Laut Statistiken erhéicht de Volume vum Netzverkéier all Joer ëm ongeféier 50%. Dëst féiert zu enger Erhéijung vun der Belaaschtung op d'Ausrüstung a besonnesch erhéicht d'Leeschtungsfuerderunge vun IDS / IPS. Dir kënnt deier spezialiséiert Hardware kafen, awer et gëtt eng méi bëlleg Optioun - d'Aféierung vun engem vun den Open Source Systemer. Vill Ufänger Administrateuren fannen et schwéier gratis IPS z'installéieren an ze konfiguréieren. Am Fall vu Suricata ass dat net ganz wouer - Dir kënnt et installéieren an an e puer Minutten typesch Attacke mat enger Rei vu gratis Regelen repelléieren.
Firwat brauche mir eng aner oppen IPS?
Laang als Standard ugesinn, Snort ass zënter de spéiden 6er an der Entwécklung, sou datt et ursprénglech Single-threaded war. Iwwer d'Joren sinn all modern Features dran erschéngt, sou wéi IPvXNUMX Support, d'Fäegkeet fir Applikatiounsniveau Protokoller ze analyséieren oder en universellt Datezougang Modul.
De Kär Snort 2.X-Motor huet geléiert mat multiple Cores ze schaffen, awer ass eenzeg-threaded bliwwen an kann dofir net optimal vun modernen Hardwareplattformen profitéieren.
De Problem gouf an der drëtter Versioun vum System geléist, awer et huet sou laang gedauert fir ze preparéieren datt Suricata, aus Schrack geschriwwe gouf, um Maart erscheint. Am Joer 2009 huet et ugefaang präzis als Multi-threaded Alternativ zu Snort entwéckelt ze ginn, déi IPS Funktiounen aus der Këscht huet. De Code gëtt ënner der GPLv2 Lizenz verdeelt, awer d'Finanzpartner vum Projet hunn Zougang zu enger zouener Versioun vum Motor. E puer Skalierbarkeetsproblemer entstanen an den éischte Versioune vum System, awer si goufen séier geléist.
Firwat Surica?
Suricata huet verschidde Moduler (ähnlech wéi Snort): Capture, Capture, Decode, Detectioun an Output. Par défaut geet de gefaangenen Traffic virum Dekodéierung an engem Stroum, obwuel dëst de System méi lued. Wann néideg, kënnen Threads an den Astellungen opgedeelt ginn an tëscht Prozessoren verdeelt ginn - Suricata ass ganz gutt fir spezifesch Hardware optimiséiert, obwuel dëst net méi en HOWTO Niveau fir Ufänger ass. Et ass och ze bemierken datt Suricata fortgeschratt HTTP-Inspektiounstools baséiert op der HTP-Bibliothéik huet. Si kënnen och benotzt ginn fir Traffic ouni Detektioun ze protokolléieren. De System ënnerstëtzt och IPv6 Dekodéierung, dorënner IPv4-an-IPv6 Tunnel, IPv6-an-IPv6 Tunnel, a méi.
Verschidde Schnëttstellen kënne benotzt ginn fir den Traffic ofzefänken (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), an am Unix Socket Modus kënnen PCAP-Dateien, déi vun engem anere Sniffer erfaasst ginn, automatesch analyséiert ginn. Ausserdeem vereinfacht d'modular Architektur vu Suricata d'Zousätzlech vun neien Elementer fir d'Erfassung, d'Dekodéierung, d'Analyse an d'Veraarbechtung vu Netzwierkpakete. Et ass och wichteg ze bemierken, datt Suricata den Traffic mat dem agebaute Filter vum Betribssystem blockéiert. An GNU/Linux Et gëtt zwéi IPS-Modi: iwwer d'NFQUEUE-Warteschlaang (NFQ-Modus) an iwwer Nullkopie (AF_PACKET-Modus). Am éischte Modus gëtt e Pakett, deen an iptables erakënnt, an d'NFQUEUE-Warteschlaang geschéckt, wou en op Benotzerniveau veraarbecht ka ginn. Suricata veraarbecht en no senge Reegelen a gëtt ee vun dräi Verdikte zréck: NF_ACCEPT, NF_DROP an NF_REPEAT. Déi éischt zwee si selbsterklärend, während de leschten et erlaabt, Paketen ze markéieren an se uewen an der aktueller iptables-Tabell ze schécken. Den AF_PACKET-Modus bitt eng méi héich Leeschtung, awer setzt dem System verschidde Restriktiounen op: e muss zwou Netzwierkinterfaces hunn a wéi e Gateway funktionéieren. E blockéierte Pakett gëtt einfach net op déi zweet Interface weidergeleet.
