Statistikaya görə, hər il şəbəkə trafikinin həcmi təxminən 50% artır. Bu, avadanlıqdakı yükün artmasına səbəb olur və xüsusən də IDS / IPS-in performans tələblərini artırır. Siz bahalı ixtisaslaşdırılmış aparat ala bilərsiniz, lakin daha ucuz bir seçim var - açıq mənbə sistemlərindən birinin tətbiqi. Bir çox təcrübəsiz idarəçilər pulsuz IPS quraşdırmaq və konfiqurasiya etməkdə çətinlik çəkirlər. Suricata vəziyyətində, bu tamamilə doğru deyil - siz onu quraşdıra və bir neçə dəqiqə ərzində bir sıra pulsuz qaydalar ilə tipik hücumları dəf etməyə başlaya bilərsiniz.
Niyə bizə başqa bir açıq IPS lazımdır?
Uzun müddətdir standart hesab edilən Snort, 6-cı illərin sonlarından bəri inkişaf etdirilir, buna görə də əvvəlcə tək yivli idi. İllər keçdikcə IPvXNUMX dəstəyi, tətbiq səviyyəli protokolları təhlil etmək imkanı və ya universal məlumat giriş modulu kimi bütün müasir xüsusiyyətlər ortaya çıxdı.
Əsas Snort 2.X mühərriki çoxlu nüvələrlə işləməyi öyrəndi, lakin tək yivli olaraq qaldı və buna görə də müasir aparat platformalarından optimal şəkildə yararlana bilmir.
Sistemin üçüncü versiyasında problem həll edildi, lakin hazırlanması o qədər uzun çəkdi ki, sıfırdan yazılmış Suricata bazarda görünməyə müvəffəq oldu. 2009-cu ildə o, IPS funksiyalarına hazır olan Snort-a çox yivli alternativ olaraq dəqiq şəkildə hazırlanmağa başladı. Kod GPLv2 lisenziyası altında paylanır, lakin layihənin maliyyə tərəfdaşları mühərrikin qapalı versiyasına çıxış əldə edirlər. Sistemin ilk versiyalarında bəzi genişlənmə problemləri yarandı, lakin onlar tez bir zamanda həll edildi.
Niyə Surica?
Suricata bir neçə modula malikdir (Snort-a bənzər): tutma, tutma, deşifrəetmə, aşkarlama və çıxış. Varsayılan olaraq, tutulan trafik bir axınla deşifrədən əvvəl gedir, baxmayaraq ki, bu, sistemi daha çox yükləyir. Lazım gələrsə, iplər parametrlərdə bölünə və prosessorlar arasında paylana bilər - Suricata xüsusi avadanlıq üçün çox yaxşı optimallaşdırılıb, baxmayaraq ki, bu, artıq yeni başlayanlar üçün NECƏ səviyyəsi deyil. Suricata-nın HTP kitabxanasına əsaslanan inkişaf etmiş HTTP yoxlama vasitələrinə malik olduğunu da qeyd etmək lazımdır. Onlar həmçinin aşkarlanmadan trafiki qeyd etmək üçün istifadə edilə bilər. Sistem, həmçinin IPv6-da IPv4 tunelləri, IPv6-da IPv6 tunelləri və s. daxil olmaqla, IPv6 deşifrəsini dəstəkləyir.
Trafikin qarşısını almaq üçün müxtəlif interfeyslərdən istifadə edilə bilər (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) və Unix Socket rejimində siz başqa bir sniffer tərəfindən tutulan PCAP fayllarını avtomatik təhlil edə bilərsiniz. Bundan əlavə, Suricatanın modul arxitekturası şəbəkə paketlərini tutmaq, deşifrə etmək, təhlil etmək və emal etmək üçün yeni elementlərin qoşulmasını asanlaşdırır. Onu da qeyd etmək lazımdır ki, Suricata-da trafik standart əməliyyat sistemi filtri vasitəsilə bloklanır. GNU/Linux-da IPS-in necə işləməsi üçün iki seçim var: NFQUEUE növbəsi (NFQ rejimi) və sıfır nüsxə vasitəsilə (AF_PACKET rejimi). Birinci halda, iptables-ə daxil olan paket NFQUEUE növbəsinə göndərilir və burada istifadəçi səviyyəsində emal edilə bilər. Suricata onu öz qaydalarına uyğun idarə edir və üç hökmdən birini verir: NF_ACCEPT, NF_DROP və NF_REPEAT. İlk ikisi özünü izah edir, sonuncusu isə paketləri etiketləməyə və cari iptables cədvəlinin yuxarı hissəsinə göndərməyə imkan verir. AF_PACKET rejimi daha sürətlidir, lakin sistemə bir sıra məhdudiyyətlər qoyur: o, iki şəbəkə interfeysinə malik olmalı və şlüz kimi işləməlidir. Bloklanmış paket sadəcə olaraq ikinci interfeysə ötürülmür.
