E tusa ai ma faʻamaumauga, o le aofaʻi o fefaʻatauaiga o fesoʻotaʻiga e faʻateleina e tusa ma le 50% i tausaga taʻitasi. O lenei mea e taʻitaʻia ai le faʻateleina o le uta i luga o meafaigaluega ma, aemaise lava, faʻateleina manaoga faʻatinoga o IDS / IPS. E mafai ona e faʻatau faʻatauga faʻapitoa faʻapitoa, ae o loʻo i ai se filifiliga taugofie - faʻaaogaina se tasi o polokalama tatala punaoa. O le tele o pulega fou e manatu o le faʻapipiʻiina ma le faʻatulagaina o se IPS saoloto e faigata tele. I le tulaga o Suricata, e leʻo atoatoa lenei mea - e mafai ona e faʻapipiʻi ma amata faʻafefeina osofaʻiga masani ma se seti o tulafono saoloto i ni nai minute.
Aisea tatou te manaʻomia ai se isi IPS tatala?
Ua leva ona mafaufau i le tulaga masani, Snort ua amata ona atinaʻe talu mai le tuai o nineties, o lea na muamua ai le filo. I le gasologa o tausaga, ua ia mauaina uma foliga faʻaonaponei, e pei o le IPv6 lagolago, le mafai ona faʻavasegaina faʻasologa o faʻatonuga, poʻo se faʻaogaina o faʻamatalaga lautele.
O le Snort 2.X engine na aʻoaʻoina e galue i le tele o 'au, ae tumau pea le filo ma o lea e le mafai ai ona faʻaogaina lelei faʻaoga faʻaonaponei meafaigaluega.
O le faʻafitauli na foia i le vaega lona tolu o le faiga, ae na umi se taimi na saunia ai Suricata, na tusia mai le amataga, na mafai ona faʻaalia i luga o le maketi. I le 2009, na amata ona atiaʻe saʻo e pei o se faʻaogaina tele o filo i Snort, o loʻo i ai galuega IPS mai le pusa. O lo'o tufatufaina atu le fa'ailoga i lalo ole laisene GPLv2, ae o pa'aga tau tupe a le poloketi e mafai ona maua se avanoa tapuni o le afi. O nisi faʻafitauli i le faʻalauteleina na tulaʻi mai i uluai lomiga o le faiga, ae na vave ona foia.
Aisea Suricata?
Suricata e tele modules (pei o Snort): puʻeina, mauaina, faʻavasegaina, iloa ma gaioiga. Ona o le le mafai, o felauaiga pu'eina e alu a'o le'i fa'avasegaina i le filo e tasi, e ui lava e sili atu le mamafa o le faiga. Afai e manaʻomia, e mafai ona vaevaeina filo i totonu o faʻatulagaga ma tufatufa atu i le gaosiga - Suricata e sili ona lelei mo meafaigaluega faʻapitoa, e ui lava e le o se tulaga HOWTO mo tagata amata. E taua foi le matauina o Suricata ua faʻalauteleina meafaigaluega suʻesuʻe HTTP faʻavae ile faletusi HTP. E mafai fo'i ona fa'aoga e fa'amau ai feoaiga e aunoa ma se iloa. E lagolagoina foi e le faiga le IPv6 decoding, e aofia ai IPv4-i-IPv6, IPv6-i-IPv6 tunnels ma isi.
E mafai ona fa'aogaina feso'ota'iga 'ese'ese e fa'alavelave ai fefa'ataua'iga (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ma i le Unix Socket mode e mafai ona e otometi lava ona su'esu'e faila PCAP na pu'eina e se isi so'ona. E le gata i lea, o le fausaga faʻapitoa a Suricata e faigofie ai ona faʻafesoʻotaʻi elemene fou e puʻeina, faʻavasegaina, auʻiliʻili ma faʻagasolo pusa fesoʻotaiga. E taua foi le maitauina i Suricata, o loʻo poloka le taʻavale i le faʻaogaina o le faʻaogaina o le faʻaogaina o le faʻaogaina. I le GNU/Linux, e lua filifiliga mo le fa'agaioiga IPS o lo'o avanoa: e ala i le NFQUEUE queue (NFQ mode) ma ala i le kopi kopi (AF_PACKET mode). I le tulaga muamua, o se pepa e ulufale i iptables e auina atu i le NFQUEUE queue, lea e mafai ona faʻagaioia i le tulaga faʻaoga. Suricata e fa'atino e tusa ai ma ana lava tulafono ma tu'uina atu se tasi o fa'ai'uga e tolu: NF_ACCEPT, NF_DROP ma NF_REPEAT. O mea muamua e lua e faʻamalamalama e le tagata lava ia, ae o le mea mulimuli e mafai ai ona e makaina pepa ma lafo i le amataga o le laulau iptables o loʻo iai nei. O le AF_PACKET mode e sili atu le vave, ae faʻapipiʻi le tele o tapulaʻa i luga o le faiga: e tatau ona lua fesoʻotaʻiga fesoʻotaʻiga ma galue o se faitotoa. O le afifi poloka e le o lafo atu i le fa'aoga lona lua.
