De réir staitisticí, méadaíonn an méid tráchta líonra thart ar 50% gach bliain. Mar thoradh air seo méadú ar an ualach ar an trealamh agus, go háirithe, méaduithe ar riachtanais feidhmíochta IDS / IPS. Is féidir leat crua-earraí speisialaithe daor a cheannach, ach tá rogha níos saoire ann - ceann de na córais foinse oscailte a thabhairt isteach. Bíonn sé deacair ag go leor riarthóirí nua IPS saor in aisce a shuiteáil agus a chumrú. I gcás Suricata, níl sé seo fíor go hiomlán - is féidir leat é a shuiteáil agus tús a chur le hionsaithe tipiciúil a repelling le sraith rialacha saor in aisce i gceann cúpla nóiméad.
Cén fáth a dteastaíonn IPS oscailte eile uainn?
Le fada a mheas an caighdeán, tá Snort á fhorbairt ó na nóchaidí déanacha, mar sin bhí sé ar dtús aon-snáithe. Thar na blianta, tá gach gné nua-aimseartha le feiceáil ann, mar shampla tacaíocht IPv6, an cumas chun anailís a dhéanamh ar phrótacail leibhéal iarratais, nó modúl rochtana sonraí uilíoch.
D'fhoghlaim an croí-inneall Snort 2.X oibriú le croíleacáin iolracha, ach d'fhan sé aon-snáithe agus mar sin ní féidir leis an leas is fearr a bhaint as ardáin chrua-earraí nua-aimseartha.
Réitíodh an fhadhb sa tríú leagan den chóras, ach thóg sé chomh fada a ullmhú gur éirigh le Suricata, scríofa ón tús, le feiceáil ar an margadh. In 2009, thosaigh sé a fhorbairt go beacht mar mhalairt il-snáithithe do Snort, a bhfuil gnéithe IPS as an mbosca. Déantar an cód a dháileadh faoin gceadúnas GPLv2, ach tá rochtain ag comhpháirtithe airgeadais an tionscadail ar leagan dúnta den inneall. Tháinig roinnt fadhbanna inscálaithe chun cinn sna chéad leaganacha den chóras, ach réitíodh go tapa iad.
Cén fáth Surica?
Tá roinnt modúl ag Suricata (cosúil le Snort): gabháil, gabháil, díchódú, braite agus aschur. De réir réamhshocraithe, téann an trácht a gabhadh roimh dhíchódú i sruth amháin, cé go lódálann sé seo an córas níos mó. Más gá, is féidir snáitheanna a roinnt sna socruithe agus iad a dháileadh i measc próiseálaithe - tá Suricata optamaithe go han-mhaith le haghaidh crua-earraí sonracha, cé nach leibhéal HOWTO é seo do thosaitheoirí a thuilleadh. Is fiú a thabhairt faoi deara freisin go bhfuil uirlisí iniúchta HTTP chun cinn ag Suricata bunaithe ar leabharlann HTP. Is féidir iad a úsáid freisin chun trácht a logáil gan bhrath. Tacaíonn an córas freisin le díchódú IPv6, lena n-áirítear tolláin IPv4-in-IPv6, tolláin IPv6-in-IPv6, agus níos mó.
Is féidir comhéadain éagsúla a úsáid chun trácht a thascradh (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), agus i mód Soicéad Unix, is féidir leat comhaid PCAP a gabhadh ag sniffer eile a anailísiú go huathoibríoch. Ina theannta sin, déanann ailtireacht mhodúlach Suricata go bhfuil sé éasca eilimintí nua a phlugáil isteach chun paicéid líonra a ghabháil, a dhíchódú, a pharsáil agus a phróiseáil. Tá sé tábhachtach a thabhairt faoi deara freisin go gcuirtear bac ar thrácht i Suricata trí mheán scagaire rialta den chóras oibriúcháin. Tá dhá rogha ag GNU/Linux maidir le conas a oibríonn IPS: tríd an scuaine NFQUEUE (modh NFQ) agus trí chóip nialasach (modh AF_PACKET). Sa chéad chás, seoltar an paicéad a théann isteach iptables chuig an scuaine NFQUEUE, áit ar féidir é a phróiseáil ag leibhéal an úsáideora. Ritheann Suricata é de réir a rialacha féin agus eisíonn sé ceann de thrí fhíorasc: NF_ACCEPT, NF_DROP agus NF_REPEAT. Tá an chéad dá cheann féinmhínitheach, agus ceadaíonn an ceann deireanach paicéid a chlibeáil agus a sheoladh chuig barr an tábla reatha iptables. Tá an modh AF_PACKET níos tapúla, ach cuireann sé roinnt srianta ar an gcóras: caithfidh sé dhá chomhéadan líonra a bheith aige agus oibriú mar gheata. Ní chuirtear an paicéad blocáilte ar aghaidh chuig an dara comhéadan.
