ProHoster > Π‘Π»ΠΎΠ³ > Kev tswj hwm > Snort los yog Suricata. Ntu 2: Kev teeb tsa thiab pib teeb tsa ntawm Suricata

Snort los yog Suricata. Ntu 2: Kev teeb tsa thiab pib teeb tsa ntawm Suricata

Raws li kev txheeb cais, qhov ntim ntawm kev sib txuas hauv network nce li 50% txhua xyoo. Qhov no ua rau muaj kev nce hauv kev thauj khoom ntawm cov khoom siv thiab, tshwj xeeb tshaj yog, nce kev ua tau zoo ntawm IDS / IPS. Koj tuaj yeem yuav cov khoom siv tshwj xeeb kim kim, tab sis muaj kev xaiv pheej yig dua - kev taw qhia ntawm ib qho ntawm qhov qhib qhov system. Ntau tus thawj coj tshiab pom tias nws nyuaj rau nruab thiab teeb tsa IPS dawb. Nyob rau hauv cov ntaub ntawv ntawm Suricata, qhov no tsis yog tag nrho - koj tuaj yeem nruab nws thiab pib tawm tsam kev tawm tsam nrog cov txheej txheem pub dawb hauv ob peb feeb.

Snort los yog Suricata. Ntu 2: Kev teeb tsa thiab pib teeb tsa ntawm Suricata
Snort los yog Suricata. Ntu 1: Xaiv ib qho pub dawb IDS/IPS los tiv thaiv koj lub koom haum Network

Vim li cas peb thiaj xav tau lwm qhov qhib IPS?

Ntev txiav txim siab tus qauv, Snort tau nyob rau hauv txoj kev loj hlob txij li thaum lub nineties lig, yog li nws yog Ameslikas ib leeg xov. Tau ntau xyoo, tag nrho cov yam ntxwv niaj hnub tau tshwm sim hauv nws, xws li kev txhawb nqa IPv6, muaj peev xwm txheeb xyuas daim ntawv thov-theem raws tu qauv, lossis cov ntaub ntawv nkag mus thoob ntiaj teb.

Cov tub ntxhais Snort 2.X lub cav tau kawm ua haujlwm nrog ntau lub cores, tab sis tseem nyob ib leeg thiab yog li tsis tuaj yeem ua kom zoo dua ntawm cov khoom siv niaj hnub no.

Qhov teeb meem tau daws nyob rau hauv lub thib peb version ntawm lub system, tab sis nws siv sij hawm ntev heev los npaj tias Suricata, sau los ntawm kos, tswj kom tshwm nyob rau hauv lub lag luam. Nyob rau hauv 2009, nws tau pib tsim kom meej raws li ib tug multi-threaded lwm txoj rau Snort, uas muaj IPS functions tawm ntawm lub thawv. Cov cai tau muab faib raws li daim ntawv tso cai GPLv2, tab sis cov neeg koom tes nyiaj txiag ntawm txoj haujlwm tau nkag mus rau lub cav kaw. Qee qhov teeb meem scalability tau tshwm sim hauv thawj versions ntawm lub kaw lus, tab sis lawv tau daws sai sai.

Vim li cas Surica?

Suricata muaj ntau lub modules (zoo ib yam li Snort): ntes, ntes, txiav txim siab, nrhiav pom, thiab tso zis. Los ntawm lub neej ntawd, cov tsheb khiav mus ua ntej txiav txim siab hauv ib lub kwj dej, txawm tias qhov no ua rau lub kaw lus ntau dua. Yog tias tsim nyog, cov xov tuaj yeem muab faib rau hauv qhov chaw thiab faib ntawm cov txheej txheem - Suricata tau zoo heev rau cov khoom siv tshwj xeeb, txawm hais tias qhov no tsis yog HOWTO qib rau cov pib tshiab. Nws tseem tsim nyog sau cia tias Suricata muaj cov cuab yeej tshuaj xyuas HTTP qib siab raws li HTP lub tsev qiv ntawv. Lawv kuj tuaj yeem siv los teev cov tsheb tsis muaj kev tshawb pom. Lub kaw lus kuj txhawb IPv6 kev txiav txim siab, suav nrog IPv4-hauv-IPv6 qhov, IPv6-hauv-IPv6 qhov, thiab ntau dua.

