Snort અથવા Suricata. ભાગ 2: સુરીકાટાનું સ્થાપન અને પ્રારંભિક સેટઅપ

આંકડા અનુસાર, નેટવર્ક ટ્રાફિકનું પ્રમાણ દર વર્ષે લગભગ 50% વધે છે. આનાથી સાધનસામગ્રી પરના ભારણમાં વધારો થાય છે અને ખાસ કરીને, IDS/IPS ની કામગીરીની જરૂરિયાતો વધે છે. તમે મોંઘા વિશિષ્ટ હાર્ડવેર ખરીદી શકો છો, પરંતુ એક સસ્તો વિકલ્પ છે - ઓપન સોર્સ સિસ્ટમ્સમાંથી એકનો અમલ કરવો. ઘણા શિખાઉ એડમિનિસ્ટ્રેટરો વિચારે છે કે મફત IPS ઇન્સ્ટોલ કરવું અને ગોઠવવું ખૂબ મુશ્કેલ છે. Suricata ના કિસ્સામાં, આ સંપૂર્ણ રીતે સાચું નથી - તમે તેને ઇન્સ્ટોલ કરી શકો છો અને થોડીવારમાં મફત નિયમોના સેટ સાથે માનક હુમલાઓને દૂર કરવાનું શરૂ કરી શકો છો.

Snort અથવા Suricata. ભાગ 1: તમારા કોર્પોરેટ નેટવર્કને સુરક્ષિત રાખવા માટે મફત IDS/IPS પસંદ કરવું

શા માટે આપણે બીજા ઓપન આઈપીએસની જરૂર છે?

લાંબા સમયથી માનક માનવામાં આવે છે, સ્નોર્ટ નેવુંના દાયકાના અંતથી વિકાસમાં છે, તેથી તે મૂળ રીતે સિંગલ-થ્રેડેડ હતું. વર્ષોથી, તેણે તમામ આધુનિક સુવિધાઓ પ્રાપ્ત કરી છે, જેમ કે IPv6 સપોર્ટ, એપ્લિકેશન-લેવલ પ્રોટોકોલનું વિશ્લેષણ કરવાની ક્ષમતા અથવા સાર્વત્રિક ડેટા એક્સેસ મોડ્યુલ.

મૂળભૂત Snort 2.X એન્જિન બહુવિધ કોરો સાથે કામ કરવાનું શીખી ગયું, પરંતુ સિંગલ-થ્રેડેડ રહ્યું અને તેથી આધુનિક હાર્ડવેર પ્લેટફોર્મનો શ્રેષ્ઠ લાભ લઈ શકતું નથી.

સિસ્ટમના ત્રીજા સંસ્કરણમાં સમસ્યાનું નિરાકરણ કરવામાં આવ્યું હતું, પરંતુ તેને તૈયાર કરવામાં એટલો લાંબો સમય લાગ્યો કે શરૂઆતથી લખાયેલ સુરીકાટા બજારમાં દેખાવા માટે વ્યવસ્થાપિત થઈ. 2009 માં, તે સ્નોર્ટના મલ્ટી-થ્રેડેડ વિકલ્પ તરીકે ચોક્કસપણે વિકસાવવાનું શરૂ થયું, જેમાં બોક્સની બહાર IPS કાર્યો હતા. કોડ GPLv2 લાયસન્સ હેઠળ વિતરિત કરવામાં આવે છે, પરંતુ પ્રોજેક્ટના નાણાકીય ભાગીદારો પાસે એન્જિનના બંધ સંસ્કરણની ઍક્સેસ છે. સિસ્ટમના પ્રથમ સંસ્કરણોમાં માપનીયતા સાથેની કેટલીક સમસ્યાઓ ઊભી થઈ હતી, પરંતુ તે એકદમ ઝડપથી ઉકેલાઈ ગઈ હતી.

શા માટે Suricata?

Suricata ઘણા મોડ્યુલો ધરાવે છે (જેમ કે Snort): કેપ્ચર, એક્વિઝિશન, ડીકોડિંગ, ડિટેક્શન અને આઉટપુટ. મૂળભૂત રીતે, કેપ્ચર કરેલ ટ્રાફિક એક થ્રેડમાં ડીકોડ કરતા પહેલા જાય છે, જો કે આ સિસ્ટમને વધુ લોડ કરે છે. જો જરૂરી હોય તો, થ્રેડોને સેટિંગ્સમાં વિભાજિત કરી શકાય છે અને પ્રોસેસરોમાં વિતરિત કરી શકાય છે - ચોક્કસ હાર્ડવેર માટે Suricata ખૂબ જ સારી રીતે ઑપ્ટિમાઇઝ કરવામાં આવ્યું છે, જો કે આ હવે નવા નિશાળીયા માટે HOWTO સ્તર નથી. એ નોંધવું પણ યોગ્ય છે કે Suricata પાસે HTP લાઇબ્રેરી પર આધારિત અદ્યતન HTTP નિરીક્ષણ સાધનો છે. તેઓનો ઉપયોગ શોધ વિના ટ્રાફિકને લૉગ કરવા માટે પણ થઈ શકે છે. સિસ્ટમ IPv6 ડીકોડિંગને પણ સપોર્ટ કરે છે, જેમાં IPv4-in-IPv6, IPv6-in-IPv6 ટનલ અને અન્યનો સમાવેશ થાય છે.

