Menurut statistik, volume lalu lintas jaringan meningkat sekitar 50% setiap tahun. Hal ini menyebabkan peningkatan beban pada peralatan dan, khususnya, meningkatkan persyaratan kinerja IDS/IPS. Anda dapat membeli perangkat keras khusus yang mahal, tetapi ada opsi yang lebih murah - pengenalan salah satu sistem sumber terbuka. Banyak administrator pemula merasa kesulitan untuk menginstal dan mengonfigurasi IPS gratis. Dalam kasus Suricata, ini tidak sepenuhnya benar - Anda dapat menginstalnya dan mulai menangkis serangan tipikal dengan seperangkat aturan gratis dalam beberapa menit.
Mengapa kita membutuhkan IPS terbuka lainnya?
Lama dianggap sebagai standar, Snort telah dikembangkan sejak akhir tahun sembilan puluhan, jadi awalnya single-threaded. Selama bertahun-tahun, semua fitur modern telah muncul di dalamnya, seperti dukungan IPv6, kemampuan untuk menganalisis protokol tingkat aplikasi, atau modul akses data universal.
Mesin inti Snort 2.X telah belajar untuk bekerja dengan banyak inti, tetapi tetap single-threaded dan karenanya tidak dapat memanfaatkan platform perangkat keras modern secara optimal.
Masalahnya diselesaikan di versi ketiga sistem, tetapi butuh waktu lama untuk mempersiapkan Suricata, yang ditulis dari awal, berhasil muncul di pasar. Pada tahun 2009, mulai dikembangkan justru sebagai alternatif multi-threaded untuk Snort, yang memiliki fitur IPS out of the box. Kode didistribusikan di bawah lisensi GPLv2, tetapi mitra keuangan proyek memiliki akses ke versi mesin tertutup. Beberapa masalah skalabilitas muncul di versi pertama sistem, tetapi dengan cepat diselesaikan.
Mengapa Surica?
Suricata memiliki beberapa modul (mirip dengan Snort): capture, capture, decode, detection, dan output. Secara default, lalu lintas yang ditangkap berjalan sebelum decoding dalam satu aliran, meskipun ini memuat sistem lebih banyak. Jika perlu, utas dapat dibagi dalam pengaturan dan didistribusikan di antara prosesor - Suricata dioptimalkan dengan sangat baik untuk perangkat keras tertentu, meskipun ini bukan lagi level HOWTO untuk pemula. Perlu dicatat juga bahwa Suricata memiliki alat inspeksi HTTP canggih berdasarkan pustaka HTP. Mereka juga dapat digunakan untuk mencatat lalu lintas tanpa deteksi. Sistem ini juga mendukung decoding IPv6, termasuk tunnel IPv4-in-IPv6, tunnel IPv6-in-IPv6, dan banyak lagi.
Antarmuka yang berbeda dapat digunakan untuk mencegat lalu lintas (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), dan dalam mode Unix Socket, Anda dapat secara otomatis menganalisis file PCAP yang diambil oleh sniffer lain. Selain itu, arsitektur modular Suricata memudahkan pemasangan elemen baru untuk menangkap, mendekode, mengurai, dan memproses paket jaringan. Penting juga untuk dicatat bahwa di Suricata, lalu lintas diblokir melalui filter reguler dari sistem operasi. GNU/Linux memiliki dua opsi untuk cara kerja IPS: melalui antrean NFQUEUE (mode NFQ) dan melalui zero copy (mode AF_PACKET). Dalam kasus pertama, paket yang masuk ke iptables dikirim ke antrian NFQUEUE, di mana paket tersebut dapat diproses di tingkat pengguna. Suricata menjalankannya sesuai aturannya sendiri dan mengeluarkan salah satu dari tiga putusan: NF_ACCEPT, NF_DROP dan NF_REPEAT. Dua yang pertama cukup jelas, sedangkan yang terakhir memungkinkan paket untuk diberi tag dan dikirim ke bagian atas tabel iptables saat ini. Mode AF_PACKET lebih cepat, tetapi memberlakukan sejumlah batasan pada sistem: harus memiliki dua antarmuka jaringan dan berfungsi sebagai gateway. Paket yang diblokir tidak diteruskan ke antarmuka kedua.
