Suricata - Għodda tas-Sigurtà għall-Intrużjoni u l-Prevenzjoni
Suricata hija magna b'saħħitha, versatili u ta' sors miftuħ għall-iskoperta tat-theddid li tipprovdi funzjonalitajiet għall-iskoperta tal-intrużjoni (IDS), il-prevenzjoni tal-intrużjoni (IPS), u l-monitoraġġ tas-sigurtà tan-netwerk. Jwettaq spezzjoni profonda tal-pakketti flimkien ma 'mudell li jqabbel taħlita li hija oerhört qawwija fl-iskoperta tat-theddid.
Fil-ħin tal-kitba ta 'din il-gwida, l-aħħar verżjoni ta' Suricata hija 6.0.5.
- IDS/IPS – Suricata hija magna ta' Sejbien u Prevenzjoni tal-Intrużjoni bbażata fuq ir-regoli li tisfrutta settijiet ta' regoli żviluppati esternament bħal regoli Emerging Threats Suricata biex jimmonitorja t-traffiku tan-netwerk għal kwalunkwe attività malizzjuża, ksur tal-politika, u theddid.
- Sejbien Awtomatiku tal-Protokoll - Il-magna Suricata tiskopri awtomatikament protokolli bħal HTTP u HTTPS. FTP u SMB fuq kwalunkwe port u applika l-loġika xierqa ta 'skoperta u qtugħ. Dan huwa utli fl-iskoperta ta 'malware u kanali CnC.
- Lua Scripting – Suricata tista' tinvoka skripts Lua li jipprovdu skoperta avvanzata ta' malware biex tiskopri u jiddekowdja traffiku ta' malware li mod ieħor huwa diffiċli biex jinstab.
- Multi-threading – Suricata jipprovdi veloċità u importanza fid-determinazzjoni tat-traffiku tan-netwerk. Il-magna hija żviluppata biex tapplika l-qawwa tal-ipproċessar miżjuda offruta minn chipsets ta 'hardware multi-core moderni.
Installazzjoni ta 'Għodda ta' Sejbien ta 'Intrużjoni Suricata fil-Linux
F'din it-taqsima, se nuru kif tinstalla Suricata fuq distribuzzjonijiet ibbażati fuq RHEL.
Suricata hija pprovduta minn repożitorji Debian/Ubuntu u tista 'faċilment tiġi installata bl-użu tal-maniġer tal-pakketti apt. Madankollu, ta 'min jinnota li dan ma jinstallax l-aħħar verżjoni ta' Suricata. Biex tinstalla l-aħħar verżjoni, trid tinstallaha minn sors li ser inkopru aktar 'il quddiem f'din il-gwida.
Biex tinstalla Suricata billi tuża l-maniġer tal-pakketti apt, mexxi l-kmand:
$ sudo apt install suricata -y
Suricata jibda awtomatikament ladarba jiġi installat. Tista' tikkonferma dan kif ġej.
$ sudo systemctl status suricata
Biex tinstalla Suricata fuq distribuzzjonijiet RHEL bħal CentOS Stream, Rocky Linux, AlmaLinux, Fedora, u RHEL, l-ewwel trid tippermetti r-repożitorju EPEL.
$ dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm [RHEL 9] $ dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm [RHEL 8] $ yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm [RHEL 7]
Ladarba EPEL ikun attivat, installa l-pakketti meħtieġa li ġejjin u żid ir-repożitorju OISF mas-sistema tiegħek.
----------- On Fedora Systems ----------- $ sudo dnf install dnf-plugins-core $ sudo dnf copr enable @oisf/suricata-6.0 ----------- On RHEL Systems ----------- $ sudo dnf install yum-plugin-copr $ sudo dnf copr enable @oisf/suricata-6.0
Sussegwentement, installa Suricata billi tuża l-maniġer tal-pakkett yum kif muri.
$ sudo dnf install suricata -y Or $ sudo yum install suricata -y
Ladarba Suricata tkun installata, ibda u vverifika l-istatus tagħha.
$ sudo systemctl start suricata $ sudo systemctl status suricata
Installa Suricata mis-Sors fil-Linux
Ir-repożitorji tal-OS default ma jipprovdux l-aħħar verżjoni tas-Suricata. Jekk l-għan tiegħek huwa li tinstalla l-aħħar verżjoni ta 'Suricata, allura għandek bżonn tinstallaha mis-sors.
