እንደ አኃዛዊ መረጃ, የኔትወርክ ትራፊክ መጠን በየዓመቱ በ 50% ገደማ ይጨምራል. ይህ በመሳሪያው ላይ ያለውን ጭነት መጨመር እና በተለይም የ IDS / IPS የአፈፃፀም መስፈርቶችን ይጨምራል. ውድ የሆኑ ልዩ ሃርድዌር መግዛት ይችላሉ, ነገር ግን ርካሽ አማራጭ አለ - የክፍት ምንጭ ስርዓቶች ውስጥ አንዱን መግቢያ. ብዙ ጀማሪ አስተዳዳሪዎች ነፃ አይፒኤስን መጫን እና ማዋቀር ይከብዳቸዋል። በሱሪካታ ጉዳይ ይህ ሙሉ በሙሉ እውነት አይደለም - እሱን መጫን እና ዓይነተኛ ጥቃቶችን በጥቂት ደቂቃዎች ውስጥ በነፃ ህጎች ስብስብ መከላከል ይችላሉ።
ለምን ሌላ ክፍት IPS ያስፈልገናል?
መስፈርቱን ከረጅም ጊዜ አንፃር ሲታይ፣ Snort ከዘጠናዎቹ መገባደጃ ጀምሮ በልማት ላይ ስለነበር በመጀመሪያ ነጠላ-ክር ነበር። ባለፉት አመታት, ሁሉም ዘመናዊ ባህሪያት እንደ IPv6 ድጋፍ, የመተግበሪያ ደረጃ ፕሮቶኮሎችን የመተንተን ችሎታ, ወይም ሁለንተናዊ የውሂብ መዳረሻ ሞጁል ያሉ ሁሉም ዘመናዊ ባህሪያት በእሱ ውስጥ ታይተዋል.
የኮር Snort 2.X ሞተር ከበርካታ ኮሮች ጋር መስራት ተምሯል, ነገር ግን ነጠላ-ክር ሆኖ ቆይቷል እና ስለዚህ በተመቻቸ ሁኔታ ዘመናዊ የሃርድዌር መድረኮችን መጠቀም አይችልም.
ችግሩ በሶስተኛው የስርዓቱ ስሪት ተፈትቷል, ነገር ግን ለማዘጋጀት ብዙ ጊዜ ፈጅቷል, ሱሪካታ ከባዶ የተጻፈ, በገበያ ላይ ለመታየት ችሏል. እ.ኤ.አ. በ 2009 ፣ ከሳጥኑ ውስጥ የአይፒኤስ ተግባራትን ለ Snort እንደ ባለብዙ-ክር አማራጭ በትክክል ማዳበር ጀመረ። ኮዱ በ GPLv2 ፍቃድ ይሰራጫል, ነገር ግን የፕሮጀክቱ የፋይናንስ አጋሮች የተዘጋውን የሞተር ስሪት ማግኘት ይችላሉ. በስርአቱ የመጀመሪያ ስሪቶች ውስጥ አንዳንድ የመቀያየር ችግሮች ተነሱ, ነገር ግን በፍጥነት ተፈትተዋል.
ለምን ሱሪካ?
