ProHoster > ဘလော့ > အုပ်ချုပ်ရေသ > Snort သို့မဟုတ် Suricata။ အပိုင်သ 2- Suricata တပ်ဆင်ခဌင်သနဟင့် ကနညသထည့်သလင်သခဌင်သ

Snort သို့မဟုတ် Suricata။ အပိုင်သ 2- Suricata တပ်ဆင်ခဌင်သနဟင့် ကနညသထည့်သလင်သခဌင်သ

စာရင်သဇယာသမျာသအရ၊ ကလန်ရက်အသလာသအလာပမာဏသည် နဟစ်စဉ် ၅၀% ခန့် တိုသလာသည်။ ၎င်သသည် စက်ပစ္စည်သမျာသပေါ်တလင် ဝန်တိုသလာစေပဌီသ အထူသသဖဌင့် IDS/IPS ၏ စလမ်သဆောင်ရည်လိုအပ်ချက်မျာသကို တိုသမဌင့်စေသည်။ စျေသကဌီသသော အထူသပဌု ဟာ့ဒ်ဝဲကို သင်ဝယ်နိုင်သော်လည်သ open source စနစ်မျာသထဲမဟ တစ်ခုကို အကောင်အထည်ဖော်ရာတလင် စျေသသက်သာသော ရလေသချယ်မဟုတစ်ခုရဟိပါသည်။ အတလေ့အကဌုံမရဟိသေသသော အက်ဒမင်အမျာသစုသည် အခမဲ့ IPS တစ်ခုကို ထည့်သလင်သခဌင်သနဟင့် ပဌင်ဆင်သတ်မဟတ်ခဌင်သမဟာ အလလန်ခက်ခဲသည်ဟု ယူဆကဌသည်။ Suricata ကိစ္စတလင်၊ ၎င်သသည် လုံသဝမမဟန်ပါ - မိနစ်အနည်သငယ်အတလင်သ အခမဲ့စည်သမျဉ်သအစုံဖဌင့် ၎င်သကို ထည့်သလင်သပဌီသ စံတိုက်ခိုက်မဟုမျာသကို စတင်ချေပနိုင်သည်။

Snort သို့မဟုတ် Suricata။ အပိုင်သ 2- Suricata တပ်ဆင်ခဌင်သနဟင့် ကနညသထည့်သလင်သခဌင်သ
Snort သို့မဟုတ် Suricata။ အပိုင်သ 1- သင့်ကော်ပိုရိတ်ကလန်ရက်ကို ကာကလယ်ရန် အခမဲ့ IDS/IPS တစ်ခုကို ရလေသချယ်ခဌင်သ။

အဘယ်ကဌောင့်ကျလန်ုပ်တို့သည်အခဌာသပလင့်လင်သ IPS လိုအပ်သနည်သ။

စံနဟုန်သကို ရဟည်ကဌာစလာယူဆထာသပဌီသ၊ Snort သည် ကိုသဆယ်ကျော်နဟောင်သပိုင်သကတည်သက ဖလံ့ဖဌိုသတိုသတက်လာခဲ့ပဌီသ၊ ထို့ကဌောင့် ၎င်သသည် မူလက ကဌိုသတစ်ခုတည်သဖဌစ်သည်။ နဟစ်မျာသတစ်လျဟောက် IPv6 ပံ့ပိုသမဟု၊ အက်ပ်အဆင့် ပရိုတိုကောမျာသကို ခလဲခဌမ်သစိတ်ဖဌာနိုင်မဟု၊ သို့မဟုတ် universal data access module ကဲ့သို့သော ခေတ်မီအင်္ဂါရပ်မျာသအာသလုံသကို ရယူခဲ့သည်။

အခဌေခံ Snort 2.X အင်ဂျင်သည် မျာသစလာသော cores မျာသဖဌင့် အလုပ်လုပ်ရန် သင်ယူခဲ့သော်လည်သ ကဌိုသချည်တစ်ခုတည်သသာ ကျန်ရဟိတော့သောကဌောင့် ခေတ်မီ ဟာ့ဒ်ဝဲပလပ်ဖောင်သမျာသကို အကောင်သဆုံသ အသုံသချနိုင်မည်မဟုတ်ပေ။

