د احصایو له مخې، د شبکې ترافیک حجم هر کال شاوخوا 50٪ زیاتیږي. دا په تجهیزاتو بار کې د زیاتوالي لامل کیږي او په ځانګړي توګه د IDS/IPS فعالیت اړتیاوې ډیروي. تاسو کولی شئ ګران ځانګړي هارډویر واخلئ، مګر یو ارزانه اختیار شتون لري - د خلاصې سرچینې سیسټمونو څخه یو پلي کول. ډیری نوي مدیران فکر کوي چې د وړیا IPS نصب او تنظیم کول خورا ستونزمن دي. د سوریکاټا په قضیه کې ، دا په بشپړ ډول ریښتیا ندي - تاسو کولی شئ دا نصب کړئ او په څو دقیقو کې د وړیا مقرراتو سیټ سره د معیاري بریدونو مخنیوی پیل کړئ.
ولې موږ بل خلاص IPS ته اړتیا لرو؟
د اوږدې مودې معیار په پام کې نیولو سره، سنورټ د نولسمې لسیزې له وروستیو راهیسې د پراختیا په حال کې دی، نو دا په اصل کې یو واحد موضوع وه. د کلونو په اوږدو کې، دا ټول عصري ځانګړتیاوې لکه د IPv6 ملاتړ، د غوښتنلیک کچې پروتوکولونو تحلیل کولو وړتیا، یا د نړیوالو معلوماتو لاسرسي ماډل ترلاسه کړي.
بنسټیز Snort 2.X انجن د ډیری کورونو سره کار کول زده کړل، مګر یو واحد تار پاتې شو او له همدې امله نشي کولی د عصري هارډویر پلیټ فارمونو څخه په ښه توګه ګټه پورته کړي.
ستونزه د سیسټم په دریمه نسخه کې حل شوه، مګر د دې چمتو کولو لپاره یې دومره وخت واخیست چې سوریکاتا، له سکریچ څخه لیکل شوی، په بازار کې د راڅرګندیدو توان درلود. په 2009 کې، دا د Snort لپاره د څو اړخیزه بدیل په توګه په سمه توګه وده کول پیل کړل، کوم چې د بکس څخه بهر د IPS فعالیتونه درلودل. کوډ د GPLv2 جواز لاندې ویشل شوی، مګر د پروژې مالي شریکان د انجن تړل شوي نسخې ته لاسرسۍ لري. د توزیع کولو سره ځینې ستونزې د سیسټم په لومړیو نسخو کې رامینځته شوې، مګر دوی په چټکۍ سره حل شوي.
ولې Suricata؟
Suricata څو ماډلونه لري (لکه Snort): نیول، استملاک، کوډ کول، کشف او تولید. په ډیفالټ ، نیول شوي ترافیک په یوه تار کې د کوډ کولو دمخه ځي ، که څه هم دا سیسټم ډیر باروي. که اړتیا وي، تارونه په ترتیباتو کې ویشل کیدی شي او د پروسیسرونو ترمنځ وویشل شي - سوریکاټا د ځانګړي هارډویر لپاره خورا ښه مطلوب دی، که څه هم دا نور د پیل کونکو لپاره د HOWTO کچه نه ده. دا هم د یادونې وړ ده چې Suricata د HTP کتابتون پراساس د HTTP تفتیش پرمختللي وسیلې لري. دوی د کشف پرته د ترافیک ثبتولو لپاره هم کارول کیدی شي. سیسټم د IPv6 ډیکوډینګ ملاتړ هم کوي ، پشمول IPv4-in-IPv6، IPv6-in-IPv6 تونلونه او نور.
د ټرافیک د مخنیوي لپاره مختلف انٹرفیسونه کارول کیدی شي (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING)، او په یونیکس ساکټ حالت کې، د بل سنفیر لخوا نیول شوي PCAP فایلونه په اتوماتيک ډول تحلیل کیدی شي. سربیره پردې، د سوریکاټا ماډلر جوړښت د شبکې پیکټونو د نیولو، کوډ کولو، تحلیل او پروسس کولو لپاره د نویو عناصرو اضافه کول ساده کوي. دا هم مهمه ده چې په یاد ولرئ چې سوریکاټا د عملیاتي سیسټم د جوړ شوي فلټر په کارولو سره ټرافیک بندوي. په GNU/ کېLinux دوه IPS حالتونه شتون لري: د NFQUEUE کتار (NFQ حالت) له لارې او د صفر کاپي (AF_PACKET حالت) له لارې. په لومړي حالت کې، یو پیکټ چې iptables ته ننوځي د NFQUEUE کتار ته لیږل کیږي، چیرې چې دا د کارونکي په کچه پروسس کیدی شي. سوریکاټا دا د خپلو قواعدو سره سم پروسس کوي او د دریو فیصلو څخه یو بیرته راګرځوي: NF_ACCEPT، NF_DROP، او NF_REPEAT. لومړی دوه پخپله توضیحي دي، پداسې حال کې چې وروستی تاسو ته اجازه درکوي چې پاکټونه په نښه کړئ او د اوسني iptables جدول سر ته یې واستوئ. AF_PACKET حالت لوړ فعالیت وړاندې کوي، مګر په سیسټم کې ډیری محدودیتونه وضع کوي: دا باید دوه شبکې انٹرفیسونه ولري او د دروازې په توګه کار وکړي. یو بند شوی پیکټ په ساده ډول دوهم انٹرفیس ته نه لیږل کیږي.
