სნორტი ან სურიკატა. ნაწილი 2: Suricata-ს ინსტალაცია და საწყისი დაყენება

სტატისტიკის მიხედვით, ქსელის ტრაფიკის მოცულობა ყოველწლიურად დაახლოებით 50%-ით იზრდება. ეს იწვევს აღჭურვილობის დატვირთვის ზრდას და, კერძოდ, ზრდის IDS / IPS-ის შესრულების მოთხოვნებს. შეგიძლიათ შეიძინოთ ძვირადღირებული სპეციალიზებული აპარატურა, მაგრამ არსებობს უფრო იაფი ვარიანტი - ერთ-ერთი ღია კოდის სისტემის დანერგვა. ბევრ ახალბედა ადმინისტრატორს უჭირს უფასო IPS-ის ინსტალაცია და კონფიგურაცია. Suricata-ს შემთხვევაში ეს მთლად ასე არ არის - შეგიძლიათ დააინსტალიროთ და დაიწყოთ ტიპიური თავდასხმების მოგერიება უფასო წესების კომპლექტით რამდენიმე წუთში.

სნორტი ან სურიკატა. ნაწილი 1: უფასო IDS/IPS-ის არჩევა თქვენი კორპორატიული ქსელის დასაცავად

რატომ გვჭირდება კიდევ ერთი ღია IPS?

დიდი ხნის განმავლობაში განიხილებოდა სტანდარტი, Snort შემუშავებული იყო ოთხმოცდაათიანი წლების ბოლოდან, ასე რომ, ის თავდაპირველად იყო ერთი ძაფიანი. წლების განმავლობაში მასში გამოჩნდა ყველა თანამედროვე ფუნქცია, როგორიცაა IPv6 მხარდაჭერა, აპლიკაციის დონის პროტოკოლების ანალიზის უნარი ან მონაცემთა უნივერსალური წვდომის მოდული.

core Snort 2.X ძრავმა ისწავლა რამდენიმე ბირთვთან მუშაობა, მაგრამ დარჩა ერთძაფი და, შესაბამისად, არ შეუძლია ოპტიმალურად ისარგებლოს თანამედროვე ტექნიკის პლატფორმებით.

პრობლემა მოგვარდა სისტემის მესამე ვერსიაში, მაგრამ მომზადებას იმდენი დრო დასჭირდა, რომ ნულიდან დაწერილმა Suricata-მ მოახერხა ბაზარზე გამოჩენა. 2009 წელს დაიწყო მისი შემუშავება ზუსტად, როგორც Snort-ის მრავალძაფიანი ალტერნატივა, რომელსაც აქვს IPS ფუნქციები ყუთიდან. კოდი განაწილებულია GPLv2 ლიცენზიით, მაგრამ პროექტის ფინანსურ პარტნიორებს აქვთ წვდომა ძრავის დახურულ ვერსიაზე. სისტემის პირველ ვერსიებში წარმოიშვა გარკვეული მასშტაბურობის პრობლემა, მაგრამ ისინი სწრაფად მოგვარდა.

რატომ სურიკა?

Suricata-ს აქვს რამდენიმე მოდული (Snort-ის მსგავსი): გადაღება, დაჭერა, გაშიფვრა, გამოვლენა და გამომავალი. ნაგულისხმევად, დაფიქსირებული ტრაფიკი გადის დეკოდირებამდე ერთ ნაკადში, თუმცა ეს უფრო იტვირთება სისტემას. საჭიროების შემთხვევაში, ძაფები შეიძლება დაიყოს პარამეტრებში და გადანაწილდეს პროცესორებს შორის - Suricata ძალიან კარგად არის ოპტიმიზირებული კონკრეტული ტექნიკისთვის, თუმცა ეს აღარ არის HOWTO დონე დამწყებთათვის. ასევე აღსანიშნავია, რომ Suricata-ს აქვს HTTP ინსპექტირების მოწინავე ინსტრუმენტები HTP ბიბლიოთეკის საფუძველზე. ისინი ასევე შეიძლება გამოყენებულ იქნას ტრაფიკის აღრიცხვისთვის გამოვლენის გარეშე. სისტემა ასევე მხარს უჭერს IPv6 დეკოდირებას, მათ შორის IPv4-in-IPv6 გვირაბებს, IPv6-in-IPv6 გვირაბებს და სხვა.

