Suricata 1.4.4 Välja antud - võrgu sissetungimise tuvastamise, ennetamise ja turvalisuse seiresüsteem
Suricata on avatud lähtekoodiga kaasaegne võrgu sissetungimise tuvastamise, ennetamise ja turvalisuse seiresüsteem Unix/Linuxi, FreeBSD ja Windowsi põhistele süsteemidele. Selle arendas välja mittetulundusühing OISF (Avatud Infoturbefond).
Hiljuti teatas OISF-i projektimeeskond Suricata 1.4.4 väljaandmisest väikeste, kuid oluliste värskendustega ja parandas eelmise väljalaske osas mõned olulised vead.
Suricata funktsioonid
Suricata on reeglipõhine sissetungide tuvastamise ja ennetamise mootor, mis kasutab võrguliikluse jälgimiseks väliselt välja töötatud reeglistikke, samuti suudab hallata mitme gigabaidist liiklust ja annab süsteemi/võrgu administraatoritele e-posti märguandeid.
Suricata annab kiiruse ja tähtsuse võrguliikluse määramisel. Mootor on välja töötatud tänapäevaste mitmetuumaliste riistvarakiibikomplektide pakutava suurenenud töötlemisvõimsuse rakendamiseks.
Mootor pakub lisaks TCP, UDP, ICMP ja IP märksõnadele ka sisemist tuge HTTP, FTP, TLS ja SMB jaoks. Süsteemiadministraator saab luua oma reegli, et tuvastada vaste HTTP-voos. Sellest saab erinev pahavara tuvastamine ja juhtimine.
Mootor võtab kindlasti reeglid, mis on IP-vasted, mis põhinevad RBN-il ja rikutud IP-loenditel Emerging Threatsi juures, ja hoiab need konkreetses kiiresti sobivas eeltöötluses.
Samm: 1 Suricata installimine RHEL-i, CentOS-i ja Fedorasse
I386 ja x86_64 süsteemide jaoks vajalike pakettide installimiseks peate kasutama Fedora EPEL-hoidlat.
- lubage Fedora EPEL-i hoidla
Enne kui Suricata oma süsteemile saate kompileerida ja ehitada, installige järgmised sõltuvuspaketid, mis on vajalikud edasiseks installimiseks. Protsessi lõpuleviimine võib võtta aega, sõltuvalt Interneti-kiirusest.
# yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel file file-devel
Järgmisena ehitage Suricata IPS-i toega. Selleks vajame pakette "libnfnetlink" ja "libnetfilter_queue", kuid need eelnevalt koostatud paketid pole saadaval EPEL ega CentOS Base hoidlates. Niisiis, peame alla laadima ja installima RMS-id EOSi hoidlast.
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm
Laadige alla uusimad Suricata lähtefailid ja koostage see järgmiste käskude abil.
# cd /tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar -xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
Nüüd kasutame funktsiooni Suricata Auto Setup, et automaatselt luua kõik vajalikud kataloogid, konfiguratsioonifailid ja uusimad reeglid.
# ./configure && make && make install-conf # ./configure && make && make install-rules # ./configure && make && make install-full
2. samm: Suricata installimine Debianisse ja Ubuntu
Enne installimise alustamist peavad edasiseks toimimiseks olema süsteemi installitud järgmised eeltingimuste paketid. Järgmise käsu käivitamiseks peate olema juurkasutaja. See installiprotsess võib võtta aega, sõltuvalt teie Interneti-kiirusest.
# apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \ pkg-config magic file libhtp-dev
Vaikimisi töötab IDS-na. Kui soovite lisada IDS-i tuge, installige mõned vajalikud paketid järgmiselt.
# apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0
Laadige alla uusim Suricata tõrvapall ja ehitage see järgmiste käskude abil.
# cd /tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar -xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
Kasutage suvandit Suricata Auto Setup, et luua kõik vajalikud kataloogid, konfiguratsioonifailid ja reeglistikud automaatselt, nagu allpool näidatud.
