Snort किंवा Suricata. भाग 2: Suricata ची स्थापना आणि प्रारंभिक सेटअप

आकडेवारीनुसार, नेटवर्क रहदारीचे प्रमाण दरवर्षी सुमारे 50% वाढते. यामुळे उपकरणांवरील भार वाढतो आणि विशेषतः IDS/IPS च्या कार्यक्षमतेची आवश्यकता वाढते. आपण महाग विशेष हार्डवेअर खरेदी करू शकता, परंतु एक स्वस्त पर्याय आहे - ओपन सोर्स सिस्टमपैकी एकाचा परिचय. अनेक नवशिक्या प्रशासकांना विनामूल्य IPS स्थापित करणे आणि कॉन्फिगर करणे कठीण वाटते. Suricata च्या बाबतीत, हे पूर्णपणे सत्य नाही - आपण ते स्थापित करू शकता आणि काही मिनिटांत विनामूल्य नियमांच्या संचासह ठराविक हल्ले मागे घेणे सुरू करू शकता.

Snort किंवा Suricata. भाग 1: तुमच्या कॉर्पोरेट नेटवर्कचे संरक्षण करण्यासाठी विनामूल्य IDS/IPS निवडणे

आम्हाला दुसर्‍या ओपन आयपीएसची गरज का आहे?

दीर्घकाळ मानक मानले जाते, स्नॉर्ट नव्वदच्या दशकाच्या उत्तरार्धापासून विकसित होत आहे, म्हणून ते मूळतः एकल-थ्रेडेड होते. गेल्या काही वर्षांत, सर्व आधुनिक वैशिष्ट्ये त्यात दिसू लागली आहेत, जसे की IPv6 समर्थन, अनुप्रयोग-स्तरीय प्रोटोकॉलचे विश्लेषण करण्याची क्षमता किंवा सार्वत्रिक डेटा ऍक्सेस मॉड्यूल.

कोर स्नॉर्ट 2.X इंजिन एकाधिक कोरसह कार्य करण्यास शिकले आहे, परंतु ते एकल-थ्रेडेड राहिले आहे आणि त्यामुळे आधुनिक हार्डवेअर प्लॅटफॉर्मचा चांगल्या प्रकारे फायदा घेऊ शकत नाही.

सिस्टमच्या तिसर्‍या आवृत्तीमध्ये समस्या सोडवली गेली, परंतु तयार होण्यास इतका वेळ लागला की सुरवातीपासून लिहिलेले सुरिकाटा बाजारात दिसण्यास व्यवस्थापित झाले. 2009 मध्ये, स्नॉर्टला बहु-थ्रेडेड पर्याय म्हणून तंतोतंत विकसित केले जाऊ लागले, ज्यामध्ये बॉक्सच्या बाहेर IPS वैशिष्ट्ये आहेत. कोड GPLv2 परवान्याअंतर्गत वितरित केला जातो, परंतु प्रकल्पाच्या आर्थिक भागीदारांना इंजिनच्या बंद आवृत्तीमध्ये प्रवेश असतो. प्रणालीच्या पहिल्या आवृत्त्यांमध्ये काही स्केलेबिलिटी समस्या उद्भवल्या, परंतु त्या त्वरीत सोडवण्यात आल्या.

सुरिका का?

Suricata मध्ये अनेक मॉड्यूल आहेत (Snort प्रमाणे): कॅप्चर, कॅप्चर, डीकोड, शोध आणि आउटपुट. डीफॉल्टनुसार, कॅप्चर केलेली रहदारी एका स्ट्रीममध्ये डीकोड करण्यापूर्वी जाते, जरी यामुळे सिस्टम अधिक लोड होते. आवश्यक असल्यास, थ्रेड्स सेटिंग्जमध्ये विभागले जाऊ शकतात आणि प्रोसेसरमध्ये वितरीत केले जाऊ शकतात - विशिष्ट हार्डवेअरसाठी Suricata खूप चांगले ऑप्टिमाइझ केलेले आहे, जरी हे आता नवशिक्यांसाठी HOWTO स्तर नाही. हे देखील लक्षात घेण्यासारखे आहे की Suricata कडे एचटीपी लायब्ररीवर आधारित प्रगत HTTP तपासणी साधने आहेत. ते शोध न घेता रहदारी लॉग करण्यासाठी देखील वापरले जाऊ शकते. IPv6-इन-IPv4 बोगदे, IPv6-इन-IPv6 बोगदे आणि बरेच काही यासह, सिस्टम IPv6 डीकोडिंगला देखील समर्थन देते.

