„Suricata“ įsibrovėlių aptikimo sistema

„Suricata“ įsibrovėlių aptikimo sistema | Saugumas 2024
„Suricata“ įsibrovėlių aptikimo sistema | Saugumas 2024
„Suricata“ yra pagrįsta „Snort IDS“ sistema, kuris taip pat yra a įsilaužimo aptikimo sistema, Snort mes tai matėme kitose pamokose, tokiose kaip:
  • Įsilaužėlių prevencijos ir saugumo priemonės
  • Griežtesnis serverių ir operacinių sistemų saugumas

Surikatas, galintis atlikti kelių gijų analizę, iš pradžių dekoduoti tinklo srautus ir surinkti tinklo srauto failus atliekant analizę.

Šis įrankis yra labai keičiamo dydžio, tai reiškia, kad jis gali paleisti kelis egzempliorius ir subalansuoti apkrovą, jei turime kelis procesorius, o tai leidžia išnaudoti visą komandos potencialą. Tai leidžia mums neturėti išteklių vartojimo problemų, kol atliekame analizę.
Dažniausius protokolus automatiškai atpažįsta Surikatas, tiek daug http, https, ftp, smtp, pop3 ir kt, taip leisdami mums sukonfigūruoti įeinančio ir išeinančio srauto leidimų ir filtravimo taisykles, taip pat kontroliuojame prievadą, per kurį pasiekiamas kiekvienas protokolas.
Kita jo teikiama paslauga yra identifikavimas Archyvas, MD5 kontrolinės sumos ir suspaustų failų valdymas. „Suricata“ gali nustatyti, kokio tipo failai perkeliami ar pasiekiami tinkle. Jei norime pasiekti failą, ši užduotis privers Suricata diske sukurti failą su metaduomenų formatu, apibūdinančiu situaciją ir atliktą užduotį. MD5 kontrolinė suma naudojama norint nustatyti, ar metaduomenų failas, kuriame saugoma informacija apie atliktas užduotis, nebuvo pakeistas.

Įdiekite „Suricata“ į mūsų operacinę sistemą


„Suricata“ galima naudoti bet kurioje „Linux“ platformoje, „Mac“, „FreeBSD“, „UNIX“ ir „Windows“, ją galime atsisiųsti iš oficialios svetainės arba, jei turime „Linux“, kad ją įdiegtume iš saugyklų.

Šiame vadove „Linux Mint“ įdiegsime „Suricata“. Norėdami įdiegti „Suricata“, atidarome terminalo langą ir įvedame šias komandas: 
 sudo add-apt ppa-saugykla: oisf / meerkat stabilus sudo atnaujinimas apt-get sudo apt-get install meerkat
Su šiuo jis būtų įdiegtas.

Nustatykite „Suricata“ serveryje


Iš „Linux“ turėsime pasiekti terminalą administratoriaus režimu, pradėsime nuo aplanko, kuriame bus saugoma informacija, kurią surinks ir užregistruos, sukūrimo. 
 sudo mkdir / var / log / meerkat
Mes taip pat turime patikrinti, ar sistema yra aplanke ir tt, kitaip sukuriame: 
 sudo mkdir / etc / meerkat
Mes jau turėsime įdiegtą „Suricata“ ir Įsibrovimo aptikimo sistema ir tinklo srauto analizatorius. Šiame etape nėra apibrėžtų taisyklių, kurias reikia filtruoti, todėl turime sukurti taisykles arba jas naudoti. „Emerging Threats“, kuri yra taisyklių ir žinomų grėsmių saugykla „Snort“ ir „Suricata“, kažkas panašaus į antivirusinę duomenų bazę, bet įsibrovimams, „Emerging Threats“ taisyklių naudojimas yra nemokamas ir nemokamas.
Tada mes galime atsisiųsti taisyklių failus iš terminalo naudodami šias komandas: 
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Tada turime išpakuoti failą ir nukopijuoti jį į aplanką / etc / suricata 
 tar zxvf emerging.rules.tar.gz cp -r taisyklės / etc / suricata /
Toliau turėsime sukonfigūruoti „Suricata“ analizavimo variklis, naudojant numatytąją konfigūraciją, ji naudos tinklo sąsajas eth0 su joje esančiomis taisyklėmis, kurias mes nustatome faile parašai. taisyklėsNorėdami sukonfigūruoti naujas taisykles, turime naudoti šią komandą: 
 surikatas -c surikatas.yaml -s parašai. taisyklės -i eth0
Taisyklės bus sukonfigūruotos.

