スノートまたはスリカタ。 パート 2: Suricata のインストールと初期設定

統計によると、ネットワーク トラフィックの量は毎年約 50% 増加しています。 これは機器の負荷の増加につながり、特に IDS / IPS のパフォーマンス要件が増加します。 高価な専用ハードウェアを購入することもできますが、オープンソース システムの XNUMX つを導入するという、より安価なオプションもあります。 初心者の管理者の多くは、無料の IPS をインストールして構成するのが難しいと感じています。 Suricata の場合、これは完全に真実ではありません。インストールすると、数分で一連の無料ルールを使用して典型的な攻撃の撃退を開始できます。

スノートまたはスリカタ。 パート 1: 企業ネットワークを保護するために無料の IDS/IPS を選択する

なぜ別のオープン IPS が必要なのでしょうか?

Snort は長い間標準と考えられていましたが、6 年代後半から開発されてきたため、当初はシングルスレッドでした。 長年にわたり、IPvXNUMX サポート、アプリケーション レベルのプロトコルを分析する機能、ユニバーサル データ アクセス モジュールなどの最新の機能がすべて登場してきました。

コアの Snort 2.X エンジンは、複数のコアで動作することを学習しましたが、シングルスレッドのままであるため、最新のハードウェア プラットフォームを最適に活用できません。

この問題はシステムの 2009 番目のバージョンで解決されましたが、準備に非常に時間がかかり、最初から作成された Suricata がなんとか市場に登場することができました。 2 年に、すぐに使える IPS 機能を備えた Snort のマルチスレッド代替手段として開発が始まりました。 コードは GPLvXNUMX ライセンスに基づいて配布されますが、プロジェクトの財務パートナーはエンジンのクローズド バージョンにアクセスできます。 システムの最初のバージョンではスケーラビリティの問題がいくつか発生しましたが、すぐに解決されました。

なぜスリカなのか？

Suricata には、キャプチャ、キャプチャ、デコード、検出、出力といういくつかのモジュール (Snort と同様) があります。 デフォルトでは、キャプチャされたトラフィックは 6 つのストリームでデコードされる前に処理されますが、これによりシステムの負荷が増加します。 必要に応じて、設定でスレッドを分割し、プロセッサ間で分散することができます。Suricata は特定のハードウェアに対して非常によく最適化されていますが、これはもはや初心者向けの HOWTO レベルではありません。 Suricata には、HTP ライブラリに基づいた高度な HTTP 検査ツールがあることも注目に値します。 また、検出せずにトラフィックをログに記録するために使用することもできます。 このシステムは、IPv4-in-IPv6 トンネル、IPv6-in-IPv6 トンネルなどを含む IPvXNUMX デコードもサポートしています。

さまざまなインターフェイス (NFQueue、IPFRing、LibPcap、IPFW、AF_PACKET、PF_RING) をインターセプトするために使用でき、Unix ソケット モードでは、別のスニファーによってキャプチャされた PCAP ファイルを自動的に分析できます。 さらに、Suricata のモジュラー アーキテクチャにより、ネットワーク パケットをキャプチャ、デコード、解析、処理するための新しい要素を簡単にプラグインできます。 Suricata では、トラフィックはオペレーティング システムの通常のフィルターによってブロックされることに注意することも重要です。 GNU/Linux には、IPS の動作方法として、NFQUEUE キュー経由 (NFQ モード) とゼロ コピー経由 (AF_PACKET モード) の XNUMX つのオプションがあります。 最初のケースでは、iptables に入るパケットは NFQUEUE キューに送信され、そこでユーザー レベルで処理できます。 Suricata は独自のルールに従って実行し、NF_ACCEPT、NF_DROP、NF_REPEAT の XNUMX つの判定のいずれかを発行します。 最初の XNUMX つは一目瞭然ですが、最後のものではパケットにタグを付けて現在の iptables テーブルの先頭に送信できます。 AF_PACKET モードは高速ですが、システムに多くの制限が課せられます。つまり、XNUMX つのネットワーク インターフェイスが必要で、ゲートウェイとして機能する必要があります。 ブロックされたパケットは、単に XNUMX 番目のインターフェイスに転送されません。

Suricata の重要な機能は、Snort 用に開発されたものを使用できることです。 管理者は、特に、Sourcefire VRT および OpenSource Emerging Threats ルール セット、および商用 Emerging Threats Pro にアクセスできます。 統合された出力は一般的なバックエンドを使用して解析でき、PCAP および Syslog 出力もサポートされています。 システム設定とルールは YAML ファイルに保存され、読みやすく、自動的に処理できます。 Suricata エンジンは多くのプロトコルを認識するため、ルールをポート番号に結び付ける必要はありません。 さらに、フロービットの概念は Suricata のルールで積極的に実践されています。 トリガーを追跡するには、セッション変数を使用してさまざまなカウンターとフラグを作成および適用します。 多くの IDS は、異なる TCP 接続を別個のエンティティとして扱い、攻撃の開始を示すそれらの間の接続を認識できない場合があります。 Suricata は全体像を把握しようとし、多くの場合、さまざまな接続に分散された悪意のあるトラフィックを認識します。 その利点については長く話すことができますが、インストールと構成に移ったほうがよいでしょう。

インストールするには？

Ubuntu 18.04 LTS を実行している仮想サーバーに Suricata をインストールします。 すべてのコマンドはスーパーユーザー (root) の代わりに実行する必要があります。 最も安全なオプションは、通常のユーザーとしてサーバーに SSH 接続し、sudo ユーティリティを使用して権限を昇格することです。 まず、必要なパッケージをインストールする必要があります。

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

外部リポジトリに接続する:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

Suricata の最新の安定バージョンをインストールします。

sudo apt-get install suricata

必要に応じて、設定ファイル名を編集し、デフォルトの eth0 をサーバーの外部インターフェイスの実際の名前に置き換えます。 デフォルト設定は /etc/default/suricata ファイルに保存され、カスタム設定は /etc/suricata/suricata.yaml に保存されます。 IDS の構成は、ほとんどがこの構成ファイルの編集に限定されます。 これには、名前と目的が Snort の類似物と一致する多くのパラメータがあります。 ただし、構文はまったく異なりますが、このファイルは Snort 構成よりもはるかに読みやすく、コメントも充実しています。

sudo nano /etc/default/suricata

и

sudo nano /etc/suricata/suricata.yaml

注意！ 開始する前に、vars セクションの変数の値を確認する価値があります。

セットアップを完了するには、suricata-update をインストールしてルールを更新してロードする必要があります。 これを行うのは非常に簡単です。

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

次に、suricata-update コマンドを実行して、Emerging Threats Open ルール セットをインストールする必要があります。

sudo suricata-update

ルール ソースのリストを表示するには、次のコマンドを実行します。

sudo suricata-update list-sources

ルールソースを更新します。

sudo suricata-update update-sources

更新されたソースを再確認します。

sudo suricata-update list-sources

必要に応じて、利用可能な無料のソースを含めることができます。

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

その後、ルールを再度更新する必要があります。

sudo suricata-update

これで、Ubuntu 18.04 LTS での Suricata のインストールと初期設定が完了しました。 それから楽しいことが始まります。次の記事では、VPN 経由で仮想サーバーをオフィス ネットワークに接続し、すべての送受信トラフィックの分析を開始します。 当社は、DDoS 攻撃、マルウェア活動、およびパブリック ネットワークからアクセス可能なサービスの脆弱性を悪用する試みのブロックに特に注意を払います。 明確にするために、最も一般的なタイプの攻撃がシミュレートされます。

出所： habr.com