Numutkeun statistik, volume lalu lintas jaringan ningkat sakitar 50% unggal taun. Ieu ngakibatkeun kanaékan beban dina alat-alat sareng, khususna, ningkatkeun syarat kinerja IDS / IPS. Anjeun tiasa mésér hardware khusus anu mahal, tapi aya pilihan anu langkung mirah - ngenalkeun salah sahiji sistem open source. Seueur pangurus novice sesah masang sareng ngonpigurasikeun IPS gratis. Dina kasus Suricata, ieu henteu sapinuhna leres - anjeun tiasa pasang sareng mimitian ngusir serangan anu biasa ku sakumpulan aturan gratis dina sababaraha menit.
Naha urang peryogi IPS kabuka anu sanés?
Lila dianggap standar, Snort geus di ngembangkeun saprak ahir nineties, jadi asalna single-threaded. Sapanjang taun, sadaya fitur modéren parantos muncul di jerona, sapertos dukungan IPv6, kamampuan pikeun nganalisis protokol tingkat aplikasi, atanapi modul aksés data universal.
Mesin inti Snort 2.X parantos diajar damel sareng sababaraha inti, tapi tetep benang tunggal sahingga henteu tiasa ngamangpaatkeun platform hardware modern sacara optimal.
Masalahna direngsekeun dina versi katilu tina sistem, tapi nyandak waktos anu lami pikeun nyiapkeun yén Suricata, ditulis ti mimiti, junun muncul dina pasaran. Dina 2009, éta mimiti dikembangkeun persis salaku alternatif multi-threaded mun Snort, nu boga fitur IPS out of the box. Kodeu disebarkeun dina lisénsi GPLv2, tapi mitra finansial proyék ngagaduhan aksés kana versi mesin katutup. Sababaraha masalah scalability timbul dina versi mimiti sistem, tapi aranjeunna gancang direngsekeun.
Naha Surica?
Suricata boga sababaraha modul (sarupa jeung Snort): newak, newak, decode, deteksi, jeung kaluaran. Sacara standar, lalu lintas anu direbut sateuacan nyahkodkeun dina hiji aliran, sanaos ieu langkung seueur ngamuat sistem. Upami diperyogikeun, benang tiasa dibagi dina setélan sareng disebarkeun diantara prosesor - Suricata dioptimalkeun pisan pikeun hardware khusus, sanaos ieu sanés tingkat HOWTO pikeun pamula. Ogé kudu dicatet yén Suricata geus maju parabot inspeksi HTTP dumasar kana perpustakaan HTP. Éta ogé bisa dipaké pikeun log lalulintas tanpa deteksi. Sistem ieu ogé ngadukung decoding IPv6, kalebet torowongan IPv4-in-IPv6, torowongan IPv6-in-IPv6, sareng seueur deui.
Interfaces béda bisa dipaké pikeun intercept lalulintas (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), sarta dina modeu Unix stop kontak, anjeun tiasa otomatis nganalisis file PCAP direbut ku sniffer sejen. Salaku tambahan, arsitéktur modular Suricata ngagampangkeun pikeun nyolok unsur-unsur énggal pikeun nangkep, nga-decode, nga-parse, sareng ngolah pakét jaringan. Éta ogé penting pikeun dicatet yén di Suricata, patalimarga diblokir ku cara maké filter biasa tina sistem operasi. GNU/Linux boga dua pilihan pikeun kumaha IPS jalan: ngaliwatan antrian NFQUEUE (mode NFQ) jeung via enol salinan (mode AF_PACKET). Dina kasus anu pertama, pakét anu asup kana iptables dikirim ka antrian NFQUEUE, dimana éta tiasa diolah dina tingkat pangguna. Suricata ngajalankeun eta nurutkeun aturan sorangan sarta ngaluarkeun salah sahiji tilu vonis: NF_ACCEPT, NF_DROP na NF_REPEAT. Kahiji dua anu timer explanatory, sedengkeun panungtungan ngamungkinkeun pakét pikeun ditandaan tur dikirim ka luhureun tabel iptables ayeuna. Modeu AF_PACKET leuwih gancang, tapi maksakeun sababaraha larangan dina sistem: eta kudu boga dua interfaces jaringan tur dianggo salaku gateway a. Paket anu diblokir ngan saukur henteu diteruskeun kana antarmuka anu kadua.
