புள்ளிவிவரங்களின்படி, நெட்வொர்க் போக்குவரத்தின் அளவு ஒவ்வொரு ஆண்டும் சுமார் 50% அதிகரிக்கிறது. இது உபகரணங்களின் சுமை அதிகரிப்பதற்கு வழிவகுக்கிறது மற்றும் குறிப்பாக, IDS/IPS இன் செயல்திறன் தேவைகளை அதிகரிக்கிறது. நீங்கள் விலையுயர்ந்த சிறப்பு வன்பொருளை வாங்கலாம், ஆனால் மலிவான விருப்பம் உள்ளது - திறந்த மூல அமைப்புகளில் ஒன்றை செயல்படுத்துதல். பல புதிய நிர்வாகிகள் இலவச IPS ஐ நிறுவுவது மற்றும் கட்டமைப்பது மிகவும் கடினம் என்று நினைக்கிறார்கள். Suricata விஷயத்தில், இது முற்றிலும் உண்மை இல்லை - நீங்கள் அதை நிறுவி, சில நிமிடங்களில் இலவச விதிகளின் தொகுப்புடன் நிலையான தாக்குதல்களைத் தடுக்கலாம்.
எங்களுக்கு ஏன் மற்றொரு திறந்த ஐபிஎஸ் தேவை?
நீண்ட காலமாக நிலையானதாகக் கருதப்பட்டது, தொண்ணூறுகளின் பிற்பகுதியில் இருந்து Snort வளர்ச்சியில் உள்ளது, எனவே இது முதலில் ஒற்றை-திரிக்கப்பட்டதாக இருந்தது. பல ஆண்டுகளாக, இது IPv6 ஆதரவு, பயன்பாட்டு நிலை நெறிமுறைகளை பகுப்பாய்வு செய்யும் திறன் அல்லது உலகளாவிய தரவு அணுகல் தொகுதி போன்ற அனைத்து நவீன அம்சங்களையும் பெற்றுள்ளது.
அடிப்படை Snort 2.X இன்ஜின் பல கோர்களுடன் வேலை செய்ய கற்றுக்கொண்டது, ஆனால் ஒற்றை-த்ரெட்டாகவே இருந்தது, எனவே நவீன வன்பொருள் இயங்குதளங்களை உகந்ததாகப் பயன்படுத்த முடியாது.
கணினியின் மூன்றாவது பதிப்பில் சிக்கல் தீர்க்கப்பட்டது, ஆனால் புதிதாக எழுதப்பட்ட சூரிகாட்டா சந்தையில் தோன்ற முடிந்தது. 2009 ஆம் ஆண்டில், ஸ்நோர்ட்டுக்கு பல-திரிக்கப்பட்ட மாற்றாக இது துல்லியமாக உருவாக்கத் தொடங்கியது, இது ஐபிஎஸ் செயல்பாடுகளை பெட்டிக்கு வெளியே இருந்தது. குறியீடு GPLv2 உரிமத்தின் கீழ் விநியோகிக்கப்படுகிறது, ஆனால் திட்டத்தின் நிதிப் பங்காளிகள் இயந்திரத்தின் மூடிய பதிப்பிற்கான அணுகலைப் பெற்றுள்ளனர். கணினியின் முதல் பதிப்புகளில் அளவிடுதல் தொடர்பான சில சிக்கல்கள் எழுந்தன, ஆனால் அவை மிக விரைவாக தீர்க்கப்பட்டன.
ஏன் சூரிகாட்டா?
சூரிகாட்டாவில் பல தொகுதிகள் உள்ளன (ஸ்நார்ட் போன்றவை): பிடிப்பு, கையகப்படுத்தல், டிகோடிங், கண்டறிதல் மற்றும் வெளியீடு. இயல்பாக, கைப்பற்றப்பட்ட ட்ராஃபிக் ஒரு நூலில் டிகோடிங் செய்வதற்கு முன் செல்கிறது, இருப்பினும் இது கணினியை அதிகமாக ஏற்றுகிறது. தேவைப்பட்டால், நூல்களை அமைப்புகளில் பிரிக்கலாம் மற்றும் செயலிகளிடையே விநியோகிக்கலாம் - சூரிகாட்டா குறிப்பிட்ட வன்பொருளுக்கு மிகவும் உகந்ததாக உள்ளது, இருப்பினும் இது ஆரம்பநிலைக்கு HOWTO நிலை அல்ல. HTP நூலகத்தை அடிப்படையாகக் கொண்ட மேம்பட்ட HTTP ஆய்வுக் கருவிகளை Suricata கொண்டுள்ளது என்பதும் குறிப்பிடத்தக்கது. கண்டறிதல் இல்லாமல் போக்குவரத்தைப் பதிவுசெய்யவும் அவை பயன்படுத்தப்படலாம். IPv6-in-IPv4, IPv6-in-IPv6 டன்னல்கள் மற்றும் பிறவற்றை உள்ளடக்கிய IPv6 டிகோடிங்கை இந்த அமைப்பு ஆதரிக்கிறது.
