Suricata 1.4.4 lëshuar - Një sistem i zbulimit, parandalimit dhe monitorimit të sigurisë në rrjet
Suricata është një sistem modern i zbulimit, parandalimit dhe monitorimit të sigurisë në rrjet me performancë të lartë me burim të hapur për sistemet e bazuara në Unix/Linux, FreeBSD dhe Windows. Ai u zhvillua dhe zotërohej nga një fondacion jofitimprurës, OISF (Fondacioni i Sigurisë së Informacionit të Hapur).
Së fundmi, ekipi i projektit OISF njoftoi lëshimin e Suricata 1.4.4 me përditësime të vogla por thelbësore dhe rregulloi disa gabime thelbësore në versionin e mëparshëm.
Karakteristikat e Suricata
Suricata është një motor i zbulimit dhe parandalimit të ndërhyrjeve të bazuara në rregulla që përdor grupe rregullash të zhvilluara nga jashtë për të monitoruar trafikun e rrjetit, si dhe është në gjendje të trajtojë trafikun e shumëfishtë gigabajt dhe jep sinjalizime me email për administratorët e Sistemit/Rrjetit.
Suricata ofron shpejtësi dhe rëndësi në përcaktimin e trafikut të rrjetit. Motori është zhvilluar për të aplikuar fuqinë e rritur të përpunimit të ofruar nga grupet moderne të çipave me shumë bërthama.
Motori jo vetëm që ofron fjalë kyçe për TCP, UDP, ICMP dhe IP, por gjithashtu ka një mbështetje të integruar për HTTP, FTP, TLS dhe SMB. Një administrator i sistemit mund të krijojë rregullin e tij për të zbuluar një përputhje brenda një transmetimi HTTP. Kjo do të bëhet zbulimi dhe kontrolli i ndryshëm i Malware.
Motori me siguri do të marrë rregulla që janë përputhje të IP-ve të bazuara në RBN dhe listat e IP të komprometuara në Kërcënimet në zhvillim dhe do t'i mbajë ato në një paraprocesor specifik që përputhet shpejt.
Hapi :1 Instalimi i Suricata në RHEL, CentOS dhe Fedora
Duhet të përdorni depon e EPEL të Fedora-s për të instaluar disa paketa të nevojshme për sistemet i386 dhe x86_64.
- Aktivizo depon e EPEL të Fedora-s
Përpara se të mund të përpiloni dhe ndërtoni Suricata për sistemin tuaj, instaloni paketat e mëposhtme të varësisë që kërkohen për instalim të mëtejshëm. Procesi mund të marrë pak kohë për të përfunduar, në varësi të shpejtësisë së internetit.
# yum -y install libpcap libpcap-devel libnet libnet-devel pcre \
pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \
libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel file file-devel
Më pas, ndërtoni Suricata me mbështetjen e IPS. Për këtë, na duhen paketat “libnfnetlink” dhe “libnetfilter_queue”, por këto paketa të para-ndërtuara nuk janë të disponueshme në magazinat EPEL ose CentOS Base. Pra, duhet të shkarkojmë dhe instalojmë rpm nga depoja Emerging Threats CentOS.
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm
Shkarkoni skedarët më të fundit burimor Suricata dhe ndërtojeni duke përdorur komandat e mëposhtme.
# cd /tmp
# wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz
# tar -xvzf suricata-1.4.4.tar.gz
# cd suricata-1.4.4
Tani ne përdorim funksionin e konfigurimit automatik të Suricata për të krijuar automatikisht të gjitha drejtoritë e nevojshme, skedarët e konfigurimit dhe grupet më të fundit të rregullave.
# ./configure && make && make install-conf
# ./configure && make && make install-rules
# ./configure && make && make install-full
Hapi 2: Instalimi i Suricata në Debian dhe Ubuntu
Përpara se të filloni instalimin, duhet të keni të instaluara në sistem paketat e mëposhtme të parakushteve për të vazhduar më tej. Sigurohuni që duhet të jeni përdorues rrënjë për të ekzekutuar komandën e mëposhtme. Ky proces instalimi mund të marrë pak kohë, në varësi të shpejtësisë aktuale të internetit.
# apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \
build-essential autoconf automake libtool libpcap-dev libnet1-dev \
libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \
pkg-config magic file libhtp-dev
Si parazgjedhje, funksionon si IDS. Nëse dëshironi të shtoni mbështetje IDS, instaloni disa paketa të nevojshme si më poshtë.
# apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0
Shkarkoni Suricata tar-ball më të fundit dhe ndërtojeni duke përdorur komandat e mëposhtme.
