סנאָרט אָדער סוריקאַטאַ. טייל 2: ינסטאַלירונג און ערשט סעטאַפּ פון Suricata

לויט סטאַטיסטיק, די באַנד פון נעץ פאַרקער ינקריסאַז מיט וועגן 50% יעדער יאָר. דאָס פירט צו אַ פאַרגרעסערן אין די מאַסע אויף די ויסריכט און, ספּעציעל, ינקריסיז די פאָרשטעלונג רעקווירעמענץ פון IDS / IPS. איר קענען קויפן טייַער ספּעשאַלייזד ייַזנוואַרג, אָבער עס איז אַ טשיפּער אָפּציע - ימפּלאַמענינג איינער פון די עפֿענען מקור סיסטעמען. פילע אָנהייבער אַדמיניסטראַטאָרס טראַכטן אַז ינסטאָלינג און קאַנפיגיער אַ פריי IPS איז גאַנץ שווער. אין דעם פאַל פון Suricata, דאָס איז נישט לעגאַמרע אמת - איר קענען ינסטאַלירן עס און אָנהייבן ריפּעלינג נאָרמאַל אנפאלן מיט אַ סכום פון פריי כּללים אין אַ ביסל מינוט.

סנאָרט אָדער סוריקאַטאַ. טייל 1: טשוזינג אַ פריי IDS / IPS צו באַשיצן אייער פֿירמע נעטוואָרק

פארוואס טאָן מיר דאַרפֿן אן אנדער עפענען IPS?

לאַנג געהאלטן די סטאַנדאַרט, סנאָרט איז געווען אין אַנטוויקלונג זינט די שפּעט ניינטיז, אַזוי עס איז געווען ערידזשנאַלי איין-פאָדעם. איבער די יאָרן, עס האט קונה אַלע די מאָדערן פֿעיִקייטן, אַזאַ ווי IPv6 שטיצן, די פיייקייט צו פונאַנדערקלייַבן פּראָטאָקאָלס אויף אַפּלאַקיישאַן מדרגה אָדער אַ וניווערסאַל דאַטן אַקסעס מאָדולע.

די יקערדיק סנאָרט 2.X מאָטאָר געלערנט צו אַרבעטן מיט קייפל קאָרעס, אָבער פארבליבן איין-טרעדיד און קען דעריבער נישט אָפּטימאַל נוצן מאָדערן ייַזנוואַרג פּלאַטפאָרמס.

דער פּראָבלעם איז סאַלווד אין די דריט ווערסיע פון ​​די סיסטעם, אָבער עס גענומען אַזוי לאַנג צו צוגרייטן אַז Suricata, געשריבן פֿון קראַצן, געראטן צו דערשייַנען אויף די מאַרק. אין 2009, עס אנגעהויבן צו זיין דעוועלאָפּעד פּונקט ווי אַ מולטי-טרעדעד אנדער ברירה צו סנאָרט, וואָס האט IPS פאַנגקשאַנז אויס פון די קעסטל. דער קאָד איז פונאנדערגעטיילט אונטער די GPLv2 דערלויבעניש, אָבער די פינאַנציעל פּאַרטנערס פון די פּרויעקט האָבן אַקסעס צו אַ פארמאכט ווערסיע פון ​​​​די מאָטאָר. עטלעכע פראבלעמען מיט סקאַלאַביליטי זענען אויפגעשטאנען אין דער ערשטער ווערסיעס פון די סיסטעם, אָבער זיי זענען ריזאַלווד גאַנץ געשווינד.

פארוואס סוריקאַטאַ?

Suricata האט עטלעכע מאַדזשולז (ווי סנאָרט): כאַפּן, אַקוואַזישאַן, דיקאָודינג, דיטעקשאַן און רעזולטאַט. דורך פעליקייַט, קאַפּטשערד פאַרקער גייט איידער דיקאָודינג אין איין פאָדעם, כאָטש דאָס לאָודז די סיסטעם מער. אויב נייטיק, פֿעדעם קענען זיין צעטיילט אין די סעטטינגס און צעשיקט צווישן פּראַסעסערז - Suricata איז זייער אָפּטימיזעד פֿאַר ספּעציפיש ייַזנוואַרג, כאָטש דאָס איז ניט מער אַ HOWTO מדרגה פֿאַר ביגינערז. עס איז אויך כדאי צו באמערקן אַז Suricata האט אַוואַנסירטע הטטפּ דורכקוק מכשירים באזירט אויף די HTP ביבליאָטעק. זיי קענען אויך זיין געניצט צו קלאָץ פאַרקער אָן דיטעקשאַן. די סיסטעם אויך שטיצט IPv6 דיקאָודינג, אַרייַנגערעכנט IPv4-in-IPv6, IPv6-in-IPv6 טאַנאַלז און אנדערע.

