انگن اکرن موجب، نيٽ ورڪ ٽرئفڪ جو مقدار هر سال اٽڪل 50٪ وڌائي ٿو. اهو سامان تي لوڊ وڌائي ٿو ۽ خاص طور تي، IDS/IPS جي ڪارڪردگي جي گهرج وڌائي ٿو. توھان خريد ڪري سگھوٿا قيمتي خاص هارڊويئر، پر ھڪڙو سستو اختيار آھي - ھڪڙي اوپن سورس سسٽم کي لاڳو ڪرڻ. ڪيترائي نوان منتظمين جو خيال آهي ته مفت IPS انسٽال ڪرڻ ۽ ترتيب ڏيڻ ڪافي ڏکيو آهي. Suricata جي صورت ۾، اهو مڪمل طور تي درست ناهي - توهان ان کي انسٽال ڪري سگهو ٿا ۽ چند منٽن ۾ مفت ضابطن جي سيٽ سان معياري حملن کي رد ڪرڻ شروع ڪري سگهو ٿا.
اسان کي هڪ ٻئي کليل IPS جي ضرورت ڇو آهي؟
ڊگھي طور تي معياري سمجھيو ويو، سنورٽ نون جي ڏهاڪي کان ترقي ۾ آھي، تنھنڪري اھو اصل ۾ ھڪڙو ڌاڳو ھو. ڪيترن سالن کان، اهو سڀ جديد خاصيتون حاصل ڪري چڪو آهي، جهڙوڪ IPv6 سپورٽ، ايپليڪيشن-سطح پروٽوڪول جو تجزيو ڪرڻ جي صلاحيت، يا هڪ آفاقي ڊيٽا رسائي ماڊل.
بنيادي Snort 2.X انجڻ ڪيترن ئي ڪورن سان ڪم ڪرڻ سکيو، پر سنگل ٿريڊ رهي ۽ ان ڪري جديد هارڊويئر پليٽ فارمن جو بهتر فائدو نه وٺي سگھي.
سسٽم جي ٽئين ورزن ۾ مسئلو حل ٿي ويو، پر ان کي تيار ڪرڻ ۾ ايترو وقت لڳي ويو ته سوريڪاتا، شروع کان لکيل، مارڪيٽ تي ظاهر ٿيڻ ۾ مدد ڪئي. 2009 ۾، اهو خاص طور تي Snort لاء هڪ گھڻن موضوعن واري متبادل جي طور تي ترقي ڪرڻ شروع ڪيو ويو، جنهن ۾ IPS افعال دٻي کان ٻاهر هئا. ڪوڊ GPLv2 لائسنس جي تحت ورهايو ويو آهي، پر منصوبي جي مالي ڀائيوارن کي انجڻ جي بند ورزن تائين رسائي آهي. سسٽم جي پهرين ورزن ۾ اسپيبلبلٽي سان ڪجهه مسئلا پيدا ٿيا، پر انهن کي تڪڙو تڪڙو حل ڪيو ويو.
ڇو Suricata؟
Suricata وٽ ڪيترائي ماڊل آھن (جهڙوڪ Snort): پڪڙڻ، حاصل ڪرڻ، ڊيڪوڊنگ، ڳولڻ ۽ ٻاھر ڪڍڻ. ڊفالٽ طور، قبضو ٿيل ٽريفڪ هڪ سلسلي ۾ ڊيڪوڊنگ کان اڳ وڃي ٿي، جيتوڻيڪ اهو سسٽم کي وڌيڪ لوڊ ڪري ٿو. جيڪڏهن ضروري هجي ته، موضوعن کي سيٽنگن ۾ ورهائي سگهجي ٿو ۽ پروسيسرز جي وچ ۾ ورهائي سگهجي ٿو - Suricata خاص هارڊويئر لاء تمام گهڻو بهتر آهي، جيتوڻيڪ اهو هاڻي شروعاتي لاء HOWTO سطح ناهي. اهو پڻ نوٽ ڪرڻ جي قابل آهي ته Suricata وٽ ترقي يافته HTTP معائنو اوزار آهي HTP لائبريري جي بنياد تي. اهي پڻ استعمال ڪري سگھجن ٿيون ٽرئفڪ کي بغير ڳولڻ جي لاگ ان ڪرڻ لاء. سسٽم پڻ IPv6 ڊيڪوڊنگ کي سپورٽ ڪري ٿو، بشمول IPv4-in-IPv6، IPv6-in-IPv6 سرنگون ۽ ٻيا.
