සංඛ්යා ලේඛනවලට අනුව, සෑම වසරකම ජාල ගමනාගමනයේ පරිමාව 50% කින් පමණ වැඩි වේ. මෙය උපකරණවල බර වැඩිවීමට හේතු වන අතර, විශේෂයෙන් IDS / IPS හි කාර්ය සාධන අවශ්යතා වැඩි කරයි. ඔබට මිල අධික විශේෂිත දෘඩාංග මිලදී ගත හැකිය, නමුත් ලාභදායී විකල්පයක් ඇත - විවෘත කේත පද්ධති වලින් එකක් හඳුන්වා දීම. බොහෝ නවක පරිපාලකයින්ට නොමිලේ IPS ස්ථාපනය කිරීම සහ වින්යාස කිරීම අපහසු වේ. Suricata සම්බන්ධයෙන් ගත් කල, මෙය සම්පූර්ණයෙන්ම සත්ය නොවේ - ඔබට එය ස්ථාපනය කර මිනිත්තු කිහිපයකින් නිදහස් නීති මාලාවක් සමඟ සාමාන්ය ප්රහාර මැඩපැවැත්වීම ආරම්භ කළ හැකිය.
අපට තවත් විවෘත IPS අවශ්ය වන්නේ ඇයි?
දිගු කාලයක් සම්මතය ලෙස සලකනු ලැබූ අතර, Snort අනූව දශකයේ අග භාගයේ සිට සංවර්ධනය වෙමින් පවතී, එබැවින් එය මුලින් තනි නූල් විය. වසර ගණනාවක් පුරා, IPv6 සහාය, යෙදුම් මට්ටමේ ප්රොටෝකෝල විශ්ලේෂණය කිරීමේ හැකියාව හෝ විශ්වීය දත්ත ප්රවේශ මොඩියුලයක් වැනි සියලුම නවීන විශේෂාංග එහි දර්ශනය වී ඇත.
Core Snort 2.X එන්ජිම බහු හරයන් සමඟ වැඩ කිරීමට ඉගෙන ගෙන ඇත, නමුත් තනි නූල් ලෙස පවතින අතර එබැවින් නවීන දෘඩාංග වේදිකාවල ප්රශස්ත ලෙස ප්රයෝජන ගත නොහැක.
පද්ධතියේ තුන්වන අනුවාදයේ ගැටළුව විසඳා ඇත, නමුත් එය සකස් කිරීමට බොහෝ කාලයක් ගත වූ අතර මුල සිටම ලියන ලද Suricata වෙළඳපොලේ පෙනී සිටීමට සමත් විය. 2009 දී, එය පෙට්ටියෙන් පිටත IPS කාර්යයන් ඇති Snort සඳහා බහු-නූල් විකල්පයක් ලෙස නිශ්චිතවම සංවර්ධනය කිරීමට පටන් ගත්තේය. කේතය GPLv2 බලපත්රය යටතේ බෙදා හැර ඇත, නමුත් ව්යාපෘතියේ මූල්ය හවුල්කරුවන්ට එන්ජිමේ සංවෘත අනුවාදයකට ප්රවේශය ඇත. පද්ධතියේ පළමු අනුවාද වල සමහර පරිමාණය ගැටළු මතු වූ නමුත් ඒවා ඉක්මනින් විසඳා ඇත.
ඇයි Surica?
Suricata හට මොඩියුල කිහිපයක් ඇත (Snort ට සමාන): අල්ලා ගැනීම, අල්ලා ගැනීම, විකේතනය කිරීම, හඳුනා ගැනීම සහ ප්රතිදානය. පෙරනිමියෙන්, ග්රහණය කරගත් ගමනාගමනය එක් ප්රවාහයක විකේතනය කිරීමට පෙර යයි, නමුත් මෙය පද්ධතිය වැඩිපුර පූරණය කරයි. අවශ්ය නම්, නූල් සැකසුම් තුළ බෙදිය හැකි අතර ප්රොසෙසර අතර බෙදා හැරිය හැක - Suricata නිශ්චිත දෘඩාංග සඳහා ඉතා හොඳින් ප්රශස්ත කර ඇත, නමුත් මෙය තවදුරටත් ආරම්භකයින් සඳහා HOWTO මට්ටම නොවේ. HTP පුස්තකාලය මත පදනම්ව Suricata සතුව උසස් HTTP පරීක්ෂණ මෙවලම් ඇති බව ද සඳහන් කිරීම වටී. අනාවරණයකින් තොරව ගමනාගමනය ලොග් කිරීමට ද ඒවා භාවිතා කළ හැකිය. පද්ධතිය IPv6-in-IPv4 උමං මාර්ග, IPv6-in-IPv6 උමං සහ තවත් දේ ඇතුළුව IPv6 විකේතනය සඳහා සහය දක්වයි.
