Смъркане или Суриката. Част 2: Инсталиране и първоначална настройка на Suricata

Според статистиката обемът на мрежовия трафик се увеличава с около 50% всяка година. Това води до увеличаване на натоварването на оборудването и по-специално увеличава изискванията за производителност на IDS / IPS. Можете да закупите скъп специализиран хардуер, но има и по-евтин вариант - въвеждането на една от системите с отворен код. За много начинаещи администратори е трудно да инсталират и конфигурират безплатен IPS. В случая със Suricata това не е съвсем вярно - можете да го инсталирате и да започнете да отблъсквате типични атаки с набор от безплатни правила за няколко минути.

Смъркане или Суриката. Част 1: Избор на безплатен IDS/IPS за защита на вашата корпоративна мрежа

Защо се нуждаем от друг отворен IPS?

Дълго време смятан за стандарт, Snort се разработва от края на деветдесетте години, така че първоначално е бил еднопоточен. През годините в него се появиха всички модерни функции, като поддръжка на IPv6, възможност за анализ на протоколи на ниво приложение или универсален модул за достъп до данни.

Основният двигател Snort 2.X се е научил да работи с множество ядра, но е останал еднонишков и следователно не може оптимално да се възползва от съвременните хардуерни платформи.

Проблемът беше решен в третата версия на системата, но подготовката отне толкова време, че Suricata, написана от нулата, успя да се появи на пазара. През 2009 г. той започна да се разработва именно като многонишкова алтернатива на Snort, която разполага с IPS функции от кутията. Кодът се разпространява под лиценз GPLv2, но финансовите партньори на проекта имат достъп до затворена версия на двигателя. В първите версии на системата възникнаха някои проблеми с мащабируемостта, но те бързо бяха разрешени.

Защо Surica?

Suricata има няколко модула (подобни на Snort): улавяне, улавяне, декодиране, откриване и изход. По подразбиране уловеният трафик преминава преди декодиране в един поток, въпреки че това натоварва системата повече. Ако е необходимо, нишките могат да бъдат разделени в настройките и разпределени между процесорите - Suricata е много добре оптимизирана за специфичен хардуер, въпреки че това вече не е HOWTO ниво за начинаещи. Също така си струва да се отбележи, че Suricata разполага с разширени инструменти за проверка на HTTP, базирани на HTP библиотеката. Те могат да се използват и за регистриране на трафик без откриване. Системата също поддържа IPv6 декодиране, включително IPv4-в-IPv6 тунели, IPv6-в-IPv6 тунели и др.

Могат да се използват различни интерфейси за прихващане на трафик (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), а в режим Unix Socket можете автоматично да анализирате PCAP файлове, уловени от друг снифър. В допълнение, модулната архитектура на Suricata улеснява включването на нови елементи за улавяне, декодиране, анализиране и обработка на мрежови пакети. Също така е важно да се отбележи, че в Suricata трафикът се блокира с помощта на обикновен филтър на операционната система. GNU/Linux има две опции за това как работи IPS: чрез опашката NFQUEUE (режим NFQ) и чрез нулево копиране (режим AF_PACKET). В първия случай пакетът, който влиза в iptables, се изпраща в опашката NFQUEUE, където може да бъде обработен на ниво потребител. Suricata го изпълнява според собствените си правила и издава една от трите присъди: NF_ACCEPT, NF_DROP и NF_REPEAT. Първите две се обясняват сами, докато последната позволява пакетите да бъдат маркирани и изпратени в горната част на текущата таблица iptables. Режимът AF_PACKET е по-бърз, но налага редица ограничения на системата: трябва да има два мрежови интерфейса и да работи като шлюз. Блокираният пакет просто не се препраща към втория интерфейс.

Важна характеристика на Suricata е възможността да се използват разработки за Snort. Администраторът има достъп по-специално до наборите от правила за Sourcefire VRT и OpenSource Emerging Threats, както и до търговския Emerging Threats Pro. Унифицираният изход може да бъде анализиран чрез популярни бекендове, PCAP и Syslog изход също се поддържат. Системните настройки и правила се съхраняват в YAML файлове, които са лесни за четене и могат да се обработват автоматично. Машината Suricata разпознава много протоколи, така че не е необходимо правилата да бъдат обвързани с номер на порт. В допълнение, концепцията за flowbits се практикува активно в правилата на Suricata. За проследяване на тригера се използват променливи на сесията за създаване и прилагане на различни броячи и флагове. Много IDS третират различни TCP връзки като отделни обекти и може да не видят връзка между тях, която да показва началото на атака. Suricata се опитва да види цялата картина и в много случаи разпознава злонамерен трафик, разпределен през различни връзки. Можете да говорите за предимствата му дълго време, по-добре да преминем към инсталирането и конфигурацията.

Как да инсталирате?

Ще инсталираме Suricata на виртуален сървър, работещ с Ubuntu 18.04 LTS. Всички команди трябва да се изпълняват от името на суперпотребителя (root). Най-сигурният вариант е да влезете по SSH в сървъра като нормален потребител и след това да използвате помощната програма sudo за повишаване на привилегиите. Първо трябва да инсталирате пакетите, от които се нуждаем:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

Свързване на външно хранилище:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

Инсталирайте най-новата стабилна версия на Suricata:

sudo apt-get install suricata

Ако е необходимо, редактирайте името на конфигурационните файлове, като замените eth0 по подразбиране с действителното име на външния интерфейс на сървъра. Настройките по подразбиране се съхраняват във файла /etc/default/suricata, а персонализираните настройки се съхраняват в /etc/suricata/suricata.yaml. Конфигурирането на IDS е ограничено до редактиране на този конфигурационен файл. Има много параметри, които по име и предназначение съвпадат с аналозите на Snort. Синтаксисът обаче е доста различен, но файлът е много по-лесен за четене от конфигурациите на Snort и е добре коментиран.

sudo nano /etc/default/suricata

и

sudo nano /etc/suricata/suricata.yaml

внимание! Преди да започнете, си струва да проверите стойностите на променливите от секцията vars.

За да завършите настройката, ще трябва да инсталирате suricata-update, за да актуализирате и заредите правилата. Доста лесно е да направите това:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

След това трябва да изпълним командата suricata-update, за да инсталираме набора от правила за отваряне на възникващи заплахи:

sudo suricata-update

За да видите списъка с източници на правила, изпълнете следната команда:

sudo suricata-update list-sources

Актуализирайте източниците на правила:

sudo suricata-update update-sources

Преразглеждане на актуализирани източници:

sudo suricata-update list-sources

Ако е необходимо, можете да включите налични безплатни източници:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

След това трябва отново да актуализирате правилата:

sudo suricata-update

Това завършва инсталирането и първоначалната конфигурация на Suricata в Ubuntu 18.04 LTS. Тогава започва забавлението: в следващата статия ще свържем виртуален сървър към офисната мрежа чрез VPN и ще започнем да анализираме целия входящ и изходящ трафик. Ще обърнем специално внимание на блокирането на DDoS атаки, злонамерен софтуер и опити за използване на уязвимости в услуги, достъпни от обществени мрежи. За по-голяма яснота ще бъдат симулирани атаки от най-често срещаните видове.

Източник: www.habr.com