פאַרשידענע ינטערפייסיז קענען זיין געוויינט צו ינטערסעפּט פאַרקער (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), און אין Unix Socket מאָדע איר קענען אויטאָמאַטיש אַנאַלייז PCAP טעקעס קאַפּטשערד דורך אן אנדער סניפפער. אין אַדישאַן, די מאַדזשאַלער אַרקאַטעקטשער פון Suricata מאכט עס גרינג צו פאַרבינדן נייַע עלעמענטן צו כאַפּן, דעקאָדע, אַנאַלייז און פּראָצעס נעץ פּאַקיץ. עס איז אויך וויכטיק צו טאָן אַז אין Suricata, פאַרקער איז אפגעשטעלט מיט די נאָרמאַל אָפּערייטינג סיסטעם פילטער. אין GNU/Linux, צוויי אָפּציעס פֿאַר IPS אָפּעראַציע זענען בארעכטיגט: דורך די NFQUEUE ריי (NFQ מאָדע) און דורך נול קאָפּיע (AF_PACKET מאָדע). אין דער ערשטער פאַל, אַ פּאַקאַט וואָס אַרייַן iptables איז געשיקט צו די NFQUEUE ריי, ווו עס קענען זיין פּראַסעסט אויף דער באַניצער מדרגה. Suricata לויפט עס לויט זיין אייגענע כּללים און אַרויסגעבן איינער פון דריי ווערדיקטס: NF_ACCEPT, NF_DROP און NF_REPEAT. די ערשטע צוויי זענען זיך-יקספּלאַנאַטאָרי, אָבער די לעצטע אַלאַוז איר צו צייכן פּאַקיץ און שיקן זיי צו די אָנהייב פון די קראַנט יפּטאַבלעס טיש. די AF_PACKET מאָדע איז פאַסטער, אָבער ימפּאָוזאַז אַ נומער פון ריסטריקשאַנז אויף די סיסטעם: עס מוזן האָבן צוויי נעץ ינטערפייסיז און אַרבעט ווי אַ גייטוויי. די אפגעשטעלט פּאַקאַט איז פשוט נישט פאָרווערדיד צו די רגע צובינד.

אַ וויכטיק שטריך פון Suricata איז די פיייקייט צו נוצן דיוועלאַפּמאַנץ פֿאַר סנאָרט. דער אַדמיניסטראַטאָר האט אַקסעס צו, ספּעציעל, די Sourcefire VRT און OpenSource Emerging Threats הערשן שטעלט, ווי געזונט ווי די געשעפט Emerging Threats Pro. די יונאַפייד רעזולטאַט קענען זיין אַנאַלייזד מיט פאָלקס באַקענדז, און רעזולטאַט צו PCAP און Syslog איז אויך געשטיצט. סיסטעם סעטטינגס און כּללים זענען סטאָרד אין YAML טעקעס, וואָס זענען גרינג צו לייענען און קענען זיין פּראַסעסט אויטאָמאַטיש. די סוריקאַטאַ מאָטאָר אנערקענט פילע פּראָטאָקאָלס, אַזוי די כּללים טאָן ניט דאַרפֿן צו זיין טייד צו אַ פּאָרט נומער. אין דערצו, דער באַגריף פון פלאָווביטס איז אַקטיוולי פּראַקטיסט אין די סוריקאַטאַ כּללים. צו שפּור טריגערינג, סעסיע וועריאַבאַלז זענען געניצט, וואָס לאָזן איר צו שאַפֿן און צולייגן פאַרשידן קאָונטערס און פלאַגס. פילע IDSs מייַכל פאַרשידענע TCP קאַנעקשאַנז ווי באַזונדער ענטיטיז און קען נישט זען די קשר צווישן זיי צו אָנווייַזן די אָנהייב פון אַ באַפאַלן. Suricata פרוווט צו זען די גאנצע בילד און אין פילע קאַסעס אנערקענט בייזע פאַרקער פונאנדערגעטיילט איבער פאַרשידענע קאַנעקשאַנז. מיר קענען רעדן וועגן די אַדוואַנטידזשיז פֿאַר אַ לאַנג צייַט; מיר וועלן בעסער גיין צו ייַנמאָנטירונג און קאַנפיגיעריישאַן.