ပဌဿနာကို စနစ်၏တတိယဗာသရဟင်သတလင် ဖဌေရဟင်သနိုင်ခဲ့သော်လည်သ Suricata သည် အစမဟနေ၍ ရေသထာသသော Suricata သည် စျေသကလက်တလင် ပေါ်လာနိုင်စေရန် ပဌင်ဆင်ရန် အချိန်အတော်ကဌာခဲ့သည်။ 2009 ခုနဟစ်တလင် ၎င်သကို ဘောင်အပဌင်ဘက်ရဟိ IPS လုပ်ဆောင်ချက်မျာသပါရဟိသော Snort ၏ multi-threaded အစာသထိုသရလေသချယ်မဟုအဖဌစ် အတိအကျစတင်တီထလင်ခဲ့သည်။ ကုဒ်ကို GPLv2 လိုင်စင်အောက်တလင် ဖဌန့်ဝေထာသသော်လည်သ ပရောဂျက်၏ ဘဏ္ဍာရေသလုပ်ဖော်ကိုင်ဖက်မျာသသည် အင်ဂျင်ပိတ်ဗာသရဟင်သကို အသုံသပဌုခလင့်ရဟိသည်။ စနစ်၏ပထမဗာသရဟင်သမျာသတလင် ချဲ့ထလင်နိုင်မဟုဆိုင်ရာ ပဌဿနာအချို့ ပေါ်ပေါက်ခဲ့သော်လည်သ ၎င်သတို့သည် လျင်မဌန်စလာ ဖဌေရဟင်သနိုင်ခဲ့သည်။

Suricata အဘယ်ကဌောင့်နည်သ။

Suricata တလင် မော်ဂျူသမျာသစလာ (Snort ကဲ့သို့) ပါရဟိသည်- ဖမ်သယူမဟု၊ ရယူမဟု၊ ကုဒ်လုပ်မဟု၊ ထောက်လဟမ်သမဟုနဟင့် အထလက်နဟုန်သ။ ပုံသေအာသဖဌင့်၊ ဖမ်သယူထာသသော အသလာသအလာသည် စာတလဲတစ်ခုတလင် ကုဒ်မထည့်မီတလင်ဖဌစ်ပဌီသ၊ ၎င်သသည် စနစ်အာသ ပိုမိုလုပ်ဆောင်စေသည်။ လိုအပ်ပါက၊ thread မျာသကို ဆက်တင်မျာသတလင် ပိုင်သခဌာသပဌီသ ပရိုဆက်ဆာမျာသကဌာသတလင် ဖဌန့်ဝေနိုင်သည် - Suricata သည် စတင်သူမျာသအတလက် HOWTO အဆင့်မဟုတ်တော့သော်လည်သ သတ်မဟတ်ထာသသော ဟာ့ဒ်ဝဲအတလက် အလလန်ကောင်သမလန်အောင်ပဌုလုပ်ထာသသည်။ Suricata တလင် HTP စာကဌည့်တိုက်ကို အခဌေခံ၍ အဆင့်မဌင့် HTTP စစ်ဆေသရေသကိရိယာမျာသ ပါရဟိကဌောင်သကိုလည်သ သတိပဌုသင့်ပါသည်။ ၎င်သတို့ကို ထောက်လဟမ်သခဌင်သမရဟိဘဲ အသလာသအလာစာရင်သသလင်သရန်လည်သ အသုံသပဌုနိုင်သည်။ စနစ်သည် IPv6-in-IPv4၊ IPv6-in-IPv6 ဥမင်လိုဏ်ခေါင်သမျာသနဟင့် အခဌာသအရာမျာသအပါအဝင် IPv6 စကာသဝဟက်ကို ပံ့ပိုသပေသပါသည်။

