Miturut statistik, volume lalu lintas jaringan mundhak udakara 50% saben taun. Iki ndadékaké kanggo Tambah ing mbukak ing peralatan lan, utamané, nambah syarat kinerja IDS / IPS. Sampeyan bisa tuku hardware khusus sing larang, nanging ana pilihan sing luwih murah - ngetrapake salah sawijining sistem sumber terbuka. Akeh administrator pemula mikir yen nginstal lan konfigurasi IPS gratis cukup angel. Ing kasus Suricata, iki ora sakabehe bener - sampeyan bisa nginstal lan miwiti ngusir serangan standar kanthi set aturan gratis sajrone sawetara menit.
Napa kita kudu mbukak IPS liyane?
Suwi dianggep standar, Snort wis dikembangake wiwit pungkasan taun nineties, mula asline nganggo benang tunggal. Swara taun, wis entuk kabeh fitur modern, kayata dhukungan IPv6, kemampuan kanggo nganalisa protokol tingkat aplikasi, utawa modul akses data universal.
Mesin Snort 2.X dhasar sinau kanggo nggarap pirang-pirang intine, nanging tetep nganggo benang siji lan mulane ora bisa nggunakake platform hardware modern kanthi optimal.
Masalah iki ditanggulangi ing versi katelu saka sistem, nanging njupuk supaya dawa kanggo nyiyapake sing Suricata, ditulis saka ngeruk, ngatur kanggo katon ing pasar. Ing 2009, wiwit dikembangake kanthi tepat minangka alternatif multi-threaded kanggo Snort, sing nduweni fungsi IPS metu saka kothak. Kode kasebut disebarake miturut lisensi GPLv2, nanging mitra finansial proyek kasebut duwe akses menyang versi mesin sing ditutup. Sawetara masalah karo skalabilitas muncul ing versi pisanan sistem, nanging padha ditanggulangi kanthi cepet.
Kenapa Suricata?
Suricata duwe sawetara modul (kaya Snort): dijupuk, akuisisi, dekoding, deteksi lan output. Kanthi gawan, lalu lintas sing dijupuk sadurunge dekoding ing siji utas, sanajan sistem iki luwih akeh. Yen perlu, benang bisa dipérang ing setelan lan disebarake ing antarane prosesor - Suricata dioptimalake kanthi apik kanggo hardware tartamtu, sanajan iki ora dadi level HOWTO kanggo pamula. Wigati uga yen Suricata duwe alat inspeksi HTTP sing luwih maju adhedhasar perpustakaan HTP. Padha uga bisa digunakake kanggo log lalu lintas tanpa deteksi. Sistem kasebut uga ndhukung dekoding IPv6, kalebu terowongan IPv4-in-IPv6, IPv6-in-IPv6 lan liya-liyane.
Antarmuka sing beda-beda bisa digunakake kanggo nyegat lalu lintas (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), lan ing mode Unix Socket sampeyan bisa kanthi otomatis njelasno file PCAP dijupuk dening sniffer liyane. Kajaba iku, arsitektur modular Suricata nggampangake nyambungake unsur-unsur anyar kanggo njupuk, decode, nganalisa lan ngolah paket jaringan. Sampeyan uga penting kanggo dicathet yen ing Suricata, lalu lintas diblokir nggunakake filter sistem operasi standar. Ing GNU/Linux, kasedhiya rong pilihan kanggo operasi IPS: liwat antrian NFQUEUE (mode NFQ) lan liwat salinan nol (mode AF_PACKET). Ing kasus sing sepisanan, paket sing mlebu iptables dikirim menyang antrian NFQUEUE, ing ngendi bisa diproses ing tingkat pangguna. Suricata mbukak miturut aturan dhewe lan ngetokake salah siji saka telung putusan: NF_ACCEPT, NF_DROP lan NF_REPEAT. Loro pisanan sing poto-panjelasan, nanging sing pungkasan ngijini sampeyan kanggo nandhani paket lan ngirim menyang awal tabel iptables saiki. Mode AF_PACKET luwih cepet, nanging nemtokke sawetara Watesan ing sistem: kudu loro antarmuka jaringan lan dianggo minangka gateway. Paket sing diblokir mung ora diterusake menyang antarmuka kapindho.