د Suricata یوه مهمه ځانګړتیا د Snort لپاره د پرمختګونو کارولو وړتیا ده. مدیر په ځانګړې توګه د Sourcefire VRT او OpenSource Emerging Threats قاعدې سیټونو ته لاسرسی لري، په بیله بیا د سوداګریزو بیړني ګواښونو پرو. متحد محصول د مشهور بیکینډونو په کارولو سره تحلیل کیدی شي ، او PCAP او Syslog ته محصول هم ملاتړ کیږي. د سیسټم تنظیمات او قواعد په YAML فایلونو کې زیرمه شوي ، کوم چې لوستل اسانه دي او پخپله پروسس کیدی شي. د Suricata انجن ډیری پروتوکولونه پیژني، نو مقررات اړتیا نلري د پورټ شمیرې سره وتړل شي. برسېره پردې، د فلو بیټس مفهوم په فعاله توګه د سوریکاټا قواعدو کې تمرین کیږي. د محرک کولو تعقیب لپاره، د سیشن متغیرونه کارول کیږي، کوم چې تاسو ته اجازه درکوي مختلف کاونټرونه او بیرغونه جوړ او پلي کړئ. ډیری IDSs د مختلف TCP ارتباطاتو سره د جلا ادارو په توګه چلند کوي او ممکن د دوی ترمینځ اړیکه ونه ګوري ترڅو د برید پیل څرګند کړي. سوریکاټا هڅه کوي ټول عکس وګوري او په ډیری قضیو کې د مختلف اړیکو په اوږدو کې توزیع شوي ناوړه ترافیک پیژني. موږ کولی شو د اوږدې مودې لپاره د دې ګټو په اړه وغږیږو؛ موږ به غوره د نصب او تنظیم کولو ته لاړ شو.
څنګه نصب کړئ؟
موږ به سوریکاټا په یو مجازی سرور کې نصب کړو چې روان دی Ubuntu ۱۸.۰۴ LTS. ټول امرونه باید د روټ په توګه چل شي. تر ټولو خوندي انتخاب دا دی چې د منظم کارونکي په توګه د SSH له لارې سرور سره وصل شئ، بیا د امتیازاتو لوړولو لپاره sudo وکاروئ. لومړی، تاسو اړتیا لرئ چې اړین کڅوړې نصب کړئ:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsد بهرنۍ ذخیره سره نښلول:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateد Suricata وروستۍ مستحکم نسخه نصب کړئ:
sudo apt-get install suricataکه اړتیا وي، د ترتیباتو فایلونو نوم ایډیټ کړئ، د ډیفالټ eth0 ځای په ځای کول د سرور د بهرني انٹرفیس اصلي نوم سره. ډیفالټ ترتیبات په /etc/default/suricata فایل کې زیرمه شوي، او دودیز ترتیبات په /etc/suricata/suricata.yaml کې زیرمه شوي. د IDS ترتیب اکثرا د دې ترتیب فایل ترمیم کولو پورې محدود دی. دا ډیری پیرامیټونه لري چې په نوم او هدف کې، د Snort څخه د دوی انلاګونو سره سمون لري. سره له دې هم ترکیب په بشپړ ډول توپیر لري ، مګر فایل د Snort تشکیلاتو په پرتله لوستل خورا اسانه دي ، او دا هم ښه تبصره کیږي.
sudo nano /etc/default/suricata 
и
sudo nano /etc/suricata/suricata.yaml 
پاملرنه! د پیل کولو دمخه، تاسو باید د vars برخې څخه د متغیرونو ارزښتونه وګورئ.
د سیټ اپ بشپړولو لپاره، تاسو اړتیا لرئ چې د مقرراتو تازه کولو او ډاونلوډ کولو لپاره سوریکاټا اپډیټ نصب کړئ. دا کار کول خورا اسانه دي:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateبیا موږ اړتیا لرو د راپورته کیدونکي ګواښونو خلاص قواعد نصبولو لپاره د suricata-update کمانډ چلولو:
sudo suricata-update 
د قواعدو سرچینو لیست لیدلو لپاره، لاندې کمانډ چل کړئ:
sudo suricata-update list-sources 
د قاعدې سرچینې تازه کړئ:
sudo suricata-update update-sources 
موږ بیا تازه سرچینو ته ګورو:
sudo suricata-update list-sourcesکه اړتیا وي، تاسو کولی شئ وړیا سرچینې شامل کړئ:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistله دې وروسته، تاسو اړتیا لرئ چې مقررات بیا تازه کړئ:
sudo suricata-updateدا د سوریکاټا نصب او لومړني ترتیب بشپړوي. Ubuntu ۱۸.۰۴ LTS بشپړ ګڼل کیدی شي. اوس د ساتیرۍ برخه راځي: په راتلونکې مقاله کې، موږ به د VPN له لارې د دفتر شبکې سره یو مجازی سرور وصل کړو او د ټولو راتلونکو او وتلو ترافیکو تحلیل پیل کړو. موږ به د DDoS بریدونو، مالویر فعالیت، او د عامه شبکو څخه د لاسرسي وړ خدماتو کې د زیان منونکو څخه د ګټې اخیستنې هڅو په مخنیوي تمرکز وکړو. د وضاحت لپاره، موږ به د بریدونو ترټولو عام ډولونه تقلید کړو.
سرچینه: www.habr.com
