Վիճակագրության համաձայն՝ ամեն տարի ցանցային տրաֆիկի ծավալն ավելանում է մոտ 50%-ով։ Սա հանգեցնում է սարքավորումների բեռի ավելացմանը և, մասնավորապես, մեծացնում է IDS/IPS-ի կատարողականի պահանջները: Դուք կարող եք գնել թանկարժեք մասնագիտացված սարքավորումներ, բայց կա ավելի էժան տարբերակ՝ բաց կոդով համակարգերից մեկի ներդրում: Շատ սկսնակ ադմինիստրատորներ կարծում են, որ անվճար IPS-ի տեղադրումն ու կարգավորումը բավականին դժվար է: Suricata-ի դեպքում սա ամբողջովին ճիշտ չէ. դուք կարող եք տեղադրել այն և մի քանի րոպեում սկսել ետ մղել ստանդարտ հարձակումները մի շարք անվճար կանոններով:
Ինչու՞ է մեզ անհրաժեշտ ևս մեկ բաց IPS:
Երկար ժամանակ համարվում էր ստանդարտ, Snort-ը մշակվում էր իննսունականների վերջից, ուստի այն ի սկզբանե մեկ թելերով էր: Տարիների ընթացքում այն ձեռք է բերել բոլոր ժամանակակից հնարավորությունները, ինչպիսիք են IPv6-ի աջակցությունը, հավելվածի մակարդակի արձանագրությունները վերլուծելու ունակությունը կամ տվյալների հասանելիության ունիվերսալ մոդուլը:
Հիմնական Snort 2.X շարժիչը սովորեց աշխատել մի քանի միջուկների հետ, բայց մնաց մեկ թելերով և, հետևաբար, չի կարող օպտիմալ կերպով օգտվել ժամանակակից ապարատային հարթակներից:
Խնդիրը լուծվել է համակարգի երրորդ տարբերակում, սակայն պատրաստման համար այնքան ժամանակ է պահանջվել, որ զրոյից գրված Suricata-ն կարողացել է հայտնվել շուկայում։ 2009-ին այն սկսեց մշակվել հենց որպես Snort-ի բազմաթելային այլընտրանք, որն ուներ IPS գործառույթներ առանց տուփի: Կոդը տարածվում է GPLv2 լիցենզիայի ներքո, սակայն նախագծի ֆինանսական գործընկերներին հասանելի է շարժիչի փակ տարբերակը: Համակարգի առաջին տարբերակներում մասշտաբայնության հետ կապված որոշ խնդիրներ առաջացան, բայց դրանք բավականին արագ լուծվեցին:
Ինչու՞ Սուրիկատա:
Suricata-ն ունի մի քանի մոդուլներ (ինչպես Snort)՝ գրավում, ձեռքբերում, վերծանում, հայտնաբերում և ելք: Լռելյայնորեն, գրավված տրաֆիկն անցնում է մեկ շղթայի վերծանումից առաջ, թեև դա ավելի է բեռնում համակարգը: Անհրաժեշտության դեպքում, թելերը կարող են բաժանվել պարամետրերում և բաշխվել պրոցեսորների միջև. Suricata-ն շատ լավ օպտիմիզացված է հատուկ սարքաշարի համար, չնայած սա այլևս HOWTO մակարդակ չէ սկսնակների համար: Հարկ է նաև նշել, որ Suricata-ն ունի HTTP ստուգման առաջադեմ գործիքներ՝ հիմնված HTP գրադարանի վրա: Դրանք կարող են օգտագործվել նաև առանց հայտնաբերման երթևեկությունը գրանցելու համար: Համակարգը նաև աջակցում է IPv6 ապակոդավորմանը, ներառյալ IPv4-in-IPv6, IPv6-in-IPv6 թունելները և այլն:
Տարբեր ինտերֆեյսներ կարող են օգտագործվել երթևեկությունը գաղտնալսելու համար (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), իսկ Unix Socket ռեժիմում դուք կարող եք ավտոմատ կերպով վերլուծել PCAP ֆայլերը, որոնք նկարահանվել են մեկ այլ սնիֆերի կողմից: Բացի այդ, Suricata-ի մոդուլային ճարտարապետությունը հեշտացնում է նոր տարրերի միացումը ցանցային փաթեթները գրավելու, վերծանելու, վերլուծելու և մշակելու համար: Կարևոր է նաև նշել, որ Սուրիկատայում երթևեկությունը արգելափակված է ստանդարտ օպերացիոն համակարգի ֆիլտրի միջոցով: GNU/Linux-ում IPS-ի շահագործման երկու տարբերակ կա՝ NFQUEUE հերթի միջոցով (NFQ ռեժիմ) և զրոյական պատճենի միջոցով (AF_PACKET ռեժիմ): Առաջին դեպքում iptables մուտքագրող փաթեթն ուղարկվում է NFQUEUE հերթ, որտեղ այն կարող է մշակվել օգտագործողի մակարդակով։ Suricata-ն այն վարում է իր կանոնների համաձայն և հրապարակում է երեք վճիռներից մեկը՝ NF_ACCEPT, NF_DROP և NF_REPEAT: Առաջին երկուսը ինքնին հասկանալի են, բայց վերջինը թույլ է տալիս նշել փաթեթները և ուղարկել դրանք ընթացիկ iptables աղյուսակի սկզբին: AF_PACKET ռեժիմն ավելի արագ է, սակայն մի շարք սահմանափակումներ է դնում համակարգի վրա՝ այն պետք է ունենա երկու ցանցային ինտերֆեյս և աշխատի որպես դարպաս: Արգելափակված փաթեթը պարզապես չի փոխանցվում երկրորդ ինտերֆեյսին:
