Suricata - Għodda tas-Sigurtà għall-Intrużjoni u l-Prevenzjoni


Suricata hija magna b'saħħitha, versatili u ta' sors miftuħ għall-iskoperta tat-theddid li tipprovdi funzjonalitajiet għall-iskoperta tal-intrużjoni (IDS), il-prevenzjoni tal-intrużjoni (IPS), u l-monitoraġġ tas-sigurtà tan-netwerk. Jwettaq spezzjoni profonda tal-pakketti flimkien ma 'mudell li jqabbel taħlita li hija oerhört qawwija fl-iskoperta tat-theddid.

Fil-ħin tal-kitba ta 'din il-gwida, l-aħħar verżjoni ta' Suricata hija 6.0.5.

  • IDS/IPS – Suricata hija magna ta' Sejbien u Prevenzjoni tal-Intrużjoni bbażata fuq ir-regoli li tisfrutta settijiet ta' regoli żviluppati esternament bħal regoli Emerging Threats Suricata biex jimmonitorja t-traffiku tan-netwerk għal kwalunkwe attività malizzjuża, ksur tal-politika, u theddid.
  • Sejbien Awtomatiku tal-Protokoll - Il-magna Suricata tiskopri awtomatikament protokolli bħal HTTP u HTTPS. FTP u SMB fuq kwalunkwe port u applika l-loġika xierqa ta 'skoperta u qtugħ. Dan huwa utli fl-iskoperta ta 'malware u kanali CnC.
  • Lua Scripting – Suricata tista' tinvoka skripts Lua li jipprovdu skoperta avvanzata ta' malware biex tiskopri u jiddekowdja traffiku ta' malware li mod ieħor huwa diffiċli biex jinstab.
  • Multi-threading – Suricata jipprovdi veloċità u importanza fid-determinazzjoni tat-traffiku tan-netwerk. Il-magna hija żviluppata biex tapplika l-qawwa tal-ipproċessar miżjuda offruta minn chipsets ta 'hardware multi-core moderni.

Installazzjoni ta 'Għodda ta' Sejbien ta 'Intrużjoni Suricata fil-Linux

F'din it-taqsima, se nuru kif tinstalla Suricata fuq distribuzzjonijiet ibbażati fuq RHEL.

Suricata hija pprovduta minn repożitorji Debian/Ubuntu u tista 'faċilment tiġi installata bl-użu tal-maniġer tal-pakketti apt. Madankollu, ta 'min jinnota li dan ma jinstallax l-aħħar verżjoni ta' Suricata. Biex tinstalla l-aħħar verżjoni, trid tinstallaha minn sors li ser inkopru aktar 'il quddiem f'din il-gwida.

Biex tinstalla Suricata billi tuża l-maniġer tal-pakketti apt, mexxi l-kmand:

$ sudo apt install suricata -y

Suricata jibda awtomatikament ladarba jiġi installat. Tista' tikkonferma dan kif ġej.

$ sudo systemctl status suricata

Biex tinstalla Suricata fuq distribuzzjonijiet RHEL bħal CentOS Stream, Rocky Linux, AlmaLinux, Fedora, u RHEL, l-ewwel trid tippermetti r-repożitorju EPEL.

$ dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm  [RHEL 9]
$ dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm  [RHEL 8]
$ yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm  [RHEL 7]

Ladarba EPEL ikun attivat, installa l-pakketti meħtieġa li ġejjin u żid ir-repożitorju OISF mas-sistema tiegħek.

----------- On Fedora Systems ----------- 
$ sudo dnf install dnf-plugins-core
$ sudo  dnf copr enable @oisf/suricata-6.0

----------- On RHEL Systems ----------- 
$ sudo dnf install yum-plugin-copr
$ sudo dnf copr enable @oisf/suricata-6.0

Sussegwentement, installa Suricata billi tuża l-maniġer tal-pakkett yum kif muri.

$ sudo dnf install suricata -y
Or
$ sudo yum install suricata -y

Ladarba Suricata tkun installata, ibda u vverifika l-istatus tagħha.

$ sudo systemctl start suricata
$ sudo systemctl status suricata

Installa Suricata mis-Sors fil-Linux

Ir-repożitorji tal-OS default ma jipprovdux l-aħħar verżjoni tas-Suricata. Jekk l-għan tiegħek huwa li tinstalla l-aħħar verżjoni ta 'Suricata, allura għandek bżonn tinstallaha mis-sors.