# cd /tmp
# wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz
# tar -xvzf suricata-1.4.4.tar.gz
# cd suricata-1.4.4
Përdorni opsionin Suricata Auto Setup për të krijuar automatikisht të gjitha drejtoritë e nevojshme, skedarët e konfigurimit dhe grupet e rregullave, siç tregohet më poshtë.
# ./configure && make && make install-conf
# ./configure && make && make install-rules
# ./configure && make && make install-full
Hapi 3: Konfigurimi bazë i Suricata
Pas shkarkimit dhe instalimit të Suricata, tani është koha për të vazhduar te Konfigurimi bazë. Krijoni drejtoritë e mëposhtme.
# mkdir /var/log/suricata
# mkdir /etc/suricata
Pjesa tjetër është të kopjoni skedarët e konfigurimit si classification.config, reference.config dhe suricata.yaml nga direktoria e instalimit të ndërtimit bazë.
# cd /tmp/suricata-1.4.4
# cp classification.config /etc/suricata
# cp reference.config /etc/suricata
# cp suricata.yaml /etc/suricata
Më në fund, nisni për herë të parë Motorin Suricata dhe specifikoni emrin e pajisjes së ndërfaqes sipas preferencës suaj. Në vend të eth0, mund të përfshini kartën e rrjetit të preferuar.
# suricata -c /etc/suricata/suricata.yaml -i eth0
23/7/2013 -- 12:22:45 - - This is Suricata version 1.4.4 RELEASE
23/7/2013 -- 12:22:45 - - CPUs/cores online: 2
23/7/2013 -- 12:22:45 - - Found an MTU of 1500 for 'eth0'
23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the defrag hash... 65536 buckets of size 32
23/7/2013 -- 12:22:45 - - preallocated 65535 defrag trackers of size 104
23/7/2013 -- 12:22:45 - - defrag memory usage: 8912792 bytes, maximum: 33554432
23/7/2013 -- 12:22:45 - - AutoFP mode using default "Active Packets" flow load balancer
23/7/2013 -- 12:22:45 - - preallocated 1024 packets. Total memory 3170304
23/7/2013 -- 12:22:45 - - allocated 131072 bytes of memory for the host hash... 4096 buckets of size 32
23/7/2013 -- 12:22:45 - - preallocated 1000 hosts of size 76
23/7/2013 -- 12:22:45 - - host memory usage: 207072 bytes, maximum: 16777216
23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the flow hash... 65536 buckets of size 32
23/7/2013 -- 12:22:45 - - preallocated 10000 flows of size 176
23/7/2013 -- 12:22:45 - - flow memory usage: 3857152 bytes, maximum: 33554432
23/7/2013 -- 12:22:45 - - IP reputation disabled
23/7/2013 -- 12:22:45 - - using magic-file /usr/share/file/magic
Pas disa minutash, kontrolloni se motori funksionon siç duhet dhe merr dhe inspekton trafikun.
# cd /usr/local/var/log/suricata/
# ls -l
-rw-r--r-- 1 root root 25331 Jul 23 12:27 fast.log
drwxr-xr-x 2 root root 4096 Jul 23 11:34 files
-rw-r--r-- 1 root root 12345 Jul 23 11:37 http.log
-rw-r--r-- 1 root root 650978 Jul 23 12:27 stats.log
-rw-r--r-- 1 root root 22853 Jul 23 11:53 unified2.alert.1374557837
-rw-r--r-- 1 root root 2691 Jul 23 12:09 unified2.alert.1374559711
-rw-r--r-- 1 root root 2143 Jul 23 12:13 unified2.alert.1374559939
-rw-r--r-- 1 root root 6262 Jul 23 12:27 unified2.alert.1374560613
Shikoni skedarin stats.log dhe sigurohuni që informacioni i shfaqur të përditësohet në kohë reale.
# tail -f stats.log
tcp.reassembly_memuse | Detect | 0
tcp.reassembly_gap | Detect | 0
detect.alert | Detect | 27
flow_mgr.closed_pruned | FlowManagerThread | 3
flow_mgr.new_pruned | FlowManagerThread | 277
flow_mgr.est_pruned | FlowManagerThread | 0
flow.memuse | FlowManagerThread | 3870000
flow.spare | FlowManagerThread | 10000
flow.emerg_mode_entered | FlowManagerThread | 0
flow.emerg_mode_over | FlowManagerThread | 0
Lidhjet e referencës
Faqja kryesore e Suricata
Udhëzuesi i përdorimit të Suricata