Снорт или Суриката. Дел 2: Инсталација и првично поставување на Suricata

Според статистичките податоци, обемот на мрежниот сообраќај се зголемува за околу 50% секоја година. Ова доведува до зголемување на оптоварувањето на опремата и, особено, ги зголемува барањата за изведба на IDS/IPS. Можете да купите скап специјализиран хардвер, но постои поевтина опција - имплементирање на еден од системите со отворен код. Многу почетници администратори мислат дека инсталирањето и конфигурирањето на бесплатен IPS е доста тешко. Во случајот со Suricata, ова не е сосема точно - можете да го инсталирате и да започнете да одбивате стандардни напади со збир на бесплатни правила за неколку минути.

Снорт или Суриката. Дел 1: Избор на бесплатен IDS/IPS за заштита на вашата корпоративна мрежа

Зошто ни треба уште еден отворен IPS?

Долго време се сметаше за стандард, Snort беше во развој од крајот на деведесеттите, па затоа првично беше со една нишка. Со текот на годините, ги има стекнато сите модерни карактеристики, како што е поддршката за IPv6, способноста за анализа на протоколи на ниво на апликација или универзален модул за пристап до податоци.

Основниот мотор Snort 2.X научи да работи со повеќе јадра, но остана со една нишка и затоа не може оптимално да ги искористи предностите на модерните хардверски платформи.

Проблемот беше решен во третата верзија на системот, но беше потребно толку време да се подготви што Suricata, напишана од нула, успеа да се појави на пазарот. Во 2009 година, тој почна да се развива токму како алтернатива со повеќе нишки на Snort, кој имаше IPS функции надвор од кутијата. Кодот се дистрибуира под лиценцата GPLv2, но финансиските партнери на проектот имаат пристап до затворена верзија на моторот. Некои проблеми со приспособливост се појавија во првите верзии на системот, но тие беа решени прилично брзо.

Зошто Суриката?

Suricata има неколку модули (како Snort): снимање, стекнување, декодирање, откривање и излез. Стандардно, снимениот сообраќај оди пред декодирање во една нишка, иако ова повеќе го вчитува системот. Доколку е потребно, нишките може да се поделат во поставките и да се дистрибуираат меѓу процесорите - Suricata е многу добро оптимизиран за специфичен хардвер, иако ова повеќе не е ниво HOWTO за почетници. Исто така, вреди да се напомене дека Suricata има напредни алатки за проверка на HTTP базирани на библиотеката HTP. Тие исто така може да се користат за евидентирање на сообраќај без откривање. Системот исто така поддржува декодирање IPv6, вклучувајќи тунели IPv4-in-IPv6, IPv6-in-IPv6 и други.

Може да се користат различни интерфејси за пресретнување на сообраќајот (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), а во режимот Unix Socket можете автоматски да ги анализирате PCAP-датотеките снимени од друг трагач. Дополнително, модуларната архитектура на Suricata го олеснува поврзувањето на новите елементи за снимање, декодирање, анализа и обработка на мрежните пакети. Исто така, важно е да се забележи дека во Суриката сообраќајот е блокиран со користење на стандардниот филтер за оперативен систем. Во GNU/Linux, достапни се две опции за IPS работа: преку редот NFQUEUE (режим NFQ) и преку нулта копија (режим AF_PACKET). Во првиот случај, пакетот што внесува iptables се испраќа во редот NFQUEUE, каде што може да се обработи на ниво на корисник. Suricata го води според своите правила и издава една од трите пресуди: NF_ACCEPT, NF_DROP и NF_REPEAT. Првите две се самообјаснети, но последниот ви овозможува да обележите пакети и да ги испратите на почетокот на тековната табела iptables. Режимот AF_PACKET е побрз, но наметнува голем број ограничувања на системот: мора да има два мрежни интерфејси и да работи како порта. Блокираниот пакет едноставно не се препраќа на вториот интерфејс.

Важна карактеристика на Suricata е способноста да се користат случувањата за Snort. Администраторот има пристап, особено, до множествата на правила Sourcefire VRT и OpenSource Emerging Threats, како и до комерцијалниот Emerging Threats Pro. Унифицираниот излез може да се анализира со користење на популарни позадини, а исто така е поддржан излезот до PCAP и Syslog. Системските поставки и правила се зачувани во YAML-датотеки, кои се лесни за читање и може да се обработуваат автоматски. Моторот Suricata препознава многу протоколи, така што правилата не треба да се врзуваат за број на порта. Покрај тоа, концептот на flowbits активно се практикува во правилата Suricata. За следење на активирањето, се користат променливи за сесија, кои ви дозволуваат да креирате и примените различни бројачи и знаменца. Многу IDS ги третираат различните TCP конекции како посебни ентитети и можеби нема да ја видат врската меѓу нив за да го означат почетокот на нападот. Suricata се обидува да ја види целата слика и во многу случаи препознава злонамерен сообраќај дистрибуиран низ различни врски. Можеме да зборуваме за неговите предности долго време; подобро е да преминеме на инсталација и конфигурација.

Како да инсталирам?

Ќе инсталираме Suricata на виртуелен сервер со Ubuntu 18.04 LTS. Сите команди мора да се извршат како суперкорисник (root). Најсигурната опција е да се поврзете со серверот преку SSH како стандарден корисник, а потоа да ја користите алатката sudo за да ги зголемите привилегиите. Прво треба да ги инсталираме пакетите што ни се потребни:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

Поврзување надворешно складиште:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

Инсталирајте ја најновата стабилна верзија на Suricata:

sudo apt-get install suricata

Доколку е потребно, уредете го името на конфигурациските датотеки, заменувајќи го стандардниот eth0 со вистинското име на надворешниот интерфејс на серверот. Стандардните поставки се зачувуваат во датотеката /etc/default/suricata, а приспособените поставки се зачувани во /etc/suricata/suricata.yaml. Конфигурацијата на IDS е главно ограничена на уредување на оваа конфигурациска датотека. Има многу параметри кои, по име и цел, се совпаѓаат со нивните аналози од Snort. Синтаксата сепак е сосема поинаква, но датотеката е многу полесна за читање од конфигурациите на Snort, а исто така е добро коментирана.

sudo nano /etc/default/suricata

и

sudo nano /etc/suricata/suricata.yaml

Внимание! Пред да започнете, треба да ги проверите вредностите на променливите од делот vars.

За да го завршите поставувањето, ќе треба да инсталирате suricata-update за да ги ажурирате и преземете правилата. Сосема е лесно да се направи ова:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

Следно, треба да ја извршиме командата suricata-update за да го инсталираме множеството правила за отворени закани:

sudo suricata-update

За да ја видите листата на извори на правила, извршете ја следнава команда:

sudo suricata-update list-sources

Ажурирајте ги изворите на правилата:

sudo suricata-update update-sources

Повторно ги разгледуваме ажурираните извори:

sudo suricata-update list-sources

Доколку е потребно, можете да вклучите достапни бесплатни извори:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

После ова, треба повторно да ги ажурирате правилата:

sudo suricata-update

Во овој момент, инсталацијата и почетната конфигурација на Suricata во Ubuntu 18.04 LTS може да се сметаат за завршени. Потоа започнува забавата: во следната статија ќе поврземе виртуелен сервер со канцелариската мрежа преку VPN и ќе започнеме да го анализираме целиот дојдовен и појдовен сообраќај. Посебно внимание ќе посветиме на блокирање на DDoS напади, активност на малициозен софтвер и обиди за искористување на пропустите во услугите достапни од јавните мрежи. За јасност, ќе се симулираат напади од најчестите типови.

Извор: www.habr.com