Система за откриване на нарушители в Суриката

Suricata се основава на системата Snort IDS, което също е a система за откриване на проникване, Snort, виждали сме го в други уроци като:
  • Инструменти за предотвратяване и сигурност на хакери
  • Укрепване на сигурността на сървърите и операционните системи

Meerkat, който е способен на многопоточен анализ, първоначално декодиране на мрежови потоци и сглобяване на файлове на мрежови потоци, докато извършва анализ.

Този инструмент е много мащабируем, това означава, че може да изпълнява няколко екземпляра и да балансира натоварването, ако имаме няколко процесора, което позволява използването на пълния потенциал на екип. Това ни позволява да нямаме проблеми с потреблението на ресурси, докато провеждаме анализ.
Най -често срещаните протоколи се разпознават автоматично от Сурикат, толкова много http, https, ftp, smtp, pop3 и други, като по този начин ни позволява да конфигурираме правила за разрешения и филтриране на входящ и изходящ трафик, ние също контролираме порта, през който се осъществява достъп до всеки протокол.
Друга услуга, която предоставя, е идентификация Архив, MD5 контролни суми и контрол на компресирани файлове. Suricata може да идентифицира какви видове файлове се прехвърлят или имат достъп до тях в мрежата. Ако искаме достъп до файл, тази задача ще накара Suricata да създаде файл на диск с формат метаданни, който описва ситуацията и изпълнената задача. Контролната сума MD5 се използва за определяне, че файлът с метаданни, който съхранява информацията за изпълнените задачи, не е променен.

Инсталирайте Suricata в нашата операционна система


Suricata може да се използва на всяка Linux платформа, Mac, FreeBSD, UNIX и Windows, можем да я изтеглим от официалния й уебсайт или ако имаме Linux, за да я инсталираме от хранилищата.

Ще инсталираме Suricata в този урок за Linux Mint. За да инсталираме Suricata, отваряме терминален прозорец и въвеждаме следните команди:
 sudo add-apt ppa-repository: oisf / meerkat стабилна актуализация на sudo apt-get sudo apt-get инсталиране на meerkat
С това ще бъде инсталиран.

Настройте Suricata на сървър


От Linux ще трябва да получим достъп до терминала в администраторски режим, ще започнем със създаването на папка, където да се съхранява информацията, която Suricata ще събира и регистрира.
 sudo mkdir / var / log / meerkat
Трябва също да проверим дали системата е в папката etc, в противен случай я създаваме:
 sudo mkdir / etc / meerkat
Вече ще имаме инсталирана Suricata и Система за откриване на проникване и анализатор на мрежовия трафик. На този етап няма дефинирани правила за филтриране, така че трябва да създадем правила или да ги използваме. Emerging Threats, което е хранилище на правила и известни заплахи за Snort и Suricata, нещо като антивирусна база данни, но за прониквания, използването на правилата за Emerging Threats е безплатно и безплатно.
След това можем да изтеглим файлове с правила от терминала със следните команди:
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
След това трябва да разархивираме файла и да го копираме в папката / etc / suricata
 tar zxvf emerging.rules.tar.gz cp -r правила / etc / suricata /
След това ще трябва да конфигурираме Двигател за разбор на Suricata, с конфигурацията по подразбиране ще използва мрежовите интерфейси eth0 с правила, които съдържа и ние дефинираме във файла подписи.правилаЗа да конфигурираме нови правила, трябва да използваме следната команда:
 meerkat -c meerkat.yaml -s подписи.rules -i eth0
Правилата ще бъдат конфигурирани.

Налични мрежови интерфейси


За да проверим връзките или наличните мрежови интерфейси, от терминален прозорец пишем следната команда:
 Ifconfig 

Сега можете да видите кой искаме да одитираме, като знаем IP на всеки от тях и неговото име. За да стартираме двигателя и да зададем мрежов интерфейс, например Wi-Fi мрежата, пишем следната команда:
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Ако искаме да одитираме кабелната мрежа, ще използваме eth0. За да видим дали двигателят работи правилно и действително извършва проверки в мрежата, трябва да използваме следната команда:
 cd / var / log / suricata опашка http.log
Това ще ни покаже списък с датата, часа и мрежата или IP, до които се осъществява достъп и през кой порт. Ако разгледаме файловете със статистически данни, можем да наблюдаваме потока на трафика и откритите сигнали, трябва да различим страниците, които разглеждаме, от тези, които са пренасочени чрез реклама.

 tail -f stats.log
Също така можем да изтеглим лог файловете и да ги отворим с текстов редактор или собствен софтуер, за да подобрим четенето.
Пример за това е Json файл с име even.json

Тук можем да видим използваните портове и ip, можем да видим, че ip 31.13.85.8 съответства на Facebook, също така откриваме достъп до c.live.com, който би бил пощенската мрежа на Outlook.

Нека видим друг дневник, в който откриваме достъп от Google Chrome до уебсайта Solvetic.com.

За да не контролираме целия трафик, можем да определим монитора на група или на конкретен потребител със следната команда.
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = счетоводство
Трябва да имаме предвид, че изпълнението на набори от правила, дори със скромен размер, за да се наблюдава поток от HTTP трафик, като се използват пълните хранилища на заплахи и неговият набор от правила ще изисква приблизително еквивалентно потребление на ресурси на процесора и RAM. При трафик от 50 Mb в секунда, въпреки че не влияе много на сървъра.

Правила за игнориране на трафика


В някои случаи има причини да игнорираме определен трафик, който не се интересуваме от наблюдение. Може би надежден хост или мрежа или уебсайт.
Ще видим някои стратегии за игнориране на трафика със сурикат. Чрез филтрите за улавяне можете да кажете на Суриката какво да следва и какво да не следва. Например, прост филтър за протокол tcp ще одитира само TCP пакети.
Ако някои компютри или мрежи трябва да бъдат игнорирани, трябва да използваме не IP1 или ip / 24, за да игнорираме всички компютри в мрежа.

Одобрете пакет и неговия трафик


Да мина правила със сурикат и да определим, че пакет не е филтриран например от определен IP и TCP протокол, тогава ще използваме следната команда във файловете с правила, установени в папката / etc / suricata / rules
 Предайте 192.168.0.1 всеки произволен (msg: "Приемете целия трафик от този ip";)
За да видим кои модули сме активирали за Suricata, ще отворим терминален прозорец и след това въведем следната команда:
 meerkat --build-info
Видяхме как Meerkat с него IDS услуга Въз основа на правила за контрол на мрежовия трафик и подаване на сигнали до системния администратор при възникване на подозрителни събития, това е много полезно, така че, придружено от други мрежови системи за сигурност, ни позволява да защитим данните си от неправилен достъп.
Suricata има функционалността и библиотечните опции, които могат да се добавят чрез плъгини, за да бъдат включени като монитор или API в други приложения.
Нещо важно е да знаем кои услуги са активни и какво трябва да следим, за да нямаме много дълги отчети за услуги или портове, които не работят.
Ако например сървърите са само уеб и се нуждаят само от порт 80 за HTTP, няма причина да се следи SMTP услугата, която е за изпращане на поща.Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка
wave wave wave wave wave