Li gorî statîstîkan, qebareya seyrûsefera torê her sal ji sedî 50 zêde dibe. Ev dibe sedema zêdebûna barkirina li ser amûrê û, bi taybetî, hewcedariyên performansê yên IDS / IPS zêde dike. Hûn dikarin hardware pisporê biha bikirin, lê vebijarkek erzantir heye - danasîna yek ji pergalên çavkaniya vekirî. Gelek rêveberên nûjen sazkirin û mîhengkirina IPS-ya belaş dijwar dibînin. Di doza Suricata de, ev bi tevahî ne rast e - hûn dikarin wê saz bikin û di nav çend hûrdeman de bi komek qaîdeyên belaş dest bi paşvexistina êrîşên tîpîk bikin.
Çima em hewceyê IPS-a vekirî ya din in?
Demek dirêj wekî standard tê hesibandin, Snort ji dawiya salên nodî ve di pêşkeftinê de ye, ji ber vê yekê ew di eslê xwe de yek-têlek bû. Bi salan, hemî taybetmendiyên nûjen tê de xuya bûne, wekî piştgiriya IPv6, şiyana analîzkirina protokolên asta serîlêdanê, an modulek gihîştina daneya gerdûnî.
Motora bingehîn Snort 2.X fêr bûye ku bi gelek navokan re bixebite, lê yek-têlek maye û ji ber vê yekê nikare bi rengek çêtirîn ji platformên hardware yên nûjen sûd werbigire.
Pirsgirêk di guhertoya sêyemîn a pergalê de hate çareser kirin, lê amadekirina wê ewqas dirêj girt ku Suricata, ji sifirê hatî nivîsandin, karibû ku li sûkê xuya bibe. Di sala 2009-an de, ew bi rastî wekî alternatîfek pir-mijarî ji Snort-ê re, ku fonksiyonên IPS-ê ji qutikê vedihewîne, dest pê kir. Kod di bin lîsansa GPLv2 de tê belav kirin, lê hevkarên darayî yên projeyê bigihîjin guhertoyek girtî ya motorê. Hin pirsgirêkên scalability di guhertoyên yekem ên pergalê de derketin, lê ew zû hatin çareser kirin.
Çima Surica?
Suricata çend modul hene (wek Snort): girtin, girtin, dekodkirin, tespîtkirin, û derketin. Ji hêla xwerû, seyrûsefera ku hatî girtin berî deşîfrekirinê di yek rêkê de diçe, her çend ev pergalê bêtir bar dike. Ger hewce be, mijar dikarin di mîhengan de werin dabeş kirin û di nav pêvajovan de bêne belav kirin - Suricata ji bo hardware taybetî pir xweş xweştir e, her çend ev êdî ji bo destpêkek ne astek HOWTO ye. Di heman demê de hêjayî gotinê ye ku Suricata li ser bingeha pirtûkxaneya HTP-ê amûrên vekolîna HTTP-ya pêşkeftî heye. Di heman demê de ew dikarin werin bikar anîn da ku seyrûsefera bêyî tespîtkirinê têkevin. Pergal di heman demê de dekodkirina IPv6 piştgirî dike, di nav de tunelên IPv4-li-IPv6, tunelên IPv6-di-IPv6, û hêj bêtir.
Têkiliyên cihêreng dikarin werin bikar anîn da ku seyrûseferê bigirin (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), û di moda Unix Socket de, hûn dikarin bixweber pelên PCAP-ê yên ku ji hêla snifferek din ve hatine girtin analîz bikin. Wekî din, mîmariya modular a Suricata girtina hêmanên nû hêsan dike da ku pakêtên torê bigire, dekod bike, parsek bike, û pêvajoyê bike. Di heman demê de girîng e ku were zanîn ku li Suricata, seyrûsefer bi fîlterek birêkûpêk a pergala xebitandinê tê asteng kirin. GNU/Linux ji bo ka IPS çawa dixebite du vebijark hene: bi riya rêza NFQUEUE (moda NFQ) û bi kopiyek sifir (moda AF_PACKET). Di rewşa yekem de, pakêta ku dikeve iptables tê şandin ji bo rêza NFQUEUE, ku li wir dikare di asta bikarhêner de were pêvajo kirin. Suricata wê li gorî qaîdeyên xwe dimeşîne û yek ji sê biryaran derdixe: NF_ACCEPT, NF_DROP û NF_REPEAT. Herduyên pêşîn bixwe-ravekirî ne, dema ku ya paşîn dihêle ku pakêt werin nîşankirin û şandina serê tabloya iptables ya heyî. Moda AF_PACKET bileztir e, lê ew hejmarek sînoran li ser pergalê ferz dike: pêdivî ye ku ew du navbeynkariya torê hebe û wekî dergehek bixebite. Pakêta astengkirî bi tenê ji navbeyna duyemîn re nayê şandin.
