Статистикалык маалыматтарга ылайык, тармактык трафиктин көлөмү жыл сайын болжол менен 50% га өсөт. Бул жабдуулардын жүгүн көбөйтүүгө алып келет жана, атап айтканда, IDS / IPS аткаруу талаптарын жогорулатат. Сиз кымбат адистештирилген жабдыктарды сатып алсаңыз болот, бирок арзаныраак вариант бар - ачык булактуу системалардын бирин киргизүү. Көптөгөн башталгыч администраторлор бекер IPSти орнотуу жана конфигурациялоо кыйынга турат. Suricata учурда, бул таптакыр туура эмес - сиз аны орнотуп, бир нече мүнөттүн ичинде эркин эрежелердин жыйындысы менен типтүү чабуулдарды кайтара баштасаңыз болот.
Эмне үчүн бизге дагы бир ачык IPS керек?
Көптөн бери стандарт катары эсептелген Snort токсонунчу жылдардын аягында иштелип чыккан, ошондуктан алгач бир жиптүү болгон. Жылдар бою анда бардык заманбап функциялар пайда болду, мисалы, IPv6 колдоосу, колдонмо деңгээлиндеги протоколдорду талдоо мүмкүнчүлүгү же универсалдуу маалыматтарга кирүү модулу.
Негизги Snort 2.X кыймылдаткычы бир нече өзөктөр менен иштөөнү үйрөндү, бирок бир жиптүү бойдон калды, ошондуктан заманбап аппараттык платформалардын артыкчылыктарын оптималдуу пайдалана албайт.
Көйгөй системанын үчүнчү версиясында чечилген, бирок нөлдөн баштап жазылган Suricata рыногунда пайда болгонго даярдоо үчүн ушунчалык көп убакыт талап кылынган. 2009-жылы, ал Snort үчүн көп жиптүү альтернатива катары так иштелип чыга баштаган, ал кутудан тышкары IPS функциялары бар. Код GPLv2 лицензиясы боюнча бөлүштүрүлөт, бирок долбоордун каржылык өнөктөштөрү кыймылдаткычтын жабык версиясына кирүү мүмкүнчүлүгүнө ээ. Кээ бир масштабдуу көйгөйлөр системанын биринчи версияларында пайда болгон, бирок алар тез арада чечилген.
Эмне үчүн Сурика?
Suricata бир нече модулдары бар (Snort окшош): тартуу, басып алуу, декоддоо, аныктоо жана чыгаруу. Демейки боюнча, алынган трафик бир агымда декоддоодон мурун кетет, бирок бул системаны көбүрөөк жүктөйт. Зарыл болсо, жиптерди жөндөөлөргө бөлүп, процессорлор арасында бөлүштүрсө болот - Suricata белгилүү бир жабдыктар үчүн абдан жакшы оптималдаштырылган, бирок бул жаңы баштагандар үчүн HOWTO деңгээли эмес. Ошондой эле Suricata HTP китепканасынын негизинде өнүккөн HTTP текшерүү куралдары бар экенин белгилей кетүү керек. Алар ошондой эле трафикти аныктоосуз каттоо үчүн колдонулушу мүмкүн. Система ошондой эле IPv6 декоддоосун колдойт, анын ичинде IPv4-in-IPv6 туннелдери, IPv6-in-IPv6 туннелдери жана башкалар.
Ар кандай интерфейстер трафикти (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) кармоо үчүн колдонулушу мүмкүн жана Unix Socket режиминде сиз башка sniffer тарабынан алынган PCAP файлдарын автоматтык түрдө талдай аласыз. Мындан тышкары, Сурикатанын модулдук архитектурасы тармак пакеттерин басып алуу, декоддоо, талдоо жана иштетүү үчүн жаңы элементтерди кошууну жеңилдетет. Сурикатада трафик операциялык тутумдун кадимки фильтринин жардамы менен жабылганын да белгилей кетүү маанилүү. GNU/Linux'тун IPS кантип иштешинин эки варианты бар: NFQUEUE кезеги аркылуу (NFQ режими) жана нөл көчүрмөсү аркылуу (AF_PACKET режими). Биринчи учурда, iptables кире турган пакет NFQUEUE кезегине жөнөтүлөт, ал жерде аны колдонуучу деңгээлинде иштетүүгө болот. Suricata аны өзүнүн эрежелерине ылайык иштетет жана үч өкүмдүн бирин чыгарат: NF_ACCEPT, NF_DROP жана NF_REPEAT. Биринчи экөө өзүн-өзү түшүндүрөт, ал эми акыркысы пакеттерди белгилөөгө жана учурдагы iptables таблицасынын башына жөнөтүүгө мүмкүндүк берет. AF_PACKET режими ылдамыраак, бирок ал системага бир катар чектөөлөрдү киргизет: анын эки тармактык интерфейси болушу жана шлюз катары иштеши керек. Бөгөттөлгөн пакет жөн эле экинчи интерфейске жөнөтүлбөйт.
