E ai ki nga tatauranga, ka piki ake te rahi o nga hokohoko whatunga ma te 50% ia tau. Ma tenei ka piki ake te utaina o nga taputapu, ina koa, ka piki ake nga whakaritenga mahi a IDS / IPS. Ka taea e koe te hoko taputapu motuhake utu nui, engari he utu iti ake - te whakaurunga o tetahi o nga punaha puna tuwhera. He maha nga kaiwhakahaere tauhou he uaua ki te whakauru me te whirihora i te IPS koreutu. I roto i te take o Suricata, ehara tenei i te tino pono - ka taea e koe te whakauru me te timata ki te tarai i nga whakaeke angamaheni me te huinga ture kore utu i roto i etahi meneti.
He aha tatou e hiahia ai ki tetahi atu IPS tuwhera?
Kua roa te whakaaro mo te paerewa, kua whanakehia a Snort mai i te mutunga o nga tau iwa tekau, no reira he miro kotahi i te tuatahi. I roto i nga tau, kua puta nga ahuatanga hou katoa ki roto, penei i te tautoko IPv6, te kaha ki te tarai i nga kawa taumata-tono, he waahanga uru raraunga mo te ao.
Ko te miihini Snort 2.X matua kua ako ki te mahi me nga kohao maha, engari kua noho tonu te miro-kotahi, na reira kaore e taea te whakamahi pai i nga papanga taputapu hou.
I whakatauhia te raruraru i te tuatoru o nga putanga o te punaha, engari he roa te wa ki te whakarite kia puta mai a Suricata, i tuhia mai i te wahanga, ki te maakete. I te tau 2009, ka tiimata te whakawhanaketanga hei momo miro-maha ki a Snort, he mahi IPS kei waho o te pouaka. Ka tohatohahia te waehere i raro i te raihana GPLv2, engari ka whai waahi nga hoa putea o te kaupapa ki te putanga kati o te miihini. I puea ake etahi raruraru tauineine i nga putanga tuatahi o te punaha, engari i tere te whakatau.
He aha a Surica?
He maha nga waahanga o Suricata (he rite ki te Snort): hopu, hopu, wetewete, rapu me te whakaputa. Ma te taunoa, ka haere nga waka i mau i mua i te wetewete i te awa kotahi, ahakoa ka nui ake te utaina o te punaha. Mena e tika ana, ka taea te wehewehe i nga miro i roto i nga tautuhinga me te tohatoha i waenga i nga kaitahuri - he pai te arotau a Suricata mo nga taputapu motuhake, ahakoa ehara tenei i te taumata HOWTO mo nga timatanga. He mea pai ano kia mohio ko Suricata he taputapu tirotiro HTTP i runga i te whare pukapuka HTP. Ka taea hoki te whakamahi ki te takiuru waka me te kore e kitea. Ka tautokohia ano e te punaha te wetewete IPv6, tae atu ki te IPv4-in-IPv6 tunnels, IPv6-in-IPv6 tunnels, me etahi atu.
Ka taea te whakamahi i nga atanga rereke ki te haukoti i nga waka (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), a, i te aratau Unix Socket, ka taea e koe te tātari aunoa i nga konae PCAP i mauhia e tetahi atu hongi. I tua atu, he maamaa te hoahoanga a Suricata ki te whakauru i nga huānga hou ki te hopu, ki te wetewete, ki te tarai, ki te tukatuka hoki i nga paatete whatunga. He mea nui ano kia mohio kei roto i Suricata, ka aukatihia nga waka ma te tātari auau o te punaha whakahaere. E rua nga whiringa a GNU/Linux mo te mahi a IPS: ma te rarangi NFQUEUE (aratau NFQ) me te kape kore (aratau AF_PACKET). I te keehi tuatahi, ka tukuna te paakete ka uru ki nga iptables ki te rarangi NFQUEUE, ka taea te tukatuka i te taumata kaiwhakamahi. Ka whakahaerehia e Suricata i runga i ona ake ture, ka tukuna tetahi o nga whakatau e toru: NF_ACCEPT, NF_DROP me NF_REPEAT. Ko nga mea tuatahi e rua he whakamarama ake, engari ko te whakamutunga ka taea te tohu i nga paanui ka tukuna ki runga ake o te ripanga iptables o naianei. He tere ake te aratau AF_PACKET, engari he maha nga here i runga i te punaha: me rua nga hononga whatunga me te mahi hei kuaha. Ko te paatete kua araia kaore e tukuna atu ki te atanga tuarua.
