Sipas statistikave, vëllimi i trafikut të rrjetit rritet me rreth 50% çdo vit. Kjo çon në një rritje të ngarkesës në pajisje dhe, në veçanti, rrit kërkesat e performancës së IDS / IPS. Ju mund të blini pajisje të shtrenjta të specializuara, por ekziston një mundësi më e lirë - prezantimi i një prej sistemeve me burim të hapur. Shumë administratorë fillestarë e kanë të vështirë të instalojnë dhe konfigurojnë IPS falas. Në rastin e Suricata, kjo nuk është plotësisht e vërtetë - mund ta instaloni dhe të filloni të zmbrapsni sulmet tipike me një sërë rregullash falas në pak minuta.
Pse na duhet një IPS tjetër e hapur?
I konsideruar prej kohësh standardi, Snort ka qenë në zhvillim që nga fundi i viteve nëntëdhjetë, kështu që fillimisht ishte me një fije të vetme. Me kalimin e viteve, të gjitha tiparet moderne janë shfaqur në të, si mbështetja IPv6, aftësia për të analizuar protokollet e nivelit të aplikacionit ose një modul universal i aksesit të të dhënave.
Motori bërthamor Snort 2.X ka mësuar të punojë me bërthama të shumta, por ka mbetur me një fije të vetme dhe për këtë arsye nuk mund të përfitojë në mënyrë optimale nga platformat moderne të harduerit.
Problemi u zgjidh në versionin e tretë të sistemit, por u desh kaq shumë kohë për t'u përgatitur sa Suricata, e shkruar nga e para, arriti të dilte në treg. Në vitin 2009, ajo filloi të zhvillohet pikërisht si një alternativë me shumë fije ndaj Snort, e cila ka funksione IPS jashtë kutisë. Kodi shpërndahet nën licencën GPLv2, por partnerët financiarë të projektit kanë akses në një version të mbyllur të motorit. Disa probleme të shkallëzueshmërisë u shfaqën në versionet e para të sistemit, por ato u zgjidhën shpejt.
Pse Surica?
Suricata ka disa module (të ngjashme me Snort): kapje, kapje, dekodim, zbulim dhe dalje. Si parazgjedhje, trafiku i kapur shkon përpara dekodimit në një transmetim, megjithëse kjo e ngarkon më shumë sistemin. Nëse është e nevojshme, temat mund të ndahen në cilësime dhe të shpërndahen midis procesorëve - Suricata është optimizuar shumë mirë për pajisje specifike, megjithëse ky nuk është më një nivel HOWTO për fillestarët. Vlen gjithashtu të theksohet se Suricata ka mjete të avancuara të inspektimit HTTP bazuar në bibliotekën HTP. Ato mund të përdoren gjithashtu për të regjistruar trafikun pa zbulim. Sistemi gjithashtu mbështet dekodimin IPv6, duke përfshirë tunelet IPv4-në-IPv6, tunelet IPv6-në-IPv6 dhe më shumë.
Ndërfaqe të ndryshme mund të përdoren për të përgjuar trafikun (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) dhe në modalitetin Unix Socket, ju mund të analizoni automatikisht skedarët PCAP të kapur nga një tjetër sniffer. Përveç kësaj, arkitektura modulare e Suricata-s e bën të lehtë futjen e elementeve të rinj për të kapur, deshifruar, analizuar dhe përpunuar paketat e rrjetit. Është gjithashtu e rëndësishme të theksohet se në Suricata, trafiku bllokohet me anë të një filtri të rregullt të sistemit operativ. GNU/Linux ka dy opsione për mënyrën se si funksionon IPS: nëpërmjet radhës NFQUEUE (modaliteti NFQ) dhe nëpërmjet kopjimit zero (modaliteti AF_PACKET). Në rastin e parë, paketa që futet në iptable dërgohet në radhën NFQUEUE, ku mund të përpunohet në nivel përdoruesi. Suricata e drejton atë sipas rregullave të veta dhe nxjerr një nga tre verdiktet: NF_ACCEPT, NF_DROP dhe NF_REPEAT. Dy të parat janë vetë-shpjeguese, ndërsa e fundit lejon që paketat të etiketohen dhe të dërgohen në krye të tabelës aktuale të iptables. Modaliteti AF_PACKET është më i shpejtë, por imponon një sërë kufizimesh në sistem: duhet të ketë dy ndërfaqe rrjeti dhe të funksionojë si një portë. Paketa e bllokuar thjesht nuk përcillet në ndërfaqen e dytë.
