Gẹgẹbi awọn iṣiro, iwọn didun ijabọ nẹtiwọọki pọ si nipa 50% ni gbogbo ọdun. Eyi nyorisi ilosoke ninu fifuye lori ohun elo ati, ni pataki, pọ si awọn ibeere iṣẹ ṣiṣe ti IDS / IPS. O le ra ohun elo amọja ti o gbowolori, ṣugbọn aṣayan ti o din owo wa - ifihan ọkan ninu awọn eto orisun ṣiṣi. Ọpọlọpọ awọn alakoso alakobere ni o nira lati fi sori ẹrọ ati tunto IPS ọfẹ. Ninu ọran ti Suricata, eyi kii ṣe otitọ patapata - o le fi sii ki o bẹrẹ si kọlu awọn ikọlu aṣoju pẹlu ṣeto awọn ofin ọfẹ ni iṣẹju diẹ.
Kini idi ti a nilo IPS ṣiṣii miiran?
Long kà awọn bošewa, Snort ti ni idagbasoke niwon awọn ti pẹ nineties, ki o wà ni akọkọ nikan-asapo. Ni awọn ọdun, gbogbo awọn ẹya ode oni ti han ninu rẹ, gẹgẹbi atilẹyin IPv6, agbara lati ṣe itupalẹ awọn ilana ipele-elo, tabi module wiwọle data gbogbo agbaye.
Enjini Snort 2.X mojuto ti kọ ẹkọ lati ṣiṣẹ pẹlu awọn ohun kohun pupọ, ṣugbọn o wa ni ila-ẹyọkan ati nitorinaa ko le lo anfani ti awọn iru ẹrọ ohun elo ode oni.
Iṣoro naa ti yanju ni ẹya kẹta ti eto naa, ṣugbọn o gba to gun lati mura pe Suricata, ti a kọ lati ibere, ṣakoso lati han lori ọja naa. Ni ọdun 2009, o bẹrẹ lati ni idagbasoke ni deede bi yiyan ti ọpọlọpọ-asapo si Snort, eyiti o ni awọn iṣẹ IPS kuro ninu apoti. Awọn koodu ti wa ni pin labẹ awọn GPLv2 iwe-ašẹ, ṣugbọn awọn owo awọn alabašepọ ti ise agbese ni wiwọle si a titi ti ikede ti awọn engine. Diẹ ninu awọn iṣoro scalability dide ni awọn ẹya akọkọ ti eto naa, ṣugbọn wọn yanju ni kiakia.
Kí nìdí Surica?
Suricata ni awọn modulu pupọ (bii Snort): gbigba, gbigba, pinnu, wiwa, ati iṣelọpọ. Nipa aiyipada, ijabọ ti o gba lọ ṣaaju ṣiṣe iyipada ni ṣiṣan kan, botilẹjẹpe eyi n gbe eto naa diẹ sii. Ti o ba jẹ dandan, awọn okun le pin si awọn eto ati pinpin laarin awọn ilana - Suricata jẹ iṣapeye daradara fun ohun elo kan pato, botilẹjẹpe eyi kii ṣe ipele HOWTO fun awọn olubere. O tun tọ lati ṣe akiyesi pe Suricata ti ni ilọsiwaju awọn irinṣẹ ayewo HTTP ti o da lori ile-ikawe HTP. Wọn tun le ṣee lo lati wọle ijabọ laisi wiwa. Eto naa tun ṣe atilẹyin iyipada IPv6, pẹlu IPv4-in-IPv6 tunnels, IPv6-in-IPv6 tunnels, ati diẹ sii.
Awọn atọkun oriṣiriṣi le ṣee lo lati ṣe idilọwọ awọn ijabọ (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), ati ni ipo Unix Socket, o le ṣe itupalẹ awọn faili PCAP laifọwọyi ti o mu nipasẹ alarinrin miiran. Ni afikun, faaji modular ti Suricata jẹ ki o rọrun lati pulọọgi sinu awọn eroja tuntun lati yaworan, pinnu, sọtọ, ati ilana awọn apo-iwe nẹtiwọọki. O tun ṣe pataki lati ṣe akiyesi pe ni Suricata, ijabọ ti dina nipasẹ ọna àlẹmọ deede ti ẹrọ ṣiṣe. GNU/Linux ni awọn aṣayan meji fun bii IPS ṣe n ṣiṣẹ: nipasẹ isinyi NFQUEUE (ipo NFQ) ati nipasẹ ẹda odo (ipo AF_PACKET). Ni ọran akọkọ, apo ti o wọ awọn iptables ni a firanṣẹ si isinyi NFQUEUE, nibiti o ti le ṣe ilana ni ipele olumulo. Suricata n ṣiṣẹ ni ibamu si awọn ofin tirẹ ati pe o sọ ọkan ninu awọn idajo mẹta: NF_ACCEPT, NF_DROP ati NF_REPEAT. Awọn meji akọkọ jẹ alaye ti ara ẹni, lakoko ti o kẹhin gba awọn apo-iwe laaye lati samisi ati firanṣẹ si oke ti tabili iptables lọwọlọwọ. Ipo AF_PACKET yiyara, ṣugbọn o fa nọmba awọn ihamọ lori eto: o gbọdọ ni awọn atọkun nẹtiwọọki meji ati ṣiṣẹ bi ẹnu-ọna. Pakẹti ti dina ni ko rọrun lati firanṣẹ si wiwo keji.
