Satura rādītājs
Suricata pamatā ir Snort IDS sistēma, kas arī ir a ielaušanās atklāšanas sistēma, Snort mēs to esam redzējuši citās apmācībās, piemēram:
- Hakeru novēršanas un drošības rīki
- Serveru un operētājsistēmu drošības stiprināšana
Surikats, kas spēj veikt vairāku pavedienu analīzi, sākotnēji dekodēt tīkla straumes un apkopot tīkla straumes failus, veicot analīzi.
Visizplatītākos protokolus automātiski atpazīst Surikats, tik daudz http, https, ftp, smtp, pop3 un citi, tādējādi ļaujot mums konfigurēt ienākošās un izejošās trafika atļauju un filtrēšanas noteikumus, mēs arī kontrolējam portu, caur kuru tiek piekļūts katram protokolam.
Vēl viens pakalpojums, ko tas sniedz, ir identifikācija Arhīvs, MD5 kontrolsummas un saspiestu failu kontrole. Suricata var noteikt, kāda veida faili tiek pārsūtīti vai tiem piekļūst tīklā. Ja mēs vēlamies piekļūt failam, šis uzdevums liks Suricata izveidot diskā failu ar metadatu formātu, kas apraksta situāciju un veikto uzdevumu. MD5 kontrolsumma tiek izmantota, lai noteiktu, vai nav mainīts metadatu fails, kurā tiek glabāta informācija par veiktajiem uzdevumiem.
Instalējiet Suricata mūsu operētājsistēmā
Suricata var izmantot jebkurā Linux platformā, Mac, FreeBSD, UNIX un Windows, mēs varam to lejupielādēt no tās oficiālās vietnes vai, ja mums ir Linux, lai to instalētu no krātuvēm.
sudo add-apt ppa-repozitorijs: oisf / meerkat stabils sudo atjauninājums apt-get sudo apt-get instalēt surikātuAr šo tas būtu instalēts.
Iestatiet Suricata serverī
No Linux mums būs jāpiekļūst terminālim administratora režīmā, mēs sāksim ar mapes izveidi, kurā saglabāt informāciju, ko Suricata apkopos un reģistrēs.
sudo mkdir / var / log / surikātsMums arī jāpārbauda, vai sistēma atrodas mapē etc, pretējā gadījumā mēs to izveidojam:
sudo mkdir / etc / meerkatMums jau būs instalēta Suricata un Ielaušanās atklāšanas sistēma un tīkla trafika analizators. Šajā posmā nav definētu noteikumu, ko filtrēt, tāpēc mums ir jāizveido noteikumi vai jāizmanto. Emerging Threats, kas ir noteikumu un zināmo draudu krātuve Snort un Suricata, kaut kas līdzīgs pretvīrusu datu bāzei, bet ielaušanās nolūkos, Emerging Threats noteikumu izmantošana ir bezmaksas un bezmaksas.
Tad mēs varam lejupielādēt noteikumu failus no termināļa ar šādām komandām:
wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gzPēc tam mums ir jāizpako fails un jāpārkopē mapē / etc / suricata
tar zxvf emerging.rules.tar.gz cp -r noteikumi / etc / suricata /Tālāk mums būs jākonfigurē Suricata parsēšanas dzinējs, ar noklusējuma konfigurāciju tas izmantos tīkla saskarnes eth0 ar tajā ietvertajiem noteikumiem, kurus mēs definējam failā paraksti.noteikumiLai konfigurētu jaunus noteikumus, mums jāizmanto šāda komanda:
surikāts -c surikāts.yaml -s paraksti.noteikumi -i eth0Noteikumi tiks konfigurēti.
Pieejamās tīkla saskarnes
Lai pārbaudītu savienojumus vai pieejamās tīkla saskarnes, no termināļa loga mēs rakstām šādu komandu:
Ifconfig
sudo suricata -c /etc/suricata/suricata.yaml -i wlan0Ja mēs vēlamies pārbaudīt vadu tīklu, mēs izmantosim eth0. Lai redzētu, vai dzinējs darbojas pareizi un faktiski veic pārbaudes tīklā, mums jāizmanto šāda komanda:
cd / var / log / suricata tail http.logTas mums parādīs sarakstu ar datumu, laiku un tīmekli vai IP, kuram tika piekļūts un caur kuru portu. Ja mēs skatāmies uz statistikas žurnālu failiem, mēs varam novērot satiksmes plūsmu un konstatētos brīdinājumus, mums ir jānošķir pārlūkotās lapas no tām, kuras tiek novirzītas, izmantojot reklāmu.
aste -f statistika.logMēs varam arī lejupielādēt žurnāla failus un atvērt tos ar teksta redaktoru vai savu programmatūru, lai uzlabotu lasīšanu.
Piemērs ir Json fails, kura nosaukums ir even.json
sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 -lietotājs = jose01 -grupa = grāmatvedībaMums jāpatur prātā, ka, izpildot noteikumu kopas, pat neliela izmēra, lai uzraudzītu HTTP trafika plūsmu, izmantojot visas draudu krātuves un tās noteikumu kopumu, būs nepieciešams aptuveni līdzvērtīgs CPU un RAM resursu patēriņš. Mb sekundē, lai gan tas nav daudz, lai ietekmētu serveri.
Noteikumi satiksmes ignorēšanai
Dažos gadījumos ir iemesls ignorēt noteiktu datplūsmu, kuras uzraudzība mūs neinteresē. Varbūt uzticams resursdators vai tīkls vai vietne.
Mēs redzēsim dažas stratēģijas, lai ignorētu satiksmi ar surikātu. Izmantojot uztveršanas filtrus, jūs varat pateikt Suricata, kas jāievēro un kas nav. Piemēram, vienkāršs tcp protokola filtrs revidēs tikai TCP paketes.
Ja dažus datorus vai tīklus vajadzētu ignorēt, mums nevajadzētu izmantot IP1 vai ip / 24, lai ignorētu visus tīkla datorus.
Apstipriniet paku un tās trafiku
Nokārtot noteikumi ar surikātu un nosakiet, ka pakete netiek filtrēta, piemēram, no noteikta IP un TCP protokola, tad mēs izmantosim šādu komandu noteikumu failos, kas izveidoti mapē / etc / suricata / rules
Iziet 192.168.0.1 jebkuru (msg: "Pieņemt visu datplūsmu no šī ip";)Lai redzētu, kurus moduļus esam aktivizējuši Suricata, mēs atvērsim termināļa logu un pēc tam ierakstīsim šādu komandu:
surikāts-celtniecības informācijaMēs esam redzējuši, kā Surikāts ar savu IDS pakalpojums Pamatojoties uz noteikumiem, lai kontrolētu tīkla trafiku un sniegtu brīdinājumus sistēmas administratoram, ja notiek aizdomīgi notikumi, tas ir ļoti noderīgi, lai tas kopā ar citām tīkla drošības sistēmām ļautu mums aizsargāt savus datus no nepareizas piekļuves.
Suricata ir funkcionalitātes un bibliotēkas opcijas, kuras var pievienot, izmantojot spraudņus, lai tos iekļautu kā monitoru vai API citās lietojumprogrammās.
Svarīgi ir zināt, kādi pakalpojumi ir aktīvi un kas mums jāuzrauga, lai nebūtu ļoti garu ziņojumu par pakalpojumiem vai ostām, kas nedarbojas.
Ja, piemēram, serveri ir tikai tīmeklī un HTTP ir nepieciešams tikai 80. ports, nav iemesla uzraudzīt SMTP pakalpojumu, kas paredzēts pasta sūtīšanai.Vai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu
