اعداد و شمار کے مطابق، نیٹ ورک ٹریفک کے حجم میں ہر سال تقریباً 50 فیصد اضافہ ہوتا ہے۔ اس سے آلات پر بوجھ میں اضافہ ہوتا ہے اور خاص طور پر IDS/IPS کی کارکردگی کی ضروریات میں اضافہ ہوتا ہے۔ آپ مہنگے خصوصی ہارڈ ویئر خرید سکتے ہیں، لیکن ایک سستا آپشن ہے - اوپن سورس سسٹم میں سے کسی ایک کو لاگو کرنا۔ بہت سے نئے منتظمین کا خیال ہے کہ مفت IPS کو انسٹال کرنا اور ترتیب دینا کافی مشکل ہے۔ Suricata کے معاملے میں، یہ مکمل طور پر درست نہیں ہے - آپ اسے انسٹال کر سکتے ہیں اور چند منٹوں میں مفت قواعد کے ساتھ معیاری حملوں کو پسپا کرنا شروع کر سکتے ہیں۔
ہمیں ایک اور اوپن آئی پی ایس کی ضرورت کیوں ہے؟
طویل عرصے سے معیاری سمجھا جاتا ہے، Snort نوے کی دہائی کے آخر سے ترقی میں ہے، لہذا یہ اصل میں واحد تھریڈڈ تھا۔ سالوں کے دوران، اس نے تمام جدید خصوصیات حاصل کر لی ہیں، جیسے IPv6 سپورٹ، ایپلیکیشن لیول پروٹوکول کا تجزیہ کرنے کی صلاحیت، یا یونیورسل ڈیٹا تک رسائی کا ماڈیول۔
بنیادی Snort 2.X انجن نے ایک سے زیادہ کور کے ساتھ کام کرنا سیکھا، لیکن سنگل تھریڈڈ رہا اور اس وجہ سے جدید ہارڈویئر پلیٹ فارمز سے زیادہ سے زیادہ فائدہ نہیں اٹھا سکتا۔
سسٹم کے تیسرے ورژن میں مسئلہ حل ہو گیا، لیکن اسے تیار کرنے میں اتنا وقت لگا کہ شروع سے لکھی گئی سوریکاٹا مارکیٹ میں آنے میں کامیاب ہو گئی۔ 2009 میں، اس کو Snort کے ملٹی تھریڈڈ متبادل کے طور پر تیار کیا جانا شروع ہوا، جس میں IPS فنکشنز باکس سے باہر تھے۔ کوڈ کو GPLv2 لائسنس کے تحت تقسیم کیا گیا ہے، لیکن پروجیکٹ کے مالیاتی شراکت داروں کو انجن کے بند ورژن تک رسائی حاصل ہے۔ نظام کے پہلے ورژن میں اسکیل ایبلٹی کے ساتھ کچھ مسائل پیدا ہوئے، لیکن وہ کافی تیزی سے حل ہو گئے۔
Suricata کیوں؟
Suricata میں کئی ماڈیولز ہیں (جیسے Snort): کیپچر، ایکوزیشن، ڈی کوڈنگ، ڈیٹیکشن اور آؤٹ پٹ۔ پہلے سے طے شدہ طور پر، کیپچر شدہ ٹریفک ایک تھریڈ میں ڈی کوڈ کرنے سے پہلے چلا جاتا ہے، حالانکہ یہ سسٹم کو زیادہ لوڈ کرتا ہے۔ اگر ضروری ہو تو، تھریڈز کو سیٹنگز میں تقسیم کیا جا سکتا ہے اور پروسیسرز میں تقسیم کیا جا سکتا ہے - Suricata مخصوص ہارڈ ویئر کے لیے بہت اچھی طرح سے موزوں ہے، حالانکہ یہ اب ابتدائی افراد کے لیے HOWTO کی سطح نہیں ہے۔ یہ بات بھی قابل توجہ ہے کہ Suricata کے پاس ایچ ٹی پی لائبریری پر مبنی ایچ ٹی ٹی پی معائنہ کے جدید ٹولز ہیں۔ ان کا استعمال بغیر پتہ لگائے ٹریفک کو لاگ کرنے کے لیے بھی کیا جا سکتا ہے۔ یہ سسٹم IPv6 ڈی کوڈنگ کو بھی سپورٹ کرتا ہے، بشمول IPv4-in-IPv6، IPv6-in-IPv6 سرنگیں اور دیگر۔
