🥇 স্নর্ট বা সুরিকাটা। পার্ট 2: Suricata এর ইনস্টলেশন এবং প্রাথমিক সেটআপ

পরিসংখ্যান অনুসারে, নেটওয়ার্ক ট্র্যাফিকের পরিমাণ প্রতি বছর প্রায় 50% বৃদ্ধি পায়। এটি সরঞ্জামের লোড বৃদ্ধির দিকে পরিচালিত করে এবং বিশেষত, IDS/IPS-এর কর্মক্ষমতা প্রয়োজনীয়তা বাড়ায়। আপনি ব্যয়বহুল বিশেষ হার্ডওয়্যার কিনতে পারেন, তবে একটি সস্তা বিকল্প রয়েছে - ওপেন সোর্স সিস্টেমগুলির একটির প্রবর্তন। অনেক নবীন প্রশাসক বিনামূল্যে আইপিএস ইনস্টল এবং কনফিগার করা কঠিন বলে মনে করেন। Suricata ক্ষেত্রে, এটি সম্পূর্ণরূপে সত্য নয় - আপনি এটি ইনস্টল করতে পারেন এবং কয়েক মিনিটের মধ্যে বিনামূল্যের নিয়মগুলির সাথে সাধারণ আক্রমণগুলিকে প্রতিহত করা শুরু করতে পারেন৷

Snort বা Suricata. পার্ট 1: আপনার কর্পোরেট নেটওয়ার্ক সুরক্ষিত করার জন্য একটি বিনামূল্যের IDS/IPS নির্বাচন করা

কেন আমাদের আরেকটি খোলা আইপিএস দরকার?

দীর্ঘকাল ধরে মান হিসাবে বিবেচিত, নব্বই দশকের শেষের দিক থেকে Snort বিকাশে রয়েছে, তাই এটি মূলত একক-থ্রেডেড ছিল। বছরের পর বছর ধরে, সমস্ত আধুনিক বৈশিষ্ট্য এতে উপস্থিত হয়েছে, যেমন IPv6 সমর্থন, অ্যাপ্লিকেশন-স্তরের প্রোটোকল বিশ্লেষণ করার ক্ষমতা, বা একটি সর্বজনীন ডেটা অ্যাক্সেস মডিউল।

কোর Snort 2.X ইঞ্জিন একাধিক কোরের সাথে কাজ করতে শিখেছে, কিন্তু একক-থ্রেডেড রয়ে গেছে এবং তাই আধুনিক হার্ডওয়্যার প্ল্যাটফর্মের সুবিধা নিতে পারে না।

সিস্টেমের তৃতীয় সংস্করণে সমস্যাটি সমাধান করা হয়েছিল, তবে এটি প্রস্তুত করতে এত সময় লেগেছিল যে স্ক্র্যাচ থেকে লেখা সুরিকাটা বাজারে উপস্থিত হতে সক্ষম হয়েছিল। 2009 সালে, এটি Snort-এর একটি মাল্টি-থ্রেডেড বিকল্প হিসাবে সুনির্দিষ্টভাবে বিকশিত হতে শুরু করে, যেখানে আইপিএস বৈশিষ্ট্যগুলি বাক্সের বাইরে রয়েছে। কোডটি GPLv2 লাইসেন্সের অধীনে বিতরণ করা হয়েছে, তবে প্রকল্পের আর্থিক অংশীদারদের ইঞ্জিনের একটি বন্ধ সংস্করণে অ্যাক্সেস রয়েছে। সিস্টেমের প্রথম সংস্করণে কিছু স্কেলেবিলিটি সমস্যা দেখা দিয়েছে, কিন্তু সেগুলি দ্রুত সমাধান করা হয়েছে।

কেন সুরিকা?

Suricata এর বেশ কয়েকটি মডিউল রয়েছে (Snort এর মত): ক্যাপচার, ক্যাপচার, ডিকোড, সনাক্তকরণ এবং আউটপুট। ডিফল্টরূপে, ক্যাপচার করা ট্র্যাফিক একটি স্ট্রীমে ডিকোড করার আগে চলে যায়, যদিও এটি সিস্টেমটিকে আরও লোড করে। প্রয়োজনে, থ্রেডগুলি সেটিংসে ভাগ করা যেতে পারে এবং প্রসেসরগুলির মধ্যে বিতরণ করা যেতে পারে - সুরিকাটা নির্দিষ্ট হার্ডওয়্যারের জন্য খুব ভালভাবে অপ্টিমাইজ করা হয়েছে, যদিও এটি আর নতুনদের জন্য HOWTO স্তর নয়। এটিও লক্ষণীয় যে Suricata HTP লাইব্রেরির উপর ভিত্তি করে উন্নত HTTP পরিদর্শন সরঞ্জাম রয়েছে। এগুলি সনাক্তকরণ ছাড়াই ট্র্যাফিক লগ করতে ব্যবহার করা যেতে পারে। সিস্টেমটি IPv6 ডিকোডিংকেও সমর্থন করে, যার মধ্যে IPv4-in-IPv6 টানেল, IPv6-in-IPv6 টানেল এবং আরও অনেক কিছু রয়েছে।

