IPS). Это программное или аппаратное решение, непосредственно предотвращающее вредоносную активности в системе или сетевом трафике.

Чаще всего в документах у безопасников и IDS, и IPS пишут, как “СОВ”. Иногда, IPS обозначают как “активная СОВ”. По подключению СОВы делятся на сетевые и локальные.

А по методу обнаружения аномалий на сигнатурный поиск и статистическое определение. К недостаткам СОВ, как правило относят, наличие ложно-позитивных срабатываний. Необходимость постоянное обновление правил.

Помимо этого, существует временной лаг между появлением уязвимостей и
созданием правил для их обнаружения. С их помощью невозможна обработка зашифрованного трафика.

И почти невозможно определить уязвимости, вызванные неправильной настройкой (слабая аутентификации и т.д.). Но несмотря на это СОВы считаются наиболее эффективным средством защиты.

Fail2ban

Рассмотрим пример локальной СОВы. Fail2ban – это одна из узкоспециализированных систем предотвращения вторжений. Она сканирует лог-файлы и находит в них странное сетевое поведение.

К примеру, ошибки набора пароля, если кто-то пытается брутить службу на вашем сервере, которая торчит во вне. Например, SSH. Fail2ban блокирует подозрительные адреса IP-адреса с которых производится брут на определённое время.

Если не забуду вставлю вам слайдик с командой из Kali и утилитой Hydra, которая как раз направлена непосредственно на такой перебор в сторону одного из узлов в локальной сети по словарику.

У меня на канале как-то помнится даже был целый сюжет по Гидре, но опыт показывает, что такие видосики ютуб удаляет, а каналы банит к **ям. Так что простите. Этот материал вы сможете найти только в моём паблике в телеграме.

Там специально пост закреплён. Перейдёте, подпишитесь, и можете забирать годную инфу себе на компуктер. Засейвите в отдельную папку до лучших времён. Пускай хранится на случай, если решите перейти на тёмную сторону.

Ну а мы, пока что на светлой, поэтому вместо инструмента для подбора паролей к сервисам, займёмся установкой IPS fail2ban. Топология для тестирования у нас будет практически такая же, как и ранее.

С тем лишь исключением, что рано или поздно при переборе паролей Гидрой при включённой Банке мы увидим ошибку, говорящую о том, что соединение было откинуто и закинуто в бан. В этом можно убедиться, просмотрев логи.

Suricata

Перейдём к сетевые СОВам. Наиболее популярная среди них, конечно же, Suricata. Изначально проект назывался Snort. Это сетевая IDS с открытым исходным кодом, разрабатываемая Open Security Foundation.

Так что для практики скачайте её и поставьте на отдельную тачку в одной сетке с Калихой. Команды для установки в описании к видео я не выкладываю, не потому что мудак, а для того, чтобы всё сами набрали ручками.

Иначе ничего в голове не отложится. Так что не ленимся. Ставим на паузу, вдумчиво набираем и параллельно гуглим, если какая-то часть не понятно. Только так можно хоть чему-нибудь научиться.

Первое что делается это устанавливаются общие параметры. Потом добавляется репозиторий со стабильной версией Сурикаты. Далее обновляются заголовки пакетов и затем уже ставится непосредственно Сурик.

Сам конфиг СОВы лежит в /etc/suricata и называется suricata.yaml. Открыв его, нужно поменять значение параметра EXTERNAL_NET на "any". Сохранить это дело. И выйдя из файла ребутнуть службу.

Для запуска потребуется добавить в команду название интерфейса, который будете слушать. И после этого откроем лог-файл fast.log, в котором будут отображаться предупреждения.

Вообще логов в Сурикате довольно много, но этот наиболее полезный и наглядно отображающий нужную информацию. Так что, если вы попробуете произвести SYN-сканирование или подбор пароля с Kaliшки, данный лог файл запестрит интересной инфой о зафиксированных событиях.

Honeypot

Если же вы не хотите или не имеете финансовой возможности установить путный сетевой IPS или IDS, можно использовать Honeypot. Действует он по принципу колокольчиков над входной дверью в каком-нибудь магазине.

Т.е. как только сервак или рабочую станцию пытаются просканировать – они мгновенно начинают звенеть и тем самым оповещает администратора. Эдакие маленькие ловушки на узлах вашей сетки.

Само собой у такого подхода есть недостатки. Так, если ловушка плохо настроена, её очень легко распознать. В том числе распознать её может и злоумышленник.

