ProHoster > බ්ලොග් > පරිපාලනය > Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම

Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම

සංඛ්යා ලේඛනවලට අනුව, සෑම වසරකම ජාල ගමනාගමනයේ පරිමාව 50% කින් පමණ වැඩි වේ. මෙය උපකරණවල බර වැඩිවීමට හේතු වන අතර, විශේෂයෙන් IDS / IPS හි කාර්ය සාධන අවශ්‍යතා වැඩි කරයි. ඔබට මිල අධික විශේෂිත දෘඩාංග මිලදී ගත හැකිය, නමුත් ලාභදායී විකල්පයක් ඇත - විවෘත කේත පද්ධති වලින් එකක් හඳුන්වා දීම. බොහෝ නවක පරිපාලකයින්ට නොමිලේ IPS ස්ථාපනය කිරීම සහ වින්‍යාස කිරීම අපහසු වේ. Suricata සම්බන්ධයෙන් ගත් කල, මෙය සම්පූර්ණයෙන්ම සත්‍ය නොවේ - ඔබට එය ස්ථාපනය කර මිනිත්තු කිහිපයකින් නිදහස් නීති මාලාවක් සමඟ සාමාන්‍ය ප්‍රහාර මැඩපැවැත්වීම ආරම්භ කළ හැකිය.

Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම
Snort හෝ Suricata. 1 කොටස: ඔබේ ආයතනික ජාලය ආරක්ෂා කිරීම සඳහා නොමිලේ IDS/IPS තෝරා ගැනීම

අපට තවත් විවෘත IPS අවශ්‍ය වන්නේ ඇයි?

දිගු කාලයක් සම්මතය ලෙස සලකනු ලැබූ අතර, Snort අනූව දශකයේ අග භාගයේ සිට සංවර්ධනය වෙමින් පවතී, එබැවින් එය මුලින් තනි නූල් විය. වසර ගණනාවක් පුරා, IPv6 සහාය, යෙදුම් මට්ටමේ ප්‍රොටෝකෝල විශ්ලේෂණය කිරීමේ හැකියාව හෝ විශ්වීය දත්ත ප්‍රවේශ මොඩියුලයක් වැනි සියලුම නවීන විශේෂාංග එහි දර්ශනය වී ඇත.

Core Snort 2.X එන්ජිම බහු හරයන් සමඟ වැඩ කිරීමට ඉගෙන ගෙන ඇත, නමුත් තනි නූල් ලෙස පවතින අතර එබැවින් නවීන දෘඩාංග වේදිකාවල ප්‍රශස්ත ලෙස ප්‍රයෝජන ගත නොහැක.

පද්ධතියේ තුන්වන අනුවාදයේ ගැටළුව විසඳා ඇත, නමුත් එය සකස් කිරීමට බොහෝ කාලයක් ගත වූ අතර මුල සිටම ලියන ලද Suricata වෙළඳපොලේ පෙනී සිටීමට සමත් විය. 2009 දී, එය පෙට්ටියෙන් පිටත IPS කාර්යයන් ඇති Snort සඳහා බහු-නූල් විකල්පයක් ලෙස නිශ්චිතවම සංවර්ධනය කිරීමට පටන් ගත්තේය. කේතය GPLv2 බලපත්‍රය යටතේ බෙදා හැර ඇත, නමුත් ව්‍යාපෘතියේ මූල්‍ය හවුල්කරුවන්ට එන්ජිමේ සංවෘත අනුවාදයකට ප්‍රවේශය ඇත. පද්ධතියේ පළමු අනුවාද වල සමහර පරිමාණය ගැටළු මතු වූ නමුත් ඒවා ඉක්මනින් විසඳා ඇත.

ඇයි Surica?

Suricata හට මොඩියුල කිහිපයක් ඇත (Snort ට සමාන): අල්ලා ගැනීම, අල්ලා ගැනීම, විකේතනය කිරීම, හඳුනා ගැනීම සහ ප්‍රතිදානය. පෙරනිමියෙන්, ග්‍රහණය කරගත් ගමනාගමනය එක් ප්‍රවාහයක විකේතනය කිරීමට පෙර යයි, නමුත් මෙය පද්ධතිය වැඩිපුර පූරණය කරයි. අවශ්‍ය නම්, නූල් සැකසුම් තුළ බෙදිය හැකි අතර ප්‍රොසෙසර අතර බෙදා හැරිය හැක - Suricata නිශ්චිත දෘඩාංග සඳහා ඉතා හොඳින් ප්‍රශස්ත කර ඇත, නමුත් මෙය තවදුරටත් ආරම්භකයින් සඳහා HOWTO මට්ටම නොවේ. HTP පුස්තකාලය මත පදනම්ව Suricata සතුව උසස් HTTP පරීක්ෂණ මෙවලම් ඇති බව ද සඳහන් කිරීම වටී. අනාවරණයකින් තොරව ගමනාගමනය ලොග් කිරීමට ද ඒවා භාවිතා කළ හැකිය. පද්ධතිය IPv6-in-IPv4 උමං මාර්ග, IPv6-in-IPv6 උමං සහ තවත් දේ ඇතුළුව IPv6 විකේතනය සඳහා සහය දක්වයි.

