Sumala sa mga estadistika, ang gidaghanon sa trapiko sa network nagdugang mga 50% matag tuig. Kini modala ngadto sa usa ka pagtaas sa load sa mga ekipo ug, sa partikular, sa pagdugang sa mga kinahanglanon sa performance sa IDS / IPS. Makapalit ka ug mahal nga espesyal nga hardware, apan adunay usa ka mas barato nga kapilian - ang pagpaila sa usa sa mga open source nga sistema. Daghang mga bag-ong administrador ang naglisud sa pag-instalar ug pag-configure sa libre nga IPS. Sa kaso sa Suricata, dili kini hingpit nga tinuod - mahimo nimo kini i-install ug magsugod sa pagsalikway sa kasagaran nga mga pag-atake nga adunay usa ka hugpong sa libre nga mga lagda sa pipila ka minuto.
Ngano nga kinahanglan namon ang lain nga bukas nga IPS?
Dugay nang gikonsiderar ang sumbanan, ang Snort naa sa pag-uswag sukad sa ulahing bahin sa nineties, mao nga kini orihinal nga single-threaded. Sulod sa mga katuigan, ang tanan nga modernong mga bahin nagpakita niini, sama sa suporta sa IPv6, ang abilidad sa pag-analisar sa mga protocol sa lebel sa aplikasyon, o usa ka universal data access module.
Ang kinauyokan nga makina nga Snort 2.X nakakat-on sa pagtrabaho uban sa daghang mga cores, apan nagpabilin nga single-threaded ug busa dili maayo nga mapahimuslan ang modernong mga plataporma sa hardware.
Nasulbad ang problema sa ikatulo nga bersyon sa sistema, apan dugay kaayo ang pag-andam nga ang Suricata, nga gisulat gikan sa wala, nakahimo sa pagpakita sa merkado. Kaniadtong 2009, nagsugod kini nga maugmad nga tukma ingon usa ka daghang sinulud nga alternatibo sa Snort, nga adunay mga function sa IPS nga wala sa kahon. Ang code giapod-apod ubos sa lisensya sa GPLv2, apan ang mga kasosyo sa pinansyal sa proyekto adunay access sa usa ka sirado nga bersyon sa makina. Ang ubang mga problema sa scalability mitungha sa unang mga bersyon sa sistema, apan kini dali nga nasulbad.
Nganong Surica?
Ang Suricata adunay daghang mga module (sama sa Snort): pagdakop, pagdakop, pag-decode, pag-detect, ug output. Sa kasagaran, ang nakuha nga trapiko moadto sa wala pa ang pag-decode sa usa ka sapa, bisan kung kini labi nga nagkarga sa sistema. Kung gikinahanglan, ang mga hilo mahimong bahinon sa mga setting ug ipang-apod-apod sa mga processor - Ang Suricata maayo kaayo nga na-optimize alang sa piho nga hardware, bisan kung kini dili na usa ka lebel sa HOWTO alang sa mga nagsugod. Angayan usab nga matikdan nga ang Suricata adunay mga advanced nga HTTP inspection tools base sa HTP library. Mahimo usab kini gamiton sa pag-log sa trapiko nga walaβy nakit-an. Gisuportahan usab sa sistema ang IPv6 decoding, lakip ang IPv4-in-IPv6 tunnels, IPv6-in-IPv6 tunnels, ug uban pa.
Lahi nga mga interface mahimong magamit sa pag-intercept sa trapiko (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ug sa Unix Socket mode, mahimo nimong awtomatiko nga analisahon ang mga file sa PCAP nga nakuha sa laing sniffer. Dugang pa, ang modular nga arkitektura sa Suricata nagpadali sa pag-plug sa mga bag-ong elemento aron makuha, ma-decode, ma-parse, ug maproseso ang mga pakete sa network. Importante usab nga hinumdoman nga sa Suricata, ang trapiko gibabagan pinaagi sa usa ka regular nga filter sa operating system. Ang GNU/Linux adunay duha ka kapilian kung giunsa paglihok ang IPS: pinaagi sa NFQUEUE queue (NFQ mode) ug pinaagi sa zero copy (AF_PACKET mode). Sa unang kaso, ang packet nga mosulod sa iptables ipadala sa NFQUEUE queue, diin kini maproseso sa user level. Ang Suricata nagpadagan niini sumala sa kaugalingon nga mga lagda ug nagpagawas sa usa sa tulo nga mga hukom: NF_ACCEPT, NF_DROP ug NF_REPEAT. Ang una nga duha kay nagpatin-aw sa kaugalingon, samtang ang katapusan nagtugot sa mga pakete nga ma-tag ug ipadala sa ibabaw sa kasamtangan nga lamesa sa iptables. Ang AF_PACKET mode mas paspas, apan nagpahamtang kini og ubay-ubay nga mga pagdili sa sistema: kini kinahanglan nga adunay duha ka mga interface sa network ug magtrabaho isip usa ka ganghaan. Ang gibabagan nga pakete kay wala ipasa sa ikaduhang interface.
