Estatistiken arabera, sareko trafikoaren bolumena % 50 inguru handitzen da urtero. Horrek ekipoaren karga areagotzea dakar eta, bereziki, IDS / IPSen errendimendu-eskakizunak areagotzen ditu. Hardware espezializatu garestia eros dezakezu, baina aukera merkeago bat dago: kode irekiko sistemaren bat sartzea. Administratzaile hasiberri askori zaila egiten zaie doako IPS instalatzea eta konfiguratzea. Suricata-ren kasuan, hori ez da guztiz egia - instalatu eta doako arau multzo batekin eraso tipikoak uxatzen has zaitezke minutu gutxitan.
Zergatik behar dugu beste IPS ireki bat?
Aspaldiko estandartzat hartuta, Snort laurogeita hamarreko hamarkadaren amaieratik garatzen ari da, beraz, jatorrian hari bakarrekoa zen. Urteen poderioz, ezaugarri moderno guztiak agertu dira bertan, hala nola, IPv6 euskarria, aplikazio-mailako protokoloak aztertzeko gaitasuna edo datuetara sartzeko modulu unibertsal bat.
Core Snort 2.X motorrak nukleo anitzekin lan egiten ikasi du, baina hari bakarrekoa izaten jarraitu du eta, beraz, ezin ditu hardware plataforma modernoak modu egokian aprobetxatu.
Arazoa sistemaren hirugarren bertsioan konpondu zen, baina prestatzeko hainbeste denbora behar izan zuen, ezen hutsetik idatzitako Suricata merkatuan agertzea lortu zuen. 2009an, hain zuzen, Snort-en hari anitzeko alternatiba gisa garatzen hasi zen, IPS funtzioak kutxatik kanpo dituena. Kodea GPLv2 lizentziapean banatzen da, baina proiektuko finantza-partaideek motorraren bertsio itxirako sarbidea dute. Sistemaren lehen bertsioetan eskalagarritasun arazo batzuk sortu ziren, baina azkar konpondu ziren.
Zergatik Surica?
Suricata-k hainbat modulu ditu (Snort-en antzekoak): kaptura, atzematea, deskodetzea, detekzioa eta irteera. Lehenespenez, harrapatutako trafikoa korronte batean deskodetu aurretik doa, nahiz eta honek sistema gehiago kargatu. Beharrezkoa izanez gero, hariak ezarpenetan banatu eta prozesadoreen artean banatu daitezke - Suricata oso ondo optimizatuta dago hardware zehatzetarako, nahiz eta hau hasiberrientzako HOWTO maila bat ez den. Aipatzekoa da, halaber, Suricata-k HTP liburutegian oinarritutako HTTP ikuskatzeko tresna aurreratuak dituela. Detektatu gabe trafikoa erregistratzeko ere erabil daitezke. Sistemak IPv6 deskodetzea ere onartzen du, IPv4-n-IPv6 tunelak, IPv6-in-IPv6 tunelak eta abar barne.
Interfaze desberdinak erabil daitezke trafikoa atzemateko (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), eta Unix Socket moduan, beste sniffer batek harrapatutako PCAP fitxategiak automatikoki azter ditzakezu. Gainera, Suricataren arkitektura modularrak elementu berriak konektatzea errazten du sare-paketeak harrapatzeko, deskodetzeko, analizatzeko eta prozesatzeko. Garrantzitsua da, halaber, kontuan izan Suricatan trafikoa blokeatzen dela sistema eragilearen ohiko iragazki baten bidez. GNU/Linux-ek bi aukera ditu IPS funtzionatzeko: NFQUEUE ilararen bidez (NFQ modua) eta zero kopiaren bidez (AF_PACKET modua). Lehenengo kasuan, iptables sartzen den paketea NFQUEUE ilara bidaltzen da, non erabiltzaile mailan prozesatu ahal izateko. Suricata-k bere arauen arabera exekutatzen du eta hiru epaietako bat ematen du: NF_ACCEPT, NF_DROP eta NF_REPEAT. Lehenengo biak berez esplikatzen dira, azkenak, berriz, paketeak etiketatzea eta uneko iptables taularen goialdera bidaltzea ahalbidetzen du. AF_PACKET modua azkarragoa da, baina hainbat murrizketa ezartzen dizkio sistemari: sareko bi interfaze izan behar ditu eta atebide gisa funtzionatu. Blokeatutako paketea ez da bigarren interfazera bidaltzen.
