Tilastojen mukaan verkkoliikenteen määrä kasvaa noin 50 % joka vuosi. Tämä lisää laitteiden kuormitusta ja lisää erityisesti IDS / IPS:n suorituskykyvaatimuksia. Voit ostaa kalliita erikoislaitteita, mutta on halvempi vaihtoehto - yhden avoimen lähdekoodin järjestelmien käyttöönotto. Monien aloittelevien järjestelmänvalvojien on vaikea asentaa ja määrittää ilmainen IPS. Suricatan tapauksessa tämä ei ole täysin totta - voit asentaa sen ja alkaa torjua tyypillisiä hyökkäyksiä ilmaisilla säännöillä muutamassa minuutissa.
Miksi tarvitsemme toisen avoimen IPS:n?
Snortia, jota pidettiin pitkään standardina, on kehitetty 6-luvun lopulta lähtien, joten se oli alun perin yksisäikeinen. Vuosien varrella siihen on ilmestynyt kaikki nykyaikaiset ominaisuudet, kuten IPvXNUMX-tuki, mahdollisuus analysoida sovellustason protokollia tai yleinen tiedonkäyttömoduuli.
Ydin Snort 2.X -moottori on oppinut toimimaan useiden ytimien kanssa, mutta se on pysynyt yksisäikeisenä eikä siksi pysty optimaalisesti hyödyntämään nykyaikaisia laitteistoalustoja.
Ongelma ratkesi järjestelmän kolmannessa versiossa, mutta valmistelu kesti niin kauan, että tyhjästä kirjoitettu Suricata onnistui ilmestymään markkinoille. Vuonna 2009 sitä alettiin kehittää juuri monisäikeiseksi vaihtoehdoksi Snortille, jossa on IPS-toiminnot valmiina. Koodia jaetaan GPLv2-lisenssillä, mutta projektin talouskumppaneilla on pääsy moottorin suljettuun versioon. Joitakin skaalautuvuusongelmia ilmeni järjestelmän ensimmäisissä versioissa, mutta ne korjattiin nopeasti.
Miksi Surica?
Suricatassa on useita moduuleja (samanlainen kuin Snort): sieppaus, sieppaus, dekoodaus, tunnistus ja tulostus. Oletuksena kaapattu liikenne menee ennen dekoodausta yhdessä streamissa, vaikka tämä kuormittaa järjestelmää enemmän. Tarvittaessa säikeitä voidaan jakaa asetuksissa ja jakaa prosessorien kesken - Suricata on erittäin hyvin optimoitu tietylle laitteistolle, vaikka tämä ei ole enää HOWTO-taso aloittelijoille. On myös syytä huomata, että Suricatalla on edistyneet HTTP-tarkastustyökalut, jotka perustuvat HTP-kirjastoon. Niitä voidaan käyttää myös liikenteen kirjaamiseen ilman havaitsemista. Järjestelmä tukee myös IPv6-dekoodausta, mukaan lukien IPv4-in-IPv6-tunnelit, IPv6-IPv6-tunnelit ja paljon muuta.
Liikenteen sieppaamiseen voidaan käyttää erilaisia liitäntöjä (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ja Unix Socket -tilassa voit automaattisesti analysoida toisen haistajan sieppaamia PCAP-tiedostoja. Lisäksi Suricatan modulaarinen arkkitehtuuri helpottaa uusien elementtien liittämistä verkkopakettien sieppaamiseen, purkamiseen, jäsentämiseen ja käsittelyyn. On myös tärkeää huomata, että Suricatassa liikenne estetään käyttöjärjestelmän tavallisen suodattimen avulla. GNU/Linuxilla on kaksi vaihtoehtoa IPS:n toimintaan: NFQUEUE-jonon kautta (NFQ-tila) ja nollakopion kautta (AF_PACKET-tila). Ensimmäisessä tapauksessa iptablesiin saapuva paketti lähetetään NFQUEUE-jonoon, jossa se voidaan käsitellä käyttäjätasolla. Suricata käyttää sitä omien sääntöjensä mukaisesti ja antaa yhden kolmesta tuomiosta: NF_ACCEPT, NF_DROP ja NF_REPEAT. Kaksi ensimmäistä ovat itsestään selviä, kun taas viimeinen mahdollistaa pakettien merkitsemisen ja lähettämisen nykyisen iptables-taulukon yläosaan. AF_PACKET-tila on nopeampi, mutta se asettaa järjestelmän rajoituksia: siinä on oltava kaksi verkkoliitäntää ja se toimi yhdyskäytävänä. Estettyä pakettia ei yksinkertaisesti välitetä toiseen rajapintaan.
