Suricata Intruder Detection System

Suricata je založen na systému Snort IDS, což je také a systém detekce vniknutí„Snort, viděli jsme to v jiných tutoriálech, jako jsou:
  • Nástroje pro prevenci a zabezpečení hackerů
  • Posílení zabezpečení serverů a operačních systémů

Surikata, která je schopná vícevláknové analýzy, nativně dekódovat síťové toky a shromažďovat soubory síťových proudů při provádění analýzy.

Tento nástroj je velmi škálovatelný, což znamená, že může spustit několik instancí a vyrovnat zátěž, pokud máme několik procesorů, což umožňuje využití plného potenciálu týmu. To nám umožňuje, abychom při provádění analýzy neměli problémy se spotřebou zdrojů.
Nejběžnější protokoly jsou automaticky rozpoznány pomocí Surikata, tak moc http, https, ftp, smtp, pop3 a další, což nám umožňuje konfigurovat pravidla pro oprávnění a filtrování příchozího a odchozího provozu, také kontrolujeme port, přes který je přistupováno ke každému protokolu.
Další službou, kterou poskytuje, je identifikace Archiv, Kontrolní součty MD5 a ovládání komprimovaných souborů. Suricata dokáže určit, jaké typy souborů se přenášejí nebo k nim se přistupuje v síti. Chceme -li získat přístup k souboru, Suricata vytvoří soubor na disku ve formátu metadat, který popisuje situaci a provedený úkol. Kontrolní součet MD5 slouží k určení, že soubor metadat, který ukládá informace o provedených úlohách, nebyl upraven.

Nainstalujte Suricata do našeho operačního systému


Suricata může být použita na jakékoli platformě Linux, Mac, FreeBSD, UNIX a Windows, můžeme ji stáhnout z jejích oficiálních webových stránek nebo pokud máme Linux k instalaci z úložišť.

Nainstalujeme Suricatu v tomto tutoriálu na Linux Mint. Chcete -li nainstalovat Suricatu, otevřete okno terminálu a zadejte následující příkazy:
 sudo add-apt ppa-repository: oisf / meerkat stabilní sudo update apt-get sudo apt-get install meerkat
S tím by to bylo nainstalováno.

Nastavte Suricata na serveru


Z Linuxu budeme muset přistupovat k terminálu v režimu správce, začneme vytvořením složky, kam se budou ukládat informace, které Suricata shromažďuje a registruje.
 sudo mkdir / var / log / surikata
Musíme také ověřit, že je systém ve složce etc, jinak jej vytvoříme:
 sudo mkdir / etc / meerkat
Suricata již budeme mít nainstalovanou a Systém detekce vniknutí a analyzátor síťového provozu. V této fázi neexistují žádná definovaná pravidla k filtrování, takže musíme vytvořit pravidla nebo použít. Emerging Threats, což je úložiště pravidel a známých hrozeb pro Snort a Suricata, něco jako antivirová databáze, ale pro vniknutí je používání pravidel Emerging Threats zdarma a zdarma.
Potom můžeme stáhnout soubory pravidel z terminálu pomocí následujících příkazů:
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Poté musíme soubor rozbalit a zkopírovat do složky / etc / suricata
 tar zxvf emerging.rules.tar.gz cp -r pravidla / etc / suricata /
Dále budeme muset nakonfigurovat Analyzátor motoru Suricata, s výchozí konfigurací bude používat síťová rozhraní eth0 s pravidly, která obsahuje a definujeme v souboru podpisy. pravidlaKe konfiguraci nových pravidel musíme použít následující příkaz:
 surikata -c surikata.yaml -s podpisy. pravidla -i eth0
Pravidla budou nakonfigurována.

Dostupná síťová rozhraní


Chcete -li zkontrolovat připojení nebo dostupná síťová rozhraní, z okna terminálu napíšeme následující příkaz:
 Ifconfig 

Nyní můžete vidět, který z nich chceme auditovat, s vědomím IP každého z nich a jeho názvu. Chcete-li spustit motor a přiřadit síťové rozhraní, například síť Wi-Fi, napíšeme následující příkaz:
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Pokud chceme auditovat kabelovou síť, použijeme eth0. Abychom zjistili, zda motor funguje správně a ve skutečnosti provádí inspekce v síti, musíme použít následující příkaz:
 cd / var / log / suricata tail http.log
Tím se nám zobrazí seznam s datem, časem a webem nebo IP, ke které bylo přistupováno a přes který port. Pokud se podíváme na soubory statistik, můžeme sledovat tok provozu a detekovaná upozornění, musíme odlišit stránky, které procházíme, od těch, které jsou přesměrovány prostřednictvím reklamy.

 tail -f stats.log
Můžeme také stáhnout soubory protokolu a otevřít je pomocí textového editoru nebo vlastního softwaru, abychom zlepšili čtení.
Příkladem je soubor Json s názvem even.json

Zde vidíme použité porty a IP vidíme, že ip 31.13.85.8 odpovídá Facebooku, dále zjišťujeme přístup na c.live.com, což by byl web pošty Outlook.

Podívejme se na další protokol, kde zjišťujeme přístup z Google Chrome na web Solvetic.com.

Abychom nekontrolovali veškerý provoz, můžeme pomocí následujícího příkazu určit monitor skupiny nebo konkrétního uživatele.
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = účetní
Musíme mít na paměti, že provádění sad pravidel, a to i skromných, k monitorování toku provozu HTTP pomocí kompletních úložišť hrozeb a jeho sady pravidel bude vyžadovat přibližně ekvivalentní spotřebu prostředků CPU a RAM. Při provozu 50 Mb za sekundu, i když to nemá velký vliv na server.

Pravidla pro ignorování provozu


V některých případech existují důvody k ignorování určitého provozu, který nemáme zájem sledovat. Možná důvěryhodný hostitel nebo síť nebo web.
Uvidíme některé strategie k ignorování provozu se surikaty. Prostřednictvím zachytávacích filtrů můžete Suricatě říci, co má dodržovat a co ne. Například jednoduchý filtr protokolu tcp bude auditovat pouze pakety TCP.
Pokud by měly být některé počítače nebo sítě ignorovány, měli bychom k ignorování všech počítačů v síti použít nikoli IP1 nebo ip / 24.

Schválit balíček a jeho provoz


Projít vládne surikata a určíme, že paket není filtrován například z určité IP a protokolu TCP, pak použijeme následující příkaz v souborech pravidel vytvořených ve složce / etc / suricata / rules
 Předejte 192.168.0.1 libovolný jakýkoli (zpráva: „Přijmout veškerý provoz z této IP“;)
Chcete -li zjistit, které moduly jsme aktivovali pro Suricata, otevřeme okno terminálu a poté zadáme následující příkaz:
 surikata-stavba-informace
Viděli jsme, jak Meerkat s ním Služba IDS Na základě pravidel pro řízení síťového provozu a poskytování upozornění správci systému v případě podezřelých událostí je velmi užitečné, že nám spolu s dalšími systémy zabezpečení sítě umožňuje chránit naše data před nevhodným přístupem.
Suricata má funkce a možnosti knihovny, které lze přidat prostřednictvím pluginů a začlenit je jako monitor nebo API do jiných aplikací.
Něco důležitého je vědět, jaké služby jsou aktivní a co musíme sledovat, abychom neměli velmi dlouhé zprávy o službách nebo portech, které nefungují.
Pokud jsou například servery pouze webové a pro HTTP potřebují pouze port 80, není důvod sledovat službu SMTP, která slouží k odesílání pošty.Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod
wave wave wave wave wave