Një tipar i rëndësishëm i Suricata është aftësia për të përdorur zhvillimet për Snort. Administratori ka akses, në veçanti, në grupet e rregullave Sourcefire VRT dhe OpenSource Emerging Threats, si dhe në programin komercial Emerging Threats Pro. Prodhimi i unifikuar mund të analizohet duke përdorur mbështetëset e njohura, dalja PCAP dhe Syslog gjithashtu mbështetet. Cilësimet dhe rregullat e sistemit ruhen në skedarët YAML, të cilët lexohen lehtë dhe mund të përpunohen automatikisht. Motori Suricata njeh shumë protokolle, kështu që rregullat nuk kanë nevojë të lidhen me një numër porti. Për më tepër, koncepti i bitave të rrjedhës praktikohet në mënyrë aktive në rregullat e Suricata. Për të gjurmuar shkaktarin, variablat e sesionit përdoren për të krijuar dhe aplikuar numërues dhe flamuj të ndryshëm. Shumë IDS trajtojnë lidhje të ndryshme TCP si entitete të veçanta dhe mund të mos shohin një lidhje midis tyre që tregon fillimin e një sulmi. Suricata përpiqet të shohë të gjithë pamjen dhe në shumë raste njeh trafikun keqdashës të shpërndarë në lidhje të ndryshme. Ju mund të flisni për avantazhet e tij për një kohë të gjatë, më mirë të kalojmë te instalimi dhe konfigurimi.
Si ta instaloni?
Ne do të instalojmë Suricata në një server virtual që ekzekuton Ubuntu 18.04 LTS. Të gjitha komandat duhet të ekzekutohen në emër të superpërdoruesit (rrënjës). Opsioni më i sigurt është të futni SSH në server si përdorues normal dhe më pas të përdorni mjetin sudo për të ngritur privilegjet. Së pari ju duhet të instaloni paketat që na duhen:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsLidhja e një depoje të jashtme:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateInstaloni versionin më të fundit të qëndrueshëm të Suricata:
sudo apt-get install suricataNëse është e nevojshme, modifikoni emrin e skedarit të konfigurimit, duke zëvendësuar eth0-në e paracaktuar me emrin aktual të ndërfaqes së jashtme të serverit. Cilësimet e parazgjedhura ruhen në skedarin /etc/default/suricata dhe cilësimet e personalizuara ruhen në /etc/suricata/suricata.yaml. Konfigurimi i IDS është kryesisht i kufizuar në modifikimin e këtij skedari konfigurimi. Ka shumë parametra që, me emër dhe qëllim, përkojnë me analogët nga Snort. Sidoqoftë, sintaksa është mjaft e ndryshme, por skedari është shumë më i lehtë për t'u lexuar sesa konfigurimi i Snort dhe komentohet mirë.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Kujdes! Para se të filloni, ia vlen të kontrolloni vlerat e variablave nga seksioni vars.
Për të përfunduar konfigurimin, do t'ju duhet të instaloni suricata-update për të përditësuar dhe ngarkuar rregullat. Është shumë e lehtë për ta bërë këtë:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateMë pas, duhet të ekzekutojmë komandën suricata-update për të instaluar grupin e rregullave Emerging Threats Open:
sudo suricata-update
Për të parë listën e burimeve të rregullave, ekzekutoni komandën e mëposhtme:
sudo suricata-update list-sources
Përditëso burimet e rregullave:
sudo suricata-update update-sources
Rishikimi i burimeve të përditësuara:
sudo suricata-update list-sourcesNëse është e nevojshme, mund të përfshini burime të disponueshme falas:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistPas kësaj, duhet të përditësoni përsëri rregullat:
sudo suricata-updateKjo përfundon instalimin dhe konfigurimin fillestar të Suricata në Ubuntu 18.04 LTS. Pastaj fillon argëtimi: në artikullin vijues, ne do të lidhim një server virtual me rrjetin e zyrës përmes VPN dhe do të fillojmë të analizojmë të gjithë trafikun në hyrje dhe në dalje. Ne do t'i kushtojmë vëmendje të veçantë bllokimit të sulmeve DDoS, aktivitetit të malware dhe përpjekjeve për të shfrytëzuar dobësitë në shërbimet e aksesueshme nga rrjetet publike. Për qartësi, sulmet e llojeve më të zakonshme do të simulohen.
Burimi: www.habr.com