O se vaega taua o Suricata o le mafai lea ona faʻaogaina atinaʻe mo Snort. E mafai e le pule ona maua, aemaise lava, le Sourcefire VRT ma OpenSource Emerging Threats tulafono seti, faʻapea foʻi ma le faʻasalalauga e Emerging Threats Pro. E mafai ona su'esu'eina le galuega fa'atasi e fa'aaoga ai pito i tua ta'uta'ua, ma o lo'o lagolagoina fo'i galuega fa'atino ile PCAP ma le Syslog. Fa'atonu faiga ma tulafono o lo'o teuina i faila YAML, e faigofie ona faitau ma mafai ona fa'agasolo otometi. E iloa e le afi Suricata le tele o faʻasalalauga, o lea e le manaʻomia ona nonoa tulafono i se numera o le taulaga. E le gata i lea, o le manatu o flowbits o loʻo galue malosi i tulafono a Suricata. Ina ia siaki le faʻaosoina, e faʻaaogaina fesuiaiga o sauniga, e mafai ai ona e fatuina ma faʻaoga faʻatau ma fuʻa eseese. O le tele o IDS latou te fa'aogaina feso'ota'iga TCP eseese o ni fa'alapotopotoga tu'ufa'atasi ma e ono le va'aia le feso'ota'iga i lo latou va e fa'ailoa ai le amataga o se osofa'iga. Suricata e taumafai e vaʻai i le ata atoa ma i le tele o tulaga e iloa ai fefaʻatauaʻiga leaga e tufatufa atu i fesoʻotaʻiga eseese. E mafai ona tatou talanoa e uiga i ona lelei mo se taimi umi; e sili atu ona tatou agai i luma i le faʻapipiʻiina ma le faʻatulagaina.
Faʻafefea ona faʻapipiʻi?
O le a matou faʻapipiʻi Suricata i luga o se masini komepiuta e faʻaogaina le Ubuntu 18.04 LTS. O fa'atonuga uma e tatau ona fa'atinoina e pei o le superuser (a'a). O le filifiliga pito sili ona malupuipuia o le faʻafesoʻotaʻi i le 'auʻaunaga e ala i le SSH o se tagata faʻaoga masani, ona faʻaaoga lea o le sudo aoga e faʻateleina ai avanoa. Muamua tatou te manaʻomia le faʻapipiʻiina o afifi tatou te manaʻomia:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsFeso'ota'i se fale teu oloa i fafo:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateFa'apipi'i le lomiga mautu lata mai o Suricata:
sudo apt-get install suricataAfai e manaʻomia, faʻasaʻo le igoa faila faila, sui le eth0 faʻaletonu ma le igoa moni o le faʻaoga fafo o le server. O fa'atonuga fa'aletonu o lo'o teuina i totonu o le faila /etc/default/suricata, ma fa'atonuga fa'apitoa e teu i totonu /etc/suricata/suricata.yaml. O le fa'atulagaina o le IDS e tele lava ina fa'atapula'aina i le fa'asa'oina o lenei faila fa'atonu. O loʻo i ai le tele o faʻamaufaʻailoga e, i le igoa ma le faʻamoemoe, faʻatasi ma a latou analogues mai Snort. O le syntax e matua ese lava, ae o le faila e sili atu le faigofie ona faitau nai lo Snort configs, ma e lelei foi le faʻamatalaga.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Fa'alogo! Aʻo leʻi amataina, e tatau ona e siakiina tau o fesuiaiga mai le vars vaega.
Ina ia faʻamaeʻaina le seti, e tatau ona e faʻapipiʻi suricata-update e faʻafou ma download ai tulafono. E faigofie tele ona fai lenei mea:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateO le isi mea e manaʻomia ona tatou faʻataʻitaʻiina le suricata-update command e faʻapipiʻi ai le Faʻamataʻu Faʻamataʻu Tatala tulafono:
sudo suricata-update
Ina ia vaʻai i le lisi o punaʻoa tulafono, faʻataʻitaʻi le poloaiga lenei:
sudo suricata-update list-sources
Fa'afou tulafono fa'apogai:
sudo suricata-update update-sources
Matou te toe vaʻavaʻai i punaoa faʻafouina:
sudo suricata-update list-sourcesAfai e manaʻomia, e mafai ona e faʻapipiʻi punaoa maua fua:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistA maeʻa lenei mea, e tatau ona e toe faʻafouina tulafono:
sudo suricata-updateI le taimi nei, o le faʻapipiʻiina ma le faʻatulagaina muamua o Suricata i le Ubuntu 18.04 LTS e mafai ona manatu ua maeʻa. Ona amata lea o le fiafia: i le isi tusiga o le a matou faʻafesoʻotaʻi se server virtual i le ofisa fesoʻotaʻiga e ala i le VPN ma amata ona suʻesuʻe uma feʻaveaʻi ulufale ma fafo. O le a matou gauai faʻapitoa i le polokaina o osofaʻiga a le DDoS, faʻaogaina o mea leaga, ma taumafai e faʻaogaina faʻafitauli i auaunaga e mafai ona maua mai fesoʻotaʻiga lautele. Mo le manino, o osofaʻiga o ituaiga sili ona taatele o le a faʻataʻitaʻiina.
puna: www.habr.com