Snort वा Suricata। भाग २: Suricata को स्थापना र प्रारम्भिक सेटअप

तथ्याङ्क अनुसार, नेटवर्क ट्राफिक को मात्रा हरेक वर्ष लगभग 50% बढ्छ। यसले उपकरणमा लोड बढाउँछ र विशेष गरी, IDS/IPS को प्रदर्शन आवश्यकताहरू बढाउँछ। तपाईं महँगो विशेष हार्डवेयर किन्न सक्नुहुन्छ, तर त्यहाँ सस्तो विकल्प छ - खुला स्रोत प्रणालीहरू मध्ये एक लागू गर्दै। धेरै नौसिखिया प्रशासकहरू सोच्छन् कि नि: शुल्क आईपीएस स्थापना र कन्फिगर गर्न धेरै गाह्रो छ। Suricata को मामला मा, यो पूर्ण रूपमा सत्य छैन - तपाइँ यसलाई स्थापना गर्न सक्नुहुन्छ र केहि मिनेटमा नि: शुल्क नियमहरूको सेटको साथ मानक आक्रमणहरू हटाउन सुरु गर्न सक्नुहुन्छ।

Snort वा Suricata। भाग 1: तपाइँको कर्पोरेट नेटवर्क सुरक्षित गर्न नि: शुल्क IDS/IPS छनोट गर्दै

हामीलाई अर्को खुला IPS किन चाहिन्छ?

लामो समयसम्म मानक मानिन्छ, स्नोर्ट नब्बे दशकको अन्त्यदेखि विकासमा छ, त्यसैले यो मूल रूपमा एकल-थ्रेडेड थियो। वर्षौंको दौडान, यसले IPv6 समर्थन, अनुप्रयोग-स्तर प्रोटोकलहरू विश्लेषण गर्ने क्षमता, वा विश्वव्यापी डेटा पहुँच मोड्युल जस्ता सबै आधुनिक सुविधाहरू प्राप्त गरेको छ।

आधारभूत Snort 2.X इन्जिनले धेरै कोरहरूसँग काम गर्न सिक्यो, तर एकल-थ्रेडेड रह्यो र त्यसैले आधुनिक हार्डवेयर प्लेटफर्महरूको अधिकतम फाइदा लिन सक्दैन।

प्रणालीको तेस्रो संस्करणमा समस्या समाधान गरिएको थियो, तर तयार हुन यति लामो समय लाग्यो कि स्क्र्याचबाट लेखिएको Suricata बजारमा देखा पर्न सफल भयो। 2009 मा, यो Snort को एक बहु-थ्रेडेड विकल्प को रूप मा ठ्याक्कै विकसित हुन थाल्यो, जसमा बक्स बाहिर IPS प्रकार्यहरू थिए। कोड GPLv2 इजाजतपत्र अन्तर्गत वितरण गरिएको छ, तर परियोजनाका वित्तीय साझेदारहरूसँग इन्जिनको बन्द संस्करणमा पहुँच छ। प्रणालीको पहिलो संस्करणहरूमा स्केलेबिलिटीको साथ केही समस्याहरू देखा पर्‍यो, तर तिनीहरू चाँडै समाधान भए।

किन Suricata?

Suricata मा धेरै मोड्युलहरू छन् (जस्तै Snort): क्याप्चर, अधिग्रहण, डिकोडिङ, पत्ता लगाउने र आउटपुट। पूर्वनिर्धारित रूपमा, क्याप्चर गरिएको ट्राफिक एक थ्रेडमा डिकोड गर्नु अघि जान्छ, यद्यपि यसले प्रणालीलाई थप लोड गर्छ। यदि आवश्यक छ भने, थ्रेडहरू सेटिङहरूमा विभाजित गर्न सकिन्छ र प्रोसेसरहरू बीच वितरण गर्न सकिन्छ - Suricata विशेष हार्डवेयरको लागि धेरै राम्रोसँग अनुकूलित छ, यद्यपि यो अब शुरुवातकर्ताहरूको लागि HOWTO स्तर होइन। यो पनि ध्यान दिन लायक छ कि Suricata HTP पुस्तकालयमा आधारित उन्नत HTTP निरीक्षण उपकरणहरू छन्। तिनीहरू पनि पत्ता लगाउन बिना ट्राफिक लग गर्न प्रयोग गर्न सकिन्छ। प्रणालीले IPv6 डिकोडिङलाई पनि समर्थन गर्दछ, जसमा IPv4-in-IPv6, IPv6-in-IPv6 टनेलहरू र अन्यहरू समावेश छन्।

