గణాంకాల ప్రకారం, ప్రతి సంవత్సరం నెట్వర్క్ ట్రాఫిక్ పరిమాణం దాదాపు 50% పెరుగుతుంది. ఇది పరికరాలపై లోడ్ పెరుగుదలకు దారితీస్తుంది మరియు ప్రత్యేకించి, IDS/IPS యొక్క పనితీరు అవసరాలను పెంచుతుంది. మీరు ఖరీదైన ప్రత్యేక హార్డ్వేర్ను కొనుగోలు చేయవచ్చు, కానీ చౌకైన ఎంపిక ఉంది - ఓపెన్ సోర్స్ సిస్టమ్లలో ఒకదాన్ని అమలు చేయడం. చాలా మంది అనుభవం లేని నిర్వాహకులు ఉచిత IPSని ఇన్స్టాల్ చేయడం మరియు కాన్ఫిగర్ చేయడం చాలా కష్టమని భావిస్తున్నారు. Suricata విషయంలో, ఇది పూర్తిగా నిజం కాదు - మీరు దీన్ని ఇన్స్టాల్ చేయవచ్చు మరియు కొన్ని నిమిషాల్లో ఉచిత నియమాల సెట్తో ప్రామాణిక దాడులను తిప్పికొట్టడం ప్రారంభించవచ్చు.
మనకు మరొక ఓపెన్ IPS ఎందుకు అవసరం?
చాలా కాలంగా ప్రామాణికంగా పరిగణించబడుతుంది, స్నోర్ట్ తొంభైల చివరి నుండి అభివృద్ధిలో ఉంది, కాబట్టి ఇది వాస్తవానికి సింగిల్-థ్రెడ్ చేయబడింది. సంవత్సరాలుగా, ఇది IPv6 మద్దతు, అప్లికేషన్-స్థాయి ప్రోటోకాల్లను విశ్లేషించే సామర్థ్యం లేదా యూనివర్సల్ డేటా యాక్సెస్ మాడ్యూల్ వంటి అన్ని ఆధునిక లక్షణాలను పొందింది.
ప్రాథమిక Snort 2.X ఇంజిన్ బహుళ కోర్లతో పనిచేయడం నేర్చుకుంది, కానీ సింగిల్-థ్రెడ్గా ఉండిపోయింది మరియు అందువల్ల ఆధునిక హార్డ్వేర్ ప్లాట్ఫారమ్ల ప్రయోజనాన్ని ఉత్తమంగా ఉపయోగించుకోలేదు.
సిస్టమ్ యొక్క మూడవ సంస్కరణలో సమస్య పరిష్కరించబడింది, కానీ మొదటి నుండి వ్రాసిన సూరికాటా మార్కెట్లో కనిపించడానికి చాలా సమయం పట్టింది. 2009లో, ఇది స్నోర్ట్కు బహుళ-థ్రెడ్ ప్రత్యామ్నాయంగా ఖచ్చితంగా అభివృద్ధి చేయబడింది, ఇది బాక్స్ వెలుపల IPS ఫంక్షన్లను కలిగి ఉంది. కోడ్ GPLv2 లైసెన్స్ క్రింద పంపిణీ చేయబడింది, అయితే ప్రాజెక్ట్ యొక్క ఆర్థిక భాగస్వాములు ఇంజిన్ యొక్క క్లోజ్డ్ వెర్షన్కు యాక్సెస్ కలిగి ఉంటారు. సిస్టమ్ యొక్క మొదటి సంస్కరణల్లో స్కేలబిలిటీతో కొన్ని సమస్యలు తలెత్తాయి, కానీ అవి చాలా త్వరగా పరిష్కరించబడ్డాయి.
సూరికాటా ఎందుకు?
