Статистикийн мэдээгээр сүлжээний урсгалын хэмжээ жил бүр 50 орчим хувиар нэмэгддэг. Энэ нь тоног төхөөрөмжийн ачаалал нэмэгдэхэд хүргэдэг бөгөөд ялангуяа IDS/IPS-ийн гүйцэтгэлийн шаардлагыг нэмэгдүүлдэг. Та үнэтэй тусгай тоног төхөөрөмж худалдан авч болно, гэхдээ илүү хямд сонголт байдаг - нээлттэй эхийн системүүдийн аль нэгийг хэрэгжүүлэх. Олон шинэхэн администраторууд үнэгүй IPS суулгах, тохируулах нь нэлээд хэцүү гэж боддог. Сурикатагийн хувьд энэ нь бүрэн үнэн биш юм - та үүнийг суулгаж, хэдхэн минутын дотор үнэгүй дүрмийн дагуу стандарт халдлагуудыг няцаах боломжтой.
Яагаад бидэнд өөр нээлттэй IPS хэрэгтэй байна вэ?
Урт хугацааны туршид стандарт гэж тооцогдож байсан Snort нь 6-ээд оны сүүлээс эхлэн хөгжиж ирсэн тул анхандаа нэг урсгалтай байсан. Олон жилийн туршид IPvXNUMX-ийн дэмжлэг, хэрэглээний түвшний протоколуудад дүн шинжилгээ хийх чадвар, эсвэл бүх нийтийн өгөгдөлд нэвтрэх модуль гэх мэт орчин үеийн бүх боломжуудыг олж авсан.
Үндсэн Snort 2.X хөдөлгүүр нь олон цөмтэй ажиллаж сурсан боловч нэг урсгалтай хэвээр байсан тул орчин үеийн техник хангамжийн платформуудыг оновчтой ашиглаж чадахгүй байна.
Системийн гурав дахь хувилбар дээр асуудал шийдэгдсэн боловч эхнээс нь бичсэн Суриката зах зээлд гарч чадсан тул бэлтгэхэд маш их хугацаа зарцуулсан. 2009 онд үүнийг IPS функцтэй Snort-ийн олон урсгалтай хувилбар болгон боловсруулж эхэлсэн. Энэ кодыг GPLv2 лицензийн дагуу түгээдэг боловч төслийн санхүүгийн түншүүд хөдөлгүүрийн хаалттай хувилбарт хандах боломжтой. Системийн эхний хувилбаруудад өргөтгөх чадвартай холбоотой зарим асуудал гарч ирсэн боловч тэдгээрийг нэлээд хурдан шийдвэрлэсэн.
Яагаад Суриката гэж?
Suricata нь хэд хэдэн модультай (Snort гэх мэт): барих, олж авах, код тайлах, илрүүлэх, гаралт. Анхдагч байдлаар, авсан урсгал нь нэг хэлхээнд код тайлагдахаас өмнө явагддаг боловч энэ нь системийг илүү их ачаалдаг. Шаардлагатай бол утсыг тохиргоонд хувааж, процессоруудын дунд тарааж болно - Suricata нь тодорхой техник хангамжид маш сайн тохируулагдсан боловч энэ нь эхлэгчдэд HOWTO түвшин байхаа больсон. Suricata нь HTP номын санд суурилсан HTTP шалгах дэвшилтэт хэрэгслүүдтэй гэдгийг тэмдэглэх нь зүйтэй. Мөн тэдгээрийг илрүүлэхгүйгээр замын хөдөлгөөний бүртгэлд ашиглаж болно. Систем нь IPv6-д код тайлахыг дэмждэг, үүнд IPv4-in-IPv6, IPv6-in-IPv6 туннел болон бусад.
Траффикийг таслан зогсоохын тулд янз бүрийн интерфейсийг ашиглаж болно (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) ба Unix Socket горимд та өөр sniffer-ийн авсан PCAP файлуудыг автоматаар шинжлэх боломжтой. Нэмж дурдахад, Сурикатагийн модульчлагдсан архитектур нь сүлжээний пакетуудыг барьж авах, код тайлах, дүн шинжилгээ хийх, боловсруулахад шинэ элементүүдийг холбоход хялбар болгодог. Сурикатад стандарт үйлдлийн системийн шүүлтүүрийг ашиглан замын хөдөлгөөнийг хаадаг гэдгийг анхаарах нь чухал юм. GNU/Linux дээр NFQUEUE дараалал (NFQ горим) болон тэг хуулбар (AF_PACKET горим) гэсэн хоёр сонголттой IPS ажиллах боломжтой. Эхний тохиолдолд iptables руу орж буй пакетийг NFQUEUE дараалал руу илгээдэг бөгөөд үүнийг хэрэглэгчийн түвшинд боловсруулж болно. Суриката үүнийг өөрийн дүрмийн дагуу ажиллуулдаг бөгөөд NF_ACCEPT, NF_DROP болон NF_REPEAT гэсэн гурван шийдвэрийн аль нэгийг гаргадаг. Эхний хоёр нь өөрөө ойлгомжтой боловч сүүлийнх нь пакетуудыг тэмдэглэж, одоогийн iptables хүснэгтийн эхэнд илгээх боломжийг олгодог. AF_PACKET горим нь илүү хурдан боловч системд хэд хэдэн хязгаарлалт тавьдаг: энэ нь хоёр сүлжээний интерфейстэй байх ёстой бөгөөд гарц болж ажиллах ёстой. Блоклосон пакетийг хоёр дахь интерфейс рүү дамжуулахгүй.