ट्रॅफिक (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) रोखण्यासाठी वेगवेगळे इंटरफेस वापरले जाऊ शकतात आणि युनिक्स सॉकेट मोडमध्ये, तुम्ही दुसऱ्या स्निफरद्वारे कॅप्चर केलेल्या PCAP फाइल्सचे आपोआप विश्लेषण करू शकता. याव्यतिरिक्त, Suricata चे मॉड्यूलर आर्किटेक्चर नेटवर्क पॅकेट्स कॅप्चर, डीकोड, पार्स आणि प्रक्रिया करण्यासाठी नवीन घटक प्लग इन करणे सोपे करते. हे लक्षात घेणे देखील महत्त्वाचे आहे की Suricata मध्ये, ऑपरेटिंग सिस्टमच्या नियमित फिल्टरद्वारे रहदारी अवरोधित केली जाते. IPS कसे कार्य करते यासाठी GNU/Linux कडे दोन पर्याय आहेत: NFQUEUE क्यूद्वारे (NFQ मोड) आणि शून्य कॉपीद्वारे (AF_PACKET मोड). पहिल्या प्रकरणात, iptables मध्ये प्रवेश करणारे पॅकेट NFQUEUE रांगेत पाठवले जाते, जेथे वापरकर्ता स्तरावर त्यावर प्रक्रिया केली जाऊ शकते. Suricata हे त्याच्या स्वतःच्या नियमांनुसार चालवते आणि तीनपैकी एक निकाल जारी करते: NF_ACCEPT, NF_DROP आणि NF_REPEAT. पहिले दोन स्वयं-स्पष्टीकरणात्मक आहेत, तर शेवटचे पॅकेट टॅग केले जाण्याची आणि वर्तमान iptables टेबलच्या शीर्षस्थानी पाठवण्याची परवानगी देते. AF_PACKET मोड वेगवान आहे, परंतु ते सिस्टमवर अनेक निर्बंध लादते: त्यात दोन नेटवर्क इंटरफेस असणे आवश्यक आहे आणि गेटवे म्हणून कार्य करणे आवश्यक आहे. ब्लॉक केलेले पॅकेट फक्त दुसऱ्या इंटरफेसवर फॉरवर्ड केले जात नाही.

Suricata चे एक महत्त्वाचे वैशिष्ट्य म्हणजे Snort साठी विकास वापरण्याची क्षमता. अ‍ॅडमिनिस्ट्रेटरला विशेषतः सोर्सफायर VRT आणि ओपनसोर्स इमर्जिंग थ्रेट नियम सेट तसेच व्यावसायिक इमर्जिंग थ्रेट प्रोमध्ये प्रवेश असतो. युनिफाइड आउटपुट लोकप्रिय बॅकएंड वापरून पार्स केले जाऊ शकते, PCAP आणि Syslog आउटपुट देखील समर्थित आहे. सिस्टम सेटिंग्ज आणि नियम YAML फायलींमध्ये संग्रहित केले जातात, जे वाचण्यास सोपे आहेत आणि स्वयंचलितपणे प्रक्रिया केली जाऊ शकतात. Suricata इंजिन अनेक प्रोटोकॉल ओळखते, त्यामुळे नियमांना पोर्ट नंबरशी जोडण्याची आवश्यकता नाही. याव्यतिरिक्त, फ्लोबिट्सची संकल्पना सक्रियपणे सुरीकाटाच्या नियमांमध्ये वापरली जाते. ट्रिगर ट्रॅक करण्यासाठी, विविध काउंटर आणि ध्वज तयार करण्यासाठी आणि लागू करण्यासाठी सत्र व्हेरिएबल्स वापरले जातात. अनेक IDS वेगवेगळ्या TCP कनेक्शनला स्वतंत्र संस्था मानतात आणि कदाचित त्यांच्यामध्ये असे कनेक्शन दिसत नाही जे आक्रमणाची सुरुवात दर्शवते. Suricata संपूर्ण चित्र पाहण्याचा प्रयत्न करते आणि बर्‍याच प्रकरणांमध्ये भिन्न कनेक्शनवर वितरित दुर्भावनापूर्ण रहदारी ओळखते. आपण त्याच्या फायद्यांबद्दल दीर्घकाळ बोलू शकता, आम्ही इंस्टॉलेशन आणि कॉन्फिगरेशनकडे जाणे चांगले आहे.