Fitur penting tina Suricata nyaéta kamampuan ngagunakeun pamekaran pikeun Snort. Administrator ngagaduhan aksés, khususna, kana set aturan Sourcefire VRT sareng OpenSource Emerging Threats, ogé komérsial Emerging Threats Pro. Kaluaran anu ngahijikeun tiasa diuraikan nganggo backend populér, kaluaran PCAP sareng Syslog ogé dirojong. Setélan sareng aturan sistem disimpen dina file YAML, anu gampang dibaca sareng tiasa diolah sacara otomatis. Mesin Suricata ngakuan seueur protokol, ku kituna aturan henteu kedah dihijikeun sareng nomer port. Sajaba ti éta, konsép flowbits aktip latihan dina aturan Suricata. Pikeun ngalacak pemicu, variabel sési dianggo pikeun nyiptakeun sareng nerapkeun rupa-rupa lokét sareng umbul. Seueur IDS ngarawat sambungan TCP anu béda salaku éntitas anu misah sareng moal ningali sambungan antara aranjeunna anu nunjukkeun awal serangan. Suricata nyoba ningali sakabeh gambar jeung dina loba kasus ngakuan lalulintas jahat disebarkeun ngaliwatan sambungan béda. Anjeun tiasa ngobrol ngeunaan kaunggulan na keur lila, urang kukituna hadé ngaléngkah ka instalasi tur konfigurasi.
Kumaha carana masang?
Kami bakal masang Suricata dina server virtual anu ngajalankeun Ubuntu 18.04 LTS. Sadaya paréntah kedah dieksekusi atas nama superuser (root). Pilihan anu paling aman nyaéta SSH kana server salaku pangguna normal teras nganggo utilitas sudo pikeun ngangkat hak husus. Mimiti anjeun kedah masang pakét anu urang peryogikeun:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsNyambungkeun gudang éksternal:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updatePasang versi stabil panganyarna tina Suricata:
sudo apt-get install suricataUpami diperlukeun, edit ngaran file konfigurasi, ngaganti eth0 standar kalawan ngaran sabenerna panganteur éksternal server urang. Setélan standar disimpen dina file /etc/default/suricata, sareng setélan khusus disimpen dina /etc/suricata/suricata.yaml. Ngonpigurasikeun IDS biasana dugi ka ngédit file konfigurasi ieu. Éta ngagaduhan seueur parameter anu, ku nami sareng tujuan, coincide sareng analog ti Snort. Sintaksisna béda-béda, tapi filena langkung gampang dibaca tibatan konfigurasi Snort sareng koméntar ogé.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Perhatosan! Sateuacan ngamimitian, éta patut mariksa nilai-nilai variabel tina bagian vars.
Pikeun ngarengsekeun setélan, anjeun kedah pasang suricata-update pikeun ngapdet sareng ngamuat aturan. Ieu cukup gampang pikeun ngalakukeun ieu:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateSalajengna, urang kedah ngajalankeun paréntah suricata-update pikeun masang aturan Emerging Threats Open:
sudo suricata-update
Pikeun ningali daptar sumber aturan, jalankeun paréntah di handap ieu:
sudo suricata-update list-sources
Ngamutahirkeun sumber aturan:
sudo suricata-update update-sources
Revisiting sumber diropéa:
sudo suricata-update list-sourcesUpami diperlukeun, anjeun tiasa ngalebetkeun sumber gratis anu sayogi:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistSaatos éta, anjeun kedah ngapdet deui aturan:
sudo suricata-updateIeu ngalengkepan pamasangan sareng konfigurasi awal Suricata dina Ubuntu 18.04 LTS. Teras kasenangan dimimitian: dina tulisan salajengna, urang bakal nyambungkeun server virtual ka jaringan kantor via VPN sareng mimitian nganalisis sadaya lalu lintas anu asup sareng kaluar. Kami bakal nengetan khusus pikeun meungpeuk serangan DDoS, kagiatan malware sareng usaha pikeun ngamangpaatkeun kerentanan dina jasa anu tiasa diaksés tina jaringan umum. Pikeun kajelasan, serangan tina jenis paling umum bakal simulated.
sumber: www.habr.com