Skont l-istatistika, il-volum tat-traffiku tan-netwerk jiżdied b'madwar 50% kull sena. Dan iwassal għal żieda fit-tagħbija fuq it-tagħmir u, b'mod partikolari, iżid ir-rekwiżiti tal-prestazzjoni tal-IDS / IPS. Tista 'tixtri ħardwer speċjalizzat għali, iżda hemm għażla irħas - l-introduzzjoni ta' waħda mis-sistemi ta 'sors miftuħ. Ħafna amministraturi novizzi jsibuha diffiċli biex jinstallaw u jikkonfiguraw IPS b'xejn. Fil-każ ta 'Suricata, dan mhux għal kollox minnu - tista' tinstallaha u tibda tirrepeli attakki tipiċi b'sett ta 'regoli ħielsa fi ftit minuti.
Għaliex għandna bżonn IPS miftuħ ieħor?
Ftit meqjus bħala l-istandard, Snort ilu fl-iżvilupp mill-aħħar tas-snin disgħin, għalhekk kien oriġinarjament b'ħajt wieħed. Matul is-snin, dehru fiha l-karatteristiċi moderni kollha, bħall-appoġġ IPv6, il-kapaċità li tanalizza protokolli fil-livell ta 'applikazzjoni, jew modulu universali ta' aċċess għad-dejta.
Il-magna qalba Snort 2.X tgħallmet taħdem ma 'qlub multipli, iżda baqgħet b'ħajt wieħed u għalhekk ma tistax tieħu vantaġġ bl-aħjar mod mill-pjattaformi tal-ħardwer moderni.
Il-problema ġiet solvuta fit-tielet verżjoni tas-sistema, iżda tant damet biex tipprepara li Suricata, miktuba mill-bidu, irnexxielha tidher fis-suq. Fl-2009, bdiet tiġi żviluppata preċiżament bħala alternattiva b'ħafna kamini għal Snort, li għandha funzjonijiet IPS barra mill-kaxxa. Il-kodiċi huwa mqassam taħt il-liċenzja GPLv2, iżda l-imsieħba finanzjarji tal-proġett għandhom aċċess għal verżjoni magħluqa tal-magna. Xi problemi ta 'skalabbiltà qamu fl-ewwel verżjonijiet tas-sistema, iżda ġew solvuti malajr.
Għaliex Surica?
Suricata għandha diversi moduli (simili għal Snort): qbid, qbid, dekowd, skoperta, u output. B'mod awtomatiku, it-traffiku maqbud imur qabel id-dekodifikazzjoni fi fluss wieħed, għalkemm dan jgħabbi aktar is-sistema. Jekk meħtieġ, il-ħjut jistgħu jinqasmu fis-settings u mqassma fost il-proċessuri - Suricata huwa ottimizzat tajjeb ħafna għal ħardwer speċifiku, għalkemm dan m'għadux livell HOWTO għal dawk li jibdew. Ta 'min jinnota wkoll li Suricata għandha għodod avvanzati ta' spezzjoni HTTP ibbażati fuq il-librerija HTP. Jistgħu jintużaw ukoll biex jirreġistraw it-traffiku mingħajr skoperta. Is-sistema tappoġġja wkoll id-dekodifikazzjoni IPv6, inklużi mini IPv4-in-IPv6, mini IPv6-in-IPv6, u aktar.
Jistgħu jintużaw interfaces differenti biex jinterċettaw it-traffiku (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), u fil-mod Unix Socket, tista 'awtomatikament tanalizza fajls PCAP maqbuda minn sniffer ieħor. Barra minn hekk, l-arkitettura modulari ta 'Suricata tagħmilha faċli biex jiġu pplaggjati elementi ġodda biex jaqbdu, jiddekowdjaw, parse, u jipproċessaw pakketti tan-netwerk. Huwa importanti wkoll li wieħed jinnota li f'Suricata, it-traffiku huwa mblukkat permezz ta' filtru regolari tas-sistema operattiva. GNU/Linux għandu żewġ għażliet dwar kif jaħdem l-IPS: permezz tal-kju NFQUEUE (modalità NFQ) u permezz ta' kopja żero (modalità AF_PACKET). Fl-ewwel każ, il-pakkett li jidħol iptables jintbagħat lill-kju NFQUEUE, fejn jista 'jiġi pproċessat fil-livell tal-utent. Suricata tmexxiha skont ir-regoli tagħha stess u toħroġ waħda minn tliet verdetti: NF_ACCEPT, NF_DROP u NF_REPEAT. L-ewwel tnejn jispjegaw lilhom infushom, filwaqt li l-aħħar jippermetti li l-pakketti jiġu mmarkati u mibgħuta fil-quċċata tat-tabella iptables attwali. Il-mod AF_PACKET huwa aktar mgħaġġel, iżda jimponi numru ta 'restrizzjonijiet fuq is-sistema: għandu jkollu żewġ interfaces tan-netwerk u jaħdem bħala gateway. Il-pakkett imblukkat sempliċement ma jintbagħatx lit-tieni interface.
