Yn ôl yr ystadegau, mae nifer y traffig rhwydwaith yn cynyddu tua 50% bob blwyddyn. Mae hyn yn arwain at gynnydd yn y llwyth ar yr offer ac, yn benodol, yn cynyddu gofynion perfformiad IDS / IPS. Gallwch brynu caledwedd arbenigol drud, ond mae opsiwn rhatach - cyflwyno un o'r systemau ffynhonnell agored. Mae llawer o weinyddwyr newydd yn ei chael hi'n anodd gosod a ffurfweddu IPS rhad ac am ddim. Yn achos Suricata, nid yw hyn yn hollol wir - gallwch ei osod a dechrau gwrthyrru ymosodiadau nodweddiadol gyda set o reolau rhad ac am ddim mewn ychydig funudau.
Pam mae angen IPS agored arall arnom?
Wedi hen ystyried y safon, mae Snort wedi bod yn cael ei datblygu ers diwedd y nawdegau, felly un edau ydoedd yn wreiddiol. Dros y blynyddoedd, mae'r holl nodweddion modern wedi ymddangos ynddo, megis cefnogaeth IPv6, y gallu i ddadansoddi protocolau lefel cais, neu fodiwl mynediad data cyffredinol.
Mae'r injan craidd Snort 2.X wedi dysgu gweithio gyda creiddiau lluosog, ond mae wedi aros yn un edau ac felly ni all fanteisio i'r eithaf ar lwyfannau caledwedd modern.
Datryswyd y broblem yn nhrydedd fersiwn y system, ond cymerodd gymaint o amser i baratoi bod Suricata, a ysgrifennwyd o'r dechrau, wedi llwyddo i ymddangos ar y farchnad. Yn 2009, dechreuwyd ei ddatblygu'n union fel dewis arall aml-edau yn lle Snort, sydd â swyddogaethau IPS allan o'r bocs. Mae'r cod yn cael ei ddosbarthu o dan y drwydded GPLv2, ond mae gan bartneriaid ariannol y prosiect fynediad i fersiwn caeedig o'r injan. Cododd rhai problemau scalability yn fersiynau cyntaf y system, ond cawsant eu datrys yn gyflym.
Pam Surica?
Mae gan Suricata sawl modiwl (tebyg i Snort): dal, dal, dadgodio, canfod ac allbwn. Yn ddiofyn, mae'r traffig sy'n cael ei ddal yn mynd cyn datgodio mewn un ffrwd, er bod hyn yn llwytho'r system yn fwy. Os oes angen, gellir rhannu edafedd yn y gosodiadau a'u dosbarthu ymhlith proseswyr - mae Suricata wedi'i optimeiddio'n dda iawn ar gyfer caledwedd penodol, er nad yw hon bellach yn lefel HOWTO ar gyfer dechreuwyr. Mae'n werth nodi hefyd bod gan Suricata offer archwilio HTTP datblygedig yn seiliedig ar y llyfrgell HTP. Gellir eu defnyddio hefyd i logio traffig heb ei ganfod. Mae'r system hefyd yn cefnogi datgodio IPv6, gan gynnwys twneli IPv4-in-IPv6, twneli IPv6-in-IPv6, a mwy.
Gellir defnyddio gwahanol ryngwynebau i ryng-gipio traffig (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ac yn y modd Unix Socket, gallwch ddadansoddi ffeiliau PCAP a ddaliwyd gan sniffer arall yn awtomatig. Yn ogystal, mae pensaernïaeth fodiwlaidd Suricata yn ei gwneud hi'n hawdd plygio elfennau newydd i mewn i ddal, dadgodio, dosrannu a phrosesu pecynnau rhwydwaith. Mae hefyd yn bwysig nodi bod traffig yn cael ei rwystro yn Suricata trwy hidlydd rheolaidd o'r system weithredu. Mae gan GNU/Linux ddau opsiwn ar gyfer sut mae IPS yn gweithio: trwy'r ciw NFQUEUE (modd NFQ) a thrwy gopi sero (modd AF_PACKET). Yn yr achos cyntaf, anfonir y pecyn sy'n mynd i mewn i iptables i'r ciw NFQUEUE, lle gellir ei brosesu ar lefel y defnyddiwr. Mae Suricata yn ei redeg yn ôl ei reolau ei hun ac yn cyhoeddi un o dri dyfarniad: NF_ACCEPT, NF_DROP a NF_REPEAT. Mae'r ddau gyntaf yn hunanesboniadol, tra bod yr olaf yn caniatáu i becynnau gael eu tagio a'u hanfon i frig y tabl iptables cyfredol. Mae'r modd AF_PACKET yn gyflymach, ond mae'n gosod nifer o gyfyngiadau ar y system: rhaid iddo gael dau ryngwyneb rhwydwaith a gweithio fel porth. Yn syml, nid yw'r pecyn sydd wedi'i rwystro yn cael ei anfon ymlaen i'r ail ryngwyneb.
