A rèir staitistig, tha an àireamh de thrafaig lìonra a 'dol suas mu 50% gach bliadhna. Bidh seo a’ leantainn gu àrdachadh san luchd air an uidheamachd agus, gu sònraichte, a’ meudachadh riatanasan coileanaidh IDS / IPS. Faodaidh tu bathar-cruaidh sònraichte daor a cheannach, ach tha roghainn nas saoire ann - toirt a-steach aon de na siostaman stòr fosgailte. Tha e doirbh do mhòran luchd-rianachd ùr IPS an-asgaidh a stàladh agus a rèiteachadh. Ann an cùis Suricata, chan eil seo gu tur fìor - faodaidh tu a stàladh agus tòiseachadh air ionnsaighean àbhaisteach a chuir air ais le seata de riaghailtean an-asgaidh ann am beagan mhionaidean.
Carson a tha feum againn air IPS fosgailte eile?
O chionn fhada air a mheas mar an inbhe, tha Snort air a bhith ga leasachadh bho dheireadh nan naochadan, agus mar sin b’ e aon-snàithlean a bh’ ann bho thùs. Thar nam bliadhnaichean, tha a h-uile feart ùr-nodha air nochdadh ann, leithid taic IPv6, an comas mion-sgrùdadh a dhèanamh air protocolaidhean ìre tagraidh, no modal ruigsinneachd dàta uile-choitcheann.
Tha an einnsean bunaiteach Snort 2.X air ionnsachadh a bhith ag obair le grunn choraichean, ach tha e air fuireach aon-snàithlean agus mar sin chan urrainn dha brath a ghabhail air àrd-ùrlaran bathar-cruaidh an latha an-diugh.
Chaidh an duilgheadas fhuasgladh anns an treas dreach den t-siostam, ach thug e cho fada ullachadh gun deach Suricata, a chaidh a sgrìobhadh bhon toiseach, air nochdadh air a ’mhargaidh. Ann an 2009, thòisich e air a leasachadh gu mionaideach mar roghainn ioma-snàthainn an àite Snort, aig a bheil gnìomhan IPS a-mach às a’ bhogsa. Tha an còd air a sgaoileadh fo chead GPLv2, ach tha cothrom aig com-pàirtichean ionmhasail a 'phròiseict air dreach dùinte den einnsean. Dh'èirich cuid de dhuilgheadasan scalability anns a 'chiad dreach den t-siostam, ach chaidh am fuasgladh gu luath.
Carson a tha Surica?
Tha grunn mhodalan aig Suricata (coltach ri Snort): glacadh, glacadh, còdachadh, lorg, agus toradh. Gu gnàthach, bidh an trafaic a chaidh a ghlacadh a’ dol mus tèid a chòdachadh ann an aon shruth, ged a bhios seo a’ luchdachadh barrachd an t-siostam. Ma tha feum air, faodar snàithleanan a roinn anns na roghainnean agus an sgaoileadh am measg luchd-giullachd - tha Suricata air a dheagh leasachadh airson bathar-cruaidh sònraichte, ged nach e ìre HOWTO a tha seo tuilleadh airson luchd-tòiseachaidh. Is fhiach a bhith mothachail cuideachd gu bheil innealan sgrùdaidh HTTP adhartach aig Suricata stèidhichte air leabharlann HTP. Faodar an cleachdadh cuideachd airson trafaic a chlàradh gun lorg. Bidh an siostam cuideachd a’ toirt taic do dhì-chòdachadh IPv6, a’ toirt a-steach tunailean IPv4-in-IPv6, tunailean IPv6-in-IPv6, agus barrachd.
Faodar diofar eadar-aghaidh a chleachdadh gus casg a chuir air trafaic (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), agus ann am modh Unix Socket, faodaidh tu sgrùdadh a dhèanamh gu fèin-ghluasadach air faidhlichean PCAP a chaidh an glacadh le sniffer eile. A bharrachd air an sin, tha ailtireachd modular Suricata ga dhèanamh furasta eileamaidean ùra a chuir a-steach gus pacaidean lìonra a ghlacadh, a dhì-chòdachadh, a pharsadh agus a phròiseasadh. Tha e cuideachd cudromach cuimhneachadh, ann an Suricata, gu bheil trafaic air a bhacadh le sìoltachan cunbhalach den t-siostam obrachaidh. Tha dà roghainn aig GNU/Linux airson mar a tha IPS ag obair: tron ciudha NFQUEUE (modh NFQ) agus tro leth-bhreac neoni (modh AF_PACKET). Anns a’ chiad chùis, thèid am pacaid a thèid a-steach do iptables a chuir gu ciudha NFQUEUE, far am faodar a phròiseasadh aig ìre an neach-cleachdaidh. Bidh Suricata ga ruith a rèir a riaghailtean fhèin agus a’ toirt a-mach aon de thrì co-dhùnaidhean: NF_ACCEPT, NF_DROP agus NF_REPEAT. Tha a’ chiad dhà fèin-mhìneachail, agus tha an tè mu dheireadh a’ leigeil le pacaidean a bhith air an tagadh agus air an cur gu mullach a’ chlàr gnàthach iptables. Tha am modh AF_PACKET nas luaithe, ach tha e a 'cur grunn chuingealachaidhean air an t-siostam: feumaidh dà eadar-aghaidh lìonra a bhith aige agus obrachadh mar gheata. Chan eil am pasgan dùinte dìreach air a chuir air adhart chun dàrna eadar-aghaidh.