कसे स्थापित करावे?

आम्ही Ubuntu 18.04 LTS चालवणाऱ्या व्हर्च्युअल सर्व्हरवर Suricata स्थापित करणार आहोत. सर्व आज्ञा सुपरयुजर (रूट) च्या वतीने कार्यान्वित केल्या पाहिजेत. सामान्य वापरकर्ता म्हणून सर्व्हरमध्ये SSH करणे आणि नंतर विशेषाधिकार वाढविण्यासाठी sudo उपयुक्तता वापरणे हा सर्वात सुरक्षित पर्याय आहे. प्रथम आपल्याला आवश्यक असलेली पॅकेजेस स्थापित करण्याची आवश्यकता आहे:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

बाह्य भांडार कनेक्ट करणे:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

Suricata ची नवीनतम स्थिर आवृत्ती स्थापित करा:

sudo apt-get install suricata

आवश्यक असल्यास, सर्व्हरच्या बाह्य इंटरफेसच्या वास्तविक नावाने डीफॉल्ट eth0 बदलून कॉन्फिगरेशन फाइल्सचे नाव संपादित करा. डीफॉल्ट सेटिंग्ज /etc/default/suricata फाइलमध्ये संग्रहित केल्या जातात आणि कस्टम सेटिंग्ज /etc/suricata/suricata.yaml मध्ये संग्रहित केल्या जातात. IDS कॉन्फिगर करणे हे मुख्यतः ही कॉन्फिगरेशन फाइल संपादित करण्यापुरते मर्यादित आहे. यात बरेच पॅरामीटर्स आहेत जे नाव आणि हेतूनुसार, स्नॉर्टमधील अॅनालॉग्सशी जुळतात. तथापि, वाक्यरचना पूर्णपणे भिन्न आहे, परंतु फाईल स्नॉर्ट कॉन्फिगच्या तुलनेत वाचण्यास खूपच सोपी आहे आणि त्यावर चांगली टिप्पणी केली आहे.

sudo nano /etc/default/suricata

и

sudo nano /etc/suricata/suricata.yaml

लक्ष द्या! प्रारंभ करण्यापूर्वी, vars विभागातील व्हेरिएबल्सची मूल्ये तपासणे योग्य आहे.

सेटअप पूर्ण करण्यासाठी, तुम्हाला नियम अपडेट आणि लोड करण्यासाठी suricata-update इंस्टॉल करावे लागेल. हे करणे खूप सोपे आहे:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

पुढे, इमर्जिंग थ्रेट्स ओपन नियम सेट स्थापित करण्यासाठी आम्हाला suricata-update कमांड चालवावी लागेल:

sudo suricata-update

नियम स्त्रोतांची सूची पाहण्यासाठी, खालील आदेश चालवा:

sudo suricata-update list-sources

नियम स्रोत अद्यतनित करा:

sudo suricata-update update-sources

अद्ययावत स्त्रोतांची पुनरावृत्ती करत आहे:

sudo suricata-update list-sources

आवश्यक असल्यास, आपण उपलब्ध विनामूल्य स्त्रोत समाविष्ट करू शकता:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

त्यानंतर, आपल्याला नियम पुन्हा अद्यतनित करण्याची आवश्यकता आहे:

sudo suricata-update

हे Ubuntu 18.04 LTS मध्ये Suricata ची स्थापना आणि प्रारंभिक कॉन्फिगरेशन पूर्ण करते. मग मजा सुरू होते: पुढच्या लेखात, आम्ही व्हर्च्युअल सर्व्हरला ऑफिस नेटवर्कशी VPN द्वारे कनेक्ट करू आणि सर्व येणार्‍या आणि जाणार्‍या रहदारीचे विश्लेषण करू. आम्ही DDoS हल्ले, मालवेअर अ‍ॅक्टिव्हिटी आणि सार्वजनिक नेटवर्कवरून अॅक्सेस करण्यायोग्य सेवांमधील भेद्यतेचे शोषण करण्याच्या प्रयत्नांना ब्लॉक करण्यावर विशेष लक्ष देऊ. स्पष्टतेसाठी, सर्वात सामान्य प्रकारचे हल्ले नक्कल केले जातील.

स्त्रोत: www.habr.com