נחירה או סוריקטה. חלק 2: התקנה והגדרה ראשונית של Suricata

לפי הסטטיסטיקה, נפח התעבורה ברשת גדל בכ-50% מדי שנה. זה מוביל לעלייה בעומס על הציוד ובמיוחד מגדיל את דרישות הביצועים של IDS ​​/ IPS. אתה יכול לקנות חומרה מיוחדת ויקרה, אבל יש אפשרות זולה יותר - הכנסת אחת ממערכות הקוד הפתוח. מנהלי מערכת מתחילים רבים מתקשים להתקין ולהגדיר IPS בחינם. במקרה של Suricata, זה לא לגמרי נכון - אתה יכול להתקין את זה ולהתחיל להדוף התקפות אופייניות עם סט חוקים חינמיים תוך מספר דקות.

נחירה או סוריקטה. חלק 1: בחירת IDS/IPS בחינם כדי להגן על הרשת הארגונית שלך

למה אנחנו צריכים עוד IPS פתוח?

זמן רב שנחשב לסטנדרט, Snort נמצא בפיתוח מאז סוף שנות התשעים, אז זה היה במקור עם חוט יחיד. במהלך השנים הופיעו בו כל הפיצ'רים המודרניים, כמו תמיכה ב-IPv6, היכולת לנתח פרוטוקולים ברמת האפליקציה או מודול גישה אוניברסלי לנתונים.

מנוע הליבה Snort 2.X למד לעבוד עם ליבות מרובות, אך נשאר עם פתיל בודד ולכן אינו יכול לנצל בצורה מיטבית את פלטפורמות החומרה המודרניות.

הבעיה נפתרה בגרסה השלישית של המערכת, אבל לקח כל כך הרבה זמן להתכונן עד ש-Suricata, שנכתבה מאפס, הצליחה להופיע בשוק. ב-2009 החלו לפתח אותו דווקא כחלופה מרובת הליכי שרשרת ל-Snort, שיש לה פונקציות IPS מחוץ לקופסה. הקוד מופץ תחת רישיון GPLv2, אך לשותפים הפיננסיים של הפרויקט יש גישה לגרסה סגורה של המנוע. כמה בעיות מדרגיות התעוררו בגרסאות הראשונות של המערכת, אך הן נפתרו במהירות.

למה סוריקה?

ל-Suricata יש מספר מודולים (בדומה ל-Snort): לכידה, לכידה, פענוח, זיהוי ופלט. כברירת מחדל, התעבורה שנלכדה עוברת לפני הפענוח בזרם אחד, אם כי זה טוען את המערכת יותר. במידת הצורך, ניתן לחלק שרשורים בהגדרות ולהפיץ בין המעבדים - Suricata מותאמת היטב לחומרה ספציפית, אם כי זו כבר לא רמת HOWTO למתחילים. כמו כן, ראוי לציין כי ל-Suricata יש כלי בדיקת HTTP מתקדמים המבוססים על ספריית HTP. ניתן להשתמש בהם גם לתיעוד תעבורה ללא זיהוי. המערכת תומכת גם בפענוח IPv6, כולל מנהרות IPv4-in-IPv6, מנהרות IPv6-in-IPv6 ועוד.

ניתן להשתמש בממשקים שונים ליירט תעבורה (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ובמצב Unix Socket, ניתן לנתח אוטומטית קבצי PCAP שנלכדו על ידי רחרח אחר. בנוסף, הארכיטקטורה המודולרית של Suricata מקלה על חיבור אלמנטים חדשים ללכידה, פענוח, ניתוח ועיבוד מנות רשת. כמו כן, חשוב לציין שבסוריקטה חסימת התעבורה באמצעות פילטר רגיל של מערכת ההפעלה. ל-GNU/Linux יש שתי אפשרויות לאופן הפעולה של IPS: דרך תור NFQUEUE (מצב NFQ) ודרך העתקה אפס (מצב AF_PACKET). במקרה הראשון, החבילה שנכנסת ל-iptables נשלחת לתור NFQUEUE, שם ניתן לעבד אותה ברמת המשתמש. Suricata מפעיל אותו לפי הכללים שלה ומוציא אחד משלושת פסקי דין: NF_ACCEPT, NF_DROP ו-NF_REPEAT. השתיים הראשונות מובנות מאליהן, בעוד שהאחרון מאפשר לתייג מנות ולשלוח לראש טבלת iptables הנוכחית. מצב AF_PACKET מהיר יותר, אך הוא מטיל מספר הגבלות על המערכת: עליו להיות בעל שני ממשקי רשת ולעבוד כשער. החבילה החסומה פשוט לא מועברת לממשק השני.