Is e feart cudromach de Suricata an comas leasachaidhean a chleachdadh airson Snort. Tha cothrom aig an rianaire, gu sònraichte, air na seataichean riaghailtean Sourcefire VRT agus OpenSource Emerging Threats, a bharrachd air an Emerging Threats Pro malairteach. Faodar an toradh aonaichte a pharsadh le bhith a’ cleachdadh backends mòr-chòrdte, tha toradh PCAP agus Syslog cuideachd a’ faighinn taic. Tha roghainnean an t-siostaim agus riaghailtean air an stòradh ann am faidhlichean YAML, a tha furasta an leughadh agus faodar an giullachd gu fèin-ghluasadach. Tha an einnsean Suricata ag aithneachadh mòran phròtacalan, agus mar sin chan fheum na riaghailtean a bhith ceangailte ri àireamh port. A bharrachd air an sin, tha bun-bheachd flowbits air a chleachdadh gu gnìomhach ann an riaghailtean Suricata. Gus sùil a chumail air an inneal-brosnachaidh, thathas a’ cleachdadh caochladairean seisean gus diofar chunntair agus brataichean a chruthachadh agus a chuir an sàs. Bidh mòran IDSn a’ làimhseachadh diofar cheanglaichean TCP mar bhuidhnean fa leth agus is dòcha nach fhaic iad ceangal eatorra a tha a’ comharrachadh toiseach ionnsaigh. Bidh Suricata a’ feuchainn ris an dealbh gu lèir fhaicinn agus ann an iomadh cùis ag aithneachadh trafaic droch-rùnach air a sgaoileadh thairis air diofar cheanglaichean. Faodaidh tu bruidhinn mu na buannachdan aige airson ùine mhòr, b ’fheàrr dhuinn gluasad air adhart gu stàladh agus rèiteachadh.
Mar a stàlaicheas tu?
Bidh sinn a’ stàladh Suricata air frithealaiche mas-fhìor a’ ruith Ubuntu 18.04 LTS. Feumar a h-uile àithne a chuir gu bàs às leth an t-superuser (root). Is e an roghainn as tèarainte SSH a-steach don fhrithealaiche mar neach-cleachdaidh àbhaisteach agus an uairsin cleachd an goireas sudo gus sochairean àrdachadh. An toiseach feumaidh tu na pacaidean a tha a dhìth oirnn a stàladh:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsA’ ceangal stòr a-muigh:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateStàlaich an tionndadh seasmhach as ùire de Suricata:
sudo apt-get install suricataMa tha feum air, deasaich ainm an fhaidhle rèiteachaidh, a’ cur an àite an eth0 bunaiteach le fìor ainm eadar-aghaidh taobh a-muigh an fhrithealaiche. Tha roghainnean bunaiteach air an stòradh anns an fhaidhle /etc/default/suricata, agus tha roghainnean gnàthaichte air an stòradh ann an /etc/suricata/suricata.yaml. Tha rèiteachadh IDS gu ìre mhòr cuingealaichte ri bhith a' deasachadh an fhaidhle rèiteachaidh seo. Tha mòran pharaimearan ann a tha, a rèir ainm agus adhbhar, a’ co-thaobhadh ri analogues bho Snort. Tha an co-chòrdadh gu math eadar-dhealaichte, ge-tà, ach tha am faidhle tòrr nas fhasa a leughadh na Snort configs, agus tha deagh iomradh air.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Thoir an aire! Mus tòisich thu, is fhiach sùil a thoirt air luachan nan caochladairean bhon roinn vars.
Gus an rèiteachadh a chrìochnachadh, feumaidh tu suricata-update a stàladh gus na riaghailtean ùrachadh agus a luchdachadh. Tha e gu math furasta seo a dhèanamh:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateAn ath rud, feumaidh sinn an àithne suricata-ùrachadh a ruith gus an seata riaghailt Cunnartan Fosgailte a tha a’ tighinn am bàrr a stàladh:
sudo suricata-update
Gus an liosta de stòran riaghailt fhaicinn, ruith an òrdugh a leanas:
sudo suricata-update list-sources
Ùraich stòran riaghailt:
sudo suricata-update update-sources
A’ coimhead air stòran ùraichte:
sudo suricata-update list-sourcesMa tha feum air, faodaidh tu stòran an-asgaidh a thoirt a-steach:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistÀs deidh sin, feumaidh tu na riaghailtean ùrachadh a-rithist:
sudo suricata-updateBidh seo a’ crìochnachadh stàladh agus rèiteachadh tùsail Suricata ann an Ubuntu 18.04 LTS. An uairsin tòisichidh an spòrs: san ath artaigil, ceangailidh sinn frithealaiche brìgheil ri lìonra na h-oifis tro VPN agus tòisichidh sinn a ’dèanamh anailis air a h-uile trafaic a-steach is a-mach. Bheir sinn aire shònraichte do bhacadh ionnsaighean DDoS, gnìomhachd malware agus oidhirpean gus brath a ghabhail air so-leòntachd ann an seirbheisean a tha ruigsinneach bho lìonraidhean poblach. Airson soilleireachd, thèid ionnsaighean de na seòrsaichean as cumanta a shamhlachadh.
Source: www.habr.com