Usa ka importante nga bahin sa Suricata mao ang abilidad sa paggamit sa mga kalamboan alang sa Snort. Ang tagdumala adunay access, ilabina, sa Sourcefire VRT ug OpenSource Emerging Threats rule sets, ingon man sa komersyal nga Emerging Threats Pro. Ang hiniusa nga output mahimong ma-parse gamit ang popular nga mga backend, PCAP ug Syslog output gisuportahan usab. Ang mga setting sa sistema ug mga lagda gitipigan sa mga file sa YAML, nga dali basahon ug mahimong awtomatikong maproseso. Ang makina sa Suricata nakaila sa daghang mga protocol, mao nga ang mga lagda dili kinahanglan nga ihigot sa usa ka numero sa pantalan. Dugang pa, ang konsepto sa mga flowbits aktibo nga gipraktis sa mga lagda sa Suricata. Aron masubay ang gatilyo, ang mga variable sa sesyon gigamit sa paghimo ug paggamit sa lainlaing mga counter ug mga bandila. Daghang mga IDS ang nagtratar sa lain-laing mga koneksyon sa TCP isip bulag nga mga entidad ug dili makakita og koneksyon tali kanila nga nagpakita sa pagsugod sa usa ka pag-atake. Gisulayan ni Suricata nga makita ang tibuuk nga litrato ug sa daghang mga kaso nakaila sa makadaot nga trapiko nga giapod-apod sa lainlaing mga koneksyon. Mahimo nimong hisgutan ang bahin sa mga bentaha niini sa dugay nga panahon, mas maayo nga magpadayon kami sa pag-install ug pag-configure.
Giunsa ang pag-instalar?
Atong i-install ang Suricata sa usa ka virtual server nga nagpadagan sa Ubuntu 18.04 LTS. Ang tanan nga mga sugo kinahanglan nga ipatuman sa ngalan sa superuser (gamut). Ang labing luwas nga kapilian mao ang SSH sa server ingon usa ka normal nga tiggamit ug dayon gamiton ang sudo utility aron mapataas ang mga pribilehiyo. Una kinahanglan nimo nga i-install ang mga pakete nga kinahanglan namon:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsPagkonektar sa usa ka eksternal nga repositoryo:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateI-install ang pinakabag-o nga stable nga bersyon sa Suricata:
sudo apt-get install suricataKung gikinahanglan, i-edit ang ngalan sa configuration files, ilisan ang default eth0 sa aktuwal nga ngalan sa external interface sa server. Ang mga default nga setting gitipigan sa /etc/default/suricata file, ug ang custom nga mga setting gitipigan sa /etc/suricata/suricata.yaml. Ang pag-configure sa mga IDS kasagaran limitado sa pag-edit niini nga configuration file. Kini adunay daghang mga parameter nga, sa ngalan ug katuyoan, nahiuyon sa mga analogue gikan sa Snort. Ang syntax lahi ra, bisan pa, apan ang file labi ka dali nga basahon kaysa sa Snort configs, ug maayo nga gikomento.
sudo nano /etc/default/suricata
ΠΈ
sudo nano /etc/suricata/suricata.yaml
Atensyon! Sa wala pa magsugod, angay nga susihon ang mga kantidad sa mga variable gikan sa seksyon sa vars.
Aron makompleto ang setup, kinahanglan nimo nga i-install ang suricata-update aron ma-update ug ma-load ang mga lagda. Sayon ra ang pagbuhat niini:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateSunod, kinahanglan natong padaganon ang suricata-update nga sugo aron i-install ang Emerging Threats Open rule set:
sudo suricata-update
Aron makita ang lista sa mga tinubdan sa lagda, padagana ang mosunod nga sugo:
sudo suricata-update list-sources
I-update ang mga tinubdan sa lagda:
sudo suricata-update update-sources
Pag-usab sa gi-update nga mga tinubdan:
sudo suricata-update list-sourcesKung gikinahanglan, mahimo nimong iapil ang mga magamit nga libre nga gigikanan:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistPagkahuman niana, kinahanglan nimo nga i-update pag-usab ang mga lagda:
sudo suricata-updateNakompleto niini ang pag-instalar ug inisyal nga pag-configure sa Suricata sa Ubuntu 18.04 LTS. Dayon magsugod ang kalingawan: sa sunod nga artikulo, magkonektar kami sa usa ka virtual server sa network sa opisina pinaagi sa VPN ug magsugod sa pag-analisar sa tanan nga umaabot ug mogawas nga trapiko. Maghatag kami espesyal nga atensyon sa pagbabag sa mga pag-atake sa DDoS, kalihokan sa malware ug pagsulay sa pagpahimulos sa mga kahuyangan sa mga serbisyo nga ma-access gikan sa mga publiko nga network. Alang sa katin-awan, ang mga pag-atake sa labing kasagaran nga mga tipo himuon nga simulate.
Source: www.habr.com