სხვადასხვა ინტერფეისი შეიძლება გამოყენებულ იქნას ტრაფიკის გადასაჭრელად (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ხოლო Unix Socket რეჟიმში, შეგიძლიათ ავტომატურად გაანალიზოთ PCAP ფაილები, რომლებიც გადაიღეს სხვა სნიფერის მიერ. გარდა ამისა, Suricata-ს მოდულარული არქიტექტურა აადვილებს ახალი ელემენტების შეერთებას ქსელის პაკეტების დასაჭერად, გაშიფვრად, ანალიზსა და დასამუშავებლად. ასევე მნიშვნელოვანია აღინიშნოს, რომ სურიკატაში მოძრაობა დაბლოკილია ოპერაციული სისტემის რეგულარული ფილტრის საშუალებით. GNU/Linux-ს აქვს ორი ვარიანტი, თუ როგორ მუშაობს IPS: NFQUEUE რიგის მეშვეობით (NFQ რეჟიმი) და ნულოვანი ასლის მეშვეობით (AF_PACKET რეჟიმი). პირველ შემთხვევაში, პაკეტი, რომელიც შედის iptables-ში, იგზავნება NFQUEUE რიგში, სადაც შესაძლებელია მისი დამუშავება მომხმარებლის დონეზე. Suricata მართავს მას საკუთარი წესების მიხედვით და გამოსცემს ერთ-ერთ ვერდიქტს სამიდან: NF_ACCEPT, NF_DROP და NF_REPEAT. პირველი ორი თავისთავად გასაგებია, ხოლო ბოლო საშუალებას აძლევს პაკეტებს მონიშნოს და გაიგზავნოს მიმდინარე iptables ცხრილის ზედა ნაწილში. AF_PACKET რეჟიმი უფრო სწრაფია, მაგრამ სისტემას აწესებს უამრავ შეზღუდვას: მას უნდა ჰქონდეს ორი ქსელის ინტერფეისი და იმუშაოს როგორც კარიბჭე. დაბლოკილი პაკეტი უბრალოდ არ გადაეგზავნება მეორე ინტერფეისს.

Suricata-ს მნიშვნელოვანი მახასიათებელია Snort-ისთვის განვითარებული მოვლენების გამოყენების შესაძლებლობა. ადმინისტრატორს აქვს წვდომა, კერძოდ, Sourcefire VRT და OpenSource Emerging Threats წესების კომპლექტებზე, ასევე კომერციულ Emerging Threats Pro-ზე. ერთიანი გამომავალი შეიძლება გაანალიზდეს პოპულარული backend-ების გამოყენებით, PCAP და Syslog გამომავალი ასევე მხარდაჭერილია. სისტემის პარამეტრები და წესები ინახება YAML ფაილებში, რომლებიც ადვილად იკითხება და შეიძლება ავტომატურად დამუშავდეს. Suricata ძრავა ცნობს ბევრ პროტოკოლს, ამიტომ წესები არ უნდა იყოს მიბმული პორტის ნომერზე. გარდა ამისა, ნაკადების კონცეფცია აქტიურად გამოიყენება Suricata-ს წესებში. ტრიგერის თვალყურის დევნებისთვის, სესიის ცვლადები გამოიყენება სხვადასხვა მრიცხველებისა და დროშების შესაქმნელად და გამოსაყენებლად. ბევრი IDS განიხილავს სხვადასხვა TCP კავშირებს, როგორც ცალკეულ ერთეულებს და შეიძლება ვერ დაინახოს მათ შორის კავშირი, რომელიც მიუთითებს თავდასხმის დაწყებაზე. Suricata ცდილობს დაინახოს მთელი სურათი და ხშირ შემთხვევაში ცნობს მავნე ტრაფიკს, რომელიც განაწილებულია სხვადასხვა კავშირებზე. მის უპირატესობებზე დიდხანს შეგიძლიათ ისაუბროთ, ჯობია გადავიდეთ ინსტალაციასა და კონფიგურაციაზე.

