ಅಂಕಿಅಂಶಗಳ ಪ್ರಕಾರ, ನೆಟ್ವರ್ಕ್ ದಟ್ಟಣೆಯ ಪ್ರಮಾಣವು ಪ್ರತಿ ವರ್ಷ ಸುಮಾರು 50% ರಷ್ಟು ಹೆಚ್ಚಾಗುತ್ತದೆ. ಇದು ಸಲಕರಣೆಗಳ ಮೇಲಿನ ಹೊರೆ ಹೆಚ್ಚಳಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ ಮತ್ತು ನಿರ್ದಿಷ್ಟವಾಗಿ, IDS/IPS ನ ಕಾರ್ಯಕ್ಷಮತೆಯ ಅವಶ್ಯಕತೆಗಳನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ. ನೀವು ದುಬಾರಿ ವಿಶೇಷ ಯಂತ್ರಾಂಶವನ್ನು ಖರೀದಿಸಬಹುದು, ಆದರೆ ಅಗ್ಗದ ಆಯ್ಕೆ ಇದೆ - ತೆರೆದ ಮೂಲ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಒಂದನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು. ಉಚಿತ IPS ಅನ್ನು ಸ್ಥಾಪಿಸುವುದು ಮತ್ತು ಕಾನ್ಫಿಗರ್ ಮಾಡುವುದು ತುಂಬಾ ಕಷ್ಟ ಎಂದು ಅನೇಕ ಅನನುಭವಿ ನಿರ್ವಾಹಕರು ಭಾವಿಸುತ್ತಾರೆ. ಸುರಿಕಾಟಾದ ಸಂದರ್ಭದಲ್ಲಿ, ಇದು ಸಂಪೂರ್ಣವಾಗಿ ನಿಜವಲ್ಲ - ನೀವು ಅದನ್ನು ಸ್ಥಾಪಿಸಬಹುದು ಮತ್ತು ಕೆಲವು ನಿಮಿಷಗಳಲ್ಲಿ ಉಚಿತ ನಿಯಮಗಳ ಗುಂಪಿನೊಂದಿಗೆ ಪ್ರಮಾಣಿತ ದಾಳಿಯನ್ನು ಹಿಮ್ಮೆಟ್ಟಿಸಲು ಪ್ರಾರಂಭಿಸಬಹುದು.
ನಮಗೆ ಇನ್ನೊಂದು ತೆರೆದ IPS ಏಕೆ ಬೇಕು?
ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಎಂದು ದೀರ್ಘಕಾಲ ಪರಿಗಣಿಸಲಾಗಿದೆ, ತೊಂಬತ್ತರ ದಶಕದ ಉತ್ತರಾರ್ಧದಿಂದ ಸ್ನೋರ್ಟ್ ಅಭಿವೃದ್ಧಿಯಲ್ಲಿದೆ, ಆದ್ದರಿಂದ ಇದು ಮೂಲತಃ ಏಕ-ಥ್ರೆಡ್ ಆಗಿತ್ತು. ವರ್ಷಗಳಲ್ಲಿ, ಇದು IPv6 ಬೆಂಬಲ, ಅಪ್ಲಿಕೇಶನ್-ಮಟ್ಟದ ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಸಾಮರ್ಥ್ಯ ಅಥವಾ ಸಾರ್ವತ್ರಿಕ ಡೇಟಾ ಪ್ರವೇಶ ಮಾಡ್ಯೂಲ್ನಂತಹ ಎಲ್ಲಾ ಆಧುನಿಕ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಪಡೆದುಕೊಂಡಿದೆ.
ಮೂಲಭೂತ Snort 2.X ಎಂಜಿನ್ ಬಹು ಕೋರ್ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಕಲಿತಿದೆ, ಆದರೆ ಏಕ-ಥ್ರೆಡ್ ಆಗಿ ಉಳಿಯಿತು ಮತ್ತು ಆದ್ದರಿಂದ ಆಧುನಿಕ ಹಾರ್ಡ್ವೇರ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗಳ ಲಾಭವನ್ನು ಅತ್ಯುತ್ತಮವಾಗಿ ಪಡೆಯಲು ಸಾಧ್ಯವಿಲ್ಲ.