Taybetmendiyek girîng a Suricata şiyana karanîna pêşveçûnên ji bo Snort e. Rêvebir bi taybetî, xwedan rêzikên Sourcefire VRT û OpenSource Emerging Threats, û her weha bazirganî Emerging Threats Pro heye. Hilbera yekbûyî dikare bi karanîna paşnavên populer were pars kirin, derketina PCAP û Syslog jî tê piştgirî kirin. Mîheng û qaîdeyên pergalê di pelên YAML de têne hilanîn, ku xwendina wan hêsan in û dikarin bixweber werin hilanîn. Motora Suricata gelek protokolan nas dike, ji ber vê yekê qaîdeyên ne hewce ne ku bi hejmarek portê ve werin girêdan. Digel vê yekê, têgeha flowbits di qaîdeyên Suricata de bi rengek çalak tête pratîk kirin. Ji bo şopandina tetikê, guhêrbarên danişînê têne bikar anîn da ku hejmar û alên cihêreng çêbikin û bicîh bikin. Gelek IDS girêdanên TCP-ê yên cihêreng wekî saziyên cihêreng digirin û dibe ku têkiliyek di navbera wan de ku destpêka êrîşê destnîşan dike nebînin. Suricata hewl dide ku tevahî wêneyê bibîne û di pir rewşan de seyrûsefera xirab a ku li ser girêdanên cihêreng hatî belav kirin nas dike. Hûn dikarin ji bo demek dirêj qala avantajên wê bikin, çêtir e ku em derbasî sazkirin û veavakirinê bibin.
Meriv çawa saz dike?
Em ê Suricata-yê li ser serverek virtual ku Ubuntu 18.04 LTS dimeşîne saz bikin. Pêdivî ye ku hemî ferman li ser navê superbikarhêner (root) bêne darve kirin. Vebijarka herî ewledar ev e ku SSH wekî bikarhênerek normal bikeve nav serverê û dûv re karanîna sudo bikar bîne da ku îmtiyazan bilind bike. Pêşî hûn hewce ne ku pakêtên ku em hewce ne saz bikin:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsGirêdana depoyek derveyî:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateGuhertoya herî paşîn a Suricata saz bikin:
sudo apt-get install suricataGer hewce be, navê pelên mîhengê biguhezînin, eth0-ya xwerû bi navê rastîn ê navbeynkariya derveyî ya serverê veguherînin. Mîhengên xwerû di pelê /etc/default/suricata de, û mîhengên xwerû di /etc/suricata/suricata.yaml de têne hilanîn. Veavakirina IDS bi piranî bi guherandina vê pelê vesazkirinê ve sînorkirî ye. Gelek pîvanên wê hene ku, ji hêla nav û armancê ve, bi analogên ji Snort re hevaheng in. Lêbelê, hevoksazî bi tevahî cûda ye, lê xwendina pelê ji mîhengên Snort pir hêsantir e û baş tê şîrove kirin.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Baldarî! Berî ku dest pê bike, hêja ye ku nirxên guhêrbaran ji beşa vars kontrol bikin.
Ji bo temamkirina sazkirinê, hûn ê hewce bikin ku suricata-update saz bikin da ku qaîdeyan nûve bikin û bar bikin. Pir hêsan e ku meriv vê yekê bike:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateDûv re, em hewce ne ku emrê nûvekirina suricata-yê bimeşînin da ku sazûmana qaîdeya Vekirî ya Gefên Vekirî saz bikin:
sudo suricata-update
Ji bo dîtina navnîşa çavkaniyên qaîdeyê, emrê jêrîn bicîh bikin:
sudo suricata-update list-sources
Çavkaniyên qaîdeyê nûve bikin:
sudo suricata-update update-sources
Serdana çavkaniyên nûvekirî:
sudo suricata-update list-sourcesGer hewce be, hûn dikarin çavkaniyên belaş ên berdest tevbigerin:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistPiştî vê yekê, hûn hewce ne ku qaîdeyan dîsa nûve bikin:
sudo suricata-updateEv sazkirin û veavakirina destpêkê ya Suricata li Ubuntu 18.04 LTS temam dike. Dûv re kêf dest pê dike: di gotara din de, em ê serverek virtual bi tora nivîsgehê bi VPN ve girêbidin û dest bi analîzkirina hemî seyrûsefera hatin û derketinê bikin. Em ê girîngiyek taybetî bidin astengkirina êrîşên DDoS, çalakiya malware û hewildanên îstismarkirina qelsiyan di karûbarên ku ji torên gelemperî de têne gihîştin. Ji bo zelaliyê, êrîşên celebên herî gelemperî dê bêne simulasyon kirin.
Source: www.habr.com