Neffens statistiken nimt it folume fan netwurkferkear alle jierren sawat 50% ta. Dit liedt ta in ferheging fan 'e lading op' e apparatuer en fergruttet benammen de prestaasjeseasken fan IDS / IPS. Jo kinne djoere spesjalisearre hardware keapje, mar d'r is in goedkeapere opsje - it útfieren fan ien fan 'e iepen boarne systemen. In protte begjinnende behearders tinke dat it ynstallearjen en konfigurearjen fan in fergese IPS frijwat lestich is. Yn it gefal fan Suricata is dit net hielendal wier - jo kinne it ynstallearje en begjinne yn in pear minuten standert oanfallen ôf te slaan mei in set fan fergese regels.
Wêrom hawwe wy in oare iepen IPS nedich?
Lang beskôge as de standert, Snort is yn ûntwikkeling sûnt de lette jierren njoggentich, dus it wie oarspronklik single-threaded. Yn 'e rin fan' e jierren hat it alle moderne funksjes krigen, lykas IPv6-stipe, de mooglikheid om protokollen op tapassingsnivo te analysearjen, as in universele module foar gegevenstagong.
De basis Snort 2.X-motor learde te wurkjen mei meardere kearnen, mar bleau single-threaded en kin dêrom net optimaal profitearje fan moderne hardware-platfoarms.
It probleem waard oplost yn 'e tredde ferzje fan it systeem, mar it duorre sa lang om te tarieden dat Suricata, skreaun fanôf it begjin, slagge om op' e merk te ferskinen. Yn 2009, it begûn te ûntwikkeljen krekt as in multi-threaded alternatyf foar Snort, dat hie IPS funksjes út 'e doaze. De koade wurdt ferspraat ûnder de GPLv2-lisinsje, mar de finansjele partners fan it projekt hawwe tagong ta in sletten ferzje fan 'e motor. Guon problemen mei skalberens ûntstienen yn 'e earste ferzjes fan it systeem, mar se waarden frij fluch oplost.
Wêrom Suricata?
Suricata hat ferskate modules (lykas Snort): capture, acquisition, decoding, detection en output. Standert giet fongen ferkear foar dekodearring yn ien tried, hoewol dit it systeem mear laadt. As it nedich is, kinne threaden wurde ferdield yn 'e ynstellings en ferdield ûnder processors - Suricata is heul goed optimalisearre foar spesifike hardware, hoewol dit net langer in HOWTO-nivo is foar begjinners. It is ek de muoite wurdich op te merken dat Suricata hat avansearre HTTP-ynspeksje-ark basearre op de HTP-bibleteek. Se kinne ek brûkt wurde om ferkear te loggen sûnder deteksje. It systeem stipet ek IPv6-dekodearring, ynklusyf IPv4-in-IPv6, IPv6-in-IPv6-tunnels en oaren.
Ferskillende ynterfaces kinne brûkt wurde om ferkear te ûnderskeppen (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), en yn Unix Socket-modus kinne jo automatysk PCAP-bestannen analysearje dy't troch in oare sniffer fêstlein binne. Derneist makket Suricata's modulêre arsjitektuer it maklik om nije eleminten te ferbinen om netwurkpakketten te fangen, te dekodearjen, te analysearjen en te ferwurkjen. It is ek wichtich om te notearjen dat yn Suricata ferkear blokkearre wurdt mei it standert bestjoeringssysteemfilter. Yn GNU/Linux binne twa opsjes foar IPS-operaasje beskikber: fia de NFQUEUE-wachtrige (NFQ-modus) en troch nul kopy (AF_PACKET-modus). Yn it earste gefal wurdt in pakket dat iptables ynfierd wurdt stjoerd nei de NFQUEUE-wachtrige, wêr't it kin wurde ferwurke op it brûkersnivo. Suricata rint it neffens eigen regels en jout ien fan trije oardielen út: NF_ACCEPT, NF_DROP en NF_REPEAT. De earste twa binne selsferklearjend, mar de lêste lit jo pakketten markearje en stjoere nei it begjin fan 'e hjoeddeistige iptables-tabel. De AF_PACKET-modus is flugger, mar stelt in oantal beheiningen op it systeem op: it moat twa netwurkynterfaces hawwe en wurkje as in poarte. It blokkearre pakket wurdt gewoan net trochstjoerd nei de twadde ynterface.