ٽرئفڪ کي روڪڻ لاءِ مختلف انٽرفيس استعمال ڪري سگھجن ٿا (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING)، ۽ يونڪس ساکٽ موڊ ۾ توھان خود بخود تجزيو ڪري سگھوٿا PCAP فائلن کي جيڪو ٻئي سنيفر پاران قبضو ڪيو ويو آھي. ان کان علاوه، Suricata جي ماڊل آرڪيٽيڪچر نيٽ ورڪ پيڪٽس کي پڪڙڻ، ڊيڪوڊ، تجزيو ۽ پروسيس ڪرڻ لاء نئين عناصر کي ڳنڍڻ آسان بڻائي ٿو. اهو پڻ نوٽ ڪرڻ ضروري آهي ته Suricata ۾، ٽرئفڪ کي بلاڪ ڪيو ويو آهي معياري آپريٽنگ سسٽم فلٽر استعمال ڪندي. GNU/Linux ۾، IPS آپريشن لاءِ ٻه آپشن موجود آهن: NFQUEUE queue (NFQ mode) ذريعي ۽ صفر ڪاپي (AF_PACKET موڊ) ذريعي. پهرين صورت ۾، iptables ۾ داخل ٿيندڙ هڪ پيڪٽ NFQUEUE قطار ڏانهن موڪليو ويو آهي، جتي اهو صارف جي سطح تي عمل ڪري سگهجي ٿو. Suricata ان کي پنهنجي ضابطن مطابق هلائي ٿو ۽ ٽن فيصلن مان هڪ جاري ڪري ٿو: NF_ACCEPT، NF_DROP ۽ NF_REPEAT. پهرين ٻه خود وضاحت ڪندڙ آهن، پر آخري هڪ توهان کي اجازت ڏئي ٿو ته پيڪٽ کي نشان لڳايو ۽ انهن کي موجوده iptables ٽيبل جي شروعات ڏانهن موڪليو. AF_PACKET موڊ تيز آهي، پر سسٽم تي ڪجهه پابنديون لاڳو ڪري ٿو: ان ۾ ٻه نيٽ ورڪ انٽرفيس هجڻ گهرجن ۽ گيٽ وي جي طور تي ڪم ڪن. بلاڪ ٿيل پيڪٽ صرف ٻئي انٽرفيس ڏانهن نه موڪليو ويو آهي.
Suricata جي هڪ اهم خصوصيت Snort لاء ترقيات استعمال ڪرڻ جي صلاحيت آهي. منتظم وٽ رسائي آهي، خاص طور تي، Sourcefire VRT ۽ OpenSource Emerging Threats قاعدن جي سيٽن، ۽ گڏوگڏ ڪمرشل ايمرجنگ ٿريٽس پرو. متحد پيداوار جو تجزيو ڪري سگھجي ٿو مشهور پٺاڻن کي استعمال ڪندي، ۽ پي سي اي پي ۽ سيسلاگ تائين ٻاھر پڻ سپورٽ ڪئي وئي آھي. سسٽم سيٽنگون ۽ ضابطا محفوظ ڪيا ويا آهن YAML فائلن ۾، جيڪي پڙهڻ ۾ آسان آهن ۽ خودڪار طريقي سان عمل ڪري سگھجن ٿيون. Suricata انجڻ ڪيترن ئي پروٽوڪول کي سڃاڻي ٿو، تنهنڪري ضابطن کي پورٽ نمبر سان ڳنڍڻ جي ضرورت ناهي. ان کان سواء، فلو بٽس جو تصور فعال طور تي سريڪاٽا ضابطن ۾ مشق ڪيو ويو آهي. ٽريڪنگ کي ٽريڪ ڪرڻ لاء، سيشن متغير استعمال ڪيا ويا آهن، جيڪي توهان کي مختلف ڳڻپيوڪر ۽ پرچم ٺاهڻ ۽ لاڳو ڪرڻ جي اجازت ڏين ٿا. ڪيترائي IDSs مختلف TCP ڪنيڪشن کي الڳ الڳ ادارا سمجھن ٿا ۽ شايد انھن جي وچ ۾ ڪنيڪشن کي نه ڏسي سگھي ته حملي جي شروعات کي ظاهر ڪرڻ لاءِ. Suricata سڄي تصوير ڏسڻ جي ڪوشش ڪري ٿو ۽ ڪيترن ئي ڪيسن ۾ مختلف ڪنيڪشن ۾ ورهايل خراب ٽرئفڪ کي سڃاڻي ٿو. اسان هڪ ڊگهي وقت تائين ان جي فائدن جي باري ۾ ڳالهائي سگهون ٿا؛ اسان کي بهتر طور تي انسٽاليشن ۽ ترتيب ڏانهن منتقل ڪنداسين.