Nodwedd bwysig o Suricata yw'r gallu i ddefnyddio datblygiadau ar gyfer Snort. Mae gan y gweinyddwr fynediad, yn benodol, i setiau rheolau Sourcefire VRT ac OpenSource Emerging Threats, yn ogystal â'r Emerging Threats Pro masnachol. Gellir dosrannu'r allbwn unedig gan ddefnyddio backends poblogaidd, cefnogir allbwn PCAP a Syslog hefyd. Mae gosodiadau system a rheolau yn cael eu storio mewn ffeiliau YAML, sy'n hawdd eu darllen a gellir eu prosesu'n awtomatig. Mae'r injan Suricata yn cydnabod llawer o brotocolau, felly nid oes angen i'r rheolau fod yn gysylltiedig â rhif porthladd. Yn ogystal, mae'r cysyniad o flowbits yn cael ei ymarfer yn weithredol yn rheolau Suricata. I olrhain y sbardun, defnyddir newidynnau sesiwn i greu a chymhwyso cownteri a baneri amrywiol. Mae llawer o IDSs yn trin gwahanol gysylltiadau TCP fel endidau ar wahân ac efallai na fyddant yn gweld cysylltiad rhyngddynt sy'n dynodi dechrau ymosodiad. Mae Suricata yn ceisio gweld y darlun cyfan ac mewn llawer o achosion mae'n cydnabod traffig maleisus wedi'i ddosbarthu dros wahanol gysylltiadau. Gallwch siarad am ei fanteision am amser hir, byddai'n well inni symud ymlaen i osod a chyfluniad.
Sut i osod?
Byddwn yn gosod Suricata ar weinydd rhithwir sy'n rhedeg Ubuntu 18.04 LTS. Rhaid gweithredu pob gorchymyn ar ran yr uwch-ddefnyddiwr (gwraidd). Yr opsiwn mwyaf diogel yw SSH i'r gweinydd fel defnyddiwr arferol ac yna defnyddio'r cyfleustodau sudo i ddyrchafu breintiau. Yn gyntaf mae angen i chi osod y pecynnau sydd eu hangen arnom:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsCysylltu ystorfa allanol:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateGosodwch y fersiwn sefydlog ddiweddaraf o Suricata:
sudo apt-get install suricataOs oes angen, golygwch enw'r ffeil ffurfweddu, gan ddisodli'r eth0 rhagosodedig gydag enw gwirioneddol rhyngwyneb allanol y gweinydd. Mae gosodiadau diofyn yn cael eu storio yn y ffeil /etc/default/suricata, ac mae gosodiadau arfer yn cael eu storio yn /etc/suricata/suricata.yaml. Mae ffurfweddu IDS yn gyfyngedig yn bennaf i olygu'r ffeil ffurfweddu hon. Mae ganddo lawer o baramedrau sydd, yn ôl enw a phwrpas, yn cyd-fynd ag analogau o Snort. Mae'r gystrawen yn dra gwahanol, fodd bynnag, ond mae'r ffeil yn llawer haws i'w darllen na chyfluniadau Snort, ac mae llawer o sylwadau arni.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Sylw! Cyn dechrau, mae'n werth gwirio gwerthoedd y newidynnau o'r adran vars.
I gwblhau'r gosodiad, bydd angen i chi osod suricata-update i ddiweddaru a llwytho'r rheolau. Mae'n eithaf hawdd gwneud hyn:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateNesaf, mae angen i ni redeg y gorchymyn diweddaru suricata i osod y set rheol Bygythiadau sy'n Dod i'r Amlwg:
sudo suricata-update
I weld y rhestr o ffynonellau rheol, rhedeg y gorchymyn canlynol:
sudo suricata-update list-sources
Diweddaru ffynonellau rheolau:
sudo suricata-update update-sources
Wrthi'n edrych eto ar ffynonellau wedi'u diweddaru:
sudo suricata-update list-sourcesOs oes angen, gallwch gynnwys ffynonellau rhad ac am ddim sydd ar gael:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistAr ôl hynny, mae angen i chi ddiweddaru'r rheolau eto:
sudo suricata-updateMae hyn yn cwblhau gosod a chyfluniad cychwynnol Suricata yn Ubuntu 18.04 LTS. Yna mae'r hwyl yn dechrau: yn yr erthygl nesaf, byddwn yn cysylltu gweinydd rhithwir i'r rhwydwaith swyddfa trwy VPN ac yn dechrau dadansoddi'r holl draffig sy'n dod i mewn ac yn mynd allan. Byddwn yn rhoi sylw arbennig i rwystro ymosodiadau DDoS, gweithgarwch malware ac ymdrechion i fanteisio ar wendidau mewn gwasanaethau sy'n hygyrch o rwydweithiau cyhoeddus. Er eglurder, bydd ymosodiadau o'r mathau mwyaf cyffredin yn cael eu hefelychu.
Ffynhonnell: hab.com