Fil-ħin tal-kitba ta 'din il-gwida, l-aħħar verżjoni ta' Suricata hija 6.0.5. Biex tinstalla Suricata mis-sors fuq distribuzzjonijiet Ubuntu/Debian u RHEL, installa l-libreriji, għodod ta 'kumpilazzjoni, u dipendenzi li ġejjin.

----------- On Debian Systems ----------- 
$ sudo apt install rustc build-essential cargo libpcre3 libpcre3-dbg libpcre3-dev make autoconf automake libtool libcap-ng0 make libmagic-dev libjansson-dev libjansson4 libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev pkg-config libnetfilter-queue1 libnfnetlink0 libnetfilter-queue-dev libnfnetlink-dev -y

----------- On RHEL Systems ----------- 
$ sudo yum install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo lz4-devel -y

Sussegwentement, installa l-għodda tal-aġġornament tas-suricata biex taġġorna r-regoli tas-Suricata.

$ sudo apt install python3-pip           [On Debian]
$ sudo yum install python3-pip           [On RHEL]
$ pip3 install --upgrade suricata-update

Imbagħad oħloq link simboliku għal /usr/bin/suricata-update.

$ sudo ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update

Issa ras fuq il-kmand wget.

$ wget https://www.openinfosecfoundation.org/download/suricata-6.0.6.tar.gz

Ladarba titniżżel, iġbed il-fajl tarball u installah.

$ sudo tar -xvf suricata-6.0.6.tar.gz
$ cd suricata-6.0.6
$ ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
$ make
$ make install-full

Konfigurazzjoni ta 'Suricata fil-Linux

Biex tibda tikkonfigura Suricata, irridu nispeċifikaw l-IP intern u n-netwerk estern. Biex tagħmel dan, aċċess għall-fajl tal-konfigurazzjoni.

$ sudo vim /etc/suricata/suricata.yaml

Għad-direttiva HOME_NET, speċifika l-indirizz IP tas-sistema Linux tiegħek.

HOME_NET: "[173.82.235.7]"

Sussegwentement, issettja d-direttiva EXTERNAL_NET għal !$HOME_NET.

EXTERNAL_NET: "!$HOME_NET"

Sussegwentement, speċifika l-interface tan-netwerk li fuqha Suricata se tispezzjona t-traffiku tan-netwerk. Fil-każ tagħna, dan huwa l-interface eth0.

Tista' tivverifika l-interface tan-netwerk attiv tiegħek billi tuża l-kmand ip:

$ ip a

Fil-fajl tal-konfigurazzjoni, aġġorna d-direttiva tal-interface bl-isem tal-interface tan-netwerk.

- interface: eth0

Sussegwentement, kun żgur li l-attribut default-rule-path huwa ssettjat għal /etc/suricata/rules.

Imbagħad issalva l-bidliet u agħlaq il-fajl tal-konfigurazzjoni. Imbagħad erġa ibda Suricata biex il-bidliet japplikaw.

$ sudo systemctl status suricata

Aġġornament ta' settijiet ta' regoli ta' Suricata fil-Linux

B'mod awtomatiku, Suricata tibgħat b'sett limitat ta' regoli ta' skoperta li jinsabu fid-direttorju /etc/suricata/rules. Madankollu, dawn huma kkunsidrati dgħajfa u ineffettivi fl-iskoperta ta 'intrużjonijiet. Trid tgħabbi r-regoli Emerging Threat (ET) li huma meqjusa bħala l-aktar settijiet ta' regoli komprensivi għal Suricata.

Suricata jipprovdi għodda magħrufa bħala suricata-update li ġġib settijiet ta' regoli minn fornituri esterni. Biex tikseb sett ta 'regoli aġġornat għas-server tiegħek, mexxi l-kmand li ġej.

$ sudo suricata-update -o /etc/suricata/rules

Mill-output, tista 'tara l-aġġornament tas-suricata jġib ir-Regoli Miftuħa ET tat-Theddid Emerġenti b'xejn u ssalvahom fil-fajl tar-regoli /etc/suricata/rules/suricata ta' Suricata. Barra minn hekk, Tindika n-numru ta 'regoli pproċessati. F'dan l-eżempju, total ta' 35941 ġew miżjuda. Minn dawn, 28221 ġew attivati, 18 tneħħew, u 1249 ġew modifikati.

