A statisztikák szerint a hálózati forgalom volumene évente körülbelül 50%-kal növekszik. Ez a berendezés terhelésének növekedéséhez vezet, és különösen növeli az IDS / IPS teljesítménykövetelményeit. Vásárolhat drága speciális hardvert, de van egy olcsóbb lehetőség - az egyik nyílt forráskódú rendszer bevezetése. Sok kezdő rendszergazda nehezen tudja telepíteni és konfigurálni az ingyenes IPS-t. A Suricata esetében ez nem teljesen igaz – néhány perc alatt telepítheti és elkezdheti a tipikus támadások visszaverését ingyenes szabályokkal.
Miért van szükségünk egy másik nyitott IPS-re?
A régóta szabványnak tartott Snort a kilencvenes évek vége óta fejlesztés alatt áll, így eredetileg egyszálas volt. Az évek során minden modern szolgáltatás megjelent benne, mint például az IPv6 támogatás, az alkalmazás szintű protokollok elemzésének lehetősége vagy az univerzális adatelérési modul.
A mag Snort 2.X motor megtanult több maggal dolgozni, de egyszálú maradt, ezért nem tudja optimálisan kihasználni a modern hardverplatformok előnyeit.
A probléma a rendszer harmadik verziójában megoldódott, de annyi időbe telt az előkészítés, hogy a nulláról írt Suricatának sikerült megjelennie a piacon. 2009-ben kezdték fejleszteni pontosan a Snort többszálas alternatívájaként, amely már a dobozból is rendelkezik IPS funkciókkal. A kódot GPLv2 licenc alatt terjesztik, de a projekt pénzügyi partnerei hozzáférhetnek a motor zárt verziójához. A rendszer első verzióiban felmerült néhány méretezhetőségi probléma, de ezeket gyorsan megoldották.
Miért Surica?
A Suricata több modullal rendelkezik (hasonlóan a Snorthoz): rögzítés, rögzítés, dekódolás, észlelés és kimenet. Alapértelmezés szerint a rögzített forgalom egy adatfolyamban a dekódolás előtt megy, bár ez jobban terheli a rendszert. Ha szükséges, a szálak feloszthatók a beállításokban és szétoszthatók a processzorok között – a Suricata nagyon jól optimalizált bizonyos hardverekhez, bár ez már nem a HOGYAN szint kezdőknek. Azt is érdemes megjegyezni, hogy a Suricata fejlett HTTP-ellenőrző eszközökkel rendelkezik, amelyek a HTP-könyvtáron alapulnak. Használhatók a forgalom észlelés nélküli naplózására is. A rendszer támogatja az IPv6 dekódolást is, beleértve az IPv4-in-IPv6 alagutak, IPv6-in-IPv6 alagutak stb.
Különböző interfészek használhatók a forgalom elfogására (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), Unix Socket módban pedig automatikusan elemezhetjük a másik szippantó által rögzített PCAP fájlokat. Ezenkívül a Suricata moduláris architektúrája megkönnyíti az új elemek csatlakoztatását a hálózati csomagok rögzítéséhez, dekódolásához, elemzéséhez és feldolgozásához. Fontos megjegyezni azt is, hogy Suricatában a forgalmat az operációs rendszer szokásos szűrője blokkolja. A GNU/Linuxnak két lehetősége van az IPS működésére: az NFQUEUE soron keresztül (NFQ mód) és nulla másolaton keresztül (AF_PACKET mód). Az első esetben az iptables-ba belépő csomag az NFQUEUE sorba kerül, ahol felhasználói szinten feldolgozható. A Suricata a saját szabályai szerint futtatja, és a három ítélet egyikét adja ki: NF_ACCEPT, NF_DROP és NF_REPEAT. Az első kettő magától értetődő, míg az utolsó lehetővé teszi a csomagok címkézését és elküldését az aktuális iptables tábla tetejére. Az AF_PACKET mód gyorsabb, de számos korlátozást ró a rendszerre: két hálózati interfésszel kell rendelkeznie, és átjáróként kell működnie. A blokkolt csomag egyszerűen nem kerül továbbításra a második interfészre.