বিভিন্ন ইন্টারফেস ট্র্যাফিক আটকাতে ব্যবহার করা যেতে পারে (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), এবং ইউনিক্স সকেট মোডে, আপনি অন্য স্নিফার দ্বারা ক্যাপচার করা PCAP ফাইলগুলি স্বয়ংক্রিয়ভাবে বিশ্লেষণ করতে পারেন। উপরন্তু, Suricata এর মডুলার আর্কিটেকচার নেটওয়ার্ক প্যাকেট ক্যাপচার, ডিকোড, পার্স এবং প্রক্রিয়া করার জন্য নতুন উপাদান প্লাগ ইন করা সহজ করে তোলে। এটি লক্ষ্য করাও গুরুত্বপূর্ণ যে Suricata-তে, অপারেটিং সিস্টেমের একটি নিয়মিত ফিল্টারের মাধ্যমে ট্র্যাফিক অবরুদ্ধ করা হয়। IPS কীভাবে কাজ করে তার জন্য GNU/Linux-এর দুটি বিকল্প রয়েছে: NFQUEUE কিউ (NFQ মোড) এবং শূন্য অনুলিপি (AF_PACKET মোড) এর মাধ্যমে। প্রথম ক্ষেত্রে, যে প্যাকেটটি iptables এ প্রবেশ করে তা NFQUEUE সারিতে পাঠানো হয়, যেখানে এটি ব্যবহারকারী স্তরে প্রক্রিয়া করা যেতে পারে। Suricata এটিকে তার নিজস্ব নিয়ম অনুযায়ী চালায় এবং তিনটি রায়ের একটি জারি করে: NF_ACCEPT, NF_DROP এবং NF_REPEAT। প্রথম দুটি স্ব-ব্যাখ্যামূলক, যখন শেষটি প্যাকেটগুলিকে ট্যাগ করা এবং বর্তমান iptables টেবিলের শীর্ষে পাঠানোর অনুমতি দেয়। AF_PACKET মোড দ্রুততর, কিন্তু এটি সিস্টেমে বেশ কিছু বিধিনিষেধ আরোপ করে: এতে দুটি নেটওয়ার্ক ইন্টারফেস থাকতে হবে এবং একটি গেটওয়ে হিসেবে কাজ করতে হবে। ব্লক করা প্যাকেটটি দ্বিতীয় ইন্টারফেসে ফরোয়ার্ড করা হয় না।

Suricata একটি গুরুত্বপূর্ণ বৈশিষ্ট্য Snort জন্য উন্নয়ন ব্যবহার করার ক্ষমতা. অ্যাডমিনিস্ট্রেটরের অ্যাক্সেস আছে, বিশেষ করে সোর্সফায়ার ভিআরটি এবং ওপেনসোর্স ইমার্জিং থ্রেটস নিয়ম সেটের পাশাপাশি বাণিজ্যিক উদীয়মান হুমকি প্রো-তে। ইউনিফাইড আউটপুট জনপ্রিয় ব্যাকএন্ড ব্যবহার করে পার্স করা যায়, PCAP এবং Syslog আউটপুটও সমর্থিত। সিস্টেম সেটিংস এবং নিয়মগুলি YAML ফাইলগুলিতে সংরক্ষণ করা হয়, যা পড়তে সহজ এবং স্বয়ংক্রিয়ভাবে প্রক্রিয়া করা যেতে পারে। Suricata ইঞ্জিন অনেক প্রোটোকলকে স্বীকৃতি দেয়, তাই নিয়মগুলিকে একটি পোর্ট নম্বরের সাথে আবদ্ধ করার প্রয়োজন নেই। উপরন্তু, ফ্লোবিট ধারণা সক্রিয়ভাবে Suricata নিয়ম অনুশীলন করা হয়. ট্রিগার ট্র্যাক করতে, সেশন ভেরিয়েবলগুলি বিভিন্ন কাউন্টার এবং পতাকা তৈরি এবং প্রয়োগ করতে ব্যবহৃত হয়। অনেক IDS বিভিন্ন TCP সংযোগকে পৃথক সত্তা হিসাবে বিবেচনা করে এবং তাদের মধ্যে একটি সংযোগ নাও দেখতে পারে যা আক্রমণ শুরুর ইঙ্গিত দেয়। Suricata পুরো ছবিটি দেখার চেষ্টা করে এবং অনেক ক্ষেত্রে বিভিন্ন সংযোগের মাধ্যমে বিতরণ করা দূষিত ট্র্যাফিক সনাক্ত করে। আপনি দীর্ঘ সময়ের জন্য এর সুবিধাগুলি সম্পর্কে কথা বলতে পারেন, আমরা আরও ভালভাবে ইনস্টলেশন এবং কনফিগারেশনে যেতে চাই।

কীভাবে ইনস্টল করবেন?