ટ્રાફિક (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) ને અટકાવવા માટે વિવિધ ઇન્ટરફેસનો ઉપયોગ કરી શકાય છે અને યુનિક્સ સોકેટ મોડમાં તમે અન્ય સ્નિફર દ્વારા કેપ્ચર કરેલી PCAP ફાઇલોનું આપમેળે વિશ્લેષણ કરી શકો છો. વધુમાં, Suricataનું મોડ્યુલર આર્કિટેક્ચર નેટવર્ક પેકેટોને કેપ્ચર કરવા, ડીકોડ કરવા, વિશ્લેષણ કરવા અને પ્રક્રિયા કરવા માટે નવા તત્વોને કનેક્ટ કરવાનું સરળ બનાવે છે. એ નોંધવું પણ મહત્વનું છે કે Suricata માં, સ્ટાન્ડર્ડ ઓપરેટિંગ સિસ્ટમ ફિલ્ટરનો ઉપયોગ કરીને ટ્રાફિક અવરોધિત છે. GNU/Linux માં, IPS ઑપરેશન માટે બે વિકલ્પો ઉપલબ્ધ છે: NFQUEUE કતાર (NFQ મોડ) દ્વારા અને શૂન્ય કૉપિ (AF_PACKET મોડ) દ્વારા. પ્રથમ કિસ્સામાં, iptables દાખલ કરતું પેકેટ NFQUEUE કતારમાં મોકલવામાં આવે છે, જ્યાં તે વપરાશકર્તા સ્તરે પ્રક્રિયા કરી શકાય છે. Suricata તેને તેના પોતાના નિયમો અનુસાર ચલાવે છે અને ત્રણમાંથી એક ચુકાદો આપે છે: NF_ACCEPT, NF_DROP અને NF_REPEAT. પ્રથમ બે સ્વ-સ્પષ્ટીકરણ છે, પરંતુ છેલ્લું તમને પેકેટોને ચિહ્નિત કરવા અને તેમને વર્તમાન iptables કોષ્ટકની શરૂઆતમાં મોકલવાની મંજૂરી આપે છે. AF_PACKET મોડ ઝડપી છે, પરંતુ સિસ્ટમ પર સંખ્યાબંધ નિયંત્રણો લાદે છે: તેમાં બે નેટવર્ક ઈન્ટરફેસ હોવા જોઈએ અને ગેટવે તરીકે કામ કરવું જોઈએ. અવરોધિત પેકેટ ખાલી બીજા ઇન્ટરફેસ પર ફોરવર્ડ કરવામાં આવતું નથી.

Suricata એક મહત્વપૂર્ણ લક્ષણ Snort માટે વિકાસ ઉપયોગ કરવાની ક્ષમતા છે. એડમિનિસ્ટ્રેટર પાસે, ખાસ કરીને, સોર્સફાયર વીઆરટી અને ઓપનસોર્સ ઇમર્જિંગ થ્રેટ્સ નિયમ સેટ, તેમજ કોમર્શિયલ ઇમર્જિંગ થ્રેટ્સ પ્રોની ઍક્સેસ છે. લોકપ્રિય બેકએન્ડનો ઉપયોગ કરીને એકીકૃત આઉટપુટનું વિશ્લેષણ કરી શકાય છે, અને PCAP અને Syslog માટેનું આઉટપુટ પણ સપોર્ટેડ છે. સિસ્ટમ સેટિંગ્સ અને નિયમો YAML ફાઇલોમાં સંગ્રહિત છે, જે વાંચવામાં સરળ છે અને આપમેળે પ્રક્રિયા કરી શકાય છે. Suricata એન્જિન ઘણા પ્રોટોકોલ્સને ઓળખે છે, તેથી નિયમોને પોર્ટ નંબર સાથે જોડવાની જરૂર નથી. વધુમાં, ફ્લોબિટ્સનો ખ્યાલ સુરીકાટા નિયમોમાં સક્રિયપણે પ્રેક્ટિસ કરવામાં આવે છે. ટ્રિગરિંગને ટ્રૅક કરવા માટે, સત્ર ચલોનો ઉપયોગ કરવામાં આવે છે, જે તમને વિવિધ કાઉન્ટર્સ અને ફ્લેગ્સ બનાવવા અને લાગુ કરવાની મંજૂરી આપે છે. ઘણા IDS વિવિધ TCP કનેક્શન્સને અલગ એન્ટિટી તરીકે માને છે અને હુમલાની શરૂઆત સૂચવવા માટે તેમની વચ્ચેનું જોડાણ જોઈ શકતા નથી. Suricata સમગ્ર ચિત્રને જોવાનો પ્રયાસ કરે છે અને ઘણા કિસ્સાઓમાં વિવિધ જોડાણોમાં વિતરિત દૂષિત ટ્રાફિકને ઓળખે છે. અમે તેના ફાયદાઓ વિશે લાંબા સમય સુધી વાત કરી શકીએ છીએ; અમે ઇન્સ્ટોલેશન અને ગોઠવણી તરફ વધુ સારી રીતે આગળ વધીશું.

