Segons les estadístiques, el volum de trànsit de la xarxa augmenta aproximadament un 50% cada any. Això comporta un augment de la càrrega de l'equip i, en particular, augmenta els requisits de rendiment d'IDS / IPS. Podeu comprar maquinari especialitzat car, però hi ha una opció més barata: la introducció d'un dels sistemes de codi obert. A molts administradors novells els costa instal·lar i configurar IPS gratuïts. En el cas de Suricata, això no és del tot cert: podeu instal·lar-lo i començar a repel·lir atacs típics amb un conjunt de regles gratuïtes en pocs minuts.
Per què necessitem un altre IPS obert?
Considerat durant molt de temps l'estàndard, Snort ha estat en desenvolupament des de finals dels noranta, de manera que originalment era d'un sol fil. Al llarg dels anys, hi han aparegut totes les característiques modernes, com ara el suport d'IPv6, la capacitat d'analitzar protocols a nivell d'aplicació o un mòdul d'accés a dades universal.
El motor central Snort 2.X ha après a funcionar amb diversos nuclis, però s'ha mantingut d'un sol fil i, per tant, no pot aprofitar de manera òptima les plataformes de maquinari modernes.
El problema es va solucionar en la tercera versió del sistema, però va trigar tant a preparar-se que Suricata, escrit des de zero, va aconseguir sortir al mercat. L'any 2009, es va començar a desenvolupar precisament com una alternativa multifils a Snort, que té funcions IPS fora de la caixa. El codi es distribueix sota la llicència GPLv2, però els socis financers del projecte tenen accés a una versió tancada del motor. Alguns problemes d'escalabilitat van sorgir en les primeres versions del sistema, però es van resoldre ràpidament.
Per què Surica?
Suricata té diversos mòduls (similars a Snort): captura, captura, descodificació, detecció i sortida. Per defecte, el trànsit capturat passa abans de la descodificació en un sol flux, encara que això carrega més el sistema. Si cal, els fils es poden dividir a la configuració i distribuir-los entre els processadors - Suricata està molt ben optimitzat per a maquinari específic, tot i que aquest ja no és un nivell HOWTO per a principiants. També val la pena assenyalar que Suricata té eines d'inspecció HTTP avançades basades en la biblioteca HTP. També es poden utilitzar per registrar el trànsit sense detecció. El sistema també admet la descodificació IPv6, inclosos els túnels IPv4-in-IPv6, els túnels IPv6-in-IPv6 i molt més.
Es poden utilitzar diferents interfícies per interceptar el trànsit (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) i en el mode Unix Socket, podeu analitzar automàticament els fitxers PCAP capturats per un altre sniffer. A més, l'arquitectura modular de Suricata facilita la connexió de nous elements per capturar, descodificar, analitzar i processar paquets de xarxa. També és important tenir en compte que a Suricata el trànsit es bloqueja mitjançant un filtre habitual del sistema operatiu. GNU/Linux té dues opcions sobre com funciona IPS: mitjançant la cua NFQUEUE (mode NFQ) i mitjançant còpia zero (mode AF_PACKET). En el primer cas, el paquet que entra a iptables s'envia a la cua NFQUEUE, on es pot processar a nivell d'usuari. Suricata l'executa segons les seves pròpies regles i emet un dels tres veredictes: NF_ACCEPT, NF_DROP i NF_REPEAT. Els dos primers s'expliquen per si mateixos, mentre que l'últim permet etiquetar i enviar paquets a la part superior de la taula d'iptables actual. El mode AF_PACKET és més ràpid, però imposa una sèrie de restriccions al sistema: ha de tenir dues interfícies de xarxa i funcionar com a passarel·la. El paquet bloquejat simplement no es reenvia a la segona interfície.
Una característica important de Suricata és la capacitat d'utilitzar desenvolupaments per a Snort. L'administrador té accés, en particular, als conjunts de regles de Sourcefire VRT i OpenSource Emerging Threats, així com al comercial Emerging Threats Pro. La sortida unificada es pot analitzar mitjançant backends populars, també s'admet la sortida PCAP i Syslog. La configuració i les regles del sistema s'emmagatzemen en fitxers YAML, que són fàcils de llegir i es poden processar automàticament. El motor Suricata reconeix molts protocols, de manera que no cal que les regles estiguin lligades a un número de port. A més, el concepte de flowbits es practica activament a les regles de Suricata. Per fer un seguiment del desencadenant, les variables de sessió s'utilitzen per crear i aplicar diversos comptadors i indicadors. Molts IDS tracten diferents connexions TCP com a entitats separades i és possible que no vegin una connexió entre elles que indiqui l'inici d'un atac. Suricata intenta veure tota la imatge i, en molts casos, reconeix el trànsit maliciós distribuït per diferents connexions. Pots parlar dels seus avantatges durant molt de temps, millor que passem a la instal·lació i configuració.
Com instal · lar?
Instal·larem Suricata en un servidor virtual amb Ubuntu 18.04 LTS. Totes les ordres s'han d'executar en nom del superusuari (arrel). L'opció més segura és fer SSH al servidor com a usuari normal i després utilitzar la utilitat sudo per augmentar els privilegis. Primer cal instal·lar els paquets que necessitem:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsConnexió d'un dipòsit extern:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateInstal·leu la darrera versió estable de Suricata:
sudo apt-get install suricataSi cal, editeu el nom dels fitxers de configuració, substituint l'eth0 per defecte pel nom real de la interfície externa del servidor. La configuració per defecte s'emmagatzema al fitxer /etc/default/suricata i la configuració personalitzada s'emmagatzema a /etc/suricata/suricata.yaml. La configuració de l'IDS es limita principalment a editar aquest fitxer de configuració. Té molts paràmetres que, per nom i finalitat, coincideixen amb anàlegs de Snort. Tanmateix, la sintaxi és completament diferent, però el fitxer és molt més fàcil de llegir que les configuracions de Snort i està ben comentat.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Atenció! Abans de començar, val la pena comprovar els valors de les variables de la secció vars.
Per completar la configuració, haureu d'instal·lar suricata-update per actualitzar i carregar les regles. És bastant fàcil fer això:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateA continuació, hem d'executar l'ordre suricata-update per instal·lar el conjunt de regles Emerging Threats Open:
sudo suricata-update
Per veure la llista de fonts de regles, executeu l'ordre següent:
sudo suricata-update list-sources
Actualitzar les fonts de regles:
sudo suricata-update update-sources
Revisant fonts actualitzades:
sudo suricata-update list-sourcesSi cal, podeu incloure fonts gratuïtes disponibles:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistDesprés d'això, heu d'actualitzar les regles de nou:
sudo suricata-updateAixò completa la instal·lació i la configuració inicial de Suricata a Ubuntu 18.04 LTS. Aleshores comença la diversió: en el següent article, connectarem un servidor virtual a la xarxa de l'oficina mitjançant VPN i començarem a analitzar tot el trànsit entrant i sortint. Prestarem especial atenció al bloqueig dels atacs DDoS, l'activitat de programari maliciós i els intents d'explotar vulnerabilitats en serveis accessibles des de xarxes públiques. Per a més claredat, es simularan atacs dels tipus més habituals.
Font: www.habr.com