System wykrywania intruzów Suricata

System wykrywania intruzów Suricata | Bezpieczeństwo 2024
System wykrywania intruzów Suricata | Bezpieczeństwo 2024
Suricata jest oparta na systemie Snort IDS, który jest również system wykrywania włamań, Snort widzieliśmy to w innych samouczkach, takich jak:
  • Zapobieganie hakerom i narzędzia zabezpieczające
  • Wzmocnienie bezpieczeństwa serwerów i systemów operacyjnych

Meerkat, który jest zdolny do wielowątkowej analizy, natywnego dekodowania strumieni sieciowych i składania plików strumieni sieciowych podczas wykonywania analizy.

Narzędzie to jest bardzo skalowalne, co oznacza, że ​​może uruchomić kilka instancji i zrównoważyć obciążenie, jeśli posiadamy kilka procesorów, pozwalając na wykorzystanie pełnego potencjału zespołu. Dzięki temu nie mamy problemów ze zużyciem zasobów podczas przeprowadzania analizy.
Najpopularniejsze protokoły są automatycznie rozpoznawane przez Surykatka, tak wiele http, https, ftp, smtp, pop3 i inne, dzięki czemu możemy konfigurować reguły uprawnień i filtrować ruch przychodzący i wychodzący, kontrolujemy również port, przez który uzyskujemy dostęp do każdego protokołu.
Kolejną usługą, którą świadczy, jest identyfikacja Archiwum, Sumy kontrolne MD5 i kontrola skompresowanych plików. Suricata może określić, jakie typy plików są przesyłane lub dostępne w sieci. Jeśli chcemy uzyskać dostęp do pliku, to zadanie sprawi, że Suricata utworzy na dysku plik w formacie metadanych opisującym sytuację i wykonane zadanie. Suma kontrolna MD5 służy do ustalenia, czy plik metadanych, w którym przechowywane są informacje o wykonanych zadaniach, nie został zmodyfikowany.

Zainstaluj Suricatę w naszym systemie operacyjnym


Suricata może być używana na dowolnej platformie Linux, Mac, FreeBSD, UNIX i Windows, możemy ją pobrać z jej oficjalnej strony internetowej lub jeśli mamy Linuksa, aby zainstalować ją z repozytoriów.

Suricatę zainstalujemy w tym samouczku na Linux Mint. Aby zainstalować Suricatę, otwieramy okno terminala i wpisujemy następujące polecenia: 
 sudo add-apt ppa-repository: oisf / meerkat stabilna aktualizacja sudo apt-get sudo apt-get install meerkat
Dzięki temu zostałby zainstalowany.

Skonfiguruj Suricatę na serwerze


Z Linuksa będziemy musieli uzyskać dostęp do terminala w trybie administratora, zaczniemy od utworzenia folderu, w którym będą przechowywane informacje, które Suricata zbierze i zarejestruje. 
 sudo mkdir / var / log / surykatka
Musimy również sprawdzić, czy system znajduje się w folderze etc, w przeciwnym razie tworzymy go: 
 sudo mkdir / etc / surykatka
Będziemy już mieć zainstalowaną Suricatę i System wykrywania włamań i analizator ruchu sieciowego. Na tym etapie nie ma zdefiniowanych reguł do filtrowania, więc musimy stworzyć reguły lub użyć. Emerging Threats, który jest repozytorium reguł i znanych zagrożeń dla Snort i Suricata, coś w rodzaju antywirusowej bazy danych, ale dla włamań, korzystanie z reguł Emerging Threats jest bezpłatne i bezpłatne.
Następnie możemy pobrać pliki reguł z terminala za pomocą następujących poleceń: 
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Następnie musimy rozpakować plik i skopiować go do folderu /etc/suricata 
 tar zxvf emerge.rules.tar.gz cp -r rules / etc / suricata /
Następnie będziemy musieli skonfigurować Silnik analizujący Suricata, przy domyślnej konfiguracji użyje interfejsów sieciowych eth0 z regułami, które zawiera i które definiujemy w pliku podpisy.zasadyAby skonfigurować nowe reguły musimy użyć następującego polecenia: 
 meerkat -c meerkat.yaml -s sygnatury.rules -i eth0
Zasady zostaną skonfigurowane.

