Laut Statistiken erhéicht de Volume vum Netzverkéier all Joer ëm ongeféier 50%. Dëst féiert zu enger Erhéijung vun der Belaaschtung op d'Ausrüstung a besonnesch erhéicht d'Leeschtungsfuerderunge vun IDS / IPS. Dir kënnt deier spezialiséiert Hardware kafen, awer et gëtt eng méi bëlleg Optioun - d'Aféierung vun engem vun den Open Source Systemer. Vill Ufänger Administrateuren fannen et schwéier gratis IPS z'installéieren an ze konfiguréieren. Am Fall vu Suricata ass dat net ganz wouer - Dir kënnt et installéieren an an e puer Minutten typesch Attacke mat enger Rei vu gratis Regelen repelléieren.
Firwat brauche mir eng aner oppen IPS?
Laang als Standard ugesinn, Snort ass zënter de spéiden 6er an der Entwécklung, sou datt et ursprénglech Single-threaded war. Iwwer d'Joren sinn all modern Features dran erschéngt, sou wéi IPvXNUMX Support, d'Fäegkeet fir Applikatiounsniveau Protokoller ze analyséieren oder en universellt Datezougang Modul.
De Kär Snort 2.X-Motor huet geléiert mat multiple Cores ze schaffen, awer ass eenzeg-threaded bliwwen an kann dofir net optimal vun modernen Hardwareplattformen profitéieren.
De Problem gouf an der drëtter Versioun vum System geléist, awer et huet sou laang gedauert fir ze preparéieren datt Suricata, aus Schrack geschriwwe gouf, um Maart erscheint. Am Joer 2009 huet et ugefaang präzis als Multi-threaded Alternativ zu Snort entwéckelt ze ginn, déi IPS Funktiounen aus der Këscht huet. De Code gëtt ënner der GPLv2 Lizenz verdeelt, awer d'Finanzpartner vum Projet hunn Zougang zu enger zouener Versioun vum Motor. E puer Skalierbarkeetsproblemer entstanen an den éischte Versioune vum System, awer si goufen séier geléist.
Firwat Surica?
Suricata huet verschidde Moduler (ähnlech wéi Snort): Capture, Capture, Decode, Detectioun an Output. Par défaut geet de gefaangenen Traffic virum Dekodéierung an engem Stroum, obwuel dëst de System méi lued. Wann néideg, kënnen Threads an den Astellungen opgedeelt ginn an tëscht Prozessoren verdeelt ginn - Suricata ass ganz gutt fir spezifesch Hardware optimiséiert, obwuel dëst net méi en HOWTO Niveau fir Ufänger ass. Et ass och ze bemierken datt Suricata fortgeschratt HTTP-Inspektiounstools baséiert op der HTP-Bibliothéik huet. Si kënnen och benotzt ginn fir Traffic ouni Detektioun ze protokolléieren. De System ënnerstëtzt och IPv6 Dekodéierung, dorënner IPv4-an-IPv6 Tunnel, IPv6-an-IPv6 Tunnel, a méi.
Verschidde Schnëttplazen kënne benotzt ginn fir den Traffic z'ënnerscheeden (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), an am Unix Socket Modus kënnt Dir automatesch PCAP Dateien analyséieren, déi vun engem anere Sniffer gefaange sinn. Zousätzlech mécht d'Suricata's modulare Architektur et einfach nei Elementer ze pluggen fir Netzwierkpakete z'erfaassen, ze decodéieren, ze analyséieren an ze verarbeiten. Et ass och wichteg ze bemierken datt am Suricata de Traffic blockéiert gëtt mat engem reguläre Filter vum Betribssystem. GNU/Linux huet zwou Méiglechkeeten fir wéi IPS funktionnéiert: iwwer d'NFQUEUE Schlaang (NFQ Modus) an iwwer Null Kopie (AF_PACKET Modus). Am éischte Fall gëtt de Paket, deen iptables erakënnt, an d'NFQUEUE-Schlaang geschéckt, wou et um Benotzerniveau veraarbecht ka ginn. Suricata leeft et no hiren eegene Reegelen a stellt ee vun dräi Uerteeler eraus: NF_ACCEPT, NF_DROP an NF_REPEAT. Déi éischt zwee si selbstverständlech, während déi lescht erlaabt Päckchen ze markéieren an un d'Spëtzt vun der aktueller iptables Tabelle ze schécken. Den AF_PACKET Modus ass méi séier, awer et setzt eng Rei Restriktiounen op de System: et muss zwee Netzwierkschnëttplazen hunn an als Paart funktionnéieren. De blockéierte Paket gëtt einfach net op déi zweet Interface weidergeleet.
