Araka ny antontan'isa, mitombo eo amin'ny 50% eo ho eo isan-taona ny habetsahan'ny fifamoivoizana amin'ny tambajotra. Izany dia mitarika amin'ny fitomboan'ny enta-mavesatra amin'ny fitaovana ary indrindra indrindra, mampitombo ny fepetra takian'ny IDS / IPS. Azonao atao ny mividy fitaovana manokana lafo vidy, fa misy safidy mora kokoa - ny fampidirana ny iray amin'ireo rafitra open source. Mpitantana vaovao maro no mahita fa sarotra ny mametraka sy manamboatra IPS maimaim-poana. Raha ny momba an'i Suricata dia tsy marina tanteraka izany - azonao atao ny mametraka izany ary manomboka manala ny fanafihana mahazatra miaraka amin'ny fitsipika maimaim-poana ao anatin'ny minitra vitsy.
Nahoana isika no mila IPS misokatra hafa?
Efa ela no nihevitra ny fenitra, Snort dia efa teo amin'ny fampandrosoana nanomboka tamin'ny faramparan'ny nineties, noho izany tamin'ny voalohany kofehy tokana. Nandritra ny taona maro, ny endri-javatra maoderina rehetra dia niseho tao, toy ny fanohanan'ny IPv6, ny fahafahana mamakafaka ny protocols amin'ny ambaratongan'ny fampiharana, na ny maody fidirana amin'ny angona manerantany.
Ny motera fototra Snort 2.X dia nianatra niasa tamin'ny cores maro, saingy nijanona ho kofehy tokana ary noho izany dia tsy afaka manararaotra tsara ny sehatra fitaovana maoderina.
Ny olana dia voavaha tamin'ny dikan-teny fahatelo amin'ny rafitra, saingy naharitra ela ny fanomanana ka i Suricata, nosoratana hatrany am-piandohana, dia nahavita niseho teo amin'ny tsena. Tamin'ny taona 2009, dia nanomboka novolavolaina ho toy ny safidy maromaro maromaro amin'ny Snort, izay manana fiasa IPS ivelan'ny boaty. Ny kaody dia zaraina eo ambanin'ny fahazoan-dàlana GPLv2, fa ny mpiara-miombon'antoka ara-bola amin'ny tetikasa dia afaka miditra amin'ny dikan-teny mihidy amin'ny motera. Nipoitra tamin'ny dikan-teny voalohany amin'ny rafitra ny olana momba ny scalability, saingy voavaha haingana izy ireo.
Nahoana i Surica?
Suricata dia manana mody maromaro (mitovitovy amin'ny Snort): fisamborana, fisamborana, decode, fitiliana ary famoahana. Amin'ny alàlan'ny default, ny fifamoivoizana voasambotra dia mandeha alohan'ny decoding amin'ny stream iray, na dia mameno kokoa ny rafitra aza izany. Raha ilaina, ny kofehy dia azo zaraina amin'ny toe-javatra ary zaraina amin'ny processeur - Suricata dia tena optimized ho an'ny hardware manokana, na dia tsy level HOWTO ho an'ny beginners aza izany. Tsara ihany koa ny manamarika fa ny Suricata dia manana fitaovana fanaraha-maso HTTP mandroso miorina amin'ny tranomboky HTP. Izy ireo koa dia azo ampiasaina hanoratana ny fifamoivoizana tsy misy fika. Ny rafitra ihany koa dia manohana ny fanodinana IPv6, ao anatin'izany ny tonelina IPv4-in-IPv6, tonelina IPv6-in-IPv6, sy ny maro hafa.
Ny fifandraisana samihafa dia azo ampiasaina hanakanana ny fifamoivoizana (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ary amin'ny fomba Unix Socket dia azonao atao ny mamakafaka ny rakitra PCAP nalain'ny sniffer hafa. Ho fanampin'izany, ny maritrano modular an'i Suricata dia manamora ny fampidirana singa vaovao mba hisambotra, hamantatra, handinihana, ary hanodina ny fonosana tambajotra. Zava-dehibe ihany koa ny manamarika fa ao Suricata, voasakana ny fifamoivoizana amin'ny alàlan'ny sivana mahazatra ny rafitra miasa. Ny GNU/Linux dia manana safidy roa amin'ny fomba fiasan'ny IPS: amin'ny alàlan'ny filaharana NFQUEUE (mode NFQ) ary amin'ny alàlan'ny kopia aotra (mode AF_PACKET). Amin'ny tranga voalohany, ny fonosana izay miditra iptables dia alefa any amin'ny filaharana NFQUEUE, izay azo karakaraina amin'ny haavon'ny mpampiasa. Suricata dia mitantana azy araka ny fitsipikany manokana ary mamoaka ny iray amin'ireo didim-pitsarana telo: NF_ACCEPT, NF_DROP ary NF_REPEAT. Ny roa voalohany dia manazava ny tenany, fa ny farany dia mamela ny fonosana ho marihina ary alefa any an-tampon'ny latabatra iptables ankehitriny. Haingana kokoa ny maody AF_PACKET, saingy mametraka fameperana maromaro amin'ny rafitra: tsy maintsy manana fifandraisana roa amin'ny tambajotra ary miasa toy ny vavahady. Ny fonosana voasakana dia tsy alefa amin'ny interface faharoa.
