Тибқи омор, ҳаҷми трафики шабака ҳар сол тақрибан 50% меафзояд. Ин ба афзоиши сарбории таҷҳизот оварда мерасонад ва махсусан, талаботи иҷрои IDS / IPSро зиёд мекунад. Шумо метавонед таҷҳизоти махсусгардонидашудаи гаронарзишро харед, аммо варианти арзонтар вуҷуд дорад - ҷорӣ намудани яке аз системаҳои кушодаасос. Бисёре аз маъмурони навкор насб ва танзими IPS-и ройгонро душвор меҳисобанд. Дар мавриди Suricata, ин комилан дуруст нест - шумо метавонед онро насб кунед ва пас аз чанд дақиқа бо маҷмӯи қоидаҳои ройгон ҳамлаҳои маъмулиро сар кунед.
Чаро ба мо дигар IPS кушода лозим аст?
Дер боз стандарт ҳисобида мешуд, Snort аз охири солҳои навадум дар таҳия буд, бинобар ин он дар ибтидо як ришта буд. Дар тӯли солҳо, дар он ҳама хусусиятҳои муосир пайдо шуданд, ба монанди дастгирии IPv6, қобилияти таҳлили протоколҳои сатҳи барнома ё модули дастрасии универсалии додаҳо.
Муҳаррики асосии Snort 2.X кор карданро бо якчанд ядро омӯхт, аммо як ришта боқӣ монд ва аз ин рӯ наметавонад аз платформаҳои сахтафзори муосир ба таври оптималӣ истифода барад.
Мушкилот дар версияи сеюми система ҳал карда шуд, аммо омода кардани он қадар вақт лозим шуд, ки Suricata, ки аз сифр навишта шудааст, тавонист дар бозор пайдо шавад. Дар соли 2009, он маҳз ҳамчун алтернативаи бисёрсоҳавӣ ба Snort, ки функсияҳои IPS аз қуттӣ дорад, таҳия карда шуд. Рамз тибқи иҷозатномаи GPLv2 паҳн карда мешавад, аммо шарикони молиявии лоиҳа ба версияи пӯшидаи муҳаррик дастрасӣ доранд. Баъзе мушкилоти миқёспазирӣ дар версияҳои аввалини система пайдо шуданд, аммо онҳо зуд ҳал карда шуданд.
Чаро Сурика?
Suricata дорои якчанд модул аст (монанди Snort): гирифтан, забт кардан, рамзкушоӣ кардан, ошкор кардан ва баромад. Бо нобаёнӣ, трафики гирифташуда пеш аз рамзкушоӣ дар як ҷараён мегузарад, гарчанде ки ин системаро бештар бор мекунад. Агар лозим бошад, риштаҳоро дар танзимот тақсим кардан ва дар байни коркардкунандагон тақсим кардан мумкин аст - Suricata барои сахтафзори мушаххас хеле хуб оптимизатсия шудааст, гарчанде ки ин дигар сатҳи HOWTO барои шурӯъкунандагон нест. Инчунин бояд қайд кард, ки Suricata дорои воситаҳои пешрафтаи санҷиши HTTP дар асоси китобхонаи HTP мебошад. Онҳо инчунин метавонанд барои сабти трафик бидуни ошкор истифода шаванд. Система инчунин рамзкушоии IPv6, аз ҷумла нақбҳои IPv4-in-IPv6, нақбҳои IPv6-in-IPv6 ва ғайраро дастгирӣ мекунад.
Интерфейсҳои гуногунро барои боздоштани трафик истифода бурдан мумкин аст (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) ва дар реҷаи Unix Socket, шумо метавонед ба таври худкор файлҳои PCAP-ро, ки аз ҷониби дигар снайфер гирифта шудааст, таҳлил кунед. Илова бар ин, меъмории модулии Суриката пайваст кардани унсурҳои навро барои сабт, рамзкушоӣ, таҳлил ва коркарди бастаҳои шабака осон мекунад. Инчунин қайд кардан муҳим аст, ки дар Суриката трафик тавассути филтри муқаррарии системаи амалиётӣ баста мешавад. GNU/Linux ду имконот барои кор кардани IPS дорад: тавассути навбати NFQUEUE (ҳолати NFQ) ва тавассути нусхаи сифр (ҳолати AF_PACKET). Дар ҳолати аввал, бастае, ки ба iptables ворид мешавад, ба навбати NFQUEUE фиристода мешавад, ки он метавонад дар сатҳи корбар коркард шавад. Suricata онро мувофиқи қоидаҳои худ иҷро мекунад ва яке аз се ҳукм мебарорад: NF_ACCEPT, NF_DROP ва NF_REPEAT. Дуи аввал худашон фаҳмоанд, дар ҳоле ки охирин имкон медиҳад, ки бастаҳо барчасп ва ба болои ҷадвали ҷории iptables фиристода шаванд. Реҷаи AF_PACKET тезтар аст, аммо он ба система як қатор маҳдудиятҳо мегузорад: он бояд ду интерфейси шабакавӣ дошта бошад ва ҳамчун шлюз кор кунад. Бастаи басташуда танҳо ба интерфейси дуюм фиристода намешавад.
