Suricata 1.4.4 Välja antud - võrgu sissetungimise tuvastamise, ennetamise ja turvalisuse seiresüsteem


Suricata on avatud lähtekoodiga kaasaegne võrgu sissetungimise tuvastamise, ennetamise ja turvalisuse seiresüsteem Unix/Linuxi, FreeBSD ja Windowsi põhistele süsteemidele. Selle arendas välja mittetulundusühing OISF (Avatud Infoturbefond).

Hiljuti teatas OISF-i projektimeeskond Suricata 1.4.4 väljaandmisest väikeste, kuid oluliste värskendustega ja parandas eelmise väljalaske osas mõned olulised vead.

Suricata funktsioonid

Suricata on reeglipõhine sissetungide tuvastamise ja ennetamise mootor, mis kasutab võrguliikluse jälgimiseks väliselt välja töötatud reeglistikke, samuti suudab hallata mitme gigabaidist liiklust ja annab süsteemi/võrgu administraatoritele e-posti märguandeid.

Suricata annab kiiruse ja tähtsuse võrguliikluse määramisel. Mootor on välja töötatud tänapäevaste mitmetuumaliste riistvarakiibikomplektide pakutava suurenenud töötlemisvõimsuse rakendamiseks.

Mootor pakub lisaks TCP, UDP, ICMP ja IP märksõnadele ka sisemist tuge HTTP, FTP, TLS ja SMB jaoks. Süsteemiadministraator saab luua oma reegli, et tuvastada vaste HTTP-voos. Sellest saab erinev pahavara tuvastamine ja juhtimine.

Mootor võtab kindlasti reeglid, mis on IP-vasted, mis põhinevad RBN-il ja rikutud IP-loenditel Emerging Threatsi juures, ja hoiab need konkreetses kiiresti sobivas eeltöötluses.

Samm: 1 Suricata installimine RHEL-i, CentOS-i ja Fedorasse

I386 ja x86_64 süsteemide jaoks vajalike pakettide installimiseks peate kasutama Fedora EPEL-hoidlat.

  1. lubage Fedora EPEL-i hoidla

Enne kui Suricata oma süsteemile saate kompileerida ja ehitada, installige järgmised sõltuvuspaketid, mis on vajalikud edasiseks installimiseks. Protsessi lõpuleviimine võib võtta aega, sõltuvalt Interneti-kiirusest.

# yum -y install libpcap libpcap-devel libnet libnet-devel pcre \
pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \
libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel file file-devel

Järgmisena ehitage Suricata IPS-i toega. Selleks vajame pakette "libnfnetlink" ja "libnetfilter_queue", kuid need eelnevalt koostatud paketid pole saadaval EPEL ega CentOS Base hoidlates. Niisiis, peame alla laadima ja installima RMS-id EOSi hoidlast.

# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \ 
http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \ 
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm

Laadige alla uusimad Suricata lähtefailid ja koostage see järgmiste käskude abil.

# cd /tmp
# wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz
# tar -xvzf suricata-1.4.4.tar.gz
# cd suricata-1.4.4

Nüüd kasutame funktsiooni Suricata Auto Setup, et automaatselt luua kõik vajalikud kataloogid, konfiguratsioonifailid ja uusimad reeglid.

# ./configure && make && make install-conf
# ./configure && make && make install-rules
# ./configure && make && make install-full

2. samm: Suricata installimine Debianisse ja Ubuntu

Enne installimise alustamist peavad edasiseks toimimiseks olema süsteemi installitud järgmised eeltingimuste paketid. Järgmise käsu käivitamiseks peate olema juurkasutaja. See installiprotsess võib võtta aega, sõltuvalt teie Interneti-kiirusest.

# apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \
build-essential autoconf automake libtool libpcap-dev libnet1-dev \
libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \
pkg-config magic file libhtp-dev

Vaikimisi töötab IDS-na. Kui soovite lisada IDS-i tuge, installige mõned vajalikud paketid järgmiselt.

# apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0

Laadige alla uusim Suricata tõrvapall ja ehitage see järgmiste käskude abil.

# cd /tmp
# wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz
# tar -xvzf suricata-1.4.4.tar.gz
# cd suricata-1.4.4

Kasutage suvandit Suricata Auto Setup, et luua kõik vajalikud kataloogid, konfiguratsioonifailid ja reeglistikud automaatselt, nagu allpool näidatud.