Suricataren ezaugarri garrantzitsu bat Snort-en garapenak erabiltzeko gaitasuna da. Administratzaileak sarbidea du, bereziki, Sourcefire VRT eta OpenSource Emerging Threats arau-multzoetara, baita Emerging Threats Pro komertziala ere. Irteera bateratua backend ezagunak erabiliz analizatu daiteke, PCAP eta Syslog irteera ere onartzen da. Sistemaren ezarpenak eta arauak YAML fitxategietan gordetzen dira, erraz irakurtzen direnak eta automatikoki prozesatu daitezkeenak. Suricata motorrak protokolo asko ezagutzen ditu, beraz, arauak ez dira zertan ataka-zenbaki bati lotu behar. Horrez gain, flowbits kontzeptua aktiboki lantzen da Suricata-ren arauetan. Abiarazlearen jarraipena egiteko, saio-aldagaiak erabiltzen dira hainbat kontagailu eta bandera sortzeko eta aplikatzeko. IDS askok TCP konexio desberdinak entitate bereizi gisa tratatzen dituzte eta baliteke haien arteko konexiorik ez ikustea eraso baten hasiera adierazten duenik. Suricata argazki osoa ikusten saiatzen da eta kasu askotan konexio ezberdinetan banatutako trafiko gaiztoa ezagutzen du. Bere abantailei buruz denbora luzez hitz egin dezakezu, hobe dugu instalaziora eta konfiguraziora pasatzea.
Nola instalatu?
Suricata Ubuntu 18.04 LTS exekutatzen duen zerbitzari birtual batean instalatuko dugu. Komando guztiak supererabiltzailearen (root) izenean exekutatu behar dira. Aukerarik seguruena zerbitzarian SSH erabiltzaile arrunt gisa sartzea da eta gero sudo utilitatea erabiltzea pribilegioak igotzeko. Lehenik eta behin behar ditugun paketeak instalatu behar dituzu:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsKanpoko biltegi bat konektatzea:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateInstalatu Suricata-ren azken bertsio egonkorra:
sudo apt-get install suricataBeharrezkoa bada, editatu konfigurazio-fitxategien izena, eth0 lehenetsia zerbitzariaren kanpoko interfazearen benetako izenarekin ordezkatuz. Ezarpen lehenetsiak /etc/default/suricata fitxategian gordetzen dira, eta ezarpen pertsonalizatuak /etc/suricata/suricata.yaml-en gordetzen dira. IDS konfiguratzea konfigurazio fitxategi hau editatzera mugatzen da gehienetan. Parametro asko ditu, izenaren eta xedearen arabera, Snort-en analogoekin bat egiten dutenak. Sintaxia guztiz ezberdina da, ordea, baina fitxategia Snort konfigurazioak baino askoz errazagoa da irakurtzen eta ondo komentatuta dago.
sudo nano /etc/default/suricata
ΠΈ
sudo nano /etc/suricata/suricata.yaml
Kontuz! Hasi baino lehen, merezi du vars ataleko aldagaien balioak egiaztatzea.
Konfigurazioa osatzeko, suricata-update instalatu beharko duzu arauak eguneratzeko eta kargatzeko. Nahiko erraza da hau egitea:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateOndoren, suricata-update komandoa exekutatu behar dugu Emerging Threats Open arau multzoa instalatzeko:
sudo suricata-update
Arauen iturrien zerrenda ikusteko, exekutatu komando hau:
sudo suricata-update list-sources
Eguneratu arauen iturriak:
sudo suricata-update update-sources
Iturri eguneratuak berrikusten:
sudo suricata-update list-sourcesBeharrezkoa izanez gero, eskuragarri dauden doako iturriak sar ditzakezu:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistHorren ondoren, arauak berriro eguneratu behar dituzu:
sudo suricata-updateHonek Suricata-ren instalazioa eta hasierako konfigurazioa osatzen du Ubuntu 18.04 LTS-n. Orduan dibertsioa hasten da: hurrengo artikuluan, zerbitzari birtual bat bulegoko sarera VPN bidez konektatuko dugu eta sarrerako eta irteerako trafiko guztia aztertzen hasiko gara. Arreta berezia jarriko dugu DDoS erasoak, malware jarduerak eta sare publikoetatik eskura daitezkeen zerbitzuetako ahultasunak ustiatzeko saiakerari. Argitasuna lortzeko, mota ohikoenetako erasoak simulatuko dira.
Iturria: www.habr.com