Suricatanın mühüm xüsusiyyəti Snort üçün inkişaflardan istifadə etmək qabiliyyətidir. Administrator xüsusilə Sourcefire VRT və OpenSource Emerging Threats qayda dəstlərinə, eləcə də kommersiya Emerging Threats Pro-a çıxışa malikdir. Vahid çıxış populyar arxa uçlardan istifadə edərək təhlil edilə bilər, PCAP və Syslog çıxışı da dəstəklənir. Sistem parametrləri və qaydaları YAML fayllarında saxlanılır, onları oxumaq asan və avtomatik emal etmək mümkündür. Suricata mühərriki bir çox protokolları tanıyır, buna görə qaydaların port nömrəsinə bağlanmasına ehtiyac yoxdur. Bundan əlavə, flowbits konsepsiyası Suricata qaydalarında fəal şəkildə tətbiq olunur. Tətiyi izləmək üçün sessiya dəyişənləri müxtəlif sayğaclar və bayraqlar yaratmaq və tətbiq etmək üçün istifadə olunur. Bir çox IDS müxtəlif TCP əlaqələrini ayrıca obyektlər kimi qəbul edir və onlar arasında hücumun başlanğıcını göstərən əlaqəni görməyə bilər. Suricata bütün mənzərəni görməyə çalışır və bir çox hallarda müxtəlif bağlantılar üzərində paylanmış zərərli trafiki tanıyır. Onun üstünlükləri haqqında uzun müddət danışa bilərsiniz, quraşdırma və konfiqurasiyaya keçmək daha yaxşıdır.
Necə quraşdırılmalıdır?
Biz Suricata-nı Ubuntu 18.04 LTS ilə işləyən virtual serverə quraşdıracağıq. Bütün əmrlər super istifadəçi (kök) adından yerinə yetirilməlidir. Ən təhlükəsiz seçim normal istifadəçi kimi serverə SSH-ni daxil etmək və sonra imtiyazları artırmaq üçün sudo yardım proqramından istifadə etməkdir. Əvvəlcə bizə lazım olan paketləri quraşdırmalısınız:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsXarici deponun qoşulması:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSuricata'nın ən son stabil versiyasını quraşdırın:
sudo apt-get install suricataLazım gələrsə, standart eth0-ı serverin xarici interfeysinin faktiki adı ilə əvəz edərək konfiqurasiya fayllarının adını redaktə edin. Defolt parametrlər /etc/default/suricata faylında, xüsusi parametrlər isə /etc/suricata/suricata.yaml faylında saxlanılır. IDS konfiqurasiyası əsasən bu konfiqurasiya faylını redaktə etməklə məhdudlaşır. Adı və məqsədi ilə Snort analoqları ilə üst-üstə düşən bir çox parametrə malikdir. Sintaksis tamamilə fərqlidir, lakin faylı oxumaq Snort konfiqurasiyalarından daha asandır və yaxşı şərh edilmişdir.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Diqqət! Başlamazdan əvvəl, vars bölməsindən dəyişənlərin dəyərlərini yoxlamağa dəyər.
Quraşdırmanı başa çatdırmaq üçün qaydaları yeniləmək və yükləmək üçün suricata-update quraşdırmalı olacaqsınız. Bunu etmək olduqca asandır:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateSonra, Emerging Threats Open qayda dəstini quraşdırmaq üçün suricata-update əmrini işlətməliyik:
sudo suricata-update
Qayda mənbələrinin siyahısını görmək üçün aşağıdakı əmri yerinə yetirin:
sudo suricata-update list-sources
Qayda mənbələrini yeniləyin:
sudo suricata-update update-sources
Yenilənmiş mənbələrə yenidən baxmaq:
sudo suricata-update list-sourcesLazım gələrsə, mövcud pulsuz mənbələri daxil edə bilərsiniz:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistBundan sonra qaydaları yenidən yeniləməlisiniz:
sudo suricata-updateBu, Ubuntu 18.04 LTS-də Suricata-nın quraşdırılmasını və ilkin konfiqurasiyasını tamamlayır. Sonra əyləncə başlayır: növbəti məqalədə VPN vasitəsilə virtual serveri ofis şəbəkəsinə qoşacağıq və bütün daxil olan və gedən trafiki təhlil etməyə başlayacağıq. Biz DDoS hücumlarının, zərərli proqramların fəaliyyətinin və ictimai şəbəkələrdən əlçatan olan xidmətlərdə zəifliklərdən istifadə cəhdlərinin bloklanmasına xüsusi diqqət yetirəcəyik. Aydınlıq üçün ən çox yayılmış növ hücumlar simulyasiya ediləcək.
Mənbə: www.habr.com