Dapre estatistik, volim nan trafik rezo ogmante pa apeprè 50% chak ane. Sa a mennen nan yon ogmantasyon nan chaj la sou ekipman an epi, an patikilye, ogmante kondisyon yo ki pèfòmans nan IDS / IPS. Ou ka achte chè pyès ki nan konpitè espesyalize, men gen yon opsyon pi bon mache - mete ann aplikasyon youn nan sistèm sous louvri. Anpil administratè inisyasyon panse ke enstale ak konfigirasyon yon IPS gratis se byen difisil. Nan ka a nan Suricata, sa a se pa totalman vre - ou ka enstale li epi kòmanse repouse atak estanda ak yon seri règ gratis nan kèk minit.
Poukisa nou bezwen yon lòt IPS ouvè?
Depi lontan konsidere kòm estanda a, Snort te nan devlopman depi fen ane 6 yo, kidonk li te orijinèlman yon sèl-threaded. Pandan ane yo, li te akeri tout karakteristik modèn yo, tankou sipò IPvXNUMX, kapasite nan analize pwotokòl nivo aplikasyon, oswa yon modil aksè done inivèsèl.
Motè debaz Snort 2.X la te aprann travay ak plizyè nwayo, men li te rete yon sèl-threaded e Se poutèt sa pa ka pi byen pwofite de platfòm pyès ki nan konpitè modèn.
Pwoblèm nan te rezoud nan twazyèm vèsyon sistèm lan, men li te pran anpil tan pou prepare ke Suricata, ekri nan grafouyen, jere yo parèt sou mache a. An 2009, li te kòmanse devlope jisteman kòm yon altènatif milti-threaded nan Snort, ki te gen fonksyon IPS soti nan bwat la. Kòd la distribye anba lisans GPLv2, men patnè finansye pwojè a gen aksè a yon vèsyon fèmen nan motè a. Gen kèk pwoblèm ak évolutivité te parèt nan premye vèsyon yo nan sistèm nan, men yo te rezoud san patipri byen vit.
Poukisa Suricata?
Suricata gen plizyè modil (tankou Snort): kaptire, akizisyon, dekodaj, deteksyon ak pwodiksyon. Pa default, trafik kaptire ale anvan dekodaj nan yon sèl fil, byenke sa a chaje sistèm nan plis. Si sa nesesè, fil yo ka divize nan anviwònman yo ak distribye nan mitan processeurs - Suricata trè byen optimize pou pyès ki nan konpitè espesifik, byenke sa a se pa yon nivo HOWTO pou débutan. Li se tou vo sonje ke Suricata gen zouti avanse enspeksyon HTTP ki baze sou bibliyotèk la HTP. Yo ka itilize tou pou konekte trafik san yo pa deteksyon. Sistèm nan sipòte tou dekodaj IPv6, ki gen ladan IPv4-in-IPv6, IPv6-in-IPv6 tinèl ak lòt moun.
Diferan koòdone yo ka itilize pou entèsepte trafik (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ak nan mòd Unix Socket ou ka otomatikman analize dosye PCAP te kaptire pa yon lòt sniffer. Anplis de sa, achitekti modilè Suricata a fè li fasil pou konekte nouvo eleman pou pran, dekode, analize ak trete pake rezo yo. Li enpòtan tou sonje ke nan Suricata, trafik yo bloke lè l sèvi avèk filtè sistèm operasyon estanda a. Nan GNU/Linux, de opsyon pou operasyon IPS yo disponib: atravè keu NFQUEUE (mòd NFQ) ak nan kopi zewo (mòd AF_PACKET). Nan premye ka a, yo voye yon pake k ap antre nan iptables nan keu NFQUEUE a, kote li ka trete nan nivo itilizatè a. Suricata dirije li selon pwòp règ li epi li bay youn nan twa vèdik: NF_ACCEPT, NF_DROP ak NF_REPEAT. De premye yo eksplike tèt yo, men dènye a pèmèt ou make pake epi voye yo nan kòmansman an nan tablo iptables aktyèl la. Mòd AF_PACKET la pi vit, men li enpoze yon kantite restriksyon sou sistèm nan: li dwe gen de koòdone rezo ak travay kòm yon pòtay. Pake bloke a tou senpleman pa voye nan dezyèm koòdone.