Żieda ta 'Suricata Rulesets fil-Linux

L-għodda ta' aġġornament tas-suricata tippermettilek li ġġib regoli mingħand fornituri ta' settijiet ta' regoli. Xi wħud huma ħielsa bħas-sett ET Open, filwaqt li oħrajn jeħtieġu abbonament imħallas.

Biex telenka s-sett default ta’ fornituri ta’ regoli, mexxi l-kmand ta’ aġġornament ta’ suricata kif muri.

$ sudo suricata-update list-sources

Biex iżżid sett ta' regoli, pereżempju, ir-regoli tgreen/kaċċa, mexxi l-kmand li ġej.

$ sudo suricata-update enable-source tgreen/hunting

Ladarba tkun żidt ir-regoli, ħaddem il-kmand ta' aġġornament ta' suricata għal darb'oħra bil-marka -o /etc/suricata/rules.

$ sudo suricata-update -o /etc/suricata/rules

Ittestjar tar-Regoli Suricata fil-Linux

Qabel ma tibda tittestja Suricata, huwa rakkomandat li tittestja jekk il-konfigurazzjoni hijiex tajba. Biex tagħmel dan, mexxi l-kmand li ġej:

$ sudo suricata -T -c /etc/suricata/suricata.yaml -v

Kun żgur li l-ebda żbalji ma jiġu rrappurtati. Jekk qed tmexxi RHEL, CentOS Stream, Fedora, u Rocky Linux ibda u ppermetti Suricata.

$ sudo systemctl start suricata 
$ sudo systemctl enable suricata 

S'issa, installajna b'suċċess, u kkonfigurajna Suricata u aġġornajna r-regoli. Is-Sett ta' Regoli Miftuħa ET fih aktar minn 30,000 regola għall-iskoperta ta' traffiku malizzjuż. F'din it-taqsima, se npoġġu lil Suricata għat-test u niċċekkjaw jekk tistax tiskopri traffiku tan-netwerk suspettuż.

Se nittestjaw is-sett tar-regoli ET Open billi nisimulaw intrużjoni kif rakkomandat mill-gwida Quickstart ta 'Suricata.

Il-funzjonalità tal-IDS se tiġi ttestjata b'ID tal-firma ta' 2100498 billi tintbagħat talba HTTP lill-websajt testmynids.org li hija qafas NIDS (Network Intrusion and Detection System).

$ curl http://testmynids.org/uid/index.html

Għandek tikseb l-output li ġej.

uid=0(root) gid=0(root) groups=0(root)

It-talba HTTP mibgħuta hija ddisinjata biex tiskatta twissija billi timita l-output tal-kmand id li jista' jaħdem fuq sistema remota kompromessa permezz ta' qoxra.

Issa ejja ngħarblu r-zkuk ta 'Suricata għal twissija korrispondenti. Suricata jintbagħat b'żewġ log files li jiġu attivati b'mod awtomatiku.

/var/log/suricata/fast.log
/var/log/suricata/eve.log

Se niċċekkjaw għal dħul ta' log fil-/var/log/suricata/fast.log log file li jikkorrispondi mal-kmand grep. Se nfittxu l-entrati tal-log billi tuża l-identifikatur tar-regola 2100498 mid-dokumentazzjoni Quickstart.

$ grep 2100948 /var/log/suricata/fast.log

Int ser tirċievi l-output li ġej li jfisser intrużjoni. Hawnhekk, 173.82.235.7 huwa l-indirizz IP pubbliku tas-server.

09/09/2022-22:17:06.796434  [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 13.226.210.123:80 -> 173.82.235.7:33822

Inkella, tista' tiċċekkja l-/var/log/suricata/eve.log log file għall-ID tal-firma ta' 2100498 kif muri.

$ jq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json

Din kienet gwida komprensiva dwar kif tinstalla u tikkonfigura Suricata fuq Linux. Ħaresna lejn diversi metodi ta 'installazzjoni, kif tikkonfigura Suricata u taġġorna r-regoli ta' Suricata kif ukoll kif timmaniġġja s-servizz tas-sistema Suricata u twettaq testijiet ta 'intrużjoni tan-netwerk.

Hija t-tama tagħna li issa tista' tinstalla u tuża Suricata bil-kumdità biex tissalvagwardja s-sistema tiegħek minn intrużjonijiet tan-netwerk jew traffiku malizzjuż.