போக்குவரத்தை இடைமறிக்க வெவ்வேறு இடைமுகங்கள் பயன்படுத்தப்படலாம் (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), மேலும் Unix சாக்கெட் பயன்முறையில் நீங்கள் மற்றொரு ஸ்னிஃபரால் கைப்பற்றப்பட்ட PCAP கோப்புகளை தானாகவே பகுப்பாய்வு செய்யலாம். கூடுதலாக, சூரிகாட்டாவின் மட்டு கட்டமைப்பானது நெட்வொர்க் பாக்கெட்டுகளைப் பிடிக்க, டிகோட், பகுப்பாய்வு மற்றும் செயலாக்க புதிய கூறுகளை இணைப்பதை எளிதாக்குகிறது. சுரிகாட்டாவில், நிலையான இயக்க முறைமை வடிகட்டியைப் பயன்படுத்தி போக்குவரத்து தடைசெய்யப்பட்டுள்ளது என்பதையும் கவனத்தில் கொள்ள வேண்டும். GNU/Linux இல், IPS செயல்பாட்டிற்கான இரண்டு விருப்பங்கள் உள்ளன: NFQUEUE வரிசை (NFQ பயன்முறை) மற்றும் பூஜ்ஜிய நகல் (AF_PACKET பயன்முறை) மூலம். முதல் வழக்கில், iptables இல் நுழையும் ஒரு பாக்கெட் NFQUEUE வரிசைக்கு அனுப்பப்படுகிறது, அங்கு அது பயனர் மட்டத்தில் செயலாக்கப்படும். சூரிகாட்டா அதை அதன் சொந்த விதிகளின்படி இயக்குகிறது மற்றும் மூன்று தீர்ப்புகளில் ஒன்றை வழங்குகிறது: NF_ACCEPT, NF_DROP மற்றும் NF_REPEAT. முதல் இரண்டு சுய விளக்கமளிக்கும், ஆனால் கடைசியானது பாக்கெட்டுகளைக் குறிக்கவும், தற்போதைய iptables அட்டவணையின் தொடக்கத்திற்கு அனுப்பவும் உங்களை அனுமதிக்கிறது. AF_PACKET பயன்முறை வேகமானது, ஆனால் கணினியில் பல கட்டுப்பாடுகளை விதிக்கிறது: இது இரண்டு பிணைய இடைமுகங்களைக் கொண்டிருக்க வேண்டும் மற்றும் நுழைவாயிலாக வேலை செய்ய வேண்டும். தடுக்கப்பட்ட பாக்கெட் இரண்டாவது இடைமுகத்திற்கு அனுப்பப்படவில்லை.
சூரிகாட்டாவின் ஒரு முக்கிய அம்சம், குறட்டைக்கான மேம்பாடுகளைப் பயன்படுத்தும் திறன் ஆகும். நிர்வாகிக்கு, குறிப்பாக, Sourcefire VRT மற்றும் OpenSource எமர்ஜிங் த்ரெட்ஸ் விதிகள் மற்றும் வணிக ரீதியாக வளர்ந்து வரும் அச்சுறுத்தல்கள் ப்ரோ ஆகியவற்றுக்கான அணுகல் உள்ளது. ஒருங்கிணைக்கப்பட்ட வெளியீடு பிரபலமான பின்தளங்களைப் பயன்படுத்தி பகுப்பாய்வு செய்யப்படலாம், மேலும் PCAP மற்றும் Syslogக்கான வெளியீடும் துணைபுரிகிறது. கணினி அமைப்புகள் மற்றும் விதிகள் YAML கோப்புகளில் சேமிக்கப்படுகின்றன, அவை படிக்க எளிதானவை மற்றும் தானாக செயலாக்கப்படும். Suricata இயந்திரம் பல நெறிமுறைகளை அங்கீகரிக்கிறது, எனவே விதிகளை போர்ட் எண்ணுடன் இணைக்க வேண்டிய அவசியமில்லை. கூடுதலாக, சுரிகாட்டா விதிகளில் ஃப்ளோபிட்களின் கருத்து தீவிரமாக நடைமுறையில் உள்ளது. தூண்டுதலைக் கண்காணிக்க, அமர்வு மாறிகள் பயன்படுத்தப்படுகின்றன, இது பல்வேறு கவுண்டர்கள் மற்றும் கொடிகளை உருவாக்கவும் பயன்படுத்தவும் உங்களை அனுமதிக்கிறது. பல ஐடிஎஸ்கள் வெவ்வேறு டிசிபி இணைப்புகளை தனித்தனி நிறுவனங்களாகக் கருதுகின்றன மற்றும் தாக்குதலின் தொடக்கத்தைக் குறிக்க அவற்றுக்கிடையேயான தொடர்பைப் பார்க்காமல் இருக்கலாம். Suricata முழுப் படத்தையும் பார்க்க முயற்சிக்கிறது மற்றும் பல சந்தர்ப்பங்களில் வெவ்வேறு இணைப்புகளில் விநியோகிக்கப்படும் தீங்கிழைக்கும் போக்குவரத்தை அங்கீகரிக்கிறது. அதன் நன்மைகளைப் பற்றி நாம் நீண்ட நேரம் பேசலாம்; நிறுவல் மற்றும் உள்ளமைவுக்குச் செல்வது நல்லது.