ٹریفک کو روکنے کے لیے مختلف انٹرفیس استعمال کیے جا سکتے ہیں (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING)، اور یونکس ساکٹ موڈ میں آپ خود بخود کسی دوسرے سنیففر کے ذریعے کیپچر کی گئی PCAP فائلوں کا تجزیہ کر سکتے ہیں۔ اس کے علاوہ، Suricata کا ماڈیولر فن تعمیر نیٹ ورک پیکٹ کو کیپچر کرنے، ڈی کوڈ کرنے، تجزیہ کرنے اور پروسیس کرنے کے لیے نئے عناصر کو جوڑنا آسان بناتا ہے۔ یہ نوٹ کرنا بھی ضروری ہے کہ Suricata میں، معیاری آپریٹنگ سسٹم فلٹر کا استعمال کرتے ہوئے ٹریفک کو بلاک کیا جاتا ہے۔ GNU/Linux میں، IPS آپریشن کے لیے دو اختیارات دستیاب ہیں: NFQUEUE قطار (NFQ موڈ) کے ذریعے اور زیرو کاپی (AF_PACKET موڈ) کے ذریعے۔ پہلی صورت میں، iptables میں داخل ہونے والا ایک پیکٹ NFQUEUE قطار میں بھیجا جاتا ہے، جہاں صارف کی سطح پر اس پر کارروائی کی جا سکتی ہے۔ Suricata اسے اپنے قوانین کے مطابق چلاتا ہے اور تین میں سے ایک فیصلہ جاری کرتا ہے: NF_ACCEPT، NF_DROP اور NF_REPEAT۔ پہلے دو خود وضاحتی ہیں، لیکن آخری آپ کو پیکٹوں کو نشان زد کرنے اور انہیں موجودہ iptables ٹیبل کے آغاز میں بھیجنے کی اجازت دیتا ہے۔ AF_PACKET موڈ تیز ہے، لیکن سسٹم پر کئی پابندیاں عائد کرتا ہے: اس میں دو نیٹ ورک انٹرفیس ہونا چاہیے اور گیٹ وے کے طور پر کام کرنا چاہیے۔ مسدود پیکٹ کو دوسرے انٹرفیس پر آسانی سے نہیں بھیجا جاتا ہے۔
Suricata کی ایک اہم خصوصیت Snort کے لیے ترقیات کو استعمال کرنے کی صلاحیت ہے۔ منتظم کو خاص طور پر Sourcefire VRT اور OpenSource Emerging Threats کے اصولوں کے ساتھ ساتھ تجارتی Emerging Threats Pro تک رسائی حاصل ہے۔ یونیفائیڈ آؤٹ پٹ کا تجزیہ مقبول بیک اینڈز کا استعمال کرتے ہوئے کیا جا سکتا ہے، اور PCAP اور Syslog کے آؤٹ پٹ کو بھی سپورٹ کیا جاتا ہے۔ سسٹم کی ترتیبات اور قواعد YAML فائلوں میں محفوظ ہیں، جنہیں پڑھنا آسان ہے اور خود بخود اس پر کارروائی کی جا سکتی ہے۔ Suricata انجن بہت سے پروٹوکول کو تسلیم کرتا ہے، لہذا قواعد کو پورٹ نمبر سے منسلک کرنے کی ضرورت نہیں ہے. اس کے علاوہ، فلو بِٹس کا تصور سوریکاٹا کے قواعد میں فعال طور پر رائج ہے۔ ٹرگرنگ کو ٹریک کرنے کے لیے، سیشن متغیرات کا استعمال کیا جاتا ہے، جو آپ کو مختلف کاؤنٹرز اور جھنڈے بنانے اور لاگو کرنے کی اجازت دیتے ہیں۔ بہت سے IDSs مختلف TCP کنکشنز کو الگ الگ ہستیوں کے طور پر مانتے ہیں اور ہو سکتا ہے کہ حملے کے آغاز کی نشاندہی کرنے کے لیے ان کے درمیان کنکشن نظر نہ آئے۔ Suricata پوری تصویر کو دیکھنے کی کوشش کرتا ہے اور بہت سے معاملات میں مختلف کنکشنز میں تقسیم شدہ بدنیتی پر مبنی ٹریفک کو پہچانتا ہے۔ ہم اس کے فوائد کے بارے میں طویل عرصے تک بات کر سکتے ہیں؛ ہم بہتر طور پر انسٹالیشن اور کنفیگریشن کی طرف بڑھیں گے۔
انسٹال کیسے کریں؟