ගමනාගමනයට බාධා කිරීමට විවිධ අතුරුමුහුණත් භාවිතා කළ හැක (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), සහ Unix Socket ප්රකාරයේදී, ඔබට වෙනත් ස්නයිෆර් විසින් ග්රහණය කරගත් PCAP ගොනු ස්වයංක්රීයව විශ්ලේෂණය කළ හැක. මීට අමතරව, Suricata හි මොඩියුලර් ගෘහ නිර්මාණ ශිල්පය ජාල පැකට් ග්රහණය කර ගැනීමට, විකේතනය කිරීමට, විග්රහ කිරීමට සහ සැකසීමට නව මූලද්රව්ය ප්ලග් කිරීම පහසු කරයි. සුරිකාටා හි, මෙහෙයුම් පද්ධතියේ සාමාන්ය පෙරහනක් මගින් ගමනාගමනය අවහිර කර ඇති බව ද සැලකිල්ලට ගැනීම වැදගත්ය. GNU/Linux හට IPS ක්රියා කරන ආකාරය සඳහා විකල්ප දෙකක් ඇත: NFQUEUE පෝලිම හරහා (NFQ මාදිලිය) සහ ශුන්ය පිටපත හරහා (AF_PACKET මාදිලිය). පළමු අවස්ථාවේ දී, iptables වෙත ඇතුළු වන පැකට්ටුව NFQUEUE පෝලිමට යවනු ලැබේ, එය පරිශීලක මට්ටමින් සැකසිය හැක. Suricata එය තමන්ගේම නීතිරීතිවලට අනුව ධාවනය කරන අතර තීන්දු තුනෙන් එකක් නිකුත් කරයි: NF_ACCEPT, NF_DROP සහ NF_REPEAT. පළමු දෙක ස්වයං-පැහැදිලි වන අතර, අවසාන පැකට් ටැග් කිරීමට සහ වත්මන් iptables වගුවේ ඉහළට යැවීමට ඉඩ දෙයි. AF_PACKET මාදිලිය වේගවත් වේ, නමුත් එය පද්ධතියට සීමාවන් ගණනාවක් පනවයි: එයට ජාල අතුරුමුහුණත් දෙකක් තිබිය යුතු අතර දොරටුවක් ලෙස ක්රියා කළ යුතුය. අවහිර කළ පැකට්ටුව සරලව දෙවන අතුරු මුහුණත වෙත යොමු නොකෙරේ.
Suricata හි වැදගත් ලක්ෂණයක් වන්නේ Snort සඳහා වර්ධනයන් භාවිතා කිරීමේ හැකියාවයි. පරිපාලකයාට, විශේෂයෙන්ම, Sourcefire VRT සහ OpenSource නැගී එන තර්ජන රීති කට්ටල, මෙන්ම වාණිජ නැගී එන තර්ජන ප්රෝ වෙත ප්රවේශය ඇත. ජනප්රිය පසුබිම් භාවිතයෙන් ඒකාබද්ධ ප්රතිදානය විග්රහ කළ හැක, PCAP සහ Syslog ප්රතිදානය ද සහය දක්වයි. පද්ධති සැකසීම් සහ රීති YAML ගොනු තුළ ගබඩා කර ඇත, ඒවා කියවීමට පහසු සහ ස්වයංක්රීයව සැකසිය හැක. Suricata එන්ජිම බොහෝ ප්රොටෝකෝල හඳුනා ගනී, එබැවින් නීති වරාය අංකයකට සම්බන්ධ කිරීම අවශ්ය නොවේ. මීට අමතරව, සුරිකාටා හි නීති රීති වල ප්රවාහ බිටු සංකල්පය සක්රීයව ක්රියාත්මක වේ. ප්රේරකය හඹා යාමට, විවිධ කවුන්ටර සහ ධජ සෑදීමට සහ යෙදීමට සැසි විචල්යයන් භාවිතා කරයි. බොහෝ IDS විවිධ TCP සම්බන්ධතා වෙනම ආයතන ලෙස සලකන අතර ප්රහාරයක ආරම්භය පෙන්නුම් කරන ඒවා අතර සම්බන්ධයක් නොපෙනේ. Suricata මුළු පින්තූරයම බැලීමට උත්සාහ කරන අතර බොහෝ අවස්ථාවලදී විවිධ සම්බන්ධතා හරහා බෙදා හරින අනිෂ්ට ගමනාගමනය හඳුනා ගනී. ඔබට එහි වාසි ගැන දිගු කාලයක් කතා කළ හැකිය, අපි ස්ථාපනය සහ වින්යාසය වෙත යාමට වඩා හොඳය.