In wichtich skaaimerk fan Suricata is de mooglikheid om ûntwikkelingen foar Snort te brûken. De behearder hat tagong ta benammen de Sourcefire VRT- en OpenSource Emerging Threats-regelsets, lykas ek de kommersjele Emerging Threats Pro. De ferienige útfier kin wurde analysearre mei populêre backends, en útfier nei PCAP en Syslog wurdt ek stipe. Systeemynstellingen en regels wurde opslein yn YAML-bestannen, dy't maklik te lêzen binne en automatysk kinne wurde ferwurke. De Suricata-motor herkent in protte protokollen, sadat de regels net oan in poartenûmer hoege te wêzen. Derneist wurdt it konsept fan flowbits aktyf beoefene yn 'e Suricata-regels. Om triggering te folgjen, wurde sesjefariabelen brûkt, wêrtroch jo ferskate tellers en flaggen kinne oanmeitsje en tapasse. In protte IDS's behannelje ferskate TCP-ferbiningen as aparte entiteiten en kinne de ferbining tusken har net sjen om it begjin fan in oanfal oan te jaan. Suricata besiket it hiele byld te sjen en erkent yn in protte gefallen kwea-aardich ferkear ferdield oer ferskate ferbiningen. Wy kinne lang oer de foardielen prate; wy kinne better trochgean nei ynstallaasje en konfiguraasje.
Hoe te ynstallearjen?
Wy sille Suricata ynstallearje op in firtuele server mei Ubuntu 18.04 LTS. Alle kommando's moatte wurde útfierd as superuser (root). De feilichste opsje is om te ferbinen mei de tsjinner fia SSH as in standert brûker, en brûk dan it sudo-hulpprogramma om privileezjes te eskalearjen. Earst moatte wy de pakketten ynstallearje dy't wy nedich binne:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsIn eksterne repository ferbine:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateYnstallearje de lêste stabile ferzje fan Suricata:
sudo apt-get install suricataAs it nedich is, bewurkje de namme fan de konfiguraasjetriemmen, ferfange de standert eth0 mei de eigentlike namme fan de eksterne ynterface fan de tsjinner. Standertynstellingen wurde opslein yn it /etc/default/suricata-bestân, en oanpaste ynstellings wurde opslein yn /etc/suricata/suricata.yaml. IDS-konfiguraasje is meast beheind ta it bewurkjen fan dit konfiguraasjetriem. It hat in protte parameters dy't, yn namme en doel, gearfalle mei har analogen fan Snort. De syntaksis is dochs folslein oars, mar de triem is folle makliker te lêzen as Snort configs, en it is ek goed kommentearre.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Oandacht! Foardat jo begjinne, moatte jo de wearden fan 'e fariabelen kontrolearje fan' e vars-seksje.
Om de opset te foltôgjen, moatte jo suricata-update ynstallearje om de regels te aktualisearjen en te downloaden. It is frij maklik om dit te dwaan:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateFolgjende moatte wy it kommando suricata-update útfiere om de Emerging Threats Open-regelset te ynstallearjen:
sudo suricata-update
Om de list mei regelboarnen te besjen, fier it folgjende kommando út:
sudo suricata-update list-sources
Regelboarnen bywurkje:
sudo suricata-update update-sources
Wy sjogge nochris nei de bywurke boarnen:
sudo suricata-update list-sourcesAs it nedich is, kinne jo beskikbere fergese boarnen opnimme:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistHjirnei moatte jo de regels opnij bywurkje:
sudo suricata-updateOp dit punt kin de ynstallaasje en inisjele konfiguraasje fan Suricata yn Ubuntu 18.04 LTS wurde beskôge as folslein. Dan begjint de wille: yn it folgjende artikel sille wy in firtuele server ferbine mei it kantoarnetwurk fia VPN en begjinne alle ynkommende en útgeande ferkear te analysearjen. Wy sille spesjaal omtinken jaan oan it blokkearjen fan DDoS-oanfallen, malware-aktiviteit en besykjen om kwetsberens te eksploitearjen yn tsjinsten dy't tagonklik binne fan iepenbiere netwurken. Foar dúdlikens sille oanfallen fan 'e meast foarkommende typen wurde simulearre.
Boarne: www.habr.com