Также ловушка может обнаружить только атаку на саму ловушку. Поэтому если ловушка была распознана, на неё можно совершить псевдо-“атаку”, чтобы отвлечь от реальных действий в системе.

А если ловушка, не дай боже содержит уязвимости, через ней можно атаковать
систему. Так что, если уж используете такой механизм для детекта, старайтесь использовать только проверенные решения.

Есть такой Линуксовский дистрибутив HoneyDrive. В нём изначально зашит десяток ловушек и набор средств для визуального представления атак. Если интересно – можете качнуть и поковырять на досуге.

Для начала можете начать с kippo. Данный инструмент относительно прост в настройке, и вы сможете наглядно посмотреть, как на практике работает сетевая ловушка, детектирующая подбор паролей от SSH.

Ссылку на OVA-образ HoneyDrive оставлю в паблике в телеграме. Переходите, подписывайтесь, качайте образ с ловушками и в целом вливайтесь в нашу хаЦкерскую тусовку. У нас там отличная ламповая атмосфера.

Ну и это. Не спешите ставить ловушки на локальные виртуалки. Кто знает, какая гадость из таковой может просочиться на вашу тачку. Для тренировок лучше воспользоваться проверенным VDS-сервисом.

Например, SptintBox, о котором я уже не раз упоминал в своих роликах. С его помощью можно поднять свой собственный VDS-бокс и накатить популярный образ Линухи, либо установить стороннюю сборку.

Отличие СпринтБокс от обычного хостинга в том, что ресурсы не распределяются между всеми аккаунтами на сервере. Каждому пользователю выделяется собственный набор ресурсов.

Благодаря этому, вы не будете зависеть от соседей по серверу и сможете делать со своими боксами, буквально, что захотите.

Так что если вам нужно создать какой-то сложный и необычный тестовый стенд для пентестинга, который не вписывается в критерии для обычного хостинга, боксы просто идеальнейший вариант.

На сервисе можно настраивать резервное копирование и снапшоты, подключаться к создаваемым серверам по SSH и FTP, а также добавлять к ним доп. хранилище до 1 Тб.

Ну и само собой никто не запрещает поиграться с настройками файрвола и подключить защиту от внешних DDoS-атак. Короче для сетевой практики это прямо мастхэв.

Можно деплоить ботов для Телеграма, ВК и Дискорда. Поднять сервер Майнкрафт для игр с друзьями. И вообще сотворить много всего интересного. Вы ограничены исключительно собственными умениями и фантазией.

Управлять созданными боксами можно через удобную Панель управления или в Telegram-боте. Он может вывести вам нужную информацию, перезапустить бокс и даже создать новый буквально в несколько кликов.

Если вдруг тупанёте и не сможете разобраться, вам на помощь прийдёт техподдержка. Там ребята всегда на связи. И днём, и ночью. Кроме того, можно воспользоваться Базой знаний, в которой есть куча полезных статей.

В общем, если хотите изучить безопасность сетей не только в теории, а действительно погрузиться в эту историю с головой – велком. Ссылка на KVM VDS от SprintBox будет в описании.

Там же будет мой авторский промокод, по которому ещё и 50% кешбек получите. Короче переходите скорее и регайтесь. Не пожалеете.

Окей, друзья. Нынче мы познакомились с базовыми настройками
инструментов защиты от сетевых атак. Узнали про типы и виды средств обнаружения вторжения.

Поработали с Сурикатой и fait2ban’ом, а также узнали, как функционируют ловушки под названием HoneyPot. Если вам не хватило практики, то милости прошу на сайт моей академии профессиональный IT-спецов.

На нём к каждому ролику из цикла «Информационной безопасность с нуля до джуна», а данное видео, как раз и относится к этой истории, выложены домашние задания, в которых отрабатывается вся практика по уроку.

Курс бесплатный. Всю домашку проверяю я лично. Так что, пользуясь случаем обязательно попробуйте свои силы на практике, если понравился данный урок и вы считаете, что могёте больше чем просто сидеть на попе и смотреть видосики с умным видом.

Ну и не забывайте поставить лайк сразу после просмотра и оформить подписку, если по каким-то религиозным причинам ещё не сделали этого ранее. А то ведь анафему нашлю на вашу грешную голову. (не надо так)

В заключении по традиции хочу пожелать вам удачи, успеха, и самое главое, отличного настроения. Берегите себя и свои сети. Ну забивайте на их защиту и помните главное правило. Информационная безопасность – превыше всего.

С вами, как обычно, был Денчик. До новых встреч мои кайфные друже. Всем пока.