ස්ථාපනය කරන්නේ කෙසේද?
අපි Ubuntu 18.04 LTS ධාවනය වන අතථ්ය සේවාදායකයක් මත Suricata ස්ථාපනය කරන්නෙමු. සියලුම විධානයන් superuser (root) වෙනුවෙන් ක්රියාත්මක කළ යුතුය. වඩාත්ම ආරක්ෂිත විකල්පය වන්නේ සාමාන්ය පරිශීලකයෙකු ලෙස SSH සේවාදායකයට ඇතුළත් කර පසුව වරප්රසාද ඉහළ නැංවීමට sudo උපයෝගීතාව භාවිතා කිරීමයි. පළමුව ඔබ අපට අවශ්ය පැකේජ ස්ථාපනය කළ යුතුය:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https
බාහිර ගබඩාවක් සම්බන්ධ කිරීම:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
Suricata හි නවතම ස්ථාවර අනුවාදය ස්ථාපනය කරන්න:
sudo apt-get install suricata
අවශ්ය නම්, වින්යාස ගොනු නාමය සංස්කරණය කරන්න, පෙරනිමි eth0 වෙනුවට සේවාදායකයේ බාහිර අතුරුමුහුණතේ සැබෑ නම ප්රතිස්ථාපනය කරන්න. පෙරනිමි සැකසුම් /etc/default/suricata ගොනුවේ ගබඩා කර ඇති අතර, අභිරුචි සැකසුම් /etc/suricata/suricata.yaml හි ගබඩා කර ඇත. IDS වින්යාස කිරීම බොහෝ දුරට මෙම වින්යාස ගොනුව සංස්කරණය කිරීමට සීමා වේ. එහි නම සහ අරමුණ අනුව Snort හි ප්රතිසමයන් සමඟ සමපාත වන පරාමිතීන් රාශියක් ඇත. කෙසේ වෙතත්, වාක්ය ඛණ්ඩය බෙහෙවින් වෙනස් ය, නමුත් ගොනුව Snort configs වලට වඩා කියවීමට පහසු වන අතර හොඳින් අදහස් දක්වා ඇත.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
අවධානය! ආරම්භ කිරීමට පෙර, vars කොටසෙන් විචල්යවල අගයන් පරීක්ෂා කිරීම වටී.
සැකසුම සම්පූර්ණ කිරීමට, ඔබ විසින් රීති යාවත්කාලීන කිරීමට සහ පූරණය කිරීමට suricata-update ස්ථාපනය කිරීමට අවශ්ය වනු ඇත. මෙය කිරීම තරමක් පහසුය:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update
මීලඟට, අපි නැගී එන තර්ජන විවෘත රීති කට්ටලය ස්ථාපනය කිරීමට suricata-update විධානය ක්රියාත්මක කළ යුතුය:
sudo suricata-update
රීති මූලාශ්ර ලැයිස්තුව බැලීමට, පහත විධානය ක්රියාත්මක කරන්න:
sudo suricata-update list-sources
රීති මූලාශ්ර යාවත්කාලීන කරන්න:
sudo suricata-update update-sources
යාවත්කාලීන මූලාශ්ර නැවත බැලීම:
sudo suricata-update list-sources
අවශ්ය නම්, ඔබට ලබා ගත හැකි නිදහස් මූලාශ්ර ඇතුළත් කළ හැකිය:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist
ඊට පසු, ඔබ නැවත නීති යාවත්කාලීන කළ යුතුය:
sudo suricata-update
මෙය Ubuntu 18.04 LTS හි Suricata ස්ථාපනය සහ මූලික වින්යාසය සම්පූර්ණ කරයි. එවිට විනෝදය ආරම්භ වේ: ඊළඟ ලිපියෙන්, අපි VPN හරහා කාර්යාල ජාලයට අතථ්ය සේවාදායකයක් සම්බන්ධ කර පැමිණෙන සහ පිටතට යන ගමනාගමනය විශ්ලේෂණය කිරීමට පටන් ගනිමු. DDoS ප්රහාර අවහිර කිරීම, අනිෂ්ට මෘදුකාංග ක්රියාකාරකම් සහ පොදු ජාල වලින් ප්රවේශ විය හැකි සේවාවන්හි ඇති අවදානම් ප්රයෝජනයට ගැනීමේ උත්සාහයන් පිළිබඳව අපි විශේෂ අවධානයක් යොමු කරන්නෙමු. පැහැදිලිකම සඳහා, වඩාත් පොදු වර්ගවල ප්රහාර අනුකරණය කරනු ඇත.
මූලාශ්රය: www.habr.com