Suricata Hırsız Tespit Sistemi

Suricata, Snort IDS sistemine dayanmaktadır, aynı zamanda bir saldırı tespit sistemi, Snort gibi diğer eğitimlerde gördük:
  • Hacker Önleme ve Güvenlik Araçları
  • Sunucuların ve işletim sistemlerinin güvenliğinin güçlendirilmesi

Çok iş parçacıklı analiz, ağ akışlarının yerel olarak kodunu çözme ve analiz gerçekleştirirken ağ akış dosyalarını birleştirme yeteneğine sahip Meerkat.

Bu araç çok ölçeklenebilir, bu, birkaç işlemcimiz varsa, bir takımın tüm potansiyelinin kullanılmasına izin vererek, birkaç örneği çalıştırabileceği ve yükü dengeleyebileceği anlamına gelir. Bu, bir analiz yaparken kaynak tüketimi sorunları yaşamamamızı sağlar.
En yaygın protokoller tarafından otomatik olarak tanınır. mirket, bu kadar http, https, ftp, smtp, pop3 ve diğerleri, böylece gelen ve giden trafiğin izinleri ve filtrelemesi için kuralları yapılandırmamıza izin vererek, her bir protokole erişilen bağlantı noktasını da kontrol ederiz.
Sağladığı bir diğer hizmet ise tanımlamadır. Arşiv, MD5 sağlama toplamları ve sıkıştırılmış dosyaların kontrolü. Suricata, ağda ne tür dosyaların aktarıldığını veya erişildiğini belirleyebilir. Bir dosyaya erişmek istiyorsak, bu görev Suricata'nın durumu ve gerçekleştirilen görevi açıklayan meta veri biçiminde diskte bir dosya oluşturmasını sağlayacaktır. MD5 sağlama toplamı, gerçekleştirilen görevlerle ilgili bilgileri depolayan meta veri dosyasının değiştirilmediğini belirlemek için kullanılır.

Suricata'yı işletim sistemimize kurun


Suricata herhangi bir Linux platformunda, Mac, FreeBSD, UNIX ve Windows'ta kullanılabilir, resmi web sitesinden indirebilir veya Linux'umuz varsa depolardan kurabiliriz.

Bu eğitimde Suricata'yı Linux Mint üzerine kuracağız. Suricata'yı kurmak için bir terminal penceresi açıp aşağıdaki komutları yazıyoruz:
 sudo add-apt ppa-deposu: oisf / meerkat kararlı sudo güncellemesi apt-get sudo apt-get install meerkat
Bununla kurulacaktı.

Suricata'yı bir sunucuda kurun


Linux'tan yönetici modunda terminale erişmemiz gerekecek, Suricata'nın toplayıp kaydedeceği bilgileri depolayacağımız bir klasör oluşturmaya başlayacağız.
 sudo mkdir / var / log / meerkat
Ayrıca sistemin etc klasöründe olduğunu da doğrulamalıyız, aksi takdirde onu oluştururuz:
 sudo mkdir / etc / çöl faresi
Suricata'yı zaten kurmuş olacağız ve Saldırı tespit sistemi ve ağ trafiği analizörü. Bu aşamada filtrelenecek tanımlanmış bir kural yoktur, bu nedenle kurallar oluşturmalı veya kullanmalıyız. Snort ve Suricata için bir kurallar ve bilinen tehditler deposu olan Gelişen Tehditler, bir virüsten koruma veritabanı gibi bir şey ancak izinsiz girişler için Gelişen Tehditler kurallarını kullanmak ücretsiz ve ücretsizdir.
Ardından aşağıdaki komutlarla kural dosyalarını terminalden indirebiliriz:
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Ardından dosyayı açmalı ve / etc / suricata klasörüne kopyalamalıyız.
 tar zxvf ortaya çıkıyor.rules.tar.gz cp -r kuralları / etc / suricata /
Daha sonra yapılandırmamız gerekecek Suricata ayrıştırma motoru, varsayılan konfigürasyonla, içerdiği ve dosyada tanımladığımız kurallarla eth0 ağ arayüzlerini kullanacaktır. imzalar.kurallarYeni kuralları yapılandırmak için aşağıdaki komutu kullanmalıyız:
 meerkat -c meerkat.yaml -s imzalar.rules -i eth0
Kurallar yapılandırılacaktır.