Fil-ħin tal-kitba ta 'din il-gwida, l-aħħar verżjoni ta' Suricata hija 6.0.5. Biex tinstalla Suricata mis-sors fuq distribuzzjonijiet Ubuntu/Debian u RHEL, installa l-libreriji, għodod ta 'kumpilazzjoni, u dipendenzi li ġejjin.
----------- On Debian Systems ----------- $ sudo apt install rustc build-essential cargo libpcre3 libpcre3-dbg libpcre3-dev make autoconf automake libtool libcap-ng0 make libmagic-dev libjansson-dev libjansson4 libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev pkg-config libnetfilter-queue1 libnfnetlink0 libnetfilter-queue-dev libnfnetlink-dev -y ----------- On RHEL Systems ----------- $ sudo yum install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo lz4-devel -y
Sussegwentement, installa l-għodda tal-aġġornament tas-suricata biex taġġorna r-regoli tas-Suricata.
$ sudo apt install python3-pip [On Debian] $ sudo yum install python3-pip [On RHEL] $ pip3 install --upgrade suricata-update
Imbagħad oħloq link simboliku għal /usr/bin/suricata-update.
$ sudo ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update
Issa ras fuq il-kmand wget.
$ wget https://www.openinfosecfoundation.org/download/suricata-6.0.6.tar.gz
Ladarba titniżżel, iġbed il-fajl tarball u installah.
$ sudo tar -xvf suricata-6.0.6.tar.gz $ cd suricata-6.0.6 $ ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var $ make $ make install-full
Konfigurazzjoni ta 'Suricata fil-Linux
Biex tibda tikkonfigura Suricata, irridu nispeċifikaw l-IP intern u n-netwerk estern. Biex tagħmel dan, aċċess għall-fajl tal-konfigurazzjoni.
$ sudo vim /etc/suricata/suricata.yaml
Għad-direttiva HOME_NET, speċifika l-indirizz IP tas-sistema Linux tiegħek.
HOME_NET: "[173.82.235.7]"
Sussegwentement, issettja d-direttiva EXTERNAL_NET għal !$HOME_NET.
EXTERNAL_NET: "!$HOME_NET"
Sussegwentement, speċifika l-interface tan-netwerk li fuqha Suricata se tispezzjona t-traffiku tan-netwerk. Fil-każ tagħna, dan huwa l-interface eth0.
Tista' tivverifika l-interface tan-netwerk attiv tiegħek billi tuża l-kmand ip:
$ ip a
Fil-fajl tal-konfigurazzjoni, aġġorna d-direttiva tal-interface bl-isem tal-interface tan-netwerk.
- interface: eth0
Sussegwentement, kun żgur li l-attribut default-rule-path huwa ssettjat għal /etc/suricata/rules.
Imbagħad issalva l-bidliet u agħlaq il-fajl tal-konfigurazzjoni. Imbagħad erġa ibda Suricata biex il-bidliet japplikaw.
$ sudo systemctl status suricata
Aġġornament ta' settijiet ta' regoli ta' Suricata fil-Linux
B'mod awtomatiku, Suricata tibgħat b'sett limitat ta' regoli ta' skoperta li jinsabu fid-direttorju /etc/suricata/rules. Madankollu, dawn huma kkunsidrati dgħajfa u ineffettivi fl-iskoperta ta 'intrużjonijiet. Trid tgħabbi r-regoli Emerging Threat (ET) li huma meqjusa bħala l-aktar settijiet ta' regoli komprensivi għal Suricata.
Suricata jipprovdi għodda magħrufa bħala suricata-update li ġġib settijiet ta' regoli minn fornituri esterni. Biex tikseb sett ta 'regoli aġġornat għas-server tiegħek, mexxi l-kmand li ġej.
$ sudo suricata-update -o /etc/suricata/rules
Mill-output, tista 'tara l-aġġornament tas-suricata jġib ir-Regoli Miftuħa ET tat-Theddid Emerġenti b'xejn u ssalvahom fil-fajl tar-regoli /etc/suricata/rules/suricata ta' Suricata. Barra minn hekk, Tindika n-numru ta 'regoli pproċessati. F'dan l-eżempju, total ta' 35941 ġew miżjuda. Minn dawn, 28221 ġew attivati, 18 tneħħew, u 1249 ġew modifikati.