Yon karakteristik enpòtan nan Suricata se kapasite nan sèvi ak devlopman pou Snort. Administratè a gen aksè a, an patikilye, Sourcefire VRT ak OpenSource Emerging Threats règ ansanm, osi byen ke komèsyal Emerging Threats Pro. Pwodiksyon inifye a ka analize lè l sèvi avèk backend popilè, ak pwodiksyon nan PCAP ak Syslog tou sipòte. Anviwònman ak règ sistèm yo estoke nan dosye YAML, ki fasil pou li epi yo ka trete otomatikman. Motè Suricata a rekonèt anpil pwotokòl, kidonk règ yo pa bezwen mare nan yon nimewo pò. Anplis de sa, konsèp nan flowbits aktivman pratike nan règ yo Suricata. Pou swiv deklanche, yo itilize varyab sesyon yo, ki pèmèt ou kreye ak aplike plizyè kontè ak drapo. Anpil IDS trete diferan koneksyon TCP kòm antite separe epi yo ka pa wè koneksyon ki genyen ant yo pou endike kòmansman yon atak. Suricata eseye wè foto an antye epi nan anpil ka rekonèt trafik move distribiye atravè koneksyon diferan. Nou ka pale sou avantaj li yo pou yon tan long; nou ta pi bon deplase sou enstalasyon ak konfigirasyon.
Ki jan yo enstale?
Nou pral enstale Suricata sou yon sèvè vityèl ki kouri Ubuntu 18.04 LTS. Tout kòmandman yo dwe egzekite kòm superutilisateur (rasin). Opsyon ki pi an sekirite se konekte ak sèvè a atravè SSH kòm yon itilizatè estanda, ak Lè sa a, sèvi ak sèvis piblik la sudo pou ogmante privilèj yo. Premye nou bezwen enstale pakè nou bezwen yo:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsKonekte yon depo ekstèn:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateEnstale dènye vèsyon ki estab nan Suricata:
sudo apt-get install suricataSi sa nesesè, modifye non fichye konfigirasyon an, ranplase default eth0 ak non aktyèl la nan koòdone ekstèn sèvè a. Anviwònman defo yo estoke nan /etc/default/suricata fichye a, ak paramèt koutim yo estoke nan /etc/suricata/suricata.yaml. Konfigirasyon IDS se sitou limite a koreksyon fichye konfigirasyon sa a. Li gen anpil paramèt ki, nan non ak objektif, kowenside ak analogue yo soti nan Snort. Sentaks la se poutan konplètman diferan, men fichye a se pi fasil li pase konfigirasyon Snort, epi li se tou byen kòmante.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Atansyon! Anvan w kòmanse, ou ta dwe tcheke valè varyab yo nan seksyon vars la.
Pou konplete konfigirasyon an, w ap bezwen enstale suricata-update pou mete ajou ak telechaje règ yo. Li se byen fasil fè sa:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateApre sa, nou bezwen kouri lòd suricata-update a pou enstale menas Emerging Open la:
sudo suricata-update
Pou wè lis sous règ, kouri lòd sa a:
sudo suricata-update list-sources
Mete ajou sous règ yo:
sudo suricata-update update-sources
Nou gade ankò nan sous yo mete ajou:
sudo suricata-update list-sourcesSi sa nesesè, ou ka mete sous disponib gratis:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistApre sa, ou bezwen mete ajou règ yo ankò:
sudo suricata-updateNan pwen sa a, enstalasyon ak premye konfigirasyon Suricata nan Ubuntu 18.04 LTS ka konsidere kòm konplè. Lè sa a, plezi a kòmanse: nan pwochen atik la nou pral konekte yon sèvè vityèl nan rezo biwo a atravè VPN epi kòmanse analize tout trafik fèk ap rantre ak sortan. Nou pral peye atansyon espesyal pou bloke atak DDoS, aktivite malveyan, ak tantativ pou eksplwate vilnerabilite nan sèvis aksesib nan rezo piblik yo. Pou klè, atak nan kalite ki pi komen yo pral simulation.
Sous: www.habr.com