Laŭ statistiko, la volumo de rettrafiko pliiĝas je ĉirkaŭ 50% ĉiujare. Ĉi tio kondukas al pliigo de la ŝarĝo sur la ekipaĵo kaj, precipe, pliigas la rendimentajn postulojn de IDS / IPS. Vi povas aĉeti multekostan specialan aparataron, sed ekzistas pli malmultekosta opcio - la enkonduko de unu el la malfermfontaj sistemoj. Multaj novulaj administrantoj malfacilas instali kaj agordi senpagan IPS. En la kazo de Suricata, ĉi tio ne estas tute vera - vi povas instali ĝin kaj komenci forpuŝi tipajn atakojn kun aro de senpagaj reguloj en kelkaj minutoj.
Kial ni bezonas alian malferman IPS?
Longe konsiderata la normo, Snort disvolviĝis ekde la fino de la naŭdekaj, do ĝi estis origine unufadena. Tra la jaroj, ĉiuj modernaj funkcioj aperis en ĝi, kiel IPv6-subteno, la kapablo analizi aplikaĵ-nivelajn protokolojn aŭ universalan datuman alirmodulon.
La kerna Snort 2.X-motoro lernis labori kun pluraj kernoj, sed restis unufadena kaj tial ne povas optimume utiligi modernajn aparatarplatformojn.
La problemo estis solvita en la tria versio de la sistemo, sed necesis tiom da tempo por prepari, ke Suricata, skribita de nulo, sukcesis aperi sur la merkato. En 2009, ĝi komencis esti evoluigita ĝuste kiel multfadena alternativo al Snort, kiu havas IPS-funkciojn el la skatolo. La kodo estas distribuita sub la permesilo GPLv2, sed la financaj partneroj de la projekto havas aliron al fermita versio de la motoro. Kelkaj skalebloproblemoj ekestis en la unuaj versioj de la sistemo, sed ili estis rapide solvitaj.
Kial Surica?
Suricata havas plurajn modulojn (similajn al Snort): kapto, kapto, malkodigo, detekto kaj eligo. Defaŭlte, la kaptita trafiko iras antaŭ malkodado en unu fluo, kvankam ĉi tio ŝarĝas la sistemon pli. Se necese, fadenoj povas esti dividitaj en la agordoj kaj distribuitaj inter procesoroj - Suricata estas tre bone optimumigita por specifa aparataro, kvankam ĉi tio ne plu estas HOWTO-nivelo por komencantoj. Estas ankaŭ notinde, ke Suricata havas progresintajn HTTP-inspektajn ilojn bazitajn sur la HTP-biblioteko. Ili ankaŭ povas esti uzataj por registri trafikon sen detekto. La sistemo ankaŭ subtenas IPv6-malkodigon, inkluzive de IPv4-en-IPv6-tuneloj, IPv6-en-IPv6-tuneloj, kaj pli.
Malsamaj interfacoj povas esti uzataj por kapti trafikon (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), kaj en Unikso Socket-reĝimo, vi povas aŭtomate analizi PCAP-dosierojn kaptitajn de alia snufisto. Krome, la modula arkitekturo de Suricata faciligas enŝovi novajn elementojn por kapti, malkodi, analizi kaj prilabori retajn pakaĵojn. Ankaŭ gravas noti, ke en Suricata trafiko estas blokita per regula filtrilo de la operaciumo. GNU/Linukso havas du eblojn pri kiel IPS funkcias: per la NFQUEUE-vico (NFQ-reĝimo) kaj per nula kopio (AF_PACKET-reĝimo). En la unua kazo, la pakaĵeto kiu eniras iptables estas sendita al la NFQUEUE-vico, kie ĝi povas esti prilaborita ĉe la uzantnivelo. Suricata prizorgas ĝin laŭ siaj propraj reguloj kaj eldonas unu el tri verdiktoj: NF_ACCEPT, NF_DROP kaj NF_REPEAT. La unuaj du estas memklarigeblaj, dum la lasta permesas pakaĵojn esti etikeditaj kaj senditaj al la supro de la nuna iptables-tabelo. La AF_PACKET-reĝimo estas pli rapida, sed ĝi trudas kelkajn restriktojn al la sistemo: ĝi devas havi du retajn interfacojn kaj funkcii kiel enirejo. La blokita pakaĵeto simple ne estas plusendita al la dua interfaco.