ಸಿಸ್ಟಮ್ನ ಮೂರನೇ ಆವೃತ್ತಿಯಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ, ಆದರೆ ಅದನ್ನು ತಯಾರಿಸಲು ಬಹಳ ಸಮಯ ತೆಗೆದುಕೊಂಡಿತು, ಮೊದಲಿನಿಂದ ಬರೆಯಲಾದ ಸುರಿಕಾಟಾ ಮಾರುಕಟ್ಟೆಯಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುವಲ್ಲಿ ಯಶಸ್ವಿಯಾಯಿತು. 2009 ರಲ್ಲಿ, ಇದು ಸ್ನೋರ್ಟ್ಗೆ ಬಹು-ಥ್ರೆಡ್ ಪರ್ಯಾಯವಾಗಿ ನಿಖರವಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಪ್ರಾರಂಭಿಸಿತು, ಇದು ಪೆಟ್ಟಿಗೆಯ ಹೊರಗೆ IPS ಕಾರ್ಯಗಳನ್ನು ಹೊಂದಿತ್ತು. ಕೋಡ್ ಅನ್ನು GPLv2 ಪರವಾನಗಿ ಅಡಿಯಲ್ಲಿ ವಿತರಿಸಲಾಗಿದೆ, ಆದರೆ ಯೋಜನೆಯ ಆರ್ಥಿಕ ಪಾಲುದಾರರು ಎಂಜಿನ್ನ ಮುಚ್ಚಿದ ಆವೃತ್ತಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುತ್ತಾರೆ. ಸಿಸ್ಟಂನ ಮೊದಲ ಆವೃತ್ತಿಗಳಲ್ಲಿ ಸ್ಕೇಲೆಬಿಲಿಟಿಯೊಂದಿಗಿನ ಕೆಲವು ಸಮಸ್ಯೆಗಳು ಹುಟ್ಟಿಕೊಂಡವು, ಆದರೆ ಅವುಗಳು ತಕ್ಕಮಟ್ಟಿಗೆ ತ್ವರಿತವಾಗಿ ಪರಿಹರಿಸಲ್ಪಟ್ಟವು.
ಏಕೆ ಸುರಿಕಾಟಾ?
Suricata ಹಲವಾರು ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಹೊಂದಿದೆ (Snort ನಂತಹ): ಕ್ಯಾಪ್ಚರ್, ಸ್ವಾಧೀನ, ಡಿಕೋಡಿಂಗ್, ಪತ್ತೆ ಮತ್ತು ಔಟ್ಪುಟ್. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಸೆರೆಹಿಡಿಯಲಾದ ದಟ್ಟಣೆಯು ಒಂದು ಥ್ರೆಡ್ನಲ್ಲಿ ಡಿಕೋಡಿಂಗ್ ಮಾಡುವ ಮೊದಲು ಹೋಗುತ್ತದೆ, ಆದರೂ ಇದು ಸಿಸ್ಟಮ್ ಅನ್ನು ಹೆಚ್ಚು ಲೋಡ್ ಮಾಡುತ್ತದೆ. ಅಗತ್ಯವಿದ್ದರೆ, ಥ್ರೆಡ್ಗಳನ್ನು ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ವಿಂಗಡಿಸಬಹುದು ಮತ್ತು ಪ್ರೊಸೆಸರ್ಗಳ ನಡುವೆ ವಿತರಿಸಬಹುದು - ನಿರ್ದಿಷ್ಟ ಯಂತ್ರಾಂಶಕ್ಕಾಗಿ ಸುರಿಕಾಟಾವನ್ನು ಉತ್ತಮವಾಗಿ ಹೊಂದುವಂತೆ ಮಾಡಲಾಗಿದೆ, ಆದರೂ ಇದು ಇನ್ನು ಮುಂದೆ ಆರಂಭಿಕರಿಗಾಗಿ HOWTO ಮಟ್ಟವಲ್ಲ. HTP ಲೈಬ್ರರಿಯನ್ನು ಆಧರಿಸಿ ಸುರಿಕಾಟಾ ಸುಧಾರಿತ HTTP ತಪಾಸಣೆ ಪರಿಕರಗಳನ್ನು ಹೊಂದಿದೆ ಎಂಬುದು ಗಮನಿಸಬೇಕಾದ ಸಂಗತಿ. ಪತ್ತೆಯಿಲ್ಲದೆ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಲಾಗ್ ಮಾಡಲು ಸಹ ಅವುಗಳನ್ನು ಬಳಸಬಹುದು. IPv6-in-IPv4, IPv6-in-IPv6 ಸುರಂಗಗಳು ಮತ್ತು ಇತರವುಗಳನ್ನು ಒಳಗೊಂಡಂತೆ IPv6 ಡಿಕೋಡಿಂಗ್ ಅನ್ನು ಸಹ ಸಿಸ್ಟಮ್ ಬೆಂಬಲಿಸುತ್ತದೆ.
ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ವಿಭಿನ್ನ ಇಂಟರ್ಫೇಸ್ಗಳನ್ನು ಬಳಸಬಹುದು (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ಮತ್ತು Unix ಸಾಕೆಟ್ ಮೋಡ್ನಲ್ಲಿ ನೀವು ಮತ್ತೊಂದು ಸ್ನಿಫರ್ನಿಂದ ಸೆರೆಹಿಡಿಯಲಾದ PCAP ಫೈಲ್ಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ವಿಶ್ಲೇಷಿಸಬಹುದು. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಸುರಿಕಾಟಾದ ಮಾಡ್ಯುಲರ್ ಆರ್ಕಿಟೆಕ್ಚರ್ ನೆಟ್ವರ್ಕ್ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಸೆರೆಹಿಡಿಯಲು, ಡಿಕೋಡ್ ಮಾಡಲು, ವಿಶ್ಲೇಷಿಸಲು ಮತ್ತು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಹೊಸ ಅಂಶಗಳನ್ನು ಸಂಪರ್ಕಿಸಲು ಸುಲಭಗೊಳಿಸುತ್ತದೆ. ಸುರಿಕಾಟಾದಲ್ಲಿ, ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ ಫಿಲ್ಟರ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಟ್ರಾಫಿಕ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ಗಮನಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ. GNU/Linux ನಲ್ಲಿ, IPS ಕಾರ್ಯಾಚರಣೆಗೆ ಎರಡು ಆಯ್ಕೆಗಳು ಲಭ್ಯವಿವೆ: NFQUEUE ಕ್ಯೂ (NFQ ಮೋಡ್) ಮತ್ತು ಶೂನ್ಯ ನಕಲು (AF_PACKET ಮೋಡ್) ಮೂಲಕ. ಮೊದಲ ಸಂದರ್ಭದಲ್ಲಿ, iptables ಅನ್ನು ನಮೂದಿಸುವ ಪ್ಯಾಕೆಟ್ ಅನ್ನು NFQUEUE ಕ್ಯೂಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ, ಅಲ್ಲಿ ಅದನ್ನು ಬಳಕೆದಾರರ ಮಟ್ಟದಲ್ಲಿ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಬಹುದು. Suricata ತನ್ನದೇ ಆದ ನಿಯಮಗಳ ಪ್ರಕಾರ ಇದನ್ನು ನಡೆಸುತ್ತದೆ ಮತ್ತು ಮೂರು ತೀರ್ಪುಗಳಲ್ಲಿ ಒಂದನ್ನು ನೀಡುತ್ತದೆ: NF_ACCEPT, NF_DROP ಮತ್ತು NF_REPEAT. ಮೊದಲ ಎರಡು ಸ್ವಯಂ ವಿವರಣಾತ್ಮಕವಾಗಿವೆ, ಆದರೆ ಕೊನೆಯದು ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಪ್ರಸ್ತುತ iptables ಟೇಬಲ್ನ ಪ್ರಾರಂಭಕ್ಕೆ ಕಳುಹಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. AF_PACKET ಮೋಡ್ ವೇಗವಾಗಿರುತ್ತದೆ, ಆದರೆ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಹಲವಾರು ನಿರ್ಬಂಧಗಳನ್ನು ಹೇರುತ್ತದೆ: ಇದು ಎರಡು ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ಗಳನ್ನು ಹೊಂದಿರಬೇಕು ಮತ್ತು ಗೇಟ್ವೇ ಆಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸಬೇಕು. ನಿರ್ಬಂಧಿಸಲಾದ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಎರಡನೇ ಇಂಟರ್ಫೇಸ್ಗೆ ಸರಳವಾಗಿ ಫಾರ್ವರ್ಡ್ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