Suricata అనేక మాడ్యూల్లను కలిగి ఉంది (స్నార్ట్ వంటివి): క్యాప్చర్, అక్విజిషన్, డీకోడింగ్, డిటెక్షన్ మరియు అవుట్పుట్. డిఫాల్ట్గా, క్యాప్చర్ చేయబడిన ట్రాఫిక్ ఒక థ్రెడ్లో డీకోడింగ్ చేయడానికి ముందు వెళుతుంది, అయినప్పటికీ ఇది సిస్టమ్ను మరింత లోడ్ చేస్తుంది. అవసరమైతే, థ్రెడ్లను సెట్టింగ్లలో విభజించవచ్చు మరియు ప్రాసెసర్ల మధ్య పంపిణీ చేయవచ్చు - సూరికాటా నిర్దిష్ట హార్డ్వేర్ కోసం చాలా బాగా ఆప్టిమైజ్ చేయబడింది, అయితే ఇది ప్రారంభకులకు HOWTO స్థాయి కాదు. HTP లైబ్రరీ ఆధారంగా సురికాటా అధునాతన HTTP తనిఖీ సాధనాలను కలిగి ఉండటం కూడా గమనించదగ్గ విషయం. వాటిని గుర్తించకుండా ట్రాఫిక్ను లాగ్ చేయడానికి కూడా ఉపయోగించవచ్చు. సిస్టమ్ IPv6-in-IPv4, IPv6-in-IPv6 టన్నెల్స్ మరియు ఇతర వాటితో సహా IPv6 డీకోడింగ్కు కూడా మద్దతు ఇస్తుంది.
ట్రాఫిక్ను అడ్డగించడానికి వివిధ ఇంటర్ఫేస్లను ఉపయోగించవచ్చు (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), మరియు Unix సాకెట్ మోడ్లో మీరు మరొక స్నిఫర్ ద్వారా క్యాప్చర్ చేసిన PCAP ఫైల్లను స్వయంచాలకంగా విశ్లేషించవచ్చు. అదనంగా, Suricata యొక్క మాడ్యులర్ ఆర్కిటెక్చర్ నెట్వర్క్ ప్యాకెట్లను క్యాప్చర్ చేయడానికి, డీకోడ్ చేయడానికి, విశ్లేషించడానికి మరియు ప్రాసెస్ చేయడానికి కొత్త ఎలిమెంట్లను కనెక్ట్ చేయడం సులభం చేస్తుంది. సురికాటాలో, స్టాండర్డ్ ఆపరేటింగ్ సిస్టమ్ ఫిల్టర్ని ఉపయోగించి ట్రాఫిక్ బ్లాక్ చేయబడిందని కూడా గమనించడం ముఖ్యం. GNU/Linuxలో, IPS ఆపరేషన్ కోసం రెండు ఎంపికలు అందుబాటులో ఉన్నాయి: NFQUEUE క్యూ (NFQ మోడ్) మరియు జీరో కాపీ (AF_PACKET మోడ్) ద్వారా. మొదటి సందర్భంలో, iptablesలోకి ప్రవేశించే ప్యాకెట్ NFQUEUE క్యూకి పంపబడుతుంది, ఇక్కడ అది వినియోగదారు స్థాయిలో ప్రాసెస్ చేయబడుతుంది. Suricata దాని స్వంత నిబంధనల ప్రకారం దీన్ని అమలు చేస్తుంది మరియు మూడు తీర్పులలో ఒకదాన్ని జారీ చేస్తుంది: NF_ACCEPT, NF_DROP మరియు NF_REPEAT. మొదటి రెండు స్వీయ-వివరణాత్మకమైనవి, కానీ చివరిది ప్యాకెట్లను గుర్తించడానికి మరియు వాటిని ప్రస్తుత iptables పట్టిక ప్రారంభానికి పంపడానికి మిమ్మల్ని అనుమతిస్తుంది. AF_PACKET మోడ్ వేగవంతమైనది, కానీ సిస్టమ్పై అనేక పరిమితులను విధిస్తుంది: ఇది తప్పనిసరిగా రెండు నెట్వర్క్ ఇంటర్ఫేస్లను కలిగి ఉండాలి మరియు గేట్వే వలె పని చేస్తుంది. బ్లాక్ చేయబడిన ప్యాకెట్ రెండవ ఇంటర్ఫేస్కు ఫార్వార్డ్ చేయబడదు.
