Comment mettre en place un système anti-DDoS sur Debian: Partie 1

Debian Le Monitoring Réseaux

Présentation et objectifs

Dans le domaine de la sécurité de l'information, il existe trois principaux aspects de toute information : l'intégrité, la disponibilité et la confidentialité, qui peuvent être violés. Le principal problème dans cette situation, ce sont les «menaces». Menaces — c'est un ensemble de facteurs et de processus qui peuvent endommager le système d'information et affecter le flux des tâches de l'entreprise. L'une des menaces visant la disponibilité des informations est le DDoS.

Pourquoi nous soucions-nous de cela?

L'attaque avait pour but de nous créer une situation critique : des serveurs indisponibles en raison d'une surcharge des systèmes. Il peut être transmis à 3 couches : charger le matériel avec des requêtes volumétriques, le service et différentes applications peuvent être violés par l'attaque car la transmission du réseau perd des données et des clusters, le cloud même peut être endommagé.

Et que faire à propos de ça?

Divisez notre infrastructure en deux catégories : couches internes et proxy. Ils seront responsables de la protection, de la formation de notre infrastructure. A chaque étape, je décrirai des utilitaires et des méthodes qui représentent des moyens complexes et ponctuels de systèmes de protection.

Plan de protection

Théorie : dans un premier temps, je prévois de mettre en œuvre une approche globale pour établir la couche primaire du système de défense contre les attaques DDoS potentielles. Par la suite, j'ai l'intention d'employer des solutions ciblées pour traiter les zones vulnérables qui auraient pu être négligées par les mesures de sauvegarde initiales.

Pratique : Une solution assez compliquée, mais efficace — »Injection de trafic” qui comprend IPS/IDS, logiciel pour faire du faux trafic, firewall, filtres, équilibrage de charge, mise à l'échelle automatique et infrastructure virtuelle. C'est déjà un ensemble de solutions ponctuelles unies dans un système global et interconnecté. Cela s'adapte à différents types d'architecture de réseaux.

Installation du logiciel

La première étape du plan comprend l'installation et le déploiement de services de collecte d'informations et d'analyse du trafic pour établir un profil du trafic normal.

Voici la configuration système minimale généralement recommandée :

Processeur : 2.5 GHz ou plus rapide ;
RAM: 2 Go (4 Go ou plus recommandés) ;
disque dur space : 20 Go de disponible space;
Système opérateur: Linux ou des systèmes basés sur Unix.

Debian VPS serveur Serveurs privés virtuels
avec système d'exploitation préinstallé Debian 11 & 10
À partir de € 4

Si votre système parameters sont bien, nous pouvons commencer l'installation avec les commandes ci-dessous :

sudo apt update && sudo apt upgrade -y

Update package — Capture d'écran №1 — Package de mise à jour

Cette commande met à jour l'index des packages et télécharge les composants requis. Installez les packages nécessaires qui incluent des outils de surveillance du trafic, d'analyse des journaux et autres :

sudo apt install tcpdump -y

Cependant, vous pouvez utiliser un autre logiciel en raison des possibilités du système :

sudo apt install wireshark -y

Cette commande télécharge le package nécessaire pour surveiller et sniffer le trafic :

sudo apt install logwatch -y

Il est nécessaire d'établir un contrôle sur le journal des événements pour créer des profils :

sudo apt install acct -y

Pour collecter des informations sur les utilisateurs, vous pouvez utiliser « acct », mais si vous le souhaitez, choisissez n'importe quel logiciel disponible à cet effet :

Configurer parammètre de collecte d'informations selon les besoins de votre système d'information. Après analyse de l'architecture du réseau et votre demande de système de protection, définissez les flux de trafic entrants et sortants pour l'enregistrement : Identifiez les interfaces utilisateur, le port et l'adresse IP pul :

sudo tcpdump -i enp0s5 -s 0 -w output.pcap port 80

Capture d'écran №5 — Configuration tcpdump

Dans cet exemple l'interface « enp0s5 » est utilisée, la source définit comme n'importe quelle adresse IP, le port « 80 » et le fichier de sortie nommé « output.pcap ». Par conséquent, je renifle le trafic de l'eth0 sur le port 80, HTTP circulation.
Pour Wireshark, le plan d'utilisation sera le même :

sudo wireshark

Capture traffic — Capture d'écran №6 — Capturer le trafic

Choisissez l'interface, cliCliquez sur le bouton "Démarrer" pour commencer à renifler le trafic et sur "Arrêter" pour terminer, puis enregistrez le vidage des données. CliCliquez sur "Fichier" -> "Enregistrer" et choisissez l'emplacement et le format du fichier enregistré. En raison de la petite taille des données de vidage, nous vous recommandons de nettoyer votre système :

sudo apt-get autoremove && sudo apt-get clean

Pour des résultats plus détaillés et précis, commencez à surveiller le système pendant 7 jours. Plus il y en a, mieux c'est ! Ainsi, je collecte les données du système et vais faire un profil de trafic normal. Ce processus sera décrit au prochain épisode de consignes !

Conclusion

La mise en place d'un système de collecte et de détection des attaques DDoS est une étape cruciale dans la protection de votre réseau contre le trafic malveillant. En utilisant des outils tels que Wireshark et tcpdump, vous pouvez facilement capturer et analyser le trafic réseau en temps réel, aidant à identifier les modèles et les menaces potentielles avant qu'elles ne causent des dommages importants. Il est essentiel de s'assurer que votre système est correctement configuré et sécurisé, car une configuration incorrecte pourrait entraîner des vulnérabilités supplémentaires. Avec les bons outils et une mise en œuvre appropriée, vous pouvez réduire considérablement le risque d'attaques DDoS et protéger votre réseau contre les cybermenaces.