Kullanılabilir ağ arayüzleri


Bağlantıları veya mevcut ağ arayüzlerini kontrol etmek için bir terminal penceresinden aşağıdaki komutu yazıyoruz:
 ifconfig 

Artık her birinin IP'sini ve adını bilerek hangisini denetlemek istediğimizi görebilirsiniz. Motoru çalıştırmak ve örneğin Wi-Fi ağı gibi bir ağ arayüzü atamak için aşağıdaki komutu yazıyoruz:
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Kablolu ağı denetlemek istiyorsak eth0 kullanacağız. Motorun düzgün çalışıp çalışmadığını ve ağ üzerinde gerçekten incelemeler yapıp yapmadığını görmek için aşağıdaki komutu kullanmalıyız:
 cd / var / log / suricata kuyruğu http.log
Bu bize tarih, saat, erişilen web veya IP ve hangi bağlantı noktasından oluşan bir liste gösterecektir. Statslog dosyalarına bakarsak trafik akışını ve algılanan uyarıları gözlemleyebiliriz, gezindiğimiz sayfaları reklam yoluyla yönlendirilen sayfalardan ayırt etmemiz gerekir.

 tail -f istatistikler.log
Ayrıca günlük dosyalarını indirebilir ve okumayı geliştirmek için bir metin düzenleyici veya kendi yazılımımızla açabiliriz.
Bir örnek, bile.json adlı bir Json dosyasıdır.

Burada kullanılan bağlantı noktalarını ve ip 31.13.85.8'in Facebook'a karşılık geldiğini görebiliyoruz, ayrıca Outlook posta ağı olan c.live.com'a bir erişim tespit ediyoruz.

Google Chrome'dan Solvetic.com web sitesine erişimi tespit ettiğimiz başka bir günlüğe bakalım.

Tüm trafiği kontrol etmemek için aşağıdaki komutla bir grubun veya belirli bir kullanıcının monitörünü belirleyebiliriz.
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = muhasebe
Tüm tehdit depolarını ve kural dizisini kullanarak bir HTTP trafiği akışını izlemek için, mütevazı boyutta bile olsa kural kümelerini yürütmenin, 50 trafikte yaklaşık olarak eşdeğer bir CPU ve RAM kaynağı tüketimi gerektireceğini unutmamalıyız. Mb/saniye çok fazla olmasa da bir sunucuyu etkiler.

Trafiği yoksayma kuralları


Bazı durumlarda, izlemekle ilgilenmediğimiz belirli trafiği görmezden gelmek için nedenler vardır. Belki güvenilir bir ana bilgisayar veya ağ veya bir web sitesi.
Göreceğiz meerkat ile trafiği yok saymak için bazı stratejiler. Yakalama filtreleri aracılığıyla Suricata'ya neyi takip edip neyi takip etmeyeceğinizi söyleyebilirsiniz. Örneğin, basit bir tcp protokol filtresi yalnızca TCP paketlerini denetleyecektir.
Bazı bilgisayarların veya ağların yok sayılması gerekiyorsa, bir ağdaki tüm bilgisayarları yok saymak için IP1 veya ip / 24 kullanmamalıyız.

Bir paketi ve trafiğini onaylama


Geçmek mirket ile kurallar ve örneğin belirli bir IP ve TCP protokolünden bir paketin filtrelenmediğini belirleyin, ardından / etc / suricata / kurallar klasöründe oluşturulan kural dosyalarında aşağıdaki komutu kullanacağız.
 192.168.0.1 herhangi birini iletin (msg: "Bu ipten gelen tüm trafiği kabul et";)
Suricata için hangi modülleri etkinleştirdiğimizi görmek için bir terminal penceresi açacağız ve ardından aşağıdaki komutu yazacağız:
 çöl faresi --build-info
Meerkat'ın nasıl olduğunu gördük. IDS hizmeti Ağ trafiğini kontrol etme ve şüpheli olaylar meydana geldiğinde sistem yöneticisine uyarılar sağlama kurallarına dayanarak, diğer ağ güvenlik sistemleriyle birlikte verilerimizi uygunsuz erişime karşı korumamıza izin vermesi açısından çok faydalıdır.
Suricata, diğer uygulamalarda monitör veya API olarak dahil edilecek eklentiler aracılığıyla eklenebilecek işlevsellik ve kitaplık seçeneklerine sahiptir.
Önemli bir şey, hangi hizmetlerin aktif olduğunu ve çok uzun hizmet veya çalışmayan liman raporları almamak için neleri izlememiz gerektiğini bilmektir.
Örneğin sunucular yalnızca web ise ve HTTP için yalnızca 80 numaralı bağlantı noktasına ihtiyaç duyuyorsa, posta göndermek için SMTP hizmetini izlemek için hiçbir neden yoktur.Bu Eğitimi beğendiniz ve yardım ettiniz mi?Yazara olumlu puan vermek için bu düğmeye basarak yazarı ödüllendirebilirsiniz.
wave wave wave wave wave