Gné thábhachtach de Suricata is ea an cumas forbairtí a úsáid le haghaidh Snort. Tá rochtain ag an riarthóir, go háirithe, ar na tacair rialacha Sourcefire VRT agus OpenSource Emerging Threats, chomh maith leis an tráchtála Bagairtí Emerging Pro. Is féidir an t-aschur aontaithe a pharsáil ag baint úsáide as backends coitianta, tá PCAP agus aschur Syslog tacaíocht freisin. Stóráiltear socruithe agus rialacha an chórais i gcomhaid YAML, atá éasca le léamh agus is féidir iad a phróiseáil go huathoibríoch. Aithníonn inneall Suricata go leor prótacail, mar sin ní gá na rialacha a cheangal le uimhir chalafoirt. Ina theannta sin, déantar coincheap na sreabhghiotán a chleachtadh go gníomhach i rialacha Suricata. Chun an truicear a rianú, úsáidtear athróga seisiúin chun cuntair agus bratacha éagsúla a chruthú agus a chur i bhfeidhm. Déileálann go leor IDSanna le naisc TCP éagsúla mar aonáin ar leith agus b’fhéidir nach bhfeiceann siad nasc eatarthu a thugann le fios gur cuireadh tús le hionsaí. Déanann Suricata iarracht an pictiúr iomlán a fheiceáil agus i go leor cásanna aithníonn sé trácht mailíseach a dháiltear thar naisc éagsúla. Is féidir leat labhairt faoi na buntáistí a bhaineann leis ar feadh i bhfad, b'fhearr dúinn bogadh ar aghaidh chuig suiteáil agus cumraíocht.
Conas a shuiteáil?
Beidh muid ag suiteáil Suricata ar fhreastalaí fíorúil ag rith Ubuntu 18.04 LTS. Ní mór gach ordú a fhorghníomhú thar ceann an tsárúsáideora (fréamh). Is é an rogha is sláine ná SSH isteach sa fhreastalaí mar ghnáthúsáideoir agus ansin an fóntais sudo a úsáid chun pribhléidí a ardú. Ar dtús ní mór duit na pacáistí a theastaíonn uainn a shuiteáil:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsStór seachtrach a nascadh:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSuiteáil an leagan cobhsaí is déanaí de Suricata:
sudo apt-get install suricataMás gá, cuir ainm an chomhaid chumraíochta in eagar, agus ainm iarbhír comhéadan seachtrach an fhreastalaí in ionad an eth0 réamhshocraithe. Stóráiltear socruithe réamhshocraithe sa chomhad /etc/default/suricata, agus stóráiltear socruithe saincheaptha in /etc/suricata/suricata.yaml. Tá cumraíocht IDS teoranta don chuid is mó chun an comhad cumraíochta seo a chur in eagar. Tá go leor paraiméadair aige a thagann, de réir ainm agus cuspóra, le hanalógacha ó Snort. Tá an chomhréir go hiomlán difriúil, áfach, ach tá an comhad i bhfad níos éasca le léamh ná mar a configs Snort agus tá tráchtaireacht mhaith air.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Aird! Sula dtosaíonn tú, is fiú luachanna na n-athróg a sheiceáil ón alt vars.
Chun an socrú a chríochnú, beidh ort suricata-update a shuiteáil chun na rialacha a nuashonrú agus a luchtú. Tá sé éasca go leor é seo a dhéanamh:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateAnsin, ní mór dúinn an t-ordú nuashonraithe suricata a rith chun an tacar rialacha atá ag Teacht Chun Cinn Oscailte a shuiteáil:
sudo suricata-update
Chun liosta na bhfoinsí riail a fheiceáil, rith an t-ordú seo a leanas:
sudo suricata-update list-sources
Nuashonraigh foinsí rialacha:
sudo suricata-update update-sources
Ag athchuairt ar fhoinsí nuashonraithe:
sudo suricata-update list-sourcesMás gá, is féidir foinsí saor in aisce a chur san áireamh:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistIna dhiaidh sin, ní mór duit na rialacha a nuashonrú arís:
sudo suricata-updateCríochnaíonn sé seo suiteáil agus cumraíocht tosaigh Suricata i Ubuntu 18.04 LTS. Ansin tosaíonn an spraoi: sa chéad alt eile, nascfaimid freastalaí fíorúil le líonra na hoifige trí VPN agus cuirfimid tús le hanailís a dhéanamh ar gach trácht isteach agus amach. Tabharfaimid aird ar leith ar ionsaithe DDoS, ar ghníomhaíocht malware a bhlocáil agus ar iarrachtaí chun leas a bhaint as leochaileachtaí i seirbhísí atá inrochtana ó líonraí poiblí. Ar mhaithe le soiléireacht, déanfar ionsaithe de na cineálacha is coitianta a insamhladh.
Foinse: will.com