विभिन्न इन्टरफेसहरू ट्राफिक अवरोध गर्न प्रयोग गर्न सकिन्छ (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), र युनिक्स सकेट मोडमा तपाईंले स्वचालित रूपमा अर्को स्निफरद्वारा कब्जा गरिएका PCAP फाइलहरू विश्लेषण गर्न सक्नुहुन्छ। थप रूपमा, Suricata को मोड्युलर आर्किटेक्चरले नेटवर्क प्याकेटहरू खिच्न, डिकोड गर्न, विश्लेषण गर्न र प्रक्रिया गर्न नयाँ तत्वहरू जडान गर्न सजिलो बनाउँछ। यो नोट गर्न पनि महत्त्वपूर्ण छ कि Suricata मा, ट्राफिक मानक अपरेटिङ सिस्टम फिल्टर प्रयोग गरेर अवरुद्ध छ। GNU/Linux मा, IPS सञ्चालनका लागि दुई विकल्पहरू उपलब्ध छन्: NFQUEUE कतार (NFQ मोड) मार्फत र शून्य प्रतिलिपि (AF_PACKET मोड) मार्फत। पहिलो अवस्थामा, iptables प्रविष्ट गर्ने प्याकेट NFQUEUE कतारमा पठाइन्छ, जहाँ यसलाई प्रयोगकर्ता स्तरमा प्रशोधन गर्न सकिन्छ। Suricata ले यसलाई आफ्नै नियम अनुसार चलाउँछ र तीन मध्ये एउटा निर्णय जारी गर्दछ: NF_ACCEPT, NF_DROP र NF_REPEAT। पहिलो दुई आत्म-व्याख्यात्मक छन्, तर अन्तिमले तपाईंलाई प्याकेटहरू चिन्ह लगाउन र हालको iptables तालिकाको सुरुमा पठाउन अनुमति दिन्छ। AF_PACKET मोड छिटो छ, तर प्रणालीमा धेरै प्रतिबन्धहरू लगाउँछ: यसमा दुई नेटवर्क इन्टरफेसहरू हुनुपर्छ र गेटवेको रूपमा काम गर्नुपर्छ। अवरुद्ध प्याकेट मात्र दोस्रो इन्टरफेसमा फर्वार्ड गरिएको छैन।

Suricata को एक महत्वपूर्ण विशेषता Snort को लागि विकास को उपयोग गर्ने क्षमता हो। प्रशासकको पहुँच छ, विशेष गरी, Sourcefire VRT र OpenSource Emerging Threats नियमहरू, साथै व्यावसायिक Emerging Threats Pro। एकीकृत आउटपुट लोकप्रिय ब्याकएन्डहरू प्रयोग गरेर विश्लेषण गर्न सकिन्छ, र PCAP र Syslog मा आउटपुट पनि समर्थित छ। प्रणाली सेटिङहरू र नियमहरू YAML फाइलहरूमा भण्डारण गरिएका छन्, जुन पढ्न सजिलो छ र स्वचालित रूपमा प्रशोधन गर्न सकिन्छ। Suricata इन्जिनले धेरै प्रोटोकलहरू पहिचान गर्दछ, त्यसैले नियमहरूलाई पोर्ट नम्बरमा बाँध्नु आवश्यक छैन। थप रूपमा, फ्लोबिट्सको अवधारणा सक्रिय रूपमा Suricata नियमहरूमा अभ्यास गरिएको छ। ट्रिगरिङ ट्र्याक गर्न, सत्र चरहरू प्रयोग गरिन्छ, जसले तपाईंलाई विभिन्न काउन्टरहरू र झण्डाहरू सिर्जना गर्न र लागू गर्न अनुमति दिन्छ। धेरै IDS हरूले विभिन्न TCP जडानहरूलाई अलग-अलग संस्थाहरूको रूपमा व्यवहार गर्छन् र आक्रमणको सुरुवात संकेत गर्न तिनीहरू बीचको जडान देख्न सक्दैनन्। Suricata ले सम्पूर्ण तस्विर हेर्ने प्रयास गर्दछ र धेरै अवस्थामा विभिन्न जडानहरूमा वितरित खराब ट्राफिक पहिचान गर्दछ। हामी यसको फाइदाहरूको बारेमा लामो समयको लागि कुरा गर्न सक्छौं; हामी स्थापना र कन्फिगरेसनमा अझ राम्रो हुन्छौं।

कसरी स्थापना गर्ने?