Fitur penting dari Suricata adalah kemampuan untuk menggunakan pengembangan Snort. Administrator memiliki akses, khususnya, ke set aturan Sourcefire VRT dan OpenSource Emerging Threats, serta Emerging Threats Pro komersial. Output terpadu dapat diuraikan menggunakan backend populer, output PCAP dan Syslog juga didukung. Pengaturan dan aturan sistem disimpan dalam file YAML, yang mudah dibaca dan dapat diproses secara otomatis. Mesin Suricata mengenali banyak protokol, sehingga aturan tidak perlu terikat pada nomor port. Selain itu, konsep flowbits dipraktikkan secara aktif dalam aturan Suricata. Untuk melacak pemicu, variabel sesi digunakan untuk membuat dan menerapkan berbagai counter dan flag. Banyak IDS memperlakukan koneksi TCP yang berbeda sebagai entitas yang terpisah dan mungkin tidak melihat koneksi di antara mereka yang menandakan dimulainya serangan. Suricata mencoba untuk melihat keseluruhan gambar dan dalam banyak kasus mengenali lalu lintas berbahaya yang didistribusikan melalui koneksi yang berbeda. Anda dapat berbicara tentang kelebihannya untuk waktu yang lama, sebaiknya kita beralih ke instalasi dan konfigurasi.
Bagaimana cara menginstal?
Kami akan menginstal Suricata di server virtual yang menjalankan Ubuntu 18.04 LTS. Semua perintah harus dijalankan atas nama superuser (root). Opsi yang paling aman adalah SSH ke server sebagai pengguna biasa dan kemudian menggunakan utilitas sudo untuk meningkatkan hak istimewa. Pertama, Anda perlu menginstal paket yang kami butuhkan:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsMenghubungkan repositori eksternal:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateInstal Suricata versi stabil terbaru:
sudo apt-get install suricataJika perlu, edit nama file konfigurasi, ganti eth0 default dengan nama sebenarnya dari antarmuka eksternal server. Pengaturan default disimpan di file /etc/default/surikata, dan pengaturan khusus disimpan di /etc/suricata/suricata.yaml. Mengonfigurasi IDS sebagian besar terbatas pada pengeditan file konfigurasi ini. Ini memiliki banyak parameter yang, menurut nama dan tujuannya, bertepatan dengan analog dari Snort. Sintaksnya benar-benar berbeda, tetapi file tersebut jauh lebih mudah dibaca daripada konfigurasi Snort dan dikomentari dengan baik.
sudo nano /etc/default/suricata
ΠΈ
sudo nano /etc/suricata/suricata.yaml
Perhatian! Sebelum memulai, ada baiknya memeriksa nilai variabel dari bagian vars.
Untuk menyelesaikan penyiapan, Anda perlu menginstal suricata-update untuk memperbarui dan memuat aturan. Cukup mudah untuk melakukan ini:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateSelanjutnya, kita perlu menjalankan perintah suricata-update untuk menginstal kumpulan aturan Emerging Threats Open:
sudo suricata-update
Untuk melihat daftar sumber aturan, jalankan perintah berikut:
sudo suricata-update list-sources
Perbarui sumber aturan:
sudo suricata-update update-sources
Meninjau kembali sumber yang diperbarui:
sudo suricata-update list-sourcesJika perlu, Anda dapat menyertakan sumber gratis yang tersedia:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistSetelah itu, Anda perlu memperbarui aturan lagi:
sudo suricata-updateIni melengkapi instalasi dan konfigurasi awal Suricata di Ubuntu 18.04 LTS. Kemudian kesenangan dimulai: di artikel selanjutnya, kami akan menghubungkan server virtual ke jaringan kantor melalui VPN dan mulai menganalisis semua lalu lintas masuk dan keluar. Kami akan memberikan perhatian khusus untuk memblokir serangan DDoS, aktivitas malware, dan upaya mengeksploitasi kerentanan dalam layanan yang dapat diakses dari jaringan publik. Untuk kejelasan, serangan dari jenis yang paling umum akan disimulasikan.
Sumber: www.habr.com