Suricata 1.4.4 julkaistu - verkon tunkeutumisen havaitsemis-, ehkäisy- ja suojausvalvontajärjestelmä
Suricata on avoimen lähdekoodin korkean suorituskyvyn nykyaikainen verkon tunkeutumisen havaitsemis-, ehkäisy- ja tietoturvajärjestelmä Unix/Linux-, FreeBSD- ja Windows-pohjaisiin järjestelmiin. Sen kehitti ja omisti voittoa tavoittelematon säätiö OISF (Open Information Security Foundation).
Äskettäin OISF-projektitiimi ilmoitti julkaisevansa Suricata 1.4.4: n pienillä, mutta ratkaisevilla päivityksillä ja korjannut joitain olennaisia virheitä edelliseen julkaisuun nähden.
Suricatan ominaisuudet
Suricata on sääntöihin perustuva tunkeutumisen havaitsemis- ja estämismoottori, joka käyttää ulkoisesti kehitettyjä sääntöjoukkoja verkkoliikenteen seuraamiseen, pystyy käsittelemään useita gigatavuja liikennettä ja antaa sähköpostihälytyksiä järjestelmän/verkon järjestelmänvalvojille.
Suricata tarjoaa nopeuden ja tärkeyden verkkoliikenteen määrittämisessä. Moottori on kehitetty soveltamaan lisääntynyttä prosessointitehoa, jota tarjoavat nykyaikaiset moniytimiset laitteistopiirisarjat.
Moottori tarjoaa paitsi avainsanoja TCP: lle, UDP: lle, ICMP: lle ja IP: lle, mutta sillä on myös sisäänrakennettu tuki HTTP: lle, FTP: lle, TLS: lle ja SMB: lle. Järjestelmänvalvoja pystyy luomaan oman säännön havaitsemaan ottelun HTTP-virrassa. Tästä tulee erilainen haittaohjelmien tunnistus ja hallinta.
Moottori ottaa varmasti käyttöön säännöt, jotka ovat IP-otteluita, jotka perustuvat RBN: ään ja vaarantuneisiin IP-luetteloihin Emerging Threatissa, ja pitää ne erityisessä nopeasti vastaavassa esiprosessorissa.
Vaihe: 1 Asenna Suricata RHEL: ään, CentOSiin ja Fedoraan
Sinun on käytettävä Fedoran EPEL-tietovarastoa asentaaksesi joitain tarvittavia paketteja i386- ja x86_64-järjestelmille.
- Ota Fedoran EPEL-arkisto käyttöön
Ennen kuin voit kääntää ja rakentaa Suricataa järjestelmääsi, asenna seuraavat riippuvuuspaketit, joita tarvitaan jatkoasennusta varten. Prosessi saattaa kestää jonkin aikaa, riippuen Internet-nopeudesta.
# yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel file file-devel
Seuraavaksi rakenna Suricata IPS-tuella. Tätä varten tarvitsemme paketteja libnfnetlink ja libnetfilter_queue, mutta näitä valmiita paketteja ei ole saatavana EPEL- tai CentOS Base -tietovarastoissa. Joten meidän on ladattava ja asennettava rpms Emerging Threats CentOS -tietovarastosta.
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm
Lataa viimeisimmät Suricata-lähdetiedostot ja rakenna se seuraavilla komennoilla.
# cd /tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar -xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
Nyt käytämme Suricata Auto Setup -ominaisuutta luomaan kaikki tarvittavat hakemistot, määritystiedostot ja uusimmat sääntöjoukot.
# ./configure && make && make install-conf # ./configure && make && make install-rules # ./configure && make && make install-full
Vaihe 2: Suricatan asentaminen Debianiin ja Ubuntuun
Ennen asennuksen aloittamista järjestelmään on asennettava seuraavat ennakkoedellytyspaketit, jotta voit jatkaa. Varmista, että sinun on oltava root-käyttäjä, jotta seuraava komento voidaan suorittaa. Tämä asennusprosessi voi viedä jonkin aikaa Internetin nykyisestä nopeudesta riippuen.
# apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \ pkg-config magic file libhtp-dev
Toimii oletusarvoisesti IDS: nä. Jos haluat lisätä IDS-tuen, asenna joitain tarvittavia paketteja seuraavasti.
# apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0
Lataa viimeisin Suricata-tervapallo ja rakenna se seuraavilla komennoilla.
# cd /tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar -xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
Käytä Suricata Auto Setup -vaihtoehtoa luodaksesi kaikki tarvittavat hakemistot, määritystiedostot ja sääntöjoukot automaattisesti alla olevan kuvan mukaisesti.
# ./configure && make && make install-conf # ./configure && make && make install-rules # ./configure && make && make install-full
Vaihe 3: Suricata Basic Setup
Kun olet ladannut ja asentanut Suricatan, on aika siirtyä Perusasetuksiin. Luo seuraavat osastot.
# mkdir /var/log/suricata # mkdir /etc/suricata
Seuraava osa on kopioida kokoonpanotiedostot, kuten “luokittelu.config”, “reference.config” ja “suricata.yaml” perusrakennuksen asennushakemistosta.
# cd /tmp/suricata-1.4.4 # cp classification.config /etc/suricata # cp reference.config /etc/suricata # cp suricata.yaml /etc/suricata
Käynnistä lopuksi "Suricata Engine" ensimmäisen kerran ja määritä haluamasi käyttöliittymän nimi. Et0: n sijaan voit sisällyttää haluamasi verkkokortin.
# suricata -c /etc/suricata/suricata.yaml -i eth0 23/7/2013 -- 12:22:45 - - This is Suricata version 1.4.4 RELEASE 23/7/2013 -- 12:22:45 - - CPUs/cores online: 2 23/7/2013 -- 12:22:45 - - Found an MTU of 1500 for 'eth0' 23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the defrag hash... 65536 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 65535 defrag trackers of size 104 23/7/2013 -- 12:22:45 - - defrag memory usage: 8912792 bytes, maximum: 33554432 23/7/2013 -- 12:22:45 - - AutoFP mode using default "Active Packets" flow load balancer 23/7/2013 -- 12:22:45 - - preallocated 1024 packets. Total memory 3170304 23/7/2013 -- 12:22:45 - - allocated 131072 bytes of memory for the host hash... 4096 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 1000 hosts of size 76 23/7/2013 -- 12:22:45 - - host memory usage: 207072 bytes, maximum: 16777216 23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the flow hash... 65536 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 10000 flows of size 176 23/7/2013 -- 12:22:45 - - flow memory usage: 3857152 bytes, maximum: 33554432 23/7/2013 -- 12:22:45 - - IP reputation disabled 23/7/2013 -- 12:22:45 - - using magic-file /usr/share/file/magic
Muutaman minuutin kuluttua tarkista, että moottori toimii oikein, ja vastaanottaa ja tarkastaa liikenteen.
# cd /usr/local/var/log/suricata/ # ls -l -rw-r--r-- 1 root root 25331 Jul 23 12:27 fast.log drwxr-xr-x 2 root root 4096 Jul 23 11:34 files -rw-r--r-- 1 root root 12345 Jul 23 11:37 http.log -rw-r--r-- 1 root root 650978 Jul 23 12:27 stats.log -rw-r--r-- 1 root root 22853 Jul 23 11:53 unified2.alert.1374557837 -rw-r--r-- 1 root root 2691 Jul 23 12:09 unified2.alert.1374559711 -rw-r--r-- 1 root root 2143 Jul 23 12:13 unified2.alert.1374559939 -rw-r--r-- 1 root root 6262 Jul 23 12:27 unified2.alert.1374560613
Katso “stats.log” -tiedosto ja varmista, että näytetyt tiedot ovat ajan tasalla reaaliajassa.
# tail -f stats.log tcp.reassembly_memuse | Detect | 0 tcp.reassembly_gap | Detect | 0 detect.alert | Detect | 27 flow_mgr.closed_pruned | FlowManagerThread | 3 flow_mgr.new_pruned | FlowManagerThread | 277 flow_mgr.est_pruned | FlowManagerThread | 0 flow.memuse | FlowManagerThread | 3870000 flow.spare | FlowManagerThread | 10000 flow.emerg_mode_entered | FlowManagerThread | 0 flow.emerg_mode_over | FlowManagerThread | 0
Viitelinkit
Suricatan kotisivu
Suricatan käyttöopas