ሱሪካታ በርካታ ሞጁሎች አሉት (ከ Snort ጋር ተመሳሳይ)፡ ቀረጻ፣ መቅረጽ፣ ኮድ መፍታት፣ ማግኘት እና ውፅዓት። በነባሪ፣ የተያዘው ትራፊክ በአንድ ዥረት ውስጥ ከመግለጡ በፊት ይሄዳል፣ ምንም እንኳን ይህ ስርዓቱን የበለጠ ቢጭነውም። አስፈላጊ ከሆነ ክሮች በቅንብሮች ውስጥ ሊከፋፈሉ እና በአቀነባባሪዎች መካከል ሊከፋፈሉ ይችላሉ - ሱሪካታ ለተለየ ሃርድዌር በጣም ጥሩ ነው ፣ ምንም እንኳን ይህ ለጀማሪዎች የ HOWTO ደረጃ ባይሆንም ። በተጨማሪም ሱሪካታ በኤችቲፒ ቤተ-መጽሐፍት ላይ በመመስረት የላቀ የኤችቲቲፒ መመርመሪያ መሳሪያዎች እንዳሉት ልብ ሊባል የሚገባው ጉዳይ ነው። እንዲሁም ሳይታወቅ ትራፊክ ለመመዝገብ ሊያገለግሉ ይችላሉ። ስርዓቱ IPv6-in-IPv4 ዋሻዎችን፣ IPv6-in-IPv6 ዋሻዎችን እና ሌሎችንም ጨምሮ IPv6 ዲኮዲንግን ይደግፋል።
የተለያዩ በይነገጾች ትራፊክን ለመጥለፍ (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) መጠቀም ይቻላል እና በዩኒክስ ሶኬት ሁነታ በሌላ አነፍናፊ የተያዙ PCAP ፋይሎችን በራስ ሰር መተንተን ትችላለህ። በተጨማሪም የሱሪካታ ሞጁል አርክቴክቸር የኔትወርክ እሽጎችን ለመያዝ፣ ለመግለጥ፣ ለመተንተን እና ለማስኬድ አዲስ ኤለመንቶችን መሰካትን ቀላል ያደርገዋል። በሱሪካታ ውስጥ በመደበኛ የስርዓተ ክወና ማጣሪያ አማካኝነት ትራፊክ መዘጋቱን ልብ ሊባል ይገባል። GNU/Linux IPS እንዴት እንደሚሰራ ሁለት አማራጮች አሉት፡ በ NFQUEUE ወረፋ (NFQ ሁነታ) እና በዜሮ ቅጂ (AF_PACKET ሁነታ)። በመጀመሪያው ሁኔታ, ወደ iptables የሚገባው ፓኬት ወደ NFQUEUE ወረፋ ይላካል, በተጠቃሚው ደረጃ ሊሰራ ይችላል. ሱሪካታ በራሱ ህግ ነው የሚሰራው እና ከሶስት ፍርዶች አንዱን አውጥቷል፡ NF_ACCEPT፣ NF_DROP እና NF_REPEAT። የመጀመሪያዎቹ ሁለቱ እራሳቸውን የሚገልጹ ናቸው, የመጨረሻው ደግሞ ፓኬጆችን ታግ እንዲያደርጉ እና አሁን ባለው የ iptables ሰንጠረዥ አናት ላይ እንዲላኩ ያስችላቸዋል. የ AF_PACKET ሁነታ ፈጣን ነው፣ ነገር ግን በስርዓቱ ላይ በርካታ ገደቦችን ያስገድዳል፡ ሁለት የአውታረ መረብ መገናኛዎች ሊኖሩት እና እንደ መግቢያ በር መስራት አለበት። የታገደው ፓኬት በቀላሉ ወደ ሁለተኛው በይነገጽ አይተላለፍም።
የሱሪካታ አስፈላጊ ባህሪ ለ Snort እድገቶችን የመጠቀም ችሎታ ነው. አስተዳዳሪው በተለይ የSourcefire VRT እና OpenSource Emerging Threats ደንብ ስብስቦችን እንዲሁም የንግድ Emerging Threats Pro መዳረሻ አለው። የተዋሃደውን ውፅዓት ታዋቂ የሆኑ የኋላ ክፍሎችን በመጠቀም ሊተነተን ይችላል፣ PCAP እና Syslog ውፅዓት እንዲሁ ይደገፋል። የስርዓት ቅንብሮች እና ደንቦች በ YAML ፋይሎች ውስጥ ይቀመጣሉ፣ ለማንበብ ቀላል እና በራስ-ሰር ሊሰሩ ይችላሉ። የሱሪካታ ሞተር ብዙ ፕሮቶኮሎችን ያውቃል, ስለዚህ ደንቦቹ ከወደብ ቁጥር ጋር ማያያዝ አያስፈልጋቸውም. በተጨማሪም የፍሰት ቢትስ ጽንሰ-ሐሳብ በሱሪካታ ደንቦች ውስጥ በንቃት ይሠራል. ቀስቅሴውን ለመከታተል የክፍለ-ጊዜ ተለዋዋጮች የተለያዩ ቆጣሪዎችን እና ባንዲራዎችን ለመፍጠር እና ለመተግበር ያገለግላሉ። ብዙ መታወቂያዎች የተለያዩ የTCP ግንኙነቶችን እንደ የተለየ አካል ይመለከቷቸዋል እና በመካከላቸው የጥቃት መጀመርን የሚያመለክት ግንኙነት ላያዩ ይችላሉ። ሱሪካታ ሙሉውን ምስል ለማየት ይሞክራል እና በብዙ አጋጣሚዎች በተለያዩ ግንኙነቶች ላይ የሚሰራጩ ተንኮል አዘል ትራፊክን ያውቃል። ስለ ጥቅሞቹ ለረጅም ጊዜ ማውራት ይችላሉ, ወደ መጫኛ እና ውቅረት ብንሄድ ይሻላል.