# ./configure && make && make install-conf # ./configure && make && make install-rules # ./configure && make && make install-full
3. samm: Suricata Basici seadistamine
Pärast Suricata allalaadimist ja installimist on nüüd aeg minna põhiseadistusse. Looge järgmised direktoraadid.
# mkdir /var/log/suricata # mkdir /etc/suricata
Järgmine osa on kopeerida konfiguratsioonifailid, näiteks “klassifikatsioon.config”, “reference.config” ja “suricata.yaml”, ehituskomplekti põhikataloogist.
# cd /tmp/suricata-1.4.4 # cp classification.config /etc/suricata # cp reference.config /etc/suricata # cp suricata.yaml /etc/suricata
Lõpuks käivitage esmakordselt „Suricata Engine“ ja määrake oma eelistatud liideseseadme nimi. Eth0 asemel võite lisada oma eelistuse võrgukaardi.
# suricata -c /etc/suricata/suricata.yaml -i eth0 23/7/2013 -- 12:22:45 - - This is Suricata version 1.4.4 RELEASE 23/7/2013 -- 12:22:45 - - CPUs/cores online: 2 23/7/2013 -- 12:22:45 - - Found an MTU of 1500 for 'eth0' 23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the defrag hash... 65536 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 65535 defrag trackers of size 104 23/7/2013 -- 12:22:45 - - defrag memory usage: 8912792 bytes, maximum: 33554432 23/7/2013 -- 12:22:45 - - AutoFP mode using default "Active Packets" flow load balancer 23/7/2013 -- 12:22:45 - - preallocated 1024 packets. Total memory 3170304 23/7/2013 -- 12:22:45 - - allocated 131072 bytes of memory for the host hash... 4096 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 1000 hosts of size 76 23/7/2013 -- 12:22:45 - - host memory usage: 207072 bytes, maximum: 16777216 23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the flow hash... 65536 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 10000 flows of size 176 23/7/2013 -- 12:22:45 - - flow memory usage: 3857152 bytes, maximum: 33554432 23/7/2013 -- 12:22:45 - - IP reputation disabled 23/7/2013 -- 12:22:45 - - using magic-file /usr/share/file/magic
Mõne minuti pärast kontrollige, kas mootor töötab õigesti, ning võtab vastu ja kontrollib liiklust.
# cd /usr/local/var/log/suricata/ # ls -l -rw-r--r-- 1 root root 25331 Jul 23 12:27 fast.log drwxr-xr-x 2 root root 4096 Jul 23 11:34 files -rw-r--r-- 1 root root 12345 Jul 23 11:37 http.log -rw-r--r-- 1 root root 650978 Jul 23 12:27 stats.log -rw-r--r-- 1 root root 22853 Jul 23 11:53 unified2.alert.1374557837 -rw-r--r-- 1 root root 2691 Jul 23 12:09 unified2.alert.1374559711 -rw-r--r-- 1 root root 2143 Jul 23 12:13 unified2.alert.1374559939 -rw-r--r-- 1 root root 6262 Jul 23 12:27 unified2.alert.1374560613
Vaadake faili „stats.log” ja veenduge, et kuvatav teave oleks reaalajas ajakohastatud.
# tail -f stats.log tcp.reassembly_memuse | Detect | 0 tcp.reassembly_gap | Detect | 0 detect.alert | Detect | 27 flow_mgr.closed_pruned | FlowManagerThread | 3 flow_mgr.new_pruned | FlowManagerThread | 277 flow_mgr.est_pruned | FlowManagerThread | 0 flow.memuse | FlowManagerThread | 3870000 flow.spare | FlowManagerThread | 10000 flow.emerg_mode_entered | FlowManagerThread | 0 flow.emerg_mode_over | FlowManagerThread | 0
Viited
Suricata koduleht
Suricata kasutusjuhend