Хусусияти муҳими Suricata қобилияти истифода бурдани таҳаввулот барои Snort мебошад. Администратор, аз ҷумла, ба маҷмӯи қоидаҳои Sourcefire VRT ва OpenSource Emerging Threats, инчунин тиҷорати Emerging Threats Pro дастрасӣ дорад. Натиҷаи ягонаро метавон бо истифода аз пуштибони маъмул таҳлил кард, баромади PCAP ва Syslog низ дастгирӣ карда мешавад. Танзимот ва қоидаҳои система дар файлҳои YAML нигоҳ дошта мешаванд, ки хондан осон ва ба таври худкор коркард карда мешаванд. Муҳаррики Suricata бисёр протоколҳоро эътироф мекунад, бинобар ин қоидаҳоро ба рақами порт пайваст кардан лозим нест. Илова бар ин, консепсияи flowbits дар қоидаҳои Suricata фаъолона амалӣ карда мешавад. Барои пайгирии триггер, тағирёбандаҳои сессия барои эҷод ва татбиқи ҳисобкунакҳо ва парчамҳои гуногун истифода мешаванд. Бисёре аз IDSҳо пайвастҳои гуногуни TCP-ро ҳамчун объектҳои алоҳида баррасӣ мекунанд ва метавонанд дар байни онҳо робитаеро набинанд, ки оғози ҳамларо нишон медиҳад. Суиката кӯшиш мекунад, ки тамоми тасвирро бубинад ва дар бисёр ҳолатҳо трафики зарароварро, ки тавассути пайвастҳои гуногун паҳн шудааст, эътироф мекунад. Шумо метавонед дар бораи бартариҳои он муддати тӯлонӣ сӯҳбат кунед, беҳтараш ба насб ва конфигуратсия гузаред.
Чӣ тавр насб кардан?
Мо Suricata-ро дар сервери маҷозии Ubuntu 18.04 LTS насб мекунем. Ҳама фармонҳо бояд аз номи superuser (root) иҷро карда шаванд. Варианти бехатартарин ин аст, ки SSH ба сервер ҳамчун корбари муқаррарӣ ворид кунед ва сипас утилитаи sudo-ро барои баланд бардоштани имтиёзҳо истифода баред. Аввалан шумо бояд бастаҳоеро насб кунед, ки ба мо лозиманд:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsПайваст кардани анбори беруна:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateВерсияи охирини устувори Suricata -ро насб кунед:
sudo apt-get install suricataАгар лозим бошад, номи файлҳои конфигуратсияро таҳрир кунед ва eth0-и пешфарзро бо номи воқеии интерфейси берунии сервер иваз кунед. Танзимоти пешфарз дар файли /etc/default/suricata захира карда мешаванд ва танзимоти фармоишӣ дар /etc/suricata/suricata.yaml нигоҳ дошта мешаванд. Танзими IDS асосан бо таҳрири ин файли конфигуратсия маҳдуд аст. Он дорои параметрҳои зиёде аст, ки аз рӯи ном ва мақсад бо аналогҳои Snort мувофиқат мекунанд. Аммо синтаксис комилан дигар аст, аммо хондани файл нисбат ба конфигуратсияҳои Snort хеле осонтар аст ва хуб шарҳ дода шудааст.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Диққат! Пеш аз оғоз кардан, зарур аст, ки арзишҳои тағирёбандаҳоро аз бахши vars тафтиш кунед.
Барои анҷом додани танзимот, шумо бояд suricata-update -ро насб кунед, то қоидаҳоро навсозӣ ва бор кунед. Инро иҷро кардан хеле осон аст:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateБаъдан, мо бояд фармони suricata-update-ро иҷро кунем, то маҷмӯи қоидаҳои кушодаи таҳдидҳои пайдошударо насб кунем:
sudo suricata-update
Барои дидани рӯйхати манбаъҳои қоида, фармони зеринро иҷро кунед:
sudo suricata-update list-sources
Навсозии манбаъҳои қоида:
sudo suricata-update update-sources
Боздид аз манбаъҳои навшуда:
sudo suricata-update list-sourcesАгар лозим бошад, шумо метавонед сарчашмаҳои ройгони дастрасро дохил кунед:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistПас аз ин, шумо бояд қоидаҳоро дубора нав кунед:
sudo suricata-updateИн насб ва конфигуратсияи ибтидоии Suricata дар Ubuntu 18.04 LTS -ро анҷом медиҳад. Он гоҳ фароғат сар мешавад: дар мақолаи навбатӣ мо сервери виртуалиро ба шабакаи офис тавассути VPN пайваст мекунем ва ба таҳлили ҳама трафики воридотӣ ва содиротӣ шурӯъ мекунем. Мо ба масдуд кардани ҳамлаҳои DDoS, фаъолияти нармафзори зараровар ва кӯшиши истифодаи осебпазирӣ дар хидматҳое, ки аз шабакаҳои ҷамъиятӣ дастрасанд, диққати махсус медиҳем. Барои равшанӣ, ҳамлаҳои намудҳои маъмултарин тақлид карда мешаванд.
Манбаъ: will.com