እንዴት እንደሚጫን?
ኡቡንቱ 18.04 LTS በሚያሄድ ምናባዊ አገልጋይ ላይ ሱሪካታን እንጭነዋለን። ሁሉም ትዕዛዞች ሱፐር ተጠቃሚውን (ስር) በመወከል መፈጸም አለባቸው. በጣም ደህንነቱ የተጠበቀው አማራጭ SSH ወደ አገልጋዩ እንደ መደበኛ ተጠቃሚ ማድረግ እና ከዚያ ልዩ መብቶችን ከፍ ለማድረግ የ sudo utilityን መጠቀም ነው። በመጀመሪያ እኛ የምንፈልጋቸውን ፓኬጆችን መጫን ያስፈልግዎታል:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsየውጭ ማከማቻ ማገናኘት;
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateየቅርብ ጊዜውን የተረጋጋ የሱሪካታ ስሪት ጫን፡-
sudo apt-get install suricataአስፈላጊ ከሆነ የማዋቀሪያ ፋይሎችን ስም ያርትዑ, ነባሪውን eth0 በአገልጋዩ ውጫዊ በይነገጽ ትክክለኛ ስም በመተካት. ነባሪ ቅንጅቶች በ /etc/default/suricata ፋይል ውስጥ ይቀመጣሉ፣ እና ብጁ መቼቶች በ/etc/suricata/suricata.yaml ውስጥ ይቀመጣሉ። መታወቂያዎችን ማዋቀር በአብዛኛው ይህን የውቅር ፋይል ለማረም የተገደበ ነው። በስም እና በዓላማ, ከ Snort ከአናሎግ ጋር የሚገጣጠሙ ብዙ መለኪያዎች አሉት. አገባቡ ግን በጣም የተለየ ነው፣ ነገር ግን ፋይሉ ከ Snort ውቅሮች ለማንበብ በጣም ቀላል ነው፣ እና በደንብ አስተያየት ተሰጥቶበታል።
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
ትኩረት! ከመጀመርዎ በፊት የተለዋዋጮችን ዋጋዎች ከቫርስ ክፍል መፈተሽ ጠቃሚ ነው።
ማዋቀሩን ለማጠናቀቅ ህጎቹን ለማዘመን እና ለመጫን suricata-update ን መጫን ያስፈልግዎታል። ይህንን ለማድረግ በጣም ቀላል ነው-
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateበመቀጠል፣ ብቅ የሚሉ ስጋቶች ክፈት ደንብ ስብስብን ለመጫን የ suricata-update ትዕዛዝን ማስኬድ አለብን፡-
sudo suricata-update
የደንብ ምንጮችን ዝርዝር ለማየት የሚከተለውን ትዕዛዝ ያሂዱ፡-
sudo suricata-update list-sources
የደንብ ምንጮችን አዘምን፡-
sudo suricata-update update-sources
የተዘመኑ ምንጮችን እንደገና መጎብኘት፡-
sudo suricata-update list-sourcesአስፈላጊ ከሆነ፣ የሚገኙ የነጻ ምንጮችን ማካተት ትችላለህ፡-
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistከዚያ በኋላ ህጎቹን እንደገና ማዘመን ያስፈልግዎታል:
sudo suricata-updateይህ በኡቡንቱ 18.04 LTS ውስጥ የሱሪካታ ጭነት እና የመጀመሪያ ውቅር ያጠናቅቃል። ከዚያ ደስታው ይጀምራል-በሚቀጥለው ርዕስ ውስጥ ምናባዊ አገልጋይን ከቢሮ አውታረመረብ በ VPN በኩል እናገናኘዋለን እና ሁሉንም ገቢ እና ወጪ ትራፊክ መተንተን እንጀምራለን ። የ DDoS ጥቃቶችን ፣ የማልዌር እንቅስቃሴን እና ከህዝብ አውታረ መረቦች ተደራሽ በሆኑ አገልግሎቶች ላይ ተጋላጭነቶችን ለመጠቀም ሙከራዎችን ለማገድ ልዩ ትኩረት እንሰጣለን ። ግልጽ ለማድረግ, በጣም የተለመዱ ዓይነቶች ጥቃቶች ተመስለዋል.
ምንጭ: hab.com