Dostępne interfejsy sieciowe


Aby sprawdzić połączenia lub dostępne interfejsy sieciowe, z okna terminala piszemy następujące polecenie: 
 Ifconfig

Teraz możesz zobaczyć, który z nich chcemy skontrolować, znając adres IP każdego z nich i jego nazwę. Aby uruchomić silnik i przypisać interfejs sieciowy, na przykład sieć Wi-Fi, piszemy następujące polecenie: 
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Jeśli chcemy przeprowadzić audyt sieci przewodowej, użyjemy eth0. Aby sprawdzić, czy silnik działa poprawnie i faktycznie wykonuje inspekcje w sieci, musimy użyć następującego polecenia: 
 cd / var / log / suricata tail http.log
Spowoduje to wyświetlenie listy z datą, godziną i adresem internetowym lub adresem IP, z którego uzyskano dostęp i przez który port. Jeśli spojrzymy na pliki statslog, możemy zaobserwować przepływ ruchu i wykryte alerty, musimy odróżnić przeglądane przez nas strony od tych, które są przekierowywane przez reklamy.

 tail -f stats.log
Możemy również pobrać pliki dziennika i otworzyć je za pomocą edytora tekstu lub własnego oprogramowania, aby poprawić czytanie.
Przykładem jest plik Json o nazwie even.json

Tutaj widzimy użyte porty i ip, widzimy, że ip 31.13.85.8 odpowiada Facebookowi, wykrywamy również dostęp do c.live.com, który byłby pocztą w Outlooku.

Zobaczmy kolejny dziennik, w którym wykrywamy dostęp z Google Chrome do witryny Solvetic.com.

Aby nie kontrolować całego ruchu, możemy określić monitor grupy lub konkretnego użytkownika za pomocą następującego polecenia. 
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = księgowość
Musimy pamiętać, że wykonanie zestawów reguł, nawet niewielkich rozmiarów, w celu monitorowania przepływu ruchu HTTP przy użyciu kompletnych repozytoriów zagrożeń i ich zestawu reguł, będzie wymagać w przybliżeniu równoważnego zużycia zasobów procesora i pamięci RAM. Mb na sekundę, chociaż nie ma to dużego wpływu na serwer.

Zasady ignorowania ruchu


W niektórych przypadkach istnieją powody, aby zignorować ruch, którego monitorowaniem nie jesteśmy zainteresowani. Może zaufany host, sieć lub witryna internetowa.
Zobaczymy kilka strategii ignorowania ruchu z surykatkami. Dzięki filtrom przechwytywania możesz powiedzieć Suricacie, co ma śledzić, a czego nie. Na przykład prosty filtr protokołu tcp będzie kontrolować tylko pakiety TCP.
Jeśli niektóre komputery lub sieci mają być ignorowane, nie powinniśmy używać IP1 ani ip/24, aby zignorować wszystkie komputery w sieci.

Zatwierdź paczkę i jej ruch


Zdać zasady z surykatką i ustalimy, że pakiet nie jest filtrowany np. z określonego IP i protokołu TCP wtedy użyjemy następującego polecenia w plikach reguł utworzonych w folderze / etc / suricata / rules 
 Przekaż 192.168.0.1 dowolny dowolny dowolny (msg: "Akceptuj cały ruch z tego adresu IP";)
Aby zobaczyć, które moduły aktywowaliśmy dla Suricata, otworzymy okno terminala, a następnie wpiszemy następujące polecenie: 
 surykatka -- informacje o budowie
Widzieliśmy, jak Surykatka ze swoim Usługa IDS Opierając się na regułach kontroli ruchu w sieci i powiadamiania administratora systemu o wystąpieniu podejrzanych zdarzeń, jest bardzo przydatny, aby w połączeniu z innymi systemami bezpieczeństwa sieci pozwalał chronić nasze dane przed niewłaściwym dostępem.
Suricata ma funkcjonalność i opcje bibliotek, które można dodawać za pomocą wtyczek, które można włączyć jako monitor lub interfejs API w innych aplikacjach.
Ważne jest, aby wiedzieć, które usługi są aktywne i co musimy monitorować, aby nie mieć bardzo długich raportów o usługach lub portach, które nie działają.
Jeśli na przykład serwery są tylko WWW i potrzebują tylko portu 80 dla HTTP, nie ma powodu, aby monitorować usługę SMTP, która służy do wysyłania poczty.Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
wave wave wave wave wave

Popularne Wiadomości

wave
1
post-title
Testowanie JavaScript z Jasmine
2
post-title
Usuń tło lub ramki w ikonach aplikacji Samsung Galaxy M10
3
post-title
Specyficzne SEO dla obrazów w sieci
4
post-title
▷ Polecenie włącza lub wyłącza WiFi Windows 10 CMD
5
post-title
Jak poprawić wydajność programu Outlook i zwolnić zużycie pamięci?

Zalecane

wave
- Sponsored Ad -

Wybór Redakcji

wave
- Sponsored Ad -