நிறுவ எப்படி?
Ubuntu 18.04 LTS இயங்கும் மெய்நிகர் சேவையகத்தில் Suricata ஐ நிறுவுவோம். அனைத்து கட்டளைகளும் சூப்பர் யூசராக (ரூட்) செயல்படுத்தப்பட வேண்டும். ஒரு நிலையான பயனராக SSH வழியாக சேவையகத்துடன் இணைப்பது மிகவும் பாதுகாப்பான விருப்பமாகும், பின்னர் சலுகைகளை அதிகரிக்க சூடோ பயன்பாட்டைப் பயன்படுத்தவும். முதலில் நமக்கு தேவையான தொகுப்புகளை நிறுவ வேண்டும்:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsவெளிப்புற களஞ்சியத்தை இணைக்கிறது:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSuricata இன் சமீபத்திய நிலையான பதிப்பை நிறுவவும்:
sudo apt-get install suricataதேவைப்பட்டால், உள்ளமைவு கோப்புகளின் பெயரைத் திருத்தவும், இயல்புநிலை eth0 ஐ சர்வரின் வெளிப்புற இடைமுகத்தின் உண்மையான பெயருடன் மாற்றவும். இயல்புநிலை அமைப்புகள் /etc/default/suricata கோப்பில் சேமிக்கப்படும், மேலும் தனிப்பயன் அமைப்புகள் /etc/suricata/suricata.yaml இல் சேமிக்கப்படும். ஐடிஎஸ் உள்ளமைவு பெரும்பாலும் இந்த உள்ளமைவு கோப்பைத் திருத்துவதற்கு மட்டுமே. இது பல அளவுருக்களைக் கொண்டுள்ளது, அவை பெயரிலும் நோக்கத்திலும், Snort இலிருந்து அவற்றின் ஒப்புமைகளுடன் ஒத்துப்போகின்றன. இருப்பினும் தொடரியல் முற்றிலும் வேறுபட்டது, ஆனால் Snort configs ஐ விட கோப்பு படிக்க மிகவும் எளிதானது, மேலும் இது நன்றாக கருத்து தெரிவிக்கப்பட்டுள்ளது.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
கவனம்! தொடங்குவதற்கு முன், நீங்கள் vars பிரிவில் இருந்து மாறிகளின் மதிப்புகளை சரிபார்க்க வேண்டும்.
அமைப்பை முடிக்க, விதிகளைப் புதுப்பிக்கவும் பதிவிறக்கவும் suricata-update ஐ நிறுவ வேண்டும். இதைச் செய்வது மிகவும் எளிதானது:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateஅடுத்து நாம் வளர்ந்து வரும் அச்சுறுத்தல்கள் திறந்த விதிகளை நிறுவ suricata-update கட்டளையை இயக்க வேண்டும்:
sudo suricata-update
விதி மூலங்களின் பட்டியலைக் காண, பின்வரும் கட்டளையை இயக்கவும்:
sudo suricata-update list-sources
விதி ஆதாரங்களைப் புதுப்பிக்கவும்:
sudo suricata-update update-sources
புதுப்பிக்கப்பட்ட ஆதாரங்களை மீண்டும் பார்க்கிறோம்:
sudo suricata-update list-sourcesதேவைப்பட்டால், கிடைக்கக்கூடிய இலவச ஆதாரங்களை நீங்கள் சேர்க்கலாம்:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistஇதற்குப் பிறகு, நீங்கள் விதிகளை மீண்டும் புதுப்பிக்க வேண்டும்:
sudo suricata-updateஇந்த கட்டத்தில், Ubuntu 18.04 LTS இல் Suricata இன் நிறுவல் மற்றும் ஆரம்ப கட்டமைப்பு முழுமையானதாக கருதப்படலாம். பின்னர் வேடிக்கை தொடங்குகிறது: அடுத்த கட்டுரையில், VPN வழியாக அலுவலக நெட்வொர்க்குடன் மெய்நிகர் சேவையகத்தை இணைப்போம் மற்றும் உள்வரும் மற்றும் வெளிச்செல்லும் அனைத்து போக்குவரத்தையும் பகுப்பாய்வு செய்யத் தொடங்குவோம். DDoS தாக்குதல்கள், தீம்பொருள் செயல்பாடு மற்றும் பொது நெட்வொர்க்குகளில் இருந்து அணுகக்கூடிய சேவைகளில் உள்ள பாதிப்புகளைப் பயன்படுத்துவதற்கான முயற்சிகளைத் தடுப்பதில் நாங்கள் சிறப்பு கவனம் செலுத்துவோம். தெளிவுக்காக, மிகவும் பொதுவான வகைகளின் தாக்குதல்கள் உருவகப்படுத்தப்படும்.
ஆதாரம்: www.habr.com