Ẹya pataki ti Suricata ni agbara lati lo awọn idagbasoke fun Snort. Alakoso ni iraye si, ni pataki, si Sourcefire VRT ati OpenSource Emerging Irokeke ofin ṣeto, bi daradara bi awọn ti owo Emerging Irokeke Pro. Iṣẹjade ti iṣọkan le ṣe itupalẹ nipa lilo awọn ẹhin olokiki, PCAP ati iṣelọpọ Syslog tun ṣe atilẹyin. Awọn eto eto ati awọn ofin ti wa ni ipamọ sinu awọn faili YAML, eyiti o rọrun lati ka ati pe o le ṣe ilọsiwaju laifọwọyi. Ẹrọ Suricata mọ ọpọlọpọ awọn ilana, nitorinaa awọn ofin ko nilo lati so mọ nọmba ibudo kan. Ni afikun, ero ti flowbits ti wa ni adaṣe ni awọn ofin ti Suricata. Lati tọpa okunfa naa, awọn oniyipada igba ni a lo lati ṣẹda ati lo ọpọlọpọ awọn iṣiro ati awọn asia. Ọpọlọpọ awọn IDs ṣe itọju awọn asopọ TCP oriṣiriṣi bi awọn nkan lọtọ ati pe o le ma rii asopọ laarin wọn ti o tọkasi ibẹrẹ ikọlu. Suricata gbìyànjú lati wo gbogbo aworan ati ni ọpọlọpọ igba mọ ijabọ irira ti a pin lori awọn asopọ oriṣiriṣi. O le sọrọ nipa awọn anfani rẹ fun igba pipẹ, a yoo dara julọ lati lọ si fifi sori ẹrọ ati iṣeto ni.
Bawo ni lati fi sori ẹrọ?
A yoo fi Suricata sori olupin foju ti nṣiṣẹ Ubuntu 18.04 LTS. Gbogbo awọn aṣẹ gbọdọ wa ni ṣiṣe ni ipo ti superuser (root). Aṣayan aabo julọ ni lati SSH sinu olupin bi olumulo deede ati lẹhinna lo ohun elo sudo lati gbe awọn anfani ga. Ni akọkọ o nilo lati fi sori ẹrọ awọn idii ti a nilo:
sudo apt -y install libpcre3 libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev geoip-bin geoip-database geoipupdate apt-transport-httpsNsopọ ibi ipamọ ita kan:
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get updateFi ẹya iduroṣinṣin tuntun ti Suricata sori ẹrọ:
sudo apt-get install suricataTi o ba jẹ dandan, satunkọ orukọ awọn faili iṣeto ni, rọpo eth0 aiyipada pẹlu orukọ gangan ti wiwo ita olupin naa. Awọn eto aiyipada ti wa ni ipamọ ninu faili /etc/default/suricata, ati awọn eto aṣa ti wa ni ipamọ ni /etc/suricata/suricata.yaml. IDS atunto jẹ opin pupọ julọ si ṣiṣatunṣe faili iṣeto ni yii. O ni ọpọlọpọ awọn paramita ti, nipasẹ orukọ ati idi, ṣe deede pẹlu awọn analogues lati Snort. Sintasi naa yatọ patapata, sibẹsibẹ, ṣugbọn faili naa rọrun pupọ lati ka ju awọn atunto Snort ati asọye daradara.
sudo nano /etc/default/suricata
и
sudo nano /etc/suricata/suricata.yaml
Ifarabalẹ! Ṣaaju ki o to bẹrẹ, o tọ lati ṣayẹwo awọn iye ti awọn oniyipada lati apakan vars.
Lati pari iṣeto naa, iwọ yoo nilo lati fi sori ẹrọ suricata-update lati ṣe imudojuiwọn ati fifuye awọn ofin. O rọrun pupọ lati ṣe eyi:
sudo apt install python-pip
sudo pip install pyyaml
sudo pip install <a href="https://github.com/OISF/suricata-update/archive/master.zip">https://github.com/OISF/suricata-update/archive/master.zip</a>
sudo pip install --pre --upgrade suricata-updateNigbamii ti, a nilo lati ṣiṣẹ aṣẹ suricata-imudojuiwọn lati fi sori ẹrọ Eto Ṣii Irokeke Irokeke Nyoju:
sudo suricata-update
Lati wo atokọ ti awọn orisun ofin, ṣiṣe aṣẹ wọnyi:
sudo suricata-update list-sources
Ṣe imudojuiwọn awọn orisun ofin:
sudo suricata-update update-sources
Ṣiṣayẹwo awọn orisun imudojuiwọn:
sudo suricata-update list-sourcesTi o ba jẹ dandan, o le ni awọn orisun ọfẹ ti o wa:
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update enable-source sslbl/ssl-fp-blacklistLẹhin iyẹn, o nilo lati ṣe imudojuiwọn awọn ofin lẹẹkansi:
sudo suricata-updateEyi pari fifi sori ẹrọ ati iṣeto ni ibẹrẹ ti Suricata ni Ubuntu 18.04 LTS. Lẹhinna igbadun naa bẹrẹ: ninu nkan atẹle, a yoo sopọ olupin foju kan si nẹtiwọọki ọfiisi nipasẹ VPN ati bẹrẹ itupalẹ gbogbo awọn ijabọ ti nwọle ati ti njade. A yoo san ifojusi pataki si didi awọn ikọlu DDoS, iṣẹ malware ati awọn igbiyanju lati lo nilokulo awọn ailagbara ninu awọn iṣẹ ti o wa lati awọn nẹtiwọọki gbogbo eniyan. Fun mimọ, awọn ikọlu ti awọn oriṣi ti o wọpọ julọ yoo jẹ afarawe.
orisun: www.habr.com