Suricatan tärkeä ominaisuus on kyky käyttää Snort-kehityksiä. Ylläpitäjällä on pääsy erityisesti Sourcefire VRT- ja OpenSource Emerging Threats -sääntöjoukkoon sekä kaupalliseen Emerging Threats Pro -sovellukseen. Yhdistetty tulos voidaan jäsentää käyttämällä suosittuja taustaohjelmia, PCAP- ja Syslog-lähtöjä myös tuetaan. Järjestelmäasetukset ja säännöt tallennetaan YAML-tiedostoihin, joita on helppo lukea ja jotka voidaan käsitellä automaattisesti. Suricata-moottori tunnistaa monia protokollia, joten sääntöjä ei tarvitse sitoa portin numeroon. Lisäksi virtabittien käsitettä harjoitetaan aktiivisesti Suricatan säännöissä. Liipaisimen seuraamiseksi istuntomuuttujia käytetään luomaan ja käyttämään erilaisia laskureita ja lippuja. Monet IDS:t käsittelevät erilaisia TCP-yhteyksiä erillisinä kokonaisuuksina eivätkä välttämättä näe niiden välillä yhteyttä, joka ilmaisee hyökkäyksen alkamisen. Suricata yrittää nähdä kokonaiskuvan ja tunnistaa monissa tapauksissa haitallisen liikenteen, joka jakautuu eri yhteyksille. Voit puhua sen eduista pitkään, meidän on parempi siirtyä asennukseen ja konfigurointiin.
Miten asennetaan?
Asennamme Suricatan virtuaalipalvelimelle, jossa on Ubuntu 18.04 LTS. Kaikki komennot on suoritettava pääkäyttäjän (root) puolesta. Turvallisin vaihtoehto on käyttää SSH:ta palvelimeen tavallisena käyttäjänä ja sitten nostaa oikeuksia sudo-apuohjelmalla. Ensin sinun on asennettava tarvitsemamme paketit:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsUlkoisen arkiston liittäminen:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateAsenna Suricatan uusin vakaa versio:
sudo apt-get install suricataMuokkaa tarvittaessa asetustiedostojen nimeä ja korvaa oletusarvo eth0 palvelimen ulkoisen liitännän todellisella nimellä. Oletusasetukset tallennetaan tiedostoon /etc/default/suricata ja mukautetut asetukset tiedostoon /etc/suricata/suricata.yaml. IDS:n määrittäminen rajoittuu enimmäkseen tämän asetustiedoston muokkaamiseen. Siinä on paljon parametreja, jotka nimen ja tarkoituksen perusteella ovat yhtäpitäviä Snortin analogien kanssa. Syntaksi on kuitenkin täysin erilainen, mutta tiedosto on paljon helpompi lukea kuin Snort-konfiguraatiot ja se on hyvin kommentoitu.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Huomio! Ennen aloittamista kannattaa tarkistaa muuttujien arvot vars-osiosta.
Asennuksen viimeistelemiseksi sinun on asennettava suricata-upda, jotta voit päivittää ja ladata säännöt. Tämä on melko helppo tehdä:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateSeuraavaksi meidän on suoritettava suricata-update-komento Emerging Threats Open -sääntöjoukon asentamiseksi:
sudo suricata-update
Voit tarkastella sääntölähteiden luetteloa suorittamalla seuraavan komennon:
sudo suricata-update list-sources
Päivitä sääntölähteet:
sudo suricata-update update-sources
Päivitettyihin lähteisiin tutustuminen:
sudo suricata-update list-sourcesTarvittaessa voit sisällyttää saatavilla olevia ilmaisia lähteitä:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistTämän jälkeen sinun on päivitettävä säännöt uudelleen:
sudo suricata-updateTämä viimeistelee Suricatan asennuksen ja alkumäärityksen Ubuntu 18.04 LTS:ssä. Sitten hauskuus alkaa: seuraavassa artikkelissa yhdistämme virtuaalipalvelimen toimistoverkkoon VPN:n kautta ja alamme analysoida kaikkea saapuvaa ja lähtevää liikennettä. Kiinnitämme erityistä huomiota DDoS-hyökkäysten, haittaohjelmatoiminnan ja julkisista verkoista saatavien palveluiden haavoittuvuuksien hyödyntämisyritysten estämiseen. Selvyyden vuoksi simuloidaan yleisimpiä hyökkäyksiä.
Lähde: will.com