Suricata యొక్క ముఖ్యమైన లక్షణం Snort కోసం అభివృద్ధిని ఉపయోగించగల సామర్థ్యం. అడ్మినిస్ట్రేటర్ ప్రత్యేకించి, Sourcefire VRT మరియు ఓపెన్సోర్స్ ఎమర్జింగ్ థ్రెట్స్ రూల్ సెట్లు, అలాగే కమర్షియల్ ఎమర్జింగ్ థ్రెట్స్ ప్రోకి యాక్సెస్ కలిగి ఉంటారు. జనాదరణ పొందిన బ్యాకెండ్లను ఉపయోగించి ఏకీకృత అవుట్పుట్ను విశ్లేషించవచ్చు మరియు PCAP మరియు Syslogకి అవుట్పుట్కు కూడా మద్దతు ఉంది. సిస్టమ్ సెట్టింగ్లు మరియు నియమాలు YAML ఫైల్లలో నిల్వ చేయబడతాయి, ఇవి చదవడం సులభం మరియు స్వయంచాలకంగా ప్రాసెస్ చేయబడతాయి. Suricata ఇంజిన్ అనేక ప్రోటోకాల్లను గుర్తిస్తుంది, కాబట్టి నియమాలను పోర్ట్ నంబర్తో ముడిపెట్టాల్సిన అవసరం లేదు. అదనంగా, సురికాటా నియమాలలో ఫ్లోబిట్ల భావన చురుకుగా అమలు చేయబడుతుంది. ట్రిగ్గరింగ్ని ట్రాక్ చేయడానికి, సెషన్ వేరియబుల్స్ ఉపయోగించబడతాయి, ఇవి వివిధ కౌంటర్లు మరియు ఫ్లాగ్లను సృష్టించడానికి మరియు వర్తింపజేయడానికి మిమ్మల్ని అనుమతిస్తాయి. అనేక IDSలు వేర్వేరు TCP కనెక్షన్లను ప్రత్యేక ఎంటిటీలుగా పరిగణిస్తాయి మరియు దాడి ప్రారంభాన్ని సూచించడానికి వాటి మధ్య కనెక్షన్ని చూడకపోవచ్చు. Suricata మొత్తం చిత్రాన్ని చూడటానికి ప్రయత్నిస్తుంది మరియు అనేక సందర్భాల్లో వివిధ కనెక్షన్లలో పంపిణీ చేయబడిన హానికరమైన ట్రాఫిక్ను గుర్తిస్తుంది. మేము దాని ప్రయోజనాల గురించి చాలా కాలం పాటు మాట్లాడవచ్చు; మేము ఇన్స్టాలేషన్ మరియు కాన్ఫిగరేషన్కు వెళ్లడం మంచిది.
ఎలా ఇన్స్టాల్ చేయాలి?