Żieda ta 'Suricata Rulesets fil-Linux
L-għodda ta' aġġornament tas-suricata tippermettilek li ġġib regoli mingħand fornituri ta' settijiet ta' regoli. Xi wħud huma ħielsa bħas-sett ET Open, filwaqt li oħrajn jeħtieġu abbonament imħallas.
Biex telenka s-sett default ta’ fornituri ta’ regoli, mexxi l-kmand ta’ aġġornament ta’ suricata kif muri.
$ sudo suricata-update list-sources
Biex iżżid sett ta' regoli, pereżempju, ir-regoli tgreen/kaċċa, mexxi l-kmand li ġej.
$ sudo suricata-update enable-source tgreen/hunting
Ladarba tkun żidt ir-regoli, ħaddem il-kmand ta' aġġornament ta' suricata għal darb'oħra bil-marka -o /etc/suricata/rules
.
$ sudo suricata-update -o /etc/suricata/rules
Ittestjar tar-Regoli Suricata fil-Linux
Qabel ma tibda tittestja Suricata, huwa rakkomandat li tittestja jekk il-konfigurazzjoni hijiex tajba. Biex tagħmel dan, mexxi l-kmand li ġej:
$ sudo suricata -T -c /etc/suricata/suricata.yaml -v
Kun żgur li l-ebda żbalji ma jiġu rrappurtati. Jekk qed tmexxi RHEL, CentOS Stream, Fedora, u Rocky Linux ibda u ppermetti Suricata.
$ sudo systemctl start suricata $ sudo systemctl enable suricata
S'issa, installajna b'suċċess, u kkonfigurajna Suricata u aġġornajna r-regoli. Is-Sett ta' Regoli Miftuħa ET fih aktar minn 30,000 regola għall-iskoperta ta' traffiku malizzjuż. F'din it-taqsima, se npoġġu lil Suricata għat-test u niċċekkjaw jekk tistax tiskopri traffiku tan-netwerk suspettuż.
Se nittestjaw is-sett tar-regoli ET Open billi nisimulaw intrużjoni kif rakkomandat mill-gwida Quickstart ta 'Suricata.
Il-funzjonalità tal-IDS se tiġi ttestjata b'ID tal-firma ta' 2100498 billi tintbagħat talba HTTP lill-websajt testmynids.org li hija qafas NIDS (Network Intrusion and Detection System).
$ curl http://testmynids.org/uid/index.html
Għandek tikseb l-output li ġej.
uid=0(root) gid=0(root) groups=0(root)
It-talba HTTP mibgħuta hija ddisinjata biex tiskatta twissija billi timita l-output tal-kmand id li jista' jaħdem fuq sistema remota kompromessa permezz ta' qoxra.
Issa ejja ngħarblu r-zkuk ta 'Suricata għal twissija korrispondenti. Suricata jintbagħat b'żewġ log files li jiġu attivati b'mod awtomatiku.
/var/log/suricata/fast.log /var/log/suricata/eve.log
Se niċċekkjaw għal dħul ta' log fil-/var/log/suricata/fast.log log file li jikkorrispondi mal-kmand grep. Se nfittxu l-entrati tal-log billi tuża l-identifikatur tar-regola 2100498 mid-dokumentazzjoni Quickstart.
$ grep 2100948 /var/log/suricata/fast.log
Int ser tirċievi l-output li ġej li jfisser intrużjoni. Hawnhekk, 173.82.235.7 huwa l-indirizz IP pubbliku tas-server.
09/09/2022-22:17:06.796434 [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 13.226.210.123:80 -> 173.82.235.7:33822
Inkella, tista' tiċċekkja l-/var/log/suricata/eve.log log file għall-ID tal-firma ta' 2100498 kif muri.
$ jq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json
Din kienet gwida komprensiva dwar kif tinstalla u tikkonfigura Suricata fuq Linux. Ħaresna lejn diversi metodi ta 'installazzjoni, kif tikkonfigura Suricata u taġġorna r-regoli ta' Suricata kif ukoll kif timmaniġġja s-servizz tas-sistema Suricata u twettaq testijiet ta 'intrużjoni tan-netwerk.
Hija t-tama tagħna li issa tista' tinstalla u tuża Suricata bil-kumdità biex tissalvagwardja s-sistema tiegħek minn intrużjonijiet tan-netwerk jew traffiku malizzjuż.