د احصایو له مخې، د شبکې ترافیک حجم هر کال شاوخوا 50٪ زیاتیږي. دا په تجهیزاتو بار کې د زیاتوالي لامل کیږي او په ځانګړي توګه د IDS/IPS فعالیت اړتیاوې ډیروي. تاسو کولی شئ ګران ځانګړي هارډویر واخلئ، مګر یو ارزانه اختیار شتون لري - د خلاصې سرچینې سیسټمونو څخه یو پلي کول. ډیری نوي مدیران فکر کوي چې د وړیا IPS نصب او تنظیم کول خورا ستونزمن دي. د سوریکاټا په قضیه کې ، دا په بشپړ ډول ریښتیا ندي - تاسو کولی شئ دا نصب کړئ او په څو دقیقو کې د وړیا مقرراتو سیټ سره د معیاري بریدونو مخنیوی پیل کړئ.
ولې موږ بل خلاص IPS ته اړتیا لرو؟
د اوږدې مودې معیار په پام کې نیولو سره، سنورټ د نولسمې لسیزې له وروستیو راهیسې د پراختیا په حال کې دی، نو دا په اصل کې یو واحد موضوع وه. د کلونو په اوږدو کې، دا ټول عصري ځانګړتیاوې لکه د IPv6 ملاتړ، د غوښتنلیک کچې پروتوکولونو تحلیل کولو وړتیا، یا د نړیوالو معلوماتو لاسرسي ماډل ترلاسه کړي.
بنسټیز Snort 2.X انجن د ډیری کورونو سره کار کول زده کړل، مګر یو واحد تار پاتې شو او له همدې امله نشي کولی د عصري هارډویر پلیټ فارمونو څخه په ښه توګه ګټه پورته کړي.
ستونزه د سیسټم په دریمه نسخه کې حل شوه، مګر د دې چمتو کولو لپاره یې دومره وخت واخیست چې سوریکاتا، له سکریچ څخه لیکل شوی، په بازار کې د راڅرګندیدو توان درلود. په 2009 کې، دا د Snort لپاره د څو اړخیزه بدیل په توګه په سمه توګه وده کول پیل کړل، کوم چې د بکس څخه بهر د IPS فعالیتونه درلودل. کوډ د GPLv2 جواز لاندې ویشل شوی، مګر د پروژې مالي شریکان د انجن تړل شوي نسخې ته لاسرسۍ لري. د توزیع کولو سره ځینې ستونزې د سیسټم په لومړیو نسخو کې رامینځته شوې، مګر دوی په چټکۍ سره حل شوي.
ولې Suricata؟
Suricata څو ماډلونه لري (لکه Snort): نیول، استملاک، کوډ کول، کشف او تولید. په ډیفالټ ، نیول شوي ترافیک په یوه تار کې د کوډ کولو دمخه ځي ، که څه هم دا سیسټم ډیر باروي. که اړتیا وي، تارونه په ترتیباتو کې ویشل کیدی شي او د پروسیسرونو ترمنځ وویشل شي - سوریکاټا د ځانګړي هارډویر لپاره خورا ښه مطلوب دی، که څه هم دا نور د پیل کونکو لپاره د HOWTO کچه نه ده. دا هم د یادونې وړ ده چې Suricata د HTP کتابتون پراساس د HTTP تفتیش پرمختللي وسیلې لري. دوی د کشف پرته د ترافیک ثبتولو لپاره هم کارول کیدی شي. سیسټم د IPv6 ډیکوډینګ ملاتړ هم کوي ، پشمول IPv4-in-IPv6، IPv6-in-IPv6 تونلونه او نور.
مختلف انٹرفیسونه د ترافیک مداخلې لپاره کارول کیدی شي (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) ، او د یونیکس ساکټ حالت کې تاسو کولی شئ په اتوماتيک ډول د بل سنیفیر لخوا نیول شوي PCAP فایلونه تحلیل کړئ. سربیره پردې ، د سوریکاټا ماډلر جوړښت د شبکې پاکټونو نیول ، کوډ کولو ، تحلیل او پروسس کولو لپاره نوي عناصر وصل کول اسانه کوي. دا هم په یاد ولرئ چې په سوریکاټا کې ، ترافیک د معیاري عملیاتي سیسټم فلټر په کارولو سره بند شوی. په GNU/Linux کې، د IPS عملیاتو لپاره دوه اختیارونه شتون لري: د NFQUEUE قطار (NFQ حالت) له لارې او د صفر کاپي (AF_PACKET حالت) له لارې. په لومړي حالت کې، iptables ته د ننوتلو یوه کڅوړه د NFQUEUE کتار ته لیږل کیږي، چیرته چې دا د کاروونکي په کچه پروسس کیدی شي. Suricata دا د خپلو قواعدو سره سم پرمخ وړي او له دریو څخه یوه پریکړه صادروي: NF_ACCEPT، NF_DROP او NF_REPEAT. لومړی دوه پخپله توضیحي دي ، مګر وروستی تاسو ته اجازه درکوي پاکټونه په نښه کړئ او د اوسني iptables جدول پیل ته یې واستوئ. د AF_PACKET حالت ګړندی دی ، مګر په سیسټم کې یو شمیر محدودیتونه وضع کوي: دا باید دوه شبکې انٹرفیسونه ولري او د دروازې په توګه کار وکړي. بلاک شوی پاکټ په ساده ډول دوهم انٹرفیس ته نه لیږل کیږي.