আমরা Ubuntu 18.04 LTS চালিত একটি ভার্চুয়াল সার্ভারে Suricata ইনস্টল করব। সমস্ত কমান্ড অবশ্যই সুপার ইউজার (রুট) এর পক্ষে কার্যকর করা উচিত। সবচেয়ে নিরাপদ বিকল্প হল সাধারণ ব্যবহারকারী হিসাবে সার্ভারে SSH করা এবং তারপর সুবিধাগুলি উন্নত করতে sudo ইউটিলিটি ব্যবহার করা। প্রথমে আপনাকে আমাদের প্রয়োজনীয় প্যাকেজগুলি ইনস্টল করতে হবে:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

একটি বাহ্যিক সংগ্রহস্থল সংযোগ করা হচ্ছে:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

Suricata এর সর্বশেষ স্থিতিশীল সংস্করণ ইনস্টল করুন:

sudo apt-get install suricata

প্রয়োজনে, সার্ভারের বাহ্যিক ইন্টারফেসের প্রকৃত নামের সাথে ডিফল্ট eth0 প্রতিস্থাপন করে কনফিগারেশন ফাইলের নাম সম্পাদনা করুন। ডিফল্ট সেটিংস /etc/default/suricata ফাইলে সংরক্ষণ করা হয় এবং কাস্টম সেটিংস /etc/suricata/suricata.yaml এ সংরক্ষণ করা হয়। আইডিএস কনফিগার করা বেশিরভাগই এই কনফিগারেশন ফাইলটি সম্পাদনার জন্য সীমাবদ্ধ। এটির অনেকগুলি পরামিতি রয়েছে যা নাম এবং উদ্দেশ্য অনুসারে, স্নর্টের অ্যানালগগুলির সাথে মিলে যায়। সিনট্যাক্স সম্পূর্ণ ভিন্ন, তবে ফাইলটি Snort কনফিগারেশনের তুলনায় পড়া অনেক সহজ এবং ভাল মন্তব্য করা হয়েছে।

sudo nano /etc/default/suricata

sudo nano /etc/suricata/suricata.yaml

মনোযোগ! শুরু করার আগে, vars বিভাগ থেকে ভেরিয়েবলের মান পরীক্ষা করা মূল্যবান।

সেটআপ সম্পূর্ণ করতে, আপনাকে নিয়মগুলি আপডেট এবং লোড করতে suricata-আপডেট ইনস্টল করতে হবে। এটি করা বেশ সহজ:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

এর পরে, উদীয়মান হুমকি ওপেন নিয়ম সেট ইনস্টল করতে suricata-update কমান্ডটি চালাতে হবে:

sudo suricata-update

নিয়ম উত্সগুলির তালিকা দেখতে, নিম্নলিখিত কমান্ডটি চালান:

sudo suricata-update list-sources

নিয়ম সূত্র আপডেট করুন:

sudo suricata-update update-sources

আপডেট করা উত্সগুলি পুনরায় দেখুন:

sudo suricata-update list-sources

প্রয়োজনে, আপনি উপলব্ধ বিনামূল্যের উত্স অন্তর্ভুক্ত করতে পারেন:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

এর পরে, আপনাকে আবার নিয়মগুলি আপডেট করতে হবে:

sudo suricata-update

এটি উবুন্টু 18.04 LTS-এ Suricata-এর ইনস্টলেশন এবং প্রাথমিক কনফিগারেশন সম্পূর্ণ করে। তারপর মজা শুরু হয়: পরবর্তী নিবন্ধে, আমরা একটি ভার্চুয়াল সার্ভারকে VPN এর মাধ্যমে অফিস নেটওয়ার্কের সাথে সংযুক্ত করব এবং সমস্ত আগত এবং বহির্গামী ট্র্যাফিক বিশ্লেষণ শুরু করব। আমরা DDoS আক্রমণ, ম্যালওয়্যার কার্যকলাপ এবং সর্বজনীন নেটওয়ার্কগুলি থেকে অ্যাক্সেসযোগ্য পরিষেবাগুলিতে দুর্বলতাগুলিকে কাজে লাগানোর প্রচেষ্টাকে ব্লক করার দিকে বিশেষ মনোযোগ দেব৷ স্পষ্টতার জন্য, সবচেয়ে সাধারণ ধরণের আক্রমণগুলি সিমুলেট করা হবে।

উত্স: www.habr.com

Snort বা Suricata. পার্ট 2: Suricata এর ইনস্টলেশন এবং প্রাথমিক সেটআপ

কেন আমাদের আরেকটি খোলা আইপিএস দরকার?

কেন সুরিকা?

কীভাবে ইনস্টল করবেন?

একটি মন্তব্য জুড়ুন উত্তর বাতিল