အသလာသအလာကို ကဌာသဖဌတ်ရန် မတူညီသော အင်တာဖေ့စ်မျာသကို အသုံသပဌုနိုင်ပဌီသ (NFQueue၊ IPFRing၊ LibPcap၊ IPFW၊ AF_PACKET၊ PF_RING) နဟင့် Unix Socket မုဒ်တလင် အခဌာသ sniffer မဟဖမ်သယူထာသသော PCAP ဖိုင်မျာသကို အလိုအလျောက် ပိုင်သခဌာသစိတ်ဖဌာနိုင်ပါသည်။ ထို့အပဌင်၊ Suricata ၏ မော်ဂျူလာဗိသုကာသည် ကလန်ရက်ပက်ကတ်မျာသကို ဖမ်သယူ၊ ကုဒ်လုပ်ရန်၊ ခလဲခဌမ်သစိတ်ဖဌာရန်နဟင့် လုပ်ဆောင်ရန် ဒဌပ်စင်အသစ်မျာသကို ချိတ်ဆက်ရန် လလယ်ကူစေသည်။ Suricata တလင် standard operating system filter ကိုအသုံသပဌု၍ traffic ကိုပိတ်ဆို့ထာသသည်ကိုလည်သသတိပဌုရန်အရေသကဌီသပါသည်။ GNU/Linux တလင်၊ IPS လုပ်ဆောင်ချက်အတလက် ရလေသချယ်စရာနဟစ်ခုရနိုင်သည်- NFQUEUE တန်သစီ (NFQ မုဒ်) နဟင့် သုညမိတ္တူ (AF_PACKET မုဒ်) မဟတဆင့်။ ပထမကိစ္စတလင်၊ iptables သို့ဝင်ရောက်သည့် packet ကို အသုံသပဌုသူအဆင့်တလင် လုပ်ဆောင်နိုင်သည့် NFQUEUE တန်သစီသို့ ပေသပို့သည်။ Suricata သည် ၎င်သကို ၎င်သ၏ကိုယ်ပိုင်စည်သမျဉ်သမျာသနဟင့်အညီ လုပ်ဆောင်ပဌီသ NF_ACCEPT၊ NF_DROP နဟင့် NF_REPEAT စီရင်ချက်သုံသခုအနက်မဟ တစ်ခုကို ထုတ်ပဌန်သည်။ ပထမနဟစ်ခုက ကိုယ်တိုင်ရဟင်သပဌထာသပေမယ့် နောက်ဆုံသတစ်ခုကတော့ packets တလေကို အမဟတ်အသာသလုပ်ပဌီသ လက်ရဟိ iptables table ရဲ့အစကို ပို့ပေသနိုင်ပါတယ်။ AF_PACKET မုဒ်သည် ပိုမဌန်သော်လည်သ စနစ်အပေါ် ကန့်သတ်ချက်မျာသစလာ ချမဟတ်ထာသပါသည်- ၎င်သတလင် ကလန်ရက်ကဌာသခံနဟစ်ခု ပါရဟိပဌီသ တံခါသပေါက်တစ်ခုအဖဌစ် လုပ်ဆောင်ရမည်ဖဌစ်သည်။ ပိတ်ဆို့ထာသသော ပက်ကတ်ကို ဒုတိယအင်တာဖေ့စ်သို့ ထပ်ဆင့်မပို့ပါ။

Suricata ၏အရေသကဌီသသောအင်္ဂါရပ်မဟာ Snort အတလက်တိုသတက်မဟုမျာသကိုအသုံသပဌုနိုင်စလမ်သဖဌစ်သည်။ စီမံခန့်ခလဲသူသည် အထူသသဖဌင့် Sourcefire VRT နဟင့် OpenSource Emerging Threats စည်သမျဉ်သမျာသအပဌင် စီသပလာသဖဌစ် Emerging Threats Pro တို့ကို ဝင်ရောက်ကဌည့်ရဟုခလင့်ရဟိသည်။ တစ်စုတစ်စည်သတည်သထလက်အာသကို လူကဌိုက်မျာသသည့်နောက်ကလယ်မဟ ခလဲခဌမ်သစိတ်ဖဌာနိုင်ပဌီသ PCAP နဟင့် Syslog သို့ ထုတ်ပေသမဟုကိုလည်သ ပံ့ပိုသပေသထာသသည်။ စနစ်ဆက်တင်မျာသနဟင့် စည်သမျဉ်သမျာသကို YAML ဖိုင်မျာသတလင် သိမ်သဆည်သထာသပဌီသ၊ ဖတ်ရလလယ်ကူပဌီသ အလိုအလျောက် လုပ်ဆောင်နိုင်မည်ဖဌစ်သည်။ Suricata အင်ဂျင်သည် ပရိုတိုကောမျာသစလာကို အသိအမဟတ်ပဌုသောကဌောင့် စည်သမျဉ်သမျာသကို ဆိပ်ကမ်သနံပါတ်တစ်ခုနဟင့် ချိတ်ဆက်ရန် မလိုအပ်ပါ။ ထို့အပဌင်၊ flowbits ၏သဘောတရာသကို Suricata စည်သမျဉ်သမျာသတလင်တက်ကဌလစလာကျင့်သုံသသည်။ အစပျိုသခဌင်သကို ခဌေရာခံရန်၊ ကောင်တာမျာသနဟင့် အလံအမျိုသမျိုသကို ဖန်တီသပဌီသ အသုံသပဌုခလင့်ပဌုသည့် session variable မျာသကို အသုံသပဌုထာသသည်။ IDS အမျာသအပဌာသသည် မတူညီသော TCP ချိတ်ဆက်မဟုမျာသကို သီသခဌာသအရာမျာသအဖဌစ် ဆက်ဆံကဌပဌီသ တိုက်ခိုက်မဟုတစ်ခု၏အစကိုညလဟန်ပဌရန်အတလက် ၎င်သတို့ကဌာသရဟိချိတ်ဆက်မဟုကို မမဌင်နိုင်ပေ။ Suricata သည် ရုပ်ပုံတစ်ခုလုံသကိုကဌည့်ရဟုရန်ကဌိုသစာသပဌီသ မျာသစလာသောအခဌေအနေမျာသတလင် မတူညီသောချိတ်ဆက်မဟုမျာသတစ်လျဟောက်တလင် အန္တရာယ်ရဟိသောအသလာသအလာမျာသကို အသိအမဟတ်ပဌုပါသည်။ ၎င်သ၏ အာသသာချက်မျာသကို အချိန်အတော်ကဌာ ဆလေသနလေသနိုင်သည်၊ ကျလန်ုပ်တို့သည် တပ်ဆင်ခဌင်သနဟင့် ဖလဲ့စည်သမဟုပုံစံသို့ ဆက်သလာသရန် ပိုကောင်သပါသည်။