انسٽال ڪيئن آهي؟
اسان Ubuntu 18.04 LTS تي هلندڙ ورچوئل سرور تي Suricata انسٽال ڪنداسين. سڀني حڪمن کي سپر يوزر (روٽ) جي طور تي عمل ڪيو وڃي. سڀ کان وڌيڪ محفوظ اختيار آهي سرور سان ڳنڍڻ SSH ذريعي هڪ معياري صارف جي طور تي، ۽ پوء استعمال ڪريو sudo افاديت کي وڌائڻ لاءِ استحقاق. پهرين اسان کي انسٽال ڪرڻ جي ضرورت آهي پيڪيجز جيڪي اسان کي گهربل آهن:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsٻاهرين مخزن کي ڳنڍڻ:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSuricata جو جديد مستحڪم نسخو انسٽال ڪريو:
sudo apt-get install suricataجيڪڏهن ضروري هجي ته، ترتيب ڏيڻ واري فائلن جي نالي کي تبديل ڪريو، ڊفالٽ eth0 کي سرور جي خارجي انٽرفيس جي اصل نالي سان تبديل ڪريو. ڊفالٽ سيٽنگون محفوظ ٿيل آهن /etc/default/suricata فائل ۾، ۽ ڪسٽم سيٽنگون محفوظ ٿيل آهن /etc/suricata/suricata.yaml. IDS ٺاھ جوڙ گهڻو ڪري محدود آھي ھن ڪنفيگريشن فائل کي ايڊٽ ڪرڻ تائين. ان ۾ ڪيترائي پيٽرول آھن جيڪي، نالي ۽ مقصد ۾، Snort کان انھن جي اينالاگ سان ٺھيل آھن. نحو جيتوڻيڪ مڪمل طور تي مختلف آهي، پر فائل Snort configs جي ڀيٽ ۾ پڙهڻ لاء تمام آسان آهي، ۽ اهو پڻ سٺو تبصرو آهي.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
ڌيان! شروع ڪرڻ کان اڳ، توھان کي جانچڻ گھرجي متغيرن جا قدر vars سيڪشن مان.
سيٽ اپ کي مڪمل ڪرڻ لاءِ، توهان کي انسٽال ڪرڻ جي ضرورت پوندي suricata-update اپ ڊيٽ ڪرڻ ۽ ضابطن کي ڊائون لوڊ ڪرڻ لاءِ. اهو ڪرڻ بلڪل آسان آهي:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateاڳيون اسان کي هلائڻ جي ضرورت آهي suricata-update حڪم کي انسٽال ڪرڻ لاءِ ايمرجنسي ٿريٽس اوپن قاعدا:
sudo suricata-update
قاعدي ذريعن جي فهرست ڏسڻ لاء، ھيٺ ڏنل حڪم ھلايو:
sudo suricata-update list-sources
تازه ڪاري ضابطا ذريعن:
sudo suricata-update update-sources
اسان ٻيهر ڏسون ٿا تازه ڪاري ذريعن تي:
sudo suricata-update list-sourcesجيڪڏھن ضروري ھجي، توھان شامل ڪري سگھوٿا دستياب ماخذ:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistان کان پوء، توهان کي ٻيهر ضابطن کي اپڊيٽ ڪرڻ جي ضرورت آهي:
sudo suricata-updateهن موقعي تي، Ubuntu 18.04 LTS ۾ Suricata جي انسٽاليشن ۽ ابتدائي ترتيب مڪمل سمجهي سگهجي ٿي. پوءِ مزو شروع ٿئي ٿو: ايندڙ آرٽيڪل ۾ اسان هڪ ورچوئل سرور کي وي پي اين ذريعي آفيس نيٽ ورڪ سان ڳنڍينداسين ۽ سڀني ايندڙ ۽ ٻاهرئين ٽرئفڪ جو تجزيو ڪرڻ شروع ڪنداسين. اسان خاص ڌيان ڏينداسين DDoS حملن کي روڪڻ، مالويئر جي سرگرمي، ۽ عوامي نيٽ ورڪن کان پهچندڙ خدمتن ۾ ڪمزورين جو استحصال ڪرڻ جي ڪوشش. وضاحت لاءِ، سڀ کان وڌيڪ عام قسم جا حملا نقل ڪيا ويندا.
جو ذريعو: www.habr.com