🥇 Snort ឬ Suricata ។ ផ្នែកទី 2: ការដំឡើងនិងការដំឡើងដំបូងនៃ Suricata

យោងតាមស្ថិតិបរិមាណនៃចរាចរបណ្តាញកើនឡើងប្រហែល 50% ជារៀងរាល់ឆ្នាំ។ នេះនាំឱ្យមានការកើនឡើងនៃបន្ទុកលើឧបករណ៍ ហើយជាពិសេស បង្កើនតម្រូវការប្រតិបត្តិការរបស់ IDS/IPS។ អ្នកអាចទិញផ្នែករឹងឯកទេសដែលមានតម្លៃថ្លៃ ប៉ុន្តែមានជម្រើសថោកជាង - ការអនុវត្តប្រព័ន្ធប្រភពបើកចំហមួយ។ អ្នកគ្រប់គ្រងថ្មីថ្មោងជាច្រើនគិតថាការដំឡើង និងកំណត់រចនាសម្ព័ន្ធ IPS ឥតគិតថ្លៃគឺពិបាកណាស់។ ក្នុងករណី Suricata នេះមិនមែនជាការពិតទាំងស្រុងនោះទេ - អ្នកអាចដំឡើងវា ហើយចាប់ផ្តើមវាយលុកការវាយប្រហារតាមស្តង់ដារជាមួយនឹងសំណុំនៃច្បាប់ឥតគិតថ្លៃក្នុងរយៈពេលពីរបីនាទី។

Snort ឬ Suricata ។ ផ្នែកទី 1៖ ការជ្រើសរើស IDS/IPS ដោយឥតគិតថ្លៃ ដើម្បីការពារបណ្តាញសាជីវកម្មរបស់អ្នក។

ហេតុអ្វីបានជាយើងត្រូវការ IPS បើកចំហមួយផ្សេងទៀត?

ដោយបានចាត់ទុកថាជាស្តង់ដារ Snort ត្រូវបានអភិវឌ្ឍតាំងពីចុងទសវត្សរ៍ទី 6 មកម៉្លេះ ដើមឡើយវាជាខ្សែតែមួយ។ ប៉ុន្មានឆ្នាំមកនេះ វាបានទទួលបានមុខងារទំនើបទាំងអស់ ដូចជាការគាំទ្រ IPvXNUMX សមត្ថភាពក្នុងការវិភាគពិធីការកម្រិតកម្មវិធី ឬម៉ូឌុលចូលប្រើទិន្នន័យជាសកល។

ម៉ាស៊ីន Snort 2.X ជាមូលដ្ឋានបានរៀនធ្វើការជាមួយស្នូលច្រើន ប៉ុន្តែនៅតែជាខ្សែតែមួយ ដូច្នេះហើយមិនអាចទាញយកប្រយោជន៍ពីវេទិកាផ្នែករឹងទំនើបបានល្អបំផុតនោះទេ។

បញ្ហាត្រូវបានដោះស្រាយនៅក្នុងកំណែទី 2009 នៃប្រព័ន្ធនេះ ប៉ុន្តែវាត្រូវចំណាយពេលយូរដើម្បីរៀបចំថា Suricata ដែលបានសរសេរពីដំបូងបានគ្រប់គ្រងដើម្បីបង្ហាញខ្លួននៅលើទីផ្សារ។ ក្នុងឆ្នាំ 2 វាបានចាប់ផ្តើមត្រូវបានបង្កើតឡើងយ៉ាងជាក់លាក់ជាជម្រើសពហុខ្សែទៅ Snort ដែលមានមុខងារ IPS ចេញពីប្រអប់។ លេខកូដនេះត្រូវបានចែកចាយក្រោមអាជ្ញាប័ណ្ណ GPLvXNUMX ប៉ុន្តែដៃគូហិរញ្ញវត្ថុរបស់គម្រោងមានសិទ្ធិចូលប្រើម៉ាស៊ីនកំណែបិទ។ បញ្ហាមួយចំនួនជាមួយនឹងការធ្វើមាត្រដ្ឋានបានកើតឡើងនៅក្នុងកំណែដំបូងនៃប្រព័ន្ធ ប៉ុន្តែពួកគេត្រូវបានដោះស្រាយយ៉ាងរហ័ស។

ហេតុអ្វី Suricata?