ගමනාගමනයට බාධා කිරීමට විවිධ අතුරුමුහුණත් භාවිතා කළ හැක (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), සහ Unix Socket ප්‍රකාරයේදී, ඔබට වෙනත් ස්නයිෆර් විසින් ග්‍රහණය කරගත් PCAP ගොනු ස්වයංක්‍රීයව විශ්ලේෂණය කළ හැක. මීට අමතරව, Suricata හි මොඩියුලර් ගෘහ නිර්මාණ ශිල්පය ජාල පැකට් ග්‍රහණය කර ගැනීමට, විකේතනය කිරීමට, විග්‍රහ කිරීමට සහ සැකසීමට නව මූලද්‍රව්‍ය ප්ලග් කිරීම පහසු කරයි. සුරිකාටා හි, මෙහෙයුම් පද්ධතියේ සාමාන්‍ය පෙරහනක් මගින් ගමනාගමනය අවහිර කර ඇති බව ද සැලකිල්ලට ගැනීම වැදගත්ය. GNU/Linux හට IPS ක්‍රියා කරන ආකාරය සඳහා විකල්ප දෙකක් ඇත: NFQUEUE පෝලිම හරහා (NFQ මාදිලිය) සහ ශුන්‍ය පිටපත හරහා (AF_PACKET මාදිලිය). පළමු අවස්ථාවේ දී, iptables වෙත ඇතුළු වන පැකට්ටුව NFQUEUE පෝලිමට යවනු ලැබේ, එය පරිශීලක මට්ටමින් සැකසිය හැක. Suricata එය තමන්ගේම නීතිරීතිවලට අනුව ධාවනය කරන අතර තීන්දු තුනෙන් එකක් නිකුත් කරයි: NF_ACCEPT, NF_DROP සහ NF_REPEAT. පළමු දෙක ස්වයං-පැහැදිලි වන අතර, අවසාන පැකට් ටැග් කිරීමට සහ වත්මන් iptables වගුවේ ඉහළට යැවීමට ඉඩ දෙයි. AF_PACKET මාදිලිය වේගවත් වේ, නමුත් එය පද්ධතියට සීමාවන් ගණනාවක් පනවයි: එයට ජාල අතුරුමුහුණත් දෙකක් තිබිය යුතු අතර දොරටුවක් ලෙස ක්‍රියා කළ යුතුය. අවහිර කළ පැකට්ටුව සරලව දෙවන අතුරු මුහුණත වෙත යොමු නොකෙරේ.

Suricata හි වැදගත් ලක්ෂණයක් වන්නේ Snort සඳහා වර්ධනයන් භාවිතා කිරීමේ හැකියාවයි. පරිපාලකයාට, විශේෂයෙන්ම, Sourcefire VRT සහ OpenSource නැගී එන තර්ජන රීති කට්ටල, මෙන්ම වාණිජ නැගී එන තර්ජන ප්‍රෝ වෙත ප්‍රවේශය ඇත. ජනප්‍රිය පසුබිම් භාවිතයෙන් ඒකාබද්ධ ප්‍රතිදානය විග්‍රහ කළ හැක, PCAP සහ Syslog ප්‍රතිදානය ද සහය දක්වයි. පද්ධති සැකසීම් සහ රීති YAML ගොනු තුළ ගබඩා කර ඇත, ඒවා කියවීමට පහසු සහ ස්වයංක්‍රීයව සැකසිය හැක. Suricata එන්ජිම බොහෝ ප්‍රොටෝකෝල හඳුනා ගනී, එබැවින් නීති වරාය අංකයකට සම්බන්ධ කිරීම අවශ්‍ය නොවේ. මීට අමතරව, සුරිකාටා හි නීති රීති වල ප්‍රවාහ බිටු සංකල්පය සක්‍රීයව ක්‍රියාත්මක වේ. ප්‍රේරකය හඹා යාමට, විවිධ කවුන්ටර සහ ධජ සෑදීමට සහ යෙදීමට සැසි විචල්‍යයන් භාවිතා කරයි. බොහෝ IDS විවිධ TCP සම්බන්ධතා වෙනම ආයතන ලෙස සලකන අතර ප්‍රහාරයක ආරම්භය පෙන්නුම් කරන ඒවා අතර සම්බන්ධයක් නොපෙනේ. Suricata මුළු පින්තූරයම බැලීමට උත්සාහ කරන අතර බොහෝ අවස්ථාවලදී විවිධ සම්බන්ධතා හරහා බෙදා හරින අනිෂ්ට ගමනාගමනය හඳුනා ගනී. ඔබට එහි වාසි ගැන දිගු කාලයක් කතා කළ හැකිය, අපි ස්ථාපනය සහ වින්‍යාසය වෙත යාමට වඩා හොඳය.