د Suricata یوه مهمه ځانګړتیا د Snort لپاره د پرمختګونو کارولو وړتیا ده. مدیر په ځانګړې توګه د Sourcefire VRT او OpenSource Emerging Threats قاعدې سیټونو ته لاسرسی لري، په بیله بیا د سوداګریزو بیړني ګواښونو پرو. متحد محصول د مشهور بیکینډونو په کارولو سره تحلیل کیدی شي ، او PCAP او Syslog ته محصول هم ملاتړ کیږي. د سیسټم تنظیمات او قواعد په YAML فایلونو کې زیرمه شوي ، کوم چې لوستل اسانه دي او پخپله پروسس کیدی شي. د Suricata انجن ډیری پروتوکولونه پیژني، نو مقررات اړتیا نلري د پورټ شمیرې سره وتړل شي. برسېره پردې، د فلو بیټس مفهوم په فعاله توګه د سوریکاټا قواعدو کې تمرین کیږي. د محرک کولو تعقیب لپاره، د سیشن متغیرونه کارول کیږي، کوم چې تاسو ته اجازه درکوي مختلف کاونټرونه او بیرغونه جوړ او پلي کړئ. ډیری IDSs د مختلف TCP ارتباطاتو سره د جلا ادارو په توګه چلند کوي او ممکن د دوی ترمینځ اړیکه ونه ګوري ترڅو د برید پیل څرګند کړي. سوریکاټا هڅه کوي ټول عکس وګوري او په ډیری قضیو کې د مختلف اړیکو په اوږدو کې توزیع شوي ناوړه ترافیک پیژني. موږ کولی شو د اوږدې مودې لپاره د دې ګټو په اړه وغږیږو؛ موږ به غوره د نصب او تنظیم کولو ته لاړ شو.
څنګه نصب کړئ؟
موږ به Suricata په یو مجازی سرور کې نصب کړو چې Ubuntu 18.04 LTS چلوي. ټول امرونه باید د سوپر یوزر (روټ) په توګه اجرا شي. ترټولو خوندي اختیار د SSH له لارې سرور سره د معیاري کارونکي په توګه وصل کول دي ، او بیا د امتیازاتو زیاتولو لپاره د سوډو یوټیلیټ وکاروئ. لومړی موږ اړتیا لرو هغه کڅوړې نصب کړو چې موږ ورته اړتیا لرو:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsد بهرنۍ ذخیره سره نښلول:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateد Suricata وروستۍ مستحکم نسخه نصب کړئ:
sudo apt-get install suricataکه اړتیا وي، د ترتیباتو فایلونو نوم ایډیټ کړئ، د ډیفالټ eth0 ځای په ځای کول د سرور د بهرني انٹرفیس اصلي نوم سره. ډیفالټ ترتیبات په /etc/default/suricata فایل کې زیرمه شوي، او دودیز ترتیبات په /etc/suricata/suricata.yaml کې زیرمه شوي. د IDS ترتیب اکثرا د دې ترتیب فایل ترمیم کولو پورې محدود دی. دا ډیری پیرامیټونه لري چې په نوم او هدف کې، د Snort څخه د دوی انلاګونو سره سمون لري. سره له دې هم ترکیب په بشپړ ډول توپیر لري ، مګر فایل د Snort تشکیلاتو په پرتله لوستل خورا اسانه دي ، او دا هم ښه تبصره کیږي.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
پاملرنه! د پیل کولو دمخه، تاسو باید د vars برخې څخه د متغیرونو ارزښتونه وګورئ.
د سیټ اپ بشپړولو لپاره، تاسو اړتیا لرئ چې د مقرراتو تازه کولو او ډاونلوډ کولو لپاره سوریکاټا اپډیټ نصب کړئ. دا کار کول خورا اسانه دي:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateبیا موږ اړتیا لرو د راپورته کیدونکي ګواښونو خلاص قواعد نصبولو لپاره د suricata-update کمانډ چلولو:
sudo suricata-update
د قواعدو سرچینو لیست لیدلو لپاره، لاندې کمانډ چل کړئ:
sudo suricata-update list-sources
د قاعدې سرچینې تازه کړئ:
sudo suricata-update update-sources
موږ بیا تازه سرچینو ته ګورو:
sudo suricata-update list-sourcesکه اړتیا وي، تاسو کولی شئ وړیا سرچینې شامل کړئ:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistله دې وروسته، تاسو اړتیا لرئ چې مقررات بیا تازه کړئ:
sudo suricata-updateپدې مرحله کې ، په اوبنټو 18.04 LTS کې د سوریکاټا نصب او لومړني ترتیب بشپړ وګڼل شي. بیا ساتیري پیل کیږي: په راتلونکې مقاله کې به موږ یو مجازی سرور د دفتر شبکې سره د VPN له لارې وصل کړو او د ټولو راتلونکو او وتلو ترافیک تحلیل پیل کړو. موږ به د DDoS بریدونو مخنیوي، د مالویر فعالیت، او د عامه شبکو څخه د لاسرسي وړ خدماتو کې د زیانونو څخه د ګټې اخیستنې هڅې بندولو ته ځانګړې پاملرنه وکړو. د وضاحت لپاره، د ډیری عام ډولونو بریدونه به سمولټ شي.
سرچینه: www.habr.com