תכונה חשובה של Suricata היא היכולת להשתמש בפיתוחים עבור Snort. למנהל המערכת יש גישה, במיוחד, למערכות הכללים של Sourcefire VRT ו-OpenSource Emerging Threats, כמו גם ל-Emerging Threats Pro המסחרי. ניתן לנתח את הפלט המאוחד באמצעות קצה אחורי פופולרי, פלט PCAP ו-Syslog נתמך גם כן. הגדרות וכללי מערכת מאוחסנים בקבצי YAML, שקל לקרוא אותם וניתנים לעיבוד אוטומטי. מנוע Suricata מזהה פרוטוקולים רבים, כך שהכללים אינם צריכים להיות קשורים למספר יציאה. בנוסף, הרעיון של flowbits מתורגל באופן פעיל בכללי Suricata. כדי לעקוב אחר הטריגר, משתני הפעלה משמשים ליצירה והחלה של מונים ודגלים שונים. IDS רבים מתייחסים לחיבורי TCP שונים כאל ישויות נפרדות וייתכן שלא יראו קשר ביניהם המעיד על תחילתה של התקפה. Suricata מנסה לראות את כל התמונה ובמקרים רבים מזהה תעבורה זדונית המופצת על פני חיבורים שונים. אפשר לדבר על היתרונות שלו הרבה זמן, מוטב שנעבור להתקנה ותצורה.

כיצד להתקין?

נתקין את Suricata על שרת וירטואלי שמריץ אובונטו 18.04 LTS. יש לבצע את כל הפקודות בשם משתמש העל (שורש). האפשרות המאובטחת ביותר היא להכניס SSH לשרת כמשתמש רגיל ולאחר מכן להשתמש בכלי העזר sudo כדי להעלות הרשאות. ראשית עליך להתקין את החבילות שאנו צריכים:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

חיבור מאגר חיצוני:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

התקן את הגרסה היציבה האחרונה של Suricata:

sudo apt-get install suricata

במידת הצורך, ערוך את שם קבצי התצורה, תוך החלפת ברירת המחדל eth0 בשם האמיתי של הממשק החיצוני של השרת. הגדרות ברירת המחדל מאוחסנות בקובץ /etc/default/suricata, והגדרות מותאמות אישית מאוחסנות ב- /etc/suricata/suricata.yaml. הגדרת IDS מוגבלת בעיקר לעריכת קובץ תצורה זה. יש לו הרבה פרמטרים, לפי השם והמטרה, חופפים לאנלוגים של Snort. עם זאת, התחביר שונה למדי, אבל הקובץ הרבה יותר קל לקריאה מאשר תצורות Snort, והוא מקבל הערות טובות.

sudo nano /etc/default/suricata

и

sudo nano /etc/suricata/suricata.yaml

תשומת הלב! לפני שמתחילים, כדאי לבדוק את ערכי המשתנים מקטע vars.

כדי להשלים את ההגדרה, תצטרך להתקין את suricata-update כדי לעדכן ולטעון את הכללים. זה די קל לעשות את זה:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

לאחר מכן, עלינו להפעיל את הפקודה suricata-update כדי להתקין את ערכת הכללים של Emerging Threats Open:

sudo suricata-update

כדי להציג את רשימת מקורות הכללים, הפעל את הפקודה הבאה:

sudo suricata-update list-sources

עדכון מקורות כללים:

sudo suricata-update update-sources

ביקור חוזר במקורות מעודכנים:

sudo suricata-update list-sources

במידת הצורך, תוכל לכלול מקורות זמינים בחינם:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

לאחר מכן, עליך לעדכן שוב את הכללים:

sudo suricata-update

זה משלים את ההתקנה והתצורה הראשונית של Suricata באובונטו 18.04 LTS. ואז מתחיל הכיף: במאמר הבא נחבר שרת וירטואלי לרשת המשרדית באמצעות VPN ונתחיל לנתח את כל התעבורה הנכנסת והיוצאת. נקדיש תשומת לב מיוחדת לחסימת התקפות DDoS, פעילות תוכנות זדוניות וניסיונות לנצל נקודות תורפה בשירותים הנגישים מרשתות ציבוריות. לשם הבהירות, התקפות מהסוגים הנפוצים ביותר יחולו סימולציה.

מקור: www.habr.com