Cov kev sib txawv sib txawv tuaj yeem siv los cuam tshuam cov tsheb khiav (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), thiab hauv Unix Socket hom, koj tuaj yeem ntsuas PCAP cov ntaub ntawv raug ntes los ntawm lwm tus neeg sniffer. Tsis tas li ntawd, Suricata's modular architecture ua rau nws yooj yim rau ntsaws rau hauv cov ntsiab lus tshiab los ntes, txiav txim siab, txheeb xyuas, thiab txheej txheem cov pob ntawv network. Nws tseem yog ib qho tseem ceeb uas yuav tsum nco ntsoov tias hauv Suricata, kev khiav tsheb raug thaiv los ntawm kev siv lub lim dej tsis tu ncua ntawm kev ua haujlwm. GNU/Linux muaj ob txoj kev xaiv rau IPS ua haujlwm li cas: ntawm NFQUEUE kab (NFQ hom) thiab ntawm xoom luam (AF_PACKET hom). Hauv thawj kis, pob ntawv uas nkag mus rau iptables raug xa mus rau NFQUEUE queue, qhov twg nws tuaj yeem ua tiav ntawm cov neeg siv qib. Suricata khiav nws raws li nws tus kheej cov cai thiab teeb meem ib qho ntawm peb qhov kev txiav txim: NF_ACCEPT, NF_DROP thiab NF_REPEAT. Thawj ob yog tus kheej piav qhia, thaum kawg tso cai rau pob ntawv kom tau tagged thiab xa mus rau sab saum toj ntawm lub rooj iptables tam sim no. AF_PACKET hom yog nrawm dua, tab sis nws ua rau muaj kev txwv ntau ntawm cov kab ke: nws yuav tsum muaj ob lub network sib txuas thiab ua haujlwm raws li lub rooj vag. Lub pob ntawv thaiv tsuas yog tsis xa mus rau qhov thib ob interface.

Ib qho tseem ceeb ntawm Suricata yog lub peev xwm los siv kev txhim kho rau Snort. Tus thawj coj tau nkag mus, tshwj xeeb, rau Sourcefire VRT thiab OpenSource Emerging Threats txoj cai teeb tsa, nrog rau kev lag luam Emerging Threats Pro. Cov zis sib koom ua ke tuaj yeem txheeb xyuas siv cov backends nrov, PCAP thiab Syslog cov zis kuj tau txais kev txhawb nqa. Cov kev teeb tsa thiab cov kev cai raug khaws cia hauv YAML cov ntaub ntawv, uas yooj yim nyeem thiab tuaj yeem ua tiav. Lub cav Suricata lees paub ntau yam kev cai, yog li cov kev cai tsis tas yuav raug khi rau tus lej chaw nres nkoj. Tsis tas li ntawd, lub tswv yim ntawm flowbits yog nquag siv nyob rau hauv cov cai ntawm Suricata. Txhawm rau taug qab qhov tshwm sim, kev sib tham sib txawv yog siv los tsim thiab siv ntau lub txee thiab chij. Ntau tus IDSs kho qhov sib txawv TCP kev sib txuas raws li cov chaw sib txawv thiab tej zaum yuav tsis pom kev sib txuas ntawm lawv uas qhia txog qhov pib ntawm kev tawm tsam. Suricata sim pom tag nrho cov duab thiab hauv ntau qhov xwm txheej lees paub cov tsheb tsis zoo uas tau muab faib rau ntau qhov sib txuas. Koj tuaj yeem tham txog nws qhov zoo rau lub sijhawm ntev, peb yuav zoo dua mus rau kev teeb tsa thiab teeb tsa.