Fitur penting saka Suricata yaiku kemampuan kanggo nggunakake pangembangan kanggo Snort. Administrator nduweni akses menyang, utamane, aturan Sourcefire VRT lan OpenSource Emerging Threats, uga komersial Emerging Threats Pro. Output gabungan bisa dianalisis nggunakake backend populer, lan output menyang PCAP lan Syslog uga didhukung. Setelan lan aturan sistem disimpen ing file YAML, sing gampang diwaca lan bisa diproses kanthi otomatis. Mesin Suricata ngakoni akeh protokol, mula aturan kasebut ora perlu diikat menyang nomer port. Kajaba iku, konsep flowbits aktif ditindakake ing aturan Suricata. Kanggo nglacak pemicu, variabel sesi digunakake, sing ngidini sampeyan nggawe lan ngetrapake macem-macem counter lan panji. Akeh IDS sing nganggep sambungan TCP sing beda-beda minangka entitas sing kapisah lan bisa uga ora bisa ndeleng sambungan kasebut kanggo nuduhake wiwitan serangan. Suricata nyoba ndeleng kabeh gambar lan ing akeh kasus ngenali lalu lintas angkoro sing disebarake ing macem-macem sambungan. Kita bisa ngomong babagan kaluwihan kanggo wektu sing suwe; luwih becik pindhah menyang instalasi lan konfigurasi.
Kepiye nginstal?
Kita bakal nginstal Suricata ing server virtual sing nganggo Ubuntu 18.04 LTS. Kabeh printah kudu dieksekusi minangka superuser (root). Pilihan sing paling aman yaiku nyambung menyang server liwat SSH minangka pangguna standar, banjur gunakake sarana sudo kanggo nambah hak istimewa. Pisanan kita kudu nginstal paket sing dibutuhake:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsNyambungake repositori eksternal:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateInstal versi stabil paling anyar saka Suricata:
sudo apt-get install suricataYen perlu, sunting jeneng file konfigurasi, ngganti eth0 standar karo jeneng nyata antarmuka njaba server. Setelan gawan disimpen ing file /etc/default/suricata, lan setelan adat disimpen ing /etc/suricata/suricata.yaml. Konfigurasi IDS biasane diwatesi kanggo nyunting file konfigurasi iki. Wis akeh paramèter sing, ing jeneng lan tujuan, pas karo analog saka Snort. Sintaks Nanging temen beda, nanging file luwih gampang diwaca saka configs Snort, lan uga komentar.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
manungsa waé! Sadurunge miwiti, sampeyan kudu mriksa nilai variabel saka bagean vars.
Kanggo ngrampungake persiyapan, sampeyan kudu nginstal suricata-update kanggo nganyari lan ngundhuh aturan. Iku cukup gampang kanggo nindakake iki:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateSabanjure, kita kudu mbukak perintah suricata-update kanggo nginstal aturan Ancaman Muncul:
sudo suricata-update
Kanggo ndeleng dhaptar sumber aturan, jalanake printah ing ngisor iki:
sudo suricata-update list-sources
Nganyari sumber aturan:
sudo suricata-update update-sources
Kita ndeleng maneh sumber sing dianyari:
sudo suricata-update list-sourcesYen perlu, sampeyan bisa nyakup sumber gratis sing kasedhiya:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistSawise iki, sampeyan kudu nganyari aturan maneh:
sudo suricata-updateIng titik iki, instalasi lan konfigurasi awal Suricata ing Ubuntu 18.04 LTS bisa dianggep lengkap. Banjur kesenengan diwiwiti: ing artikel sabanjure kita bakal nyambungake server virtual menyang jaringan kantor liwat VPN lan miwiti nganalisa kabeh lalu lintas mlebu lan metu. Kita bakal menehi perhatian khusus kanggo mblokir serangan DDoS, aktivitas malware, lan upaya kanggo ngeksploitasi kerentanan ing layanan sing bisa diakses saka jaringan umum. Kanggo gamblang, serangan saka jinis paling umum bakal simulasi.
Source: www.habr.com