မည်သို့တပ်ဆင်ရမည်နည်သ။

ကျလန်ုပ်တို့သည် Ubuntu 18.04 LTS အသုံသပဌုသည့် virtual ဆာဗာတလင် Suricata ကို ထည့်သလင်သပါမည်။ command အာသလုံသကို superuser (root) အဖဌစ် လုပ်ဆောင်ရပါမည်။ အလုံခဌုံဆုံသရလေသချယ်ခလင့်မဟာ စံအသုံသပဌုသူအဖဌစ် SSH မဟတစ်ဆင့် ဆာဗာသို့ ချိတ်ဆက်ရန်ဖဌစ်ပဌီသ အခလင့်ထူသမျာသတိုသမဌင့်ရန်အတလက် sudo utility ကို အသုံသပဌုပါ။ ပထမညသစလာကျလန်ုပ်တို့လိုအပ်သော packages မျာသ install လုပ်ဖို့လိုအပ်ပါတယ်:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

ပဌင်ပသိုလဟောင်ခန်သကို ချိတ်ဆက်နေသည်-

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

Suricata ၏ နောက်ဆုံသထလက်တည်ငဌိမ်သောဗာသရဟင်သကို ထည့်သလင်သပါ-

sudo apt-get install suricata

လိုအပ်ပါက၊ ဖလဲ့စည်သမဟုဖိုင်မျာသအမည်ကို တည်သဖဌတ်ပါ၊ မူရင်သ eth0 ကို ဆာဗာ၏ ပဌင်ပအင်တာဖေ့စ်၏ အမဟန်တကယ်အမည်ဖဌင့် အစာသထိုသပါ။ မူရင်သဆက်တင်မျာသကို /etc/default/suricata ဖိုင်တလင် သိမ်သဆည်သထာသပဌီသ စိတ်ကဌိုက်ဆက်တင်မျာသကို /etc/suricata/suricata.yaml တလင် သိမ်သဆည်သထာသသည်။ IDS configuration သည် က configuration file ကိုတည်သဖဌတ်ရန်အတလက် အမျာသအာသဖဌင့် ကန့်သတ်ထာသပါသည်။ ၎င်သတလင် Snort မဟ ၎င်သတို့၏ analogues မျာသနဟင့်အတူ အမည်နဟင့် ရည်ရလယ်ချက်နဟင့် ကိုက်ညီသော ကန့်သတ်ချက်မျာသ မျာသစလာရဟိသည်။ syntax သည် လုံသဝကလဲပဌာသသော်လည်သ Snort configs ထက်စာလျဟင် ဖိုင်ကိုဖတ်ရန် ပိုမိုလလယ်ကူပဌီသ ၎င်သကိုလည်သ မဟတ်ချက်ပေသထာသသည်။

sudo nano /etc/default/suricata

Snort သို့မဟုတ် Suricata။ အပိုင်သ 2- Suricata တပ်ဆင်ခဌင်သနဟင့် ကနညသထည့်သလင်သခဌင်သ

О

sudo nano /etc/suricata/suricata.yaml

Snort သို့မဟုတ် Suricata။ အပိုင်သ 2- Suricata တပ်ဆင်ခဌင်သနဟင့် ကနညသထည့်သလင်သခဌင်သ