A Suricata egyik fontos tulajdonsága, hogy a Snorthoz is használhatja a fejlesztéseket. Az adminisztrátor hozzáféréssel rendelkezik különösen a Sourcefire VRT és az OpenSource Emerging Threats szabálykészleteihez, valamint a kereskedelmi Emerging Threats Pro-hoz. Az egyesített kimenet a népszerű háttérprogramokkal elemezhető, a PCAP és a Syslog kimenet szintén támogatott. A rendszerbeállítások és szabályok YAML-fájlokban tárolódnak, amelyek könnyen olvashatók és automatikusan feldolgozhatók. A Suricata motor számos protokollt felismer, így a szabályokat nem kell portszámhoz kötni. Ezenkívül a flowbitek fogalmát a Suricata szabályai aktívan gyakorolják. A trigger nyomon követéséhez a munkamenet-változókat különféle számlálók és jelzők létrehozására és alkalmazására használják. Sok IDS külön entitásként kezeli a különböző TCP-kapcsolatokat, és előfordulhat, hogy nem lát közöttük olyan kapcsolatot, amely a támadás kezdetét jelzi. A Suricata megpróbálja látni a teljes képet, és sok esetben felismeri a különböző kapcsolatokon megosztott rosszindulatú forgalmat. Hosszan beszélhet az előnyeiről, jobb, ha továbblépünk a telepítésre és a konfigurációra.
Hogyan kell telepíteni?
A Suricatát egy Ubuntu 18.04 LTS-t futtató virtuális szerverre fogjuk telepíteni. Minden parancsot a szuperfelhasználó (root) nevében kell végrehajtani. A legbiztonságosabb lehetőség az, ha normál felhasználóként SSH-t léptet be a szerverbe, majd a sudo segédprogramot használja a jogosultságok növelésére. Először telepítenie kell a szükséges csomagokat:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsKülső adattár csatlakoztatása:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateTelepítse a Suricata legújabb stabil verzióját:
sudo apt-get install suricataHa szükséges, szerkessze a konfigurációs fájlok nevét, az alapértelmezett eth0 helyett a kiszolgáló külső felületének tényleges nevével. Az alapértelmezett beállítások az /etc/default/suricata fájlban, az egyéni beállítások pedig az /etc/suricata/suricata.yaml fájlban tárolódnak. Az IDS konfigurálása többnyire ennek a konfigurációs fájlnak a szerkesztésére korlátozódik. Sok olyan paraméterrel rendelkezik, amelyek név és cél szerint egybeesnek a Snort analógjaival. A szintaxis azonban egészen más, de a fájl sokkal könnyebben olvasható, mint a Snort konfigurációk, és jól kommentálható.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Figyelem! Mielőtt elkezdené, érdemes ellenőrizni a változók értékeit a vars részből.
A telepítés befejezéséhez telepítenie kell a suricata-update programot a szabályok frissítéséhez és betöltéséhez. Ezt elég könnyű megtenni:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateEzután a suricata-update parancsot kell futtatnunk az Emerging Threats Open szabálykészlet telepítéséhez:
sudo suricata-update
A szabályforrások listájának megtekintéséhez futtassa a következő parancsot:
sudo suricata-update list-sources
Szabályforrások frissítése:
sudo suricata-update update-sources
Frissített források áttekintése:
sudo suricata-update list-sourcesHa szükséges, megadhat elérhető ingyenes forrásokat:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistEzt követően ismét frissítenie kell a szabályokat:
sudo suricata-updateEzzel befejeződik a Suricata telepítése és kezdeti konfigurálása az Ubuntu 18.04 LTS-ben. Ezután kezdődik a móka: a következő cikkben VPN-en keresztül csatlakoztatunk egy virtuális szervert az irodai hálózathoz, és elkezdjük elemezni az összes bejövő és kimenő forgalmat. Különös figyelmet fordítunk a DDoS támadások, a rosszindulatú programok és a nyilvános hálózatokról elérhető szolgáltatások sérülékenységeinek kihasználására tett kísérletek blokkolására. Az egyértelműség kedvéért a leggyakoribb típusú támadásokat szimuláljuk.
Forrás: will.com