ස්ථාපනය කරන්නේ කෙසේද?

අපි Ubuntu 18.04 LTS ධාවනය වන අතථ්‍ය සේවාදායකයක් මත Suricata ස්ථාපනය කරන්නෙමු. සියලුම විධානයන් superuser (root) වෙනුවෙන් ක්‍රියාත්මක කළ යුතුය. වඩාත්ම ආරක්‍ෂිත විකල්පය වන්නේ සාමාන්‍ය පරිශීලකයෙකු ලෙස SSH සේවාදායකයට ඇතුළත් කර පසුව වරප්‍රසාද ඉහළ නැංවීමට sudo උපයෝගීතාව භාවිතා කිරීමයි. පළමුව ඔබ අපට අවශ්‍ය පැකේජ ස්ථාපනය කළ යුතුය:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

බාහිර ගබඩාවක් සම්බන්ධ කිරීම:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

Suricata හි නවතම ස්ථාවර අනුවාදය ස්ථාපනය කරන්න:

sudo apt-get install suricata

අවශ්‍ය නම්, වින්‍යාස ගොනු නාමය සංස්කරණය කරන්න, පෙරනිමි eth0 වෙනුවට සේවාදායකයේ බාහිර අතුරුමුහුණතේ සැබෑ නම ප්‍රතිස්ථාපනය කරන්න. පෙරනිමි සැකසුම් /etc/default/suricata ගොනුවේ ගබඩා කර ඇති අතර, අභිරුචි සැකසුම් /etc/suricata/suricata.yaml හි ගබඩා කර ඇත. IDS වින්‍යාස කිරීම බොහෝ දුරට මෙම වින්‍යාස ගොනුව සංස්කරණය කිරීමට සීමා වේ. එහි නම සහ අරමුණ අනුව Snort හි ප්‍රතිසමයන් සමඟ සමපාත වන පරාමිතීන් රාශියක් ඇත. කෙසේ වෙතත්, වාක්‍ය ඛණ්ඩය බෙහෙවින් වෙනස් ය, නමුත් ගොනුව Snort configs වලට වඩා කියවීමට පහසු වන අතර හොඳින් අදහස් දක්වා ඇත.

sudo nano /etc/default/suricata

Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම

и

sudo nano /etc/suricata/suricata.yaml

Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම

අවධානය! ආරම්භ කිරීමට පෙර, vars කොටසෙන් විචල්‍යවල අගයන් පරීක්ෂා කිරීම වටී.

සැකසුම සම්පූර්ණ කිරීමට, ඔබ විසින් රීති යාවත්කාලීන කිරීමට සහ පූරණය කිරීමට suricata-update ස්ථාපනය කිරීමට අවශ්‍ය වනු ඇත. මෙය කිරීම තරමක් පහසුය:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

මීලඟට, අපි නැගී එන තර්ජන විවෘත රීති කට්ටලය ස්ථාපනය කිරීමට suricata-update විධානය ක්‍රියාත්මක කළ යුතුය:

sudo suricata-update

Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම

රීති මූලාශ්‍ර ලැයිස්තුව බැලීමට, පහත විධානය ක්‍රියාත්මක කරන්න:

sudo suricata-update list-sources

Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම

රීති මූලාශ්‍ර යාවත්කාලීන කරන්න:

sudo suricata-update update-sources

Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම

යාවත්කාලීන මූලාශ්‍ර නැවත බැලීම:

sudo suricata-update list-sources

අවශ්ය නම්, ඔබට ලබා ගත හැකි නිදහස් මූලාශ්ර ඇතුළත් කළ හැකිය:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

ඊට පසු, ඔබ නැවත නීති යාවත්කාලීන කළ යුතුය:

sudo suricata-update

මෙය Ubuntu 18.04 LTS හි Suricata ස්ථාපනය සහ මූලික වින්‍යාසය සම්පූර්ණ කරයි. එවිට විනෝදය ආරම්භ වේ: ඊළඟ ලිපියෙන්, අපි VPN හරහා කාර්යාල ජාලයට අතථ්‍ය සේවාදායකයක් සම්බන්ධ කර පැමිණෙන සහ පිටතට යන ගමනාගමනය විශ්ලේෂණය කිරීමට පටන් ගනිමු. DDoS ප්‍රහාර අවහිර කිරීම, අනිෂ්ට මෘදුකාංග ක්‍රියාකාරකම් සහ පොදු ජාල වලින් ප්‍රවේශ විය හැකි සේවාවන්හි ඇති අවදානම් ප්‍රයෝජනයට ගැනීමේ උත්සාහයන් පිළිබඳව අපි විශේෂ අවධානයක් යොමු කරන්නෙමු. පැහැදිලිකම සඳහා, වඩාත් පොදු වර්ගවල ප්‍රහාර අනුකරණය කරනු ඇත.

Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම

Snort හෝ Suricata. 2 කොටස: Suricata ස්ථාපනය සහ මූලික සැකසුම

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න