Према статистикама, обим мрежног саобраћаја се сваке године повећава за око 50%. Ово доводи до повећања оптерећења опреме и, посебно, повећава захтеве перформанси ИДС/ИПС-а. Можете купити скупи специјализовани хардвер, али постоји јефтинија опција - имплементација једног од система отвореног кода. Многи администратори почетници сматрају да је инсталирање и конфигурисање бесплатног ИПС-а прилично тешко. У случају Сурицате, ово није сасвим тачно - можете га инсталирати и почети да одбијате стандардне нападе скупом бесплатних правила за неколико минута.
Зашто нам треба још један отворени ИПС?
Дуго се сматрао стандардом, Снорт је био у развоју од касних деведесетих, тако да је првобитно био једнонитни. Током година, стекао је све модерне карактеристике, као што је подршка за ИПв6, могућност анализе протокола на нивоу апликације или универзални модул за приступ подацима.
Основни Снорт 2.Кс мотор је научио да ради са више језгара, али је остао једнонитни и стога не може оптимално да искористи предности модерних хардверских платформи.
Проблем је решен у трећој верзији система, али је припремање трајало толико времена да је Сурицата, написана од нуле, успела да се појави на тржишту. Године 2009. почео је да се развија управо као мулти-тхреадед алтернатива Снорт-у, који је имао ИПС функције ван кутије. Код се дистрибуира под ГПЛв2 лиценцом, али финансијски партнери пројекта имају приступ затвореној верзији мотора. Неки проблеми са скалабилности појавили су се у првим верзијама система, али су прилично брзо решени.
Зашто Сурицата?
Сурицата има неколико модула (као Снорт): снимање, аквизиција, декодирање, детекција и излаз. Подразумевано, ухваћени саобраћај иде пре декодирања у једној нити, иако ово додатно оптерећује систем. Ако је потребно, нити се могу поделити у подешавањима и распоредити међу процесоре - Сурицата је веома добро оптимизована за одређени хардвер, иако ово више није ниво КАКО за почетнике. Такође је вредно напоменути да Сурицата има напредне ХТТП алате за инспекцију засноване на ХТП библиотеци. Такође се могу користити за евидентирање саобраћаја без откривања. Систем такође подржава ИПв6 декодирање, укључујући ИПв4-ин-ИПв6, ИПв6-ин-ИПв6 тунеле и друге.
За пресретање саобраћаја могу се користити различити интерфејси (НФКуеуе, ИПФРинг, ЛибПцап, ИПФВ, АФ_ПАЦКЕТ, ПФ_РИНГ), а у режиму Уник Соцкет можете аутоматски анализирати ПЦАП датотеке које је ухватио други сниффер. Поред тога, Сурицатина модуларна архитектура олакшава повезивање нових елемената за хватање, декодирање, анализу и обраду мрежних пакета. Такође је важно напоменути да је у Сурицати саобраћај блокиран помоћу стандардног филтера оперативног система. У ГНУ/Линук-у су доступне две опције за ИПС рад: кроз НФКУЕУЕ ред (НФК режим) и кроз нулту копију (режим АФ_ПАЦКЕТ). У првом случају, пакет који улази у иптаблес се шаље у НФКУЕУЕ ред, где се може обрадити на нивоу корисника. Сурицата га води према сопственим правилима и издаје једну од три пресуде: НФ_АЦЦЕПТ, НФ_ДРОП и НФ_РЕПЕАТ. Прва два су сама по себи разумљива, али последњи вам омогућава да означите пакете и пошаљете их на почетак тренутне иптаблес табеле. Режим АФ_ПАЦКЕТ је бржи, али намеће низ ограничења систему: мора имати два мрежна интерфејса и радити као мрежни пролаз. Блокирани пакет се једноставно не прослеђује другом интерфејсу.
Важна карактеристика Сурицате је могућност коришћења развоја за Снорт. Администратор има приступ, посебно, Соурцефире ВРТ и ОпенСоурце Емергинг Тхреатс скуповима правила, као и комерцијалном Емергинг Тхреатс Про. Обједињени излаз се може анализирати коришћењем популарних бацкенд-а, а подржан је и излаз у ПЦАП и Сислог. Системска подешавања и правила се чувају у ИАМЛ датотекама, које се лако читају и могу се аутоматски обрадити. Сурицата мотор препознаје многе протоколе, тако да правила не морају бити везана за број порта. Поред тога, концепт битова протока се активно практикује у правилима Сурицата. За праћење покретања користе се варијабле сесије које вам омогућавају да креирате и примените различите бројаче и заставице. Многи ИДС-ови третирају различите ТЦП везе као засебне ентитете и можда неће видети везу између њих да би указали на почетак напада. Сурицата покушава да сагледа целу слику и у многим случајевима препознаје злонамерни саобраћај дистрибуиран преко различитих веза. О његовим предностима можемо дуго причати, боље је да пређемо на инсталацију и конфигурацију.
Како инсталирати?
Инсталираћемо Сурицату на виртуелни сервер који користи Убунту 18.04 ЛТС. Све наредбе морају бити извршене као суперкорисник (роот). Најбезбеднија опција је да се повежете са сервером преко ССХ-а као стандардни корисник, а затим користите судо услужни програм за ескалацију привилегија. Прво морамо да инсталирамо пакете који су нам потребни:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsПовезивање екстерног спремишта:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateИнсталирајте најновију стабилну верзију Сурицата:
sudo apt-get install suricataАко је потребно, уредите име конфигурационих датотека, замењујући подразумевани етх0 стварним именом спољног интерфејса сервера. Подразумевана подешавања се чувају у датотеци /етц/дефаулт/сурицата, а прилагођена подешавања се чувају у /етц/сурицата/сурицата.иамл. ИДС конфигурација је углавном ограничена на уређивање ове конфигурационе датотеке. Има много параметара који се по имену и намени поклапају са њиховим аналогама из Снорт-а. Синтакса је ипак потпуно другачија, али је фајл много лакши за читање од Снорт конфигурација, а такође је добро коментарисан.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Пажња! Пре него што почнете, требало би да проверите вредности променљивих из одељка варс.
Да бисте довршили подешавање, мораћете да инсталирате сурицата-упдате да бисте ажурирали и преузели правила. То је прилично лако учинити:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateЗатим морамо да покренемо команду сурицата-упдате да инсталирамо Емергинг Тхреатс Опен скуп правила:
sudo suricata-update
Да бисте видели листу извора правила, покрените следећу команду:
sudo suricata-update list-sources
Ажурирајте изворе правила:
sudo suricata-update update-sources
Поново погледамо ажуриране изворе:
sudo suricata-update list-sourcesАко је потребно, можете укључити доступне бесплатне изворе:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistНакон овога, морате поново да ажурирате правила:
sudo suricata-updateУ овом тренутку, инсталација и почетна конфигурација Сурицата у Убунту 18.04 ЛТС може се сматрати завршеном. Тада почиње забава: у следећем чланку ћемо повезати виртуелни сервер на канцеларијску мрежу преко ВПН-а и почети да анализирамо сав долазни и одлазни саобраћај. Посебну пажњу посветићемо блокирању ДДоС напада, активности малвера и покушаја да се искористе рањивости у услугама доступним са јавних мрежа. Ради јасноће, биће симулирани напади најчешћих типова.
Извор: ввв.хабр.цом