Samkvæmt tölfræði eykst magn netumferðar um 50% á hverju ári. Þetta leiðir til aukins álags á búnaðinn og eykur sérstaklega frammistöðukröfur IDS / IPS. Þú getur keypt dýran sérhæfðan vélbúnað, en það er ódýrari kostur - kynning á einu af opnum uppspretta kerfunum. Margir nýliði stjórnendur eiga erfitt með að setja upp og stilla ókeypis IPS. Í tilfelli Suricata er þetta ekki alveg satt - þú getur sett það upp og byrjað að hrinda dæmigerðum árásum með ókeypis reglum eftir nokkrar mínútur.
Af hverju þurfum við annan opinn IPS?
Lengi talið staðallinn, Snort hefur verið í þróun síðan seint á tíunda áratugnum, svo það var upphaflega einþráður. Í gegnum árin hafa allir nútíma eiginleikar birst í því, svo sem IPv6 stuðningur, getu til að greina samskiptareglur á forritastigi eða alhliða gagnaaðgangseining.
Kjarna Snort 2.X vélin hefur lært að vinna með marga kjarna, en hefur haldist einn-þráður og getur því ekki nýtt sér nútíma vélbúnaðarkerfi sem best.
Vandamálið var leyst í þriðju útgáfu kerfisins en það tók svo langan tíma að undirbúa það að Suricata, skrifað frá grunni, náði að koma á markað. Árið 2009 var byrjað að þróa það nákvæmlega sem fjölþráður valkostur við Snort, sem hefur IPS aðgerðir út úr kassanum. Kóðanum er dreift undir GPLv2 leyfinu, en fjárhagsaðilar verkefnisins hafa aðgang að lokaðri útgáfu af vélinni. Nokkur stigstærðarvandamál komu upp í fyrstu útgáfum kerfisins, en þau voru leyst fljótt.
Af hverju Surica?
Suricata hefur nokkrar einingar (svipað og Snort): handtaka, handtaka, afkóða, uppgötvun og úttak. Sjálfgefið er að tekin umferð fer fyrir afkóðun í einum straumi, þó það hleðji kerfið meira. Ef nauðsyn krefur er hægt að skipta þráðum í stillingarnar og dreifa þeim á örgjörva - Suricata er mjög vel fínstillt fyrir sérstakan vélbúnað, þó þetta sé ekki lengur HOWTO stig fyrir byrjendur. Það er líka athyglisvert að Suricata hefur háþróuð HTTP skoðunarverkfæri byggð á HTP bókasafninu. Þeir geta einnig verið notaðir til að skrá umferð án uppgötvunar. Kerfið styður einnig IPv6 afkóðun, þar á meðal IPv4-í-IPv6 göng, IPv6-í-IPv6 göng og fleira.
Hægt er að nota mismunandi viðmót til að stöðva umferð (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), og í Unix Socket ham geturðu sjálfkrafa greint PCAP skrár sem teknar eru af öðrum sniffer. Að auki gerir einingaarkitektúr Suricata það auðvelt að tengja nýja þætti til að fanga, afkóða, flokka og vinna netpakka. Það er líka mikilvægt að hafa í huga að í Suricata er umferð lokað með venjulegri síu stýrikerfisins. GNU/Linux hefur tvo valkosti fyrir hvernig IPS virkar: í gegnum NFQUEUE biðröðina (NFQ ham) og í gegnum núll afrit (AF_PACKET ham). Í fyrra tilvikinu er pakkinn sem fer inn í iptables sendur í NFQUEUE biðröðina, þar sem hægt er að vinna hann á notendastigi. Suricata rekur það samkvæmt eigin reglum og gefur út einn af þremur dómum: NF_ACCEPT, NF_DROP og NF_REPEAT. Fyrstu tveir skýra sig sjálfir, en sá síðasti gerir kleift að merkja pakka og senda efst á núverandi iptables töflu. AF_PACKET hamurinn er hraðari, en hann setur ýmsar takmarkanir á kerfið: það verður að hafa tvö netviðmót og virka sem gátt. Lokaði pakkinn er einfaldlega ekki sendur í annað viðmótið.