Suricata មានម៉ូឌុលជាច្រើន (ដូចជា Snort): ការចាប់យក ការទទួលបាន ការឌិកូដ ការរកឃើញ និងលទ្ធផល។ តាមលំនាំដើម ចរាចរណ៍ដែលបានចាប់យកទៅមុនការឌិកូដក្នុងខ្សែស្រឡាយមួយ ទោះបីជាវាផ្ទុកប្រព័ន្ធកាន់តែច្រើនក៏ដោយ។ បើចាំបាច់ ខ្សែស្រលាយអាចត្រូវបានបែងចែកនៅក្នុងការកំណត់ និងចែកចាយក្នុងចំណោម processors - Suricata ត្រូវបានធ្វើឱ្យប្រសើរឡើងយ៉ាងខ្លាំងសម្រាប់ផ្នែករឹងជាក់លាក់ ទោះបីជានេះមិនមែនជាកម្រិត HOWTO សម្រាប់អ្នកចាប់ផ្តើមដំបូងក៏ដោយ។ វាក៏គួរឱ្យកត់សម្គាល់ផងដែរថា Suricata មានឧបករណ៍ត្រួតពិនិត្យ HTTP កម្រិតខ្ពស់ដោយផ្អែកលើបណ្ណាល័យ HTP ។ ពួកគេក៏អាចត្រូវបានប្រើដើម្បីកត់ត្រាចរាចរណ៍ដោយមិនមានការរកឃើញ។ ប្រព័ន្ធនេះក៏គាំទ្រការឌិកូដ IPv6 ផងដែរ រួមទាំង IPv4-in-IPv6, IPv6-in-IPv6 ផ្លូវរូងក្រោមដី និងផ្សេងៗទៀត។

ចំណុចប្រទាក់ផ្សេងគ្នាអាចត្រូវបានប្រើដើម្បីស្ទាក់ចាប់ចរាចរណ៍ (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) ហើយនៅក្នុងរបៀប Unix Socket អ្នកអាចវិភាគឯកសារ PCAP ដោយស្វ័យប្រវត្តិដែលចាប់យកដោយអ្នក sniffer ផ្សេងទៀត។ លើសពីនេះទៀត ស្ថាបត្យកម្មម៉ូឌុលរបស់ Suricata ធ្វើឱ្យវាងាយស្រួលក្នុងការភ្ជាប់ធាតុថ្មីដើម្បីចាប់យក ឌិកូដ វិភាគ និងដំណើរការកញ្ចប់បណ្តាញ។ វាក៏សំខាន់ផងដែរក្នុងការកត់សម្គាល់ថានៅក្នុង Suricata ចរាចរណ៍ត្រូវបានរារាំងដោយប្រើតម្រងប្រព័ន្ធប្រតិបត្តិការស្តង់ដារ។ នៅក្នុង GNU/Linux ជម្រើសពីរសម្រាប់ប្រតិបត្តិការ IPS មាន៖ តាមរយៈជួរ NFQUEUE (របៀប NFQ) និងតាមរយៈសូន្យចម្លង (របៀប AF_PACKET)។ ក្នុងករណីដំបូង កញ្ចប់ព័ត៌មានដែលបញ្ចូល iptables ត្រូវបានបញ្ជូនទៅជួរ NFQUEUE ដែលវាអាចត្រូវបានដំណើរការនៅកម្រិតអ្នកប្រើប្រាស់។ Suricata ដំណើរការវាយោងទៅតាមច្បាប់របស់វា ហើយចេញសាលក្រមមួយក្នុងចំណោមសាលក្រមទាំងបី៖ NF_ACCEPT, NF_DROP និង NF_REPEAT ។ ពីរដំបូងគឺពន្យល់ដោយខ្លួនឯង ប៉ុន្តែចុងក្រោយអនុញ្ញាតឱ្យអ្នកសម្គាល់កញ្ចប់ព័ត៌មាន ហើយផ្ញើវាទៅដើមតារាង iptables បច្ចុប្បន្ន។ របៀប AF_PACKET លឿនជាងមុន ប៉ុន្តែដាក់កម្រិតមួយចំនួនលើប្រព័ន្ធ៖ វាត្រូវតែមានចំណុចប្រទាក់បណ្តាញពីរ ហើយដំណើរការជាច្រកចេញចូល។ កញ្ចប់ព័ត៌មានដែលត្រូវបានរារាំងគឺមិនអាចបញ្ជូនបន្តទៅចំណុចប្រទាក់ទីពីរទេ។