Suricata-ийн чухал онцлог нь Snort-д зориулсан хөгжүүлэлтийг ашиглах чадвар юм. Администратор нь ялангуяа Sourcefire VRT болон OpenSource Emerging Threats дүрмийн багц, мөн арилжааны Emerging Threats Pro-д хандах боломжтой. Нэгдсэн гаралтыг алдартай арын сүлжээг ашиглан шинжлэх боломжтой бөгөөд PCAP болон Syslog дээр гаралтыг дэмждэг. Системийн тохиргоо болон дүрмүүд нь YAML файлд хадгалагддаг бөгөөд тэдгээрийг уншихад хялбар, автоматаар боловсруулах боломжтой. Suricata хөдөлгүүр нь олон протоколыг хүлээн зөвшөөрдөг тул дүрмийг портын дугаартай холбох шаардлагагүй. Нэмж дурдахад, flowbit-ийн тухай ойлголтыг Суриката дүрмүүдэд идэвхтэй ашигладаг. Өдөөлтийг хянахын тулд янз бүрийн тоолуур болон тугуудыг үүсгэх, хэрэглэх боломжийг олгодог сессийн хувьсагчдыг ашигладаг. Олон IDS нь өөр өөр TCP холболтуудыг тусдаа нэгж гэж үздэг бөгөөд халдлагын эхлэлийг харуулахын тулд тэдгээрийн хоорондын холболтыг харахгүй байж болно. Суриката нь зургийг бүхэлд нь харахыг оролддог бөгөөд олон тохиолдолд янз бүрийн холболтоор тархсан хортой урсгалыг таньдаг. Бид түүний давуу талуудын талаар удаан хугацаанд ярьж болох тул суулгац, тохиргоо руу шилжих нь дээр.
Хэрхэн суулгах вэ?
Бид Suricata-г Ubuntu 18.04 LTS үйлдлийн системтэй виртуал сервер дээр суулгах болно. Бүх тушаалуудыг супер хэрэглэгчийн (root) хэлбэрээр гүйцэтгэх ёстой. Хамгийн найдвартай сонголт бол SSH-ээр серверт стандарт хэрэглэгчээр холбогдож, дараа нь sudo хэрэгслийг ашиглан давуу эрхээ нэмэгдүүлэх явдал юм. Эхлээд бидэнд хэрэгтэй багцуудыг суулгах хэрэгтэй:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsГадаад репозиторыг холбох:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSuricata-ийн хамгийн сүүлийн үеийн тогтвортой хувилбарыг суулгана уу:
sudo apt-get install suricataШаардлагатай бол тохиргооны файлын нэрийг засварлаж, өгөгдмөл eth0-г серверийн гадаад интерфейсийн бодит нэрээр солино уу. Өгөгдмөл тохиргоонууд нь /etc/default/suricata файлд, харин өөрчлөн тохируулсан тохиргоонууд нь /etc/suricata/suricata.yaml-д хадгалагдана. IDS тохиргоо нь ихэвчлэн энэ тохиргооны файлыг засварлахад хязгаарлагддаг. Энэ нь нэр, зорилгын хувьд Snort-ийн аналогитай давхцдаг олон параметртэй. Синтакс нь огт өөр боловч файлыг уншихад Snort тохиргооноос хамаагүй хялбар бөгөөд сайн тайлбартай байдаг.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Анхаар! Эхлэхээсээ өмнө vars хэсгээс хувьсагчийн утгыг шалгах хэрэгтэй.
Тохируулгыг дуусгахын тулд та дүрмийг шинэчлэх, татаж авахын тулд suricata-update програмыг суулгах шаардлагатай болно. Үүнийг хийхэд маш хялбар:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateДараа нь бид Emerging Threats Open дүрмийн багцыг суулгахын тулд suricata-update командыг ажиллуулах хэрэгтэй:
sudo suricata-update
Дүрмийн эх сурвалжуудын жагсаалтыг харахын тулд дараах тушаалыг ажиллуулна уу:
sudo suricata-update list-sources
Дүрмийн эх сурвалжийг шинэчлэх:
sudo suricata-update update-sources
Бид шинэчлэгдсэн эх сурвалжуудыг дахин харж байна:
sudo suricata-update list-sourcesШаардлагатай бол та боломжтой үнэгүй эх сурвалжуудыг оруулж болно:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistҮүний дараа та дүрмийг дахин шинэчлэх хэрэгтэй:
sudo suricata-updateЭнэ үед Ubuntu 18.04 LTS дээр Suricata-г суулгаж, анхны тохиргоог хийж дууссан гэж үзэж болно. Дараа нь хөгжилтэй зүйл эхэлнэ: дараагийн өгүүллээр бид виртуал серверийг VPN-ээр оффисын сүлжээнд холбож, ирж буй болон гарч буй бүх урсгалыг шинжлэх болно. Бид DDoS халдлага, хортой програмын үйл ажиллагаа, нийтийн сүлжээнээс нэвтрэх боломжтой үйлчилгээний эмзэг байдлыг ашиглах оролдлогыг хаахад онцгой анхаарал хандуулах болно. Тодорхой болгохын тулд хамгийн түгээмэл төрлийн халдлагуудыг дуурайлган хийх болно.
Эх сурвалж: www.habr.com