Yuav ua li cas rau nruab

Peb yuav txhim kho Suricata ntawm lub server virtual khiav Ubuntu 18.04 LTS. Tag nrho cov lus txib yuav tsum raug tua sawv cev ntawm tus superuser (hauv paus). Qhov kev xaiv nyab xeeb tshaj plaws yog SSH rau hauv lub server raws li ib tus neeg siv ib txwm siv thiab tom qab ntawd siv sudo utility los txhawb cov cai. Ua ntej koj yuav tsum tau nruab cov pob khoom uas peb xav tau:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

Txuas lub chaw cia khoom sab nraud:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

Nruab qhov tseeb ruaj khov version ntawm Suricata:

sudo apt-get install suricata

Yog tias tsim nyog, hloov kho cov ntaub ntawv teeb tsa lub npe, hloov lub neej ntawd eth0 nrog lub npe tiag tiag ntawm lub server sab nraud interface. Default settings yog khaws cia rau hauv /etc/default/suricata cov ntaub ntawv, thiab kev cai chaw khaws cia hauv /etc/suricata/suricata.yaml. Configuring IDS feem ntau txwv rau kev kho cov ntaub ntawv teeb tsa no. Nws muaj ntau qhov tsis sib xws uas, los ntawm lub npe thiab lub hom phiaj, coincide nrog analogues los ntawm Snort. Cov syntax txawv kiag li, txawm li cas los xij, tab sis cov ntaub ntawv nyeem tau yooj yim dua li Snort configs thiab tau pom zoo.

sudo nano /etc/default/suricata

Snort los yog Suricata. Ntu 2: Kev teeb tsa thiab pib teeb tsa ntawm Suricata

ΠΈ

sudo nano /etc/suricata/suricata.yaml

Snort los yog Suricata. Ntu 2: Kev teeb tsa thiab pib teeb tsa ntawm Suricata

Nco ntsoov! Ua ntej pib, nws tsim nyog kuaj xyuas qhov tseem ceeb ntawm qhov hloov pauv los ntawm ntu vars.

Txhawm rau ua kom tiav qhov teeb tsa, koj yuav tsum tau nruab suricata-hloov tshiab los hloov kho thiab thauj cov cai. Nws yog qhov yooj yim heev los ua qhov no:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

Tom ntej no, peb yuav tsum khiav suricata-hloov tshiab hais kom ua rau nruab Emerging Threats Qhib txoj cai:

sudo suricata-update

Snort los yog Suricata. Ntu 2: Kev teeb tsa thiab pib teeb tsa ntawm Suricata

Txhawm rau saib cov npe ntawm cov cai, khiav cov lus txib hauv qab no:

sudo suricata-update list-sources

Snort los yog Suricata. Ntu 2: Kev teeb tsa thiab pib teeb tsa ntawm Suricata

Hloov tshiab txoj cai cov peev txheej:

sudo suricata-update update-sources

Snort los yog Suricata. Ntu 2: Kev teeb tsa thiab pib teeb tsa ntawm Suricata

Rov xyuas cov ntaub ntawv tshiab:

sudo suricata-update list-sources

Yog tias tsim nyog, koj tuaj yeem suav nrog cov peev txheej pub dawb:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

Tom qab ntawd, koj yuav tsum hloov cov cai dua:

sudo suricata-update

Qhov no ua tiav qhov kev teeb tsa thiab pib teeb tsa ntawm Suricata hauv Ubuntu 18.04 LTS. Tom qab ntawd qhov kev lom zem pib: nyob rau hauv tsab xov xwm tom ntej, peb yuav txuas lub virtual server rau lub chaw ua hauj lwm network ntawm VPN thiab pib soj ntsuam tag nrho cov nkag thiab tawm. Peb yuav ua tib zoo saib xyuas tshwj xeeb rau kev thaiv DDoS kev tawm tsam, kev ua haujlwm ntawm malware thiab sim siv qhov tsis zoo hauv cov kev pabcuam nkag tau los ntawm pej xeem network. Txhawm rau kom pom tseeb, kev tawm tsam ntawm ntau hom yuav simulated.

Snort los yog Suricata. Ntu 2: Kev teeb tsa thiab pib teeb tsa ntawm Suricata

Snort los yog Suricata. Ntu 2: Kev teeb tsa thiab pib teeb tsa ntawm Suricata

Tau qhov twg los: www.hab.com

Ntxiv ib saib