మేము ఉబుంటు 18.04 LTS నడుస్తున్న వర్చువల్ సర్వర్లో Suricataని ఇన్స్టాల్ చేస్తాము. అన్ని ఆదేశాలను సూపర్యూజర్ (రూట్) వలె అమలు చేయాలి. ప్రామాణిక వినియోగదారుగా SSH ద్వారా సర్వర్కు కనెక్ట్ చేయడం అత్యంత సురక్షితమైన ఎంపిక, ఆపై అధికారాలను పెంచడానికి సుడో యుటిలిటీని ఉపయోగించడం. ముందుగా మనకు అవసరమైన ప్యాకేజీలను ఇన్స్టాల్ చేయాలి:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsబాహ్య రిపోజిటరీని కనెక్ట్ చేస్తోంది:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSuricata యొక్క తాజా స్థిరమైన సంస్కరణను ఇన్స్టాల్ చేయండి:
sudo apt-get install suricataఅవసరమైతే, కాన్ఫిగరేషన్ ఫైల్స్ పేరును సవరించండి, సర్వర్ యొక్క బాహ్య ఇంటర్ఫేస్ యొక్క వాస్తవ పేరుతో డిఫాల్ట్ eth0 స్థానంలో ఉంటుంది. డిఫాల్ట్ సెట్టింగ్లు /etc/default/suricata ఫైల్లో నిల్వ చేయబడతాయి మరియు అనుకూల సెట్టింగ్లు /etc/suricata/suricata.yamlలో నిల్వ చేయబడతాయి. IDS కాన్ఫిగరేషన్ ఎక్కువగా ఈ కాన్ఫిగరేషన్ ఫైల్ని సవరించడానికి పరిమితం చేయబడింది. ఇది అనేక పారామితులను కలిగి ఉంది, ఇది పేరు మరియు ప్రయోజనంలో, Snort నుండి వారి అనలాగ్లతో సమానంగా ఉంటుంది. అయితే వాక్యనిర్మాణం పూర్తిగా భిన్నంగా ఉంటుంది, అయితే ఫైల్ను Snort configs కంటే చదవడం చాలా సులభం మరియు ఇది బాగా వ్యాఖ్యానించబడింది.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
శ్రద్ధ! ప్రారంభించడానికి ముందు, మీరు vars విభాగం నుండి వేరియబుల్స్ విలువలను తనిఖీ చేయాలి.
సెటప్ను పూర్తి చేయడానికి, నియమాలను అప్డేట్ చేయడానికి మరియు డౌన్లోడ్ చేయడానికి మీరు suricata-updateని ఇన్స్టాల్ చేయాలి. దీన్ని చేయడం చాలా సులభం:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateతరువాత మనం ఎమర్జింగ్ థ్రెట్స్ ఓపెన్ రూల్సెట్ను ఇన్స్టాల్ చేయడానికి suricata-update ఆదేశాన్ని అమలు చేయాలి:
sudo suricata-update
నియమ మూలాల జాబితాను వీక్షించడానికి, కింది ఆదేశాన్ని అమలు చేయండి:
sudo suricata-update list-sources
నియమ మూలాలను నవీకరించండి:
sudo suricata-update update-sources
మేము నవీకరించబడిన మూలాలను మళ్లీ పరిశీలిస్తాము:
sudo suricata-update list-sourcesఅవసరమైతే, మీరు అందుబాటులో ఉన్న ఉచిత మూలాధారాలను చేర్చవచ్చు:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistదీని తర్వాత, మీరు నియమాలను మళ్లీ నవీకరించాలి:
sudo suricata-updateఈ సమయంలో, ఉబుంటు 18.04 LTSలో Suricata యొక్క ఇన్స్టాలేషన్ మరియు ప్రారంభ కాన్ఫిగరేషన్ పూర్తయినట్లు పరిగణించవచ్చు. అప్పుడు వినోదం ప్రారంభమవుతుంది: తదుపరి వ్యాసంలో మేము VPN ద్వారా కార్యాలయ నెట్వర్క్కు వర్చువల్ సర్వర్ను కనెక్ట్ చేస్తాము మరియు అన్ని ఇన్కమింగ్ మరియు అవుట్గోయింగ్ ట్రాఫిక్ను విశ్లేషించడం ప్రారంభిస్తాము. మేము DDoS దాడులు, మాల్వేర్ యాక్టివిటీ మరియు పబ్లిక్ నెట్వర్క్ల నుండి యాక్సెస్ చేయగల సేవల్లోని దుర్బలత్వాలను ఉపయోగించుకునే ప్రయత్నాలను నిరోధించడంలో ప్రత్యేక శ్రద్ధ చూపుతాము. స్పష్టత కోసం, అత్యంత సాధారణ రకాల దాడులు అనుకరించబడతాయి.
మూలం: www.habr.com