# ./configure && make && make install-conf
# ./configure && make && make install-rules
# ./configure && make && make install-full

3. samm: Suricata Basici seadistamine

Pärast Suricata allalaadimist ja installimist on nüüd aeg minna põhiseadistusse. Looge järgmised direktoraadid.

# mkdir /var/log/suricata
# mkdir /etc/suricata

Järgmine osa on kopeerida konfiguratsioonifailid, näiteks “klassifikatsioon.config”, “reference.config” ja “suricata.yaml”, ehituskomplekti põhikataloogist.

# cd /tmp/suricata-1.4.4
# cp classification.config /etc/suricata
# cp reference.config /etc/suricata
# cp suricata.yaml /etc/suricata

Lõpuks käivitage esmakordselt „Suricata Engine“ ja määrake oma eelistatud liideseseadme nimi. Eth0 asemel võite lisada oma eelistuse võrgukaardi.

# suricata -c /etc/suricata/suricata.yaml -i eth0

23/7/2013 -- 12:22:45 -  - This is Suricata version 1.4.4 RELEASE
23/7/2013 -- 12:22:45 -  - CPUs/cores online: 2
23/7/2013 -- 12:22:45 -  - Found an MTU of 1500 for 'eth0'
23/7/2013 -- 12:22:45 -  - allocated 2097152 bytes of memory for the defrag hash... 65536 buckets of size 32
23/7/2013 -- 12:22:45 -  - preallocated 65535 defrag trackers of size 104
23/7/2013 -- 12:22:45 -  - defrag memory usage: 8912792 bytes, maximum: 33554432
23/7/2013 -- 12:22:45 -  - AutoFP mode using default "Active Packets" flow load balancer
23/7/2013 -- 12:22:45 -  - preallocated 1024 packets. Total memory 3170304
23/7/2013 -- 12:22:45 -  - allocated 131072 bytes of memory for the host hash... 4096 buckets of size 32
23/7/2013 -- 12:22:45 -  - preallocated 1000 hosts of size 76
23/7/2013 -- 12:22:45 -  - host memory usage: 207072 bytes, maximum: 16777216
23/7/2013 -- 12:22:45 -  - allocated 2097152 bytes of memory for the flow hash... 65536 buckets of size 32
23/7/2013 -- 12:22:45 -  - preallocated 10000 flows of size 176
23/7/2013 -- 12:22:45 -  - flow memory usage: 3857152 bytes, maximum: 33554432
23/7/2013 -- 12:22:45 -  - IP reputation disabled
23/7/2013 -- 12:22:45 -  - using magic-file /usr/share/file/magic

Mõne minuti pärast kontrollige, kas mootor töötab õigesti, ning võtab vastu ja kontrollib liiklust.

# cd /usr/local/var/log/suricata/
# ls -l

-rw-r--r-- 1 root root  25331 Jul 23 12:27 fast.log
drwxr-xr-x 2 root root   4096 Jul 23 11:34 files
-rw-r--r-- 1 root root  12345 Jul 23 11:37 http.log
-rw-r--r-- 1 root root 650978 Jul 23 12:27 stats.log
-rw-r--r-- 1 root root  22853 Jul 23 11:53 unified2.alert.1374557837
-rw-r--r-- 1 root root   2691 Jul 23 12:09 unified2.alert.1374559711
-rw-r--r-- 1 root root   2143 Jul 23 12:13 unified2.alert.1374559939
-rw-r--r-- 1 root root   6262 Jul 23 12:27 unified2.alert.1374560613

Vaadake faili „stats.log” ja veenduge, et kuvatav teave oleks reaalajas ajakohastatud.

# tail -f stats.log

tcp.reassembly_memuse     | Detect                    | 0
tcp.reassembly_gap        | Detect                    | 0
detect.alert              | Detect                    | 27
flow_mgr.closed_pruned    | FlowManagerThread         | 3
flow_mgr.new_pruned       | FlowManagerThread         | 277
flow_mgr.est_pruned       | FlowManagerThread         | 0
flow.memuse               | FlowManagerThread         | 3870000
flow.spare                | FlowManagerThread         | 10000
flow.emerg_mode_entered   | FlowManagerThread         | 0
flow.emerg_mode_over      | FlowManagerThread         | 0

Viited

Suricata koduleht
Suricata kasutusjuhend