Grava trajto de Suricata estas la kapablo uzi evoluojn por Snort. La administranto havas aliron, precipe, al la reguloj de Sourcefire VRT kaj OpenSource Emerging Threats, same kiel al la komerca Emerging Threats Pro. La unuigita eligo povas esti analizita uzante popularajn backends, PCAP kaj Syslog eligo ankaŭ estas subtenata. Sistemaj agordoj kaj reguloj estas konservitaj en YAML-dosieroj, kiuj estas facile legeblaj kaj povas esti procesitaj aŭtomate. La motoro Suricata rekonas multajn protokolojn, do la reguloj ne bezonas esti ligitaj al havenombro. Krome, la koncepto de flowbits estas aktive praktikata en la reguloj de Suricata. Por spuri la ellasilon, sesiaj variabloj estas uzataj por krei kaj apliki diversajn nombrilojn kaj flagojn. Multaj IDS-oj traktas malsamajn TCP-ligojn kiel apartajn entojn kaj eble ne vidas ligon inter ili, kiu indikas la komencon de atako. Suricata provas vidi la tutan bildon kaj en multaj kazoj rekonas malican trafikon distribuitan tra malsamaj konektoj. Vi povas longe paroli pri ĝiaj avantaĝoj, ni prefere pluiru al instalado kaj agordo.
Kiel instali?
Ni instalos Suricata sur virtuala servilo funkcianta Ubuntu 18.04 LTS. Ĉiuj komandoj devas esti efektivigitaj nome de la superuzanto (radiko). La plej sekura opcio estas SSH en la servilon kiel normala uzanto kaj poste uzi la sudo-servaĵon por altigi privilegiojn. Unue vi devas instali la pakaĵojn, kiujn ni bezonas:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsKonekti eksteran deponejon:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateInstalu la plej novan stabilan version de Suricata:
sudo apt-get install suricataSe necese, redaktu la nomon de agordaj dosieroj, anstataŭigante la defaŭltan eth0 per la fakta nomo de la ekstera interfaco de la servilo. Defaŭltaj agordoj estas konservitaj en la /etc/default/suricata dosiero, kaj kutimaj agordoj estas konservitaj en /etc/suricata/suricata.yaml. Agordo de IDS estas plejparte limigita al redaktado de ĉi tiu agorda dosiero. Ĝi havas multajn parametrojn, kiuj laŭ nomo kaj celo koincidas kun analogoj de Snort. La sintakso estas tamen tute malsama, sed la dosiero estas multe pli facile legebla ol Snort-agordoj kaj estas bone komentita.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Atentu! Antaŭ ol komenci, indas kontroli la valorojn de la variabloj de la sekcio vars.
Por kompletigi la aranĝon, vi devos instali suricata-ĝisdatigo por ĝisdatigi kaj ŝargi la regulojn. Estas sufiĉe facile fari ĉi tion:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updatePoste, ni devas ruli la komandon suricata-update por instali la aron de la Malfermaj Reguloj de Emerging Threats:
sudo suricata-update
Por vidi la liston de regulfontoj, rulu la jenan komandon:
sudo suricata-update list-sources
Ĝisdatigu regulfontojn:
sudo suricata-update update-sources
Reviziante ĝisdatigitajn fontojn:
sudo suricata-update list-sourcesSe necese, vi povas inkluzivi disponeblajn senpagajn fontojn:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistPost tio, vi devas ĝisdatigi la regulojn denove:
sudo suricata-updateĈi tio kompletigas la instaladon kaj komencan agordon de Suricata en Ubuntu 18.04 LTS. Tiam la amuzo komenciĝas: en la sekva artikolo, ni konektos virtualan servilon al la oficeja reto per VPN kaj komencos analizi ĉiun envenantan kaj elirantan trafikon. Ni faros specialan atenton al blokado de DDoS-atakoj, malware-agado kaj provoj ekspluati vundeblecojn en servoj alireblaj de publikaj retoj. Por klareco, atakoj de la plej oftaj tipoj estos simulitaj.
fonto: www.habr.com