İstatistiklere göre, ağ trafiğinin hacmi her yıl yaklaşık %50 artıyor. Bu, ekipman üzerindeki yükün artmasına neden olur ve özellikle IDS / IPS'nin performans gereksinimlerini artırır. Pahalı özel donanım satın alabilirsiniz, ancak daha ucuz bir seçenek var - açık kaynaklı sistemlerden birinin tanıtımı. Birçok acemi yönetici, ücretsiz IPS'yi kurmayı ve yapılandırmayı zor bulmaktadır. Suricata söz konusu olduğunda, bu tamamen doğru değildir - onu yükleyebilir ve birkaç dakika içinde bir dizi ücretsiz kuralla tipik saldırıları püskürtmeye başlayabilirsiniz.
Neden başka bir açık IPS'ye ihtiyacımız var?
Uzun süredir standart olarak kabul edilen Snort, doksanların sonlarından beri geliştirilmektedir, bu nedenle orijinal olarak tek iş parçacıklıydı. Yıllar geçtikçe, IPv6 desteği, uygulama düzeyindeki protokolleri analiz etme yeteneği veya evrensel bir veri erişim modülü gibi tüm modern özellikler ortaya çıktı.
Çekirdek Snort 2.X motoru birden çok çekirdekle çalışmayı öğrendi, ancak tek iş parçacıklı kaldı ve bu nedenle modern donanım platformlarından optimum şekilde yararlanamıyor.
Sistemin üçüncü versiyonunda sorun çözüldü ancak hazırlanması o kadar uzun sürdü ki sıfırdan yazılan Suricata piyasaya çıkmayı başardı. 2009 yılında, kutudan çıkar çıkmaz IPS işlevlerine sahip olan Snort'a çok iş parçacıklı bir alternatif olarak tam olarak geliştirilmeye başlandı. Kod, GPLv2 lisansı altında dağıtılır, ancak projenin mali ortaklarının motorun kapalı bir sürümüne erişimi vardır. Sistemin ilk sürümlerinde bazı ölçeklenebilirlik sorunları ortaya çıktı, ancak bunlar hızla çözüldü.
Neden Surica?
Suricata'nın birkaç modülü vardır (Snort'a benzer): yakalama, yakalama, kod çözme, algılama ve çıktı. Varsayılan olarak, yakalanan trafik bir akışta kod çözmeden önce gider, ancak bu, sistemi daha fazla yükler. Gerekirse, ileti dizileri ayarlarda bölünebilir ve işlemciler arasında dağıtılabilir - Suricata, belirli donanımlar için çok iyi optimize edilmiştir, ancak bu artık yeni başlayanlar için bir NASIL düzeyi değildir. Suricata'nın HTP kitaplığına dayalı gelişmiş HTTP inceleme araçlarına sahip olduğunu da belirtmekte fayda var. Tespit edilmeden trafiği günlüğe kaydetmek için de kullanılabilirler. Sistem ayrıca IPv6-in-IPv4 tünelleri, IPv6-in-IPv6 tünelleri ve daha fazlası dahil olmak üzere IPv6 kod çözmeyi destekler.
Trafiği kesmek için farklı arabirimler kullanılabilir (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING) ve Unix Socket modunda başka bir algılayıcı tarafından yakalanan PCAP dosyalarını otomatik olarak analiz edebilirsiniz. Ek olarak, Suricata'nın modüler mimarisi, ağ paketlerini yakalamak, kodunu çözmek, ayrıştırmak ve işlemek için yeni öğeler eklemeyi kolaylaştırır. Suricata'da trafiğin, işletim sisteminin düzenli bir filtresi aracılığıyla engellendiğini de belirtmek önemlidir. GNU/Linux, IPS'nin nasıl çalıştığına dair iki seçeneğe sahiptir: NFQUEUE kuyruğu aracılığıyla (NFQ modu) ve sıfır kopya yoluyla (AF_PACKET modu). İlk durumda, iptables'a giren paket, kullanıcı düzeyinde işlenebileceği NFQUEUE kuyruğuna gönderilir. Suricata kendi kurallarına göre çalıştırır ve üç karardan birini verir: NF_ACCEPT, NF_DROP ve NF_REPEAT. İlk ikisi açıklayıcıdır, sonuncusu ise paketlerin etiketlenmesine ve mevcut iptables tablosunun en üstüne gönderilmesine izin verir. AF_PACKET modu daha hızlıdır, ancak sisteme bir takım kısıtlamalar getirir: iki ağ arabirimine sahip olmalı ve bir ağ geçidi olarak çalışmalıdır. Engellenen paket ikinci arayüze iletilmez.