Karatteristika importanti ta 'Suricata hija l-abbiltà li tuża żviluppi għal Snort. L-amministratur għandu aċċess, b'mod partikolari, għas-settijiet ta' regoli ta' Sourcefire VRT u OpenSource Emerging Threats, kif ukoll għall-Emerging Threats Pro kummerċjali. L-output unifikat jista 'jiġi parsed bl-użu ta' backends popolari, l-output PCAP u Syslog huwa appoġġjat ukoll. Is-settings u r-regoli tas-sistema huma maħżuna f'fajls YAML, li huma faċli biex jinqraw u jistgħu jiġu pproċessati awtomatikament. Il-magna Suricata tirrikonoxxi ħafna protokolli, għalhekk ir-regoli m'għandhomx għalfejn ikunu marbuta ma 'numru tal-port. Barra minn hekk, il-kunċett ta 'flowbits huwa pprattikat b'mod attiv fir-regoli ta' Suricata. Biex jintraċċaw il-grillu, jintużaw varjabbli tas-sessjoni biex joħolqu u japplikaw diversi counters u bnadar. Ħafna IDSs jittrattaw konnessjonijiet TCP differenti bħala entitajiet separati u jistgħu ma jarawx konnessjoni bejniethom li tindika l-bidu ta 'attakk. Suricata jipprova jara l-istampa kollha u f'ħafna każijiet jirrikonoxxi traffiku malizzjuż imqassam fuq konnessjonijiet differenti. Tista 'titkellem dwar il-vantaġġi tagħha għal żmien twil, aħjar nimxu fuq l-installazzjoni u l-konfigurazzjoni.
Kif tinstalla?
Se nkunu qed ninstallaw Suricata fuq server virtwali li jħaddem Ubuntu 18.04 LTS. Il-kmandi kollha għandhom jiġu esegwiti f'isem is-superuser (root). L-iktar għażla sigura hija li SSH fis-server bħala utent normali u mbagħad tuża l-utilità sudo biex tgħolli l-privileġġi. L-ewwel trid tinstalla l-pakketti li għandna bżonn:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsKonnessjoni ta' repożitorju estern:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateInstalla l-aħħar verżjoni stabbli ta 'Suricata:
sudo apt-get install suricataJekk meħtieġ, editja l-isem tal-fajls tal-konfigurazzjoni, u tissostitwixxi l-eth0 default bl-isem attwali tal-interface esterna tas-server. Is-settings default huma maħżuna fil-fajl /etc/default/suricata, u s-settings tad-dwana huma maħżuna f' /etc/suricata/suricata.yaml. Il-konfigurazzjoni tal-IDS hija l-aktar limitata għall-editjar ta' dan il-fajl tal-konfigurazzjoni. Għandu ħafna parametri li, bl-isem u l-iskop, jikkoinċidu ma 'analogi minn Snort. Is-sintassi hija pjuttost differenti, madankollu, iżda l-fajl huwa ħafna aktar faċli biex jinqara minn Snort configs, u huwa kkummentat tajjeb.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Attenzjoni! Qabel ma tibda, ta 'min iċċekkja l-valuri tal-varjabbli mit-taqsima vars.
Biex tlesti s-setup, ser ikollok bżonn tinstalla suricata-update biex taġġorna u tgħabbi r-regoli. Huwa pjuttost faċli li tagħmel dan:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateSussegwentement, irridu nħaddmu l-kmand ta' l-aġġornament tas-suricata biex ninstallaw is-sett ta' regoli Emerging Threats Open:
sudo suricata-update
Biex tara l-lista tas-sorsi tar-regoli, mexxi l-kmand li ġej:
sudo suricata-update list-sources
Aġġorna s-sorsi tar-regoli:
sudo suricata-update update-sources
Reviżjoni tas-sorsi aġġornati:
sudo suricata-update list-sourcesJekk meħtieġ, tista' tinkludi sorsi disponibbli b'xejn:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistWara dan, trid taġġorna r-regoli mill-ġdid:
sudo suricata-updateDan itemm l-installazzjoni u l-konfigurazzjoni inizjali ta 'Suricata f'Ubuntu 18.04 LTS. Imbagħad jibda l-gost: fl-artiklu li jmiss, aħna se nikkonnettjaw server virtwali man-netwerk tal-uffiċċju permezz ta 'VPN u nibdew nanalizzaw it-traffiku kollu deħlin u ħerġin. Se nagħtu attenzjoni speċjali lill-imblukkar ta' attakki DDoS, attività ta' malware u tentattivi biex nisfruttaw il-vulnerabbiltajiet f'servizzi aċċessibbli minn netwerks pubbliċi. Għaċ-ċarezza, se jiġu simulati attakki tat-tipi l-aktar komuni.
Sors: www.habr.com