Suricata маанилүү өзгөчөлүгү Snort үчүн иштеп пайдалануу мүмкүнчүлүгү болуп саналат. Администратордун, атап айтканда, Sourcefire VRT жана OpenSource Emerging Threats эрежелеринин топтомуна, ошондой эле коммерциялык Emerging Threats Pro программасына кирүү мүмкүнчүлүгү бар. Бирдиктүү чыгаруу популярдуу бэкенддерди колдонуу менен талданса болот, PCAP жана Syslog чыгаруу да колдоого алынат. Тутум орнотуулары жана эрежелери YAML файлдарында сакталат, аларды окуу оңой жана автоматтык түрдө иштетүүгө болот. Suricata кыймылдаткычы көптөгөн протоколдорду тааныйт, ошондуктан эрежелерди порт номерине байлоонун кереги жок. Мындан тышкары, flowbits түшүнүгү жигердүү Suricata эрежелеринде колдонулат. Триггерди көзөмөлдөө үчүн сеанс өзгөрмөлөрү ар кандай эсептегичтерди жана желектерди түзүү жана колдонуу үчүн колдонулат. Көптөгөн IDS ар кандай TCP байланыштарын өзүнчө объект катары карашат жана алардын ортосундагы чабуулдун башталышын көрсөткөн байланышты көрбөшү мүмкүн. Suricata бүт сүрөттү көрүүгө аракет кылат жана көп учурларда ар кандай байланыштар боюнча таратылган зыяндуу трафикти тааныйт. Анын артыкчылыктары жөнүндө көпкө сүйлөшө аласыз, биз орнотууга жана конфигурацияга өткөнүбүз жакшы.
Кантип орнотуу керек?
Биз Suricata'ны Ubuntu 18.04 LTS иштеткен виртуалдык серверге орнотобуз. Бардык буйруктар супер колдонуучунун (root) атынан аткарылышы керек. Эң коопсуз вариант - SSH серверине кадимки колдонуучу катары, андан кийин артыкчылыктарды жогорулатуу үчүн sudo утилитасын колдонуу. Алгач сиз бизге керектүү пакеттерди орнотушуңуз керек:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsТышкы репозиторийди туташтыруу:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSuricata акыркы туруктуу версиясын орнотуу:
sudo apt-get install suricataЗарыл болсо, демейки eth0 сервердин тышкы интерфейсинин чыныгы аты менен алмаштырып, конфигурация файлдарынын атын түзөтүңүз. Демейки жөндөөлөр /etc/default/suricata файлында сакталат, ал эми жеке жөндөөлөр /etc/suricata/suricata.yaml ичинде сакталат. IDS конфигурациялоо негизинен бул конфигурация файлын түзөтүү менен гана чектелет. Анын аты жана максаты боюнча Snort аналогдору менен дал келген көптөгөн параметрлери бар. Синтаксиси такыр башкача, бирок файлды окуу Snort конфигурацияларына караганда бир топ жеңил жана жакшы түшүндүрүлгөн.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Көңүл бургула! Баштоодон мурун, Vars бөлүмүнөн өзгөрмөлөрдүн маанилерин текшерүү керек.
Орнотууну аяктоо үчүн, эрежелерди жаңыртуу жана жүктөө үчүн suricata-update орнотуу керек. Муну жасоо абдан оңой:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateАндан кийин, Emerging Threats Open эрежелер топтомун орнотуу үчүн suricata-update буйругун иштетишибиз керек:
sudo suricata-update
Эреже булактарынын тизмесин көрүү үчүн, төмөнкү буйрукту аткарыңыз:
sudo suricata-update list-sources
Эреже булактарын жаңыртуу:
sudo suricata-update update-sources
Жаңыртылган булактарды кайра карап чыгуу:
sudo suricata-update list-sourcesЗарыл болсо, жеткиликтүү акысыз булактарды кошо аласыз:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistАндан кийин, сиз эрежелерди кайра жаңыртышыңыз керек:
sudo suricata-updateБул Ubuntu 18.04 LTSде Suricata орнотууну жана баштапкы конфигурациясын аяктайт. Андан кийин кызыктуу башталат: кийинки макалада биз виртуалдык серверди VPN аркылуу кеңсе тармагына туташтырабыз жана бардык кирүүчү жана чыгуучу трафикти талдай баштайбыз. Биз DDoS чабуулдарын, кесепеттүү программалардын активдүүлүгүн жана коомдук тармактардан жеткиликтүү кызматтардын аялуу жерлерин пайдалануу аракеттерин бөгөт коюуга өзгөчө көңүл бурабыз. Түшүнүктүү болуу үчүн эң кеңири таралган түрдөгү чабуулдар симуляцияланат.
Source: www.habr.com