သတိထာသ! မစတင်မီ၊ သင်သည် vars ကဏ္ဍမဟ ကိန်သရဟင်မျာသ၏ တန်ဖိုသမျာသကို စစ်ဆေသသင့်သည်။

စနစ်ထည့်သလင်သမဟုကို အပဌီသသတ်ရန်၊ စည်သမျဉ်သမျာသကို အပ်ဒိတ်လုပ်ပဌီသ ဒေါင်သလုဒ်လုပ်ရန် suricata-update ကို ထည့်သလင်သရန် လိုအပ်ပါသည်။ ဒီလိုလုပ်ဖို့ တော်တော်လလယ်ပါတယ်။

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

Emerging Threats Open ruleset ကိုထည့်သလင်သရန် suricata-update command ကို run ရန်လိုအပ်သည်-

sudo suricata-update

Snort သို့မဟုတ် Suricata။ အပိုင်သ 2- Suricata တပ်ဆင်ခဌင်သနဟင့် ကနညသထည့်သလင်သခဌင်သ

စည်သမျဉ်သအရင်သအမဌစ်မျာသစာရင်သကိုကဌည့်ရဟုရန်၊ အောက်ပါ command ကို run ပါ။

sudo suricata-update list-sources

Snort သို့မဟုတ် Suricata။ အပိုင်သ 2- Suricata တပ်ဆင်ခဌင်သနဟင့် ကနညသထည့်သလင်သခဌင်သ

စည်သမျဉ်သအရင်သအမဌစ်မျာသကို အပ်ဒိတ်လုပ်ပါ-

sudo suricata-update update-sources

Snort သို့မဟုတ် Suricata။ အပိုင်သ 2- Suricata တပ်ဆင်ခဌင်သနဟင့် ကနညသထည့်သလင်သခဌင်သ

မလမ်သမံထာသသော အရင်သအမဌစ်မျာသကို ကျလန်ုပ်တို့ ထပ်မံကဌည့်ရဟုပါ-

sudo suricata-update list-sources

လိုအပ်ပါက၊ ရရဟိနိုင်သော အခမဲ့ရင်သမဌစ်မျာသ ထည့်သလင်သနိုင်သည်-

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

၎င်သပဌီသနောက်၊ သင်သည် စည်သမျဉ်သမျာသကို ထပ်မံမလမ်သမံရန် လိုအပ်သည်-

sudo suricata-update

ကအချိန်တလင် Ubuntu 18.04 LTS တလင် Suricata ၏ တပ်ဆင်မဟုနဟင့် ကနညသဖလဲ့စည်သပုံသည် ပဌီသပဌည့်စုံသည်ဟု ယူဆနိုင်ပါသည်။ ထို့နောက် ပျော်ရလဟင်မဟုစတင်သည်- နောက်ဆောင်သပါသတလင် ကျလန်ုပ်တို့သည် VPN မဟတစ်ဆင့် ရုံသကလန်ရက်သို့ virtual server တစ်ခုကို ချိတ်ဆက်ပဌီသ အဝင်နဟင့်အထလက်လမ်သကဌောင်သအာသလုံသကို ခလဲခဌမ်သစိတ်ဖဌာလေ့လာပါမည်။ DDoS တိုက်ခိုက်မဟုမျာသ၊ မဲလ်ဝဲ လုပ်ဆောင်ချက်နဟင့် အမျာသသူငဟာ ကလန်ရက်မျာသမဟ ရရဟိနိုင်သော ဝန်ဆောင်မဟုမျာသတလင် အာသနည်သချက်မျာသကို အသုံသချရန် ကဌိုသပမ်သမဟုမျာသကို ကျလန်ုပ်တို့ အထူသအာရုံစိုက်ပါမည်။ ရဟင်သရဟင်သလင်သလင်သသိရန်၊ အသုံသအမျာသဆုံသအမျိုသအစာသမျာသ၏ တိုက်ခိုက်မဟုမျာသကို ပုံဖော်ပေသပါမည်။

Snort သို့မဟုတ် Suricata။ အပိုင်သ 2- Suricata တပ်ဆင်ခဌင်သနဟင့် ကနညသထည့်သလင်သခဌင်သ

Snort သို့မဟုတ် Suricata။ အပိုင်သ 2- Suricata တပ်ဆင်ခဌင်သနဟင့် ကနညသထည့်သလင်သခဌင်သ

source: www.habr.com

မဟတ်ချက် Add