Galimos tinklo sąsajos


Norėdami patikrinti ryšius ar turimas tinklo sąsajas, iš terminalo lango rašome šią komandą: 
 Ifconfig

Dabar galite pamatyti, kurį norime patikrinti, žinodami kiekvieno IP ir jo pavadinimą. Norėdami užvesti variklį ir priskirti tinklo sąsają, pavyzdžiui, „Wi-Fi“ tinklą, rašome šią komandą: 
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Jei norime tikrinti laidinį tinklą, naudosime eth0. Norėdami pamatyti, ar variklis veikia tinkamai ir ar jis tikrina tinklą, turime naudoti šią komandą: 
 cd / var / log / suricata tail http.log
Tai parodys mums sąrašą su data, laiku ir žiniatinkliu ar IP, kuriuo buvo pasiekta ir per kurį prievadą. Jei pažvelgsime į statistikos žurnalo failus, galime stebėti srautą ir aptiktus įspėjimus, turime atskirti naršomus puslapius nuo tų, kurie nukreipiami per reklamą.

 uodega -f statistika.žurnalas
Taip pat galime atsisiųsti žurnalo failus ir atidaryti juos naudodami teksto redaktorių arba savo programinę įrangą, kad pagerintume skaitymą.
Pavyzdys yra „Json“ failas, pavadintas „even.json“

Čia matome naudojamus prievadus ir IP, matome, kad „ip 31.13.85.8“ atitinka „Facebook“, taip pat aptinkame prieigą prie c.live.com, kuris būtų „Outlook“ pašto žiniatinklis.

Pažiūrėkime kitą žurnalą, kuriame aptinkame prieigą iš „Google Chrome“ į „Solvetic.com“ svetainę.

Kad nekontroliuotume viso srauto, galime nustatyti grupės ar konkretaus vartotojo monitorių naudodami šią komandą. 
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = apskaita
Turime turėti omenyje, kad vykdant net nedidelio dydžio taisyklių rinkinius, kad būtų galima stebėti HTTP srautą naudojant visas grėsmių saugyklas ir jo taisyklių rinkinį, reikės maždaug tiek pat CPU ir RAM išteklių. Mb per sekundę, nors tai nėra daug įtakos serveriui.

Eismo ignoravimo taisyklės


Kai kuriais atvejais yra priežasčių ignoruoti tam tikrą srautą, kurio stebėjimas mums neįdomus. Galbūt patikimas kompiuteris, tinklas ar svetainė.
Mes pamatysime kai kurios strategijos, kaip ignoruoti srautą naudojant surikatą. Naudodami fiksavimo filtrus galite pasakyti „Suricata“, ko laikytis ir ko nesilaikyti. Pavyzdžiui, paprastas tcp protokolo filtras tikrins tik TCP paketus.
Jei kai kurie kompiuteriai ar tinklai turėtų būti ignoruojami, turėtume naudoti ne IP1 ar ip / 24, kad ignoruotume visus tinklo kompiuterius.

Patvirtinkite paketą ir jo srautą


Praeiti taisyklės su surikatu ir nustatykite, kad paketas nėra filtruojamas, pavyzdžiui, iš tam tikro IP ir TCP protokolo, tada mes naudosime šią komandą taisyklių rinkmenose, esančiose aplanke / etc / suricata / rules 
 Praleisti 192.168.0.1 bet kokį bet kokį (msg: "Priimti visą srautą iš šio IP";)
Norėdami pamatyti, kuriuos modulius suaktyvinome „Suricata“, atidarysime terminalo langą ir įvesime šią komandą: 
 surikatas-statyti-informacija
Mes matėme, kaip surikatas su juo IDS paslauga Remiantis taisyklėmis, skirtomis tinklo srautui valdyti ir įspėjimams sistemos administratoriui, kai įvyksta įtartinų įvykių, labai naudinga, kad kartu su kitomis tinklo saugumo sistemomis ji leistų mums apsaugoti savo duomenis nuo netinkamos prieigos.
„Suricata“ turi funkcionalumo ir bibliotekos parinkčių, kurias galima pridėti naudojant papildinius, kurie gali būti naudojami kaip monitorius arba API kitose programose.
Svarbu žinoti, kokios paslaugos yra aktyvios ir ką turime stebėti, kad neturėtume labai ilgų ataskaitų apie neveikiančias paslaugas ar uostus.
Jei, pavyzdžiui, serveriai yra tik žiniatinklis ir jiems reikalingas tik 80 prievadas HTTP, nėra jokios priežasties stebėti SMTP paslaugą, skirtą laiškams siųsti.Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką
wave wave wave wave wave

Populiarios Temos

wave
1
post-title
Exercise „Oppo Band Style“ ir „Oppo Band Sport“ pratimų režimai
2
post-title
Atnaujinkite „VirtualBox“ neprarasdami „Windows 10“ virtualios mašinos
3
post-title
▷ 100% DISKAS „Windows 10“ SPRENDIMAS
4
post-title
„Google“ ir HTTPS sertifikatas
5
post-title
Atnaujinkite „Microsoft Teams Windows 10“

Rekomenduojama

wave
- Sponsored Ad -

Redaktoriaus Pasirinkimas

wave
- Sponsored Ad -