ಸುರಿಕಾಟಾದ ಪ್ರಮುಖ ಲಕ್ಷಣವೆಂದರೆ ಗೊರಕೆಗಾಗಿ ಬೆಳವಣಿಗೆಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯ. ನಿರ್ವಾಹಕರು ನಿರ್ದಿಷ್ಟವಾಗಿ, ಸೋರ್ಸ್ಫೈರ್ ವಿಆರ್ಟಿ ಮತ್ತು ಓಪನ್ಸೋರ್ಸ್ ಎಮರ್ಜಿಂಗ್ ಥ್ರೆಟ್ಸ್ ನಿಯಮ ಸೆಟ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದಾರೆ, ಹಾಗೆಯೇ ವಾಣಿಜ್ಯ ಉದಯೋನ್ಮುಖ ಬೆದರಿಕೆಗಳ ಪ್ರೊ. ಜನಪ್ರಿಯ ಬ್ಯಾಕೆಂಡ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಏಕೀಕೃತ ಔಟ್ಪುಟ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಬಹುದು ಮತ್ತು PCAP ಮತ್ತು Syslog ಗೆ ಔಟ್ಪುಟ್ ಸಹ ಬೆಂಬಲಿತವಾಗಿದೆ. ಸಿಸ್ಟಮ್ ಸೆಟ್ಟಿಂಗ್ಗಳು ಮತ್ತು ನಿಯಮಗಳನ್ನು YAML ಫೈಲ್ಗಳಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ, ಇವುಗಳನ್ನು ಓದಲು ಸುಲಭ ಮತ್ತು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಬಹುದು. Suricata ಎಂಜಿನ್ ಅನೇಕ ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಗುರುತಿಸುತ್ತದೆ, ಆದ್ದರಿಂದ ನಿಯಮಗಳನ್ನು ಪೋರ್ಟ್ ಸಂಖ್ಯೆಗೆ ಜೋಡಿಸುವ ಅಗತ್ಯವಿಲ್ಲ. ಇದರ ಜೊತೆಗೆ, ಸುರಿಕಾಟಾ ನಿಯಮಗಳಲ್ಲಿ ಫ್ಲೋಬಿಟ್ಗಳ ಪರಿಕಲ್ಪನೆಯನ್ನು ಸಕ್ರಿಯವಾಗಿ ಅಭ್ಯಾಸ ಮಾಡಲಾಗುತ್ತದೆ. ಟ್ರಿಗ್ಗರಿಂಗ್ ಅನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಲು, ಸೆಷನ್ ವೇರಿಯಬಲ್ಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ವಿವಿಧ ಕೌಂಟರ್ಗಳು ಮತ್ತು ಫ್ಲ್ಯಾಗ್ಗಳನ್ನು ರಚಿಸಲು ಮತ್ತು ಅನ್ವಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಅನೇಕ IDSಗಳು ವಿಭಿನ್ನ TCP ಸಂಪರ್ಕಗಳನ್ನು ಪ್ರತ್ಯೇಕ ಘಟಕಗಳಾಗಿ ಪರಿಗಣಿಸುತ್ತವೆ ಮತ್ತು ದಾಳಿಯ ಪ್ರಾರಂಭವನ್ನು ಸೂಚಿಸಲು ಅವುಗಳ ನಡುವಿನ ಸಂಪರ್ಕವನ್ನು ನೋಡದೇ ಇರಬಹುದು. Suricata ಇಡೀ ಚಿತ್ರವನ್ನು ನೋಡಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ ಮತ್ತು ಅನೇಕ ಸಂದರ್ಭಗಳಲ್ಲಿ ವಿವಿಧ ಸಂಪರ್ಕಗಳಲ್ಲಿ ವಿತರಿಸಲಾದ ದುರುದ್ದೇಶಪೂರಿತ ಸಂಚಾರವನ್ನು ಗುರುತಿಸುತ್ತದೆ. ನಾವು ಅದರ ಅನುಕೂಲಗಳ ಬಗ್ಗೆ ದೀರ್ಘಕಾಲ ಮಾತನಾಡಬಹುದು; ನಾವು ಅನುಸ್ಥಾಪನೆ ಮತ್ತು ಸಂರಚನೆಗೆ ಹೋಗುವುದು ಉತ್ತಮ.
