Snort 또는 Suricata. 2부: Suricata 설치 및 초기 설정

통계에 따르면 네트워크 트래픽의 양은 매년 약 50% 증가합니다. 이로 인해 장비의 부하가 증가하고 특히 IDS/IPS의 성능 요구 사항이 증가합니다. 값 비싼 특수 하드웨어를 구입할 수 있지만 오픈 소스 시스템 중 하나를 도입하는 저렴한 옵션이 있습니다. 많은 초보 관리자는 무료 IPS를 설치하고 구성하는 데 어려움을 겪습니다. Suricata의 경우 이것은 전적으로 사실이 아닙니다. 설치하고 몇 분 안에 일련의 무료 규칙으로 일반적인 공격을 격퇴할 수 있습니다.

Snort 또는 Suricata. 1부: 기업 네트워크 보호를 위한 무료 IDS/IPS 선택

또 다른 개방형 IPS가 필요한 이유는 무엇입니까?

오랫동안 표준으로 여겨져 온 Snort는 6년대 후반부터 개발되어 왔기 때문에 원래는 단일 스레드였습니다. 수년에 걸쳐 IPvXNUMX 지원, 애플리케이션 수준 프로토콜 분석 기능 또는 범용 데이터 액세스 모듈과 같은 모든 최신 기능이 등장했습니다.

핵심 Snort 2.X 엔진은 여러 코어로 작업하는 방법을 배웠지만 단일 스레드로 남아 있으므로 최신 하드웨어 플랫폼을 최적으로 활용할 수 없습니다.

문제는 시스템의 세 번째 버전에서 해결되었지만 처음부터 작성된 Suricata가 시장에 나올 수 있도록 준비하는 데 너무 오래 걸렸습니다. 2009년에 Snort의 멀티스레드 대안으로 정확하게 개발되기 시작했습니다. Snort는 즉시 사용 가능한 IPS 기능을 가지고 있습니다. 코드는 GPLv2 라이선스에 따라 배포되지만 프로젝트의 재무 파트너는 폐쇄된 버전의 엔진에 액세스할 수 있습니다. 일부 확장성 문제는 시스템의 첫 번째 버전에서 발생했지만 신속하게 해결되었습니다.

왜 수리카인가?

Suricata에는 캡처, 캡처, 디코딩, 감지 및 출력과 같은 여러 모듈(Snort와 유사)이 있습니다. 기본적으로 캡처된 트래픽은 하나의 스트림에서 디코딩되기 전에 이동하지만 시스템에 더 많은 부하를 줍니다. 필요한 경우 설정에서 스레드를 분할하고 프로세서 간에 배포할 수 있습니다. Suricata는 더 이상 초보자를 위한 HOWTO 수준은 아니지만 특정 하드웨어에 매우 잘 최적화되어 있습니다. Suricata가 HTP 라이브러리를 기반으로 하는 고급 HTTP 검사 도구를 가지고 있다는 점도 주목할 가치가 있습니다. 또한 감지하지 않고 트래픽을 기록하는 데 사용할 수도 있습니다. 또한 시스템은 IPv6-in-IPv4 터널, IPv6-in-IPv6 터널 등을 포함하여 IPv6 디코딩을 지원합니다.

다양한 인터페이스를 사용하여 트래픽(NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING)을 가로챌 수 있으며 Unix 소켓 모드에서는 다른 스니퍼가 캡처한 PCAP 파일을 자동으로 분석할 수 있습니다. 또한 Suricata의 모듈식 아키텍처를 사용하면 네트워크 패킷을 캡처, 디코딩, 구문 분석 및 처리하기 위해 새로운 요소를 쉽게 연결할 수 있습니다. Suricata에서는 운영 체제의 일반 필터를 통해 트래픽이 차단된다는 점에 유의하는 것도 중요합니다. GNU/Linux에는 IPS 작동 방식에 대한 두 가지 옵션이 있습니다. NFQUEUE 대기열(NFQ 모드) 및 제로 복사(AF_PACKET 모드)를 통해. 첫 번째 경우 iptables에 들어가는 패킷은 NFQUEUE 대기열로 보내지며 여기에서 사용자 수준에서 처리할 수 있습니다. Suricata는 자체 규칙에 따라 이를 실행하고 NF_ACCEPT, NF_DROP 및 NF_REPEAT의 세 가지 판정 중 하나를 발행합니다. 처음 두 개는 자명하지만 마지막은 패킷에 태그를 지정하고 현재 iptables 테이블의 맨 위로 보낼 수 있습니다. AF_PACKET 모드는 더 빠르지만 시스템에 여러 가지 제한 사항이 있습니다. 두 개의 네트워크 인터페이스가 있어야 하고 게이트웨이로 작동해야 합니다. 차단된 패킷은 단순히 두 번째 인터페이스로 전달되지 않습니다.