Suricata-ի կարևոր առանձնահատկությունը Snort-ի համար զարգացումներն օգտագործելու ունակությունն է: Ադմինիստրատորին հասանելի է, մասնավորապես, Sourcefire VRT և OpenSource Emerging Threats կանոնների հավաքածուները, ինչպես նաև առևտրային Emerging Threats Pro: Միասնական ելքը կարելի է վերլուծել՝ օգտագործելով հանրաճանաչ backends, և ելքը PCAP-ին և Syslog-ին նույնպես աջակցում է: Համակարգի կարգավորումները և կանոնները պահվում են YAML ֆայլերում, որոնք հեշտ է կարդալ և կարող են ավտոմատ կերպով մշակվել: Suricata շարժիչը ճանաչում է բազմաթիվ արձանագրություններ, ուստի կանոնները պետք չէ կապել պորտի համարին: Բացի այդ, հոսքի բիթերի հայեցակարգը ակտիվորեն կիրառվում է Suricata կանոններում: Գործարկմանը հետևելու համար օգտագործվում են նստաշրջանի փոփոխականներ, որոնք թույլ են տալիս ստեղծել և կիրառել տարբեր հաշվիչներ և դրոշակներ: Շատ IDS-ներ տարբեր TCP կապեր են վերաբերվում որպես առանձին միավորներ և կարող են չտեսնել նրանց միջև կապը՝ հարձակման սկիզբը ցույց տալու համար: Suricata-ն փորձում է տեսնել ամբողջ պատկերը և շատ դեպքերում ճանաչում է վնասակար թրաֆիկը, որը բաշխված է տարբեր կապերով: Մենք կարող ենք երկար խոսել դրա առավելությունների մասին, ավելի լավ է անցնենք տեղադրմանը և կազմաձևմանը:
Ինչպե՞ս տեղադրել:
Մենք կտեղադրենք Suricata-ն Ubuntu 18.04 LTS-ով աշխատող վիրտուալ սերվերի վրա: Բոլոր հրամանները պետք է կատարվեն որպես գերօգտագործող (արմատ): Ամենաապահով տարբերակն է միանալ սերվերին SSH-ի միջոցով որպես ստանդարտ օգտագործող, այնուհետև օգտագործել sudo կոմունալը՝ արտոնությունները մեծացնելու համար: Նախ պետք է տեղադրենք մեզ անհրաժեշտ փաթեթները.
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsԱրտաքին պահեստի միացում.
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateՏեղադրեք Suricata-ի վերջին կայուն տարբերակը.
sudo apt-get install suricataԱնհրաժեշտության դեպքում խմբագրեք կազմաձևման ֆայլերի անունը՝ փոխարինելով լռելյայն eth0-ը սերվերի արտաքին ինտերֆեյսի իրական անունով: Կանխադրված կարգավորումները պահվում են /etc/default/suricata ֆայլում, իսկ հատուկ կարգավորումները պահվում են /etc/suricata/suricata.yaml-ում: IDS-ի կոնֆիգուրացիան հիմնականում սահմանափակվում է այս կազմաձևման ֆայլի խմբագրմամբ: Այն ունի բազմաթիվ պարամետրեր, որոնք անունով և նպատակներով համընկնում են Snort-ի իրենց անալոգների հետ: Շարահյուսությունը, այնուամենայնիվ, բոլորովին այլ է, բայց ֆայլը շատ ավելի հեշտ է կարդալ, քան Snort-ի կազմաձևերը, և այն նաև լավ մեկնաբանված է:
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Ուշադրություն. Նախքան սկսելը, դուք պետք է ստուգեք փոփոխականների արժեքները vars բաժնից:
Կարգավորումն ավարտելու համար դուք պետք է տեղադրեք suricata-update-ը՝ կանոնները թարմացնելու և ներբեռնելու համար: Դա անելը բավականին հեշտ է.
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateԱյնուհետև մենք պետք է գործարկենք suricata-update հրամանը՝ «Emerging Threats Open» կանոնների հավաքածուն տեղադրելու համար.
sudo suricata-update
Կանոնների աղբյուրների ցանկը դիտելու համար գործարկեք հետևյալ հրամանը.
sudo suricata-update list-sources
Թարմացնել կանոնների աղբյուրները.
sudo suricata-update update-sources
Մենք կրկին նայում ենք թարմացված աղբյուրներին.
sudo suricata-update list-sourcesԱնհրաժեշտության դեպքում կարող եք ներառել մատչելի անվճար աղբյուրներ.
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistԴրանից հետո դուք պետք է նորից թարմացնեք կանոնները.
sudo suricata-updateԱյս պահին Suricata-ի տեղադրումն ու նախնական կազմաձևումը Ubuntu 18.04 LTS-ում կարելի է համարել ավարտված: Այնուհետև սկսվում է զվարճանքը. հաջորդ հոդվածում մենք VPN-ի միջոցով միացնենք վիրտուալ սերվեր գրասենյակային ցանցին և կսկսենք վերլուծել բոլոր մուտքային և ելքային տրաֆիկը: Մենք հատուկ ուշադրություն ենք դարձնելու DDoS հարձակումների արգելափակմանը, չարամիտ ծրագրերի գործունեությանը և հանրային ցանցերից հասանելի ծառայությունների խոցելիության օգտագործման փորձերին: Պարզության համար կսիմուլյացվեն ամենատարածված տեսակների հարձակումները:
Source: www.habr.com