Eng wichteg Feature vu Suricata ass d'Fäegkeet Entwécklungen fir Snort ze benotzen. Den Administrateur huet Zougang, besonnesch, op d'Sourcefire VRT an OpenSource Emerging Threats Reegel Sets, souwéi déi kommerziell Emerging Threats Pro. Déi vereenegt Output kann mat populäre Backends parséiert ginn, PCAP a Syslog Output gëtt och ënnerstëtzt. Systemastellungen a Regele ginn an YAML Dateien gespäichert, déi einfach ze liesen sinn a kënnen automatesch veraarbecht ginn. De Suricata-Motor erkennt vill Protokoller, sou datt d'Regele net un eng Portnummer gebonne sinn. Zousätzlech gëtt d'Konzept vu Flowbits aktiv an de Regele vu Suricata praktizéiert. Fir den Ausléiser ze verfolgen, gi Sessiounsvariablen benotzt fir verschidde Konter a Fändelen ze kreéieren an z'applizéieren. Vill IDS behandelen verschidden TCP Verbindungen als getrennten Entitéiten a kënne keng Verbindung tëscht hinnen gesinn, déi den Ufank vun engem Attack uginn. Suricata probéiert dat ganzt Bild ze gesinn an erkennt a ville Fäll béiswëlleg Verkéier verdeelt iwwer verschidde Verbindungen. Dir kënnt iwwer seng Virdeeler fir eng laang Zäit schwätzen, mir wéilt besser op d'Installatioun an d'Konfiguratioun weidergoen.
Wéi installéieren?
Mir wäerten Suricata op engem virtuelle Server installéieren, deen leeft Ubuntu 18.04 LTS. All Kommandoen mussen als Root ausgeführt ginn. Déi sécherst Optioun ass et, sech als normale Benotzer iwwer SSH mam Server ze verbannen, an dann sudo ze benotzen, fir d'Rechter ze erhéijen. Als éischt musst Dir déi néideg Paketen installéieren:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsEn externe Repository verbannen:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateInstalléiert déi lescht stabil Versioun vu Suricata:
sudo apt-get install suricataWann néideg, ännert den Numm vun den Konfiguratiounsdateien, ersetzt de Standard eth0 mam aktuellen Numm vum externen Interface vum Server. Standardastellunge ginn an der Datei /etc/default/suricata gespäichert, a personaliséiert Astellunge ginn an /etc/suricata/suricata.yaml gespäichert. D'Konfiguratioun vun IDS ass meeschtens limitéiert fir dës Konfiguratiounsdatei z'änneren. Et huet vill Parameteren, déi, mam Numm an Zweck, mat Analoga vu Snort zesummefalen. D'Syntax ass awer komplett anescht, awer d'Datei ass vill méi einfach ze liesen wéi d'Snort Konfiguratiounen an ass gutt kommentéiert.
sudo nano /etc/default/suricata 
и
sudo nano /etc/suricata/suricata.yaml 
Opgepasst! Ier Dir ufänkt, ass et derwäert d'Wäerter vun de Variablen aus der Vars Sektioun ze kontrolléieren.
Fir de Setup ofzeschléissen, musst Dir suricata-update installéieren fir d'Regelen ze aktualiséieren an ze lueden. Et ass relativ einfach dëst ze maachen:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateAls nächst musse mir de Suricata-Update Kommando ausféieren fir den Emerging Threats Open Regelset ze installéieren:
sudo suricata-update 
Fir d'Lëscht vun de Regelquellen ze gesinn, fuert de folgende Kommando:
sudo suricata-update list-sources 
Update Regelquellen:
sudo suricata-update update-sources 
Reviséiert aktualiséiert Quellen:
sudo suricata-update list-sourcesWann néideg, kënnt Dir verfügbare gratis Quellen enthalen:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistDuerno musst Dir d'Regele nach eng Kéier aktualiséieren:
sudo suricata-updateDëst ass d'Installatioun an d'initial Konfiguratioun vu Suricata ofgeschloss. Ubuntu 18.04 LTS kann als fäerdeg ugesi ginn. Elo kënnt den lëschtegen Deel: am nächste Artikel verbannen mir e virtuelle Server iwwer VPN mam Büronetz a fänken un, all erakommenden an erausgoenden Traffic ze analyséieren. Mir konzentréieren eis op d'Blockéierung vun DDoS-Attacken, Malware-Aktivitéit a Versich, Schwachstelle a Servicer auszenotzen, déi iwwer ëffentlech Netzwierker zougänglech sinn. Fir d'Kloerheet simuléiere mir déi heefegst Aarte vun Attacken.
Source: will.com
