Objavljen Suricata 1.4.4 - Sustav za otkrivanje, sprječavanje i nadzor nad napadima na mrežu
Suricata je suvremeni sustav za otkrivanje, prevenciju i nadzor sigurnosnih mjera s otvorenim kodom visokih performansi za Unix/Linux, FreeBSD i Windows sustave. Razvijena je i u vlasništvu je neprofitne zaklade OISF (Open Information Security Foundation).
Nedavno je projektni tim OISF-a najavio izlazak Suricate 1.4.4 s manjim, ali ključnim ažuriranjima i ispravio neke bitne greške u odnosu na prethodno izdanje.
Suricata Značajke
Suricata je mehanizam za otkrivanje i sprječavanje upada zasnovan na pravilima koji koristi vanjski razvijene skupove pravila za nadgledanje mrežnog prometa, kao i sposoban za obradu višestrukog gigabajtnog prometa i daje upozorenja e-poštom administratorima sustava/mreže.
Suricata pruža brzinu i važnost u određivanju mrežnog prometa. Motor je razvijen za primjenu povećane procesorske snage koju nude moderni višejezgreni hardverski setovi čipova.
Stroj ne pruža samo ključne riječi za TCP, UDP, ICMP i IP, već ima i ugrađenu podršku za HTTP, FTP, TLS i SMB. Administrator sustava može stvoriti vlastito pravilo za otkrivanje podudaranja u HTTP toku. Ovo će postati različito otkrivanje i kontrola zlonamjernog softvera.
Stroj će zasigurno prihvatiti pravila koja se podudaraju s IP-om na temelju RBN-a i ugroženih IP-popisa kod novih prijetnji i zadržati ih u određenom pretprocesoru za brzo podudaranje.
Korak: 1 Instaliranje Suricate u RHEL, CentOS i Fedora
Morate koristiti Fedorino spremište EPEL da biste instalirali neke potrebne pakete za sustave i386 i x86_64.
- Omogućite Fedorino spremište EPEL
Prije nego što možete sastaviti i izgraditi Suricata za svoj sustav, instalirajte sljedeće pakete ovisnosti koji su potrebni za daljnju instalaciju. Postupak može potrajati neko vrijeme, ovisno o brzini interneta.
# yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel file file-devel
Dalje, izgradite Suricata s IPS podrškom. Za to nam trebaju paketi „libnfnetlink“ i „libnetfilter_queue“, ali ti unaprijed izgrađeni paketi nisu dostupni u spremištima EPEL ili CentOS Base. Dakle, moramo preuzeti i instalirati rpms iz spremišta Centring Threats CentOS.
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm
Preuzmite najnovije izvorne datoteke Suricata i izradite ih pomoću sljedećih naredbi.
# cd /tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar -xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
Sada koristimo značajku automatskog postavljanja Suricata za automatsko stvaranje svih potrebnih direktorija, konfiguracijskih datoteka i najnovijih skupova pravila.
# ./configure && make && make install-conf # ./configure && make && make install-rules # ./configure && make && make install-full
Korak 2: Instaliranje Suricate u Debian i Ubuntu
Prije nastavka instalacije na sustavu morate imati instalirane sljedeće preduvjete paketa da biste nastavili dalje. Obavezno morate biti root korisnik da biste pokrenuli sljedeću naredbu. Ovaj postupak instalacije može potrajati, ovisno o trenutnoj brzini vašeg interneta.
# apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \ pkg-config magic file libhtp-dev
Prema zadanim postavkama radi kao IDS. Ako želite dodati IDS podršku, instalirajte neke potrebne pakete kako slijedi.
# apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0
Preuzmite najnoviju tar-loptu Suricata i izradite je pomoću sljedećih naredbi.
# cd /tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar -xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
Koristite opciju Suricata Auto Setup za automatsko stvaranje svih potrebnih direktorija, konfiguracijskih datoteka i skupova pravila, kao što je prikazano u nastavku.