हामी Ubuntu 18.04 LTS चलिरहेको भर्चुअल सर्भरमा Suricata स्थापना गर्नेछौं। सबै आदेशहरू सुपर प्रयोगकर्ता (रूट) को रूपमा कार्यान्वयन हुनुपर्छ। सबैभन्दा सुरक्षित विकल्प भनेको मानक प्रयोगकर्ताको रूपमा SSH मार्फत सर्भरमा जडान गर्नु हो, र त्यसपछि विशेषाधिकारहरू बढाउन sudo उपयोगिता प्रयोग गर्नुहोस्। पहिले हामीले आवश्यक प्याकेजहरू स्थापना गर्न आवश्यक छ:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

बाह्य भण्डार जडान गर्दै:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

Suricata को नवीनतम स्थिर संस्करण स्थापना गर्नुहोस्:

sudo apt-get install suricata

यदि आवश्यक भएमा, सर्भरको बाह्य इन्टरफेसको वास्तविक नामसँग पूर्वनिर्धारित eth0 प्रतिस्थापन गर्दै, कन्फिगरेसन फाइल नाम सम्पादन गर्नुहोस्। पूर्वनिर्धारित सेटिङहरू /etc/default/suricata फाइलमा भण्डारण गरिन्छ, र अनुकूलन सेटिङहरू /etc/suricata/suricata.yaml मा भण्डारण गरिन्छ। IDS कन्फिगरेसन प्राय: यो कन्फिगरेसन फाइल सम्पादन गर्न सीमित छ। यसमा धेरै प्यारामिटरहरू छन्, नाम र उद्देश्यमा, Snort बाट तिनीहरूको एनालगहरूसँग मेल खान्छ। सिन्ट्याक्स पूर्णतया फरक छ, तर फाइल Snort कन्फिगहरू भन्दा पढ्न धेरै सजिलो छ, र यो पनि राम्रो टिप्पणी गरिएको छ।

sudo nano /etc/default/suricata

и

sudo nano /etc/suricata/suricata.yaml

ध्यान! सुरु गर्नु अघि, तपाईंले vars खण्डबाट चरहरूको मानहरू जाँच गर्नुपर्छ।

सेटअप पूरा गर्न, तपाईंले नियमहरू अद्यावधिक गर्न र डाउनलोड गर्न suricata-अपडेट स्थापना गर्न आवश्यक छ। यो गर्न धेरै सजिलो छ:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

अर्को हामीले इमर्जिङ थ्रेट्स ओपन नियमसेट स्थापना गर्न suricata-update आदेश चलाउन आवश्यक छ:

sudo suricata-update

नियम स्रोतहरूको सूची हेर्न, निम्न आदेश चलाउनुहोस्:

sudo suricata-update list-sources

नियम स्रोतहरू अपडेट गर्नुहोस्:

sudo suricata-update update-sources

हामी अद्यावधिक स्रोतहरूमा फेरि हेर्छौं:

sudo suricata-update list-sources

यदि आवश्यक छ भने, तपाइँ उपलब्ध निःशुल्क स्रोतहरू समावेश गर्न सक्नुहुन्छ:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

यस पछि, तपाईंले नियमहरू फेरि अद्यावधिक गर्न आवश्यक छ:

sudo suricata-update

यस बिन्दुमा, Ubuntu 18.04 LTS मा Suricata को स्थापना र प्रारम्भिक कन्फिगरेसन पूर्ण मान्न सकिन्छ। त्यसपछि रमाईलो सुरु हुन्छ: अर्को लेखमा हामी VPN मार्फत कार्यालय नेटवर्कमा भर्चुअल सर्भर जडान गर्नेछौं र सबै आगमन र बाहिर जाने ट्राफिकहरूको विश्लेषण गर्न सुरु गर्नेछौं। हामी DDoS आक्रमणहरू, मालवेयर गतिविधि, र सार्वजनिक नेटवर्कहरूबाट पहुँचयोग्य सेवाहरूमा कमजोरीहरूको शोषण गर्ने प्रयासहरूलाई रोक्न विशेष ध्यान दिनेछौं। स्पष्टताको लागि, सबैभन्दा सामान्य प्रकारका आक्रमणहरू सिमुलेट गरिनेछ।

स्रोत: www.habr.com