មុខងារសំខាន់របស់ Suricata គឺសមត្ថភាពក្នុងការប្រើប្រាស់ការអភិវឌ្ឍន៍សម្រាប់ Snort ។ អ្នកគ្រប់គ្រងមានសិទ្ធិចូលប្រើជាពិសេស Sourcefire VRT និង OpenSource Emerging Threats rules ក៏ដូចជាពាណិជ្ជកម្ម Emerging Threats Pro ។ លទ្ធផលបង្រួបបង្រួមអាចត្រូវបានវិភាគដោយប្រើកម្មវិធីខាងក្រោយដ៏ពេញនិយម ហើយលទ្ធផលទៅកាន់ PCAP និង Syslog ក៏ត្រូវបានគាំទ្រផងដែរ។ ការកំណត់ប្រព័ន្ធ និងច្បាប់ត្រូវបានរក្សាទុកក្នុងឯកសារ YAML ដែលងាយស្រួលអាន និងអាចដំណើរការដោយស្វ័យប្រវត្តិ។ ម៉ាស៊ីន Suricata ទទួលស្គាល់ពិធីការជាច្រើន ដូច្នេះក្បួនមិនចាំបាច់ត្រូវបានចងជាមួយលេខច្រកទេ។ លើសពីនេះ គំនិតនៃលំហូរប៊ីតត្រូវបានអនុវត្តយ៉ាងសកម្មនៅក្នុងច្បាប់ Suricata ។ ដើម្បីតាមដានការកេះ អថេរសម័យត្រូវបានប្រើ ដែលអនុញ្ញាតឱ្យអ្នកបង្កើត និងអនុវត្តការរាប់ និងទង់ផ្សេងៗ។ IDS ជាច្រើនចាត់ទុកការភ្ជាប់ TCP ផ្សេងគ្នាជាអង្គភាពដាច់ដោយឡែក ហើយប្រហែលជាមិនឃើញការតភ្ជាប់រវាងពួកវាដើម្បីបង្ហាញពីការចាប់ផ្តើមនៃការវាយប្រហារនោះទេ។ Suricata ព្យាយាមមើលរូបភាពទាំងមូល ហើយក្នុងករណីជាច្រើនទទួលស្គាល់ចរាចរព្យាបាទដែលចែកចាយតាមការតភ្ជាប់ផ្សេងៗគ្នា។ យើងអាចនិយាយអំពីគុណសម្បត្តិរបស់វាជាយូរមកហើយ យើងចង់បន្តទៅការដំឡើងនិងការកំណត់រចនាសម្ព័ន្ធកាន់តែប្រសើរ។

របៀបតំឡើង?

យើងនឹងដំឡើង Suricata នៅលើម៉ាស៊ីនមេនិម្មិតដែលកំពុងដំណើរការ Ubuntu 18.04 LTS ។ ពាក្យបញ្ជាទាំងអស់ត្រូវតែប្រតិបត្តិជា superuser (root) ។ ជម្រើសសុវត្ថិភាពបំផុតគឺត្រូវភ្ជាប់ទៅម៉ាស៊ីនមេតាមរយៈ SSH ជាអ្នកប្រើប្រាស់ស្តង់ដារ ហើយបន្ទាប់មកប្រើឧបករណ៍ប្រើប្រាស់ sudo ដើម្បីបង្កើនសិទ្ធិ។ ដំបូងយើងត្រូវដំឡើងកញ្ចប់ដែលយើងត្រូវការ៖