# ./configure && make && make install-conf # ./configure && make && make install-rules # ./configure && make && make install-full
Korak 3: Osnovno postavljanje Suricata
Nakon preuzimanja i instaliranja Suricate, sada je vrijeme da prijeđete na Osnovno postavljanje. Stvorite sljedeće direkcije.
# mkdir /var/log/suricata # mkdir /etc/suricata
Sljedeći je dio kopiranje konfiguracijskih datoteka kao što su „klasifikacija.config“, „reference.config“ i „suricata.yaml“ iz instalacijskog direktorija osnovne gradnje.
# cd /tmp/suricata-1.4.4 # cp classification.config /etc/suricata # cp reference.config /etc/suricata # cp suricata.yaml /etc/suricata
Napokon, prvi put pokrenite "Suricata Engine" i navedite naziv uređaja sučelja po vašem izboru. Umjesto eth0, možete uključiti mrežnu karticu koju želite.
# suricata -c /etc/suricata/suricata.yaml -i eth0 23/7/2013 -- 12:22:45 - - This is Suricata version 1.4.4 RELEASE 23/7/2013 -- 12:22:45 - - CPUs/cores online: 2 23/7/2013 -- 12:22:45 - - Found an MTU of 1500 for 'eth0' 23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the defrag hash... 65536 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 65535 defrag trackers of size 104 23/7/2013 -- 12:22:45 - - defrag memory usage: 8912792 bytes, maximum: 33554432 23/7/2013 -- 12:22:45 - - AutoFP mode using default "Active Packets" flow load balancer 23/7/2013 -- 12:22:45 - - preallocated 1024 packets. Total memory 3170304 23/7/2013 -- 12:22:45 - - allocated 131072 bytes of memory for the host hash... 4096 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 1000 hosts of size 76 23/7/2013 -- 12:22:45 - - host memory usage: 207072 bytes, maximum: 16777216 23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the flow hash... 65536 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 10000 flows of size 176 23/7/2013 -- 12:22:45 - - flow memory usage: 3857152 bytes, maximum: 33554432 23/7/2013 -- 12:22:45 - - IP reputation disabled 23/7/2013 -- 12:22:45 - - using magic-file /usr/share/file/magic
Nakon nekoliko minuta kasnije provjerite radi li motor ispravno i prima li i pregledava promet.
# cd /usr/local/var/log/suricata/ # ls -l -rw-r--r-- 1 root root 25331 Jul 23 12:27 fast.log drwxr-xr-x 2 root root 4096 Jul 23 11:34 files -rw-r--r-- 1 root root 12345 Jul 23 11:37 http.log -rw-r--r-- 1 root root 650978 Jul 23 12:27 stats.log -rw-r--r-- 1 root root 22853 Jul 23 11:53 unified2.alert.1374557837 -rw-r--r-- 1 root root 2691 Jul 23 12:09 unified2.alert.1374559711 -rw-r--r-- 1 root root 2143 Jul 23 12:13 unified2.alert.1374559939 -rw-r--r-- 1 root root 6262 Jul 23 12:27 unified2.alert.1374560613
Pogledajte datoteku "stats.log" i provjerite jesu li prikazani podaci ažurirani u stvarnom vremenu.
# tail -f stats.log tcp.reassembly_memuse | Detect | 0 tcp.reassembly_gap | Detect | 0 detect.alert | Detect | 27 flow_mgr.closed_pruned | FlowManagerThread | 3 flow_mgr.new_pruned | FlowManagerThread | 277 flow_mgr.est_pruned | FlowManagerThread | 0 flow.memuse | FlowManagerThread | 3870000 flow.spare | FlowManagerThread | 10000 flow.emerg_mode_entered | FlowManagerThread | 0 flow.emerg_mode_over | FlowManagerThread | 0
Referentni linkovi
Početna stranica Suricata
Korisnički vodič Suricata