કેવી રીતે સ્થાપિત કરવું?

અમે Ubuntu 18.04 LTS ચલાવતા વર્ચ્યુઅલ સર્વર પર Suricata ઇન્સ્ટોલ કરીશું. બધા આદેશો સુપરયુઝર (રુટ) તરીકે ચલાવવામાં આવશ્યક છે. સૌથી સુરક્ષિત વિકલ્પ એ છે કે SSH મારફતે સર્વર સાથે પ્રમાણભૂત વપરાશકર્તા તરીકે કનેક્ટ થવું, અને પછી વિશેષાધિકારો વધારવા માટે sudo ઉપયોગિતાનો ઉપયોગ કરવો. પહેલા આપણે જે પેકેજીસની જરૂર છે તે ઇન્સ્ટોલ કરવાની જરૂર છે:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

બાહ્ય રીપોઝીટરીને કનેક્ટ કરી રહ્યું છે:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

Suricata નું નવીનતમ સ્થિર સંસ્કરણ ઇન્સ્ટોલ કરો:

sudo apt-get install suricata

જો જરૂરી હોય તો, સર્વરના બાહ્ય ઇન્ટરફેસના વાસ્તવિક નામ સાથે ડિફૉલ્ટ eth0 ને બદલીને, રૂપરેખાંકન ફાઇલોના નામમાં ફેરફાર કરો. ડિફૉલ્ટ સેટિંગ્સ /etc/default/suricata ફાઇલમાં સંગ્રહિત થાય છે, અને કસ્ટમ સેટિંગ્સ /etc/suricata/suricata.yaml માં સંગ્રહિત થાય છે. IDS રૂપરેખાંકન મોટે ભાગે આ રૂપરેખાંકન ફાઇલને સંપાદિત કરવા માટે મર્યાદિત છે. તેમાં ઘણા પરિમાણો છે જે, નામ અને હેતુમાં, સ્નોર્ટના તેમના એનાલોગ સાથે સુસંગત છે. તેમ છતાં વાક્યરચના સંપૂર્ણપણે અલગ છે, પરંતુ ફાઈલ Snort રૂપરેખાઓ કરતાં વાંચવા માટે ઘણી સરળ છે, અને તેની સારી ટિપ્પણી પણ કરવામાં આવી છે.

sudo nano /etc/default/suricata

и

sudo nano /etc/suricata/suricata.yaml

ધ્યાન આપો! શરૂ કરતા પહેલા, તમારે vars વિભાગમાંથી ચલોની કિંમતો તપાસવી જોઈએ.

સેટઅપ પૂર્ણ કરવા માટે, તમારે નિયમોને અપડેટ કરવા અને ડાઉનલોડ કરવા માટે suricata-update ઇન્સ્ટોલ કરવાની જરૂર પડશે. આ કરવું એકદમ સરળ છે:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

આગળ આપણે ઇમર્જિંગ થ્રેટ્સ ઓપન રૂલ્સેટ ઇન્સ્ટોલ કરવા માટે suricata-update આદેશ ચલાવવાની જરૂર છે:

sudo suricata-update

નિયમ સ્ત્રોતોની સૂચિ જોવા માટે, નીચેનો આદેશ ચલાવો:

sudo suricata-update list-sources

નિયમ સ્ત્રોતો અપડેટ કરો:

sudo suricata-update update-sources

અમે અપડેટ કરેલા સ્ત્રોતો પર ફરીથી નજર કરીએ છીએ:

sudo suricata-update list-sources

જો જરૂરી હોય તો, તમે ઉપલબ્ધ મફત સ્ત્રોતોનો સમાવેશ કરી શકો છો:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

આ પછી, તમારે ફરીથી નિયમો અપડેટ કરવાની જરૂર છે:

sudo suricata-update

આ બિંદુએ, ઉબુન્ટુ 18.04 LTS માં Suricata નું ઇન્સ્ટોલેશન અને પ્રારંભિક ગોઠવણી પૂર્ણ ગણી શકાય. પછી મજા શરૂ થાય છે: હવે પછીના લેખમાં આપણે વર્ચ્યુઅલ સર્વરને ઓફિસ નેટવર્ક સાથે VPN દ્વારા કનેક્ટ કરીશું અને તમામ ઇનકમિંગ અને આઉટગોઇંગ ટ્રાફિકનું વિશ્લેષણ કરવાનું શરૂ કરીશું. અમે DDoS હુમલાઓ, માલવેર પ્રવૃત્તિ અને સાર્વજનિક નેટવર્ક્સથી સુલભ સેવાઓમાં નબળાઈઓનો ઉપયોગ કરવાના પ્રયાસોને અવરોધિત કરવા પર વિશેષ ધ્યાન આપીશું. સ્પષ્ટતા માટે, સૌથી સામાન્ય પ્રકારના હુમલાઓનું અનુકરણ કરવામાં આવશે.

સોર્સ: www.habr.com