E tusa ai ma faʻamaumauga, o le aofaʻi o fefaʻatauaiga o fesoʻotaʻiga e faʻateleina e tusa ma le 50% i tausaga taʻitasi. O lenei mea e taʻitaʻia ai le faʻateleina o le uta i luga o meafaigaluega ma, aemaise lava, faʻateleina manaoga faʻatinoga o IDS / IPS. E mafai ona e faʻatau faʻatauga faʻapitoa faʻapitoa, ae o loʻo i ai se filifiliga taugofie - faʻaaogaina se tasi o polokalama tatala punaoa. O le tele o pulega fou e manatu o le faʻapipiʻiina ma le faʻatulagaina o se IPS saoloto e faigata tele. I le tulaga o Suricata, e leʻo atoatoa lenei mea - e mafai ona e faʻapipiʻi ma amata faʻafefeina osofaʻiga masani ma se seti o tulafono saoloto i ni nai minute.
Aisea tatou te manaʻomia ai se isi IPS tatala?
Ua leva ona mafaufau i le tulaga masani, Snort ua amata ona atinaʻe talu mai le tuai o nineties, o lea na muamua ai le filo. I le gasologa o tausaga, ua ia mauaina uma foliga faʻaonaponei, e pei o le IPv6 lagolago, le mafai ona faʻavasegaina faʻasologa o faʻatonuga, poʻo se faʻaogaina o faʻamatalaga lautele.
O le Snort 2.X engine na aʻoaʻoina e galue i le tele o 'au, ae tumau pea le filo ma o lea e le mafai ai ona faʻaogaina lelei faʻaoga faʻaonaponei meafaigaluega.
O le faʻafitauli na foia i le vaega lona tolu o le faiga, ae na umi se taimi na saunia ai Suricata, na tusia mai le amataga, na mafai ona faʻaalia i luga o le maketi. I le 2009, na amata ona atiaʻe saʻo e pei o se faʻaogaina tele o filo i Snort, o loʻo i ai galuega IPS mai le pusa. O lo'o tufatufaina atu le fa'ailoga i lalo ole laisene GPLv2, ae o pa'aga tau tupe a le poloketi e mafai ona maua se avanoa tapuni o le afi. O nisi faʻafitauli i le faʻalauteleina na tulaʻi mai i uluai lomiga o le faiga, ae na vave ona foia.
Aisea Suricata?
Suricata e tele modules (pei o Snort): puʻeina, mauaina, faʻavasegaina, iloa ma gaioiga. Ona o le le mafai, o felauaiga pu'eina e alu a'o le'i fa'avasegaina i le filo e tasi, e ui lava e sili atu le mamafa o le faiga. Afai e manaʻomia, e mafai ona vaevaeina filo i totonu o faʻatulagaga ma tufatufa atu i le gaosiga - Suricata e sili ona lelei mo meafaigaluega faʻapitoa, e ui lava e le o se tulaga HOWTO mo tagata amata. E taua foi le matauina o Suricata ua faʻalauteleina meafaigaluega suʻesuʻe HTTP faʻavae ile faletusi HTP. E mafai fo'i ona fa'aoga e fa'amau ai feoaiga e aunoa ma se iloa. E lagolagoina foi e le faiga le IPv6 decoding, e aofia ai IPv4-i-IPv6, IPv6-i-IPv6 tunnels ma isi.
E mafai ona fa'aaogaina ni atina'e eseese e taofia ai fe'avea'iga (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ma i le Unix Socket mode, e mafai ona otometi ona iloiloina faila PCAP na pu'eina e se isi sniffer. E le gata i lea, o le fausaga fa'apitoa a Suricata e fa'afaigofieina ai le fa'aopoopoina o elemene fou mo le pu'eina, fa'aliliuina o fa'amatalaga, iloiloina, ma le fa'agasoloina o afifi feso'ota'iga. E taua fo'i le maitauina o lo'o poloka e Suricata fe'avea'iga e fa'aaoga ai le faamama ua fausia i totonu o le faiga fa'aoga. I le GNU/Linux E lua auala IPS: e ala i le NFQUEUE queue (NFQ mode) ma e ala i le zero copy (AF_PACKET mode). I le auala muamua, o se afifi e ulufale i le iptables e auina atu i le NFQUEUE queue, lea e mafai ona faagasoloina i le tulaga o le tagata faʻaoga. E faʻagasolo e Suricata e tusa ai ma ana tulafono ma toe faafoi mai se tasi o faʻaiʻuga e tolu: NF_ACCEPT, NF_DROP, ma le NF_REPEAT. O auala muamua e lua e faigofie ona malamalama i ai, ae o le auala mulimuli e mafai ai ona e faʻailoga afifi ma lafo atu i le pito i luga o le laulau iptables o loʻo iai nei. O le auala AF_PACKET e ofoina atu le faʻatinoga maualuga, ae e faʻatulaga ai ni faʻatapulaʻaga i luga o le faiga: e tatau ona i ai ni fesoʻotaʻiga fesoʻotaʻiga se lua ma faʻagaoioia o se faitotoʻa. O se afifi ua poloka e le faʻafeiloaʻiina i le auala lona lua.