Suricata'nın önemli bir özelliği, Snort için geliştirmeleri kullanma yeteneğidir. Yönetici, ticari Emerging Threats Pro'nun yanı sıra özellikle Sourcefire VRT ve OpenSource Emerging Threats kural setlerine erişime sahiptir. Birleştirilmiş çıktı, popüler arka uçlar kullanılarak ayrıştırılabilir, PCAP ve Syslog çıktısı da desteklenir. Sistem ayarları ve kuralları, okunması kolay ve otomatik olarak işlenebilen YAML dosyalarında saklanır. Suricata motoru birçok protokolü tanır, dolayısıyla kuralların bir bağlantı noktası numarasına bağlanmasına gerek yoktur. Ek olarak, akış bitleri kavramı Suricata kurallarında aktif olarak uygulanmaktadır. Tetikleyiciyi izlemek için, çeşitli sayaçlar ve bayraklar oluşturmak ve uygulamak için oturum değişkenleri kullanılır. Birçok IDS, farklı TCP bağlantılarını ayrı varlıklar olarak ele alır ve aralarında bir saldırının başladığını gösteren bir bağlantı görmeyebilir. Suricata resmin tamamını görmeye çalışır ve çoğu durumda farklı bağlantılar üzerinden dağıtılan kötü niyetli trafiği tanır. Avantajlarından uzun süre bahsedebilirsiniz, en iyisi kurulum ve konfigürasyona geçelim.
Nasıl kurulur?
Suricata'yı Ubuntu 18.04 LTS çalıştıran sanal bir sunucuya kuracağız. Tüm komutlar, süper kullanıcı (kök) adına yürütülmelidir. En güvenli seçenek, sunucuya normal bir kullanıcı olarak SSH yapmak ve ardından ayrıcalıkları yükseltmek için sudo yardımcı programını kullanmaktır. Öncelikle ihtiyacımız olan paketleri kurmanız gerekiyor:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsHarici bir havuzu bağlama:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSuricata'nın en son kararlı sürümünü yükleyin:
sudo apt-get install suricataGerekirse, varsayılan eth0'ı sunucunun harici arabiriminin gerçek adıyla değiştirerek yapılandırma dosyalarının adını düzenleyin. Varsayılan ayarlar /etc/default/suricata dosyasında, özel ayarlar ise /etc/suricata/suricata.yaml dosyasında saklanır. IDS'yi yapılandırmak çoğunlukla bu yapılandırma dosyasını düzenlemekle sınırlıdır. Adı ve amacı gereği Snort'un analoglarıyla örtüşen birçok parametreye sahiptir. Ancak sözdizimi oldukça farklıdır, ancak dosyanın okunması Snort yapılandırmalarından çok daha kolaydır ve iyi yorumlanmıştır.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Dikkat! Başlamadan önce vars bölümünden değişkenlerin değerlerini kontrol etmekte fayda var.
Kurulumu tamamlamak için, kuralları güncellemek ve yüklemek için suricata-update'i yüklemeniz gerekir. Bunu yapmak oldukça kolaydır:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateArdından, Emerging Threats Open kural setini kurmak için suricata-update komutunu çalıştırmamız gerekiyor:
sudo suricata-update
Kural kaynaklarının listesini görüntülemek için aşağıdaki komutu çalıştırın:
sudo suricata-update list-sources
Kural kaynaklarını güncelle:
sudo suricata-update update-sources
Güncellenen kaynakları yeniden ziyaret etmek:
sudo suricata-update list-sourcesGerekirse, mevcut ücretsiz kaynakları dahil edebilirsiniz:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistBundan sonra, kuralları tekrar güncellemeniz gerekir:
sudo suricata-updateBu, Ubuntu 18.04 LTS'de Suricata'nın kurulumunu ve ilk yapılandırmasını tamamlar. Ardından eğlence başlıyor: Bir sonraki makalede, sanal bir sunucuyu ofis ağına VPN aracılığıyla bağlayacağız ve gelen ve giden tüm trafiği analiz etmeye başlayacağız. DDoS saldırılarını, kötü amaçlı yazılım etkinliğini ve genel ağlardan erişilebilen hizmetlerdeki güvenlik açıklarından yararlanma girişimlerini engellemeye özel önem vereceğiz. Netlik için, en yaygın türlerdeki saldırıların simülasyonu yapılacaktır.
Kaynak: habr.com