ווי צו ינסטאַלירן?

מיר וועלן ינסטאַלירן Suricata אויף אַ ווירטואַל סערווער מיט Ubuntu 18.04 LTS. כל קאַמאַנדז מוזן זיין עקסאַקיוטאַד ווי סופּערוסער (וואָרצל). די מערסט זיכער אָפּציע איז צו פאַרבינדן צו די סערווער דורך SSH ווי אַ נאָרמאַל באַניצער, און דערנאָך נוצן די סודאָ יוטילאַטיז צו עסקאַלייט פּריווילאַדזשאַז. ערשטער מיר דאַרפֿן צו ינסטאַלירן די פּאַקאַדזשאַז וואָס מיר דאַרפֿן:

sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-https

קאַנעקטינג אַ פונדרויסנדיק ריפּאַזאַטאָרי:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update

ינסטאַלירן די לעצטע סטאַביל ווערסיע פון ​​Suricata:

sudo apt-get install suricata

אויב נייטיק, רעדאַגירן די נאָמען פון די קאַנפיגיעריישאַן טעקעס, ריפּלייסינג די פעליקייַט eth0 מיט די פאַקטיש נאָמען פון די פונדרויסנדיק צובינד פון די סערווער. פעליקייַט סעטטינגס זענען סטאָרד אין די /etc/default/suricata טעקע, און מנהג סעטטינגס זענען סטאָרד אין /etc/suricata/suricata.yaml. IDS קאַנפיגיעריישאַן איז מערסטנס לימיטעד צו עדיטינג דעם קאַנפיגיעריישאַן טעקע. עס האט פילע פּאַראַמעטערס וואָס, אין נאָמען און ציל, צונויפפאַלן מיט זייער אַנאַלאָגועס פון סנאָרט. דער סינטאַקס איז פונדעסטוועגן גאָר אַנדערש, אָבער די טעקע איז פיל גרינגער צו לייענען ווי Snort קאַנפיגיעריישאַנז, און עס איז אויך גוט קאַמענטאַד.

sudo nano /etc/default/suricata

и

sudo nano /etc/suricata/suricata.yaml

ופמערקזאַמקייַט! איידער איר אָנהייבן, איר זאָל קאָנטראָלירן די וואַלועס פון די וועריאַבאַלז פון די וואַרס אָפּטיילונג.

צו פאַרענדיקן די סעטאַפּ, איר וועט דאַרפֿן צו ינסטאַלירן סריקאַטאַ-דערהייַנטיקן צו דערהייַנטיקן און אראפקאפיע די כּללים. דאָס איז גאַנץ גרינג צו טאָן:

sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-update

ווייַטער מיר דאַרפֿן צו לויפן די סעריקאַטאַ-דערהייַנטיקן באַפֿעל צו ינסטאַלירן די ימערדזשינג טרעץ עפֿן רולעס:

sudo suricata-update

צו זען די רשימה פון הערשן קוואלן, לויפן די פאלגענדע באַפֿעל:

sudo suricata-update list-sources

דערהייַנטיקן הערשן קוואלן:

sudo suricata-update update-sources

מיר קוקן ווידער אין די דערהייַנטיקט מקורים:

sudo suricata-update list-sources

אויב נייטיק, איר קענען אַרייַננעמען בנימצא פריי קוואלן:

sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklist

נאָך דעם, איר דאַרפֿן צו דערהייַנטיקן די כּללים ווידער:

sudo suricata-update

אין דעם פונט, די ינסטאַלירונג און ערשט קאַנפיגיעריישאַן פון Suricata אין Ubuntu 18.04 LTS קענען זיין גערעכנט ווי גאַנץ. דערנאָך די שפּאַס הייבט: אין דער ווייַטער אַרטיקל מיר וועלן פאַרבינדן אַ ווירטואַל סערווער צו די אָפיס נעץ דורך וופּן און אָנהייבן צו אַנאַלייז אַלע ינקאַמינג און אַוטגאָוינג פאַרקער. מיר וועלן באַצאָלן ספּעציעל ופמערקזאַמקייט צו בלאַקינג DDoS אנפאלן, מאַלוואַרע אַקטיוויטעטן און פרווון צו גווורע וואַלנעראַביליטיז אין סערוויסעס צוטריטלעך פֿון ציבור נעטוואָרקס. פֿאַר קלעריטי, אַטאַקס פון די מערסט פּראָסט טייפּס וועט זיין סימיאַלייטיד.

מקור: www.habr.com