Suricata의 중요한 기능은 Snort 개발을 사용할 수 있다는 것입니다. 관리자는 특히 Sourcefire VRT 및 OpenSource Emerging Threats 규칙 세트와 상업용 Emerging Threats Pro에 액세스할 수 있습니다. 통합 출력은 널리 사용되는 백엔드를 사용하여 구문 분석할 수 있으며 PCAP 및 Syslog 출력도 지원됩니다. 시스템 설정 및 규칙은 읽기 쉽고 자동으로 처리될 수 있는 YAML 파일에 저장됩니다. Suricata 엔진은 많은 프로토콜을 인식하므로 규칙을 포트 번호에 연결할 필요가 없습니다. 또한 Suricata의 규칙에서도 Flowbits의 개념이 활발히 시행되고 있다. 트리거를 추적하기 위해 세션 변수를 사용하여 다양한 카운터와 플래그를 생성하고 적용합니다. 많은 IDS는 서로 다른 TCP 연결을 별도의 엔터티로 취급하며 공격 시작을 나타내는 이들 간의 연결을 보지 못할 수 있습니다. Suricata는 전체 그림을 보려고 시도하며 많은 경우 서로 다른 연결을 통해 분산된 악성 트래픽을 인식합니다. 오랫동안 그 장점에 대해 이야기할 수 있습니다. 설치 및 구성으로 이동하는 것이 좋습니다.

설치 방법?

Ubuntu 18.04 LTS를 실행하는 가상 서버에 Suricata를 설치할 것입니다. 모든 명령은 수퍼유저(루트)를 대신하여 실행해야 합니다. 가장 안전한 옵션은 일반 사용자로 서버에 SSH로 접속한 다음 sudo 유틸리티를 사용하여 권한을 높이는 것입니다. 먼저 필요한 패키지를 설치해야 합니다.

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

외부 저장소 연결:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

최신 안정 버전의 Suricata를 설치합니다.

sudo apt-get install suricata

필요한 경우 구성 파일 이름을 편집하여 기본 eth0을 서버 외부 인터페이스의 실제 이름으로 바꿉니다. 기본 설정은 /etc/default/suricata 파일에 저장되고 사용자 지정 설정은 /etc/suricata/suricata.yaml에 저장됩니다. IDS 구성은 대부분 이 구성 파일 편집으로 제한됩니다. 이름과 목적에 따라 Snort의 아날로그와 일치하는 많은 매개 변수가 있습니다. 그러나 구문은 완전히 다르지만 파일은 Snort 구성보다 훨씬 읽기 쉽고 주석이 잘 달려 있습니다.

sudo nano /etc/default/suricata

и

sudo nano /etc/suricata/suricata.yaml

주목! 시작하기 전에 vars 섹션에서 변수 값을 확인하는 것이 좋습니다.

설정을 완료하려면 suricata-update를 설치하여 규칙을 업데이트하고 로드해야 합니다. 이 작업은 매우 쉽습니다.

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

다음으로 suricata-update 명령을 실행하여 Emerging Threats Open 규칙 세트를 설치해야 합니다.

sudo suricata-update

규칙 소스 목록을 보려면 다음 명령을 실행하십시오.

sudo suricata-update list-sources

업데이트 규칙 소스:

sudo suricata-update update-sources

업데이트된 소스 재방문:

sudo suricata-update list-sources

필요한 경우 사용 가능한 무료 소스를 포함할 수 있습니다.

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

그런 다음 규칙을 다시 업데이트해야 합니다.

sudo suricata-update

이로써 Ubuntu 18.04 LTS에서 Suricata의 설치 및 초기 구성이 완료되었습니다. 그런 다음 재미가 시작됩니다. 다음 기사에서는 VPN을 통해 가상 서버를 사무실 네트워크에 연결하고 모든 수신 및 발신 트래픽 분석을 시작합니다. DDoS 공격, 맬웨어 활동 및 공용 네트워크에서 액세스할 수 있는 서비스의 취약점을 악용하려는 시도를 차단하는 데 특히 주의를 기울일 것입니다. 명확성을 위해 가장 일반적인 유형의 공격을 시뮬레이션합니다.

출처 : habr.com