Eng wichteg Feature vu Suricata ass d'Fäegkeet Entwécklungen fir Snort ze benotzen. Den Administrateur huet Zougang, besonnesch, op d'Sourcefire VRT an OpenSource Emerging Threats Reegel Sets, souwéi déi kommerziell Emerging Threats Pro. Déi vereenegt Output kann mat populäre Backends parséiert ginn, PCAP a Syslog Output gëtt och ënnerstëtzt. Systemastellungen a Regele ginn an YAML Dateien gespäichert, déi einfach ze liesen sinn a kënnen automatesch veraarbecht ginn. De Suricata-Motor erkennt vill Protokoller, sou datt d'Regele net un eng Portnummer gebonne sinn. Zousätzlech gëtt d'Konzept vu Flowbits aktiv an de Regele vu Suricata praktizéiert. Fir den Ausléiser ze verfolgen, gi Sessiounsvariablen benotzt fir verschidde Konter a Fändelen ze kreéieren an z'applizéieren. Vill IDS behandelen verschidden TCP Verbindungen als getrennten Entitéiten a kënne keng Verbindung tëscht hinnen gesinn, déi den Ufank vun engem Attack uginn. Suricata probéiert dat ganzt Bild ze gesinn an erkennt a ville Fäll béiswëlleg Verkéier verdeelt iwwer verschidde Verbindungen. Dir kënnt iwwer seng Virdeeler fir eng laang Zäit schwätzen, mir wéilt besser op d'Installatioun an d'Konfiguratioun weidergoen.
Wéi installéieren?
Mir installéiere Suricata op engem virtuelle Server mat Ubuntu 18.04 LTS. All Kommandoe mussen am Numm vum Superuser (Root) ausgefouert ginn. Déi sécherst Optioun ass SSH an de Server als normale Benotzer an dann de Sudo Utility ze benotzen fir Privilegien z'erhéijen. Als éischt musst Dir d'Packagen installéieren déi mir brauchen:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsEn externe Repository verbannen:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateInstalléiert déi lescht stabil Versioun vu Suricata:
sudo apt-get install suricataWann néideg, ännert den Numm vun den Konfiguratiounsdateien, ersetzt de Standard eth0 mam aktuellen Numm vum externen Interface vum Server. Standardastellunge ginn an der Datei /etc/default/suricata gespäichert, a personaliséiert Astellunge ginn an /etc/suricata/suricata.yaml gespäichert. D'Konfiguratioun vun IDS ass meeschtens limitéiert fir dës Konfiguratiounsdatei z'änneren. Et huet vill Parameteren, déi, mam Numm an Zweck, mat Analoga vu Snort zesummefalen. D'Syntax ass awer komplett anescht, awer d'Datei ass vill méi einfach ze liesen wéi d'Snort Konfiguratiounen an ass gutt kommentéiert.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Opgepasst! Ier Dir ufänkt, ass et derwäert d'Wäerter vun de Variablen aus der Vars Sektioun ze kontrolléieren.
Fir de Setup ofzeschléissen, musst Dir suricata-update installéieren fir d'Regelen ze aktualiséieren an ze lueden. Et ass relativ einfach dëst ze maachen:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateAls nächst musse mir de Suricata-Update Kommando ausféieren fir den Emerging Threats Open Regelset ze installéieren:
sudo suricata-update
Fir d'Lëscht vun de Regelquellen ze gesinn, fuert de folgende Kommando:
sudo suricata-update list-sources
Update Regelquellen:
sudo suricata-update update-sources
Reviséiert aktualiséiert Quellen:
sudo suricata-update list-sourcesWann néideg, kënnt Dir verfügbare gratis Quellen enthalen:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistDuerno musst Dir d'Regele nach eng Kéier aktualiséieren:
sudo suricata-updateDëst fäerdeg d'Installatioun an d'initial Konfiguratioun vu Suricata an Ubuntu 18.04 LTS. Da fänkt de Spaass un: am nächsten Artikel wäerte mir e virtuelle Server mat dem Büronetz iwwer VPN verbannen a fänken un all erakommen an erausginn Traffic ze analyséieren. Mir wäerte besonnesch Opmierksamkeet op d'Blockéierung vun DDoS Attacken, Malwareaktivitéiten a Versuche fir Schwachstelle vu Servicer aus ëffentlechen Netzwierker auszenotzen. Fir Kloerheet ginn Attacke vun den heefegsten Typen simuléiert.
Source: will.com