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

ការភ្ជាប់ឃ្លាំងខាងក្រៅ៖

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

ដំឡើងកំណែចុងក្រោយបំផុតរបស់ Suricata ដែលមានស្ថេរភាព៖

sudo apt-get install suricata

បើចាំបាច់ កែសម្រួលឈ្មោះឯកសារកំណត់រចនាសម្ព័ន្ធ ដោយជំនួស eth0 លំនាំដើមជាមួយនឹងឈ្មោះពិតនៃចំណុចប្រទាក់ខាងក្រៅរបស់ម៉ាស៊ីនមេ។ ការកំណត់លំនាំដើមត្រូវបានរក្សាទុកក្នុងឯកសារ /etc/default/suricata ហើយការកំណត់ផ្ទាល់ខ្លួនត្រូវបានរក្សាទុកក្នុង /etc/suricata/suricata.yaml។ ការកំណត់រចនាសម្ព័ន្ធ IDS ភាគច្រើនត្រូវបានកំណត់ចំពោះការកែសម្រួលឯកសារកំណត់រចនាសម្ព័ន្ធនេះ។ វាមានប៉ារ៉ាម៉ែត្រជាច្រើនដែលតាមឈ្មោះនិងគោលបំណងស្របគ្នាជាមួយនឹង analogues របស់ពួកគេពី Snort ។ ទោះបីជាយ៉ាងណាក៏ដោយ វាក្យសម្ព័ន្ធគឺខុសគ្នាទាំងស្រុង ប៉ុន្តែឯកសារគឺងាយស្រួលអានជាង Snort configs ហើយវាក៏ត្រូវបានផ្តល់យោបល់យ៉ាងល្អផងដែរ។

sudo nano /etc/default/suricata

sudo nano /etc/suricata/suricata.yaml

យកចិត្តទុកដាក់! មុនពេលចាប់ផ្តើមអ្នកគួរតែពិនិត្យមើលតម្លៃនៃអថេរពីផ្នែក vars ។

ដើម្បីបញ្ចប់ការដំឡើង អ្នកនឹងត្រូវដំឡើង suricata-update ដើម្បីធ្វើបច្ចុប្បន្នភាព និងទាញយកច្បាប់។ វាងាយស្រួលណាស់ក្នុងការធ្វើដូចនេះ៖

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

បន្ទាប់យើងត្រូវដំណើរការពាក្យបញ្ជា suricata-update ដើម្បីដំឡើងសំណុំច្បាប់ Emerging Threats Open៖

sudo suricata-update

ដើម្បីមើលបញ្ជីប្រភពច្បាប់ សូមដំណើរការពាក្យបញ្ជាខាងក្រោម៖

sudo suricata-update list-sources

ធ្វើបច្ចុប្បន្នភាពប្រភពច្បាប់៖

sudo suricata-update update-sources

យើងក្រឡេកមើលប្រភពថ្មីម្តងទៀត៖

sudo suricata-update list-sources

បើចាំបាច់ អ្នកអាចរួមបញ្ចូលប្រភពឥតគិតថ្លៃដែលមាន៖

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

បន្ទាប់ពីនេះ អ្នកត្រូវធ្វើបច្ចុប្បន្នភាពច្បាប់ម្តងទៀត៖

sudo suricata-update

នៅចំណុចនេះ ការដំឡើង និងការកំណត់ដំបូងនៃ Suricata នៅក្នុង Ubuntu 18.04 LTS អាចត្រូវបានចាត់ទុកថាពេញលេញ។ បន្ទាប់មកភាពសប្បាយរីករាយចាប់ផ្តើម៖ នៅក្នុងអត្ថបទបន្ទាប់យើងនឹងភ្ជាប់ម៉ាស៊ីនមេនិម្មិតទៅបណ្តាញការិយាល័យតាមរយៈ VPN ហើយចាប់ផ្តើមវិភាគចរាចរណ៍ចូល និងចេញទាំងអស់។ យើងនឹងយកចិត្តទុកដាក់ជាពិសេសចំពោះការទប់ស្កាត់ការវាយប្រហារ DDoS សកម្មភាពមេរោគ និងការព្យាយាមទាញយកភាពងាយរងគ្រោះនៅក្នុងសេវាកម្មដែលអាចចូលប្រើបានពីបណ្តាញសាធារណៈ។ សម្រាប់ភាពច្បាស់លាស់ ការវាយប្រហារនៃប្រភេទទូទៅបំផុតនឹងត្រូវបានក្លែងធ្វើ។

ប្រភព: www.habr.com

Snort ឬ Suricata ។ ផ្នែកទី 2: ការដំឡើង និងការដំឡើងដំបូងនៃ Suricata

ហេតុអ្វីបានជាយើងត្រូវការ IPS បើកចំហមួយផ្សេងទៀត?

ហេតុអ្វី Suricata?

របៀបតំឡើង?

បន្ថែមមតិយោបល់ ответОтменить