როგორ დააყენოთ?

ჩვენ დავაინსტალირებთ Suricata-ს ვირტუალურ სერვერზე, რომელიც მუშაობს Ubuntu 18.04 LTS-ზე. ყველა ბრძანება უნდა შესრულდეს სუპერმომხმარებლის (root) სახელით. ყველაზე უსაფრთხო ვარიანტია SSH სერვერზე, როგორც ჩვეულებრივ მომხმარებელს, და შემდეგ გამოიყენოთ sudo უტილიტა პრივილეგიების ასამაღლებლად. ჯერ უნდა დააინსტალიროთ ჩვენ გვჭირდება პაკეტები:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

გარე საცავთან დაკავშირება:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

დააინსტალირეთ Suricata-ს უახლესი სტაბილური ვერსია:

sudo apt-get install suricata

საჭიროების შემთხვევაში, შეცვალეთ კონფიგურაციის ფაილების სახელი, შეცვალეთ ნაგულისხმევი eth0 სერვერის გარე ინტერფეისის ნამდვილი სახელით. ნაგულისხმევი პარამეტრები ინახება /etc/default/suricata ფაილში, ხოლო მორგებული პარამეტრები ინახება /etc/suricata/suricata.yaml-ში. IDS-ის კონფიგურაცია ძირითადად შემოიფარგლება ამ კონფიგურაციის ფაილის რედაქტირებით. მას აქვს ბევრი პარამეტრი, რომლებიც სახელითა და მიზნებით ემთხვევა Snort-ის ანალოგებს. თუმცა, სინტაქსი საკმაოდ განსხვავებულია, მაგრამ ფაილის წაკითხვა ბევრად უფრო ადვილია, ვიდრე Snort-ის კონფიგურაცია და კარგად არის კომენტირებული.

sudo nano /etc/default/suricata

и

sudo nano /etc/suricata/suricata.yaml

ყურადღება! დაწყებამდე ღირს ცვლადების მნიშვნელობების შემოწმება vars განყოფილებიდან.

დაყენების დასასრულებლად, თქვენ უნდა დააინსტალიროთ suricata-განახლება წესების განახლებისა და ჩატვირთვისთვის. ამის გაკეთება საკმაოდ მარტივია:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

შემდეგი, ჩვენ უნდა შევასრულოთ suricata-update ბრძანება Emerging Threats Open წესების ნაკრების დასაყენებლად:

sudo suricata-update

წესების წყაროების სიის სანახავად, გაუშვით შემდეგი ბრძანება:

sudo suricata-update list-sources

განაახლეთ წესების წყაროები:

sudo suricata-update update-sources

განახლებული წყაროების გადახედვა:

sudo suricata-update list-sources

საჭიროების შემთხვევაში, შეგიძლიათ ჩართოთ ხელმისაწვდომი უფასო წყაროები:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

ამის შემდეგ, თქვენ კვლავ უნდა განაახლოთ წესები:

sudo suricata-update

ეს ასრულებს Suricata-ს ინსტალაციას და თავდაპირველ კონფიგურაციას Ubuntu 18.04 LTS-ში. შემდეგ იწყება გართობა: შემდეგ სტატიაში ჩვენ VPN-ის საშუალებით დავუკავშირებთ ვირტუალურ სერვერს საოფისე ქსელში და დავიწყებთ ყველა შემომავალი და გამავალი ტრაფიკის ანალიზს. ჩვენ განსაკუთრებულ ყურადღებას მივაქცევთ DDoS შეტევების დაბლოკვას, მავნე პროგრამების აქტივობას და საჯარო ქსელებიდან ხელმისაწვდომი სერვისებში დაუცველობის გამოყენების მცდელობებს. სიცხადისთვის, ყველაზე გავრცელებული ტიპის თავდასხმები იქნება სიმულირებული.

წყარო: www.habr.com