ಸ್ಥಾಪಿಸುವುದು ಹೇಗೆ?
Ubuntu 18.04 LTS ಚಾಲನೆಯಲ್ಲಿರುವ ವರ್ಚುವಲ್ ಸರ್ವರ್ನಲ್ಲಿ ನಾವು Suricata ಅನ್ನು ಸ್ಥಾಪಿಸುತ್ತೇವೆ. ಎಲ್ಲಾ ಆಜ್ಞೆಗಳನ್ನು ಸೂಪರ್ಯೂಸರ್ (ರೂಟ್) ಆಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಬೇಕು. ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಬಳಕೆದಾರರಂತೆ SSH ಮೂಲಕ ಸರ್ವರ್ಗೆ ಸಂಪರ್ಕಪಡಿಸುವುದು ಮತ್ತು ನಂತರ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಸುಡೋ ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸುವುದು ಅತ್ಯಂತ ಸುರಕ್ಷಿತ ಆಯ್ಕೆಯಾಗಿದೆ. ಮೊದಲು ನಾವು ಅಗತ್ಯವಿರುವ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸ್ಥಾಪಿಸಬೇಕಾಗಿದೆ:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsಬಾಹ್ಯ ರೆಪೊಸಿಟರಿಯನ್ನು ಸಂಪರ್ಕಿಸಲಾಗುತ್ತಿದೆ:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSuricata ನ ಇತ್ತೀಚಿನ ಸ್ಥಿರ ಆವೃತ್ತಿಯನ್ನು ಸ್ಥಾಪಿಸಿ:
sudo apt-get install suricataಅಗತ್ಯವಿದ್ದರೆ, ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ಗಳ ಹೆಸರನ್ನು ಸಂಪಾದಿಸಿ, ಡೀಫಾಲ್ಟ್ eth0 ಅನ್ನು ಸರ್ವರ್ನ ಬಾಹ್ಯ ಇಂಟರ್ಫೇಸ್ನ ನಿಜವಾದ ಹೆಸರಿನೊಂದಿಗೆ ಬದಲಿಸಿ. ಡೀಫಾಲ್ಟ್ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು /etc/default/suricata ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಕಸ್ಟಮ್ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು /etc/suricata/suricata.yaml ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ. IDS ಕಾನ್ಫಿಗರೇಶನ್ ಹೆಚ್ಚಾಗಿ ಈ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಸಂಪಾದಿಸಲು ಸೀಮಿತವಾಗಿದೆ. ಇದು ಅನೇಕ ನಿಯತಾಂಕಗಳನ್ನು ಹೊಂದಿದೆ, ಅದು ಹೆಸರು ಮತ್ತು ಉದ್ದೇಶದಲ್ಲಿ, ಸ್ನೋರ್ಟ್ನಿಂದ ಅವರ ಸಾದೃಶ್ಯಗಳೊಂದಿಗೆ ಹೊಂದಿಕೆಯಾಗುತ್ತದೆ. ಸಿಂಟ್ಯಾಕ್ಸ್ ಆದಾಗ್ಯೂ ಸಂಪೂರ್ಣವಾಗಿ ವಿಭಿನ್ನವಾಗಿದೆ, ಆದರೆ Snort configs ಗಿಂತ ಫೈಲ್ ಅನ್ನು ಓದುವುದು ತುಂಬಾ ಸುಲಭ, ಮತ್ತು ಅದನ್ನು ಚೆನ್ನಾಗಿ ಕಾಮೆಂಟ್ ಮಾಡಲಾಗಿದೆ.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
ಗಮನ! ಪ್ರಾರಂಭಿಸುವ ಮೊದಲು, ನೀವು ವರ್ಸ್ ವಿಭಾಗದಿಂದ ಅಸ್ಥಿರ ಮೌಲ್ಯಗಳನ್ನು ಪರಿಶೀಲಿಸಬೇಕು.
