Sicondu statistiche, u voluminu di u trafficu di a reta aumenta da circa 50% annu. Questu porta à un aumentu di a carica nantu à l'equipaggiu è, in particulare, aumenta i requisiti di prestazione di IDS / IPS. Pudete cumprà un hardware specializatu caru, ma ci hè una opzione più prezzu - l'intruduzioni di unu di i sistemi open source. Parechji amministratori novi trovanu difficiuli di stallà è cunfigurà IPS gratuiti. In u casu di Suricata, questu ùn hè micca cumplettamente veru - pudete installà è cumincià à repellerà attacchi tipici cù un set di reguli gratuiti in pochi minuti.
Perchè avemu bisognu di un altru IPS apertu?
Longu cunzidiratu u standard, Snort hè statu in sviluppu da a fine di l'anni novanta, per quessa era urigginariamente unicu filatu. À l'anni, tutte e funziunalità muderni sò apparsu in questu, cum'è u supportu IPv6, a capacità di analizà i protokolli à livellu di l'applicazione, o un modulu d'accessu universale di dati.
U mutore core Snort 2.X hà amparatu à travaglià cù parechje nuclei, ma hè statu unicu filatu è per quessa ùn pò micca sfruttà in modu ottimale di e plataforme di hardware muderni.
U prublema hè stata risolta in a terza versione di u sistema, ma pigliò tantu tempu per preparà chì Suricata, scritta da zero, hà sappiutu à cumparisce nantu à u mercatu. In u 2009, hà cuminciatu à esse sviluppatu precisamente cum'è una alternativa multi-threaded à Snort, chì hà caratteristiche IPS fora di a scatula. U codice hè distribuitu sottu a licenza GPLv2, ma i partenarii finanziarii di u prugettu anu accessu à una versione chjusa di u mutore. Certi prublemi di scalabilità sò ghjunti in e prime versioni di u sistema, ma sò stati risolti rapidamente.
Perchè Surica?
Suricata hà parechji moduli (simili à Snort): cattura, cattura, decodifica, deteczione è output. Per automaticamente, u trafficu catturatu passa prima di decodificà in un flussu, ancu s'ellu ci hè più carica di u sistema. In casu di necessariu, i filamenti ponu esse divisi in i paràmetri è distribuiti trà i prucessori - Suricata hè assai bè ottimizatu per hardware specificu, ancu s'ellu ùn hè più un livellu HOWTO per i principianti. Hè nutate ancu chì Suricata hà avanzatu strumenti d'ispezione HTTP basati nantu à a biblioteca HTP. Puderanu ancu esse usatu per logà u trafficu senza rilevazione. U sistema supporta ancu a decodificazione IPv6, cumprese i tunnelli IPv4-in-IPv6, i tunnelli IPv6-in-IPv6, è più.
Differenti interfacce ponu esse aduprate per intercepte u trafficu (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), è in u modu Unix Socket, pudete analizà automaticamente i fugliali PCAP catturati da un altru sniffer. Inoltre, l'architettura modulare di Suricata facilita l'inserimentu di novi elementi per catturà, decodificà, analizà è processà i pacchetti di rete. Hè impurtante ancu di nutà chì in Suricata, u trafficu hè bluccatu per mezu di un filtru regulare di u sistema operatore. GNU/Linux hà duie opzioni per cumu funziona IPS: via a fila NFQUEUE (modu NFQ) è via copia zero (modu AF_PACKET). In u primu casu, u pacchettu chì entra in iptables hè mandatu à a fila NFQUEUE, induve pò esse processatu à u livellu di l'utilizatori. Suricata u gestisce secondu e so regule è emette unu di trè verdicts: NF_ACCEPT, NF_DROP è NF_REPEAT. I primi dui sò auto-esplicativi, mentre chì l'ultimu permette à i pacchetti per esse tagged è mandati à a cima di a tavula iptables attuale. U modu AF_PACKET hè più veloce, ma impone una quantità di restrizioni à u sistema: deve avè duie interfacce di rete è travaglià cum'è una porta. U pacchettu bluccatu hè simplicemente micca trasmessu à a seconda interfaccia.