Ny endri-javatra manan-danja amin'ny Suricata dia ny fahafahana mampiasa ny fivoaran'ny Snort. Ny mpandrindra dia manana fidirana, indrindra indrindra, amin'ny fehezan-dalàna Sourcefire VRT sy OpenSource Emerging Threats, ary koa ny Emerging Threats Pro ara-barotra. Ny vokatra iraisana dia azo zaraina amin'ny alàlan'ny backend malaza, ny vokatra PCAP sy Syslog dia tohana ihany koa. Ny firafitry ny rafitra sy ny fitsipika dia voatahiry ao amin'ny rakitra YAML, izay mora vakina ary azo ovaina ho azy. Ny motera Suricata dia manaiky protocole maro, noho izany dia tsy mila mifamatotra amin'ny laharana seranana ny fitsipika. Ankoatr'izay, ny foto-kevitry ny flowbits dia ampiharina amin'ny fitsipiky ny Suricata. Mba hanaraha-maso ny trigger dia ampiasaina ny variable session mba hamoronana sy hampiharana kaontera sy saina isan-karazany. IDS maro no mihevitra ny fifandraisana TCP samihafa ho toy ny singa miavaka ary mety tsy mahita fifandraisana eo amin'izy ireo izay manondro ny fanombohan'ny fanafihana. Miezaka mijery ny sary manontolo i Suricata ary amin'ny toe-javatra maro dia manaiky ny fifamoivoizana maloto miparitaka amin'ny fifandraisana samihafa. Azonao atao ny miresaka momba ny tombontsoany mandritra ny fotoana maharitra, tsara kokoa ny miroso amin'ny fametrahana sy ny fanamafisana.
Ahoana ny fametrahana?
Hametraka Suricata amin'ny mpizara virtoaly mitantana Ubuntu 18.04 LTS izahay. Ny baiko rehetra dia tsy maintsy tanterahina amin'ny anaran'ny superuser (root). Ny safidy azo antoka indrindra dia ny SSH ao amin'ny mpizara ho mpampiasa mahazatra ary avy eo mampiasa ny sudo utility hanandratana tombontsoa. Voalohany dia mila mametraka ny fonosana izay ilaintsika ianao:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsMampifandray tahiry ivelany:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateAmpidiro ny kinova stable farany an'ny Suricata:
sudo apt-get install suricataRaha ilaina dia amboary ny anaran'ny fisie fisie, soloy ny eth0 default amin'ny tena anaran'ny interface ivelany an'ny mpizara. Tehirizina ao amin'ny fisie /etc/default/suricata ny firafitry ny default, ary voatahiry ao amin'ny /etc/suricata/suricata.yaml ny fandrindrana manokana. Ny fanefena IDS dia voafetra amin'ny fanovana ity rakitra fikirakirana ity. Manana mari-pamantarana marobe izay, amin'ny anarana sy ny tanjona, mifanandrify amin'ny analogues avy amin'ny Snort. Ny syntax dia hafa tanteraka, na izany aza, fa ny rakitra dia mora kokoa ny mamaky noho ny Snort configs ary tsara fanehoan-kevitra.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Attention! Alohan'ny hanombohana dia ilaina ny manamarina ny sandan'ny variables avy amin'ny fizarana vars.
Mba hamitana ny fanamboarana dia mila mametraka suricata-update ianao hanavao sy hamenoana ny fitsipika. Tena mora ny manao izany:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateManaraka, mila manatanteraka ny baikon'ny suricata-update isika mba hametrahana ny fitsipi-pifehezana misokatra mipoitra:
sudo suricata-update
Raha hijery ny lisitry ny loharanon-dalàna dia araho ity baiko manaraka ity:
sudo suricata-update list-sources
Fanavaozana ny loharanon-dalàna:
sudo suricata-update update-sources
Famerenana ny loharano nohavaozina:
sudo suricata-update list-sourcesRaha ilaina dia azonao atao ny mampiditra loharano maimaim-poana:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistAorian'izay dia mila manavao indray ny fitsipika ianao:
sudo suricata-updateIzany dia mamita ny fametrahana sy ny fanamafisana voalohany an'i Suricata ao amin'ny Ubuntu 18.04 LTS. Avy eo dia manomboka ny fahafinaretana: amin'ny lahatsoratra manaraka, hampifandray mpizara virtoaly amin'ny tambajotra birao amin'ny alàlan'ny VPN isika ary hanomboka hamakafaka ny fifamoivoizana miditra sy mivoaka rehetra. Hojerentsika manokana ny fanakanana ny fanafihana DDoS, ny asan'ny malware ary ny fikasana hanararaotra ny vulnerability amin'ny serivisy azo idirana amin'ny tambajotram-bahoaka. Ho fanazavàna, ny fanafihana amin'ny karazana mahazatra indrindra dia hatao simulation.
Source: www.habr.com