ಸೆಟಪ್ ಅನ್ನು ಪೂರ್ಣಗೊಳಿಸಲು, ನಿಯಮಗಳನ್ನು ನವೀಕರಿಸಲು ಮತ್ತು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ನೀವು suricata-update ಅನ್ನು ಸ್ಥಾಪಿಸಬೇಕಾಗುತ್ತದೆ. ಇದನ್ನು ಮಾಡಲು ತುಂಬಾ ಸುಲಭ:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateಮುಂದೆ ನಾವು ಎಮರ್ಜಿಂಗ್ ಥ್ರೆಟ್ಸ್ ಓಪನ್ ರೂಲ್ಸೆಟ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು suricata-update ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಬೇಕಾಗಿದೆ:
sudo suricata-update
ನಿಯಮ ಮೂಲಗಳ ಪಟ್ಟಿಯನ್ನು ವೀಕ್ಷಿಸಲು, ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಿ:
sudo suricata-update list-sources
ನಿಯಮದ ಮೂಲಗಳನ್ನು ನವೀಕರಿಸಿ:
sudo suricata-update update-sources
ನವೀಕರಿಸಿದ ಮೂಲಗಳನ್ನು ನಾವು ಮತ್ತೊಮ್ಮೆ ನೋಡುತ್ತೇವೆ:
sudo suricata-update list-sourcesಅಗತ್ಯವಿದ್ದರೆ, ನೀವು ಲಭ್ಯವಿರುವ ಉಚಿತ ಮೂಲಗಳನ್ನು ಸೇರಿಸಿಕೊಳ್ಳಬಹುದು:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistಇದರ ನಂತರ, ನೀವು ನಿಯಮಗಳನ್ನು ಮತ್ತೆ ನವೀಕರಿಸಬೇಕಾಗಿದೆ:
sudo suricata-updateಈ ಹಂತದಲ್ಲಿ, ಉಬುಂಟು 18.04 LTS ನಲ್ಲಿ ಸುರಿಕಾಟಾದ ಸ್ಥಾಪನೆ ಮತ್ತು ಆರಂಭಿಕ ಸಂರಚನೆಯನ್ನು ಪೂರ್ಣಗೊಳಿಸಲಾಗಿದೆ ಎಂದು ಪರಿಗಣಿಸಬಹುದು. ನಂತರ ವಿನೋದವು ಪ್ರಾರಂಭವಾಗುತ್ತದೆ: ಮುಂದಿನ ಲೇಖನದಲ್ಲಿ ನಾವು VPN ಮೂಲಕ ಕಚೇರಿ ನೆಟ್ವರ್ಕ್ಗೆ ವರ್ಚುವಲ್ ಸರ್ವರ್ ಅನ್ನು ಸಂಪರ್ಕಿಸುತ್ತೇವೆ ಮತ್ತು ಎಲ್ಲಾ ಒಳಬರುವ ಮತ್ತು ಹೊರಹೋಗುವ ದಟ್ಟಣೆಯನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ. DDoS ದಾಳಿಗಳು, ಮಾಲ್ವೇರ್ ಚಟುವಟಿಕೆ ಮತ್ತು ಸಾರ್ವಜನಿಕ ನೆಟ್ವರ್ಕ್ಗಳಿಂದ ಪ್ರವೇಶಿಸಬಹುದಾದ ಸೇವೆಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಪ್ರಯತ್ನಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ನಾವು ವಿಶೇಷ ಗಮನವನ್ನು ನೀಡುತ್ತೇವೆ. ಸ್ಪಷ್ಟತೆಗಾಗಿ, ಸಾಮಾನ್ಯ ರೀತಿಯ ದಾಳಿಗಳನ್ನು ಅನುಕರಿಸಲಾಗುತ್ತದೆ.
ಮೂಲ: www.habr.com