Ko tetahi ahuatanga nui o Suricata ko te kaha ki te whakamahi i nga whanaketanga mo Snort. Ka whai waahi te kaiwhakahaere, ina koa, ki nga huinga ture Sourcefire VRT me OpenSource Emerging Threats, me te arumoni Emerging Threats Pro. Ko te putanga whakakotahi ka taea te tarai ma te whakamahi i nga tuara rongonui, ka tautokohia te putanga PCAP me te Syslog. Ko nga tautuhinga punaha me nga ture kei te rongoa i roto i nga konae YAML, he ngawari ki te panui ka taea te tukatuka aunoa. E mohio ana te miihini Suricata ki te maha o nga kawa, na reira kaore e tika kia herea nga ture ki te tau tauranga. I tua atu, ko te kaupapa o te rerenga rere e kaha ana te mahi i roto i nga ture o Suricata. Hei whai i te keu, ka whakamahia nga taurangi wahanga ki te hanga me te whakamahi i nga momo porotiti me nga haki. He maha nga IDS e kii ana i nga hononga TCP rereke hei hinonga motuhake, kaore pea e kite i tetahi hononga i waenga i a raatau e tohu ana i te tiimata o te whakaeke. Ka ngana a Suricata ki te kite i te pikitia katoa me te maha o nga keehi ka mohio nga waka kino kua tohatohahia ki runga i nga hononga rereke. Ka taea e koe te korero mo ona painga mo te wa roa, ka pai ake taatau ki te whakauru me te whirihoranga.
Me pehea te whakauru?
Ka whakauruhia e matou a Suricata ki runga i te tūmau mariko e whakahaere ana i te Ubuntu 18.04 LTS. Ko nga whakahau katoa me mahi mo te kaiwhakamahi super (pakiaka). Ko te kōwhiringa tino haumaru ko te SSH ki roto i te tūmau hei kaiwhakamahi noa ka whakamahi i te whaipainga sudo hei whakanui ake i nga mana. Tuatahi me whakauru koe i nga kohinga e hiahiatia ana e matou:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsTe hono i tetahi putunga o waho:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateTāutahia te putanga pūmau hou o Suricata:
sudo apt-get install suricataMena e tika ana, whakatikahia te ingoa o nga konae whirihoranga, whakakapi i te eth0 taunoa me te ingoa tuturu o te atanga o waho o te tūmau. Ko nga tautuhinga taunoa kei te rongoa i roto i te konae /etc/default/suricata, ka penapena nga tautuhinga ritenga ki /etc/suricata/suricata.yaml. Ko te whirihora i te IDS he iti noa ki te whakatika i tenei konae whirihoranga. He maha nga tawhā, ma te ingoa me te kaupapa, e hono ana ki nga taapiri mai i Snort. He rereke te wetereo, heoi, he maamaa ake te panui o te konae i nga whirihora Snort, he pai te korero.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Te aro! I mua i te tiimata, he pai ki te tirotiro i nga uara o nga taurangi mai i te waahanga vars.
Hei whakaoti i te tatūnga, me whakauru koe i te suricata-update hei whakahou me te uta i nga ture. He tino ngawari ki te mahi i tenei:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateI muri mai, me whakahaere e matou te whakahau suricata-update ki te whakauru i te huinga ture Tuwhera Whakamatau Putanga:
sudo suricata-update
Hei tiro i te rarangi o nga puna ture, whakahaerehia te whakahau e whai ake nei:
sudo suricata-update list-sources
Whakahouhia nga puna ture:
sudo suricata-update update-sources
Te tirotiro ano i nga punawai kua whakahoutia:
sudo suricata-update list-sourcesMena e tika ana, ka taea e koe te whakauru i nga puna kore utu:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistWhai muri i tera, me whakahou ano koe i nga ture:
sudo suricata-updateKa oti te whakaurunga me te whirihoranga tuatahi o Suricata ki Ubuntu 18.04 LTS. Na ka timata te ngahau: i roto i te tuhinga e whai ake nei, ka honoa e matou he tūmau mariko ki te whatunga tari ma te VPN ka timata ki te tarai i nga waka taumai me nga putanga katoa. Ka aro nui matou ki te aukati i nga whakaeke DDoS, nga mahi kino me nga ngana ki te whakamahi whakaraeraetanga i roto i nga ratonga ka uru mai i nga whatunga a-iwi. Mo te whakamarama, ka whakatauritehia nga whakaeke o nga momo tino noa.
Source: will.com