Mikilvægur eiginleiki Suricata er hæfileikinn til að nota þróun fyrir Snort. Kerfisstjórinn hefur einkum aðgang að Sourcefire VRT og OpenSource Emerging Threats reglusettunum, sem og auglýsingunni Emerging Threats Pro. Sameinað framleiðsla er hægt að flokka með því að nota vinsæla bakenda, PCAP og Syslog framleiðsla er einnig studd. Kerfisstillingar og reglur eru geymdar í YAML skrám, sem auðvelt er að lesa og hægt er að vinna úr þeim sjálfkrafa. Suricata vélin þekkir margar samskiptareglur, þannig að reglurnar þurfa ekki að vera bundnar við gáttarnúmer. Að auki er hugtakið flæðibitar virkt stundað í reglum Suricata. Til að rekja kveikjuna eru lotubreytur notaðar til að búa til og nota ýmsa teljara og fána. Margir IDS meðhöndla mismunandi TCP tengingar sem aðskildar einingar og sjá kannski ekki tengingu á milli þeirra sem gefur til kynna upphaf árásar. Suricata reynir að sjá heildarmyndina og þekkir í mörgum tilfellum skaðlega umferð sem dreift er um mismunandi tengingar. Þú getur talað um kosti þess í langan tíma, við ættum að halda áfram í uppsetningu og uppsetningu.
Hvernig á að setja upp?
Við munum setja upp Suricata á sýndarþjóni sem keyrir Ubuntu 18.04 LTS. Allar skipanir verða að vera framkvæmdar fyrir hönd ofurnotanda (rótar). Öruggasti kosturinn er að SSH inn á netþjóninn sem venjulegur notandi og nota síðan sudo tólið til að hækka réttindi. Fyrst þarftu að setja upp pakkana sem við þurfum:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsAð tengja ytri geymslu:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSettu upp nýjustu stöðugu útgáfuna af Suricata:
sudo apt-get install suricataEf nauðsyn krefur, breyttu nafni stillingarskrár, skiptu sjálfgefna eth0 út fyrir raunverulegt nafn ytra viðmóts netþjónsins. Sjálfgefnar stillingar eru geymdar í /etc/default/suricata skránni og sérsniðnar stillingar eru geymdar í /etc/suricata/suricata.yaml. Stilling IDS er að mestu takmörkuð við að breyta þessari stillingarskrá. Það hefur fullt af breytum sem, að nafni og tilgangi, falla saman við hliðstæður frá Snort. Setningafræðin er þó nokkuð önnur, en skráin er mun auðveldari að lesa en Snort stillingar og er vel skrifað um hana.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Athugið! Áður en byrjað er er þess virði að athuga gildi breytanna úr vars hlutanum.
Til að klára uppsetninguna þarftu að setja upp suricata-update til að uppfæra og hlaða reglurnar. Það er frekar auðvelt að gera þetta:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateNæst þurfum við að keyra suricata-update skipunina til að setja upp Emerging Threats Open reglusettið:
sudo suricata-update
Til að skoða lista yfir regluheimildir skaltu keyra eftirfarandi skipun:
sudo suricata-update list-sources
Uppfærðu regluheimildir:
sudo suricata-update update-sources
Skoðaðu uppfærðar heimildir:
sudo suricata-update list-sourcesEf nauðsyn krefur geturðu látið tiltækar ókeypis heimildir fylgja með:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistEftir það þarftu að uppfæra reglurnar aftur:
sudo suricata-updateÞetta lýkur uppsetningu og upphaflegri stillingu Suricata í Ubuntu 18.04 LTS. Þá byrjar fjörið: í næstu grein munum við tengja sýndarþjón við skrifstofunetið í gegnum VPN og byrja að greina alla inn- og út umferð. Við munum leggja sérstaka áherslu á að hindra DDoS árásir, spilliforrit og tilraunir til að nýta sér veikleika í þjónustu sem er aðgengileg frá almennum netum. Til glöggvunar verður hermt eftir árásum af algengustu gerðum.
Heimild: www.habr.com