O se vaega taua o Suricata o le mafai lea ona faʻaogaina atinaʻe mo Snort. E mafai e le pule ona maua, aemaise lava, le Sourcefire VRT ma OpenSource Emerging Threats tulafono seti, faʻapea foʻi ma le faʻasalalauga e Emerging Threats Pro. E mafai ona su'esu'eina le galuega fa'atasi e fa'aaoga ai pito i tua ta'uta'ua, ma o lo'o lagolagoina fo'i galuega fa'atino ile PCAP ma le Syslog. Fa'atonu faiga ma tulafono o lo'o teuina i faila YAML, e faigofie ona faitau ma mafai ona fa'agasolo otometi. E iloa e le afi Suricata le tele o faʻasalalauga, o lea e le manaʻomia ona nonoa tulafono i se numera o le taulaga. E le gata i lea, o le manatu o flowbits o loʻo galue malosi i tulafono a Suricata. Ina ia siaki le faʻaosoina, e faʻaaogaina fesuiaiga o sauniga, e mafai ai ona e fatuina ma faʻaoga faʻatau ma fuʻa eseese. O le tele o IDS latou te fa'aogaina feso'ota'iga TCP eseese o ni fa'alapotopotoga tu'ufa'atasi ma e ono le va'aia le feso'ota'iga i lo latou va e fa'ailoa ai le amataga o se osofa'iga. Suricata e taumafai e vaʻai i le ata atoa ma i le tele o tulaga e iloa ai fefaʻatauaʻiga leaga e tufatufa atu i fesoʻotaʻiga eseese. E mafai ona tatou talanoa e uiga i ona lelei mo se taimi umi; e sili atu ona tatou agai i luma i le faʻapipiʻiina ma le faʻatulagaina.
Faʻafefea ona faʻapipiʻi?
O le a matou faʻapipiʻiina le Suricata i luga o se 'auʻaunaga faʻapitoa o loʻo faʻagaoioia Ubuntu 18.04 LTS. E tatau ona fa'agaoioia uma poloaiga e pei o le root. O le filifiliga sili ona saogalemu o le feso'ota'i lea i le server e ala i le SSH e pei o se tagata fa'aoga masani, ona fa'aaoga lea o le sudo e fa'aleleia atili ai avanoa. Muamua, e mana'omia ona e fa'apipi'i afifi talafeagai:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsFeso'ota'i se fale teu oloa i fafo:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateFa'apipi'i le lomiga mautu lata mai o Suricata:
sudo apt-get install suricataAfai e manaʻomia, faʻasaʻo le igoa faila faila, sui le eth0 faʻaletonu ma le igoa moni o le faʻaoga fafo o le server. O fa'atonuga fa'aletonu o lo'o teuina i totonu o le faila /etc/default/suricata, ma fa'atonuga fa'apitoa e teu i totonu /etc/suricata/suricata.yaml. O le fa'atulagaina o le IDS e tele lava ina fa'atapula'aina i le fa'asa'oina o lenei faila fa'atonu. O loʻo i ai le tele o faʻamaufaʻailoga e, i le igoa ma le faʻamoemoe, faʻatasi ma a latou analogues mai Snort. O le syntax e matua ese lava, ae o le faila e sili atu le faigofie ona faitau nai lo Snort configs, ma e lelei foi le faʻamatalaga.
sudo nano /etc/default/suricata 
и
sudo nano /etc/suricata/suricata.yaml 
Fa'alogo! Aʻo leʻi amataina, e tatau ona e siakiina tau o fesuiaiga mai le vars vaega.
Ina ia faʻamaeʻaina le seti, e tatau ona e faʻapipiʻi suricata-update e faʻafou ma download ai tulafono. E faigofie tele ona fai lenei mea:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateO le isi mea e manaʻomia ona tatou faʻataʻitaʻiina le suricata-update command e faʻapipiʻi ai le Faʻamataʻu Faʻamataʻu Tatala tulafono:
sudo suricata-update 
Ina ia vaʻai i le lisi o punaʻoa tulafono, faʻataʻitaʻi le poloaiga lenei:
sudo suricata-update list-sources 
Fa'afou tulafono fa'apogai:
sudo suricata-update update-sources 
Matou te toe vaʻavaʻai i punaoa faʻafouina:
sudo suricata-update list-sourcesAfai e manaʻomia, e mafai ona e faʻapipiʻi punaoa maua fua:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistA maeʻa lenei mea, e tatau ona e toe faʻafouina tulafono:
sudo suricata-updateO le a maeʻa ai le faʻapipiʻiina ma le faʻatulagaina muamua o le Suricata. Ubuntu E mafai ona manatu ua maeʻa le 18.04 LTS. O lea la ua oo mai le vaega malie: i le isi tusiga, o le a tatou faʻafesoʻotaʻi se 'auʻaunaga faʻapitoa i le fesoʻotaʻiga o le ofisa e ala i le VPN ma amata ona iloiloina feoaʻiga uma e ulufale mai ma alu ese. O le a tatou taulaʻi atu i le poloka o osofaʻiga DDoS, gaioiga o polokalame leaga, ma taumafaiga e faʻaaoga vaivaiga i auaunaga e mafai ona maua mai fesoʻotaʻiga faitele. Mo le manino, o le a tatou faʻataʻitaʻiina ituaiga osofaʻiga e masani ona faia.
puna: www.habr.com