Una caratteristica impurtante di Suricata hè a capacità di utilizà sviluppi per Snort. L'amministratore hà accessu, in particulare, à l'insiemi di regule Sourcefire VRT è OpenSource Emerging Threats, è ancu à u cummerciale Emerging Threats Pro. L'output unificatu pò esse analizatu cù backend populari, PCAP è output Syslog hè ancu supportatu. I paràmetri di u sistema è e regule sò guardati in i schedari YAML, chì sò faciuli di leghje è ponu esse processati automaticamente. U mutore Suricata ricunnosce parechji protokolli, perchè e regule ùn anu micca bisognu à esse ligate à un numeru di portu. Inoltre, u cuncettu di flowbits hè attivamente praticatu in i reguli di Suricata. Per seguità u trigger, i variàbili di sessione sò usati per creà è applicà diversi cuntatori è bandiere. Parechji IDS trattanu diverse cunnessione TCP cum'è entità separate è ùn ponu micca vede una cunnessione trà elli chì indica l'iniziu di un attaccu. Suricata prova di vede tutta a stampa è in parechji casi ricunnosce u trafficu maliziusu distribuitu nantu à e diverse cunnessione. Pudete parlà di i so vantaghji per un bellu pezzu, hè megliu passà à a stallazione è a cunfigurazione.
Cume installà?
Stallaremu Suricata nantu à un servitore virtuale cù Ubuntu 18.04 LTS. Tutti i cumandamenti devenu esse eseguiti in nome di u superuser (root). L'opzione più sicura hè di SSH in u servitore cum'è un usu normale è dopu aduprà l'utilità sudo per elevà i privilegi. Prima avete bisognu di stallà i pacchetti chì avemu bisognu:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsCunnettendu un repositoriu esternu:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateInstalla l'ultima versione stabile di Suricata:
sudo apt-get install suricataIn casu di necessariu, edità u nome di i schedarii di cunfigurazione, rimpiazzà l'eth0 predeterminatu cù u nome propiu di l'interfaccia esterna di u servitore. I paràmetri predeterminati sò almacenati in u schedariu /etc/default/suricata, è i paràmetri persunalizati sò guardati in /etc/suricata/suricata.yaml. A cunfigurazione di IDS hè principalmente limitata à edità stu schedariu di cunfigurazione. Havi assai parametri chì, per nome è scopu, coincidenu cù l'analogi di Snort. A sintassi hè cumplitamenti sfarente, però, ma u schedariu hè assai più faciule da leghje cà Snort configs è hè bè cummentatu.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Attenzione ! Prima di principià, vale a pena verificà i valori di e variàbili da a sezione vars.
Per compie a cunfigurazione, vi tuccherà à stallà suricata-update à aghjurnà è carricà e regule. Hè abbastanza faciule per fà questu:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateIn seguitu, avemu bisognu di eseguisce u cumandamentu suricata-update per installà u set di regule Emerging Threats Open:
sudo suricata-update
Per vede a lista di fonti di regula, eseguite u cumandimu seguente:
sudo suricata-update list-sources
Aghjurnà fonti di regula:
sudo suricata-update update-sources
Rivisite i fonti aghjurnati:
sudo suricata-update list-sourcesSe necessariu, pudete include fonti gratuiti dispunibili:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistDopu quì, avete bisognu di aghjurnà e regule di novu:
sudo suricata-updateQuestu cumpleta l'installazione è a cunfigurazione iniziale di Suricata in Ubuntu 18.04 LTS. Allora u divertimentu principia: in u prossimu articulu, cunnettaremu un servitore virtuale à a reta di l'uffiziu via VPN è cuminciamu à analizà tuttu u trafficu entrante è in uscita. Presteremu una attenzione particulari à bluccà l'attacchi DDoS, l'attività di malware è i tentativi di sfruttà e vulnerabilità in i servizii accessibili da e rete publiche. Per a chiarità, l'attacchi di i tipi più cumuni seranu simulati.
Source: www.habr.com