ہم Ubuntu 18.04 LTS چلانے والے ورچوئل سرور پر Suricata انسٹال کریں گے۔ تمام کمانڈز کو سپر یوزر (روٹ) کے بطور عمل میں لایا جانا چاہیے۔ سب سے محفوظ آپشن یہ ہے کہ سرور سے SSH کے ذریعے ایک معیاری صارف کے طور پر جڑیں، اور پھر مراعات کو بڑھانے کے لیے sudo یوٹیلیٹی کا استعمال کریں۔ پہلے ہمیں ان پیکجوں کو انسٹال کرنے کی ضرورت ہے جن کی ہمیں ضرورت ہے:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsبیرونی ذخیرہ کو جوڑنا:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateSuricata کا تازہ ترین مستحکم ورژن انسٹال کریں:
sudo apt-get install suricataاگر ضروری ہو تو، کنفیگریشن فائلوں کے نام میں ترمیم کریں، پہلے سے طے شدہ eth0 کو سرور کے بیرونی انٹرفیس کے اصل نام سے بدل دیں۔ پہلے سے طے شدہ ترتیبات /etc/default/suricata فائل میں محفوظ کی جاتی ہیں، اور حسب ضرورت ترتیبات /etc/suricata/suricata.yaml میں محفوظ ہوتی ہیں۔ IDS کنفیگریشن زیادہ تر اس کنفیگریشن فائل میں ترمیم کرنے تک محدود ہے۔ اس کے بہت سے پیرامیٹرز ہیں جو نام اور مقصد میں، Snort سے ان کے analogues کے ساتھ ملتے ہیں۔ اس کے باوجود نحو بالکل مختلف ہے، لیکن فائل کو Snort configs کے مقابلے میں پڑھنا بہت آسان ہے، اور اس پر اچھی طرح تبصرہ بھی کیا گیا ہے۔
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
توجہ! شروع کرنے سے پہلے، آپ کو vars سیکشن سے متغیرات کی قدروں کو چیک کرنا چاہیے۔
سیٹ اپ مکمل کرنے کے لیے، آپ کو قواعد کو اپ ڈیٹ اور ڈاؤن لوڈ کرنے کے لیے suricata-update انسٹال کرنے کی ضرورت ہوگی۔ یہ کرنا کافی آسان ہے:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateاگلا ہمیں ابھرتی ہوئی دھمکیوں کے اوپن رولسیٹ کو انسٹال کرنے کے لیے suricata-update کمانڈ چلانے کی ضرورت ہے:
sudo suricata-update
اصولی ذرائع کی فہرست دیکھنے کے لیے درج ذیل کمانڈ کو چلائیں:
sudo suricata-update list-sources
ضابطے کے ذرائع کو اپ ڈیٹ کریں:
sudo suricata-update update-sources
ہم تازہ ترین ذرائع کو دوبارہ دیکھتے ہیں:
sudo suricata-update list-sourcesاگر ضروری ہو تو، آپ دستیاب مفت ذرائع شامل کر سکتے ہیں:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistاس کے بعد، آپ کو قواعد کو دوبارہ اپ ڈیٹ کرنے کی ضرورت ہے:
sudo suricata-updateاس مقام پر، Ubuntu 18.04 LTS میں Suricata کی تنصیب اور ابتدائی ترتیب کو مکمل سمجھا جا سکتا ہے۔ پھر مزہ شروع ہوتا ہے: اگلے مضمون میں ہم VPN کے ذریعے ایک ورچوئل سرور کو آفس نیٹ ورک سے جوڑیں گے اور آنے والے اور جانے والے تمام ٹریفک کا تجزیہ کرنا شروع کریں گے۔ ہم DDoS حملوں، مالویئر کی سرگرمی، اور عوامی نیٹ ورکس سے قابل رسائی خدمات میں کمزوریوں سے فائدہ اٹھانے کی کوششوں کو روکنے پر خصوصی توجہ دیں گے۔ واضح کرنے کے لیے، سب سے عام قسم کے حملوں کو نقل کیا جائے گا۔
ماخذ: www.habr.com